Language of document : ECLI:EU:C:2020:18

Édition provisoire

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. GIOVANNI PITRUZZELLA

présentées le 21 janvier 2020 (1)

Affaire C746/18

H. K.

contre

Prokuratuur

[demande de décision préjudicielle formée par la Riigikohus (Cour suprême, Estonie)]

« Renvoi préjudiciel – Traitement des données à caractère personnel dans le secteur des communications électroniques – Confidentialité des communications – Fournisseurs de services de communications électroniques – Conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation – Enquêtes pénales – Accès de l’autorité chargée de l’enquête aux données conservées pour des périodes allant d’un jour à un an – Autorisation donnée par le ministère public – Utilisation des données dans le cadre du procès pénal en tant que preuves – Directive 2002/58/CE – Article 1er, paragraphe 3, article 3, et article 15, paragraphe 1 – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8 et 11 ainsi que article 52, paragraphe 1 »






I.      Introduction

1.        La présente demande de décision préjudicielle porte sur l’interprétation de l’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (2), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009 (3), lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (4).

2.        Cette demande a été présentée dans le cadre d’une procédure pénale engagée contre H. K., au motif que cette dernière aurait commis plusieurs vols, aurait utilisé une carte bancaire appartenant à une autre personne et aurait commis des actes de violence à l’égard d’une personne participant à une procédure judiciaire.

3.        Les procès-verbaux sur lesquels s’appuie la constatation de ces infractions ont été établis notamment sur la base de données à caractère personnel générées dans le cadre de la fourniture de services de communications électroniques. La Riigikohus (Cour suprême, Estonie) émet des doutes quant à la compatibilité avec le droit de l’Union des conditions dans lesquelles les services d’enquête ont eu accès à ces données.

4.        Ces doutes concernent, en premier lieu, la question de savoir si la durée de la période pour laquelle les services d’enquête ont eu accès aux données constitue un critère permettant d’évaluer la gravité de l’ingérence que constitue cet accès dans les droits fondamentaux des personnes concernées.

5.        En second lieu, la juridiction de renvoi souhaite savoir si le Prokuratuur (ministère public, Estonie), compte tenu des différentes missions qui lui sont confiées par la réglementation estonienne, constitue une autorité administrative « indépendante » au sens de l’arrêt du 21 décembre 2016, Tele2 Sverige et Watson e.a. (5).

II.    Le cadre juridique

A.      La directive 2002/58

6.        En vertu de l’article 1er, paragraphe 3, de la directive 2002/58, celle-ci « ne s’applique pas aux activités qui ne relèvent pas du traité instituant la Communauté européenne, telles que celles visées dans les titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux activités concernant la sécurité publique, la défense, la sûreté de l’État (y compris la prospérité économique de l’État lorsqu’il s’agit d’activités liées à la sûreté de l’État) ou aux activités de l’État dans des domaines relevant du droit pénal ».

7.        En outre, l’article 15, paragraphe 1, de cette directive, dispose que « [l]es États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l’article 8, paragraphes 1, 2, 3 et 4, et à l’article 9 de la présente directive lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la directive 95/46/CE [(6)]. À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe. Toutes les mesures visées dans le présent paragraphe sont prises dans le respect des principes généraux du droit [de l’Union], y compris ceux visés à l’article 6, paragraphes 1 et 2, du traité sur l’Union européenne ».

B.      Le droit estonien

1.      La loi relative aux communications électroniques

8.        L’elektroonilise side seadus (loi relative aux communications électroniques) (7), du 8 décembre 2004, dans sa version applicable au litige au principal, dispose, à son article 1111, intitulé « Obligation de conserver les données » :

« [...]

(2)      Les fournisseurs de services de téléphonie fixe et de téléphonie mobile ainsi que de réseau de services de téléphonie fixe et de téléphonie mobile sont tenus de conserver les données suivantes :

1)      le numéro de l’appelant ainsi que le nom et l’adresse de l’abonné ;

2)      le numéro de l’appelé ainsi que le nom et l’adresse de l’abonné ;

3)      en cas de services complémentaires, tels que le renvoi ou le transfert d’appel, le numéro composé ainsi que le nom et l’adresse de l’abonné ;

4)      la date ainsi que l’heure du début et de la fin de l’appel ;

5)      le service de téléphonie fixe ou mobile utilisé ;

6)      l’identité internationale de l’abonné mobile (International Mobile Subscriber Identity – IMSI) de l’appelant et de l’appelé ;

7)      l’identité internationale d’équipement mobile (International Mobile Equipment Identity – IMEI) de l’appelant et de l’appelé ;

8)      l’identifiant cellulaire au moment du début de l’appel ;

9)      les données identifiant la localisation géographique de la cellule par référence à l’identifiant cellulaire au cours de la période pendant laquelle les données sont conservées ;

10)      en cas de services de téléphonie mobile anonymes à prépaiement, la date et l’heure de la première activation du service ainsi que l’identité de localisation d’où le service a été activé.

[...]

(4)      Les données visées aux paragraphes 2 et 3 du présent article sont conservées pour une durée d’un an à compter de la date de la communication, si elles sont générées ou traitées au cours de la fourniture du service de communication [...]

[...]

(11)      Les données visées aux paragraphes 2 et 3 du présent article sont transférées :

1)      conformément au kriminaalmenetluse seadustik [code de procédure pénale (8)], à l’autorité chargée de l’enquête, à l’autorité habilitée à adopter des mesures de surveillance, au ministère public, au tribunal ;

[...] »

2.      Le code de procédure pénale

9.        L’article 17 du code de procédure pénale, dans sa version applicable au litige au principal, intitulé « Parties à la procédure en justice », dispose, à son paragraphe 1 :

« Sont parties à la procédure : le ministère public [...] »

10.      Aux termes de l’article 30 du code de procédure pénale, intitulé « Le ministère public dans la procédure pénale » :

« (1)      Le ministère public dirige la procédure d’instruction, tout en garantissant la légalité et l’efficacité de celle-ci, et représente l’action publique lors du procès.

(2)      Les compétences du ministère public dans le cadre de la procédure pénale sont exercées en son nom par un procureur qui agit de manière indépendante et qui est uniquement soumis à la loi. »

11.      L’article 901 du code de procédure pénale, intitulé « Réclamation de données aux entreprises de communication », prévoit, à ses paragraphes 2 et 3 :

« (2)      L’autorité chargée de l’enquête peut, sur autorisation du ministère public au cours d’une procédure d’instruction ou sur autorisation du tribunal au cours d’un procès devant celui-ci, demander à une entreprise de communications électroniques qu’elle fournisse les données énumérées à l’article 1111, paragraphes 2 et 3, de la loi relative aux communications électroniques qui ne sont pas citées au paragraphe 1 du présent article. Cette autorisation indique de manière précise les dates relatives à la période à propos de laquelle il est possible d’exiger des données.

(3)      Les demandes de fourniture de données au sens du présent article ne peuvent être faites que si elles sont absolument nécessaires pour atteindre l’objectif de la procédure pénale. »

12.      L’article 211 du code de procédure pénale, intitulé « Objectif de la procédure d’instruction », est rédigé comme suit :

« (1)      L’objectif de la procédure d’instruction est la collecte d’éléments de preuve et la création des autres conditions nécessaires à la tenue d’un procès.

(2)      Au cours de la procédure d’instruction, l’autorité chargée de l’enquête et le ministère public vérifient les éléments à charge et les éléments à décharge recueillis contre le suspect ou la personne poursuivie. »

3.      La loi relative au ministère public

13.      La prokuratuuriseadus (loi relative au ministère public) (9), du 22 avril 1998, dans sa version applicable au litige au principal, dispose, à son article 1er, intitulé « Le ministère public » :

« (1)      Le ministère public est une autorité gouvernementale relevant du Justiitsministeeriumi [ministère de la Justice, Estonie], qui participe à la planification des mesures de surveillance nécessaires en vue de combattre et de détecter les infractions pénales, il dirige la procédure d’instruction pénale, tout en garantissant la légalité et l’efficacité de celle‑ci, il représente l’action publique lors du procès et il remplit les autres missions incombant au ministère public en vertu de la loi.

(11)      Le ministère public remplit de manière indépendante les missions qui lui incombent en vertu de la loi et il agit en se fondant sur la présente loi, sur d’autres lois et sur les actes adoptés en vertu de celles‑ci.

[...] »

14.      L’article 2 de la loi relative au ministère public, intitulé « Le procureur », prévoit, à son paragraphe 2 :

« Le procureur remplit ses missions de manière indépendante et il agit uniquement en vertu de la loi et selon sa conviction. »

III. Les faits, la procédure au principal et les questions préjudicielles

15.      Par décision du 6 avril 2017, H. K. a été condamnée, par le Viru Maakohus (tribunal de première instance de Viru, Estonie), à une peine d’emprisonnement de deux ans pour avoir commis, au cours de la période allant du 4 août 2015 au 1er février 2016, huit vols de produits alimentaires et d’autres biens matériels d’une valeur allant de 3 à 40 euros ainsi que de sommes d’argent de montants compris entre 5,20 et 2 100 euros, pour avoir utilisé la carte bancaire d’une autre personne afin de retirer de l’argent dans un distributeur automatique, causant à cette personne un préjudice de 3 941,82 euros et pour avoir commis des actes de violence à l’égard d’une personne participant à une procédure en justice (10).

16.      Afin de condamner H. K. pour ces infractions, le Viru Maakohus (tribunal de première instance de Viru) s’est, entre autres, fondé sur plusieurs procès-verbaux établis à partir de données relatives à des communications électroniques, visées à l’article 1111, paragraphe 2, de la loi relative aux communications électroniques, que l’autorité chargée de l’enquête avait recueillies auprès d’un fournisseur de services de télécommunications au cours de la procédure d’instruction, après avoir obtenu, en vertu de l’article 901, paragraphe 2, du code de procédure pénale, des autorisations accordées par un procureur du Viru Ringkonnaprokuratuur (parquet du district de Viru, Estonie).

17.      Ainsi, le 2 novembre 2015, un procureur du parquet du district de Viru a donné l’autorisation à l’autorité chargée de l’enquête d’exiger de l’entreprise de télécommunications de fournir les données visées à l’article 1111, paragraphe 2, de la loi relative aux communications électroniques, en vue de déterminer, par le biais de deux numéros de téléphone mobile de H. K., la transmission de communications et de messages, la durée de ceux-ci et la manière dont la transmission a été effectuée, ainsi que les données personnelles et la localisation de l’appelant/envoyeur et de l’appelé/destinataire en date du 21 septembre 2015.

18.      Le 4 novembre 2015, l’autorité chargée de l’enquête a établi un procès‑verbal concernant les données obtenues de l’entreprise de télécommunications grâce à cette autorisation, dans lequel étaient indiqués les mâts de diffusion, dans le rayon desquels le numéro d’abonné utilisé par H. K. avait été utilisé le 21 septembre 2015 après 19 heures. Le ministère public a voulu, grâce à ce procès‑verbal et à d’autres preuves, démontrer au tribunal que H. K. avait commis le vol intervenu le 21 septembre 2015.

19.      Le 25 février 2016, un procureur du parquet du district de Viru a donné l’autorisation à l’autorité chargée de l’enquête d’exiger de l’entreprise de télécommunications qu’elle fournisse, en vue de l’enquête relative à une infraction visée à l’article 303, paragraphe 1, du Karistusseadustik (code pénal) (11), les données visées à l’article 1111, paragraphe 2, de la loi relative aux communications électroniques concernant les sept numéros d’abonné utilisés par H. K. au cours de la période allant du 1er mars 2015 au 19 février 2016.

20.      Le 15 mars 2016, l’autorité chargée de l’enquête a établi un procès-verbal concernant les données obtenues de l’entreprise de télécommunications grâce à cette autorisation, dans lequel on retrouve les dates auxquelles H. K. a appelé ses coprévenus et a reçu des appels de ceux‑ci, ainsi que les dates auxquelles H. K. a envoyé des messages à ses coprévenus et a reçu des messages de ceux‑ci. Le ministère public a voulu, grâce à ce procès-verbal et à d’autres preuves, démontrer au tribunal que H. K. avait, dès le printemps de l’année 2015, menacé de manière répétée ses coprévenus par téléphone.

21.      Le 20 avril et le 6 mai 2016, l’autorité chargée de l’enquête a établi encore des procès‑verbaux concernant les données obtenues de l’entreprise de télécommunications grâce à la même autorisation. Ces procès-verbaux indiquent les stations de base dans le rayon desquelles des appels ont été passés et reçus les 4, 27 et 31 août 2015 ainsi que du 1er au 3 septembre 2015 par le biais des six numéros d’abonné utilisés par H. K. Grâce auxdits procès-verbaux et à l’ensemble des autres preuves, le ministère public a voulu prouver au tribunal que les six vols intervenus les jours indiqués avaient été commis par H. K.

22.      Le 20 avril 2016, l’autorité chargée de l’enquête a établi un procès-verbal comportant les données relatives à deux numéros d’abonné utilisés par H. K. Plus précisément, ce procès-verbal indique les stations de base dans le rayon desquelles des appels ont été passés et reçus du 16 au 19 janvier 2015 par le biais de ces numéros d’abonné. Grâce à ce procès-verbal et à d’autres preuves, le ministère public a voulu prouver que c’est H. K. qui, du 17 au 19 janvier 2015, avait retiré de l’argent du distributeur automatique en utilisant la carte bancaire de la victime.

23.      Les données à l’origine dudit procès-verbal ont été obtenues de l’entreprise de télécommunications grâce aux autorisations qu’un procureur du parquet du district de Viru avait délivrées dans une autre affaire pénale le 28 janvier et le 2 février 2015. Cette affaire portait sur des infractions visées à l’article 200, paragraphe 2, points 7, 8 et 9, du code pénal, à savoir deux vols avec violence, commis les 23 et 27 janvier 2015 par un groupe avec usage d’une arme et par effraction. Grâce à ces autorisations, il était possible pour l’autorité chargée de l’enquête d’exiger de l’entreprise de télécommunications qu’elle fournisse, pour la période allant du 1er janvier au 2 février 2015, les données visées à l’article 1111, paragraphe 2, de la loi relative aux communications électroniques concernant les deux numéros d’abonné et les différentes identités internationales d’équipement mobile de H. K.

24.      Il ressort de cette description des faits de la procédure au principal que le ministère public a, conformément à l’article 901, paragraphe 2, du code de procédure pénale, autorisé l’autorité chargée de l’enquête à adresser des demandes de fourniture de données à l’entreprise de télécommunications dans le cadre de la procédure d’instruction. Les autorisations concernant les données des numéros d’abonné de la personne poursuivie ont été délivrées en vue d’une enquête relative à différentes infractions pénales pour une durée, respectivement, d’une journée, d’environ un mois et d’environ un an.

25.      H. K. a introduit un appel contre la décision du Viru Maakohus (tribunal de première instance de Viru) devant la Tartu Ringkonnakohus (cour d’appel de Tartu, Estonie), qui a rejeté cet appel par décision du 17 novembre 2017. H. K. a alors formé un pourvoi en cassation auprès de la Riigikohus (Cour suprême), en demandant l’annulation des décisions de première et deuxième instances, la fin des poursuites pénales à son encontre ainsi que sa relaxe.

26.      H. K. fait valoir que les procès-verbaux comportant des données obtenues auprès de l’entreprise de télécommunications ne sont pas des preuves recevables et que sa condamnation à partir de ces procès‑verbaux n’est pas fondée. Conformément à l’arrêt Tele2 Sverige et Watson e.a., les règles de l’article 1111 de la loi relative aux communications électroniques prévoyant l’obligation pour ces fournisseurs de services de conserver des données relatives aux communications ainsi que l’utilisation de ces données aux fins de sa condamnation seraient contraires à l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte.

27.      Selon la juridiction de renvoi, se pose ainsi la question de savoir si les procès-verbaux en cause, que l’autorité chargée de l’enquête a établis à partir de données, visées à l’article 1111, paragraphe 2, de la loi relative aux communications électroniques, exigées de l’entreprise de télécommunications avec l’autorisation du ministère public, peuvent être considérés comme des preuves recevables.

28.      Les données que les fournisseurs de services de communications électroniques devraient conserver pendant une durée d’un an comporteraient, entre autres, le numéro de l’appelant et de l’appelé, le nom et l’adresse de l’abonné, la date et l’heure du début et de la fin de l’appel, le service de téléphonie fixe ou mobile utilisé, l’identité internationale de l’abonné mobile et l’identité internationale d’équipement mobile de l’appelant et de l’appelé, de même que l’identifiant cellulaire au moment du début de l’appel et les données identifiant la localisation géographique de la cellule. La juridiction de renvoi relève qu’il s’agit là de données qui sont liées à l’existence d’un transfert de communications et de messages par le biais d’un téléphone fixe ou mobile, ainsi qu’à la localisation de l’utilisation de l’appareil de communication mobile, mais que ces données ne fournissent pas d’informations sur le contenu des communications.

29.      Ainsi qu’il ressortirait des arrêts Tele2 Sverige et Watson e.a. ainsi que du 2 octobre 2018, Ministerio Fiscal (12), une réglementation nationale régissant la conservation des données relatives au trafic et des données de localisation ainsi que l’accès à ces données dans le cadre d’une procédure pénale, telle que l’article 1111, paragraphes 2 et 4, de la loi relative aux communications électroniques et l’article 901, paragraphe 2, du code de procédure pénale, relèverait du champ d’application de la directive 2002/58.

30.      La recevabilité des preuves dépendrait du respect des règles de procédure régissant la collecte de celles‑ci. Ainsi, lors de l’appréciation de la recevabilité des procès-verbaux en cause au principal en tant que preuves, il conviendrait également d’examiner la question de savoir dans quelle mesure la collecte des données auprès de l’entreprise de télécommunications, sur lesquelles ces procès‑verbaux sont fondés, était conforme à l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte.

31.      Eu égard aux arrêts Tele2 Sverige et Watson e.a. (13) ainsi que    (14), la juridiction de renvoi se demande s’il convient d’interpréter l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte, en ce sens que l’accès des autorités nationales à des données permettant de retrouver et d’identifier la source et la destination d’une communication téléphonique à partir du téléphone fixe ou mobile du suspect, d’en déterminer la date, l’heure, la durée et la nature, d’identifier le matériel de communication utilisé, ainsi que de localiser le matériel de communication mobile utilisé, constitue une ingérence tellement grave dans les droits fondamentaux garantis par ces articles de la Charte que cet accès doit être limité à la lutte contre la criminalité grave, indépendamment de la période pour laquelle ces autorités nationales ont sollicité l’accès aux données conservées.

32.      À cet égard, la juridiction de renvoi considère que la période pour laquelle les données en cause sont exigées constitue un élément essentiel pour l’appréciation de la gravité de l’ingérence dans les droits fondamentaux que constituerait l’accès aux données en cause. Il serait donc possible que cette ingérence ne doive pas être considérée comme grave, dès lors que les données requises ne porteraient que sur une période très courte, telle qu’un jour. Dans ce cas, il ne serait, en général, pas possible de tirer, à partir de ces données, des conclusions précises concernant la vie privée de la personne concernée, de sorte que l’accès des autorités nationales auxdites données pourrait être justifié par l’objectif de recherche et de poursuite des infractions pénales en général.

33.      En outre, la juridiction de renvoi s’interroge sur le point de savoir si l’accès à des données telles que celles en cause au principal peut, eu égard aux enseignements découlant de l’arrêt Ministerio Fiscal (15), être justifié par ce même objectif, lorsque la quantité de données auxquelles les autorités ont accès est réduite et que l’ingérence dans les droits fondamentaux en cause ne serait donc pas grave. S’agissant de la quantité de données, il serait essentiel de tenir compte du type de données (telles que celles relatives à la destination d’une communication ou à la localisation du matériel) et de la durée de la période concernée (par exemple, un jour, un mois ou une année). Selon cette juridiction, plus l’infraction serait grave, plus l’ingérence autorisée dans les droits fondamentaux dans le cadre de la procédure pourrait être grave, ce qui signifie que la quantité de données auxquelles les autorités nationales peuvent avoir accès serait d’autant plus grande.

34.      Enfin, la juridiction de renvoi se demande si le ministère public peut être considéré comme une autorité administrative « indépendante » au sens de l’arrêt Tele2 Sverige et Watson e.a. (16). Elle relève que, en Estonie, c’est le ministère public qui dirige la procédure d’instruction dont l’objectif est, notamment, la collecte de preuves. Elle souligne également que l’autorité chargée de l’enquête et le ministère public vérifient les éléments à charge et les éléments à décharge concernant le suspect. Elle note enfin que les compétences du ministère public sont exercées en son nom par un procureur qui remplit ses missions de manière indépendante, ce qui résulte de l’article 30, paragraphes 1 et 2, du code de procédure pénale et de l’article 1er, paragraphes 1 et 11, ainsi que de l’article 2, paragraphe 2, de la loi relative au ministère public.

35.      Dans ce contexte, la juridiction de renvoi souligne que ses doutes quant à l’indépendance requise par le droit de l’Union sont principalement dus au fait que, après la procédure d’instruction, si le ministère public est convaincu que toutes les preuves nécessaires ont été recueillies et s’il y a lieu, il présente ses réquisitions contre la personne en cause. Cette juridiction relève que, dans ce cas, c’est le ministère public qui représente l’action publique lors du procès et qu’il est donc également partie à la procédure. La juridiction de renvoi relève aussi que la Cour européenne des droits de l’homme a déjà admis que, dans certaines conditions, des actes de surveillance peuvent être autorisés en l’absence de contrôle judiciaire préalable, à condition qu’un contrôle judiciaire intervienne a posteriori (17).

36.      Dans ces conditions, la Riigikohus (Cour suprême) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1)      Convient-il d’interpréter l’article 15, paragraphe 1, de la directive [2002/58], lu conjointement avec les articles 7, 8 et 11 ainsi que l’article 52, paragraphe 1, de la [Charte], en ce sens que l’accès des autorités nationales, dans le cadre d’une procédure pénale, à des données permettant de retrouver et d’identifier la source et la destination d’une communication téléphonique à partir du téléphone fixe ou mobile du suspect, d’en déterminer la date, l’heure, la durée et la nature, d’identifier le matériel de communication utilisé ainsi que de localiser le matériel de communication mobile utilisé constitue une ingérence tellement grave dans les droits fondamentaux garantis par les articles précités de la Charte que, lors de la prévention, de la recherche, de la détection et de la poursuite d’infractions pénales, cet accès doit être limité à la lutte contre la criminalité grave, indépendamment de la période pour laquelle les autorités nationales ont accès aux données conservées ?

2)      Convient-il d’interpréter l’article 15, paragraphe 1, de la directive [2002/58] à partir du principe de proportionnalité tel que formulé aux points 55 à 57 de l’arrêt [Ministerio Fiscal] en ce sens que, si la quantité des données visées à la première question, auxquelles les autorités nationales ont accès, n’est pas très importante (tant du point de vue de la nature des données que du point de vue de la longueur de la période concernée), l’ingérence dans les droits fondamentaux qui en découle peut être justifiée de manière générale par l’objectif de la prévention, de la recherche, de la détection et de la poursuite d’infractions pénales et que, plus la quantité des données auxquelles les autorités nationales ont accès est importante, plus les infractions pénales contre lesquelles l’ingérence est destinée à lutter doivent être graves ?

3)      Convient-il de considérer que l’exigence figurant au deuxième point du dispositif de l’arrêt [Tele2 Sverige et Watson e.a.], selon laquelle l’accès des autorités nationales compétentes aux données doit être soumis à un contrôle préalable par une juridiction ou une autorité administrative indépendante, signifie que l’article 15, paragraphe 1, de la directive [2002/58] doit être interprété en ce sens que l’on peut considérer comme une autorité administrative indépendante le ministère public qui dirige la procédure d’instruction et qui, ce faisant, est, en vertu de la loi, tenu d’agir de manière indépendante, en étant uniquement soumis à la loi et en examinant, dans le cadre de la procédure d’instruction, à la fois les éléments à charge et les éléments à décharge concernant la personne poursuivie, mais qui représente l’action publique au cours de la procédure judiciaire ultérieure ? »

IV.    Analyse

37.      Par ses première et deuxième questions préjudicielles, la juridiction de renvoi souhaite, en substance, savoir si l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens que, parmi les critères qui permettent d’apprécier la gravité de l’ingérence dans les droits fondamentaux que constitue l’accès par les autorités nationales compétentes à des données à caractère personnel que les fournisseurs de services de communications électroniques sont tenus de conserver en vertu d’une réglementation nationale, figurent les catégories de données concernées ainsi que la durée de la période pour laquelle l’accès est demandé.

38.      Avant de répondre à cette question, je formulerai deux séries d’observations liminaires qui me permettront de répondre, d’une part, aux arguments soulevés par certains États membres en ce qui concerne le champ d’application de la directive 2002/58 et, d’autre part, à la suggestion de la Commission européenne d’examiner, dans le cadre du présent renvoi préjudiciel, la compatibilité avec le droit de l’Union de la réglementation estonienne, en ce qu’elle impose aux fournisseurs de services de communications électroniques de conserver plusieurs catégories de données à caractère personnel générées dans le cadre de ces services.

A.      Observations liminaires

1.      Sur le champ dapplication de la directive 2002/58

39.      Les gouvernements irlandais, hongrois et polonais soulèvent des interrogations quant au champ d’application de la directive 2002/58.

40.      Le gouvernement irlandais semble considérer qu’une réglementation nationale relative à l’accès des autorités compétentes en matière pénale à des données conservées serait, en vertu de l’article 1er, paragraphe 3, de la directive 2002/58, exclue du champ d’application de cette directive.

41.      Cet argument doit être écarté en application de la jurisprudence de la Cour issue des arrêts Tele2 Sverige et Watson e.a. ainsi que Ministerio Fiscal.

42.      Il convient, à cet égard, d’indiquer que la Cour a jugé que les mesures législatives visées à l’article 15, paragraphe 1, de la directive 2002/58 « relèvent du champ d’application de cette directive, même si elles se rapportent à des activités propres aux États ou aux autorités étatiques, étrangères aux domaines d’activité des particuliers, et même si les finalités auxquelles de telles mesures doivent répondre recoupent substantiellement les finalités poursuivies par les activités visées à l’article 1er, paragraphe 3, de la directive 2002/58 » (18). En effet, selon la Cour, « l’article 15, paragraphe 1, de cette directive présuppose nécessairement que les mesures nationales qui y sont visées relèvent du champ d’application de ladite directive, puisque cette dernière n’autorise expressément les États membres à les adopter que dans le respect des conditions qu’elle prévoit. En outre, les mesures législatives visées à l’article 15, paragraphe 1, de la directive 2002/58 régissent, aux fins mentionnées à cette disposition, l’activité des fournisseurs de services de communications électroniques » (19).

43.      La Cour en a conclu que « ledit article 15, paragraphe 1, lu en combinaison avec l’article 3 de la directive 2002/58, doit être interprété en ce sens que relèvent du champ d’application de cette directive, non seulement une mesure législative qui impose aux fournisseurs de services de communications électroniques de conserver les données relatives au trafic et les données de localisation, mais également une mesure législative portant sur l’accès des autorités nationales aux données conservées par ces fournisseurs » (20).

44.      En effet, selon la Cour, « la protection de la confidentialité des communications électroniques et des données relatives au trafic y afférentes, garantie par l’article 5, paragraphe 1, de la directive 2002/58, s’applique aux mesures prises par toutes les personnes autres que les utilisateurs, qu’il s’agisse de personnes ou d’entités privées ou d’entités étatiques. Comme le confirme le considérant 21 de cette directive, celle‑ci vise à empêcher “tout accès” non autorisé aux communications, y compris à “toute donnée afférente à ces communications”, afin de protéger la confidentialité des communications électroniques » (21).

45.      À ces arguments, la Cour a ajouté que « des mesures législatives imposant aux fournisseurs de services de communications électroniques de conserver des données à caractère personnel ou d’accorder aux autorités nationales compétentes l’accès à ces données, impliquent nécessairement un traitement, par ces fournisseurs, desdites données [...]. De telles mesures, en ce qu’elles régissent les activités desdits fournisseurs, ne sauraient donc être assimilées à des activités propres aux États, visées à l’article 1er, paragraphe 3, de la directive 2002/58 » (22).

46.      À l’instar de ce que la Cour a jugé dans son arrêt Ministerio Fiscal (23), il y a lieu de déduire de l’ensemble de ces arguments qu’une demande d’accès à des données à caractère personnel conservées par des fournisseurs de services de communications électroniques, formulée dans le cadre d’une procédure d’instruction pénale, entre dans le champ d’application de la directive 2002/58.

47.      Par ailleurs, les gouvernements hongrois et polonais invoquent l’argument selon lequel le droit de l’Union ne régit pas la question de la recevabilité des preuves dans les procédures pénales.

48.      S’il est vrai que ce droit ne régit pas, en l’état actuel de son évolution, les règles relatives à la recevabilité des preuves dans une procédure pénale, la juridiction de renvoi a cependant clairement souligné en quoi l’interprétation du droit de l’Union qu’elle sollicite est nécessaire pour qu’elle puisse se prononcer sur la recevabilité des preuves. En effet, celle-ci dépend du respect des conditions et des règles de procédure régissant la collecte de ces preuves. Ainsi, lors de l’appréciation de la recevabilité des procès-verbaux en cause au principal en tant que preuves, la juridiction de renvoi doit examiner la question préalable de savoir dans quelle mesure la collecte des données auprès de l’entreprise de télécommunications, sur lesquelles ces procès‑verbaux sont fondés, était conforme à l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte. Or, cette question préalable porte sur un aspect qui, comme je l’ai souligné précédemment, est régi par le droit de l’Union. Sur cet aspect, les règles nationales applicables en matière d’administration de la preuve doivent donc respecter les exigences découlant des droits fondamentaux garantis par le droit de l’Union (24). Dans ces conditions, l’argument soulevé par les gouvernements hongrois et polonais est, à mes yeux, dénué de pertinence.

2.      Sur la conservation des données relatives au trafic et des données de localisation

49.      Même si les questions posées par la juridiction de renvoi portent sur les conditions d’accès aux données, la Commission invite la Cour à se prononcer, dans le cadre du présent renvoi préjudiciel, également sur la problématique relative à la conservation des données. À cet égard, elle observe, en substance, qu’un accès légal aux données conservées exige que la réglementation nationale imposant aux fournisseurs de services de communications électroniques la conservation des données générées dans le cadre de ces services réponde aux exigences posées par l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière de la Charte, ou que les données en cause aient été conservées par ces fournisseurs de leur propre initiative, notamment à des fins commerciales, en conformité avec cette même directive.

50.      S’agissant de l’affaire au principal, la Commission observe que les données auxquelles l’autorité chargée de l’enquête a eu accès ont été conservées par les fournisseurs de services de communications électroniques non pas de leur propre initiative à des fins commerciales, mais au titre de l’obligation de conservation que leur impose l’article 1111 de la loi relative aux communications électroniques. Elle relève également que H. K. conteste la légalité des règles nationales relatives tant à l’accès aux données qu’à leur conservation (25).

51.      Cela étant, je relève que, à l’instar de ce qui était le cas dans le cadre du renvoi préjudiciel ayant donné lieu à l’arrêt Ministerio Fiscal (26), les questions formulées par la juridiction de renvoi dans le cadre de la présente affaire ne visent pas à déterminer si les données à caractère personnel en cause au principal ont été conservées par les fournisseurs de services de communications électroniques dans le respect des conditions visées à l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte. Ces questions portent uniquement sur la compatibilité avec ces dispositions des conditions dans lesquelles l’accès par les autorités nationales d’enquête à de telles données est autorisé en vertu de la réglementation estonienne. C’est pourquoi le débat qui s’est engagé devant la Cour a porté quasi exclusivement sur ces conditions d’accès.

52.      En tout état de cause, la juridiction de renvoi peut s’appuyer sur la jurisprudence issue de l’arrêt Tele2 Sverige et Watson e.a. si elle estime nécessaire, aux fins de résoudre le litige au principal, de statuer sur la compatibilité avec le droit de l’Union de l’article 1111 de la loi relative aux communications électroniques.

53.      À cet égard, je me contenterai de rappeler que, selon la Cour, « l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique » (27).

54.      Il incombe à la juridiction de renvoi de vérifier, le cas échéant, si la réglementation estonienne impose aux fournisseurs de services de communications électroniques une obligation de conservation des données qui présente un tel caractère généralisé et indifférencié, et d’en tirer les conséquences aux fins de résoudre le litige au principal. Si le régime de conservation des données mis en place par la République d’Estonie devait être considéré comme étant non conforme au droit de l’Union, parce que disproportionné au regard de l’objectif poursuivi, l’accès aux données ainsi conservées ne pourrait pas non plus être justifié par ce même objectif.

55.      Ce n’est que si cette obligation de conservation est assortie de limitations appropriées, notamment en ce qui concerne les catégories de données concernées et la durée de conservation, selon un régime différencié en fonction de l’objectif poursuivi et strictement nécessaire pour atteindre cet objectif, qu’elle pourra remplir le test de proportionnalité.

56.      Je ne développerai pas davantage dans le cadre des présentes conclusions la notion de « conservation limitée des données » qui est examinée en détail par M. l’avocat général Campos Sánchez-Bordona dans les conclusions qu’il a présentées le 15 janvier 2020 dans le cadre de l’affaire Ordre des barreaux francophones et germanophone e.a. (28).

B.      Sur l’accès des autorités nationales compétentes aux données conservées

1.      Les enseignements tirés de larrêt Tele2 Sverige et Watson e.a.

57.      La Cour appréhende la problématique relative à l’accès des autorités nationales compétentes aux données conservées « indépendamment de l’étendue de l’obligation de conservation de données qui serait imposée aux fournisseurs de services de communications électroniques » et, en particulier, indépendamment du caractère généralisé ou ciblé d’une conservation des données (29). Ce constat est en lien avec le fait que la Cour considère la conservation des données et l’accès à celles-ci comme deux ingérences distinctes dans les droits fondamentaux protégés par la Charte.

58.      L’accès aux données conservées « doit répondre effectivement et strictement à l’un [des] objectifs » figurant à l’article 15, paragraphe 1, première phrase, de la directive 2002/58. Il doit également y avoir une concordance entre la gravité de l’ingérence et l’objectif poursuivi. Si l’ingérence est qualifiée de « grave », elle peut seulement être justifiée par la lutte contre la criminalité grave (30).

59.      À l’instar de ce qui prévaut pour la conservation des données, l’accès à celles-ci par les autorités nationales compétentes ne peut être autorisé que dans les limites du strict nécessaire (31). De plus, les mesures législatives doivent « prévoir des règles claires et précises indiquant en quelles circonstances et sous quelles conditions les fournisseurs de services de communications électroniques doivent accorder aux autorités nationales compétentes l’accès aux données. De même, une mesure de cette nature doit être légalement contraignante en droit interne » (32). Plus précisément, les réglementations nationales doivent « prévoir les conditions matérielles et procédurales régissant l’accès des autorités nationales compétentes aux données conservées » (33).

60.      Il peut être déduit de ce qui précède qu’« un accès général à toutes les données conservées, indépendamment d’un quelconque lien, à tout le moins indirect, avec le but poursuivi, ne saurait être considéré comme limité au strict nécessaire » (34).

61.      Selon la Cour, « la réglementation nationale concernée doit se fonder sur des critères objectifs pour définir les circonstances et les conditions dans lesquelles doit être accordé aux autorités nationales compétentes l’accès aux données des abonnés ou des utilisateurs inscrits. À cet égard, un accès ne saurait, en principe, être accordé, en relation avec l’objectif de lutte contre la criminalité, qu’aux données de personnes soupçonnées de projeter, de commettre ou d’avoir commis une infraction grave ou encore d’être impliquées d’une manière ou d’une autre dans une telle infraction » (35).

62.      En d’autres termes, la réglementation nationale accordant aux autorités nationales compétentes l’accès aux données conservées doit avoir une portée suffisamment délimitée afin d’empêcher qu’un tel accès soit susceptible de porter sur un nombre important de personnes, voire sur toutes les personnes et tous les moyens de communication électronique ainsi que sur l’ensemble des données conservées. La Cour a, par conséquent, mis en avant le critère du lien entre les personnes concernées et l’objectif poursuivi.

63.      Par ailleurs, la Cour a posé les conditions auxquelles doit répondre tout accès des autorités nationales compétentes aux données conservées.

64.      Tout d’abord, cet accès doit, « en principe, sauf cas d’urgence dûment justifiés, [être] subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante » (36). La décision de cette juridiction ou de cette entité doit intervenir « à la suite d’une demande motivée de ces autorités présentée, notamment, dans le cadre de procédures de prévention, de détection ou de poursuites pénales » (37).

65.      Ensuite, il importe, selon la Cour, que « les autorités nationales compétentes auxquelles l’accès aux données conservées a été accordé, en informent les personnes concernées, dans le cadre des procédures nationales applicables, dès le moment où cette communication n’est pas susceptible de compromettre les enquêtes menées par ces autorités » (38).

66.      Enfin, les États membres doivent adopter des règles visant la sécurité et la protection des données conservées par les fournisseurs de services de communications électroniques, en vue d’éviter les abus ainsi que tout accès illicite aux données (39).

2.      Les enseignements tirés de larrêt Ministerio Fiscal

67.      Dans cette affaire, la Cour était saisie de la question de la compatibilité avec l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7 et 8 de la Charte, d’une réglementation nationale prévoyant l’accès des autorités nationales compétentes, telles que la police judiciaire, à des données relatives à l’identité civile des titulaires de certaines cartes SIM.

68.      Dans son arrêt, la Cour a relevé que, s’agissant de l’objectif de prévention, de recherche, de détection et de poursuite d’infractions pénales, le libellé de l’article 15, paragraphe 1, première phrase, de la directive 2002/58 ne limite pas cet objectif à la lutte contre les seules infractions graves, mais vise les « infractions pénales » en général (40).

69.      Le raisonnement développé par la Cour clarifie le fait que, s’agissant de l’accès aux données par les autorités nationales compétentes, il doit exister une correspondance entre la gravité de l’ingérence et la gravité des infractions en cause.

70.      Ainsi, la Cour rappelle, en se référant au point 99 de son arrêt Tele2 Sverige et Watson e.a., qu’elle a certes jugé que, « en matière de prévention, de recherche, de détection et de poursuite d’infractions pénales, seule la lutte contre la criminalité grave est susceptible de justifier un accès des autorités publiques à des données à caractère personnel conservées par les fournisseurs de services de communications qui, prises dans leur ensemble, permettent de tirer des conclusions précises concernant la vie privée des personnes dont les données sont concernées » (41).

71.      Toutefois, la Cour précise qu’elle a « motivé cette interprétation par le fait que l’objectif poursuivi par une réglementation régissant cet accès doit être en relation avec la gravité de l’ingérence dans les droits fondamentaux en cause que cette opération entraîne » (42).

72.      En effet, « conformément au principe de proportionnalité, une ingérence grave ne peut être justifiée, en matière de prévention, de recherche, de détection et de poursuite d’infractions pénales, que par un objectif de lutte contre la criminalité devant également être qualifiée de “grave” » (43).

73.      En revanche, « lorsque l’ingérence que comporte un tel accès n’est pas grave, ledit accès est susceptible d’être justifié par un objectif de prévention, de recherche, de détection et de poursuite d’“infractions pénales” en général » (44).

74.      Ces considérations appelaient donc une appréciation du point de savoir si, au vu des circonstances de l’espèce, l’ingérence dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte qu’un accès de la police judiciaire aux données en cause au principal aurait entraînée devait ou non être considérée comme « grave ».

75.      Or, à la différence de ce qui était le cas dans son arrêt Tele2 Sverige et Watson e.a., l’ingérence dans les droits protégés aux articles 7 et 8 de la Charte, constituée par l’accès aux données en cause, n’a pas été qualifiée de « grave » par la Cour (45). En effet, la demande d’accès avait « pour seul objet d’identifier les titulaires des cartes SIM activées, pendant une période de douze jours, avec le code [d’identité internationale d’équipement mobile] du téléphone mobile volé » (46). Il s’agissait de l’accès « aux seuls numéros de téléphone correspondant à ces cartes SIM ainsi qu’aux données relatives à l’identité civile des titulaires desdites cartes, telles que leurs nom, prénom et, le cas échéant, adresse. En revanche, ces données ne [portaient] pas [...] sur les communications effectuées avec le téléphone mobile volé ni sur la localisation de celui-ci » (47).

76.      La Cour en a déduit que « les données visées par la demande d’accès en cause au principal permettent uniquement de mettre en relation, pendant une période déterminée, la ou les cartes SIM activées avec le téléphone mobile volé avec l’identité civile des titulaires de ces cartes SIM. Sans un recoupement avec les données afférentes aux communications effectuées avec lesdites cartes SIM et les données de localisation, ces données ne permettent de connaître ni la date, l’heure, la durée et les destinataires des communications effectuées avec la ou les cartes SIM en cause, ni les endroits où ces communications ont eu lieu ou la fréquence de celles-ci avec certaines personnes pendant une période donnée. Lesdites données ne permettent donc pas de tirer de conclusions précises concernant la vie privée des personnes dont les données sont concernées » (48).

77.      Une fois écartée la qualification d’« ingérence grave », la Cour a pu considérer que l’objectif de prévention, de recherche, de détection et de poursuite d’infractions pénales en général, même non graves, pouvait être invoqué pour justifier l’ingérence en cause (49).

78.      C’est au vu de cette jurisprudence que la juridiction de renvoi pose ses première et deuxième questions préjudicielles, dans le but d’apprécier la gravité de l’ingérence que constitue l’accès aux données dans le cadre de la procédure pénale en cause au principal. Elle cherche, plus précisément, à savoir si les catégories de données concernées ainsi que la durée de la période pour laquelle l’accès à ces données est sollicité constituent, dans cette perspective, des critères pertinents.

3.      Sur les critères permettant dévaluer la gravité de lingérence

79.      Ainsi qu’il ressort de la jurisprudence de la Cour, plus les catégories de données auxquelles l’accès est demandé sont nombreuses, plus l’ingérence est susceptible d’être qualifiée de « grave ».

80.      Cela étant, les première et deuxième questions que pose la juridiction de renvoi vont conduire la Cour à préciser si, outre les catégories de données en cause, l’étendue de la période concernée par cet accès joue aussi un rôle dans la détermination de la gravité de l’ingérence.

81.      À mon avis, la réponse devrait être affirmative. Je relève d’ailleurs que, dans son arrêt Ministerio Fiscal, la Cour a également tenu compte de la durée de la période concernée par l’accès dans le cadre de son appréciation, à savoir douze jours en l’occurrence (50).

82.      C’est la conjonction entre la nature des données visées et la durée de la période sur laquelle porte l’accès qui permet d’apprécier la gravité de l’ingérence. Ces deux aspects permettent, en effet, de vérifier si le critère déterminant de la gravité de l’ingérence est rempli, c’est-à-dire si l’accès aux données en cause est susceptible de permettre aux autorités nationales compétentes de tirer des conclusions précises concernant la vie privée des personnes dont les données sont concernées par cet accès. Or, pour pouvoir brosser le portrait précis d’une personne, il est nécessaire non seulement que l’accès concerne plusieurs catégories de données, telles que les données d’identification, de trafic et les données de localisation, mais également que cet accès porte sur une période suffisamment longue pour pouvoir révéler avec suffisamment de précision les traits principaux de la vie d’une personne.

83.      À l’instar du nombre de catégories concernées, la durée de la période pour laquelle des données sont requises conformément à une autorisation d’accès constitue donc un élément essentiel en vue d’apprécier la gravité de l’ingérence dans les droits fondamentaux des personnes concernées. Comme l’indique la Commission, le cumul de plusieurs demandes d’accès relatives à une seule et même personne doit également être pris en considération, même si celles-ci portent sur de courtes périodes.

84.      Ainsi qu’il ressort de la demande de décision préjudicielle, les données auxquelles l’autorité chargée de l’enquête a eu accès sont celles qui sont visées à l’article 1111, paragraphe 2, de la loi relative aux communications électroniques. Ces données permettent de retrouver et d’identifier la source et la destination d’une session de communication téléphonique à partir du téléphone fixe ou mobile d’une personne, d’en déterminer la date, l’heure, la durée et la nature, d’identifier le matériel de communication utilisé ainsi que de localiser le matériel de communication mobile utilisé. Ces données ont été transmises à l’autorité chargée de l’enquête pour des périodes d’un jour, d’un mois et de quasiment un an.

85.      L’appréciation du degré de l’ingérence dans les droits fondamentaux que comporte l’accès des autorités nationales compétentes aux données à caractère personnel conservées résulte d’un examen concret des circonstances propres à chaque espèce. Dans chaque cas de figure, il incombe à la juridiction de renvoi d’apprécier si les données auxquelles l’accès a été autorisé étaient de nature à permettre, en fonction de leur nature et de la durée de la période concernée par cet accès, de tirer des conclusions précises sur la vie privée des personnes concernées.

86.      Si tel est le cas, l’ingérence devrait être qualifiée de « grave » au sens de la jurisprudence de la Cour et ne pourrait donc être justifiée, en matière de prévention, de recherche, de détection et de poursuite d’infractions pénales, que par un objectif de lutte contre la criminalité devant également être qualifiée de « grave » (51).

4.      Sur la concordance entre la gravité de lingérence et lobjectif poursuivi

87.      Il résulte de la jurisprudence de la Cour qu’une ingérence dans les droits fondamentaux qui est qualifiée de « grave » implique une exigence de justification renforcée.

88.      En ce qui concerne la gravité des infractions pénales présumées à propos desquelles l’accès aux données a été accordé, la Commission fait observer que la réglementation nationale en cause au principal autorise notamment l’accès pour lutter contre les infractions pénales en général (52).

89.      Il incombe à la juridiction de renvoi de vérifier, en fonction des circonstances de l’espèce, si l’accès à des données telles que celles en cause dans l’affaire au principal répond effectivement et strictement à l’un des objectifs visés à l’article 15, paragraphe 1, de la directive 2002/58. Il convient, à cet égard, de rappeler que cette disposition ne limite pas l’objectif de prévention, de recherche, de détection et de poursuite d’infractions pénales à la lutte contre les seules infractions graves, mais qu’elle vise les « infractions pénales » en général (53).

90.      Si la juridiction de renvoi aboutit à la conclusion que l’ingérence doit être qualifiée de « grave », il lui revient d’apprécier si l’infraction en cause peut également être qualifiée de « grave » selon le droit pénal national.

91.      À cet égard, j’estime que la définition de ce qui peut être qualifié d’« infraction grave » doit être laissée à l’appréciation des États membres.

92.      En effet, selon les systèmes juridiques nationaux, la même infraction peut être condamnée plus ou moins sévèrement. La définition des circonstances aggravantes peut également varier selon les États membres.

93.      Comme le relève à juste titre le gouvernement estonien, pour déterminer la gravité des infractions, la peine applicable n’est pas le seul critère. Il faut également prendre en compte la nature des infractions, le dommage qu’elles causent à la société, l’atteinte qu’elles portent aux intérêts juridiques et les effets globaux qu’elles ont sur l’ordre juridique national ainsi que sur les valeurs d’une société démocratique. Le contexte historique, économique et social spécifique à chaque État membre joue aussi un rôle à cet égard. Par ailleurs, au titre des circonstances aggravantes, il convient de se demander si les infractions pénales ont été commises, par exemple, soit de manière répétée, soit à l’égard d’un groupe de personnes vulnérables.

94.      Afin d’évaluer la proportionnalité de l’accès, il convient également de tenir compte de ce que, conformément à l’article 901, paragraphe 3, du code de procédure pénale, « [l]es demandes de fourniture de données [...] ne peuvent être faites que si elles sont absolument nécessaires pour atteindre l’objectif de la procédure pénale ». Comme l’indique le gouvernement estonien, le critère de l’absolue nécessité (54) oblige tant les enquêteurs que les personnes chargées de délivrer l’autorisation à considérer et à apprécier quelles données sont nécessaires pour mener à bien la procédure pénale et sans lesquelles il ne serait pas possible, dans le cadre d’une affaire donnée, d’œuvrer à la manifestation de la vérité ou d’appréhender un délinquant ou un criminel présumés.

95.      J’ajoute que, comme le gouvernement français l’a souligné à juste titre, le degré de gravité d’une infraction voire la qualification juridique exacte de celle-ci ne peuvent pas toujours être déterminés de façon précise lorsque l’autorisation d’accès à des données conservées intervient à un stade précoce de l’enquête, de sorte qu’il pourrait paraître prématuré à ce stade de faire entrer cette infraction dans la catégorie des infractions pénales graves ou dans celle des infractions pénales en général. Cette incertitude, qui est inhérente aux enquêtes pénales dont l’objet même est de contribuer à la manifestation de la vérité, doit être prise en compte par la juridiction de renvoi dans son appréciation relative au caractère proportionné de l’accès.

96.      Cela étant, l’incertitude qui peut ainsi exister au début de l’enquête pénale sur ces aspects ne saurait éliminer l’exigence selon laquelle chaque demande d’accès doit être motivée par la nécessité de rechercher des preuves relatives à un comportement délictueux ou criminel spécifique, sur la base d’un soupçon étayé par des éléments objectifs. Ainsi, une demande d’accès ne saurait avoir pour but d’examiner, sur une période donnée, tous les faits et gestes d’une personne, en vue de la recherche d’éventuelles infractions. Par ailleurs, si de nouveaux faits sont révélés au cours de l’enquête, l’accès aux données afin de prouver ces derniers devra faire l’objet d’une nouvelle autorisation d’accès.

97.      Compte tenu des développements qui précèdent, je suggère à la Cour de dire pour droit que l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens que, parmi les critères qui permettent d’évaluer la gravité de l’ingérence dans les droits fondamentaux que constitue l’accès par les autorités nationales compétentes à des données à caractère personnel que les fournisseurs de services de communications électroniques sont tenus de conserver en vertu d’une réglementation nationale, figurent les catégories de données concernées ainsi que la durée de la période pour laquelle cet accès est demandé. Il incombe à la juridiction de renvoi d’apprécier, en fonction de la gravité de l’ingérence, si ledit accès était strictement nécessaire en vue d’atteindre l’objectif visant à assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales.

C.      Contrôle préalable par une juridiction ou par une autorité administrative indépendante

98.      Afin de garantir que l’accès par les autorités nationales compétentes aux données conservées soit limité à ce qui est strictement nécessaire aux fins d’atteindre l’objectif poursuivi, la Cour a considéré qu’il était essentiel que cet accès « soit, en principe, sauf cas d’urgence dûment justifiés, subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante, et que la décision de cette juridiction ou de cette entité intervienne à la suite d’une demande motivée de ces autorités présentée, notamment, dans le cadre de procédures de prévention, de détection ou de poursuites pénales » (55).

99.      Par sa troisième question préjudicielle, la juridiction de renvoi invite la Cour à préciser les critères que doit remplir une autorité administrative pour pouvoir être considérée comme étant « indépendante », au sens de l’arrêt Tele2 Sverige et Watson e.a. Plus précisément, la juridiction de renvoi se demande si le ministère public peut être considéré comme une autorité administrative indépendante, compte tenu du fait qu’il dirige la procédure d’instruction et qu’il représente l’action publique au cours du procès.

100. Afin de répondre à cette interrogation, il me paraît utile de prendre en compte deux volets de la jurisprudence de la Cour, à savoir, d’une part, la jurisprudence relative à l’indépendance des autorités nationales de contrôle de la protection des données à caractère personnel et, d’autre part, la jurisprudence relative à l’indépendance de l’autorité judiciaire d’émission dans le cadre du mandat d’arrêt européen.

101. Selon la Cour, l’indépendance constitue une caractéristique essentielle, affirmée notamment à l’article 8, paragraphe 3, de la Charte, des autorités chargées de contrôler le respect des règles de l’Union relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, dans le but d’assurer l’efficacité et la fiabilité de ce contrôle et de renforcer la protection des personnes qui sont concernées par les décisions de ces autorités (56).

102. La Cour a déjà jugé, à propos de l’article 28, paragraphe 1, second alinéa, de la directive 95/46, que « les autorités de contrôle compétentes pour la surveillance du traitement des données à caractère personnel doivent jouir d’une indépendance qui leur permette d’exercer leurs missions sans être soumises à une influence extérieure. Cette indépendance exclut notamment toute injonction et toute autre influence extérieure sous quelque forme que ce soit, qu’elle soit directe ou indirecte, qui seraient susceptibles d’orienter leurs décisions et qui pourraient ainsi remettre en cause l’accomplissement, par lesdites autorités, de leur tâche consistant à établir un juste équilibre entre la protection du droit à la vie privée et la libre circulation des données à caractère personnel » (57).

103. La Cour a également mis l’accent sur l’exigence selon laquelle, compte tenu de leur rôle de gardiennes du droit à la vie privée, ces autorités de contrôle doivent être « au-dessus de tout soupçon de partialité » (58).

104. Dans la mesure où la troisième question posée par la juridiction de renvoi concerne le ministère public, il est également pertinent de tenir compte des critères formulés par la Cour dans sa jurisprudence relative à l’indépendance de l’autorité judiciaire d’émission dans le cadre du mandat d’arrêt européen. Ainsi, selon la Cour, le contrôle effectué lors de l’adoption d’un mandat d’arrêt « doit être exercé de façon objective, en prenant en compte tous les éléments à charge et à décharge, ainsi que de manière indépendante, ce qui présuppose l’existence de règles statutaires et organisationnelles propres à exclure tout risque que l’adoption d’une décision d’émettre un tel mandat d’arrêt soit soumise à des instructions extérieures, notamment de la part du pouvoir exécutif » (59). Il importe cependant de garder à l’esprit que l’appréciation concrète par la Cour, dans chaque cas, du point de savoir si le ministère public remplit ou non ces critères (60) est effectuée dans le cadre spécifique de l’émission d’un mandat d’arrêt européen et ne peut donc pas être transposée automatiquement à d’autres domaines, tels que celui relatif à la protection des données à caractère personnel.

105. Cela étant précisé, les deux volets de la jurisprudence de la Cour se rejoignent en soulignant, dans chacun des domaines concernés, que l’autorité nationale compétente pour vérifier le respect des règles du droit de l’Union doit revêtir un caractère indépendant, ce qui recouvre deux exigences (61). D’une part, cette autorité ne doit pas être soumise à des instructions ou à des pressions extérieures susceptibles d’influencer ses décisions. D’autre part, ladite autorité doit, en vertu de son statut et des missions qui lui sont conférées, répondre à une exigence d’objectivité dans le contrôle qu’elle opère, c’est-à-dire qu’elle doit offrir des garanties d’impartialité. Plus particulièrement, l’appréciation par une autorité administrative du caractère proportionné de l’accès aux données conservées requiert qu’elle soit en mesure d’effectuer un juste équilibre entre les intérêts liés à l’efficacité de l’enquête dans le cadre de la lutte contre la criminalité et ceux qui touchent à la protection des données à caractère personnel des personnes concernées par l’accès. Sous ce dernier aspect, l’exigence d’impartialité est dès lors inhérente à la notion d’« autorité administrative indépendante » mise en exergue par la Cour dans son arrêt Tele2 Sverige et Watson e.a.

106. Il convient de vérifier si le ministère public, compte tenu des différentes missions qui lui sont attribuées par la réglementation estonienne, remplit ce critère d’indépendance, dans ses deux dimensions, lorsqu’il est amené à contrôler le caractère strictement nécessaire de l’accès aux données. Ainsi, la notion d’« indépendance » qui doit caractériser l’autorité administrative chargée d’un tel contrôle revêt une dimension fonctionnelle, en ce sens que c’est au regard de l’objet spécifique de ce contrôle qu’il convient d’apprécier si cette autorité est en mesure d’agir sans interventions ni pressions extérieures susceptibles d’influencer ses décisions, ainsi que dans le respect de l’objectivité et de la stricte application de la règle de droit. En somme, la notion d’« autorité administrative indépendante » au sens de l’arrêt Tele2 Sverige et Watson e.a. est destinée à garantir l’objectivité, la fiabilité et l’efficacité de ce contrôle.

107. Cela implique d’examiner si la réglementation estonienne qui précise le statut et les missions du ministère public est de nature à créer des doutes légitimes, dans l’esprit des personnes concernées, quant à l’imperméabilité des procureurs à l’égard d’éléments extérieurs et à leur neutralité par rapport aux intérêts qui s’affrontent, lorsqu’ils sont amenés à assurer le contrôle préalable du caractère proportionné de l’accès aux données.

108. Le ministère public joue un rôle essentiel dans la conduite de la procédure pénale, puisqu’il dirige la procédure d’instruction et qu’il a notamment compétence pour exercer des poursuites à l’égard d’une personne soupçonnée d’avoir commis une infraction pénale afin qu’elle soit attraite devant une juridiction. Il doit, dans cette mesure, être considéré comme étant une autorité qui participe à l’administration de la justice pénale (62).

109. Comme la Cour l’a exprimé à propos de la Procura della Repubblica (procureur de la République, Italie) et selon une formule qui me paraît pouvoir être transposée dans le cadre de la présente affaire, le procureur a « pour mission non pas de trancher en toute indépendance un litige, mais de le soumettre, le cas échéant, à la connaissance de la juridiction compétente, en tant que partie au procès exerçant l’action pénale » (63).

110. Si le ministère public présente ainsi, dans son statut, son organisation et ses missions, des traits particuliers qui le distinguent d’une juridiction et qui justifient qu’il soit qualifié d’« autorité participant à l’administration de la justice pénale dans les États membres », il n’en reste pas moins que, sous l’angle fonctionnel, lorsque le droit national prévoit que l’autorité qui exerce le contrôle préalable de la proportionnalité de l’accès qui est exigé par l’arrêt Tele2 Sverige et Watson e.a. est le ministère public, ce dernier doit, sur cet aspect, manifester un degré d’indépendance analogue à celui d’une juridiction. En effet, l’exercice de cette fonction par une autorité administrative plutôt que par une juridiction ne doit pas affecter l’objectivité, la fiabilité et l’efficacité de ce contrôle.

111. À cet égard, il convient de rappeler que, conformément à l’article 901, paragraphe 2, du code de procédure pénale, l’autorité chargée de l’enquête peut, sur autorisation du ministère public au cours de la procédure d’instruction ou sur autorisation du tribunal au cours du procès devant celui-ci, demander à une entreprise de communications électroniques qu’elle fournisse les données énumérées à l’article 1111, paragraphes 2 et 3, de la loi relative aux communications électroniques.

112. Par ailleurs, il ressort de la réglementation estonienne que le ministère public, dans le cadre d’une procédure pénale, dirige la procédure d’instruction, dont l’objectif est la collecte d’éléments de preuve et la création des autres conditions nécessaires à la tenue d’un procès. De plus, l’autorité chargée de l’enquête et le ministère public vérifient, au cours de la procédure d’instruction, les éléments à charge et les éléments à décharge recueillis contre le suspect ou la personne poursuivie. Si le ministère public est convaincu que toutes les preuves nécessaires ont été recueillies et s’il y a lieu, il présente ses réquisitions contre la personne et, dans ce cas, c’est lui qui représente l’action publique lors du procès.

113. La juridiction de renvoi fait également observer que, même si, dans le cadre de la procédure pénale, le ministère public doit, pour les mesures qui constituent les ingérences les plus graves dans les droits fondamentaux, demander une autorisation à un magistrat instructeur (par exemple pour la plupart des mesures de surveillance et pour la détention), le ministère public a également compétence pour décider de l’adoption d’actes de procédure constituant une ingérence intense dans plusieurs droits fondamentaux (64).

114. Les doutes exprimés par la juridiction de renvoi pour qualifier le ministère public d’« autorité administrative indépendante » au sens de l’arrêt Tele2 Sverige et Watson e.a. sont principalement dus au fait que, après la procédure d’instruction, si le ministère public est convaincu que, dans l’affaire pénale, toutes les preuves nécessaires ont été recueillies et s’il y a lieu, il lui revient de présenter ses réquisitions contre la personne en cause. Dans ce cas, c’est le ministère public qui représente l’action publique lors du procès et il est donc également partie à la procédure. Ainsi, c’est principalement en raison de sa qualité de partie poursuivante que la qualification du ministère public en tant qu’« autorité administrative indépendante » au sens de l’arrêt Tele2 Sverige et Watson e.a. est mise en doute par la juridiction de renvoi.

115. Exprimés de la sorte, les doutes émis par la juridiction de renvoi concernent donc plus particulièrement l’impartialité du ministère public dans le contrôle de proportionnalité de l’accès aux données par les services d’enquête qu’il est censé effectuer avant d’autoriser un tel accès.

116. Avant d’aborder cet aspect relatif à l’impartialité, je relève que l’article 1er, paragraphe 11, de la loi relative au ministère public dispose que ce dernier « remplit de manière indépendante les missions qui lui incombent en vertu de la loi ». De plus, en vertu de l’article 2, paragraphe 2, de cette loi, « [l]e procureur remplit ses missions de manière indépendante et il agit uniquement en vertu de la loi et selon sa conviction » (65).

117. À cet égard, le gouvernement estonien indique que, si le ministère public est une autorité qui relève du ministère de la Justice, la réglementation estonienne refuse toutefois à ce dernier toute possibilité de formuler une appréciation sur une procédure spécifique ou d’intervenir dans une procédure pénale en cours. Ce gouvernement précise que méconnaître l’indépendance du ministère public constituerait une infraction passible de sanction.

118. S’il n’y a, dès lors, pas lieu de douter de l’indépendance du ministère public dans le cadre des missions qui lui incombent en vertu de la réglementation estonienne, celle-ci me paraît cependant être de nature à susciter des doutes légitimes quant à l’aptitude du ministère public à exercer un contrôle préalable neutre et objectif sur le caractère proportionné de l’accès aux données lorsqu’il peut être amené, dans le cadre d’une affaire donnée, à exercer en même temps les missions consistant à diriger l’enquête pénale, à décider de poursuites pénales et à représenter l’action publique durant le procès.

119. Il est vrai que plusieurs éléments figurant dans la réglementation estonienne constituent des garanties que le ministère public agisse, dans le cadre des missions qu’il assume, dans le respect de l’exigence d’impartialité.

120. Ainsi, en vertu de l’article 211, paragraphe 2, du code de procédure pénale, le ministère public est tenu de vérifier les éléments à charge et les éléments à décharge recueillis contre le suspect ou la personne poursuivie.

121. Par ailleurs, ainsi qu’il ressort de l’article 1er, paragraphe 1, de la loi relative au ministère public, ce dernier est tenu de garantir la légalité de la procédure d’instruction pénale qu’il a pour mission de diriger. De plus, conformément à l’article 1er, paragraphe 11 et à l’article 2, paragraphe 2, de cette même loi, le ministère public doit exercer ses missions dans le respect des lois. Cela suppose que, lorsqu’il dirige la procédure d’instruction pénale, le ministère public doit avoir non seulement pour objectif d’assurer l’efficacité de cette dernière, mais également de garantir que cette procédure ne soit pas menée en portant une atteinte disproportionnée au droit à la vie privée des personnes concernées. En effet, il peut être considéré que l’autorisation d’accès aux données conservées fait partie intégrante de la mission plus générale du ministère public, consistant à contrôler la légalité des moyens mis en œuvre par les services d’enquête, en particulier la proportionnalité des actes d’investigation au regard de la nature et de la gravité des faits.

122. L’argument pourrait, dès lors, être avancé que c’est justement parce qu’il dirige la procédure d’instruction que le ministère public est à même d’évaluer si, au regard des spécificités de chaque affaire, un accès à des données conservées par les opérateurs de télécommunication est strictement nécessaire, à défaut d’éléments de preuves alternatifs, afin de faire avancer l’enquête sur une infraction présumée.

123. Il n’en reste pas moins que, du point de vue des personnes concernées par la demande d’accès aux données, la circonstance que l’autorité administrative qui est censée vérifier si cet accès est strictement nécessaire dans le cadre de l’enquête est en même temps celle qui est susceptible de les poursuivre, puis de représenter l’action publique lors d’un éventuel procès ultérieur peut, à mon avis, être de nature à affaiblir les garanties d’impartialité prévues par la réglementation estonienne. De ce point de vue, il peut exister un conflit potentiel entre ces missions du ministère public, d’une part, et l’exigence de neutralité et d’objectivité du contrôle préalable du caractère proportionné de l’accès aux données, d’autre part.

124. En effet, dans le cadre de ses missions, le ministère public est tenu de collecter les preuves, d’en apprécier la pertinence et de tirer des conclusions quant à la culpabilité de la personne en cause. Il revient à cette autorité de l’État de présenter et d’étayer le dossier de l’accusation dans le cadre de l’action publique qu’elle est chargée de représenter lors du procès, en étant donc partie à la procédure. En raison de ces missions, le ministère public est soumis à une exigence probatoire, laquelle peut apparaître, aux yeux des personnes suspectées d’avoir commis une infraction, comme étant incompatible avec l’aptitude de cette même autorité à effectuer, de façon neutre et objective, un contrôle préalable du caractère proportionné de l’accès aux données.

125. Comme le relève la Commission, le risque pourrait être que, en raison du cumul des missions qui lui incombent, le ministère public puisse être perçu par les personnes concernées comme ayant un intérêt à donner largement accès à leurs données, qu’elles soient à charge ou à décharge. De plus, les personnes suspectées d’avoir commis une infraction peuvent nourrir des doutes légitimes sur l’impartialité du ministère public lorsqu’il autorise l’accès à leurs données, dès lors qu’il peut agir contre elles dans la procédure ultérieure à titre de partie poursuivante. Or, j’estime que l’exigence d’impartialité de l’autorité administrative qui est chargée d’effectuer le contrôle préalable requis par l’arrêt Tele2 Sverige et Watson e.a. suppose une certaine distance et une neutralité par rapport aux intérêts qui sont susceptibles de s’affronter dans le cadre de la procédure d’instruction, à savoir, d’une part, l’efficacité de cette dernière et, d’autre part, la protection des données à caractère personnel des personnes concernées. Selon la Commission, la situation pourrait être différente si l’organisation administrative interne du ministère public était telle que le procureur qui doit se prononcer sur la demande d’accès ne jouait aucun rôle dans la procédure d’instruction et les étapes ultérieures de la procédure, y compris l’action publique.

126. Dans la mesure où, comme cela a été confirmé lors de l’audience, le parquet est organisé de manière hiérarchique au sein de la République d’Estonie, je ne suis pas certain que cette suggestion de la Commission puisse remédier aux inconvénients nés du cumul des missions dont la réglementation estonienne charge le ministère public. En tout état de cause, cela n’enlève pas sa pertinence à l’idée qui sous-tend cette suggestion, à savoir que le contrôle préalable du caractère proportionné de l’accès aux données devrait être effectué par une autorité administrative qui, d’une part, n’est pas directement impliquée dans la conduite de l’enquête pénale en cause et, d’autre part, a une position de neutralité vis-à-vis des parties à la procédure pénale. Une telle autorité, détachée des intérêts liés à l’enquête et à l’action publique dans la procédure en cause, ne pourrait pas se voir reprocher de privilégier les intérêts de l’enquête au détriment de ceux relatifs à la protection des données des personnes concernées. Ladite autorité serait alors en mesure d’adopter, en toute impartialité, une décision limitant l’accès aux données conservées à ce qui est strictement nécessaire aux fins d’atteindre l’objectif poursuivi, conformément à ce que requiert l’article 15, paragraphe 1, de la directive 2002/58, tel qu’interprété par la Cour dans les arrêts du 8 avril 2014, Digital Rights Ireland e.a. (66) et Tele2 Sverige et Watson e.a. Dans le même temps, j’ai bien conscience que l’institution d’un regard extérieur aux intérêts liés à la procédure en cause ne doit pas se faire au prix d’une réduction de l’efficacité de la recherche, de la poursuite et de la répression des infractions pénales.

127. Afin de respecter l’autonomie procédurale des États membres, la Cour ne devrait pas s’immiscer plus avant dans l’organisation générale de l’administration de la justice dans les États membres, pas plus que dans celle de l’organisation interne des parquets. Il incombe aux États membres de mettre en place les outils propres à garantir que le contrôle préalable à l’accès aux données conservées assure un juste équilibre entre les intérêts liés à l’efficacité de l’enquête pénale et le droit à la protection des données des personnes concernées par cet accès.

128. Je terminerai en précisant que, selon moi, l’absence d’un contrôle préalable effectué par une autorité administrative « indépendante » au sens de l’arrêt Tele2 Sverige et Watson e.a. ne peut pas être compensée par l’existence d’un contrôle juridictionnel pouvant être effectué après que l’accès a été autorisé (67). Dans le cas contraire, l’exigence du caractère préalable du contrôle perdrait sa raison d’être, qui consiste à empêcher que soit autorisé un accès aux données conservées qui serait disproportionné par rapport à l’objectif consistant à rechercher, poursuivre et réprimer les infractions pénales.

129. Au vu des développements qui précèdent, je suggère à la Cour de répondre à la troisième question préjudicielle que l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens que l’exigence selon laquelle l’accès des autorités nationales compétentes aux données conservées doit être soumis à un contrôle préalable par une juridiction ou par une autorité administrative indépendante n’est pas remplie lorsqu’une réglementation nationale prévoit qu’un tel contrôle est effectué par le ministère public qui a pour mission de diriger la procédure d’instruction tout en étant susceptible de représenter l’action publique lors du procès.

V.      Conclusion

130. À la lumière de ce qui précède, je propose à la Cour de répondre aux questions posées par la Riigikohus (Cour suprême, Estonie) de la manière suivante :

1)      L’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens que, parmi les critères qui permettent d’évaluer la gravité de l’ingérence dans les droits fondamentaux que constitue l’accès par les autorités nationales compétentes à des données à caractère personnel que les fournisseurs de services de communications électroniques sont tenus de conserver en vertu d’une réglementation nationale, figurent les catégories de données concernées ainsi que la durée de la période pour laquelle cet accès est demandé. Il incombe à la juridiction de renvoi d’apprécier, en fonction de la gravité de l’ingérence, si ledit accès était strictement nécessaire en vue d’atteindre l’objectif visant à assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales.

2)      L’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens que l’exigence selon laquelle l’accès des autorités nationales compétentes aux données conservées doit être soumis à un contrôle préalable par une juridiction ou par une autorité administrative indépendante n’est pas remplie lorsqu’une réglementation nationale prévoit qu’un tel contrôle est effectué par le ministère public qui a pour mission de diriger la procédure d’instruction tout en étant susceptible de représenter l’action publique lors du procès.


1      Langue originale : le français.


2      JO 2002, L 201, p. 37.


3      JO 2009, L 337, p. 11. Ci-après la « directive 2002/58 ».


4      Ci-après la « Charte ».


5      C‑203/15 et C‑698/15, ci-après l’« arrêt Tele2 Sverige et Watson e.a. », EU:C:2016:970 [point 120 et dispositif, sous 2)].


6      Directive du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).


7      RT I 2004, 87, 593.


8      RT I 2003, 27, 166.


9      RT I 1998, 41, 625.


10      La juridiction de renvoi précise que, après confusion de cette peine avec la peine d’emprisonnement de quatre ans et sept mois à laquelle H. K. avait été condamnée par décision du 22 mars 2016 du Viru Maakohus (tribunal de première instance de Viru), H. K. a été condamnée à une peine d’emprisonnement globale de cinq ans et un mois.


11      Il s’agit de l’infraction consistant à exercer une influence sur la justice. Je relève que les faits reprochés à H. K. ont été, sur cet aspect, requalifiés par le Viru Maakohus (tribunal de première instance de Viru), conformément à l’article 323, paragraphe 1, du code pénal, en violence à l’égard d’une personne participant à une procédure en justice.


12      C‑207/16, ci-après l’« arrêt Ministerio Fiscal », EU:C:2018:788.


13      Dispositif, sous 2), de cet arrêt.


14      Points 53 et 57 de cet arrêt.


15      Points 55 à 57 de cet arrêt.


16      Point 120 et dispositif, sous 2), de cet arrêt.


17      La juridiction de renvoi cite, à ce sujet, les arrêts de la Cour EDH du 2 septembre 2010, Uzun c. Allemagne (CE:ECHR:2010:0902JUD003562305, § 71 à 74), et du 12 janvier 2016, Szabó et Vissy c. Hongrie (CE:ECHR:2016:0112JUD003713814, § 77).


18      Arrêt Ministerio Fiscal (point 34 et jurisprudence citée).


19      Idem.


20      Arrêt Ministerio Fiscal (point 35 et jurisprudence citée).


21      Arrêt Ministerio Fiscal (point 36 et jurisprudence citée).


22      Arrêt Ministerio Fiscal (point 37 et jurisprudence citée).


23      Voir arrêt Ministerio Fiscal (points 38 et 39).


24      Voir notamment, par analogie, arrêt du 10 avril 2003, Steffensen (C‑276/01, EU:C:2003:228, point 71). Dans cet arrêt, la Cour aborde également cette problématique sous l’angle du principe d’effectivité comme limite à l’autonomie procédurale des États membres (points 66 à 68 dudit arrêt).


25      La Commission souligne, dans ce contexte, que la présente affaire se distingue de celle ayant donné lieu à l’arrêt Ministerio Fiscal.


26      Voir arrêt Ministerio Fiscal (points 49 et 50).


27      Arrêt Tele2 Sverige et Watson e.a. (point 112).


28      C‑520/18, EU:C:2020:7. Voir, en particulier, points 72 à 107 de ces conclusions.


29      Voir arrêt Tele2 Sverige et Watson e.a. (point 113).


30      Voir arrêt Tele2 Sverige et Watson e.a. (point 115).


31      Voir arrêt Tele2 Sverige et Watson e.a. (point 116).


32      Arrêt Tele2 Sverige et Watson e.a. (point 117).


33      Arrêt Tele2 Sverige et Watson e.a. (point 118).


34      Arrêt Tele2 Sverige et Watson e.a. (point 119).


35      Idem.


36      Arrêt Tele2 Sverige et Watson e.a. (point 120).


37      Idem.


38      Arrêt Tele2 Sverige et Watson e.a. (point 121).


39      Voir arrêt Tele2 Sverige et Watson e.a. (point 122).


40      Voir arrêt Ministerio Fiscal (point 53).


41      Arrêt Ministerio Fiscal (point 54).


42      Arrêt Ministerio Fiscal (point 55).


43      Arrêt Ministerio Fiscal (point 56).


44      Arrêt Ministerio Fiscal (point 57).


45      Arrêt Ministerio Fiscal (point 61).


46      Arrêt Ministerio Fiscal (point 59).


47      Idem.


48      Arrêt Ministerio Fiscal (point 60).


49      Arrêt Ministerio Fiscal (point 62).


50      Voir arrêt Ministerio Fiscal (point 59). Voir, dans le même sens, conclusions de l’avocat général Saugmandsgaard Øe dans l’affaire Ministerio Fiscal (C‑207/16, EU:C:2018:300), qui observe que la requête des autorités policières portait « sur une période clairement définie et réduite dans le temps, à savoir une douzaine de jours » (point 33 ainsi que point 84).


51      Arrêt Ministerio Fiscal (point 56).


52      Article 1111, paragraphe 11, de la loi relative aux communications électroniques et article 901 du code de procédure pénale.


53      Voir arrêt Ministerio Fiscal (point 53).


54      Également qualifié de « principe de l’ultima ratio ».


55      Arrêt Tele2 Sverige et Watson e.a. (point 120 et jurisprudence citée), italique ajouté par mes soins. Voir, dans le même sens, avis 1/15 (Accord PNR UE-Canada), du 26 juillet 2017 (EU:C:2017:592, points 202 et 208).


56      Voir, notamment, arrêt du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650, points 40 et 41 ainsi que jurisprudence citée). Voir, également, avis 1/15 (Accord PNR UE-Canada), du 26 juillet 2017 (EU:C:2017:592, point 229).


57      Arrêt du 8 avril 2014, Commission/Hongrie (C‑288/12, EU:C:2014:237, point 51 et jurisprudence citée).


58      Arrêt du 8 avril 2014, Commission/Hongrie (C‑288/12, EU:C:2014:237, point 53 et jurisprudence citée).


59      Voir arrêt du 9 octobre 2019, NJ (Parquet de Vienne) (C‑489/19 PPU, EU:C:2019:849, point 38 et jurisprudence citée).


60      Voir, en dernier lieu, arrêt du 12 décembre 2019, JR et YC (Procureurs de Lyon et Tours et Procureurs de Lyon et de Tours) (C‑566/19 PPU et C‑626/19 PPU, EU:C:2019:1077), dans lequel la Cour a considéré, notamment, que les éléments qui lui étaient présentés suffisaient à démontrer que, « en France, les magistrats du parquet disposent du pouvoir d’apprécier de manière indépendante, notamment par rapport au pouvoir exécutif, la nécessité et le caractère proportionné de l’émission d’un mandat d’arrêt européen et exercent ce pouvoir de manière objective, en prenant en compte tous les éléments à charge et à décharge » (point 55 de cet arrêt).


61      Sur les deux aspects de l’exigence d’indépendance, voir, par analogie, à propos des juridictions nationales qui sont appelées à statuer sur des questions liées à l’interprétation et à l’application du droit de l’Union, arrêt du 5 novembre 2019, Commission/Pologne (Indépendance des juridictions de droit commun) (C‑192/18, EU:C:2019:924, points 108 à 110 ainsi que jurisprudence citée).


62      Voir, notamment, arrêt du 27 mai 2019, PF (Procureur général de Lituanie) (C‑509/18, EU:C:2019:457, points 39 et 40).


63      Arrêt du 12 décembre 1996, X (C‑74/95 et C‑129/95, EU:C:1996:491, point 19).


64      Par exemple, le ministère public donne une autorisation en vue d’une surveillance discrète d’une personne, d’une chose ou d’un lieu, ainsi que, dans de nombreux cas, en vue d’une perquisition.


65      Voir également, dans le même sens, article 30, paragraphe 2, du code de procédure pénale.


66      C‑293/12 et C‑594/12, EU:C:2014:238.


67      Selon les éléments qui ont été fournis à la Cour lors de l’audience, en droit estonien, ce contrôle juridictionnel peut intervenir à la fin de la procédure d’instruction, lorsqu’un suspect, ayant communication du dossier, décide de contester un acte de cette procédure, ou bien lors du procès.