CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2008:558

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. Yves Bot

présentées le 14 octobre 2008 (1)

Affaire C‑301/06

Irlande

contre

Parlement européen,

Conseil de l’Union européenne

«Recours en annulation – Directive 2006/24/CE – Communications électroniques – Conservation de données – Choix de la base juridique – Article 95 CE – Titre VI du traité UE»

1. Le contentieux relatif au choix de la base juridique a récemment donné lieu à plusieurs arrêts dans lesquels la Cour a dû faire le partage entre les domaines relevant respectivement des compétences de la Communauté européenne et de celles de l’Union européenne (2).

2. La répartition des compétences au sein d’une structure constitutionnelle comprenant trois piliers, à savoir un pilier communautaire et deux piliers dont la dimension intergouvernementale est plus marquée, est génératrice de ce type de contentieux dans lequel la Cour a la délicate et complexe mission de tracer la ligne de démarcation entre les domaines d’actions appartenant au législateur communautaire et ceux attribués au législateur de l’Union.

3. Dans la présente affaire, la Cour est invitée à préciser la frontière entre le pilier communautaire et le troisième pilier, c’est‑à‑dire le titre VI du traité UE, relatif à la coopération policière et judiciaire en matière pénale.

4. Par son recours, l’Irlande demande à la Cour d’annuler la directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE (3), au motif qu’elle n’a pas été adoptée sur le fondement d’une base juridique appropriée.

5. L’Irlande, soutenue par la République slovaque, considère, en effet, que la seule base juridique pouvant valablement fonder les mesures contenues dans la directive 2006/24 figure non pas à l’article 95 CE, mais au sein du titre VI du traité UE consacré à la coopération policière et judiciaire en matière pénale, en particulier aux articles 30 UE, 31, paragraphe 1, sous c), UE et 34, paragraphe 2, sous b), UE.

6. Dans les présentes conclusions, nous exposerons les raisons pour lesquelles nous estimons que c’est à bon droit que le législateur communautaire a choisi d’adopter la directive 2006/24 sur le fondement de l’article 95 CE.

I – Le cadre juridique

7. Aux termes de l’article 47 UE:

«Sous réserve des dispositions portant modification du traité instituant la Communauté économique européenne en vue d’établir la Communauté européenne, du traité instituant la Communauté européenne du charbon et de l’acier et du traité instituant la Communauté européenne de l’énergie atomique et des présentes dispositions finales, aucune disposition du présent traité n’affecte les traités instituant les Communautés européennes ni les traités et actes subséquents qui les ont modifiés ou complétés.»

8. L’article 95, paragraphe 1, CE dispose:

«Par dérogation à l’article 94 et sauf si le présent traité en dispose autrement, les dispositions suivantes s’appliquent pour la réalisation des objectifs énoncés à l’article 14. Le Conseil, statuant conformément à la procédure visée à l’article 251 et après consultation du Comité économique et social, arrête les mesures relatives au rapprochement des dispositions législatives, réglementaires et administratives des États membres qui ont pour objet l’établissement et le fonctionnement du marché intérieur.»

9. C’est sur le fondement de l’article 95 CE qu’ont été adoptées les trois directives suivantes:

– la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (4);

– la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (5), et

– la directive 2006/24.

A – La directive 95/46

10. La directive 95/46 établit des normes relatives au traitement des données à caractère personnel afin de protéger les libertés et les droits fondamentaux des personnes physiques, notamment leur vie privée, tout en assurant la libre circulation de ces données dans la Communauté.

11. L’article 3, paragraphe 2, de la directive 95/46 prévoit une limite au champ d’application matériel de celle‑ci dans la mesure où il dispose:

«La présente directive ne s’applique pas au traitement de données à caractère personnel:

– mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal,

[…]»

12. Aux termes de l’article 13, paragraphe 1, de la directive 95/46, intitulé «Exceptions et limitations»:

«Les États membres peuvent prendre des mesures législatives visant à limiter la portée des obligations et des droits prévus à l’article 6, paragraphe 1, à l’article 10, à l’article 11, paragraphe 1, et aux articles 12 et 21, lorsqu’une telle limitation constitue une mesure nécessaire pour sauvegarder:

a) la sûreté de l’État;

b) la défense;

c) la sécurité publique;

d) la prévention, la recherche, la détection et la poursuite d’infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées;

e) un intérêt économique ou financier important d’un État membre ou de l’Union européenne, y compris dans les domaines monétaire, budgétaire et fiscal;

f) une mission de contrôle, d’inspection ou de réglementation relevant, même à titre occasionnel, de l’exercice de l’autorité publique, dans les cas visés aux points c), d) et e);

g) la protection de la personne concernée ou des droits et libertés d’autrui.»

B – La directive 2002/58

13. La directive 2002/58 a été adoptée en vue de compléter la directive 95/46 par des dispositions spécifiques au secteur des communications électroniques.

14. Comme le précise l’article 1^er, paragraphe 1, de la directive 2002/58:

«La présente directive harmonise les dispositions des États membres nécessaires pour assurer un niveau équivalent de protection des droits et libertés fondamentaux, et en particulier du droit à la vie privée, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et des services de communications électroniques dans la Communauté.»

15. À l’instar de l’article 3, paragraphe 2, de la directive 95/46, l’article 1^er, paragraphe 3, de la directive 2002/58 instaure une limite au champ d’application de cette dernière lorsqu’il prévoit:

«La présente directive ne s’applique pas aux activités qui ne relèvent pas du traité instituant la Communauté européenne, telles que celles visées [aux] titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux activités concernant la sécurité publique, la défense, la sûreté de l’État (y compris la prospérité économique de l’État lorsqu’il s’agit d’activités liées à la sûreté de l’État) ou aux activités de l’État dans des domaines relevant du droit pénal.»

16. Les articles 5, 6 et 9 de la directive 2002/58 définissent les règles applicables au traitement, par les fournisseurs de réseaux et de services, de données relatives au trafic et de données de localisation générées par l’utilisation de services de communications électroniques. Ces données doivent être effacées ou rendues anonymes lorsqu’elles ne sont plus nécessaires à la transmission d’une communication, sauf les données requises pour établir les factures et les paiements pour interconnexion. En outre, moyennant l’accord de l’intéressé, certaines données peuvent également être traitées à des fins commerciales ou de fourniture de services à valeur ajoutée.

17. En particulier, l’article 6, paragraphe 1, de la directive 2002/58 dispose:

«Les données relatives au trafic concernant les abonnés et les utilisateurs traitées et stockées par le fournisseur d’un réseau public de communications ou d’un service de communications électroniques accessibles au public doivent être effacées ou rendues anonymes lorsqu’elles ne sont plus nécessaires à la transmission d’une communication sans préjudice des paragraphes 2, 3 et 5, du présent article ainsi que de l’article 15, paragraphe 1.»

18. Selon l’article 15, paragraphe 1, de cette même directive:

«Les États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l’article 8, paragraphes 1, 2, 3 et 4, et à l’article 9 de la présente directive lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est‑à‑dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la directive 95/46/CE. À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe. Toutes les mesures visées dans le présent paragraphe sont prises dans le respect des principes généraux du droit communautaire, y compris ceux visés à l’article 6, paragraphes 1 et 2, du traité sur l’Union européenne.»

C – La directive 2006/24

19. Aux termes des cinquième au onzième considérants de la directive 2006/24:

«(5) Plusieurs États membres ont légiféré sur la conservation de données par les fournisseurs de services en vue de la prévention, de la recherche, de la détection et de la poursuite d’infractions pénales. Lesdites dispositions nationales varient considérablement.

(6) Les disparités législatives et techniques existant entre les dispositions nationales relatives à la conservation de données en vue de la prévention, de la recherche, de la détection et de la poursuite d’infractions pénales constituent des entraves au marché intérieur des communications électroniques dans la mesure où les fournisseurs de services doivent satisfaire à des exigences différentes pour ce qui est des types de données relatives au trafic et à la localisation à conserver ainsi que des conditions et des durées de conservation.

(7) Dans ses conclusions, le Conseil ‘Justice et affaires intérieures’ du 19 décembre 2002 souligne qu’en raison de l’accroissement important des possibilités qu’offrent les communications électroniques, les données relatives à l’utilisation de celles‑ci sont particulièrement importantes et constituent donc un instrument utile pour la prévention, la recherche, la détection et la poursuite d’infractions pénales, notamment de la criminalité organisée.

(8) Dans sa déclaration du 25 mars 2004 sur la lutte contre le terrorisme, le Conseil européen a chargé le Conseil d’envisager des propositions en vue de l’établissement de règles relatives à la conservation, par les fournisseurs de services, des données relatives au trafic des communications.

(9) En vertu de l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales [signée à Rome le 4 novembre 1950 (ci‑après la «CEDH»)], toute personne a droit au respect de sa vie privée et de sa correspondance. Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire, entre autres, à la sécurité nationale, à la sûreté publique, à la défense de l’ordre et à la prévention des infractions pénales, ou à la protection des droits et des libertés d’autrui. Étant donné que la conservation des données s’est révélée être un outil d’investigation nécessaire et efficace pour les enquêtes menées par les services répressifs dans plusieurs États membres et, en particulier, relativement aux affaires graves telles que celles liées à la criminalité organisée et au terrorisme, il convient de veiller à ce que les données conservées soient accessibles aux services répressifs pendant un certain délai, dans les conditions prévues par la présente directive. L’adoption d’un instrument relatif à la conservation des données constitue dès lors une mesure nécessaire au regard des exigences de l’article 8 de la CEDH.

(10) Le 13 juillet 2005, le Conseil a réaffirmé, dans sa déclaration condamnant les attentats terroristes de Londres, la nécessité d’adopter dans les meilleurs délais des mesures communes relatives à la conservation de données concernant les télécommunications.

(11) Eu égard à l’importance des données relatives au trafic et des données de localisation pour la recherche, la détection et la poursuite d’infractions pénales, il est nécessaire, comme les travaux de recherche et l’expérience pratique de plusieurs États membres le démontrent, de garantir au niveau européen la conservation pendant un certain délai, dans les conditions prévues par la présente directive, des données traitées par les fournisseurs de communications électroniques dans le cadre de la fourniture de services de communications électroniques accessibles au public ou d’un réseau public de communications.»

20. Il est également précisé au quinzième considérant de la directive 2006/24:

«La directive 95/46/CE et la directive 2002/58/CE sont pleinement applicables aux données conservées conformément à la présente directive. […]»

21. Selon le vingt et unième considérant de la directive 2006/24:

«Étant donné que les objectifs de la présente directive, à savoir l’harmonisation des obligations incombant aux fournisseurs de conserver certaines données et de faire en sorte que ces données soient disponibles aux fins de la recherche, de la détection et de la poursuite d’infractions graves telles que définies par chaque État membre dans son droit interne, ne peuvent pas être réalisés de manière suffisante par les États membres et peuvent donc, en raison des dimensions ou des effets de la présente directive, être mieux réalisés au niveau communautaire, la Communauté peut prendre des mesures conformément au principe de subsidiarité consacré à l’article 5 du traité. Conformément au principe de proportionnalité, tel qu’énoncé audit article, la présente directive n’excède pas ce qui est nécessaire pour atteindre ces objectifs.»

22. Le vingt‑cinquième considérant de cette même directive est ainsi rédigé:

«La présente directive est sans préjudice du pouvoir qu’ont les États membres d’adopter des mesures législatives concernant le droit pour les autorités nationales qu’ils ont désignées d’accéder aux données et de les utiliser. Les questions relatives à l’accès aux données conservées en application de la présente directive par les autorités nationales aux fins des activités visées à l’article 3, paragraphe 2, premier tiret, de la directive 95/46/CE ne relèvent pas du droit communautaire. Elles peuvent toutefois faire l’objet de dispositions de droit interne ou de mesures relevant du titre VI du traité sur l’Union européenne. De telles dispositions ou mesures doivent pleinement respecter les droits fondamentaux tels qu’ils découlent des traditions constitutionnelles communes des États membres et tels qu’ils sont consacrés par la CEDH. L’article 8 de la CEDH, tel qu’interprété par la Cour européenne des droits de l’homme, prévoit que toute ingérence d’une autorité publique dans l’exercice du droit au respect de la vie privée doit satisfaire aux exigences de nécessité et de proportionnalité et doit donc poursuivre des finalités déterminées, explicites et légitimes, et être exercée d’une façon qui soit appropriée, pertinente et non excessive au regard de l’objectif poursuivi.»

23. Aux termes de l’article 1^er, paragraphe 1, de la directive 2006/24:

«La présente directive a pour objectif d’harmoniser les dispositions des États membres relatives aux obligations des fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications en matière de conservation de certaines données qui sont générées ou traitées par ces fournisseurs, en vue de garantir la disponibilité de ces données à des fins de recherche, de détection et de poursuite d’infractions graves telles qu’elles sont définies par chaque État membre dans son droit interne.»

24. L’article 3 de cette même directive instaure une obligation de conservation de données. Son paragraphe 1 est libellé comme suit:

«Par dérogation aux articles 5, 6 et 9 de la directive 2002/58/CE, les États membres prennent les mesures nécessaires pour que les données visées à l’article 5 de la présente directive soient conservées, conformément aux dispositions de cette dernière, dans la mesure où elles sont générées ou traitées dans le cadre de la fourniture des services de communications concernés par des fournisseurs de services de communications électroniques accessibles au public ou d’un réseau public de communications, lorsque ces fournisseurs sont dans leur ressort.»

25. S’agissant de l’accès aux données conservées, l’article 4 de la directive 2006/24 dispose:

«Les États membres prennent les mesures nécessaires pour veiller à ce que les données conservées conformément à la présente directive ne soient transmises qu’aux autorités nationales compétentes, dans des cas précis et conformément au droit interne. La procédure à suivre et les conditions à remplir pour avoir accès aux données conservées dans le respect des exigences de nécessité et de proportionnalité sont arrêtées par chaque État membre dans son droit interne, sous réserve des dispositions du droit de l’Union européenne ou du droit international public applicables en la matière, en particulier la CEDH telle qu’interprétée par la Cour européenne des droits de l’homme.»

26. Quant aux durées de conservation des données, l’article 6 de cette même directive prévoit:

«Les États membres veillent à ce que les catégories de données visées à l’article 5 soient conservées pour une durée minimale de six mois et maximale de deux ans à compter de la date de la communication.»

27. En outre, s’agissant des conditions à observer pour le stockage des données conservées, l’article 8 de la directive 2006/24 dispose:

«Les États membres veillent à ce que les données visées à l’article 5 soient conservées conformément à la présente directive de manière à ce que les données conservées et toute autre information nécessaire concernant ces données puissent, à leur demande, être transmises sans délai aux autorités compétentes.»

28. En raison de l’obligation de conservation des données instituée par la directive 2006/24, l’article 11 de cette directive insère un nouveau paragraphe à l’article 15 de la directive 2002/58. Ce paragraphe est ainsi rédigé:

«1 bis. Le paragraphe 1 n’est pas applicable aux données dont la conservation est spécifiquement exigée par la directive 2006/24/CE aux fins visées à l’article 1^er, paragraphe 1, de ladite directive.»

29. Enfin, l’article 12 de la directive 2006/24 est libellé comme suit:

«1. Un État membre confronté à des circonstances particulières justifiant une prolongation, pour une période limitée, de la durée de conservation maximale prévue à l’article 6, peut prendre les mesures nécessaires. L’État membre notifie immédiatement à la Commission et communique aux autres États membres les mesures prises en vertu du présent article et les motive.

2. Dans un délai de six mois suivant la notification visée au paragraphe 1, la Commission approuve ou rejette les mesures nationales concernées après avoir vérifié si elles représentent ou non un moyen de discrimination arbitraire ou une restriction déguisée aux échanges entre États membres et si elles constituent ou non une entrave au fonctionnement du marché intérieur. En l’absence de décision de la Commission dans ce délai, les mesures nationales sont réputées approuvées.

[…]»

II – Les antécédents du litige

30. Le 28 avril 2004, la République française, l’Irlande, le Royaume de Suède et le Royaume‑Uni de Grande‑Bretagne et d’Irlande du Nord ont présenté au Conseil un projet de décision‑cadre fondée sur les articles 31, paragraphe 1, sous c), UE et 34, paragraphe 2, sous b), UE. Ce projet avait pour objet la rétention de données traitées et stockées en rapport avec la fourniture de services de communications électroniques accessibles au public ou de données transmises via des réseaux de communications publics, aux fins de la prévention, la recherche, la détection et la poursuite de délits et d’infractions pénales, y compris du terrorisme (6).

31. Considérant que ce projet de décision‑cadre comportait deux volets, à savoir, d’une part, des obligations pour les opérateurs de conserver des données de trafic relatives aux utilisateurs de leurs services pendant une certaine durée et, d’autre part, des obligations concernant l’accès et l’échange de ces données par les autorités compétentes en matière pénale, la Commission s’est prononcée en faveur de l’article 95 CE en tant que base juridique des mesures contenues dans le premier volet dudit projet. En particulier, elle a indiqué que l’article 47 UE ne permettait pas qu’un acte fondé sur le traité UE affecte l’acquis communautaire, en l’occurrence les directives 95/46 et 2002/58. Estimant que la détermination des catégories de données à conserver et de la durée de leur conservation relevait de la compétence du législateur communautaire, la Commission s’est réservée le droit de faire une proposition de directive.

32. Le 21 septembre 2005, la Commission a adopté une proposition de directive du Parlement européen et du Conseil sur la conservation de données traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public, et modifiant la directive 2002/58 (7), fondée sur l’article 95 CE.

33. Lors de sa session des 1^er et 2 décembre 2005, le Conseil a opté en faveur d’une directive sur la base juridique du traité CE plutôt que de poursuivre l’adoption d’une décision‑cadre.

34. Le 28 novembre 2005, la commission «Libertés civiles, justice et affaires intérieures» du Parlement européen a approuvé un rapport sur la proposition de directive (8). Le 14 décembre 2005, le Parlement a émis son avis conformément à la procédure de codécision visée à l’article 251 CE (9).

35. Le Conseil a adopté à la majorité qualifiée la directive 2006/24 lors de sa session du 21 février 2006. L’Irlande et la République slovaque ont voté contre.

III – Les conclusions des parties

36. L’Irlande demande à la Cour:

– d’annuler la directive 2006/24 au motif qu’elle n’a pas été adoptée sur le fondement d’une base juridique appropriée, et

– de condamner le Conseil et le Parlement aux dépens.

37. Le Parlement demande à la Cour:

– de rejeter le recours comme infondé, et

– de condamner la requérante à supporter l’intégralité des dépens afférents à la présente procédure,

– ou, à titre subsidiaire, de déclarer que les effets de la directive contestée s’appliquent jusqu’à l’entrée en vigueur d’un nouvel acte.

38. Le Conseil demande à la Cour:

– de rejeter le recours de l’Irlande ayant pour objet l’annulation de la directive 2006/24, et

– de condamner l’Irlande aux dépens.

IV – La procédure devant la Cour

39. Par ordonnances du 1^er février 2007, le Président de la Cour a admis la République slovaque à intervenir au soutien des conclusions de la requérante et le Royaume d’Espagne, le Royaume des Pays‑Bas, la Commission ainsi que le Contrôleur européen de la protection des données (ci‑après le «CEPD») à intervenir au soutien des conclusions des défenderesses.

V – Les arguments principaux des parties

40. L’Irlande fait valoir que le choix de l’article 95 CE comme base juridique de la directive 2006/24 est erroné. Selon cet État membre, ni l’article 95 CE ni aucune autre disposition du traité CE ne sont susceptibles de fournir une base juridique appropriée à cette directive.

41. L’Irlande prétend principalement que l’unique objectif ou, subsidiairement, l’objectif principal ou prédominant de la directive 2006/24 est de faciliter la recherche, la détection et la poursuite d’infractions graves, y compris en matière de terrorisme. Dès lors, elle soutient que la seule base juridique pouvant valablement fonder les mesures contenues dans cette directive figure au sein du titre VI du traité UE, en particulier aux articles 30 UE, 31, paragraphe 1, sous c), UE et 34, paragraphe 2, sous b), UE.

42. Un examen des considérants (notamment les septième à onzième ainsi que vingt et unième considérants) et des dispositions fondamentales (notamment l’article 1^er, paragraphe 1) de la directive 2006/24 démontrerait que retenir l’article 95 CE comme base juridique de cette directive est inapproprié. Ladite directive serait, en effet, clairement orientée vers la lutte contre les infractions graves.

43. Il serait établi que les mesures fondées sur l’article 95 CE doivent avoir pour centre de gravité le rapprochement des législations nationales afin d’améliorer le fonctionnement du marché intérieur. Les dispositions de la directive 2006/24 concerneraient la lutte contre les infractions graves et ne seraient pas destinées à réparer les éventuels dysfonctionnements intervenant dans le marché intérieur.

44. À titre subsidiaire, même si, contrairement à la prétention essentielle de l’Irlande, la Cour devait juger que la directive 2006/24 a bien pour objectif, notamment, la prévention des distorsions de concurrence ou des entraves au marché intérieur, l’Irlande soutient que cet objectif devrait être considéré comme de nature purement secondaire par rapport à l’objectif principal ou prédominant visant à lutter contre la criminalité.

45. Selon ce même État membre, le législateur communautaire ne serait pas habilité à recourir à une directive modificative adoptée sur le fondement de l’article 95 CE afin d’incorporer des dispositions échappant à la compétence dévolue à la Communauté en vertu du premier pilier. Les obligations destinées à garantir que les données soient disponibles aux fins de la recherche, de la détection et de la poursuite d’infractions graves relèveraient d’une matière qui ne peut faire l’objet que d’un instrument fondé sur le titre VI du traité UE. L’adoption d’un tel instrument n’affecterait donc pas les dispositions de la directive 2002/58 au sens de l’article 47 UE.

46. Par ailleurs, l’Irlande fait valoir que la directive 95/46, à son article 3, paragraphe 2, premier tiret, et la directive 2002/58, à son article 1^er, paragraphe 3, excluent explicitement de leur champ d’application les activités qui ne relèvent pas du traité CE, les activités concernant la sécurité publique, la défense et la sûreté de l’État ainsi que les activités de l’État dans des domaines relevant du droit pénal. La directive 2006/24 ne contiendrait aucune exclusion de ce genre. Au contraire, les matières exclues du champ d’application des directives 95/46 et 2002/58 seraient inclues dans le champ d’application de la directive 2006/24, comme le démontreraient clairement les dispositions de l’article 1^er, paragraphe 1, de cette dernière. Même si ce n’est pas le cas pour les directives 95/46 et 2002/58, il serait permis de mettre en cause le choix de l’article 95 CE comme base juridique de la directive 2006/24 du fait de l’inclusion dans celle‑ci de matières expressément exclues des directives antérieures.

47. Le fait que la directive 2006/24 ne contient pas de dispositions prévoyant l’accès aux données aux fins de recherche, de détection et de poursuite d’infractions graves ne serait pas décisif et n’empêcherait pas la Cour de suivre le même raisonnement que celui qu’elle a adopté dans son arrêt Parlement/Conseil et Commission, précité.

48. Enfin, concernant la demande du Parlement tendant à ce que les effets d’un éventuel arrêt d’annulation soient limités dans le temps, l’Irlande fait valoir, d’une part, qu’une telle annulation n’entraînerait pas un risque de répercussions économiques graves et, d’autre part, que la sécurité juridique n’exigerait pas de maintenir en vigueur les dispositions de la directive 2006/24 malgré son invalidité. Par conséquent, l’Irlande estime qu’il ne serait pas approprié que la Cour limite les effets dans le temps d’une éventuelle annulation de cette directive.

49. La République slovaque soutient la position de l’Irlande. Elle estime que l’article 95 CE ne saurait servir de base juridique pour la directive 2006/24, étant donné que l’objectif principal de cette dernière n’est pas d’éliminer les barrières et les distorsions dans le marché intérieur. Cette directive harmoniserait la conservation des données à caractère personnel au‑delà des objectifs commerciaux afin de faciliter l’action de l’État dans le domaine du droit pénal. Pour cette raison, elle ne pourrait pas être adoptée dans le cadre des pouvoirs de la Communauté, et ce indépendamment de la question de savoir si l’acte communautaire prévoit ou ne prévoit pas leur transmission ou un autre traitement par des organes répressifs.

50. La conservation des données à caractère personnel dans la mesure exigée par la directive 2006/24 aboutirait à une immixtion significative dans le droit des particuliers au respect de leur vie privée, protégé par l’article 8 de la CEDH. Il serait douteux qu’une immixtion aussi importante puisse être justifiée par des motifs économiques, en l’occurrence un meilleur fonctionnement du marché intérieur. L’adoption d’un acte en dehors de la compétence de la Communauté, dont l’objectif principal et non dissimulé serait la lutte contre la criminalité et le terrorisme, représenterait une solution plus appropriée, qui offrirait une motivation plus adéquate pour l’ingérence dans le droit des particuliers au respect de leur vie privée.

51. À la différence de l’Irlande, la République slovaque estime qu’il serait opportun, en cas d’annulation de la directive 2006/24, que la Cour suspende les effets de son arrêt jusqu’à l’adoption d’un acte de remplacement.

52. Selon le Parlement, le recours de l’Irlande serait fondé sur une appréciation incorrecte de l’objectif et du contenu de la directive 2006/24 ainsi que sur une compréhension erronée des compétences attribuées à la Communauté dans le cadre du premier pilier et de celles appartenant à l’Union dans le cadre du troisième pilier, c’est‑à‑dire le titre VI du traité UE.

53. Ainsi, le Parlement soutient que la requérante fait une lecture sélective des dispositions de la directive 2006/24. En fait, les cinquième et sixième considérants de celle‑ci préciseraient que l’objectif principal ou prédominant de cette directive est d’éliminer les entraves au marché intérieur des communications électroniques et le vingt‑cinquième considérant de ladite directive confirmerait que l’accès et l’utilisation des données conservées ne relèvent pas de la compétence communautaire.

54. L’article 3, paragraphe 1, de la directive 2006/24 dérogerait aux articles 5, 6 et 9 de la directive 2002/58 pour imposer aux fournisseurs de communications électroniques de conserver les données qu’ils étaient précédemment tenus d’effacer. Une telle modification des obligations existantes devrait nécessairement être adoptée sur la base des compétences relevant du premier pilier, car l’utilisation d’un acte du troisième pilier serait contraire à l’article 47 UE. Le Parlement fait également observer que les principales dispositions de la directive 2006/24, à savoir ses articles 5 à 8, visent indéniablement à harmoniser les conditions applicables aux données conservées.

55. Le Parlement indique que, à la suite des attentats terroristes du 11 septembre 2001 aux États‑Unis d’Amérique et des attentats ultérieurs à Madrid et à Londres, certains États membres ont adopté ou étaient en voie d’adopter des règles considérablement différentes en matière de conservation de données. De telles différences auraient été susceptibles d’entraver la libre circulation des données à caractère personnel entre les États membres et, par conséquent, la fourniture de services de communications électroniques.

56. La conservation de données constituerait un élément de coût important pour les opérateurs concernés et l’existence de normes différentes en la matière pourrait fausser la concurrence dans le marché intérieur. La directive 2006/24 aurait pour objet principal d’harmoniser les obligations imposées par les États membres aux fournisseurs de communications électroniques en matière de conservation de données. Il en résulterait que l’article 95 CE serait la base juridique correcte de cette directive. L’importance conférée à la lutte contre la criminalité n’interdirait pas de fonder ladite directive sur l’article 95 CE. Si la lutte contre la criminalité a clairement influencé les choix opérés dans la directive 2006/24, ce souci ne vicierait pas le choix de l’article 95 CE comme base juridique de cette directive.

57. Le Parlement fait également remarquer que la directive 2006/24 ne contient aucune disposition ayant pour objet ou pour effet de donner accès aux données conservées ou d’autoriser le traitement de celles‑ci à des fins répressives, à la différence des affaires ayant donné lieu à l’arrêt Parlement/Conseil et Commission, précité, dans lesquelles un accès avait été accordé à un service répressif d’un pays tiers. En outre, cette directive ne contiendrait pas de dispositions relatives à une coopération entre services répressifs au sens de l’article 30 UE ou à une coopération entre autorités judiciaires au sens de l’article 31 UE. En résumé, ladite directive ne contiendrait aucune disposition se rapportant «aux activités de l’État dans des domaines relevant du droit pénal», au sens de l’article 1^er, paragraphe 3, de la directive 2002/58.

58. D’après le Parlement, s’il est vrai que le stockage des données à caractère personnel d’un particulier peut en principe constituer une ingérence au sens de l’article 8 de la CEDH, cette ingérence peut être justifiée, au titre de cet article, par référence à la sûreté publique et à la prévention des infractions pénales. Cette justification devrait être distinguée du choix correct de la base juridique au sein de l’ordre juridique de l’Union, question avec laquelle elle n’aurait aucun rapport.

59. Enfin, le Parlement considère que, si la Cour annulait la directive 2006/24, les effets de celle‑ci devraient être maintenus, sur la base de l’article 231 CE, jusqu’à l’adoption d’un acte la remplaçant. En effet, si la requérante demande l’annulation de cette directive au motif d’une base juridique inappropriée, elle n’en conteste pas le contenu. Le maintien des effets de ladite directive serait justifié par des raisons de sécurité juridique et afin de protéger les intérêts des personnes concernées.

60. Le Conseil fait valoir que, dans les années suivant l’adoption de la directive 2002/58, les autorités répressives nationales se sont de plus en plus inquiétées de l’exploitation des innovations dans le domaine des services de communications électroniques en vue d’actes criminels. Ces nouvelles préoccupations auraient conduit les États membres à adopter des mesures afin d’empêcher l’effacement des données relatives à ces communications et de garantir leur disponibilité envers les autorités répressives. Ces mesures auraient été divergentes et auraient commencé à perturber le bon fonctionnement du marché intérieur. Les cinquième et sixième considérants de la directive 2006/24 seraient explicites à ce propos. Cette situation aurait conduit le législateur communautaire à établir des conditions précises et harmonisées à respecter par les fournisseurs de services en ce qui concerne l’effacement ou non des données à caractère personnel visées à l’article 5 de cette directive, en assurant ainsi des règles communes dans la Communauté afin de garantir l’unicité du marché intérieur.

61. Le Conseil estime, en outre, que, si le besoin de lutter contre la criminalité, y compris le terrorisme, a été un facteur déterminant dans la décision de modifier la portée des droits et des obligations prévus aux articles 5, 6 et 9 de la directive 2002/58, cette circonstance n’empêcherait pas que la directive 2006/24 devait être adoptée sur la base de l’article 95 CE. Ni les articles 30 UE, 31 UE et 34 UE ni aucun autre article du traité UE ne pourraient fonder un acte qui modifierait les obligations imposées aux opérateurs par la directive 2002/58, sous peine de violer l’article 47 UE.

62. Outre les contraintes imposées par l’article 47 UE, le Conseil conteste que la matière régie par la directive 2006/24 puisse faire l’objet d’un acte devant être adopté conformément au titre VI du traité UE, puisque rien dans cette directive ne relève de l’organisation d’une coopération entre, notamment, les forces de police, les autorités douanières et les autorités judiciaires ni du rapprochement des règles de droit pénal des États membres.

63. Le Conseil ajoute que les droits protégés par l’article 8 de la CEDH ne sont pas absolus et peuvent faire l’objet de restrictions dans les conditions prévues au paragraphe 2 de cet article. Telle qu’elle est prévue par la directive 2006/24, la conservation des données servirait un intérêt général légitime, reconnu par l’article 8, paragraphe 2, de la CEDH, et constituerait un moyen adéquat de protéger cet intérêt.

64. Le Royaume d’Espagne et le Royaume des Pays‑Bas soutiennent le Parlement et le Conseil en soumettant à la Cour des arguments en substance identiques à ceux développés par les parties défenderesses.

65. La Commission rappelle que, avant l’adoption de la directive 2006/24, plusieurs États membres avaient pris, en application de l’article 15, paragraphe 1, de la directive 2002/58, des mesures nationales relatives à la conservation des données. Elle souligne les divergences significatives qui existaient entre ces mesures. Par exemple, les durées de conservation auraient varié de trois mois aux Pays‑Bas à quatre ans en Irlande. Les obligations relatives à la conservation des données auraient des implications économiques importantes pour les fournisseurs de services. Une divergence entre ces obligations pourrait entraîner d’importantes distorsions de marché. Dans ce contexte, il aurait été légitime d’adopter la directive 2006/24 sur la base de l’article 95 CE.

66. Cette directive limiterait, d’une manière harmonisée au niveau communautaire, les obligations prévues par la directive 2002/58. Cette dernière ayant été fondée sur l’article 95 CE, la directive 2006/24 la modifiant devrait être fondée sur le même article du traité CE.

67. La Commission estime également que, contrairement à ce qui ressort de l’argumentation développée par l’Irlande, il convient d’appréhender la directive 2006/24 en tant qu’instrument de protection des données s’inscrivant dans le cadre réglementaire établi par les directives 95/46 et 2002/58. En particulier, il importerait de faire la distinction, du point de vue de la protection des données, entre les traitements qui ne relèvent pas du champ d’application du droit communautaire en vertu d’une clause d’exclusion et ceux qui sont soumis au droit communautaire mais qui peuvent faire l’objet de certaines limitations justifiées et proportionnées en vertu d’une clause de restriction.

68. Certes, les articles 3, paragraphe 2, de la directive 95/46 et 1^er, paragraphe 3, de la directive 2002/58 excluraient du champ d’application de ces directives, entre autres, les activités de l’État dans des domaines relevant du droit pénal. Cependant, la directive 2006/24 viserait non pas les activités de l’État en tant que telles, mais le traitement de données par des opérateurs de télécommunications à des fins commerciales liées à la fourniture de services de communications électroniques sur le réseau public de communications. Cette activité relèverait clairement du champ d’application du droit communautaire et, en particulier, des directives 95/46 et 2002/58.

69. Par ailleurs, si la possibilité qu’un État membre limite la portée des droits en matière de protection des données à des fins de recherche, de détection et de poursuite d’infractions graves était effectivement une question ne relevant pas du champ d’application du droit communautaire, les articles 13, paragraphe 1, de la directive 95/46 et 15, paragraphe 1, de la directive 2002/58 seraient redondants et donc dépourvus d’effet utile par rapport aux articles 3, paragraphe 2, de la directive 95/46 et 1^er, paragraphe 3, de la directive 2002/58.

70. Enfin, la Commission fait valoir que la mention de la recherche, de la détection et de la poursuite d’infractions graves, figurant à l’article 1^er, paragraphe 1, de la directive 2006/24, relève du droit communautaire parce qu’elle indique l’objectif légitime des restrictions apportées par cette directive aux droits des personnes en matière de protection de leurs données à caractère personnel. Une telle indication serait nécessaire tant pour respecter les exigences des directives 95/46 et 2002/58 que pour se conformer à l’article 8 de la CEDH.

71. Quant au CEPD, son argumentation consiste, notamment, à démontrer l’impact du choix de la base juridique sur le système communautaire de protection des données à caractère personnel. Selon lui, si le traité CE ne pouvait pas servir de base à la directive 2006/24, les dispositions du droit communautaire relatives à la protection de ces données ne protègeraient pas les citoyens dans le cas où le traitement de leurs données à caractère personnel faciliterait la prévention et la lutte contre la criminalité. Dans une telle hypothèse, le régime général de protection des données en vertu du droit communautaire, issu en particulier des directives 95/46 et 2002/58, s’appliquerait au traitement des données à des fins commerciales mais pas au traitement des mêmes données à des fins répressives. Il en résulterait des distinctions difficiles pour les fournisseurs de services et une diminution du niveau de protection pour les personnes concernées. Il conviendrait d’éviter une telle situation. Ce besoin de cohérence justifierait l’adoption de la directive 2006/24 en vertu du traité CE.

VI – Appréciation

72. Afin de tracer, dans le cadre du contentieux relatif au choix de la base juridique, la frontière entre les domaines d’actions appartenant au législateur communautaire et ceux attribués au législateur de l’Union européenne, la Cour a précisé la portée qu’il convient de donner à l’article 47 UE, disposition charnière entre ce qui relève du droit communautaire et du droit de l’Union.

73. Nous rappelons que, en vertu de l’article 47 UE, aucune des dispositions du traité CE ne saurait être affectée par une disposition du traité UE. Cette même exigence figure également à l’article 29, premier alinéa, UE, qui introduit le titre VI de ce dernier traité, consacré à la coopération policière et judiciaire en matière pénale.

74. En tant que garante d’une articulation entre les domaines relevant des traités CE et UE conforme à la règle exprimée à l’article 47 UE, la Cour a pour rôle de veiller à ce que les actes dont une partie prétend qu’ils relèvent des titres V ou VI du traité UE n’empiètent pas sur les compétences que les dispositions du traité CE attribuent à la Communauté (10).

75. Dans ce cadre, les compétences que détient la Communauté en vertu du traité CE doivent être considérées comme étant affectées au sens de l’article 47 UE dès que les dispositions d’un acte adopté sur la base du traité UE auraient pu être adoptées sur le fondement d’un article du traité CE (11). Selon la Cour, l’article 47 UE vise ainsi, conformément aux articles 2, cinquième tiret, UE et 3, premier alinéa, UE, à maintenir et à développer l’acquis communautaire (12).

76. En ce qui concerne la méthode utilisée pour déterminer si un acte pris sur le fondement du traité UE aurait pu être adopté sur la base du traité CE, la Cour examine si, en raison de sa finalité et de son contenu, un tel acte a ou non pour objet principal la mise en œuvre d’une politique attribuée à la Communauté par le traité CE (13). La Cour fait ainsi application de sa jurisprudence constante, selon laquelle le choix de la base juridique d’un acte doit se fonder sur des éléments objectifs susceptibles de contrôle juridictionnel, parmi lesquels figurent, notamment, le but et le contenu de cet acte (14).

77. Dans la présente affaire, il s’agit, certes, non pas de savoir si un acte adopté sur la base du traité UE aurait pu être pris sur le fondement du traité CE, mais bien d’examiner si c’est à bon droit qu’un acte a été adopté sur la base du traité CE et non sur celle du traité UE, comme le revendique la partie requérante. La méthode à utiliser est toutefois identique. Elle consiste à rechercher si, eu égard au centre de gravité de la mesure en cause, l’article 47 UE aurait autorisé ou non l’adoption de cette dernière sur la base du traité UE.

78. Le problème dans la présente affaire consiste, par conséquent, à déterminer si la thèse soutenue par l’Irlande, à savoir que la directive 2006/24 aurait dû être adoptée sur le fondement des articles 30 UE, 31, paragraphe 1, sous c), UE et 34, paragraphe 2, sous b), UE, est ou non compatible avec ce que prévoit l’article 47 UE. Autrement dit, l’adoption des mesures contenues dans cette directive sous l’angle du traité UE aurait‑elle été constitutive d’une violation de l’article 47 UE? Pour répondre à cette question, il convient au préalable de vérifier si, eu égard à sa finalité et à son contenu, la directive 2006/24 relève bien du domaine couvert par l’article 95 CE.

79. S’agissant de l’utilisation de l’article 95 CE comme base juridique d’un acte communautaire, il découle de la jurisprudence de la Cour que, si la simple constatation de disparités entre les réglementations nationales ne suffit pas pour justifier le recours à cet article, il en va différemment en cas de divergences entre les dispositions législatives, réglementaires ou administratives des États membres qui sont de nature à entraver les libertés fondamentales et à avoir ainsi une incidence directe sur le fonctionnement du marché intérieur (15). Il résulte également d’une jurisprudence constante que, si le recours à l’article 95 CE comme base juridique est possible en vue de prévenir des obstacles futurs aux échanges résultant de l’évolution hétérogène des législations nationales, l’apparition de tels obstacles doit être vraisemblable et la mesure en cause doit avoir pour objet leur prévention (16). En somme, ce qui importe, pour justifier le recours à l’article 95 CE en tant que base juridique, c’est que l’acte adopté sur ce fondement ait effectivement pour objet l’amélioration des conditions d’établissement et de fonctionnement du marché intérieur (17).

80. L’adoption de la directive 2006/24 sur le fondement de l’article 95 CE nous paraît répondre aux exigences ainsi fixées par la Cour.

81. Il ressort, en effet, de façon explicite des quatrième au sixième considérants de cette directive que le législateur communautaire est parti du constat selon lequel il existait des disparités législatives et techniques entre les dispositions nationales relatives à la conservation de données par les fournisseurs de services. En effet, plusieurs États membres, faisant usage de la faculté que leur confère l’article 15, paragraphe 1, de la directive 2002/58, avaient légiféré sur la conservation de données par les fournisseurs de services en vue de la prévention, de la recherche, de la détection et de la poursuite d’infractions pénales. Or, ces dispositions nationales variaient de manière importante, notamment quant à la durée de conservation requise et aux types de données à conserver (18).

82. De telles disparités pouvaient donc rendre nécessaire un rapprochement des dispositions nationales relatives aux obligations des fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications en matière de conservation de données.

83. Il convient cependant de vérifier si ces disparités constatées étaient bien de nature à produire des effets sur l’établissement et le fonctionnement du marché intérieur, de sorte que le législateur communautaire était habilité à se fonder sur l’article 95 CE pour adopter les mesures contenues dans la directive 2006/24.

84. Dans cette perspective, il est important de noter que la conservation de données par les fournisseurs de services de communications électroniques représente pour eux une charge financière conséquente et que celle‑ci est proportionnelle au nombre et à la durée des données à conserver (19). Les charges en question sont imputables non seulement à la mise à niveau de la technologie nécessaire pour conserver et archiver de façon sécurisée les données, mais également à la maintenance et à l’exploitation des systèmes permettant la conservation des données.

85. Il s’ensuit que, faute d’harmonisation, un fournisseur de services de communications électroniques devrait faire face à des coûts liés à la conservation de données qui seraient différents selon l’État membre dans lequel il souhaite fournir ces services. De telles différences peuvent constituer des entraves à la libre circulation des services de communications électroniques entre les États membres et peuvent donc créer des obstacles à l’établissement et au fonctionnement du marché intérieur des communications électroniques. Elles peuvent, en particulier, freiner le développement transfrontalier des nouveaux services de communications électroniques qui sont régulièrement introduits dans la société de l’information. Elles peuvent également produire des distorsions de concurrence entre les entreprises opérant sur le marché des communications électroniques.

86. Ainsi que cela ressort clairement du sixième considérant de la directive 2006/24, de telles disparités entre les législations des États membres «constituent des entraves au marché intérieur des communications électroniques dans la mesure où les fournisseurs de services doivent satisfaire à des exigences différentes pour ce qui est des types de données relatives au trafic et à la localisation à conserver ainsi que des conditions et des durées de conservation».

87. Dans la mesure où la directive 2006/24 procède au rapprochement des législations nationales concernant l’obligation de conservation de données (article 3), les catégories de données à conserver (article 5), la durée de conservation des données (article 6) ainsi que la protection et la sécurité des données (article 7), nous estimons qu’elle favorise le développement du marché intérieur des communications électroniques en mettant les fournisseurs de services face à des exigences communes.

88. Nous ajoutons que l’impact que produisent les divergences entre les législations nationales relatives à la conservation de données sur le fonctionnement du marché intérieur est également pris en compte à l’article 12, paragraphe 2, de la directive 2006/24. En effet, dans le cadre de l’évaluation des mesures nationales prévoyant, dans des circonstances particulières et pour une période limitée, une prolongation de la durée de conservation maximale des données, la Commission doit vérifier si de telles mesures représentent ou non un moyen de discrimination arbitraire ou une restriction déguisée aux échanges entre les États membres et si elles constituent ou non une entrave au fonctionnement du marché intérieur.

89. Eu égard à ces éléments, l’intervention du législateur communautaire sur le fondement de l’article 95 CE nous paraît justifiée.

90. L’Irlande, soutenue par la République slovaque, considère, au contraire, que la directive 2006/24 ne peut pas être fondée sur l’article 95 CE dans la mesure où son centre de gravité ne se situe pas dans l’établissement et le fonctionnement du marché intérieur. Cette directive aurait, en effet, pour unique objectif ou, à tout le moins, pour objectif principal la recherche, la détection et la poursuite d’infractions graves. L’Irlande s’appuie, à cet égard, sur plusieurs dispositions de ladite directive qui, il est vrai, mettent en avant cette finalité.

91. Parmi ces dispositions, nous citerons le onzième considérant de la directive 2006/24, aux termes duquel, rappelons‑le, «[e]u égard à l’importance des données relatives au trafic et des données de localisation pour la recherche, la détection et la poursuite d’infractions pénales, il est nécessaire, comme les travaux de recherche et l’expérience pratique de plusieurs États membres le démontrent, de garantir au niveau européen la conservation pendant un certain délai, dans les conditions prévues par la présente directive, des données traitées par les fournisseurs de communications électroniques dans le cadre de la fourniture de services de communications électroniques accessibles au public ou d’un réseau public de communications». Aussi, cette directive a‑t‑elle, selon son article 1^er, paragraphe 1, «pour objectif d’harmoniser les dispositions des États membres relatives aux obligations des fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications en matière de conservation de certaines données qui sont générées ou traitées par ces fournisseurs, en vue de garantir la disponibilité de ces données à des fins de recherche, de détection et de poursuite d’infractions graves telles qu’elles sont définies par chaque État membre dans son droit interne».

92. Il n’a été contesté par personne lors de la présente procédure, et il ne nous paraît pas contestable, que, en tant que telle, la raison d’être de l’obligation de conservation de données qui est mise à la charge des fournisseurs de services de communications électroniques réside dans le fait qu’elle favorise la recherche, la détection et la poursuite d’infractions graves. Il ne saurait être nié que c’est parce que la conservation de données constitue un outil d’investigation efficace dans le cadre des enquêtes menées par les autorités répressives des États membres, et en particulier dans les affaires de criminalité organisée et de terrorisme, que le législateur communautaire a souhaité généraliser l’obligation de conservation des données de trafic et des données de localisation générées ou traitées par les fournisseurs de services de communications électroniques ou de réseaux publics de communications.

93. Le législateur communautaire a ainsi souhaité franchir une étape supplémentaire par rapport à ce que prévoit l’article 15, paragraphe 1, de la directive 2002/58. Nous rappelons que cette disposition ouvre aux États membres la possibilité d’«adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l’article 8, paragraphes 1, 2, 3 et 4, et à l’article 9 de la présente directive lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est‑à‑dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la directive 95/46/CE. À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe». En adoptant la directive 2006/24, le législateur communautaire a voulu aller plus loin, d’une part, en transformant cette faculté ouverte aux États membres en une obligation d’imposer la conservation de données et, d’autre part, en harmonisant les catégories de données à conserver ainsi que la durée de conservation de ces dernières.

94. Parmi les motifs cités à l’article 15, paragraphe 1, de la directive 2002/58, le législateur communautaire a seulement retenu celui relatif à la recherche, à la détection et à la poursuite d’infractions graves. Il a, de cette manière, indiqué l’objectif légitime des restrictions apportées par la directive 2006/24 aux droits des personnes en matière de protection de leurs données à caractère personnel. L’une des particularités de cette directive est, en effet, qu’elle doit être appréhendée comme s’inscrivant dans le système de protection des données à caractère personnel qui a été progressivement mis en place par le législateur communautaire. Comme ladite directive apporte une exception à certaines mesures de protection prévues par la directive 2002/58, il était indispensable que le législateur fasse mention d’un tel objectif d’intérêt général afin d’établir la nécessité d’adopter un instrument relatif à la conservation de données au regard des exigences de l’article 8 de la CEDH.

95. Doit‑on pour autant considérer que la mention d’un tel motif justifiant l’ingérence dans le droit des particuliers au respect de leur vie privée protégé par l’article 8 de la CEDH ainsi que l’affirmation selon laquelle la conservation de données constitue un instrument efficace dans le domaine répressif, aux fins de la recherche, de la détection et de la poursuite d’infractions graves, sont incompatibles avec l’utilisation de l’article 95 CE comme base juridique d’un acte communautaire tel que la directive 2006/24?

96. Nous ne le pensons pas, et ce pour les raisons suivantes.

97. Tout d’abord, la Cour a déjà eu l’occasion d’affirmer que, dès lors que les conditions du recours à l’article 95 CE comme base juridique se trouvent remplies, le législateur communautaire ne saurait être empêché de se fonder sur cette base juridique du fait qu’un intérêt public est déterminant dans les choix à faire (20). Il ne faut, à cet égard, pas perdre de vue que l’article 95, paragraphe 3, CE exige de façon expresse que, dans l’harmonisation réalisée, un certain nombre d’impératifs d’intérêt général soient pris en compte et que ceux‑ci fassent l’objet d’un niveau de protection élevé (21). Or, nous relevons que parmi ces impératifs figure celui relatif à la sécurité. Selon nous, un acte tel que la directive 2006/24, qui harmonise les conditions relatives à la conservation de certaines données à des fins de recherche, de détection et de poursuite d’infractions graves, participe à cette exigence de garantir un niveau élevé de sécurité au sein du marché intérieur. L’article 95, paragraphe 3, CE autorise donc, à notre avis, des mesures relatives au rapprochement des dispositions législatives, réglementaires et administratives des États membres qui ont pour objet l’établissement et le fonctionnement du marché intérieur et qui poursuivent, dans le même temps, un objectif d’intérêt général tel que la garantie d’un niveau élevé de sécurité au sein de la Communauté.

98. Ensuite, contrairement à ce que soutient l’Irlande, nous estimons que la seule circonstance qu’un acte vise un objectif tel que la recherche, la détection et la poursuite d’infractions graves n’est pas suffisante pour faire basculer un tel acte du premier pilier vers le troisième pilier. En d’autres termes, l’existence d’une telle finalité ne saurait, selon nous, suffire à constituer un acte entrant dans le domaine couvert par la «coopération policière et judiciaire en matière pénale» au sens du titre VI du traité UE.

99. Il résulte de l’article 29 UE que, sans préjudice des compétences de la Communauté, l’objectif de l’Union consistant à offrir aux citoyens un niveau élevé de protection dans un espace de liberté, de sécurité et de justice est atteint par la prévention de la criminalité et la lutte contre ce phénomène grâce à trois types d’actions. Il s’agit, premièrement, d’une coopération plus étroite entre les forces de police, les autorités douanières et les autres autorités compétentes dans les États membres, à la fois directement et par l’intermédiaire de l’Office européen de police (Europol), conformément aux articles 30 UE et 32 UE. Il s’agit, deuxièmement, d’une coopération plus étroite entre les autorités judiciaires et autres autorités compétentes des États membres, y compris par l’intermédiaire de l’Union européenne de coopération judiciaire (Eurojust), conformément aux articles 31 UE et 32 UE. Il s’agit, troisièmement, d’un rapprochement, en tant que de besoin, des règles de droit pénal des États membres, conformément à l’article 31, sous e), UE.

100. Or, nous considérons que l’obligation de conservation de données générées ou traitées dans le cadre de la fourniture de services de communications ne correspond à aucun de ces trois types d’actions. Elle ne présente donc pas les caractéristiques propres à la faire entrer dans le champ d’application du titre VI du traité UE.

101. Certes, la finalité relative à la recherche, à la détection et à la poursuite d’infractions graves a une connotation pénale qui incite à ranger tous les actes visant cet objectif au sein du troisième pilier. Cette tendance reviendrait toutefois à étendre de manière excessive le champ d’application du titre VI du traité UE qui, comme nous l’avons indiqué, ne se résume pas à l’affirmation d’un objectif, mais énumère les types d’actions qui concrétisent la notion de «coopération policière et judiciaire en matière pénale» au sens de ce titre.

102. Nous constatons, à ce sujet, que les mesures prévues par la directive 2006/24 n’impliquent aucune intervention directe des autorités répressives des États membres. Il est seulement prévu que les fournisseurs de services de communications électroniques accessibles au public ou d’un réseau public de communications doivent conserver des données qui sont générées ou traitées lors de la fourniture des services de communications concernés, c’est‑à‑dire uniquement celles qui sont étroitement liées à l’exercice par ces fournisseurs de leur activité commerciale.

103. En somme, la directive 2006/24 contient des mesures qui se situent à un stade antérieur à la mise en œuvre éventuelle d’une action de coopération policière et judiciaire en matière pénale. Elle n’harmonise ni la question de l’accès aux données par les autorités nationales compétentes en matière répressive ni celle relative à l’utilisation et à l’échange de ces données entre ces autorités, par exemple dans le cadre d’enquêtes criminelles. Ces questions, qui relèvent, à notre avis, du domaine couvert par le titre VI du traité UE, ont été à juste titre exclues des dispositions de la directive 2006/24 (22).

104. Il est d’ailleurs expressément indiqué au vingt-cinquième considérant de cette directive que celle‑ci «est sans préjudice du pouvoir qu’ont les États membres d’adopter des mesures législatives concernant le droit pour les autorités nationales qu’ils ont désignées d’accéder aux données et de les utiliser. Les questions relatives à l’accès aux données conservées en application de la présente directive par les autorités nationales aux fins des activités visées à l’article 3, paragraphe 2, premier tiret, de la directive 95/46/CE ne relèvent pas du droit communautaire. Elles peuvent toutefois faire l’objet de dispositions de droit interne ou de mesures relevant du titre VI du traité sur l’Union européenne [(23)]». La seule exigence en matière d’accès aux données sur laquelle le législateur communautaire a souhaité mettre l’accent, et qui s’apparente plus à une mise en garde qu’à une mesure d’harmonisation, figure à l’article 4 de la directive 2006/24, lequel dispose que «[l]es États membres prennent les mesures nécessaires pour veiller à ce que les données conservées conformément à la présente directive ne soient transmises qu’aux autorités nationales compétentes, dans des cas précis et conformément au droit interne. La procédure à suivre et les conditions à remplir pour avoir accès aux données conservées dans le respect des exigences de nécessité et de proportionnalité sont arrêtées par chaque État membre dans son droit interne, sous réserve des dispositions du droit de l’Union européenne ou du droit international public applicables en la matière, en particulier la CEDH telle qu’interprétée par la Cour européenne des droits de l’homme».

105. La frontière entre les mesures relevant du pilier communautaire et celles qui doivent être adoptées dans le cadre du titre VI du traité UE peut donc, à notre avis, être tracée de la manière suivante.

106. Appartiennent au pilier communautaire des mesures qui harmonisent les conditions dans lesquelles les fournisseurs de services de communications doivent conserver les données de trafic et de localisation qui sont générées ou traitées dans le cadre de l’exercice de leurs activités commerciales. Un tel rapprochement des législations nationales en matière de conservation de données diminue, en effet, le risque d’obstacles au développement du marché intérieur des communications électroniques en mettant les opérateurs face à des exigences communes. La circonstance que le législateur communautaire ait estimé nécessaire d’imposer la conservation de données en raison de l’efficacité de cet outil pour la recherche, la détection et la poursuite d’infractions graves n’est pas suffisante pour faire sortir une telle mesure du pilier communautaire, cet impératif d’intérêt général pouvant être pris en compte par une mesure d’harmonisation adoptée sur le fondement de l’article 95 CE. De plus, la mention d’un tel impératif d’intérêt général est indispensable pour justifier l’ingérence du législateur communautaire dans le droit au respect de la vie privée des utilisateurs de services de communications électroniques.

107. Font, en revanche, partie du troisième pilier des mesures harmonisant les conditions dans lesquelles les autorités nationales compétentes en matière répressive peuvent avoir accès aux données conservées, utiliser et échanger celles‑ci pour l’accomplissement de leur mission. L’intervention directe de telles autorités auprès d’opérateurs privés et la communication obligatoire par ceux‑ci de données à des fins répressives entrent alors, selon nous, dans le champ de la «coopération policière et judiciaire en matière pénale» au sens du titre VI du traité UE. En effet, à ce stade, la participation des opérateurs privés à un processus répressif et leur collaboration avec les autorités nationales compétentes en la matière acquièrent un caractère concret et certain.

108. Cette ligne de démarcation n’est certes pas exempte de toute critique et peut paraître, à certains égards, artificielle. Nous convenons qu’il serait plus satisfaisant que le problème global de la conservation de données par les fournisseurs de services de communications électroniques et des modalités de leur coopération avec les autorités nationales compétentes en matière répressive fasse l’objet d’un acte unique qui assurerait la cohérence entre ces deux volets. Même si on peut le regretter, l’architecture constitutionnelle composée de trois piliers impose toutefois des scissions entre les domaines d’actions. La priorité consiste, dans ce contexte, à garantir la sécurité juridique en clarifiant autant que faire se peut la frontière entre les domaines d’actions relevant des différents piliers.

109. L’analyse que nous proposons ici ne nous paraît pas contradictoire avec ce que la Cour a jugé dans son arrêt Parlement/Conseil et Commission, précité. Elle permet, bien au contraire, d’éclairer la portée qu’il convient, selon nous, de donner à cet arrêt.

110. Nous rappelons que, dans l’affaire ayant donné lieu audit arrêt, le Parlement demandait, d’une part, l’annulation de la décision 2004/496/CE du Conseil, du 17 mai 2004, concernant la conclusion d’un accord entre la Communauté européenne et les États‑Unis d’Amérique sur le traitement et le transfert de données PNR par des transporteurs aériens au bureau des douanes et de la protection des frontières du ministère américain de la sécurité intérieure (24) et, d’autre part, celle de la décision 2004/535/CE de la Commission, du 14 mai 2004, relative au niveau de protection adéquat des données à caractère personnel contenues dans les dossiers des passagers aériens transférés au Bureau des douanes et de la protection des frontières des États‑Unis d’Amérique (25).

111. Dans son arrêt, la Cour a d’abord examiné la légalité de la décision d’adéquation, et ce au regard de l’article 3, paragraphe 2, premier tiret, de la directive 95/46. Nous rappelons que cette disposition exclut du champ d’application de cette directive les traitements de données à caractère personnel «mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, [les] traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien‑être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal».

112. La Cour a estimé que le transfert des données à caractère personnel contenues dans les dossiers passagers (ci‑après les «données PNR») au Bureau des douanes et de la protection des frontières du ministère américain de la Sécurité intérieure (ci‑après le «CBP») constituait un traitement ayant pour objet la sécurité publique et les activités de l’État relatives à des domaines du droit pénal. Elle a souligné que la décision d’adéquation visait non pas un traitement de données nécessaire à la réalisation d’une prestation de services, mais un traitement de données considéré comme nécessaire pour sauvegarder la sécurité publique et à des fins répressives. De plus, s’il découle de l’arrêt du 6 novembre 2003, Lindqvist (26), que les activités mentionnées à titre d’exemples à l’article 3, paragraphe 2, premier tiret, de la directive 95/46 sont, dans tous les cas, des activités propres aux États ou aux autorités étatiques et étrangères aux domaines d’activités des particuliers, il n’en découle pas pour autant, selon la Cour, que la circonstance que les données PNR ont été collectées par des opérateurs privés à des fins commerciales et que ce sont ces derniers qui organisent leur transfert vers un pays tiers a pour conséquence d’exclure le transfert en cause du champ d’application de cette disposition. En effet, la Cour relève que ce transfert s’insère dans un cadre institué par les pouvoirs publics et visant la sécurité publique.

113. Elle en a déduit que la décision d’adéquation concernait un traitement de données à caractère personnel au sens de l’article 3, paragraphe 2, premier tiret, de la directive 95/46 et qu’elle ne relevait donc pas du champ d’application de cette directive. La Cour en a conclu qu’il y avait lieu d’annuler la décision d’adéquation.

114. Examinant ensuite la légalité de la décision du Conseil, la Cour s’est uniquement prononcée sur le moyen tiré du choix erroné de l’article 95 CE comme base juridique de cette décision. Elle a considéré que l’article 95 CE, lu en combinaison avec l’article 25 de la directive 95/46, n’était pas susceptible de fonder la compétence de la Communauté pour conclure l’accord entre la Communauté européenne et les États‑Unis d’Amérique sur le traitement et le transfert de données PNR par des transporteurs aériens au Bureau des douanes et de la protection des frontières du ministère américain de la Sécurité intérieure (ci‑après l’«accord»), approuvé au nom de la Communauté par ladite décision (27). À l’appui de cette affirmation, la Cour a souligné que l’accord visait le même transfert de données que la décision d’adéquation et donc des traitements de données qui sont exclus du champ d’application de cette directive. Elle en a déduit que la décision du Conseil n’avait pas pu être valablement adoptée sur le fondement de l’article 95 CE.

115. L’Irlande s’appuie sur l’arrêt Parlement/Conseil et Commission, précité, pour étayer la thèse qu’elle défend dans la présente affaire, à savoir, en substance, que, en raison de l’objectif unique ou, à tout le moins, principal, poursuivi par la directive 2006/24 et consistant dans la recherche, la détection et la poursuite d’infractions graves, celle‑ci aurait dû être adoptée sous l’angle du titre VI du traité UE. Cet arrêt est toutefois intervenu dans un contexte dont les traits principaux permettent de le distinguer de la présente affaire.

116. Dans l’affaire ayant donné lieu à l’arrêt Parlement/Conseil et Commission, précité, l’accord avait pour objet principal d’exiger des transporteurs aériens assurant un service de transport international de passagers à destination ou au départ des États‑Unis d’Amérique qu’ils fournissent au CBP un accès électronique aux données PNR recueillies et stockées dans leur système informatique de contrôle des réservations et des départs. L’accord instituait donc une forme de coopération internationale entre les parties contractantes, destinée à atteindre l’objectif de lutte contre le terrorisme et d’autres crimes graves, tout en tentant de concilier cet objectif avec celui visant à protéger les données à caractère personnel des passagers aériens (28). L’existence d’une telle forme de coopération internationale avec une autorité publique d’un pays tiers constitue déjà une différence importante par rapport à la présente affaire.

117. Ensuite, il importe de souligner que le traitement des données qui était en cause dans l’affaire ayant donné lieu à l’arrêt Parlement/Conseil et Commission, précité, couvrait un stade ultérieur à la collecte initiale des données par les compagnies aériennes. Ce traitement portait sur la consultation, l’utilisation par le CBP et la mise à disposition de ce dernier des données des passagers aériens provenant des systèmes de réservation des transporteurs aériens situés sur le territoire des États membres (29). Il s’agissait donc d’une forme de coopération impliquant non seulement des opérateurs privés, mais également une autorité publique, en l’occurrence le CBP, à des fins de lutte contre le terrorisme et d’autres crimes graves.

118. Dans un tel contexte, un acte qui prévoit la consultation et l’utilisation de données à caractère personnel par une entité ayant pour fonction d’assurer la sécurité intérieure d’un État, ainsi que la mise à disposition de ces données à une telle entité, nous paraît devoir être assimilé à un acte de coopération entre autorités publiques. En particulier, dans une telle situation de communication obligatoire de données à un organe national à des fins sécuritaires et répressives, le fait d’imposer à une personne morale d’effectuer un transfert de données ne semble pas fondamentalement éloigné d’un échange direct de données entre autorités publiques, par exemple dans le cadre d’enquêtes criminelles (30).

119. La dimension internationale de la coopération mise en place ainsi que les modalités de la collaboration instituée entre les transporteurs aériens et le CBP, modalités qui la font, selon nous, entrer dans le champ couvert par le titre VI du traité UE, constituent ainsi deux différences fondamentales avec la situation en cause dans la présente affaire.

120. C’est d’ailleurs précisément en raison des caractéristiques que nous venons d’identifier que la décision 2007/551/PESC/JAI du Conseil, du 23 juillet 2007, relative à la signature, au nom de l’Union européenne, d’un accord entre l’Union européenne et les États‑Unis d’Amérique sur le traitement et le transfert de données des dossiers passagers (données PNR) par les transporteurs aériens au ministère américain de la sécurité intérieure (DHS) (accord PNR 2007) (31), a été adoptée sur le fondement des articles 24 UE et 38 UE.

121. Les différences que nous avons pointées permettent également de mieux comprendre la portée de l’arrêt Parlement/Conseil et Commission, précité.

122. Cet arrêt ne saurait ainsi signifier, à nos yeux, que seul l’examen de la finalité poursuivie par un traitement de données à caractère personnel est pertinent pour inclure ou bien exclure un tel traitement du champ d’application du système de protection des données mis sur pied par la directive 95/46. Il importe également de vérifier dans le cadre de quel type d’activités s’effectue un traitement de données. Ce n’est que dans le cas où un tel traitement est mis en œuvre pour l’exercice d’activités propres aux États ou aux autorités étatiques et étrangères aux domaines d’activités des particuliers qu’il se trouve exclu du système communautaire de protection des données à caractère personnel issu de la directive 95/46, et ce en application de l’article 3, paragraphe 2, premier tiret, de cette directive. Il revient alors au législateur de l’Union européenne de prendre le relais et d’édifier un système général de protection des données destiné à couvrir les traitements de données mis en œuvre dans le cadre de telles activités propres aux États (32).

123. Dans l’arrêt Parlement/Conseil et Commission, précité, la Cour a considéré que le transfert de données par les transporteurs aériens vers le CBP en vue de sauvegarder la sécurité publique et à des fins répressives était assimilable à un traitement de données mis en œuvre pour l’exercice d’activités propres aux États ou aux autorités étatiques et étrangères aux domaines d’activités des particuliers. C’est pourquoi elle a jugé qu’il était exclu du champ d’application de la directive 95/46.

124. Ainsi compris, l’arrêt Parlement/Conseil et Commission, précité, permet de bien saisir la distinction qu’il convient de faire entre les clauses d’exclusion et les clauses de restriction qui figurent dans la directive 95/46 ainsi que dans la directive 2002/58.

125. Comme l’a bien expliqué la Commission dans le cadre de la présente procédure, les articles 3, paragraphe 2, premier tiret, de la directive 95/46 et 1^er, paragraphe 3, de la directive 2002/58 constituent des clauses d’exclusion, dans la mesure où elles excluent du champ d’application de ces deux directives les traitements de données qui sont mis en œuvre dans le cadre d’activités qui ne relèvent pas du traité CE, telles que celles prévues aux titres V et VI du traité UE, et, en tout état de cause, pour des activités ayant pour objet la sécurité publique, la défense, la sûreté de l’État et des activités de l’État relatives à des domaines du droit pénal.

126. En revanche, les clauses de restriction figurant aux articles 13, paragraphe 1, de la directive 95/46 ainsi que 15, paragraphe 1, de la directive 2002/58 ont une portée toute autre. Elles permettent, en effet, uniquement aux États membres de limiter la portée de certains droits et obligations définis dans ces deux directives lorsqu’une telle limitation constitue une mesure nécessaire pour garantir un objectif d’intérêt général tel que la sûreté de l’État, la défense et la santé publique ainsi que la prévention, la recherche, la détection et la poursuite d’infractions pénales. Les traitements de données qui sont concernés continuent cependant de relever du système communautaire de protection des données à caractère personnel.

127. Le fait que ces deux types de clauses mentionnent des objectifs d’intérêt général similaires entretient certainement la confusion quant à leur portée respective. Cette confusion est probablement en partie à l’origine de la thèse défendue par l’Irlande, dans la mesure où cet État membre fait uniquement prévaloir les clauses d’exclusion, en les interprétant comme signifiant que le seul fait qu’un acte vise un objectif d’intérêt général, tel que la recherche, la détection et la poursuite d’infractions graves, mentionné à l’article 1^er, paragraphe 1, de la directive 2006/24, suffit à l’exclure du champ d’application du droit communautaire.

128. L’existence même des clauses de restriction figurant dans les directives 95/46 et 2002/58, qui précisent les motifs d’intérêt général en vertu desquels la portée des droits et obligations en matière de protection des données peut être restreinte, démontre toutefois que cette thèse est erronée et que la seule mention d’un objectif d’intérêt général tel que celui visant la recherche, la détection et la poursuite d’infractions graves, mentionné à l’article 1^er, paragraphe 1, de la directive 2006/24, ne suffit pas, en soi, à identifier ce qui relève ou non du droit communautaire ou, plus précisément, du système communautaire de protection des données à caractère personnel.

129. Afin de préserver l’effet utile des clauses de restriction et d’éviter qu’elles ne constituent qu’une simple répétition des clauses d’exclusion, il convient, par conséquent, de considérer que, en application des clauses d’exclusion contenues aux articles 3, paragraphe 2, premier tiret, de la directive 95/46 et 1^er, paragraphe 3, de la directive 2002/58, ce n’est que dans le cas où un traitement de données est mis en œuvre pour l’exercice d’activités propres aux États ou aux autorités étatiques et étrangères aux domaines d’activités des particuliers, pour reprendre la formule utilisée par la Cour dans ses arrêts précités Lindqvist puis Parlement/Conseil et Commission, qu’il se trouve exclu du système communautaire de protection des données à caractère personnel.

130. Compte tenu de ces éléments, nous maintenons donc que, dans la mesure où la directive 2006/24 ne contient pas de dispositions harmonisant les conditions d’accès aux données et d’utilisation de celles-ci pour l’exercice d’activités propres aux États ou aux autorités étatiques et étrangères aux domaines d’activités des particuliers et, en particulier, aucune disposition susceptible d’être couverte par la notion de «coopération policière et judiciaire en matière pénale» au sens du titre VI du traité UE, c’est à bon droit qu’elle a été adoptée dans le cadre du pilier communautaire et, plus précisément, sur la base de l’article 95 CE.

131. Si elle avait été suivie, la thèse soutenue par l’Irlande, à savoir que la directive 2006/24 aurait dû être adoptée sur le fondement des articles 30 UE, 31, paragraphe 1, sous c), UE et 34, paragraphe 2, sous b), UE, aurait donc conduit à une violation de l’article 47 UE.

132. Enfin, il convient de préciser que, même s’il était considéré que la directive 2006/24 possède une double composante relevant tant de l’établissement et du fonctionnement du marché intérieur, conformément à ce que prévoit l’article 95 CE, que de la «coopération policière et judiciaire en matière pénale» au sens du titre VI du traité UE, sans que l’une soit accessoire par rapport à l’autre, l’article 47 UE continuerait à faire obstacle à l’utilisation d’une base juridique relevant de ce titre du traité UE.

133. La Cour a, en effet, précisé dans son arrêt du 20 mai 2008, Commission/Conseil, précité, la portée de l’article 47 UE dans le cas où l’examen d’une mesure démontre qu’elle poursuit une double finalité ou qu’elle a une double composante, relevant, respectivement, du traité CE et du traité UE, sans que l’une soit accessoire par rapport à l’autre. Dans une telle situation, elle a jugé que, dès lors que l’article 47 UE s’oppose à l’adoption par l’Union, sur la base du traité UE, d’une mesure qui pourrait être valablement adoptée sur le fondement du traité CE, l’Union ne saurait recourir à une base juridique relevant d’un domaine couvert par le traité UE pour adopter des dispositions qui relèvent également d’une compétence attribuée par le traité CE à la Communauté.

134. Ainsi, lorsqu’une mesure possède une double composante qui pourrait la faire relever tant du traité CE que du traité UE, l’article 47 UE donne, en tout état de cause, la priorité au traité CE.

VII – Conclusion

135. Eu égard à l’ensemble des considérations qui précèdent, nous proposons à la Cour de statuer comme suit:

«1) Le recours est rejeté.

2) L’Irlande est condamnée aux dépens.

3) Le Royaume d’Espagne, le Royaume des Pays‑Bas, la République slovaque, la Commission des Communautés européennes ainsi que le Contrôleur européen de la protection des données supportent leurs propres dépens.»

1 – Langue originale: le français.

2 – Nous pensons, en particulier, aux arrêts du 13 septembre 2005, Commission/Conseil (C‑176/03, Rec. p. I‑7879); du 30 mai 2006, Parlement/Conseil et Commission (C‑317/04 et C‑318/04, Rec. p. I‑4721); du 23 octobre 2007, Commission/Conseil (C‑440/05, Rec. p. I‑9097), et du 20 mai 2008, Commission/Conseil (C‑91/05, non encore publié au Recueil).

3 – JO L 105, p. 54.

4 – JO L 281, p. 31.

5 – JO L 201, p. 37.

6 – Document du Conseil n° 8958/04, CRIMORG 36, TELECOM 82.

7 – COM(2005) 438 final.

8 – A6‑0365/2005.

9 – T6‑0512/2005.

10 – Voir, en ce sens, arrêt du 20 mai 2008, Commission/Conseil, précité (point 33 et jurisprudence citée).

11 – Ibidem (point 58 et jurisprudence citée).

12 – Ibidem (point 59).

13 – Ibidem (point 60).

14 – Arrêt du 23 octobre 2007, Commission/Conseil, précité (point 61).

15 – Arrêt du 12 décembre 2006, Allemagne/Parlement et Conseil (C‑380/03, Rec. p. I‑11573, point 37 et jurisprudence citée).

16 – Ibidem (point 38 et jurisprudence citée).

17 – Ibidem (point 80 et jurisprudence citée).

18 – Voir, à cet égard, annexe 1 du mémoire en duplique déposé par le Parlement ainsi que le document de travail de la Commission du 21 septembre 2005 figurant en annexe de sa proposition de directive [SEC(2005) 1131, point 1.4].

19 – Voir, notamment, les estimations indiquées dans le document de travail de la Commission du 21 septembre 2005, op. cit. (point 4.3.4).

20 – Voir, en ce sens, en matière de santé publique, arrêt Allemagne/Parlement et Conseil, précité (point 39 et jurisprudence citée).

21 – Ibidem (point 40 et jurisprudence citée).

22 – Parmi les propositions de décisions‑cadres qui abordent les questions relatives à la consultation, à l’utilisation et à l’échange d’informations par les autorités compétentes en matière répressive, voir, notamment, proposition de décision‑cadre du Conseil, du 12 octobre 2005, relative à l’échange d’informations en vertu du principe de disponibilité [COM(2005) 490 final], ainsi que proposition de décision‑cadre du Conseil, du 6 novembre 2007, relative à l’utilisation des données des dossiers passagers (Passenger Name Record – PNR) à des fins répressives [COM(2007) 654 final].

23 – Souligné par nous.

24 – JO L 183, p. 83, ci‑après la «décision du Conseil».

25 – JO L 235, p. 11, ci‑après la «décision d’adéquation».

26 – C‑101/01, Rec. p. I‑12971.

27 – Cet accord a fait l’objet par la suite d’un rectificatif (JO 2005, L 255, p. 168).

28 – Voir point 139 des conclusions de l’avocat général Léger présentées dans l’affaire ayant donné lieu à l’arrêt Parlement/Conseil et Commission, précité.

29 – Ibidem (point 102).

30 – Ibidem (points 159 et 160).

31 – JO L 204, p. 16.

32 – Voir, à cet égard, proposition de décision‑cadre du Conseil, du 4 octobre 2005, relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale [COM(2005) 475 final].