Language of document : ECLI:EU:C:2016:970

Affaires jointes C203/15 et C698/15

Tele2 Sverige ABcontrePost- och telestyrelsen

et

Secretary of State for the Home DepartmentcontreTom Watson e.a.

[demandes de décision préjudicielle, introduites par le Kammarrätten i Stockholm et la Court of Appeal (England & Wales) (Civil Division)]

« Renvoi préjudiciel – Communications électroniques – Traitement des données à caractère personnel – Confidentialité des communications électroniques – Protection – Directive 2002/58/CE – Articles 5, 6 et 9 ainsi que article 15, paragraphe 1 – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8 et 11 ainsi que article 52, paragraphe 1 – Législation nationale – Fournisseurs de services de communications électroniques – Obligation portant sur la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation – Autorités nationales – Accès aux données – Absence de contrôle préalable par une juridiction ou une autorité administrative indépendante – Compatibilité avec le droit de l’Union »

Sommaire – Arrêt de la Cour (grande chambre) du 21 décembre 2016

1.        Rapprochement des législations – Secteur des télécommunications – Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques – Directive 2002/58 – Faculté pour les États membres de limiter la portée de certains droits et obligations – Champ d’application – Mesure législative imposant aux fournisseurs de services de communications électroniques de conserver les données relatives au trafic et les données de localisation des utilisateurs – Inclusion

(Directive du Parlement européen et du Conseil 2002/58, telle que modifiée par la directive 2009/136, art. 5, § 1, et 15, § 1)

2.        Rapprochement des législations – Secteur des télécommunications – Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques – Directive 2002/58 – Faculté pour les États membres de limiter la portée de certains droits et obligations – Interprétation stricte – Motifs pouvant justifier l’adoption d’une limitation – Caractère exhaustif

(Directive du Parlement européen et du Conseil 2002/58, telle que modifiée par la directive 2009/136, art. 5, § 1, et 15, § 1)

3.        Rapprochement des législations – Secteur des télécommunications – Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques – Directive 2002/58 – Faculté pour les États membres de limiter la portée de certains droits et obligations – Réglementation nationale prévoyant une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation des utilisateurs, à des fins de lutte contre la criminalité – Inadmissibilité – Ingérence grave dans les droits au respect de la vie privée, de la protection des données à caractère personnel et de la liberté d’expression

(Charte des droits fondamentaux de l’Union européenne, art. 7, 8, 11 et 52, § 1 ; directive du Parlement européen et du Conseil 2002/58, telle que modifiée par la directive 2009/136, art. 15, § 1)

4.        Rapprochement des législations – Secteur des télécommunications – Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques – Directive 2002/58 – Faculté pour les États membres de limiter la portée de certains droits et obligations – Réglementation nationale permettant la conservation ciblée des données relatives au trafic et des données de localisation des utilisateurs, à des fins de lutte contre la criminalité grave – Admissibilité – Conditions

(Charte des droits fondamentaux de l’Union européenne, art. 7, 8, 11 et 52, § 1 ; directive du Parlement européen et du Conseil 2002/58, telle que modifiée par la directive 2009/136, art. 15, § 1)

5.        Rapprochement des législations – Secteur des télécommunications – Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques – Directive 2002/58 – Faculté pour les États membres de limiter la portée de certains droits et obligations – Réglementation nationale régissant la protection et la sécurité des données relatives au trafic et aux données de localisation des utilisateurs – Possibilité pour les autorités nationales d’accéder auxdites données sans contrôle juridictionnel ou administratif préalable – Inadmissibilité – Absence d’obligation, pour les fournisseurs de services de communications électroniques, de conserver ces données sur le territoire de l’Union – Inadmissibilité

(Charte des droits fondamentaux de l’Union européenne, art. 7, 8, 11 et 52, § 1 ; directives du Parlement européen et du Conseil 95/46, art. 22, et 2002/58, telle que modifiée par la directive 2009/136, art. 15, § 1 et 2)

6.        Droits fondamentaux – Convention européenne des droits de l’homme – Instrument non formellement intégré à l’ordre juridique de l’Union

(Art. 6, § 3, TUE ; charte des droits fondamentaux de l’Union européenne, art. 52, § 3)

7.        Questions préjudicielles – Compétence de la Cour – Limites – Questions générales ou hypothétiques – Question présentant un caractère abstrait et purement hypothétique au regard de l’objet du litige au principal – Irrecevabilité

(Art. 267 TFUE)

1.      L’article 15, paragraphe 1, de la directive 2002/58, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136, autorise les États membres à adopter, dans le respect des conditions qu’il prévoit, des mesures législatives visant à limiter la portée des droits et des obligations prévues aux articles 5 et 6, à l’article 8, paragraphes 1 à 4, et à l’article 9 de cette directive.

Relève, en particulier, du champ d’application de cette disposition une mesure législative qui impose aux fournisseurs de services de communications électroniques de conserver les données relatives au trafic et les données de localisation, puisqu’une telle activité implique nécessairement un traitement, par ceux-ci, de données à caractère personnel. Relève également dudit champ d’application une mesure législative portant sur l’accès des autorités nationales aux données conservées par lesdits fournisseurs. En effet, la protection de la confidentialité des communications électroniques et des données relatives au trafic y afférentes, garantie à l’article 5, paragraphe 1, de la directive 2002/58, s’applique aux mesures prises par toutes les personnes autres que les utilisateurs, qu’il s’agisse de personnes ou d’entités privées ou d’entités étatiques.

(voir points 71, 75-77)

2.      L’article 15, paragraphe 1, de la directive 2002/58, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136, permet aux États membres d’introduire des exceptions à l’obligation de principe, énoncée à l’article 5, paragraphe 1, de cette directive, de garantir la confidentialité des données à caractère personnel ainsi qu’aux obligations correspondantes, mentionnées notamment aux articles 6 et 9 de ladite directive. Néanmoins, en ce que l’article 15, paragraphe 1, de la directive 2002/58 permet aux États membres de limiter la portée de ladite obligation de principe, il est d’interprétation stricte. Une telle disposition ne saurait donc justifier que la dérogation à cette obligation de principe et, en particulier, à l’interdiction de stocker ces données, prévue à l’article 5 de cette directive, devienne la règle, sauf à vider largement cette dernière disposition de sa portée.

À cet égard, l’article 15, paragraphe 1, première phrase, de la directive 2002/58 prévoit que les mesures législatives qu’il vise et qui dérogent au principe de confidentialité des communications et des données relatives au trafic y afférentes doivent avoir pour objectif de sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État –, la défense et la sécurité publique, ou d’assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, ou doivent poursuivre un des autres objectifs visés à l’article 13, paragraphe 1, de la directive 95/46, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Une telle énumération d’objectifs revêt un caractère exhaustif ainsi qu’il ressort de l’article 15, paragraphe 1, deuxième phrase, de cette dernière directive, aux termes duquel les mesures législatives doivent être justifiées par un des motifs énoncés à l’article 15, paragraphe 1, première phrase, de ladite directive. Partant, les États membres ne sauraient adopter de telles mesures à d’autres fins que celles énumérées à cette dernière disposition.

(voir points 88-90)

3.      L’article 15, paragraphe 1, de la directive 2002/58, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique.

En effet, prises dans leur ensemble, de telles données sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci. En particulier, ces données fournissent les moyens d’établir le profil des personnes concernées, information tout aussi sensible, au regard du droit au respect de la vie privée, que le contenu même des communications. L’ingérence que comporte une telle réglementation dans les droits fondamentaux consacrés aux articles 7 et 8 de la charte s’avère d’une vaste ampleur et doit être considérée comme particulièrement grave. La circonstance que la conservation des données est effectuée sans que les utilisateurs des services de communications électroniques en soient informés est susceptible de générer dans l’esprit des personnes concernées le sentiment que leur vie privée fait l’objet d’une surveillance constante. Même si une telle réglementation n’autorise pas la conservation du contenu d’une communication et, partant, n’est pas de nature à porter atteinte au contenu essentiel desdits droits, la conservation des données relatives au trafic et des données de localisation pourrait toutefois avoir une incidence sur l’utilisation des moyens de communication électronique et, en conséquence, sur l’exercice par les utilisateurs de ces moyens de leur liberté d’expression, garantie à l’article 11 de la charte.

Eu égard à la gravité de l’ingérence dans les droits fondamentaux en cause que constitue une telle réglementation nationale, seule la lutte contre la criminalité grave est susceptible de justifier une telle mesure. Toutefois, si l’efficacité de la lutte contre la criminalité grave, notamment contre la criminalité organisée et le terrorisme, peut dépendre dans une large mesure de l’utilisation des techniques modernes d’enquête, un tel objectif d’intérêt général, pour fondamental qu’il soit, ne saurait à lui seul justifier qu’une réglementation nationale prévoyant la conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation soit considérée comme nécessaire aux fins de ladite lutte. D’une part, une telle réglementation a pour effet que la conservation des données relatives au trafic et des données de localisation est la règle, alors que le système mis en place par la directive 2002/58 exige que cette conservation des données soit l’exception. D’autre part, une telle réglementation nationale, qui couvre de manière généralisée tous les abonnés et utilisateurs inscrits et vise tous les moyens de communication électronique ainsi que l’ensemble des données relatives au trafic, ne prévoit aucune différenciation, limitation ou exception en fonction de l’objectif poursuivi. Elle s’applique même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions pénales graves. Une telle réglementation excède donc les limites du strict nécessaire et ne saurait être considérée comme étant justifiée, dans une société démocratique, ainsi que l’exige l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte.

(voir points 99-105, 107, 112, disp. 1)

4.      L’article 15, paragraphe 1, de la directive 2002/58, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, ne s’oppose pas à ce qu’un État membre adopte une réglementation permettant, à titre préventif, la conservation ciblée des données relatives au trafic et des données de localisation, à des fins de lutte contre la criminalité grave, à condition que la conservation des données soit, en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue, limitée au stricte nécessaire.

Pour satisfaire à ces exigences, cette réglementation nationale doit, en premier lieu, prévoir des règles claires et précises régissant la portée et l’application d’une telle mesure de conservation des données et imposant un minimum d’exigences, de telle sorte que les personnes dont les données ont été conservées disposent de garanties suffisantes permettant de protéger efficacement leurs données à caractère personnel contre les risques d’abus. Elle doit en particulier indiquer en quelles circonstances et sous quelles conditions une mesure de conservation des données peut, à titre préventif, être prise, garantissant ainsi qu’une telle mesure soit limitée au stricte nécessaire.

En second lieu, s’agissant des conditions matérielles auxquelles doit satisfaire une telle réglementation nationale, afin de garantir qu’elle soit limitée au strict nécessaire, si ces conditions peuvent varier en fonction des mesures prises aux fins de la prévention, de la recherche, de la détection et de la poursuite de la criminalité grave, la conservation des données n’en doit pas moins toujours répondre à des critères objectifs, établissant un rapport entre les données à conserver et l’objectif poursuivi. En particulier, de telles conditions doivent s’avérer, en pratique, de nature à délimiter effectivement l’ampleur de la mesure et, par suite, le public concerné. S’agissant de cette délimitation, la réglementation nationale doit être fondée sur des éléments objectifs permettant de viser un public dont les données sont susceptibles de révéler un lien, au moins indirect, avec des actes de criminalité grave, de contribuer d’une manière ou d’une autre à la lutte contre la criminalité grave ou de prévenir un risque grave pour la sécurité publique. Une telle délimitation peut être assurée au moyen d’un critère géographique lorsque les autorités nationales compétentes considèrent, sur la base d’éléments objectifs, qu’il existe, dans une ou plusieurs zones géographiques, un risque élevé de préparation ou de commission de tels actes.

(voir points 108-111)

5.      L’article 15, paragraphe 1, de la directive 2002/58, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale régissant la protection et la sécurité des données relatives au trafic et des données de localisation, en particulier l’accès des autorités nationales compétentes aux données conservées, sans limiter, dans le cadre de la lutte contre la criminalité, cet accès aux seules fins de lutte contre la criminalité grave, sans soumettre ledit accès à un contrôle préalable par une juridiction ou une autorité administrative indépendante, et sans exiger que les données en cause soient conservées sur le territoire de l’Union.

À cet égard, afin de garantir que l’accès des autorités nationales compétentes aux données conservées soit limité au strict nécessaire, il appartient, certes, au droit national de déterminer les conditions dans lesquelles les fournisseurs de services de communications électroniques doivent accorder un tel accès. Toutefois, la réglementation nationale concernée ne saurait se limiter à exiger que l’accès réponde à l’un des objectifs visés à l’article 15, paragraphe 1, de la directive 2002/58, fût-ce la lutte contre la criminalité grave. En effet, une telle réglementation nationale doit également prévoir les conditions matérielles et procédurales régissant l’accès des autorités nationales compétentes aux données conservées. Ainsi, et dès lors qu’un accès général à toutes les données conservées, indépendamment d’un quelconque lien, à tout le moins indirect, avec le but poursuivi, ne saurait être considéré comme limité au strict nécessaire, la réglementation nationale concernée doit se fonder sur des critères objectifs pour définir les circonstances et les conditions dans lesquelles doit être accordé aux autorités nationales compétentes l’accès aux données des abonnés ou des utilisateurs inscrits. À cet égard, un accès ne saurait, en principe, être accordé, en relation avec l’objectif de lutte contre la criminalité, qu’aux données de personnes soupçonnées de projeter, de commettre ou d’avoir commis une infraction grave ou encore d’être impliquées d’une manière ou d’une autre dans une telle infraction. Toutefois, dans des situations particulières, telles que celles dans lesquelles les intérêts vitaux de la sécurité nationale, de la défense ou de la sécurité publique sont menacés par des activités de terrorisme, l’accès aux données d’autres personnes pourrait également être accordé lorsqu’il existe des éléments objectifs permettant de considérer que ces données pourraient, dans un cas concret, apporter une contribution effective à la lutte contre de telles activités.

Aux fins de garantir, en pratique, le plein respect de ces conditions, il est essentiel que l’accès des autorités nationales compétentes aux données conservées soit, en principe, sauf cas d’urgence dûment justifiés, subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante, et que la décision de cette juridiction et de cette entité intervienne à la suite d’une demande motivée de ces autorités présentée, notamment, dans le cadre de procédures de prévention, de détection ou de poursuites pénales. De même, il importe que les autorités nationales compétentes auxquelles l’accès aux données conservées a été accordé, en informent les personnes concernées, dans le cadre des procédures nationales applicables, dès le moment où cette communication n’est pas susceptible de compromettre les enquêtes menées par ces autorités. En effet, cette information est, de fait, nécessaire pour permettre à celles-ci d’exercer, notamment, le droit de recours, explicitement prévu à l’article 15, paragraphe 2, de la directive 2002/58, lu en combinaison avec l’article 22 de la directive 95/46, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, en cas de violation de leurs droits.

En outre, compte tenu de la quantité de données conservées, du caractère sensible de ces données ainsi que du risque d’accès illicite à celles-ci, les fournisseurs de services de communications électroniques doivent, aux fins d’assurer la pleine intégrité et la confidentialité desdites données, garantir un niveau particulièrement élevé de protection et de sécurité par des mesures techniques et organisationnelles appropriées. En particulier, la réglementation nationale doit prévoir la conservation sur le territoire de l’Union ainsi que la destruction irrémédiable des données au terme de la durée de conservation de celles-ci.

(voir points 118-122, 125, disp. 2)

6.      Voir le texte de la décision.

(voir points 127-129)

7.      Voir le texte de la décision.

(voir point 130)