Actualité > À la une

À la une

[ 25 avril 2014 ] Imprimer

Libertés fondamentales - droits de l'homme

L’impossible surveillance généralisée d’Internet et du téléphone mobile dans l’Union européenne ou l’invalidité de directive relative à la conservation des données personnelles

Mots-clefs : Droit à la vie privée, Droit à la protection des données à caractère personnel, Directive, Charte des droits fondamentaux de l’Union européenne, Sécurité publique, Ingérence, Proportionnalité, Objectif d’intérêt général, Droit de l’Union, Pouvoir d’appréciation

La Charte des droits fondamentaux de l’Union européenne s’impose tout autant aux États membres qu’aux institutions de l’Union. Ainsi les directives de l’Union adoptées doivent pleinement respectées les droits fondamentaux. Afin de s’assurer de ce respect, un contrôle est alors exercé exclusivement par la Cour de justice qui examine si l’ingérence constatée est prévue par la loi, si elle respecte le contenu essentiel des droits et libertés en cause, si elle répond à un objectif d’intérêt général et si elle est proportionnée. À la suite d’une question préjudicielle, la directive relative à la conservation des données personnelles (directive 2006/24) a fait l’objet d’un contrôle amenant la Cour à la déclarer invalide en raison de son atteinte au droit à la vie privée (Charte, art. 7) et au droit à la protection des données à caractère personnel (Charte, art. 8). L’ingérence issue de la directive était disproportionnée tant au regard des données accessibles que du défaut d’encadrement dans l’accès aux données par les autorités publiques, ainsi qu’en raison de la faiblesse des obligations imposées en matière de sécurité aux fournisseurs d’Internet et de téléphonie mobile dans la conservation des données.

L’invalidité ou l’annulation de dispositions de droit dérivé de portée générale est relativement rare au regard de la jurisprudence de la Cour de justice. Cette invalidité constitue un enjeu d’autant plus grand lorsque l’objectif de la directive est de garantir la sécurité publique et la lutte contre la criminalité grave.

Pour aboutir à une telle solution, il fallait : 

– d’une part, que les droits en cause soient particulièrement importants, ce qui est le cas du droit à la vie privée et de celui à la protection des données personnelles ;

– et, d’autre part, que l’ingérence soit indubitablement grave, ce que les juges se sont efforcés de démontrer en additionnant les éléments juridiques établissant que le législateur de l’Union avait excédé son pouvoir d’appréciation, violant le principe de proportionnalité.

À l’origine de cet arrêt se trouve deux renvois préjudiciels distincts, l’un provenant de l’Irlande, l’autre de l’Autriche, démontrant que la directive 2006/24 sur la conservation des données personnelles ne laissait pas insensibles dans de nombreux États de l’Union.

Il est vrai que cette directive, dont l’objectif était d’assurer la sécurité publique, ouvrait la voie à une ingérence réelle dans le cadre du droit à la vie privée et du droit à la protection des données personnelles. La directive imposait aux fournisseurs de services de communications électroniques de conserver de nombreuses données, telles que la source d’une communication et sa destination, sa durée, sa date, son heure, sans néanmoins que le contenu puisse être conservé et accessible. Ces données concernant l’ensemble de la population devaient être rendues accessibles aux autorités des États membres dans le cadre de la prévention, de la recherche, de la détection et de la poursuite d’infraction grave.

Face au contenu de cette directive, la Cour de justice n’a pas eu de mal à reconnaitre l’existence d’une ingérence à l’encontre de deux droits, expressément protégés par la Charte des droits fondamentaux.

L’enjeu du raisonnement de la Cour réside alors dans la justification de l’ingérence par rapport aux droits garantis par la Charte. Pour effectuer son contrôle, la Cour revient sur les conditions fixées à l’article 52, paragraphe 1erde la Charte, qui exige que toute limitation d’un droit doit être prévue par la loi, respecter son contenu essentiel, répondre à un objectif d’intérêt général et s’effectuer dans le respect du principe de proportionnalité.

La Cour examine les trois dernières conditions, l’exigence de la loi étant réalisée, s’attardant très largement sur celle de la proportionnalité.

Sur la condition du respect du contenu essentiel des droits, la Cour juge la condition remplie dès lors que la directive ne prévoit pas que le contenu des communications puisse être sauvegardé et qu’il soit accessible aux autorités publiques.

Sur la deuxième condition relative à l’existence d’un intérêt général, la Cour avait déjà pu préciser que l’ensemble des droits et libertés garantis par la Charte est à appréhender comme des objectifs d’intérêt général (CJUE 22 janv. 2013, Sky Osterreich). C’est le cas de la sûreté des personnes qui est visée à l’article 6 de la Charte. Cependant, indépendamment de cet article, la Cour juge que la lutte contre la criminalité grave et le maintien de la sécurité publique sont des objectifs d’intérêt général conformément à sa jurisprudence antérieure (CJCE 3 sept. 2008, Kadi).

Sur la troisième condition relative à la proportionnalité, la Cour procède en deux temps.

Elle détermine, tout d’abord, le pouvoir d’appréciation dont dispose le législateur dans le cadre du droit à la vie privée et le droit à la protection des données à caractère personnel. La Cour juge ce pouvoir réduit et entend ainsi opérer un contrôle strict. La Cour se place pleinement ici dans la jurisprudence de la Cour européenne des droits de l’homme (CEDH 4 déc. 2008, S. et Marper c/ Royaume-Uni), démontrant une nouvelle fois la convergence des jurisprudences des deux juridictions.

Ensuite, la Cour examine si l’ingérence respecte le principe de proportionnalité. En réalité, la Cour va procéder à une analyse approfondie démontrant que, sous plusieurs aspects, le législateur a manqué à ce principe, ne laissant aux juges qu’une seule décision possible, l’invalidité de la norme.

En l’espèce, c’est l’accumulation d’excès qui justifie la solution.

Il y a, en premier lieu, le problème de l’étendue des données concernées par la conservation. La Cour juge disproportionné de viser toute la population et ainsi d’avoir généralisé la conservation des données et de n’opérer aucune distinction au sein des personnes selon qu’elles soient liées ou non à une infraction ou qu’elles soient soumises en raison de leurs activités au secret professionnel. L’actualité française récente nous pousse à évoquer le cas des avocats.

Il y a, en second lieu, les conditions d’accès aux données conservées. La Cour indique qu’aucun encadrement digne de ce nom n’a été prévu, puisque la directive ne pose pas de critères objectifs déterminants quand l’accès aux données doit être réalisé. La directive ne prévoit pas les infractions visées, les autorités à qui l’accès est attribué et, enfin, elle n’impose pas un contrôle juridictionnel ou par une autorité indépendante.

En troisième lieu, la Cour reproche à la directive de n’imposer aucune mesure de sécurité à l’égard de la protection des données par les fournisseurs de services de communications électroniques. La directive laisse cette garantie aux fournisseurs qui peuvent tenir compte de considérations économiques au moment du choix du niveau de protection. L’article 8 de la Charte sur la protection des données à caractère personnel est clairement remis en cause et ce d’autant plus que les données n’ont pas à être conservées obligatoirement dans l’Union européenne. La Cour de justice prend ici pleinement en considération le problème du lieu de la conservation des données qui devient un enjeu majeur, sans doute davantage qu’au moment de l’élaboration de la directive.

Cette approche démontre que l’analyse de la validité d’un texte est effectuée au regard de la situation juridique et factuel au moment où le juge doit trancher et non au moment de l’adoption du texte.

CJUE, Grde ch., 8 avr. 2014, Digital Rights Ireland Ltd contre Minister for communication, Marine and Natural ressources et autres, C-293/12 et Kärntner Landesregierung, C-594/12

Références

■ CJUE 22 janv. 2013, Sky Osterreich, C-283/11.

■ CJCE 3 sept. 2008, Kadi, C-402/05P.

■ CEDH 4 déc. 2008, S. et Marper c/ Royaume-Uni, n°30562/04 et 30566/04.

■ Directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE.

■ Charte des droits fondamentaux de l’Union européenne

Article 6 - Droit à la liberté et à la sûreté

« Toute personne a droit à la liberté et à la sûreté. »

Article 7- Respect de la vie privée et familiale

« Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications. »

Article 8 - Protection des données à caractère personnel

« 1. Toute personne a droit à la protection des données à caractère personnel la concernant.

2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification.

3. Le respect de ces règles est soumis au contrôle d'une autorité indépendante. »

Article 52 - Portée des droits garantis

« 1. Toute limitation de l'exercice des droits et libertés reconnus par la présente Charte doit être prévue par la loi et respecter le contenu essentiel desdits droits et libertés. Dans le respect du principe de proportionnalité, des limitations ne peuvent être apportées que si elles sont nécessaires et répondent effectivement à des objectifs d'intérêt général reconnus par l'Union ou au besoin de protection des droits et libertés d'autrui.

2. Les droits reconnus par la présente Charte qui trouvent leur fondement dans les traités communautaires ou dans le traité sur l'Union européenne s'exercent dans les conditions et limites définies par ceux-ci.

3. Dans la mesure où la présente Charte contient des droits correspondant à des droits garantis par la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, leur sens et leur portée sont les mêmes que ceux que leur confère ladite convention. Cette disposition ne fait pas obstacle à ce que le droit de l'Union accorde une protection plus étendue. »

 

Auteur :V. B.

Autres À la une


  • Rédaction

    Directeur de la publication-Président : Ketty de Falco

    Directrice des éditions : 
    Caroline Sordet
    N° CPPAP : 0122 W 91226

    Rédacteur en chef :
    Maëlle Harscouët de Keravel

    Rédacteur en chef adjoint :
    Elisabeth Autier

    Chefs de rubriques :

    Le Billet : 
    Elisabeth Autier

    Droit privé : 
    Sabrina Lavric, Maëlle Harscouët de Keravel, Merryl Hervieu, Caroline Lacroix, Chantal Mathieu

    Droit public :
    Christelle de Gaudemont

    Focus sur ... : 
    Marina Brillié-Champaux

    Le Saviez-vous  :
    Sylvia Fernandes

    Illustrations : utilisation de la banque d'images Getty images.

    Nous écrire :
    actu-etudiant@dalloz.fr