CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. HENRIK SAUGMANDSGAARD ØE
présentées le 3 mai 2018 (1)
Affaire C‑207/16
Ministerio Fiscal
[demande de décision préjudicielle formée par l’Audiencia Provincial de Tarragona (cour provinciale de Tarragone, Espagne)]
« Renvoi préjudiciel – Communications électroniques – Traitement des données à caractère personnel – Droit à la vie privée et droit à la protection de telles données – Directive 2002/58/CE – Article 1er et article 15, paragraphe 1 – Charte des droits fondamentaux de l’Union européenne – Articles 7 et 8 ainsi que article 52, paragraphe 1 – Données collectées dans le cadre de la fourniture de services de communications électroniques – Demande d’accès par une autorité policière à des fins d’enquête pénale – Principe de proportionnalité – Notion d’“infraction grave” susceptible de justifier une ingérence dans les droits fondamentaux – Critères de la gravité – Peine encourue – Seuil minimal »
I. Introduction
1. Le présent renvoi préjudiciel porte, en substance, sur l’interprétation de la notion d’« infractions graves »(2)au sens de la jurisprudence de la Cour issue de l’arrêt Digital Rights Ireland e.a. (3) (ci‑après l’« arrêt Digital Rights ») puis de l’arrêt Tele2 Sverige et Watson e.a. (4)(ci‑après l’« arrêt Tele2 »), où cette notion a été utilisée en tant que critère d’appréciation de la légitimité et de la proportionnalité d’une ingérence dans les droits consacrés aux articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne (ci‑après la « Charte »), à savoir, respectivement, le droit au respect de la vie privée et familiale ainsi que le droit à la protection des données à caractère personnel.
2. Ce renvoi préjudiciel s’inscrit dans le cadre d’un recours exercé contre une décision de justice ayant refusé à des autorités policières la possibilité de se voir communiquer certaines données d’état civil détenues par des opérateurs de téléphonie mobile, en vue d’identifier des individus à des fins d’enquête pénale. La décision attaquée était motivée, notamment, par la considération que les faits à l’origine de cette enquête n’auraient pas été constitutifs d’une infraction grave, contrairement à ce qu’aurait exigé la réglementation espagnole applicable.
3. La juridiction de renvoi interroge la Cour, en substance, sur la façon de fixer le seuil de gravité des infractions à partir duquel il peut être justifié, au regard de la jurisprudence précitée, de porter atteinte aux droits fondamentaux protégés par les articles 7 et 8 de la Charte, lors de l’accès, par les autorités nationales compétentes, à des données à caractère personnel ayant été conservées par des fournisseurs de services de communications électroniques.
4. Après avoir établi que la Cour est compétente pour statuer sur cette demande de décision préjudicielle et que cette dernière est recevable, j’entends démontrer que l’accès à des données personnelles en des circonstances telles que celles de l’espèce entraîne une ingérence dans les droits fondamentaux susmentionnés qui ne correspond pas aux hypothèses où seule la lutte contre des infractions graves est susceptible de justifier l’atteinte portée auxdits droits, conformément à la jurisprudence précitée.
5. Dès lors que j’estime que, eu égard à l’objet particulier du litige au principal, il ne sera pas nécessaire que la Cour réponde aux questions préjudicielles dans leur libellé initial, ce n’est qu’à titre subsidiaire que je fournirai des indications sur les critères qui permettraient, éventuellement, de définir la notion d’« infractions graves » au sens de cette jurisprudence, en particulier au regard du critère de la peine encourue.
II. Le cadre juridique
A. Le droit de l’Union
6. La directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (5), telle que modifiée par la directive 2009/136/CE (6) (ci‑après la « directive 2002/58 ») énonce dans son préambule :
« (2) La présente directive vise à respecter les droits fondamentaux et observe les principes reconnus notamment par la [Charte]. En particulier, elle vise à garantir le plein respect des droits exposés aux articles 7 et 8 de [celle‑ci].
[...]
(11) À l’instar de la directive 95/46/CE [(7)], la présente directive ne traite pas des questions de protection des droits et libertés fondamentaux liées à des activités qui ne sont pas régies par le droit communautaire. Elle ne modifie donc pas l’équilibre existant entre le droit des personnes à une vie privée et la possibilité dont disposent les États membres de prendre des mesures telles que celles visées à l’article 15, paragraphe 1, de la présente directive, nécessaires pour la protection de la sécurité publique, de la défense, de la sûreté de l’État (y compris la prospérité économique de l’État lorsqu’il s’agit d’activités liées à la sûreté de l’État) et de l’application du droit pénal. Par conséquent, la présente directive ne porte pas atteinte à la faculté des États membres de procéder aux interceptions légales des communications électroniques ou d’arrêter d’autres mesures si cela s’avère nécessaire pour atteindre l’un quelconque des buts précités, dans le respect de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales [ci‑après la « CEDH »], telle qu’interprétée par la Cour européenne des droits de l’homme [ci‑après la « Cour EDH »] dans ses arrêts. Lesdites mesures doivent être appropriées, rigoureusement proportionnées au but poursuivi et nécessaires dans une société démocratique. Elles devraient également être subordonnées à des garanties appropriées, dans le respect de la [CEDH] [(8)]. »
7. Aux termes de l’article 1er de la directive 2002/58, intitulé « Champ d’application et objectif » :
« 1. La présente directive prévoit l’harmonisation des dispositions nationales nécessaires pour assurer un niveau équivalent de protection des droits et libertés fondamentaux, et en particulier du droit à la vie privée et à la confidentialité, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques [...].
[...]
3. La présente directive ne s’applique pas aux activités qui ne relèvent pas du traité instituant la Communauté européenne, telles que celles visées dans les titres V et VI du traité sur l’Union européenne, et en tout état de cause, aux activités concernant la sécurité publique, la défense, la sûreté de l’État (y compris la prospérité économique de l’État lorsqu’il s’agit d’activités liées à la sûreté de l’État) ou aux activités de l’État dans des domaines relevant du droit pénal. »
8. Son article 2, intitulé « Définitions », est libellé comme suit :
« Sauf disposition contraire, les définitions figurant dans la directive [95/46] et dans la directive 2002/21/CE du Parlement européen et du Conseil du 7 mars 2002 relative à un cadre réglementaire commun pour les réseaux et les services de communications électroniques (directive “cadre”) [(9)] s’appliquent aux fins de la présente directive.
Les définitions suivantes sont aussi applicables :
a) “utilisateur” : toute personne physique utilisant un service de communications électroniques accessible au public à des fins privées ou professionnelles sans être nécessairement abonnée à ce service ;
b) “données relatives au trafic” : toutes les données traitées en vue de l’acheminement d’une communication par un réseau de communications électroniques et sa facturation ;
c) “données de localisation” : toutes les données traitées dans un réseau de communications électroniques ou par un service de communications électroniques indiquant la position géographique de l’équipement terminal d’un utilisateur d’un service de communications électroniques accessible au public ;
d) “communication” : toute information échangée ou acheminée entre un nombre fini de parties au moyen d’un service de communications électroniques accessible au public. Cela ne comprend pas les informations qui sont acheminées dans le cadre d’un service de radiodiffusion au public par l’intermédiaire d’un réseau de communications électroniques, sauf dans la mesure où un lien peut être établi entre l’information de l’abonné ou utilisateur identifiable qui la reçoit ;
[...] »
9. L’article 15 de la directive 2002/58, intitulé « Application de certaines dispositions de la directive [95/46] », prévoit, à son paragraphe 1, que « [l]es États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l’article 8, paragraphes 1, 2, 3 et 4, et à l’article 9 de la présente directive lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est‑à‑dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la directive [95/46]. À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe. Toutes les mesures visées dans le présent paragraphe sont prises dans le respect des principes généraux du droit communautaire, y compris ceux visés à l’article 6, paragraphes 1 et 2, du traité sur l’Union européenne ».
B. Le droit espagnol
1. La loi 25/2007
10. La Ley 25/2007 de conservación de datos relativos a las comunicaciones electrónicas y a la redes públicas de comunicaciones (loi 25/2007 concernant la conservation des données relatives aux communications électroniques et aux réseaux publics de communications), du 18 octobre 2007 (10) (ci‑après la « loi 25/2007 »), a transposé en droit espagnol la directive 2006/24 (11), laquelle a été déclarée invalide par la Cour dans l’arrêt Digital Rights.
11. Aux termes de l’article 1er de la loi 25/2007, dans sa version applicable aux faits du litige au principal :
« 1. La présente loi a pour objet de réglementer l’obligation des opérateurs de conserver les données générées ou traitées dans le cadre de la prestation de services de communications électroniques ou de réseaux publics de communication, ainsi que l’obligation de communiquer ces données aux agents habilités à chaque fois que cela leur est demandé au moyen de l’autorisation judiciaire nécessaire, aux fins de détection, d’enquête et de jugement d’infractions graves prévues dans le code pénal ou dans les lois pénales spéciales.
2. La présente loi s’applique aux données relatives au trafic et aux données de localisation concernant tant les personnes physiques que morales, ainsi qu’aux données connexes nécessaires pour identifier l’abonné ou l’utilisateur enregistré.
[...] »
12. L’article 3 de ladite loi énumère les données que les opérateurs sont tenus de conserver. Il s’agit notamment, en vertu du paragraphe 1, sous a), point 1, ii), de cet article, des données nécessaires pour retrouver et identifier la source d’une communication, telles que, en ce qui concerne la téléphonie mobile, les nom et adresse de l’abonné ou de l’utilisateur inscrit.
2. Le code pénal
13. En vertu de l’article 13, paragraphe 1, du code pénal espagnol dans sa version applicable aux faits du litige au principal, « [s]ont des infractions graves celles que la loi punit d’une peine grave ».
14. L’article 33 dudit code est libellé comme suit :
« 1. En fonction de leur nature et de leur durée, les peines sont classées en graves, moins graves et légères.
2. Sont des peines graves :
a) L’emprisonnement à perpétuité révisable.
b) L’emprisonnement pour une durée supérieure à cinq ans.
[...] »
3. Le code de procédure pénale
15. Le code de procédure pénale espagnol a été modifié par la Ley Orgánica 13/2015 de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica (loi organique 13/2015 portant modification du code de procédure pénale en vue du renforcement des garanties procédurales et de la réglementation des mesures d’enquête technologique), du 5 octobre 2015 (12) (ci‑après la « loi organique 13/2015 »).
16. Cette loi, entrée en vigueur le 6 décembre 2015, incorpore, dans le code de procédure pénale, le domaine de l’accès aux données concernant les communications téléphoniques et télématiques qui ont été conservées par les fournisseurs de services de communications électroniques.
17. Aux termes de l’article 579, paragraphe 1, du code de procédure pénale, dans sa version issue de ladite loi, « [le] juge peut autoriser l’interception de la correspondance privée, postale et télégraphique, y compris des fax, des Burofax et des mandats postaux internationaux, que le suspect envoie ou reçoit, ainsi que l’ouverture et l’analyse de celle‑ci s’il existe des indices permettant de penser que cela permettra de découvrir ou de vérifier un fait ou un facteur pertinent pour l’affaire, dès lors que l’enquête a pour objet l’une des infractions suivantes :
1) Des infractions intentionnelles punies d’une peine maximale encourue d’au moins trois ans d’emprisonnement.
2) Des infractions commises dans le cadre d’une organisation criminelle.
3) Des infractions de terrorisme. »
18. L’article 588 ter j de ce même code, intitulé « Données disponibles dans des archives automatisées des prestataires de services » énonce :
« 1. Les données électroniques conservées par les prestataires de services ou par les personnes qui fournissent la communication en application de la législation relative à la conservation de données relatives aux communications électroniques, ou de leur propre initiative pour des raisons commerciales ou autres, et qui sont liées à des processus de communication, ne pourront être communiquées afin d’être prises en compte dans le cadre de la procédure que sur autorisation judiciaire.
2. Lorsque la connaissance de ces données s’avère indispensable pour l’enquête, il convient de demander au juge compétent d’autoriser l’accès aux informations qui se trouvent dans les archives automatisées des prestataires de services, notamment pour une recherche croisée ou intelligente de données, dès lors que sont précisées la nature des données dont il est nécessaire de prendre connaissance et les raisons justifiant leur communication. »
III. Le litige au principal, les questions préjudicielles et la procédure devant la Cour
19. M. Hernández Sierra a déposé une plainte auprès de la police pour le vol avec violences de son portefeuille et de son téléphone mobile, qui serait survenu le 16 février 2015 et au cours duquel il aurait été sévèrement blessé.
20. Par requête du 27 février 2015, la police judiciaire a introduit, devant le Juzgado de Instrucción nº 3 de Tarragona (juge d’instruction nº 3 de Tarragone, Espagne, ci‑après le « juge d’instruction »), une demande tendant à ce qu’il soit enjoint aux différents opérateurs de téléphonie de communiquer, d’une part, les numéros de téléphone ayant été activés, entre le 16 février et le 27 février 2015, avec le code IMEI (13) du téléphone mobile volé et, d’autre part, les données à caractère personnel des titulaires ou utilisateurs de tous les numéros de téléphone correspondant aux cartes SIM activées avec ledit code IMEI (14).
21. Par ordonnance du 5 mai 2015, le juge d’instruction a rejeté cette demande, aux motifs que la mesure exigée était peu utile pour identifier les auteurs de l’infraction et que, en tout état de cause, la loi 25/2007 limitait la communication des données conservées par les opérateurs de téléphonie aux infractions graves – à savoir, selon le code pénal espagnol (15), celles sanctionnées d’une peine de prison supérieure à cinq ans –, tandis que les faits en cause ne seraient pas constitutifs d’une infraction grave.
22. Le Ministerio Fiscal (ministère public espagnol), seule partie à la procédure, a interjeté appel contre cette ordonnance devant l’Audiencia Provincial de Tarragona (cour provinciale de Tarragone, Espagne), en faisant valoir que la communication des données en cause aurait dû être accordée en raison de la nature des faits et d’une décision du Tribunal Supremo (Cour suprême, Espagne) concernant un cas similaire (16).
23. Par ordonnance du 9 février 2016, ladite cour d’appel a ordonné, à titre de mesure provisoire adressée aux opérateurs de téléphonie, la prolongation de la conservation des données concernées par la demande litigieuse.
24. La décision de renvoi préjudiciel émanant de cette juridiction expose que, après l’adoption de la décision attaquée, le législateur espagnol a introduit, en vertu de la loi organique 13/2015 (17), deux critères alternatifs pour déterminer le degré de gravité d’une infraction. Le premier serait un critère matériel, attaché à des comportements qui correspondent à des qualifications pénales dont la nature criminelle est spécifique et grave, et qui sont particulièrement préjudiciables aux intérêts juridiques individuels et collectifs (18). Le second serait un critère normatif formel, fondé exclusivement sur la peine prévue pour l’infraction en cause. Or, le seuil de trois ans d’emprisonnement que ce dernier prévoit pourrait englober la grande majorité des qualifications pénales. En outre, la juridiction de renvoi observe que l’intérêt qu’a l’État à protéger les citoyens et à réprimer les comportements délictueux ne saurait légitimer une atteinte disproportionnée aux droits fondamentaux des personnes.
25. Dans ce contexte, par décision du 6 avril 2016, parvenue à la Cour le 14 avril 2016, l’Audiencia Provincial de Tarragona (cour provinciale de Tarragone) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) Est‑il possible de déterminer la gravité suffisante des infractions, en tant que critère justifiant l’atteinte aux droits fondamentaux reconnus aux articles 7 et 8 de la [Charte], uniquement en prenant en considération la peine dont peut être punie l’infraction faisant l’objet d’une enquête ou est‑il nécessaire, en outre, d’identifier dans le comportement délictueux un caractère préjudiciable particulier pour des intérêts juridiques individuels ou collectifs ?
2) Le cas échéant, s’il était conforme aux principes fondamentaux de l’Union appliqués par la Cour dans son arrêt [Digital Rights] en tant que normes de contrôle strict de la directive [déclarée invalide par cet arrêt], de déterminer la gravité de l’infraction uniquement en fonction de la peine susceptible d’être infligée, quel devrait être le niveau minimal de cette peine ? Un niveau fixé de manière générale à un minimum de trois ans de prison serait‑il conforme ? »
26. La procédure devant la Cour a été suspendue, par décision du Président du 23 mai 2016, dans l’attente du prononcé de l’arrêt de la Cour dans les affaires jointes Tele2 Sverige et Watson e.a., C‑203/15 et C‑698/15.
27. Interrogée par la Cour après le prononcé de cet arrêt, daté du 21 décembre 2016 (19), la juridiction de renvoi a indiqué qu’elle entendait maintenir sa demande de décision préjudicielle. Elle a fait valoir que les questions préjudicielles qu’elle avait posées demeuraient pertinentes, en ce que ledit arrêt donnait certes des exemples d’infractions graves (20), mais ne définissait pas avec suffisamment de clarté le contenu matériel de la notion de gravité de l’infraction pouvant servir de critère d’appréciation de la justification d’une mesure d’ingérence. Or, cette notion induirait le risque que les conditions de la conservation des données et de l’accès à celles‑ci soient fixées, au niveau national, d’une manière très large, qui ne respecterait pas les droits fondamentaux visés par l’arrêt Tele2. Ainsi, lors de l’adoption de la loi organique 13/2015, le législateur espagnol aurait, en dépit des critères énoncés dans l’arrêt Digital Rights (21), très sensiblement réduit, par rapport aux règles antérieures issues de la loi 25/2007, le seuil de gravité des infractions à l’égard desquelles sont autorisées la conservation et la communication de données personnelles.
28. À la suite de cette réponse, la procédure devant la Cour a été reprise, le 16 février 2017. Des observations écrites ont alors été déposées par les gouvernements espagnol, tchèque, estonien, irlandais, français, letton, hongrois, autrichien et du Royaume‑Uni ainsi que par la Commission européenne.
29. En vue de l’audience, la Cour a posé des questions pour réponse écrite adressées au gouvernement espagnol, auxquelles celui‑ci a répondu le 9 janvier 2018, ainsi que des questions pour réponse orale adressées à l’ensemble des intéressés visés à l’article 23 du statut de la Cour de justice de l’Union européenne.
30. Lors de l’audience, tenue le 29 janvier 2018, le ministère public espagnol, les gouvernements espagnol, tchèque, danois, estonien, irlandais, français, letton, polonais et du Royaume‑Uni ainsi que la Commission ont présenté leurs observations orales.
IV. Analyse
A. Observations introductives
31. Avant de me livrer à un examen approfondi des questions soulevées par la présente demande de décision préjudicielle, j’estime nécessaire de présenter quelques observations concernant l’objet spécifique de celle‑ci.
32. Premièrement, au vu des indications figurant dans la décision de renvoi et des informations complémentaires fournies par le gouvernement espagnol, je relève que le litige au principal présente des particularités notables, qui le différencient, en particulier, du contexte des affaires ayant donné lieu aux arrêts Digital Rights et Tele2 (22).
33. En effet, il apparaît que la requête des autorités policières ici en cause tend à obtenir uniquement des données permettant d’identifier les titulaires ou utilisateurs des numéros de téléphone qui sont attachés aux cartes SIM ayant été insérées dans le téléphone mobile volé (23). En outre, il est constant que cette demande porte sur une période clairement définie et réduite dans le temps, à savoir une douzaine de jours (24).
34. Dans de telles circonstances, le nombre des personnes susceptibles d’être concernées par la mesure litigieuse est non pas illimité, mais restreint. De surcroît, ces personnes sont non pas n’importe quel détenteur d’une carte SIM, mais des individus ayant un profil bien particulier, puisqu’il s’agit de ceux ayant fait usage du téléphone volé après sa soustraction, voire l’ayant encore en leur possession, et qui peuvent donc légitimement se trouver suspectés soit d’être eux‑mêmes les auteurs du délit, soit d’être en relation avec ces derniers.
35. Qui plus est, les données visées correspondent non pas à tout type de « données à caractère personnel » (25) détenues par les fournisseurs de services de communications électroniques, mais seulement à celles relatives à l’identité civile des individus susmentionnés, à savoir leur prénom, leur nom et, éventuellement, leur adresse (26), données pouvant aussi être dites « de contact ». Les autres informations concernant ces individus qui pourraient se trouver dans les archives desdits fournisseurs (27) sont, à mon avis, exclues de la procédure au principal.
36. Par ailleurs, le but ici poursuivi est, à mes yeux, de récolter des renseignements qui ne sont relatifs ni à une localisation ni à des communications en tant que telles (28), mais à des personnes physiques qui sont recherchées pour avoir pu utiliser un service de communications électroniques au moyen du téléphone volé, même si ces personnes n’ont pas procédé à un appel téléphonique concret. En effet, il ressort des explications fournies à la Cour par le ministère public espagnol que les données personnelles demandées, qui sont tirées de l’association entre une carte SIM déterminée et le numéro IMEI de l’appareil volé, peuvent techniquement être obtenues grâce à une simple connexion de ce dernier avec une borne de téléphonie mobile, alors même qu’aucun appel n’aurait été passé par le détenteur de la carte au moyen du téléphone concerné, donc indépendamment de toute communication effective (29). Il appartiendra à la juridiction de renvoi de vérifier cette assertion à caractère factuel, qui m’apparaît toutefois suffisamment plausible pour qu’il soit raisonnable de la tenir pour véridique.
37. Eu égard à l’ensemble de ces éléments, je souligne d’emblée que le litige au principal concerne des données à caractère personnel dont la transmission est sollicitée non pas de manière généralisée et indifférenciée, mais de manière ciblée quant aux personnes et limitée quant à la durée. En outre, les données demandées apparaissent ne pas être d’une nature particulièrement sensible à première vue, bien que les droits fondamentaux consacrés aux articles 7 et 8 de la Charte soient néanmoins susceptibles d’être affectés par l’accès à des données de ce type (30).
38. Deuxièmement, je note qu’il ressort des motifs de la décision de renvoi que les questions préjudicielles posées dans la présente affaire ont pour caractéristique de porter non pas sur les conditions de la conservation de données à caractère personnel dans le secteur des communications électroniques, mais plutôt sur les modalités de l’accès des autorités nationales à de telles données qui ont été conservées par les fournisseurs de services opérant dans ce secteur (31).
39. La juridiction de renvoi indique notamment que, en vertu de l’article 588 ter j du code de procédure pénale, une autorisation judiciaire est requise pour que les données électroniques archivées par les prestataires de services soient transmises aux autorités compétentes afin d’être prises en compte dans le cadre d’une procédure. Le paragraphe 1 dudit article précise que la conservation de telles données peut avoir été effectuée par des prestataires soit en application de la législation pertinente, soit de leur propre initiative pour des raisons commerciales ou autres.
40. En l’occurrence, il apparaît que les données personnelles auxquelles les autorités policières demandent à avoir accès, à des fins d’enquête, ont pu être archivées par les opérateurs de téléphonie mobile en exécution d’une obligation résultant de la loi espagnole (32). La juridiction de renvoi ne donne pas d’indications à ce sujet, étant rappelé que sa demande de décision préjudicielle est focalisée sur l’éventuel accès à des données ayant déjà été conservées et sachant que la conformité du stockage des données aux exigences du droit de l’Union n’est pas mise en doute dans le litige au principal (33). Dès lors, il convient à mon avis de se fonder sur la prémisse selon laquelle les données en cause dans l’affaire au principal ont été conservées conformément à la législation nationale, dans le respect des conditions fixées à l’article 15, paragraphe 1, de la directive 2002/58, ce qu’il appartient à la juridiction de renvoi uniquement de vérifier (34).
41. Je reviendrai, dans les développements qui suivent, sur les implications juridiques des constats ici dressés à titre liminaire (35).
B. Sur les exceptions de procédure soulevées par le gouvernement espagnol
42. Le gouvernement espagnol a soulevé deux catégories d’exceptions de procédure, l’une relative à la compétence de la Cour et l’autre relative à la recevabilité de la demande de décision préjudicielle, sur lesquelles la Cour devra se prononcer avant de statuer sur le fond le cas échéant.
1. Sur la compétence de la Cour au regard du champ d’application du droit de l’Union
43. Tout d’abord, je rappelle qu’il résulte d’une jurisprudence constante que les droits fondamentaux garantis dans l’ordre juridique de l’Union, et notamment ceux consacrés aux articles 7 et 8 de la Charte, ont vocation à être appliqués seulement si la situation en cause est régie par le droit de l’Union (36). En outre, l’article 51, paragraphe 1, de la Charte prévoit que les dispositions de celle‑ci s’adressent aux États membres exclusivement « lorsqu’ils mettent en œuvre le droit de l’Union », au sens de la jurisprudence de la Cour relative à cette notion (37). Partant, lorsqu’une situation juridique n’est pas couverte par le champ d’application du droit de l’Union, la Cour n’est pas compétente pour en connaître, et les dispositions de la Charte éventuellement invoquées ne sauraient, à elles seules, fonder cette compétence (38).
44. En l’occurrence, les questions posées par la juridiction de renvoi visent uniquement les articles 7 et 8 de la Charte ainsi que « les principes fondamentaux du droit de l’Union appliqués par la Cour dans son arrêt [Digital Rights] ». Cependant, cette juridiction estime que les directives applicables en matière de protection des données à caractère personnel, telles que la directive 95/46 et la directive 2002/58, établissent le lien de rattachement exigé, en vertu de l’article 51, paragraphe 1, de la Charte, entre l’affaire au principal et le droit de l’Union.
45. À cet égard, j’observe, en premier lieu, que le gouvernement espagnol soutient, à titre principal, que la Cour n’est pas dotée de la compétence requise pour statuer sur le présent renvoi préjudiciel, au motif que ce dernier ne concerne pas l’application du droit de l’Union. Il fait valoir, notamment, que le litige au principal serait exclu du champ d’application du droit de l’Union, dès lors qu’il concerne un accès de la police à des données soumis à une décision de justice dans le cadre d’une enquête, ce qui constituerait une activité de l’État en matière pénale (39) et relèverait donc des exceptions prévues à l’article 1er, paragraphe 3, de la directive 2002/58, de même qu’à l’article 3, paragraphe 2, premier tiret, de la directive 95/46 (40). Lors de l’audience, le gouvernement du Royaume‑Uni a indiqué qu’il partageait ce point de vue du gouvernement espagnol.
46. Toutefois, j’estime que la directive 2002/58 est applicable à l’égard de mesures nationales telles que celles en cause au principal. En effet, la Cour a déjà jugé, dans l’arrêt Tele2, que les législations nationales relatives à la conservation de données à des fins de lutte contre la criminalité sont couvertes par le champ d’application de cette directive, non seulement en ce qu’elles définissent les obligations pesant à ce titre sur les fournisseurs de services de communications électroniques, mais aussi en ce qu’elles régissent l’accès des autorités nationales aux données conservées dans ce cadre (41). À l’instar de la Commission, je suis d’avis que les considérations énoncées dans cet arrêt sont transposables aux règles nationales applicables en l’espèce, à savoir celles issues de la loi 25/2007 lue en combinaison avec le code de procédure pénale espagnol tel que modifié par la loi organique 13/2015 (42), et donc transposables à l’objet du litige au principal.
47. J’ajoute qu’il convient de ne pas confondre, d’une part, les données à caractère personnel traitées directement dans le cadre des activités – de nature régalienne (43) – de l’État en un domaine relevant du droit pénal (44) et, d’autre part, celles traitées dans le cadre des activités – de nature commerciale – d’un prestataire de services de communications électroniques qui sont ensuite utilisées par les autorités étatiques compétentes (45). Par ailleurs, je note que la Cour a été récemment saisie d’une demande de décision préjudicielle portant, en particulier, sur l’interprétation de l’article 1er, paragraphe 3, de la directive 2002/58 dans le contexte d’une utilisation, par les services de sécurité et de renseignement d’un État membre, de données devant leur être transmises en masse par de tels prestataires (46), problématique qu’il n’y aura selon moi pas lieu de trancher dans la présente affaire (47).
48. En second lieu, j’observe que d’autres interrogations ont été émises au sujet du champ d’application de la directive 2002/58, dont dépend la compétence de la Cour dans la présente affaire, eu égard au type de donnéesen causeau principal.
49. Comme je l’ai déjà indiqué (48), il ressort des éléments versés au dossier que la demande d’accès litigieuse tend à obtenir des informations sur l’identité des titulaires ou utilisateurs des numéros de téléphone correspondant aux cartes SIM ayant été activées au moyen du téléphone mobile volé, afin de retrouver les personnes ayant détenu cet appareil, et non des renseignements sur les appels éventuellement passés à partir de celui‑ci.
50. En d’autres termes, même si un plus large éventail de données à caractère personnel aurait potentiellement pu être concerné au regard de la réglementation espagnole (49), le présent litige au principal porte sur des données qui sont relatives uniquement à l’identité d’« utilisateurs », au sens de l’article 2, second alinéa, sous a), de la directive 2002/58, et non à une quelconque « localisation » (50), au sens dudit article 2, second alinéa, sous c), ni à des « communications » en tant que telles, au sens de ce même article 2, second alinéa, sous d) (51).
51. Selon le ministère public espagnol, les gouvernements espagnol, danois, irlandais, letton et du Royaume‑Uni ainsi que la Commission, des informations telles que celles ici en cause, pour autant qu’elles sont prises en compte isolément, c’est‑à‑dire indépendamment des communications effectuées le cas échéant, ne devraient, en principe, pas être couvertes non plus par la notion de « données relatives au trafic », au sens dudit article 2, second alinéa, sous b), lequel définit ces dernières comme étant « toutes les données traitées en vue de l’acheminement d’une communication par un réseau de communications électroniques ou de sa facturation » (52).
52. Certes, il semble que les données d’identification ici demandées par les autorités policières ne portent pas sur le « trafic » de communications proprement dit, dans la mesure où il apparaît que ces données peuvent être obtenues nonobstant une éventuelle absence totale d’appels passés avec l’appareil volé, et donc même si aucune communication interpersonnelle n’a été acheminée par un opérateur de téléphonie mobile, pendant la période ciblée (53).
53. Néanmoins, je considère qu’un litige tel que celui au principal relève du champ d’application de la directive 2002/58, dès lors que le traitement des informations associées aux cartes SIM et à leurs titulaires, visées en l’espèce, est nécessaire, d’un point de vue commercial, à la fourniture des services de communications électroniques (54), à tout le moins aux fins de facturer le service qui est fourni (55) quels que soient les appels effectués ou non dans le cadre de cette prestation.
54. En effet, eu égard à l’article 1er, paragraphe 1, et à l’article 3 de la directive 2002/58 (56), je partage l’opinion émise, en particulier, par la Commission, selon laquelle cette directive a vocation à régir, de façon globale, le traitement des données à caractère personnel opéré dans le cadre de la fourniture de services de communications électroniques, de sorte que son champ d’application inclut les données relatives à l’identité d’utilisateurs de tels services, comme celles ici en cause, et non pas seulement celles afférentes à une communication précise. Compte tenu aussi des objectifs de protection visés par ladite directive, qui consistent principalement en la sauvegarde de droits fondamentaux garantis par la Charte (57), j’estime donc que la notion de « communication », au sens de cet instrument, doit être entendue dans son acception large et que le principe de confidentialité des communications prévu par cet instrument (58) est bien en jeu en l’espèce.
55. Je suis aussi d’avis que cette interprétation est corroborée par un précédent arrêt de la Cour, dans lequel celle‑ci a déjà admis que le champ d’application de la directive 2002/58 couvrait un litige portant sur la transmission des noms et adresses d’utilisateurs d’un service de communication électronique (59). J’ajoute que l’article 12 de ladite directive, qui est relatif aux annuaires d’abonnés, vise, à mes yeux, certainement des données de cette nature (60) et que son considérant 15 reflète aussi une conception souple de la notion de « communication », en y incluant notamment « une adresse, fournie par celui qui émet la communication » (61).
56. De surcroît, une telle approche est cohérente avec la jurisprudence de la Cour EDH en la matière (62), étant rappelé que le préambule de la directive 2002/58 souligne que celle‑ci entend garantir la confidentialité des communications et le droit des utilisateurs à une vie privée en conformité avec la CEDH telle qu’interprétée par ladite juridiction (63), même si ce dernier instrument n’est pas formellement intégré à l’ordre juridique de l’Union (64).
57. Par conséquent, j’estime qu’un litige tel que celui au principal relève du champ d’application matériel de la directive 2002/58 et que l’exception d’incompétence soulevée par le gouvernement espagnol doit donc être rejetée.
58. Afin d’être exhaustif, je précise cependant que, dans l’hypothèse où la directive 2002/58 ne serait pas reconnue applicable en un tel cas de figure, la directive 95/46, évoquée tant par la juridiction de renvoi que par le gouvernement espagnol, ne saurait fonder la compétence de la Cour pour statuer dans la présente affaire.
59. En effet, ainsi que la Commission l’indique, la directive 95/46 constitue, certes, l’instrument de portée générale en matière de traitement des données à caractère personnel (65), mais les questions posées par la juridiction de renvoi seraient, à mon avis, dépourvues de pertinence si elles étaient examinées sous ce seul angle, étant donné qu’elles ont pour objet de déterminer le seuil à partir duquel des infractions peuvent être qualifiées de « graves » au sens de la jurisprudence issue des arrêts Digital Rights et Tele2, lesquels ne portaient pas sur l’interprétation de ladite directive (66).
2. Sur la recevabilité de la demande de décision préjudicielle
60. Le gouvernement espagnol prétend à titre subsidiaire, dans l’hypothèse où la Cour jugerait qu’elle est compétente pour répondre aux questions posées, que la demande de décision préjudicielle devrait être déclarée irrecevable, et ce pour deux motifs.
61. En premier lieu, ce gouvernement allègue que la juridiction de renvoi n’identifierait pas de façon claire le cadre normatif de l’Union sur lequel la Cour doit se prononcer.
62. À ce sujet, il rappelle la jurisprudence constante selon laquelle, dans le cadre de la coopération instituée par l’article 267 TFUE, la Cour ne peut refuser de statuer sur des questions préjudicielles, lesquelles bénéficient d’une présomption de pertinence, que s’il apparaît de manière manifeste que l’interprétation ou l’appréciation de validité d’une règle de l’Union sollicitée n’a aucun rapport avec la réalité ou l’objet du litige au principal, lorsque le problème est de nature hypothétique ou encore lorsque la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile aux questions qui lui sont posées (67).
63. Cependant, je considère que, en l’occurrence, le grief formulé par le gouvernement espagnol n’est pas bien fondé. En effet, au vu des indications données par la juridiction de renvoi, j’estime que celle‑ci a procédé à une identification suffisante des dispositions du droit de l’Union qui sont pertinentes selon elle. Je rappelle, d’une part, que les questions posées visent en particulier les articles 7 et 8 de la Charte, d’autre part, que cette juridiction expose que les directives 95/46 et 2002/58 constituent le lien de rattachement qui est nécessaire entre la réglementation nationale applicable au principal et le droit de l’Union (68) et, enfin, que la directive 2002/58 tend, comme l’énonce son considérant 2, à garantir, en particulier, le plein respect des droits énoncés aux articles 7 et 8 de la Charte (69).
64. J’ajoute qu’il est indifférent que l’un des éléments de la réglementation espagnole évoqués dans la décision de renvoi, à savoir la loi 25/2007, ait eu pour objet de transposer la directive 2006/24, laquelle a été abrogée à la suite de son invalidation par l’arrêt Digital Rights (70). Comme la juridiction de renvoi l’indique à juste titre, il serait inexact de considérer que les questions préjudicielles ici soumises à la Cour se trouvent dénuées de pertinence en raison de ladite invalidation. À ce sujet, il suffit de constater que la matière concernée par ces questions, à savoir la protection des données à caractère personnel, relève du domaine de compétence de l’Union et que le litige au principal est couvert par le champ d’application d’un acte du droit de l’Union, à savoir la directive 2002/58 (71), que la directive 2006/24 invalidée avait vocation à modifier.
65. Il peut d’ailleurs être observé que les parties ayant soumis des observations à la Cour partent très majoritairement du principe que la présente demande de décision préjudicielle doit être examinée au regard de l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7 et 8 de la Charte, ainsi que sur la base des enseignements découlant des arrêts Digital Rights et Tele2. Tel est également mon avis, étant précisé que l’expression « infractions pénales », et non « infractions graves », figure dans la directive 2002/58, uniquement audit article 15, paragraphe 1 (72).
66. En second lieu, le gouvernement espagnol soutient que l’article 7 de la Charte, qui constituerait l’élément central de la présente demande de décision préjudicielle, ne serait pas pertinent, aux motifs que la mesure d’enquête sollicitée dans l’affaire au principal ne viserait pas l’interception de communications et ne pourrait donc pas affecter la confidentialité des communications, de sorte que les questions posées seraient hypothétiques.
67. Pour ma part, j’estime que l’article 7 de la Charte est bien pertinent dans la présente affaire et que la demande de décision préjudicielle est, dès lors, dénuée de caractère hypothétique. S’il est vrai que, en l’espèce, il n’existe pas de risque de violation du droit au secret des communications, eu égard à l’objet de la mesure en cause au principal (73), il n’en demeure pas moins qu’une mesure de ce type est susceptible de porter atteinte au droit au respect de la vie privée qui est garanti par ladite disposition, même si cette atteinte est selon moi de faible ampleur (74).
68. En effet, ainsi que la Cour l’a déjà jugé de façon constante, la communication de données à caractère personnel à un tiers, telle qu’une autorité publique, constitue une ingérence dans le droit fondamental consacré à l’article 7 de la Charte, quelle que soit l’utilisation ultérieure des informations communiquées. Il en va de même de la conservation des données à caractère personnel, notamment par les fournisseurs de services de communications électroniques, ainsi que de l’accès auxdites données en vue de leur utilisation par les autorités publiques (75).
69. Partant, je suis d’avis que l’exception d’irrecevabilité soulevée par le gouvernement espagnol doit être rejetée et qu’il convient donc de se prononcer sur le fond de la demande de décision préjudicielle.
C. Sur les éléments requis pour devoir caractériser la gravité suffisante d’une infraction justifiant une ingérence dans les droits fondamentaux visés (première question)
70. Par sa première question, la juridiction de renvoi interroge la Cour, en substance, sur les éléments à prendre en compte afin d’établir que des infractions pénales sont d’une gravité suffisante pour justifier qu’il soit porté atteinte aux droits fondamentaux garantis par les articles 7 et 8 de la Charte, dans le cadre de la conservation de données à caractère personnel et de l’accès à celles‑ci, conformément à la jurisprudence issue de l’arrêt Digital Rights, suivi de l’arrêt Tele2.
71. À ce sujet, je rappelle que la notion d’« infractions graves » a été employée par la Cour dans l’arrêt Digital Rights (76), parfois en combinaison avec la notion de « criminalité grave » (77), en tant que critère de vérification de la finalité et de la proportionnalité de l’ingérence dans les droits fondamentaux susmentionnés qui était entraînée par des dispositions du droit de l’Union relatives aux données à caractère personnel, à savoir celles de la directive 2006/24. Je précise que cette notion, qui ne figure pas dans la directive 2002/58 (78), était utilisée dans la directive 2006/24 (79), dont l’invalidité faisait l’objet dudit arrêt. La Cour a par la suite fait usage de ces deux notions dans l’arrêt Tele2 (80), en tant que même critère d’appréciation, mais concernant cette fois la conformité au droit de l’Union (81) de dispositions adoptées par des États membres.
72. Plus précisément, la première question préjudicielle invite la Cour à dire si, aux fins d’apprécier l’existence d’une « infraction grave » susceptible de justifier une ingérence dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte exercée à l’égard de données à caractère personnel, il faut prendre en considération uniquement la peine encourue pour l’infraction litigieuse ou bien, au surplus, le caractère particulièrement préjudiciable du comportement délictueux à l’égard des intérêts juridiques individuels ou collectifs en jeu.
73. Toutefois, à l’instar de la Commission, j’estime que, avant de se prononcer sur cette question, il convient d’examiner si l’ingérence en cause dans un litige tel que celui au principal présente un degré de gravité suffisamment élevé pour qu’il soit exigé, en vertu du droit de l’Union, que cette ingérence soit justifiée par la lutte contre une infraction à caractère grave afin de pouvoir être admise. En effet, il m’apparaît que si tel n’est pas le cas, la Cour devrait procéder à une interprétation des dispositions pertinentes du droit de l’Union, non pas en s’en tenant à celle qui est sollicitée par la juridiction de renvoi, mais après avoir reformulé la première question posée (82) autant que nécessaire au regard des circonstances du litige au principal (83).
1. Sur la prise en compte de l’absence de gravité de l’ingérence litigieuse
74. Tout d’abord, il y a lieu d’établir que des opérations telles que celles en cause au principal sont bien susceptibles de porter atteinte aux droits fondamentaux garantis par les articles 7 et 8 de la Charte, et donc de constituer une ingérence dans ces droits, au sens de la jurisprudence issue des arrêts Digital Rights et Tele2.
75. Certes, comme les gouvernements espagnol et danois l’ont évoqué dans leur plaidoirie (84) et comme je l’ai déjà indiqué (85), les données auxquelles les autorités chargées de l’enquête pénale en cause souhaitent avoir accès semblent revêtir un caractère moins sensible que certaines autres catégories de données personnelles (86), sachant que la demande en cause apparaît porter sur les seuls prénom, nom et, éventuellement, adresse des individus ciblés par cette enquête, en tant qu’utilisateurs de numéros de téléphone activés depuis le téléphone mobile volé faisant l’objet de celle‑ci.
76. Cependant, j’estime que pour déterminer si des données à caractère personnel doivent être couvertes par la protection prévue par le droit de l’Union, et en particulier par la directive 2002/58 (87), il est indifférent de savoir si les informations visées par la demande de conservation ou de communication sont d’une sensibilité particulière ou non. En effet, ainsi que cela a été relevé dans le cadre des premiers travaux législatifs en la matière, « selon la finalité de son utilisation toute donnée relative à une personne, même apparemment inoffensive, peut avoir un caractère sensible (comme une simple adresse postale par exemple) » (88). De surcroît, la Cour a déjà jugé que, aux fins de caractériser l’existence d’une ingérence dans le droit fondamental consacré à l’article 7 de la Charte, « il importe peu que les informations relatives à la vie privée concernées présentent ou non un caractère sensible ou que les intéressés aient ou non subi d’éventuels inconvénients en raison de cette ingérence » (89).
77. Par ailleurs, je rappelle que la communication de données à caractère personnel à un tiers, même une autorité publique telle qu’un service de police judiciaire, constitue une ingérence dans le droit fondamental garanti à l’article 7 de la Charte (90), y compris si ces informations sont transmises à des fins d’enquête pénale, situation d’ailleurs expressément visée à l’article 15, paragraphe 1, de la directive 2002/58 (91). J’ajoute qu’une opération de ce type peut aussi porter atteinte au droit fondamental à la protection des données à caractère personnel garanti à l’article 8 de la Charte, puisqu’elle induit un traitement de données à caractère personnel (92).
78. Dès lors, je considère qu’il y a lieu de constater qu’une mesure telle que celle en cause au principal est constitutive d’une ingérence dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte.
79. Cependant, j’estime que, dans les circonstances de l’espèce, il manqueun élément essentiel ayant été retenu par la Cour pour exiger, au stade de la justification d’une telle ingérence, qu’il existe une « infraction grave » – notion dont la définition est demandée par la juridiction de renvoi –, aux fins de pouvoir déroger au principe de confidentialité des communications électroniques. L’élément qui fait défaut, selon moi, en l’espèce, pour qu’il soit répondu à la première question préjudicielle dans les termes employés par cette juridiction est celui de la gravité de l’ingérence litigieuse, facteur qui, s’il était présent, induirait la nécessité d’une justification renforcée.
80. À cet égard, je relève que, dans l’arrêt Digital Rights, la Cour a mis en exergue la vaste ampleur et le caractère particulièrement grave de l’ingérence qui était produite par la réglementation en cause, en relevant notamment que « la directive 2006/24 couvre de manière généralisée toute personne et tous les moyens de communication électronique ainsi que l’ensemble des données relatives au trafic sans qu’aucune différenciation, limitation ni exception soient opérées en fonction de l’objectif de lutte contre les infractions graves » (93).
81. De façon similaire, dans l’arrêt Tele2, la Cour a dit pour droit que « [l]’article 15, paragraphe 1, de la directive 2002/58 [...] s’oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique » (94). Un lien de corrélation a été fait également dans cet arrêt entre, d’une part, la particulière « gravité de l’ingérence » ainsi constatée et, d’autre part, la nécessité de justifier une atteinte d’une telle portée, envers les droits fondamentaux garantis par les articles 7 et 8 de la Charte, en se fondant sur un motif d’intérêt général aussi primordial que celui de la « lutte contre la criminalité grave » (95).
82. Cette mise en relation entre la gravité de l’ingérence constatée et la gravité du motif permettant de justifier celle‑ci a été opérée en adéquation avec le principe de proportionnalité (96). De surcroît, il m’apparaît que la Cour EDH a établi, dans sa jurisprudence relative à l’article 8 de la CEDH (97), un lien de corrélation équivalant à celui qui ressort, à mon sens, des arrêts Digital Rights et Tele2.
83. Or, comme je l’ai évoqué ci‑dessus (98) et comme l’ont souligné plus spécialement les gouvernements français et du Royaume‑Uni ainsi que la Commission, la nature de l’ingérence en cause dans le présent litige au principal est, à plusieurs titres, distincte de celles ayant été envisagées par la Cour dans ces deux précédents arrêts. L’examen de la conformité au droit de l’Union d’une mesure telle que celle ici concernée doit, dès lors, être effectué de manière différente.
84. En l’espèce, il ne s’agit pas d’une mesure relative à une obligation de conservation généralisée et indifférenciée des données relatives au trafic et à la localisation de n’importe quel abonné ou utilisateur inscrit qui concernerait tous les moyens de communication électronique. Il s’agit d’une mesure ciblée qui tend à une possibilité d’accès, par des autorités compétentes et pour les besoins d’une enquête pénale, à des données détenues à des fins commerciales par des prestataires de services et qui porte uniquement sur l’identité (nom, prénom et éventuellement adresse) d’une catégorie restreinte d’abonnés ou utilisateurs d’un moyen de communication spécifique, à savoir ceux dont le numéro de téléphone a été activé depuis le téléphone mobile dont le vol fait l’objet de l’enquête, et ce durant une période limitée, à savoir une douzaine de jours (99).
85. J’ajoute que les effets potentiellement nuisibles, pour les personnes visées par la demande d’accès en cause, sont à la fois modérés et encadrés. En effet, ayant vocation à être utilisées dans le cadre singulier d’une mesure d’investigation, les données demandées ne sont pas destinées à être divulguées au grand public (100). De surcroît, la faculté d’accès offerte aux autorités policières est entourée de garanties procédurales en vertu du droit espagnol, puisqu’elle donne lieu à un contrôle juridictionnel, qui a d’ailleurs conduit à un rejet de la requête policière dans le litige au principal.
86. L’ingérence dans les droits fondamentaux susmentionnés qui est entraînée par la communication de ces données d’identité civile, à mes yeux, ne revêt pas un caractère de particulière gravité (101), dès lors que des données d’une telle nature et d’une portée si limitée ne permettent pas, à elles seules, d’obtenir des renseignements variés et/ou précis sur les personnes concernées (102) et n’affectent donc pas directement et fortement l’intimité de leur vie privée dans ces circonstances particulières (103).
87. Partant, à l’instar de la Commission, j’estime que, afin de fournir à la juridiction de renvoi les indications pertinentes pour trancher le litige dont celle‑ci est saisie, il y a lieu de reformuler la première question préjudicielle de sorte que la réponse à venir de la Cour porte sur l’interprétation de l’article 15, paragraphe 1, de la directive 2002/58 au regard de circonstances telles que celles de l’espèce, à savoir en présence d’une ingérence dans les droits fondamentaux susmentionnés qui est dénuée d’une particulière gravité et fondée sur la lutte contre un type d’infractions pénales dont le caractère grave est mis en doute.
88. À cet égard, je rappelle que, dès lors que les objectifs susceptibles de justifier une réglementation nationale dérogeant au principe de confidentialité des communications électroniques sont énumérés de façon exhaustive à l’article 15, paragraphe 1, de la directive 2002/58, l’accès aux données conservées doit répondre effectivement et strictement à l’un desdits objectifs (104). Parmi ces derniers, figure l’objectif d’intérêt général d’« assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales » (105), sans autre précision quant à la nature de celles‑ci.
89. Il ressort de la terminologie ainsi employée qu’il n’est pas impératif que les infractions légitimant la mesure restrictive en cause, en vertu dudit article 15, paragraphe 1, puissent être qualifiées de « graves » au sens de la jurisprudence issue des arrêts Digital Rights et Tele2. À mon avis, c’est uniquement lorsque l’ingérence subie est d’une particulière gravité, comme dans les affaires ayant donné lieu auxdits arrêts, que les infractions susceptibles de justifier une telle ingérence doivent elles‑mêmes être d’une particulière gravité. En revanche, dans le cas d’une ingérence non grave, il y a lieu de revenir au principe de base résultant du libellé de cette disposition, à savoir que tout type d’« infractions pénales » est susceptible de justifier une telle ingérence.
90. Il convient, selon moi, de veiller à ne pas adopter une conception trop large des exigences posées par la Cour dans ces deux arrêts, afin de ne pas entraver, en tout cas pas excessivement, la possibilité des États membres de déroger au régime établi par la directive 2002/58, qui leur est octroyée par l’article 15, paragraphe 1, de celle‑ci, dans les cas où les intrusions dans la vie privée en cause ont à la fois une finalité légitime et une portée réduite, telles que celles pouvant être entraînées en l’espèce par la requête du service de police judiciaire. Plus concrètement, je suis d’avis que le droit de l’Union ne s’oppose pas à ce que des autorités compétentes puissent avoir accès aux données d’identification, détenues par des fournisseurs de services de communications électroniques, qui permettent de retrouver les auteurs supposés d’une infraction pénale ne revêtant pas de caractère grave.
91. En conséquence, je recommande à la Cour de répondre à la question préjudicielle, telle que reformulée, que l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7 et 8 ainsi que de l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens qu’une mesure permettant aux autorités nationales compétentes d’avoir accès, à des fins de lutte contre des infractions pénales, aux données d’identification des utilisateurs de numéros de téléphone activés depuis un téléphone mobile spécifique et durant une période limitée, en des circonstances telles que celles en cause au principal, entraîne une ingérence, dans les droits fondamentaux garantis par ladite directive et par la Charte, qui n’atteint pas un niveau de gravité suffisant pour qu’il faille réserver un tel accès aux cas dans lesquels l’infraction concernée revêt un caractère grave.
92. Eu égard à la réponse ainsi proposée, l’ensemble des observations qui suivent seront présentées seulement à titre subsidiaire, dans le but d’être complet.
2. Sur la détermination éventuelle des critères pertinents pour caractériser la gravité suffisante d’une infraction
93. Au cas où la Cour jugerait, contrairement à ce que je préconise, qu’il y a lieu, nonobstant les circonstances bien particulières du présent litige au principal, de déterminer, dans la présente affaire, ce qu’il faut entendre par une « infraction grave » au sens de la jurisprudence issue des arrêts Digital Rights et Tele2 (106), il conviendrait encore de s’interroger, en premier lieu, sur le point de savoir si cette qualification constitue bien une notion autonome du droit de l’Union, qu’il appartiendrait donc à la Cour de définir. Or, à l’instar de la réponse proposée à titre principal par le gouvernement français, telle n’est pas ma conviction, pour les motifs qui suivent.
94. Tout d’abord, j’observe que la directive 2006/24, d’où l’usage de la notion d’« infraction grave » provient (107), ne contenait pas de définition de celle‑ci, mais renvoyait à ce sujet aux ordres juridiques des États membres (108). J’ajoute que les considérations pertinentes qui figurent dans les arrêts Digital Rights et Tele2 ne doivent pas être comprises, selon moi, comme tendant à harmoniser les règles de droit en vigueur dans les États membres qui concernent la teneur de cette notion.
95. À cet égard, je rappelle que la législation pénale et les règles de la procédure pénale relèvent de la compétence des États membres, même si l’ordre juridique de ces derniers peut néanmoins être affecté par les dispositions du droit de l’Union adoptées en ce domaine (109). Aux termes de l’article 83, paragraphe 2, TFUE, c’est seulement dans les cas où l’harmonisation du droit pénal des États membres s’avère indispensable pour la mise en œuvre efficace d’une politique de l’Union, dans un domaine ayant fait l’objet de mesures d’harmonisation, que l’Union peut adopter des directives visant à établir des règles minimales relatives à la définition des infractions pénales et des sanctions dans le domaine concerné. Or, en l’état actuel du droit de l’Union, il n’existe pas de disposition à portée générale qui donnerait une définition harmonisée de la notion d’« infraction grave » (110).
96. Il m’apparaît que le pouvoir de déterminer ce qui constitue une « infraction pénale grave » appartient, en principe, aux autorités compétentes des États membres. Néanmoins, grâce aux renvois préjudiciels dont les juridictions des États membres peuvent la saisir, la Cour est chargée de veiller au respect de toutes les exigences résultant du droit de l’Union, et notamment d’assurer une application cohérente de la protection offerte par les dispositions de la Charte.
97. Je relève que la qualification juridique en question est susceptible non seulement de varier d’un État membre à un autre, en fonction des traditions suivies et des priorités définies par chacun d’entre eux, mais également de fluctuer dans le temps, en fonction des orientations qui sont données à la politique pénale, vers plus ou bien moins de sévérité, pour tenir compte de l’évolution de la criminalité (111) ainsi que, plus généralement, des transformations de la société et des besoins existant, notamment en termes de répression pénale, au plan national.
98. En outre, je souligne que, sachant qu’il existe de grandes différences entre les barèmes de sanctions qui sont traditionnellement applicables dans les divers États membres (112), la gravité d’une infraction ne tient pas seulement à l’importance de la peine y afférente. Le point de savoir si une infraction revêt un caractère grave est très relatif, en ce sens qu’il dépend de l’échelle des sanctions qui sont en général appliquées dans l’État membre concerné. Ainsi, le fait qu’un État membre prévoie une peine d’emprisonnement peu élevée, voire une peine alternative à l’emprisonnement, ne préjuge pas pour autant de la gravité intrinsèque du type d’infraction concerné (113).
99. Il y a lieu, selon moi, de respecter les spécificités du système de droit pénal de chacun des États membres, pour autant que le droit de l’Union ne fixe pas des obligations liant ces derniers de façon stricte, par analogie avec ce que la Cour a jugé s’agissant de la sauvegarde de la sécurité publique (114), notion voisine à mes yeux de la notion de lutte contre la criminalité grave, notamment eu égard au libellé de l’article 15, paragraphe 1, première phrase, de la directive 2002/58.
100. En conséquence, je suis d’avis, à titre subsidiaire, que la notion d’« infraction grave » au sens de la jurisprudence de la Cour issue des arrêts Digital Rights et Tele2 ne constitue pas une notion autonome du droit de l’Union dont la teneur devrait être définie par la Cour, même s’il n’en demeure pas moins que la dérogation prévue à l’article 15, paragraphe 1, de la directive 2002/58 doit être mise en œuvre par les États membres conformément aux obligations découlant du droit de l’Union, notamment des droits fondamentaux garantis par la Charte, et ce, sous le contrôle de la Cour.
101. À ce dernier sujet, je relève qu’il ressort de la jurisprudence de la Cour, en particulier, que ledit article 15, paragraphe 1, en ce qu’il permet aux États membres de limiter la portée de certains droits et obligations prévus par cette directive, doit faire l’objet d’une interprétation stricte et ne saurait donc conduire à ce que la dérogation à ces droits et obligations de principe devienne la règle (115). Partant, la portée de ladite notion d’« infraction grave » ne saurait être entendue de façon excessivement large par les États membres.
102. En second lieu, et à titre infiniment subsidiaire, dans l’hypothèse où la Cour considérerait que ladite notion est autonome, elle devrait alors répondre à la question telle que formulée par la juridiction de renvoi et, partant, se prononcer sur la détermination des critères permettant d’apprécier, au niveau du droit de l’Union, si une infraction pénale revêt un caractère de gravité suffisant pour justifier une atteinte aux droits fondamentaux consacrés aux articles 7 et 8 de la Charte.
103. Plus précisément, la Cour devrait déterminer si, pour établir l’existence d’une « infraction grave » au sens de ladite jurisprudence, il est suffisant de se fonder sur la peine prévue pour l’infraction alléguée ou s’il faut, en outre, que le comportement délictueux ait été particulièrement préjudiciable pour les intérêts juridiques individuels ou collectifs en jeu. À cet égard, il conviendrait selon moi, de même que selon les gouvernements danois, espagnol, français, hongrois, autrichien, polonais et du Royaume‑Uni, d’opter non pas pour la première branche de cette alternative, mais pour sa seconde branche en substance, en privilégiant une définition basée sur une pluralité de critères d’appréciation (116).
104. S’agissant de la gravité de l’infraction susceptible de justifier l’accès aux données, il serait à mon avis, eu égard au principe de proportionnalité, impossible de déterminer la gravité des faits incriminés en prenant en compte seulement la peine susceptible d’être infligée. En effet, étant donné les différences notables qui existent encore entre les systèmes répressifs des États membres, j’estime que la sanction encourue ne saurait être considérée comme pouvant refléter à elle seule, que ce soit sous l’angle qualitatif du type de peine et/ou sous l’angle quantitatif du niveau de peine, la particulière gravité d’une infraction pénale.
105. Même si la peine revêt une importance considérable, d’autres facteurs objectifs doivent tout autant entrer en ligne de compte, au cas par cas, à ce titre. Il s’agit plus spécialement, d’une part, du contexte dans lequel s’inscrit l’infraction alléguée – en ce que le comportement délictueux revêt un caractère intentionnel, est entouré de circonstances aggravantes et/ou a été commis en état de récidive légale –, d’autre part, de l’importance des intérêts de la société ayant pu être méconnus par l’auteur de l’infraction ainsi que de la nature et/ou de l’ampleur des préjudices ayant pu être subis par la victime de cette dernière (117), et, enfin, de l’échelle des peines applicables en général dans l’État membre concerné (118). C’est à partir de ce faisceau de critères d’appréciation, alternatifs et non exhaustifs, qu’il y aurait lieu, à mon avis, de qualifier éventuellement une infraction pénale de « grave » au sens de la jurisprudence de la Cour en question.
106. J’ajoute que l’interprétation ainsi proposée est conforme à l’approche qui m’apparaît avoir été adoptée par la Cour EDH dans sa jurisprudence relative à la « prévention des infractions pénales », en tant qu’objectif qui permet de justifier une ingérence dans le droit à la vie privée consacré à l’article 8 de la CEDH sous réserve que d’autres conditions soient aussi remplies (119). Il ressort, à mes yeux, de cette jurisprudence que la lutte contre certaines catégories d’infractions peut valablement être invoquée dans ce cadre, par les États parties à la CEDH (120), au regard non pas tant seulement de la peine encourue, mais plutôt de divers facteurs d’évaluation, parmi lesquels figurent, en bonne place, la nature des infractions en cause ainsi que les intérêts publics et privés mis en présence par celles‑ci (121).
107. Par conséquent, je suis d’avis que si la notion d’« infraction grave » au sens de la jurisprudence issue des arrêts Digital Rights et Tele2 était considérée par la Cour comme constituant une notion autonome du droit de l’Union, elle devrait être interprétée en ce sens que le caractère grave d’une infraction, susceptible de justifier l’accès des autorités nationales compétentes à des données personnelles en vertu de l’article 15, paragraphe 1, de la directive 2002/58, doit être mesuré non pas en tenant compte uniquement de la peine susceptible d’être infligée, mais en tenant compte au surplus d’un ensemble d’autres critères objectifs d’appréciation, tels que ceux ci‑dessus mentionnés.
D. Sur la définition subsidiaire du niveau minimal de peine requis pour caractériser la gravité suffisante d’une infraction justifiant une ingérence dans les droits fondamentaux visés (seconde question)
108. Par sa seconde question, la juridiction de renvoi, en substance, invite la Cour, d’une part, à identifier le niveau minimal que la peine encourue devrait atteindre pour qu’une infraction pénale puisse être qualifiée de « grave », au sens de la jurisprudence issue des arrêts Digital Rights et Tele2, ainsi que, d’autre part, à dire si un seuil de trois ans d’emprisonnement, tel que prévu dans le code de procédure pénale espagnol depuis la réforme intervenue en 2015 (122), est conforme aux exigences du droit de l’Union.
109. Ces interrogations sont soumises seulement à titre subsidiaire, dans l’hypothèse où la Cour jugerait, en réponse à la première question préjudicielle, que le caractère grave d’une infraction pénale, facteur pouvant justifier une ingérence dans des droits fondamentaux en vertu de ladite jurisprudence, doit être déterminé en tenant compte uniquement du quantum de la peine privative de liberté qui est susceptible d’être infligée.
110. Eu égard à la réponse que je propose d’apporter à la première question préjudicielle, il n’y aura selon moi pas lieu pour la Cour de statuer sur la seconde question. Néanmoins, j’entends présenter des observations à ce sujet, par souci d’exhaustivité.
111. S’agissant de la première partiede la seconde question, j’estime, à l’instar notamment des gouvernements tchèque et estonien, que le niveau de peine encourue qui permettrait à lui seul de qualifier une infraction de « grave » ne saurait être déterminé de façon uniforme pour l’ensemble du territoire de l’Union, eu égard aux considérations ci‑dessus indiquées en réponse à la première question posée par la juridiction de renvoi (123).
112. D’ailleurs, cette variation dans la définition de ce qu’il faut entendre par une « infraction grave », et plus particulièrement quant au seuil de la peine à partir duquel cette qualification serait acquise, est également présente dans les actes du droit de l’Union. En effet, il peut être constaté que des actes de l’Union adoptés sur le fondement de l’article 83, paragraphe 1, TFUE prévoient des peines d’emprisonnement établies à des niveaux différents pour des infractions pourtant toutes considérées comme relevant d’une « criminalité particulièrement grave » (124), comme cela ressort, à titre d’illustration, de l’article 3 de la directive 2011/92/UE (125) et de l’article 15 de la directive (UE) 2017/541 (126), instruments relatifs, respectivement, à la lutte contre les abus sexuels commis sur des enfants et à la lutte contre le terrorisme. Ainsi, le législateur de l’Union lui‑même n’a pas opté pour une définition uniforme de la notion d’« infraction grave » au regard d’un quantum déterminé de peine encourue.
113. Je rappelle que la liberté laissée aux États membres de décider du niveau minimal de peine requis pour que des infractions pénales soient dites « graves » est encadrée par les normes figurant dans les dispositions du droit de l’Union en la matière, mais aussi par le principe en vertu duquel une exception ne peut se voir conférer une ampleur si vaste qu’elle deviendrait de fait la règle générale (127).
114. En l’occurrence, même si chaque État membre a la faculté d’apprécier quel est le seuil de peine adéquat pour caractériser une infraction grave, il a cependant le devoir de ne pas fixer celui‑ci à un échelon tellement bas, au regard du niveau habituel des peines applicables dans cet État (128), que les exceptions à l’interdiction de stocker et d’exploiter les données à caractère personnel qui sont prévues à cet article 15, paragraphe 1, seraient muées en principes, ainsi que le gouvernement irlandais l’a noté à juste titre.
115. De surcroît, il est constant que les ingérences dans les droits garantis par les articles 7 et 8 de la Charte, qui pourraient être autorisées par les États membres en vertu de l’article 15, paragraphe 1, de la directive 2002/58, restent, de surcroît, toujours subordonnées au respect des exigences générales découlant du principe de proportionnalité, tel qu’énoncé à l’article 52, paragraphe 1, de la Charte (129).
116. S’agissant de la dernière partiede la seconde question, le gouvernement estonien et la Commission indiquent, d’une part, qu’un seuil fondé exclusivement sur une peine d’au moins trois ans d’emprisonnement apparaît, dans l’absolu, être suffisant pour qualifier une infraction de « grave », au sens de la jurisprudence de la Cour relative à l’accès aux données personnelles issue de l’arrêt Digital Rights, et, d’autre part, qu’un tel seuil n’est pas manifestement incompatible avec le droit de l’Union en général (130), et plus particulièrement avec l’article 15, paragraphe 1, de la directive 2002/58.
117. Cependant, il serait, à mon avis, souhaitable que la Cour s’abstienne de prendre position en faveur d’un quantum précis de peine encourue, car ce qui est adapté pour certains États membres ne le sera pas forcément pour d’autres et ce qui vaut à ce jour pour un type d’infractions ne vaudra pas nécessairement de façon irrévocable à l’avenir, ainsi que l’ai déjà mentionné (131). Dès lors qu’une détermination du seuil en question requiert une évaluation complexe et potentiellement évolutive, il convient selon moi de rester prudent à ce sujet et de réserver cette opération à l’appréciation du législateur de l’Union, dans la sphère des compétences conférées à celle‑ci, ou à l’appréciation du législateur de chaque État membre, dans les limites des exigences résultant du droit de l’Union.
118. À ce dernier égard, je relève que, en l’espèce, la juridiction de renvoi fait état d’un risque d’inversion entre la règle générale et les dérogations prévues par la directive 2002/58, risque évoqué ci‑dessus (132), lorsqu’elle indique que « le seuil de trois ans de prison [introduit en 2015 par le législateur espagnol (133)] concerne une grande majorité des qualifications pénales ». Autrement dit, d’après cette juridiction, la liste actuelle des infractions susceptibles de justifier, en Espagne, des restrictions aux droits protégés en vertu des articles 7 et 8 de la Charte, qui a été instaurée par la réforme du code de procédure pénale, conduirait, en pratique, à ce que la majeure partie des infractions prévues au code pénal soient incluses dans ladite liste.
119. Or, à supposer que l’ingérence en cause au principal soit considérée comme grave par la Cour et à supposer que le résultat ainsi évoqué par la juridiction de renvoi soit avéré, ce dernier serait à mes yeux non conforme à l’obligation de proportionnalité à laquelle de telles restrictions sont soumises (134). Il en va ainsi, selon moi, nonobstant l’existence d’un contrôle juridictionnel, invoquée par le gouvernement espagnol, puisque l’exercice de ce contrôle permet seulement d’empêcher la mise en œuvre de mesures jugées, au cas par cas, arbitraires ou trop intrusives, et non de freiner, d’une façon généralisée, le recours à des mesures de ce type et leur développement.
120. Enfin, je souligne que l’approche proposée dans l’ensemble de la présente section concorde, à mon sens, avec celle retenue par la Cour EDH dans sa jurisprudence relative à la protection des données personnelles. Certes, comme l’évoquent le gouvernement irlandais et la Commission, cette juridiction a jugé suffisamment claires des législations nationales qui définissaient les infractions « graves », susceptibles de justifier une ingérence dans la vie privée, en se référant à une peine encourue égale ou supérieure à trois ans d’emprisonnement (135). Néanmoins, je considère qu’elle n’a pas érigé ledit quantum de peine en critère absolu et figé aux fins de cette définition, sachant que sa jurisprudence m’apparaît centrée sur l’exigence d’une prévisibilité et d’une clarté suffisantes pour les citoyens au regard non pas tant de la peine encourue, mais plutôt de la nature des infractions permettant une telle ingérence (136). Par ailleurs, si la Cour EDH reconnaît aux États une certaine latitude pour apprécier l’existence et l’étendue de la nécessité d’une telle ingérence, elle soumet toutefois cette marge d’appréciation à un contrôle au niveau européen (137). En particulier, elle veille à prévenir les risques d’abus induits par des législations renvoyant à un éventail d’infractions tellement large qu’elles aboutissent à ce que la plupart des infractions permettent de justifier des mesures intrusives (138).
121. En conclusion, j’estime que, dans l’hypothèse où la Cour jugerait – contrairement à ce que je préconise – qu’il y a lieu de tenir compte uniquement de la peine encourue pour qualifier une infraction pénale de « grave » au sens de sa jurisprudence issue de l’arrêt Digital Rights, il conviendrait alors de répondre à la seconde question préjudicielle que les États membres sont libres de fixer le niveau minimal de la peine pertinente à cette fin, pour autant qu’ils se conforment aux exigences résultant du droit de l’Union, et en particulier celles selon lesquelles les ingérences dans les droits fondamentaux garantis aux articles 7 et 8 de la Charte doivent rester exceptionnelles et respecter le principe de proportionnalité.
V. Conclusion
122. Au vu des considérations qui précèdent, je propose à la Cour de répondre aux questions préjudicielles posées par l’Audiencia Provincial de Tarragona (cour provinciale de Tarragone, Espagne) de la manière suivante :
L’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lu à la lumière des articles 7 et 8 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’une mesure permettant aux autorités nationales compétentes d’avoir accès, à des fins de lutte contre des infractions pénales, aux données d’identification des utilisateurs des numéros de téléphone activés depuis un téléphone mobile spécifique et durant une période limitée, dans des circonstances telles que celles en cause au principal, entraîne une ingérence, dans les droits fondamentaux garantis par ladite directive et par la Charte, qui n’atteint pas un niveau de gravité suffisant pour qu’il faille réserver un tel accès aux cas dans lesquels l’infraction concernée revêt un caractère grave.