CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. PEDRO CRUZ VILLALÓN
présentées le 12 décembre 2013 (1)
Affaire C‑293/12
Digital Rights Ireland Ltd
contre
Minister for Communications, Marine and Natural Resources
Minister for Justice, Equality and Law Reform
Commissioner of the Garda Síochána
Irlande
et
The Attorney General
[demande de décision préjudicielle formée par la High Court of Ireland (Irlande)]
et
Affaire C‑594/12
Kärntner Landesregierung
Michael Seitlinger
et
Christof Tschohl
Andreas Krisch
Albert Steinhauser
Jana Herwig
Sigrid Maurer
Erich Schweighofer
Hannes Tretter
Scheucher Rechtsanwalt GmbH
Maria Wittmann-Tiwald
Philipp Schmuck
Stefan Prochaska
e.a.
[demande de décision préjudicielle formée par le Verfassungsgerichtshof (Autriche)]
«Communications électroniques – Directive 2006/24/CE – Conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques – Validité – Article 5, paragraphe 4, TUE – Proportionnalité de l’action de l’Union – Charte des droits fondamentaux – Article 7 – Respect de la vie privée – Article 8 – Protection des données à caractère personnel – Article 52, paragraphe 1 – Ingérence – Qualité de la loi – Proportionnalité des limites de l’exercice des droits fondamentaux»
1. La Cour est, dans les présentes affaires, saisie d’une double question préjudicielle en appréciation de validité de la directive 2006/24/CE (2) lui offrant l’opportunité de se prononcer sur les conditions dans lesquelles il est constitutionnellement possible pour l’Union européenne d’établir une limitation de l’exercice des droits fondamentaux au sens particulier de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (3), au moyen d’une directive et de ses mesures nationales de transposition (4). La limitation en cause prend la forme d’une obligation imposant à des opérateurs économiques la collecte et la conservation, pendant un temps déterminé, d’un nombre considérable de données générées ou traitées dans le cadre des communications électroniques effectuées par les citoyens sur l’ensemble du territoire de l’Union, dans l’objectif de garantir la disponibilité desdites données aux fins de la recherche et des poursuites des activités criminelles graves et d’assurer le bon fonctionnement du marché intérieur. Je me propose d’apporter une réponse à cette interrogation articulée en trois parties.
2. Dans une première partie, j’aborderai la question de la proportionnalité de la directive 2006/24 au sens de l’article 5, paragraphe 4, TUE. Dans une deuxième partie, je vérifierai si la condition, prévue à l’article 52, paragraphe 1, de la Charte, selon laquelle toute limitation de l’exercice des droits fondamentaux doit être «prévue par la loi», peut être considérée comme remplie. Enfin, dans une troisième partie, j’examinerai si la directive 2006/24 respecte le principe de proportionnalité, au sens toujours de l’article 52, paragraphe 1, de la Charte.
3. Toutefois, avant d’entamer l’examen de ces trois problématiques, j’aborderai une série de trois questions qui me paraissent indispensables à la bonne compréhension des problèmes suscités par les questions préjudicielles en appréciation de validité posées par la High Court (Irlande) et le Verfassungsgerichtshof (Autriche).
I – Le cadre juridique
A – Le droit de l’Union
4. Les principales dispositions du droit de l’Union pertinentes pour l’examen des questions préjudicielles posés à la Cour dans les présentes affaires sont, en dehors de celles de la directive 2006/24 dont la validité est mise en cause dans les deux affaires et de celles de la Charte, celles de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (5), et de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (6). Ces directives ainsi que leurs principales dispositions seront présentées dans le cours des développements qui suivent, au fur et à mesure des besoins de l’exposé.
B – Les droits nationaux
1. Le droit irlandais (affaire C‑293/12)
5. L’article 29, paragraphe 4, point 6, de la Constitution de l’Irlande prévoit qu’aucune disposition de la Constitution n’invalide les lois, actes ou mesures adoptés par l’État que requièrent les obligations découlant de l’appartenance à l’Union européenne ou aux Communautés, ou n’empêche les lois, actes ou mesures adoptés par l’Union européenne ou les Communautés, leurs institutions ou les organes compétents en vertu des traités d’avoir force de loi.
6. La septième partie de la loi de 2005 sur la justice pénale (infraction terroriste) [Criminal Justice (Terrorist Offences) Act 2005] (7), à présent abrogée, comportait des dispositions sur la conservation des données relatives aux communications téléphoniques. Elle imposait aux fournisseurs de services de communications téléphoniques de conserver les données de trafic et de localisation pour une période déterminée par la loi afin de prévenir et de détecter les infractions, enquêter sur celles-ci et les poursuivre et de garantir la sécurité de l’État. À ces fins, la loi de 2005 sur la justice pénale permettait aux autorités compétentes de l’État, notamment le Commissioner of the Garda Síochána, de demander la divulgation de ces données en suivant une procédure déterminée et établissait des garanties par une procédure de réclamation, présidée par une entité quasi juridictionnelle indépendante.
7. La loi de 2011 sur les communications (conservation des données) [the Communications (Retention of Data) Act 2011], adoptée en vue de transposer la directive 2006/24, a abrogé la septième partie de la loi de 2005 sur la justice pénale et institué un nouveau régime de conservation des données.
2. Le droit autrichien (affaire C‑594/12)
8. L’article 1er de la loi fédérale sur la protection des données à caractère personnel (8), qui a valeur constitutionnelle, prévoit un droit fondamental à la protection des données.
9. La directive 2006/24 a été transposée en droit autrichien par une loi fédérale (9) introduisant un nouvel article 102 bis à la loi sur les télécommunications de 2003 (10), qui impose aux fournisseurs de services de communication accessibles au public la conservation des données qu’il énumère (11).
II – Les faits à l’origine des litiges au principal
A – L’affaire C‑293/12, Digital Rights Ireland
10. La partie requérante au principal, Digital Rights Ireland Ltd (12), est une société à responsabilité limitée ayant pour objet statutaire la promotion et la protection des droits civiques et des droits de l’homme, en particulier dans l’univers des technologies de communication modernes.
11. DRI, qui déclare être propriétaire d’un téléphone portable, enregistré le 3 juin 2006, qu’elle utilise depuis cette date, a introduit un recours dirigé contre deux ministres du gouvernement irlandais, The Minister for Communications, Marine and Natural Resources et The Minister for Justice, Equality and Law Reform, le chef de la police irlandaise (The Commissioner of the Garda Síochána), l’Irlande ainsi que l’Attorney General de l’État irlandais, dans le cadre duquel elle fait, en substance, valoir que les autorités irlandaises ont illégalement traité, conservé et contrôlé les données afférentes à ses communications.
12. En conséquence, elle demande, d’une part, l’annulation des différents actes de droit interne habilitant les autorités irlandaises à adopter des mesures imposant aux fournisseurs de services de télécommunication la conservation de données de télécommunication, les estimant incompatibles avec la Constitution irlandaise et le droit de l’Union. D’autre part, elle met en cause la validité de la directive 2006/24 au regard de la Charte et/ou de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales (13) et invite la juridiction de renvoi à saisir la Cour de plusieurs questions préjudicielles en appréciation de validité de ladite directive.
B – L’affaire C‑594/12, Seitlinger e.a.
13. Le 6 avril 2012, le Kärntner Landesregierung a, sur le fondement de l’article 140, paragraphe 1, de la loi constitutionnelle fédérale autrichienne (Bundes-Verfassungsgesetz) (14), saisi le Verfassungsgerichtshof d’un recours en annulation de plusieurs dispositions du TKG 2003, en particulier de son article 102 bis, dans sa rédaction issue de la transposition de la directive 2006/24, entrée en vigueur le 1er avril 2012.
14. Le 25 mai 2012, M. Michael Seitlinger a saisi le Verfassungsgerichtshof d’un recours sur le fondement de l’article 140, paragraphe 1, du B‑VG prétendant à l’inconstitutionnalité de l’article 102 bis du TKG 2003 en tant qu’il affectait ses droits. Il estime que cette dernière disposition, qui prévoit l’obligation pour son opérateur de réseau de communication de conserver des données sans raison, sans nécessités techniques ni buts de facturation et contre sa volonté constitue, notamment, une atteinte à l’article 8 de la Charte.
15. Enfin, le 15 juin 2012, le Verfassungsgerichtshof a été saisi d’un autre recours sur le fondement de l’article 140 du B‑VG, formé par 11 130 requérants faisant valoir que l’inconstitutionnalité de l’obligation de conserver des données établie à l’article 102 bis du TKG 2003 portait atteinte à leurs droits, et notamment à l’article 8 de la Charte.
III – Les questions préjudicielles et la procédure devant la Cour
A – Dans l’affaire C‑293/12, Digital Rights Ireland
16. Dans l’affaire C‑293/12, la High Court pose à la Cour les questions préjudicielles suivantes:
«1) La restriction faite aux droits de la partie requérante [au principal] en matière d’utilisation de téléphonie mobile qui découle des exigences des articles 3, 4 et 6 de la directive 2006/24/CE est-elle incompatible avec l’article 5, paragraphe 4, TUE, en ce qu’elle est disproportionnée, et qu’elle n’est pas nécessaire ou qu’elle est inappropriée pour atteindre les objectifs légitimes tenant à:
a) permettre que certaines données soient disponibles aux fins des enquêtes sur les infractions graves et aux fins de la détection et de la poursuite de ces dernières
et/ou
b) garantir le bon fonctionnement du marché intérieur de l’Union européenne?
2) En particulier:
i) La directive 2006/24/CE est-elle compatible avec le droit des citoyens à circuler et à résider librement sur le territoire des États membres, consacré à l’article 21 TFUE?
ii) La directive 2006/24/CE est-elle compatible avec le droit au respect de la vie privée consacré par l’article 7 de la [Charte] et par l’article 8 de la [CEDH]?
iii) La directive 2006/24/CE est-elle compatible avec le droit à la protection des données à caractère personnel qui figure à l’article 8 de la Charte?
iv) La directive 2006/24/CE est-elle compatible avec le droit à la liberté d’expression consacré par l’article 11 de la Charte et par l’article 10 de la CEDH?
v) La directive 2006/24/CE est-elle compatible avec le droit à une bonne administration consacré par l’article 41 de la Charte?
3) Dans quelle mesure les traités, et en particulier le principe de coopération loyale consacré à l’article 4, paragraphe 3, TUE, exigent-ils qu’une juridiction nationale examine et évalue la compatibilité des mesures nationales transposant la directive 2006/24/CE avec les garanties prévues par la Charte, y compris son article 7 (tel que repris de l’article 8 de la CEDH)?»
B – Dans l’affaire C‑594/12, Seitlinger e.a.
17. Dans l’affaire C‑594/12, le Verfassungsgerichtshof pose à la Cour les questions préjudicielles suivantes:
«1) Sur la validité d’actes d’institutions de l’Union:
Les articles 3 à 9 de la directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE, sont-ils compatibles avec les articles 7, 8 et 11 de la [Charte]?
2) Sur l’interprétation des traités:
2.1 Au vu des explications sur l’article 8 de la Charte, lesquelles ont été élaborées, aux termes de l’article 52, paragraphe 7, de la Charte, en vue de guider l’interprétation de la Charte et sont dûment prises en considération par le Verfassungsgerichtshof, la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et le règlement (CE) no 45/2001 du Parlement européen et du Conseil, du 18 décembre 2000, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données [JO 2001, L 8, p. 1], doivent-ils être considérés au même titre que les conditions fixées à l’article 8, paragraphe 2, et à l’article 52, paragraphe 1, de la Charte pour apprécier la licéité d’empiètements?
2.2 Dans quel rapport se trouve le ‘droit de l’Union’ visé à l’article 52, paragraphe 3, dernière phrase, de la Charte, et les directives en matière de droit à la protection des données?
2.3 Au vu des conditions et restrictions apportées par la directive 95/46/CE et le règlement (CE) no 45/2001 dans la sauvegarde du droit fondamental à la protection des données inscrit dans la Charte, faut-il prendre en considération dans l’interprétation de l’article 8 de la Charte des changements découlant du droit dérivé ultérieur?
2.4 Compte tenu de l’article 52, paragraphe 4, de la Charte, le principe de la prévalence du niveau supérieur de protection inscrit à l’article 53 de la Charte a‑t‑il pour conséquence que les limites assignées par la Charte aux restrictions que peut valablement apporter le droit dérivé doivent être tracées plus étroitement?
2.5 Au regard de l’article 52, paragraphe 3, de la Charte, du cinquième alinéa du préambule et des explications sur l’article 7 de la Charte, indiquant que les droits garantis à l’article 7 correspondent à ceux qui sont garantis par l’article 8 de la CEDH, la jurisprudence que la Cour européenne des droits de l’homme a consacrée à l’article 8 de la CEDH peut-elle donner des indications dans l’interprétation de l’article 8 de la Charte qui rejaillissent sur l’interprétation de ce dernier article?»
C – La procédure devant la Cour
18. Ont présenté des observations écrites dans l’affaire C‑293/12, la Irish Human Rights Commission (15), les gouvernements irlandais, français, italien, polonais et du Royaume-Uni, ainsi que le Parlement européen, le Conseil de l’Union européenne et la Commission européenne.
19. Ont présenté des observations écrites dans l’affaire C‑594/12, MM. Seitlinger et Tschohl, les gouvernements espagnol, français, autrichien et portugais, ainsi que le Parlement, le Conseil et la Commission.
20. Les deux affaires ont été jointes aux fins de la procédure orale et de l’arrêt par décision du président de la Cour du 6 juin 2013.
21. Dans la perspective de la tenue d’une audience conjointe dans les deux affaires, la Cour a, en application de l’article 61 de son règlement de procédure, invité les parties souhaitant comparaître à se concerter sur leurs positions respectives, à concentrer leurs plaidoiries sur la compatibilité de la directive 2006/24 avec les articles 7 et 8 de la Charte et à répondre à certaines questions. Elle a, par ailleurs, invité le contrôleur européen à la protection des données (16) à fournir des renseignements, en application de l’article 24, deuxième alinéa, du statut de la Cour de justice.
22. DRI et l’IHRC (affaire C‑293/12), MM. Seitlinger et Tschohl (affaire C‑594/12), de même que les gouvernements irlandais, espagnol, italien, autrichien, du Royaume-Uni ainsi que le Parlement, le Conseil, la Commission et le CEPD ont présenté leurs observations orales au cours de l’audience publique conjointe qui s’est tenue le 9 juillet 2013.
IV – Sur la recevabilité
23. Dans leurs observations écrites dans l’affaire C‑293/12, le Parlement, le Conseil et la Commission font en substance valoir que la High Court n’a pas suffisamment exposé les raisons la conduisant à s’interroger sur la validité de la directive 2006/24, en particulier au regard de l’article 21 TFUE et des articles 11 et 41 de la Charte. Les imprécisions de la demande préjudicielle de la High Court ainsi relevées ne sauraient toutefois conduire la Cour à rejeter celle-ci comme irrecevable.
V – Sur le fond
24. Les différentes demandes préjudicielles formées par la High Court dans l’affaire C‑293/12 et le Verfassungsgerichtshof dans l’affaire C‑594/12 soulèvent quatre séries d’interrogations.
25. La première série, constituée de la première question dans l’affaire C‑293/12, porte sur la validité de la directive 2006/24 au regard de l’article 5, paragraphe 4, TUE. La High Court se demande, en effet, très précisément si la directive 2006/24 est, de façon générale, proportionnée au sens de cette disposition, c’est-à-dire si elle est nécessaire et appropriée pour atteindre les objectifs qu’elle poursuit, ces derniers étant de permettre que certaines données soient disponibles aux fins des enquêtes sur les infractions graves et aux fins de la détection et de la poursuite de ces dernières et/ou de garantir le bon fonctionnement du marché intérieur.
26. La deuxième série, qui se compose de la deuxième question dans l’affaire C‑293/12 et de la première question dans l’affaire C‑594/12, porte sur la compatibilité de plusieurs dispositions de la directive 2006/24 avec plusieurs dispositions de la Charte, principalement son article 7, sur le droit au respect de la vie privée, et son article 8 sur le droit à la protection des données personnelles et, plus largement, sur la proportionnalité des mesures qu’elle impose, au sens de l’article 52, paragraphe 1, de la Charte. Cette question de validité se situe incontestablement au centre des problèmes soulevés par ces affaires.
27. La seconde question posée par le Verfassungsgerichtshof dans l’affaire C‑594/12 soulève une troisième série d’interrogations portant sur l’interprétation des dispositions générales de la Charte régissant son interprétation et son application, en l’occurrence celles de ses articles 52, paragraphes 3, 4 et 7, et 53. Le Verfassungsgerichtshof s’interroge plus précisément, en substance, sur les relations qui s’établissent entre, d’un côté, l’article 8 de la Charte, consacrant le droit à la protection des données personnelles, et, de l’autre côté, premièrement, les dispositions de la directive 95/46 et du règlement no 45/2001, en relation avec l’article 52, paragraphes 1 et 3, de la Charte (questions 2.1, 2.2 et 2.3), deuxièmement les traditions constitutionnelles des États membres (question 2.4), en relation avec l’article 52, paragraphe 4, de la Charte, et, troisièmement, le droit de la CEDH et en particulier son article 8, en relation avec l’article 52, paragraphe 3, de la Charte (question 2.5).
28. Enfin, par sa troisième question préjudicielle, dans l’affaire C‑293/12, qui compose la quatrième et dernière série d’interrogations, la High Court interroge la Cour sur l’interprétation de l’article 4, paragraphe 3, TUE, et plus précisément sur la question de savoir si les juridictions nationales sont tenues, au titre du devoir de coopération loyale, d’examiner et d’évaluer la compatibilité avec les dispositions de la Charte, notamment son article 7, des dispositions nationales de transposition de la directive 2006/24.
29. Précisons d’emblée que l’essentiel de notre examen portera sur les deux premières séries de questions et que, eu égard à la réponse qui leur sera apportée, il ne sera pas nécessaire d’apporter des réponses spécifiques aux deux dernières séries de questions. Avant d’aborder ces questions, il faut toutefois commencer par apporter un certain nombre de précisions liminaires.
A – Observations liminaires
30. Afin d’être en mesure de répondre pleinement aux différentes interrogations soulevées par les juridictions de renvoi, il importe d’attirer l’attention sur trois éléments qui contribuent de façon déterminante à dresser le profil des présentes affaires, à savoir, en premier lieu, la spécificité fonctionnelle de la directive 2006/24, en deuxième lieu, la qualification de l’ingérence dans les droits fondamentaux en cause et enfin, en troisième lieu, l’incidence sur les présentes affaires de l’arrêt du 10 février 2009, Irlande/Parlement et Conseil (17), par lequel la Cour a rejeté le recours en annulation pour base juridique erronée introduit contre ladite directive.
1. Sur la «dualité fonctionnelle» de la directive 2006/24 et son rapport avec la directive 95/46 et la directive 2002/58
31. Il convient de commencer par replacer la directive 2006/24 dans son contexte, en rappelant brièvement le cadre législatif dans lequel elle s’inscrit, principalement constitué de la directive 95/46, d’une part, et de la directive 2002/58, d’autre part.
32. L’objet de la directive 95/46, qui est tout comme la directive 2006/24 fondée sur l’article 114 TFUE, est d’imposer aux États membres l’obligation de garantir le droit à la vie privée des personnes physiques à l’égard du traitement de leurs données à caractère personnel (18), en vue de permettre la libre circulation de ces données entre les États membres (19). Elle pose, à cet effet, notamment, toute une série de règles définissant les conditions de licéité des traitements de données à caractère personnel, précisant les droits des personnes dont les données sont collectées et traitées, en particulier le droit à l’information (20), le droit d’accès (21), le droit d’opposition (22) et le droit de recours (23), et garantissant la confidentialité et la sécurité des traitements.
33. Le régime de protection établi par la directive 95/46 est assorti d’exceptions et de limitations définies à son article 13. La portée des droits et des obligations qu’elle prévoit en ce qui concerne la qualité des données (article 6, paragraphe 1), la transparence des traitements (articles 10 et 11, paragraphe 1), les droits d’accès des personnes dont les données sont traitées (article 12) et la publicité des traitements (article 21) peut faire l’objet de mesures législatives de limitations lorsque cela est nécessaire pour sauvegarder, notamment, la sûreté de l’État, la défense, la sécurité publique ou la prévention, la recherche, la détection et la poursuite d’infractions pénales.
34. La directive 2002/58, qui abroge et remplace la directive 97/66/CE (24), précise et complète (25) le régime de protection des données personnelles établi par la directive 95/46 par des règles spécifiques applicables au secteur des communications électroniques (26). Elle comporte en particulier des règles imposant aux États membres de garantir, sauf exception (27), la confidentialité non seulement des communications, mais également des données relatives au trafic des abonnés et des utilisateurs de services de communications électroniques (28). Son article 6 prévoit l’obligation pour les fournisseurs des services de communications d’effacer ou d’anonymiser les données relatives au trafic de leurs abonnés et utilisateurs qu’ils traitent et stockent.
35. Particulièrement important pour les développements à venir, l’article 15, paragraphe 1, de la directive 2002/58 prévoit également que les États membres peuvent (29) adopter des mesures législatives visant à limiter la portée des droits et des obligations qu’elle prévoit en ce qui concerne, notamment, la confidentialité des communications (article 5) et l’effacement des données de trafic (article 6) dans les mêmes termes que ceux de l’article 13, paragraphe 1, de la directive 95/46, auquel elle renvoie. Il précise que les États membres sont habilités, à cette fin, à adopter entre autres des mesures législatives prévoyant la conservation de données pendant une durée limitée pour l’un des motifs énoncés, dans le respect des droits fondamentaux.
36. La directive 2006/24 opère, en réalité, une modification profonde de l’état du droit applicable aux données afférentes aux communications électroniques résultant des directives 95/46 et 2002/58 (30) en prévoyant l’établissement par les États membres d’une obligation de collecte et de conservation des données de trafic et de localisation qui s’inscrit dans le cadre des limites au droit à la protection des données personnelles prévues aux articles 13, paragraphe 1, de la directive 95/46 et 15, paragraphe 1, de la directive 2002/58.
37. La directive 2006/24 se caractérise tout d’abord par son objectif d’harmonisation, en l’occurrence des réglementations des États membres concernant la conservation des données de trafic et de localisation afférentes aux communications électroniques. Or, eu égard à la matière à harmoniser et à la situation, cet objectif requiert simultanément l’imposition, aux États membres qui ne disposeraient pas d’une telle réglementation, d’une obligation de collecte et de conservation desdites données. Il en découle que la directive 2006/24 présente une dualité fonctionnelle qu’il est essentiel de prendre en considération afin d’aborder correctement le problème soulevé par les présentes demandes préjudicielles.
38. En effet, la directive 2006/24 a pour premier objectif celui d’harmoniser les réglementations nationales qui imposeraient déjà aux fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications (31) des obligations de conservation des données de trafic et de localisation qu’elle définit, en vue de garantir leur disponibilité «aux fins de la recherche, de la détection et de la poursuite d’infractions graves telles que définies par chaque État membre dans son droit interne» (32). Ce faisant, la directive 2006/24 harmonise donc en partie les réglementations adoptées par certains États membres sur la base de la possibilité offerte par l’article 15, paragraphe 1, de la directive 2002/58 (33).
39. La directive 2006/24 instaure ainsi un régime dérogatoire (34) aux principes établis par la directive 95/46 et la directive 2002/58. Elle déroge, pour être parfaitement exact, aux règles dérogatoires établies par l’article 15, paragraphe 1, de la directive 2002/58 et régissant la faculté pour les États membres de limiter, pour les motifs prévus à l’article 13, paragraphe 1, de la directive 95/46, la portée du droit à la protection des données personnelles et, plus largement, du droit au respect de la vie privée dans le cadre spécifique de la fourniture de services de communications électroniques ou de réseaux publics de communications.
40. L’article 11 de la directive 2006/24 insère d’ailleurs de manière significative un paragraphe 1 bis à l’article 15 de la directive 2002/58, qui précise que le paragraphe 1 de cette dernière disposition n’est pas applicable aux données dont la conservation est spécifiquement exigée par la directive 2006/24.
41. Ainsi que la Cour l’a relevé dans son arrêt Irlande/Parlement et Conseil, la directive 2006/24 vise pour l’essentiel les activités des fournisseurs de services de communications électroniques (35), en harmonisant les réglementations nationales par des dispositions essentiellement limitées (36) à la conservation des données, aux catégories de données à conserver, à la durée de conservation, à la protection et à la sécurité de données ainsi qu’à leur stockage (37).
42. C’est précisément à raison de cette fonction d’harmonisation limitée, et comme on le verra par la suite, que la Cour a pu juger, dans son arrêt Irlande/Parlement et Conseil, que la directive 2006/24 pouvait être adoptée sur le fondement de l’article 95 CE. Il s’agissait, dans l’objectif de protéger le bon fonctionnement du marché intérieur (38), de mettre un terme à l’évolution hétérogène des réglementations existantes (39) tout en y faisant obstacle pour le futur (40).
43. Or, l’harmonisation prévue par la directive 2006/24 a, en l’occurrence, été réalisée, nécessairement, sur la base de l’insertion d’une obligation de collecte et de conservation des données pesant sur les fournisseurs de services de communications électroniques, à tout le moins pour les États membres qui ne disposaient d’aucune réglementation à cet égard, obligation imposant notamment la durée minimale et maximale pendant laquelle les données doivent être conservées.
44. Il peut, à cet égard, être souligné que le fait qu’un certain nombre d’États membres ne s’étaient pas encore dotés d’une réglementation sur la conservation des données constituait précisément l’un des principaux éléments justifiant l’adoption de la directive 2006/24 sur le fondement de l’article 95 CE (41).
45. En conséquence, la directive 2006/24 établit, dans le cadre de son objectif d’harmonisation, l’obligation pour les États membres soit de mettre en conformité le régime existant avec les dispositions de la directive 2006/24, soit de mettre en place, à terme, le régime de collecte et de conservation prévu par la directive 2006/24 ainsi que, en tout état de cause, l’obligation de veiller au respect des dispositions de cette même directive, en particulier celles régissant les conditions et modalités d’accès aux données conservées.
46. En résumé, la directive 2006/24 se caractérise par sa dualité fonctionnelle. C’est, d’une part, une directive tout à fait classique qui s’efforce d’harmoniser (42) des législations nationales disparates (43) ou susceptibles de le devenir, adoptée dans l’intérêt du fonctionnement du marché intérieur et précisément calibrée pour cette fin, ainsi que la Cour l’a jugé dans son arrêt Irlande/Parlement et Conseil. Mais c’est également, d’autre part, une directive qui, même dans sa fonction harmonisatrice, cherche à établir (44), le cas échéant, des obligations, de conservation de données notamment, qui s’analysent, comme je le montrerai par la suite, comme des ingérences caractérisées dans la jouissance des droits fondamentaux garantis aux citoyens européens par la Charte, tout particulièrement le droit au respect de la vie privée et le droit à la protection des données personnelles.
47. Enfin, il est évident que les réponses aux présentes questions préjudicielles doivent particulièrement tenir compte de cette «seconde fonction», c’est-à-dire ce que je qualifierais d’effet «constitutif» de l’obligation de conservation des données, sans que, pour autant, il faille ignorer son effet spécifiquement harmonisateur des réglementations nationales existantes en la matière.
2. Sur le droit fondamental essentiellement concerné et sur la qualification de l’ingérence
48. Il importe, en second lieu, d’aborder déjà à ce stade la question de la qualification de l’ingérence dans l’exercice des droits fondamentaux qui découle de la collecte et de la conservation des données prévues par la directive 2006/24, une fois admis que l’existence même de cette ingérence n’est l’objet d’aucune discussion. J’identifierai tout d’abord le droit fondamental principalement affecté par la directive 2006/24, puis je procéderai à la qualification de l’ingérence dans l’exercice dudit droit qu’elle constitue.
a) Sur les droits fondamentaux affectés
i) La pluralité des droits fondamentaux invoqués
49. La High Court, dans l’affaire C‑293/12, tout comme le Verfassungsgerichtshof, dans l’affaire C‑594/12, interrogent la Cour sur la compatibilité de la directive 2006/24 avec une pluralité de droits fondamentaux, tout d’abord le droit au respect de la vie privée, garanti par l’article 7 de la Charte, et le droit à la protection des données personnelles, garanti par l’article 8 de la Charte, mais également le droit à la liberté d’expression, garanti par l’article 11 de la Charte.
50. La High Court interroge en outre la Cour sur la compatibilité de la directive 2006/24 avec l’article 21 TFUE, sur le droit de circulation et de séjour des citoyens européens et avec l’article 41 de la Charte, consacrant le droit à une bonne administration.
51. Il est, à cet égard, possible de procéder à une première opération de simplification.
52. Tout d’abord, il ne saurait, certes, être négligé que le sentiment diffus de surveillance (45) que la mise en œuvre de la directive 2006/24 peut engendrer est susceptible d’exercer une influence décisive sur l’exercice par les citoyens européens de leur liberté d’expression et d’information et que l’existence d’une ingérence dans le droit garanti par l’article 11 de la Charte doive, par conséquent, également être constatée (46). Il peut toutefois être observé que, outre que la Cour ne dispose pas d’éléments suffisants lui permettant de se prononcer à cet égard, cet effet ne constituerait qu’une conséquence collatérale d’une ingérence dans le droit au respect de la vie privée qui fait ci-dessous l’objet d’un examen très attentif et circonstancié.
53. Par ailleurs, la High Court ne fournit pas la moindre explication sur les raisons pour lesquelles elle estime pertinent le choix de l’article 21 TFUE (droit de séjour et de circulation des citoyens européens) et de l’article 41 de la Charte (droit à une bonne administration) aux fins de l’appréciation de la validité de la directive 2006/24, ni même la moindre indication sur l’incidence que ladite directive pourrait avoir sur la libre circulation des citoyens ou le principe de bonne administration, contrairement aux exigences désormais prévues à l’article 94 du règlement de procédure de la Cour. La Cour ne dispose donc pas non plus des éléments lui permettant de se prononcer à cet égard.
54. C’est donc principalement au regard des articles 7 et 8 de la Charte que la compatibilité de la directive 2006/24 devrait, en principe, être examinée.
ii) Le couple formé par le droit au respect de la vie privée et le droit à la protection des données personnelles
55. L’article 8 de la Charte consacre le droit à la protection des données personnelles comme un droit distinct du droit au respect de la vie privée. Si la protection des données tend à assurer le respect de la vie privée, elle est, surtout, soumise à un régime autonome, principalement défini par la directive 95/46, la directive 2002/58, le règlement no 45/2001 et la directive 2006/24, ainsi que, dans le domaine relevant de la coopération policière et judiciaire en matière pénale, par la décision-cadre 2008/977/JAI (47).
56. La directive 2006/24 affecte sensiblement le droit à la protection des données personnelles, dans la mesure où son article 5 établit l’obligation pour les États membres de veiller à ce que soient conservées des données qui permettent ou peuvent permettre l’identification d’une personne (48), à la source comme à la destination d’une communication, ainsi que sa situation dans l’espace et le temps, que ce soit par référence à son numéro de téléphone pour la téléphonie ou à son numéro d’identification ou à tout autre élément qui lui soit propre tel qu’une adresse IP pour les services Internet.
57. L’article 1er, paragraphe 2, de la directive 2006/24 indique d’ailleurs expressément qu’elle s’applique, notamment, aux données nécessaires pour identifier les abonnés ou les utilisateurs enregistrés des services de communications électroniques accessibles au public ou de réseaux publics de communications. Ces données relèvent ainsi de celles dont la divulgation est subordonnée à l’autorisation expresse de chaque individu, de leur «droit à l’autodétermination informationnelle» (49).
58. La directive 2006/24 se montre à première vue comme une ingérence dans le droit à la protection des données personnelles, en s’inscrivant clairement dans les prévisions de l’article 8, paragraphes 2 et 3, de la Charte. Elle précise, en effet, que sont pleinement applicables aux données conservées conformément à ses dispositions tant la directive 95/46 et la directive 2002/58 (50) que la convention du Conseil de l’Europe de 1981 sur la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (51).
59. Ce n’est toutefois pas le traitement des données conservées, qu’il s’agisse des modalités de collecte des données par les fournisseurs de services de communications électroniques ou des modalités d’exploitation des données par les autorités compétentes habilitées par les États membres, qui appelle la plus grande vigilance, mais la collecte des données en cause et leur conservation elles-mêmes, ainsi que leur impact sur le droit au respect de la vie privée, pour les raisons que je vais maintenant exposer.
60. Tout d’abord, la circonstance que la directive 2006/24 puisse parfaitement répondre aux exigences de l’article 8, paragraphes 2 et 3, de la Charte et qu’il puisse être considéré qu’elle n’est pas incompatible avec l’article 8 de la Charte n’implique cependant nullement qu’elle soit parfaitement compatible avec les exigences découlant du droit au respect de la vie privée garanti par l’article 7 de la Charte.
61. En effet, la «sphère du privé» constituant le noyau de la «sphère du personnel», il ne saurait être exclu qu’une réglementation restreignant le droit à la protection des données personnelles en conformité avec l’article 8 de la Charte puisse néanmoins être considérée comme portant une atteinte disproportionnée à l’article 7 de la Charte.
62. Certes, le droit à la protection des données à caractère personnel repose sur le droit fondamental au respect de la vie privée (52), de sorte que, comme la Cour a eu l’occasion de le souligner (53), les articles 7 et 8 de la Charte sont étroitement liés (54), au point de pouvoir être considérés comme établissant un «droit à la vie privée à l’égard du traitement des données à caractère personnel» (55).
63. Il ne saurait pourtant en aller systématiquement ainsi. Le lien unissant ces deux droits dépend essentiellement de la nature des données concernées, quand bien même elles seraient toujours personnelles, c’est-à-dire se rapporteraient à la personne, à l’individu.
64. Il est, en effet, des données qui sont personnelles en tant que telles, c’est-à-dire en ce qu’elles individualisent une personne, comme peuvent l’être celles qui, par le passé, pouvaient figurer sur un sauf-conduit, pour donner un exemple quelconque. Ce sont des données fréquemment dotées d’une certaine permanence et fréquemment aussi d’une certaine neutralité. Elles sont personnelles sans plus et l’on pourrait dire, d’une manière générale, que ce sont celles à l’égard desquelles la structure et les garanties de l’article 8 de la Charte sont les mieux adaptées.
65. Il est cependant des données qui sont en quelque sorte plus que personnelles. Ce sont les données qui, qualitativement, se rapportent essentiellement à la vie privée, au secret de la vie privée, en ce compris l’intimité. Dans ces cas, en effet, le problème soulevé par les données personnelles commence, pour ainsi dire, déjà «en amont». Le problème qui alors se pose n’est pas encore celui des garanties afférentes au traitement des données, mais, plus en amont, celui des données en tant que telles, c’est-à-dire le fait que les circonstances de la vie privée d’une personne aient pu se cristalliser sous la forme de données, données susceptibles en conséquence d’être soumises à des traitements informatiques.
66. C’est en ce sens qu’il est possible de soutenir que, lorsque de telles données sont en cause, elles soulèvent un problème qui est essentiellement préalable à celui de leur traitement, relevant prioritairement de la vie privée garantie par l’article 7 de la Charte et seulement secondairement des garanties qui se rapportent au traitement des données personnelles visées à l’article 8 de la Charte.
67. Ainsi qu’il ressort des développements qui précèdent, procédant au correct «positionnement» des droits fondamentaux formant le couple constitué du droit au respect de la vie privée (article 7 de la Charte) et du droit à la protection des données à caractère personnel (article 8 de la Charte), c’est principalement sous l’angle de l’ingérence dans le droit au respect de la vie privée que la validité de la directive 2006/24 doit être appréciée.
b) Une ingérence particulièrement caractérisée dans le droit au respect de la vie privée
68. Pour commencer, il ne fait guère de doute que la directive 2006/24 constitue en elle-même une «ingérence» dans le droit au respect de la vie privée (56). Elle le constate elle-même en se définissant comme un «instrument relatif à la conservation des données» constituant une «mesure nécessaire au regard des exigences de l’article 8 de la CEDH» (57), ou de l’article 7 de la Charte. La Cour, du reste, emploie ce terme à l’égard de cette directive (58).
69. La Cour européenne des droits de l’homme a pour sa part itérativement jugé que la mémorisation par une autorité publique de données relatives à la vie privée d’un individu constituait une ingérence dans le droit au respect de sa vie privée garanti par l’article 8, paragraphe 1, de la CEDH (59), étant précisé que l’utilisation qui en est faite importait peu (60).
70. Ce dont il est ici question, c’est d’essayer de qualifier cette ingérence. En ce sens, et comme je le montrerai de façon plus détaillée par la suite, il est possible d’avancer que la directive 2006/24 constitue une ingérence particulièrement caractérisée (61) dans le droit au respect de la vie privée.
71. Certes, la directive 2006/24 exclut de son champ d’application, de manière aussi expresse qu’insistante (62), le contenu des communications téléphoniques ou électroniques, les informations communiquées elles-mêmes.
72. Il n’en demeure cependant pas moins que la collecte (63) et, surtout, la conservation (64), dans de gigantesques bases de données, des multiples données générées ou traitées dans le cadre de la plus grande partie des communications électroniques courantes des citoyens de l’Union (65) constituent une ingérence caractérisée dans leur vie privée, quand bien même elles ne feraient que créer les conditions de possibilité d’un contrôle rétrospectif de leurs activités tant personnelles que professionnelles. La collecte de ces données crée les conditions d’une surveillance qui, pour ne s’exercer que rétrospectivement à l’occasion de leur exploitation, menace néanmoins de manière permanente, pendant toute la durée de leur conservation, le droit des citoyens de l’Union au secret de leur vie privée. Le sentiment diffus de surveillance (66) généré pose de manière particulièrement aiguë la question de la durée de conservation des données.
73. Il doit à cet égard être tout d’abord tenu compte du fait que les effets de cette ingérence se trouvent démultipliés par l’importance acquise par les moyens de communications électroniques dans les sociétés modernes, qu’il s’agisse des réseaux mobiles numériques ou d’Internet, et leur utilisation massive et intensive par une fraction très importante des citoyens européens dans tous les champs de leurs activités privées ou professionnelles (67).
74. Les données en question, il importe également d’insister encore une fois à cet égard, ne sont pas des données personnelles au sens classique du terme, se rapportant à des informations ponctuelles sur l’identité des personnes, mais des données personnelles pour ainsi dire qualifiées, dont l’exploitation peut permettre l’établissement d’une cartographie aussi fidèle qu’exhaustive d’une fraction importante des comportements d’une personne relevant strictement de sa vie privée, voire d’un portrait complet et précis de son identité privée.
75. L’intensité de cette ingérence se trouve accentuée par des éléments aggravant le risque que, nonobstant les obligations imposées par la directive 2006/24 tant aux États membres eux-mêmes qu’aux fournisseurs de services de communications électroniques, les données conservées ne soient utilisées à des fins illicites, potentiellement attentatoires à la vie privée ou, plus largement, frauduleuses, voire malveillantes.
76. En effet, les données ne sont pas conservées par les autorités publiques elles-mêmes, ni même sous leur contrôle direct, mais par les fournisseurs de services de communications électroniques eux-mêmes (68) sur lesquels pèsent l’essentiel des obligations garantissant leur protection et leur sécurité.
77. La directive 2006/24 impose (69), certes, aux États membres de veiller à ce que les données soient conservées conformément à ladite directive. Il est cependant intéressant de constater que c’est seulement de manière à ce que lesdites données et toute autre information nécessaire les concernant «puissent, à leur demande, être transmises sans délai aux autorités compétentes». La directive 2006/24, prévoit, par ailleurs, que les États membres doivent veiller à ce que les fournisseurs de services de communications électroniques respectent un minimum de principes concernant la protection et la sécurité des données conservées.
78. Aucune disposition de la directive 2006/24 ne prévoit, cependant, l’obligation pour lesdits fournisseurs de services de stocker eux-mêmes les données à conserver sur le territoire d’un État membre, relevant de la juridiction d’un État membre, ce qui aggrave considérablement le risque qu’elles puissent être accessibles ou divulguées en méconnaissance de cette réglementation.
79. Cette «externalisation» de la conservation des données permet, certes, d’éloigner les données conservées des pouvoirs publics des États membres, et donc de les soustraire de leur emprise directe et hors de tout contrôle (70), mais par cela même elle aggrave simultanément le risque d’une exploitation non conforme aux exigences découlant du droit au respect de la vie privée.
80. La directive 2006/24 constitue donc, ainsi qu’il ressort des développements qui précèdent, une ingérence particulièrement caractérisée dans le droit au respect de la vie privée et c’est au regard des exigences découlant de ce droit fondamental que sa validité et tout particulièrement sa proportionnalité doivent principalement être examinées.
3. Sur la portée de l’arrêt Irlande/Parlement et Conseil sur l’appréciation de la validité de la directive 2006/24
81. Parvenu à ce stade des présents développements préalables, il reste encore à s’interroger sur l’incidence de l’arrêt Irlande/Parlement et Conseil sur la double demande d’appréciation de validité de la directive 2006/24 adressée à la Cour.
82. Il doit, à cet égard, être rappelé que la Cour était, dans cette affaire, saisie d’un recours direct en annulation de la directive 2006/24, dans le cadre duquel il était exclusivement fait valoir qu’elle était fondée sur une base juridique erronée. La Cour a, en conséquence, expressément indiqué, au point 57 de son arrêt, que «le recours formé par l’Irlande port[ait] uniquement sur le choix de la base juridique et non pas sur une éventuelle violation des droits fondamentaux découlant des ingérences dans l’exercice du droit au respect de la vie privée que la directive 2006/24 comporte».
83. Or, les demandes préjudicielles formulées dans les deux affaires soulevant la question de la proportionnalité des dispositions de la directive 2006/24, au sens de l’article 5, paragraphe 4, TUE (première question dans l’affaire C‑293/12), d’une part, et au sens de l’article 52, paragraphe 1, de la Charte (deuxième question dans l’affaire C‑293/12 et première question dans l’affaire C‑594/12), d’autre part, il est possible d’interpréter la réserve ainsi posée par la Cour, en deux sens qui peuvent se révéler complémentaires.
84. La première interprétation possible, celle qui en fin de compte s’impose en tout état de cause, est de considérer que la Cour, tenue par les conclusions en annulation très ciblées de l’Irlande, n’était pas appelée à examiner la compatibilité de la directive 2006/24 avec les droits fondamentaux garantis par la Charte, essentiellement le droit au respect de la vie privée garanti par l’article 7 de la Charte. La Cour a elle-même tenu à le préciser au point 57 de son arrêt: elle n’avait donc pas à examiner cette question de compatibilité au regard des exigences posées par l’article 52, paragraphe 1, de la Charte, en particulier celles tenant à la qualité de la loi et à la proportionnalité.
85. Le second sens qu’il est possible d’attribuer à cette réserve, qu’il est beaucoup plus délicat d’explorer, serait de considérer que, nonobstant la validation de la base juridique de la directive 2006/24 par l’arrêt Irlande/Parlement et Conseil, la Cour n’a pas examiné la proportionnalité, au sens de l’article 5, paragraphe 4, TUE, de ladite directive et cela par rapport à l’ingérence aux droits fondamentaux, ainsi que le demande formellement la High Court dans sa première question dans l’affaire C‑293/12. Il s’agirait, en substance, d’examiner si, étant tenu compte de sa base juridique, l’ingérence dans le droit au respect de la vie privée que la directive 2006/24 constitue demeure dans un rapport raisonnable de proportionnalité, au sens de cette disposition, avec les objectifs qu’elle affiche poursuivre.
86. Je commencerai par dégager la problématique dérivée du principe de proportionnalité au sens de l’article 5, paragraphe 4, TUE, ce qui requiert, comme indiqué, l’exploration des possibilités ouvertes par cette seconde interprétation possible du point 57 de l’arrêt Irlande/Parlement et Conseil. Je passerai ensuite, sur la base de la première interprétation – non problématique – dudit point, à l’examen du cœur des questions soulevées par les deux juridictions de renvoi, relatives aux conditions des limites de l’exercice des droits fondamentaux.
B – Sur la proportionnalité, au sens de l’article 5, paragraphe 4, TUE, de l’adoption de la directive 2006/24 (première question dans l’affaire C‑293/12)
87. Par sa première question dans l’affaire C‑293/12, la High Court interroge la Cour sur la question de savoir si, eu égard à l’article 5, paragraphe 4, TUE, la directive 2006/24 est proportionnée aux objectifs qu’elle poursuit, soit celui de garantir la disponibilité des données conservées aux fins de la détection et de la poursuite des infractions graves, soit celui de garantir le bon fonctionnement du marché intérieur, soit les deux.
88. Une réponse à cette interrogation ne s’impose que pour autant qu’il puisse être admis que la Cour ne s’est, dans son arrêt Irlande/Parlement et Conseil, prononcée que sur la validité du choix de l’article 95 CE comme base juridique de la directive 2006/24 tout en laissant intacte la question de la proportionnalité de ladite directive elle-même au regard des objectifs qu’elle peut poursuivre sur le fondement de ladite base juridique. Les développements qui suivent doivent donc être compris comme étant conditionnés par une interprétation de l’arrêt Irlande/Parlement et Conseil qui, tout de même, pourrait prêter à discussion.
89. Dans la mesure où la demande préjudicielle de la High Court pose tant la question de la proportionnalité de la directive 2006/24, de l’acte de l’Union lui-même, au sens de l’article 5, paragraphe 4, TUE, que celle de la proportionnalité des limitations de l’exercice des droits fondamentaux au sens de l’article 52, paragraphe 1, de la Charte, il faut conserver à l’esprit que les contrôles effectués au titre de ces deux dispositions sont de nature différente (71). La proportionnalité au sens de l’article 5, paragraphe 4, TUE est, en conjonction avec le principe de subsidiarité, un principe général régissant l’action de l’Union et conditionnant l’adoption de tous les actes des institutions. Elle a plus particulièrement vocation à canaliser l’intervention de l’Union dans le respect des compétences des États membres. La proportionnalité au sens de l’article 52, paragraphe 1, de la Charte est une condition de légitimité de toute limitation de l’exercice des droits fondamentaux. Si les contrôles opérés au titre des deux dispositions peuvent suivre le même parcours, ils ne s’exercent pas, en revanche, avec les mêmes rigueurs.
90. Cela précisé, il importe de rappeler que, dans un domaine de compétence partagée, tel que celui du marché intérieur (72), il incombe au législateur de l’Union de déterminer les mesures qu’il estime nécessaires pour atteindre les objectifs visés, tout en respectant les principes de subsidiarité et de proportionnalité consacrés à l’article 5 TUE (73).
91. En l’occurrence, conformément à l’article 5 du protocole sur l’application des principes de subsidiarité et de proportionnalité, la Commission a motivé l’adoption de la directive 2006/24 au regard du principe de proportionnalité, ainsi qu’il ressort de sa proposition du 21 septembre 2005 (74).
92. La question qui est posée par la High Court n’est, toutefois, pas celle de savoir si la Commission a, en l’espèce, rempli ses obligations, mais si la directive 2006/24 elle-même est conforme aux exigences de l’article 5, paragraphe 4, TUE.
93. Conformément à une jurisprudence itérative de la Cour, un acte de l’Union ne peut être considéré comme proportionné que pour autant que les moyens qu’il met en œuvre soient aptes à réaliser les objectifs qu’il poursuit et n’aillent pas au-delà de ce qui est nécessaire pour atteindre ces objectifs (75).
94. La question préjudicielle de la High Court soulève à cet égard une difficulté toute particulière. La question qui se pose est, en l’occurrence, celle de savoir si la proportionnalité, au sens de l’article 5, paragraphe 4, TUE, des mesures adoptées par la directive 2006/24 doit s’apprécier au regard des deux objectifs qu’elle déclare poursuivre, l’harmonisation des réglementations nationales aux fins du bon fonctionnement du marché intérieur et la garantie de la disponibilité des données aux fins de la répression pénale ou bien, au contraire, au regard du seul objectif en relation directe avec la base juridique sur le fondement de laquelle elle a été adoptée.
95. En ce sens, il convient de procéder à une distinction entre l’objectif prépondérant qui est le sien (76), à savoir le fonctionnement du marché intérieur, et les fins ultimes qu’elle poursuit, que l’on peut qualifier d’une manière ou d’une autre, mais qui ne sont en tout cas pas prépondérantes. Plus précisément, il faut, dans un premier temps, examiner la proportionnalité de la directive 2006/24, en tant qu’elle impose aux fournisseurs de services de communications électroniques des obligations de collecte, de conservation et de mise à disponibilité des données ayant un effet «constitutif», par rapport aux besoins d’harmonisation desdites obligations.
96. À cet égard, il doit être rappelé, tout d’abord, que l’intensité du contrôle juridictionnel que la Cour exerce sur le caractère approprié d’une mesure adoptée par le législateur de l’Union est directement liée au pouvoir d’appréciation dont il dispose (77). La Cour a itérativement jugé que, dans les domaines où son action implique des choix de nature politique, économique ou sociale et appelant des appréciations et des évaluations complexes, comme dans les domaines de la politique agricole commune (78) ou de la politique commerciale commune (79), le législateur de l’Union dispose d’un large pouvoir d’appréciation (80) et le contrôle du juge est restreint en conséquence. Il ne lui appartient pas de déterminer si la mesure adoptée était la seule ou la meilleure possible, mais de vérifier qu’elle repose sur des éléments objectifs (81) et n’est pas manifestement inappropriée par rapport à l’objectif poursuivi (82).
97. Il n’est, à cet égard, pas contesté que la directive 2006/24 constitue un moyen apte à réaliser le premier objectif, formel, qu’elle poursuit, à savoir garantir le bon fonctionnement du marché intérieur. Elle est incontestablement calibrée pour éliminer les disparités législatives et techniques (83), présentes et futures, des réglementations nationales imposant aux fournisseurs de services de communications électroniques des obligations de conservation des données.
98. Il peut, par ailleurs, être admis, eu égard au pouvoir d’appréciation des institutions, que l’harmonisation réalisée par la directive 2006/24 était bien nécessaire aux fins de réduire les disparités, législatives et techniques, entre les exigences imposées aux fournisseurs de services de communications électroniques concernant les types de données à conserver, la durée et les conditions de conservation (84).
99. Il reste, enfin, à examiner si la directive 2006/24 peut être considérée comme proportionnée au sens strict du terme.
100. Parvenu à ce dernier stade de l’examen de la proportionnalité de la directive 2006/24 au sens de l’article 5, paragraphe 4, TUE, force est de constater qu’il existe une disproportion manifeste entre l’intensité de l’intervention dans le domaine de la régulation des droits fondamentaux, que représente l’ingérence dans le droit au respect de la vie privée qui, à travers la mise en œuvre de la directive 2006/24, s’impose aux États membres, et l’objectif tenant à la nécessité de garantir le fonctionnement du marché intérieur qu’elle poursuit de façon prépondérante (85) et qui justifiait son adoption sur le fondement de l’article 95 CE. L’incidence que la directive 2006/24 a, de par sa portée constitutive, sur les compétences de régulation et de garantie du contenu des droits fondamentaux des États membres ne saurait, à cet égard, être sous-estimée.
101. La directive 2006/24 a, comme je l’ai montré ci-dessus, établi une obligation de collecte et de conservation de données s’imposant aux fournisseurs de services de communications électroniques qui, en dérogeant aux principes établis par la directive 95/46 et la directive 2002/58, constitue une ingérence caractérisée dans le droit au respect de la vie privée, notamment, tout en abandonnant aux États membres le soin de garantir effectivement le respect des droits fondamentaux.
102. L’ingérence caractérisée dans le droit au respect de la vie privée que, comme conséquence de l’effet constitutif de la directive 2006/24, les États membres sont censés incorporer à leur propre ordre juridique, apparaît ainsi hors de proportion avec la seule nécessité de garantir le fonctionnement du marché intérieur, quand bien même il doit, par ailleurs, être considéré que cette collecte et cette conservation constituent des moyens adéquats et même nécessaires à la réalisation de l’objectif ultime poursuivi par ladite directive et visant à garantir les disponibilité desdites données aux fins de la recherche et de la poursuite d’infractions criminelles graves. En résumé, la directive 2006/24 ne parviendrait pas à surmonter le test de proportionnalité pour les raisons mêmes qui justifiaient sa base juridique. Les motifs de son salut au regard de la base juridique seraient, paradoxalement, les motifs de sa perte au regard de la proportionnalité.
103. La question n’est pourtant pas si simple dès lors qu’il faut tenir compte du fait qu’un objectif «prépondérant» n’équivaut pas à un objectif «exclusif», quand bien même ledit objectif prépondérant aurait joué un rôle déterminant dans l’identification de la correcte base juridique. On doit, de ce point de vue, reconnaître qu’il existe bien un espace impliquant que, dans le cadre de l’examen de la proportionnalité de la directive 2006/24 au sens de l’article 5, paragraphe 4, TUE, soit pris en considération l’objectif ultime de répression des activités criminelles graves qu’elle poursuit. Dans cette optique, il pourrait sans difficulté être admis que la directive 2006/24 pourrait passer, en tant qu’acte de l’Union et en prenant soin de laisser de côté l’examen de la proportionnalité au sens de l’article 52, paragraphe 1, de la Charte, le test de proportionnalité au sens précis de l’article 5, paragraphe 4, TUE et être reconnue comme adéquate, nécessaire et même proportionnée au sens strict.
104. La question qui, en définitive, se pose est celle de savoir si les problèmes de proportionnalité au sens strict qu’un acte de l’Union présente eu égard à l’objectif prépondérant qu’il poursuit peuvent être réparés par la prise en considération d’un objectif qui se situe à l’«arrière-plan». Cette question est d’autant plus difficile à trancher qu’elle se présente dans un contexte dans lequel la base juridique de l’acte en cause a été précisément validée en considération de son objectif prépondérant.
105. Cependant, dans la mesure où la directive 2006/24 doit encore, en sa qualité d’acte limitant l’exercice des droits fondamentaux, être soumise à un examen de proportionnalité au titre de l’article 52, paragraphe 1, de la Charte, j’estime qu’il n’est pas nécessaire de trancher définitivement cette question dans le cadre des présentes affaires.
C – Sur les exigences dérivées de l’article 52, paragraphe 1, de la Charte (deuxième question dans l’affaire C‑293/12 et première question dans l’affaire C‑594/12)
106. Ainsi que je l’ai déjà souligné ci-dessus, la directive 2006/24, qui harmonise les réglementations adoptées par les États membres dans le cadre de ce qui apparaît une possibilité prévue à l’article 15, paragraphe 1, de la directive 2002/58, instaure un régime partiellement dérogatoire aux principes établis par cette dernière et par la directive 95/46 et garantissant le droit à la protection des données personnelles et, plus largement, le droit au respect de la vie privée.
107. Plus largement, l’ingérence dans le droit au respect de la vie privée que constitue la directive 2006/24 n’est admissible que pour autant qu’elle réponde aux conditions fixées par l’article 52, paragraphe 1, de la Charte, à condition donc d’être «prévue par la loi» et, plus précisément, de répondre aux exigences de la qualité de la loi, de respecter le contenu essentiel dudit droit et d’être proportionnée, c’est-à-dire d’être nécessaire et de répondre effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et des libertés d’autrui.
1. Sur la qualité de la loi
108. Il est, en l’occurrence, à peine utile de préciser que, dès lors que la collecte et la conservation des données aux fins de leur disponibilité est prévue par la directive 2006/24, l’ingérence dans le droit au respect de la vie privée qu’elle constitue doit être considérée comme étant formellement prévue par la loi, au sens de l’article 52, paragraphe 1, de la Charte.
109. Cela précisé, la conception de la condition d’être «prévue par la loi» de la Cour doit, compte tenu des dispositions de l’article 52, paragraphe 3, de la Charte, être proche de celle défendue par la Cour européenne des droits de l’homme, c’est-à-dire être une condition devant aller au-delà d’une exigence purement formelle pour appréhender le défaut de précision de la loi («qualité de la loi») (86), pour l’exprimer dans les termes les plus simples possible (87).
110. Il est vrai qu’un tel examen pourrait tout autant trouver sa place dans le cadre d’une analyse circonstanciée de la proportionnalité de la limitation (88). Cependant, par souci de fidélité à l’approche de la jurisprudence de la Cour européenne des droits de l’homme, si d’autres raisons n’y suffisaient, j’estime devoir privilégier la première option.
111. Suivant une compréhension plus que formelle de l’exigence selon laquelle toute limitation doit être prévue par la loi, la question qui se pose est celle de savoir si les limitations à l’exercice des droits fondamentaux que la directive 2006/24 comporte s’accompagnent de l’indispensable degré de détail que doivent présenter les garanties dont de telles limitations doivent être assorties.
112. L’article 4 de la directive 2006/24 prévoit que c’est aux États membres qu’il incombe de prendre les mesures nécessaires pour veiller à ce que les données conservées ne soient transmises qu’aux autorités nationales compétentes, dans des cas précis et conformément au droit interne. La seconde phrase précise que «la procédure à suivre et les conditions à remplir pour avoir accès aux données conservées dans le respect des exigences de nécessité et de proportionnalité sont arrêtées par chaque État membre dans son droit interne, sous réserve des dispositions du droit de l’Union européenne ou du droit international public applicables en la matière, en particulier la CEDH telle qu’interprétée par la Cour européenne des droits de l’homme».
113. La difficulté à laquelle nous confronte la directive 2006/24, qu’il me soit encore permis de le répéter, c’est qu’il s’agit d’une directive qui ne cherche qu’à mettre sur pied une obligation pesant sur les fournisseurs de services de communications électroniques de collecter et de conserver les données de trafic et de localisation des communications électroniques, et non les garanties qui doivent régir l’accès auxdites données conservées et leur exploitation. La directive 2006/24 s’en remet, à cet égard, comme nous l’avons vu, de façon générique aux États membres (89).
114. Ainsi présentée, la question qui se pose n’est autre que celle de savoir si l’exigence que toute limitation des droits fondamentaux soit «prévue par la loi» peut se contenter d’un tel renvoi général, fût-il accompagné d’une référence expresse aux droits garantis par la directive 95/46 et la directive 2002/58.
115. Il importe, à cet égard, de préciser tout d’abord qu’une situation dans laquelle l’Union se borne à adopter une législation procédant à l’harmonisation de dispositions invariablement adoptées par la généralité des États membres n’est pas comparable à une situation dans laquelle l’Union décide, de façon additionnelle, de la généralisation d’une telle législation.
116. Dans le premier cas, l’Union peut procéder comme elle l’a fait avec la directive 2002/58, c’est-à-dire en laissant essentiellement aux législateurs nationaux la tâche de veiller à ce que la législation adoptée de leur propre initiative et impliquant une limitation des droits fondamentaux comporte toutes les garanties nécessaires pour que ces limitations et leur application («accès») répondent à toutes les exigences de la qualité de la loi et du principe de proportionnalité.
117. Dans le second cas, au contraire, lorsque la limitation des droits fondamentaux procède de la législation de l’Union elle-même, et qu’elle lui est partant imputable, la part de responsabilité incombant au législateur de l’Union est tout autre. Dans le cas d’une directive, il est clair que ce sera aux États membres qu’il incombera de détailler les garanties appelées à encadrer la limitation des droits fondamentaux dans un cas comme celui qui nous occupe. Cependant, il apparaît également que le législateur de l’Union doit jouer un rôle directeur dans la définition même desdites garanties. C’est de cette perspective qu’il convient d’examiner le respect de l’exigence tenant à la qualité de la loi.
118. En d’autres termes, la transition d’un régime facultatif, tel que celui susceptible d’être mis en place sur le fondement de l’article 15 de la directive 2002/58, à un régime prescriptif à l’échéance, tel que celui établi par la directive 2006/24, aurait dû s’accompagner d’une évolution parallèle en ce qui concerne les garanties et donc conduire le législateur de l’Union à encadrer de façon principielle la très large délégation accordée aux États membres en ce qui concerne l’accès aux données et leur exploitation par l’adoption de spécifications sous la forme de principes.
119. En effet, il importe, à cet égard, de relever tout d’abord que tant la directive 95/46 que la directive 2002/58 précisent que les mesures de limitation des droits garantis que les États membres sont autorisés à adopter doivent être de nature législative (90). Or, la directive 2006/24 ne fait plus que marginalement mention de cette exigence formelle (91), affaiblissant ainsi le niveau des garanties établies par les directives auxquelles elle déroge (92).
120. Le législateur de l’Union ne saurait, en effet, lorsqu’il adopte un acte imposant des obligations constitutives d’ingérences caractérisées dans les droits fondamentaux des citoyens de l’Union, totalement abandonner aux États membres le soin de définir les garanties de nature à les justifier. Il ne saurait se contenter ni de renvoyer aux autorités législatives et/ou administratives compétentes des États membres appelées, s’il échet, à adopter des mesures nationales d’exécution d’un tel acte le soin de définir et d’établir ces garanties, ni de s’en remettre intégralement aux autorités judiciaires chargées de contrôler son application concrète. Il doit, sous peine de vider de leur sens les dispositions de l’article 51, paragraphe 1, de la Charte, pleinement assumer sa part de responsabilité en définissant à tout le moins les principes devant présider à la définition, à l’établissement, à l’application et au contrôle du respect de ces garanties.
121. Il a été dit et répété que la directive 2006/24, comme l’indique son article 4 (93), ne réglementait pas l’accès (94) aux données collectées et conservées ni leur exploitation, étant par ailleurs entendu qu’elle ne le pouvait pas eu égard à la répartition des compétences entre les États membres et l’Union (95). Mais la question qui se pose maintenant est précisément celle de savoir si l’Union peut (96) établir une mesure telle que l’obligation de collecte et de conservation des données en cause dans la durée sans en même temps l’encadrer avec des garanties sur les conditions auxquelles leur accès et leur exploitation seront subordonnés, à tout le moins sous forme de principes. C’est très précisément cet encadrement des conditions d’accès et d’exploitation des données collectées et conservées qui permet d’apprécier la portée de ce que cette ingérence implique concrètement et qui peut donc rendre cette dernière constitutionnellement supportable ou pas.
122. Il existe, en effet, un rapport intime entre la configuration concrète de l’obligation de collecte et de conservation des données et les conditions dans lesquelles ces dernières sont, le cas échéant, mises à la disposition des autorités nationales compétentes et exploitées par celles-ci. Il y a même lieu de considérer que, sans la conscience de la façon dont cet accès et cette exploitation peuvent intervenir, il n’est pas vraiment possible de porter un jugement fondé sur l’ingérence que la collecte et la conservation en cause induisent.
123. Tout en prenant en considération le fait que la base juridique de la directive 2006/24 était celle permettant d’assurer le bon fonctionnement du marché intérieur et que l’ensemble des modalités d’accès aux données et de leur exploitation ne pouvait être incorporé dans ses dispositions, l’effet constitutif de l’obligation de collecte et de conservation qu’elle comporte impliquait qu’elle s’accompagnât d’une série de garanties principielles, à titre de complément nécessaire et indispensable. À cet effet, le renvoi général aux États membres est insuffisant et le régime protecteur établi par la directive 95/46 (97) ou encore la décision-cadre 2008/977 (98) ne permet pas d’y remédier faute de trouver à s’appliquer.
124. Même en acceptant la division évoquée par l’avocat général Bot dans ses conclusions dans l’affaire Irlande/Parlement et Conseil, précitée, et tout en partageant son point de vue selon lequel il était, à l’époque tout au moins, difficile d’incorporer les garanties concernant l’accès aux données conservées, rien ne s’opposait à ce que le législateur de l’Union, en définissant l’obligation de collecte et de conservation des données, accompagne celle-ci d’une série de garanties sous la forme à tout le moins de principes, à développer par les États membres, tendant à encadrer leur exploitation et, par cela même, à définir la mesure exacte et le profil complet de l’ingérence qu’elle comporte.
125. Ainsi, et en l’absence de tout souci d’exhaustivité, il appartenait au législateur de l’Union de définir les principes fondamentaux qui devaient régir la définition des garanties minimales encadrant l’accès aux données collectées et conservées et leur exploitation, parmi lesquelles peuvent être citées les suivantes.
126. Il lui appartenait d’orienter, eu égard à l’intensité de l’ingérence, la description des activités criminelles susceptibles de justifier l’accès des autorités nationales compétentes aux données collectées et conservées incorporant un degré de précision allant au-delà de celle d’«infractions graves» (99).
127. Il aurait été nécessaire qu’il orientât la réglementation par les États membres de l’autorisation d’accès aux données collectées et conservées, en limitant celui-ci si ce n’est aux seules autorités judiciaires (100), à tout le moins à des autorités indépendantes, ou encore, à défaut, en soumettant toute demande d’accès au contrôle des autorités judiciaires ou d’autorités indépendantes et qu’il imposât un examen au cas par cas des demandes d’accès aux fins de limiter les données communiquées au strict nécessaire.
128. Il pouvait, de même, être attendu qu’il posât comme principe la possibilité pour les États membres de prévoir des exceptions à l’accès aux données conservées dans certaines circonstances exceptionnelles, voire les conditions renforcées d’accès dans les hypothèses dans lesquelles un tel accès est susceptible de porter atteinte à des droits fondamentaux garantis par la Charte, comme dans le contexte du droit au secret médical.
129. Le législateur de l’Union aurait dû poser le principe de l’obligation, pour les autorités autorisées à accéder aux données, d’une part, de les effacer une fois leur utilité épuisée et, d’autre part, d’informer les personnes concernées dudit accès, à tout le moins a posteriori, une fois écarté tout risque que cette information puisse porter atteinte à l’efficacité des mesures justifiant l’exploitation desdites données.
130. La nécessité des différentes garanties ainsi énumérées, sans exhaustivité, se trouve confortée par la circonstance que le législateur de l’Union a lui-même, postérieurement à l’adoption de la directive 2006/24, adopté la décision-cadre 2008/977, qui garantit la protection des données personnelles traitées dans le cadre de la coopération policière et judiciaire en matière pénale, en prévoyant précisément des garanties de cette nature, ne serait-ce que dans le cadre des transmissions de données entre États membres. La décision-cadre 2008/977 exclut, en effet, de son champ d’application ce qui ne relève pas des échanges entre États membres, ainsi qu’il ressort notamment du considérant 9 de la décision-cadre 2008/977 (101).
131. En conclusion, la directive 2006/24 est dans son ensemble incompatible avec l’article 52, paragraphe 1, de la Charte, dans la mesure où les limitations à l’exercice des droits fondamentaux qu’elle comporte, du fait de l’obligation de conservation des données qu’elle impose, ne s’accompagnent pas des principes indispensables appelés à régir les garanties nécessaires à l’encadrement de l’accès auxdites données et de leur exploitation.
132. Il importe encore de faire observer à cet égard que le fait que les États membres aient fréquemment, de leur propre initiative et au titre des exigences propres à leur ordre juridique interne, mis en place les garanties que la directive 2006/24 ne s’emploie pas elle-même à esquisser (102) est, certes, une circonstance qui sera prise en considération, comme nous le verrons ci-dessous, mais elle ne saurait de toute évidence exonérer le législateur de l’Union.
2. Sur la proportionnalité au sens de l’article 52, paragraphe 1, de la Charte
133. L’article 52, paragraphe 1, de la Charte exige non seulement que toute limitation de l’exercice des droits fondamentaux soit «prévue par la loi», mais aussi qu’elle intervienne dans le respect, strict, du principe de proportionnalité. Cette exigence de proportionnalité, comme déjà souligné, acquiert, dans le contexte de la Charte, une force particulière, qu’elle n’a pas dans le cadre de l’article 5, paragraphe 4, TUE. En effet, ce qui est ici postulé, ce n’est pas la proportionnalité comme principe général de l’action de l’Union mais, bien plus spécifiquement, la proportionnalité en tant que condition constitutive de toute limitation des droits fondamentaux.
134. Dans cette perspective, la poursuite par les institutions de l’Union de l’objectif affiché par la directive 2006/24, à savoir garantir la disponibilité des données conservées aux fins de la poursuite des infractions criminelles graves, ne saurait être admise qu’à la condition de se concilier avec, notamment, le droit au respect de la vie privée (103).
135. Il faut ici pourtant consigner que, eu égard aux exigences, examinées ci-dessus, imposant que la «loi» encadre, à tout le moins sous la forme de principes, de garanties suffisantes l’accès aux données collectées et conservées par les fournisseurs de services de communications électroniques et leur exploitation, la proportionnalité de la conservation même des données imposée par la directive 2006/24 n’appelle plus, à une exception près, un examen particulièrement détaillé au-delà de ce qui suit.
136. La directive 2006/24, en effet, poursuit une fin parfaitement légitime, à savoir garantir la disponibilité des données collectées et conservées aux fins de la recherche, de la détection et de la poursuite d’infractions graves, et peut être considérée, compte tenu du contrôle limité que la Cour peut exercer à cet égard, comme adéquate et même, sous réserve des garanties dont elle devrait être assortie, comme nécessaire à la réalisation de cet objectif ultime (104). Ce sont ces garanties qui, en particulier, peuvent justifier la liste de catégories de données à conserver, prévue à l’article 5 de la directive 2006/24, certainement très longue.
137. La circonstance qu’il soit possible d’échapper à l’emprise de la directive 2006/24 par l’utilisation de certains modes de communication est, certes, incontestablement de nature à considérablement relativiser l’efficacité même du régime de collecte des données de trafic et de localisation qu’elle impose, en particulier en ce qui concerne la criminalité organisée et le terrorisme. Elle ne saurait, pour autant, permettre de considérer que la collecte et la conservation des données sont en soi totalement inaptes à la réalisation des objectifs poursuivis. Elle ne saurait, pas plus, permettre à la Cour de conclure que la collecte et la conservation des données afférentes aux communications électroniques courantes sont manifestement totalement dénuées de toute utilité.
138. Il importe cependant, sous la perspective de la nécessité de la mesure, d’insister ici sur l’importance des dispositions de l’article 14 de la directive 2006/24, qui prévoit l’obligation pour la Commission d’établir un (105) rapport (106) sur son application, sur la base notamment des statistiques à établir par les États membres en vertu de son article 10, et de proposer sur cette base les modifications qui s’imposent le cas échéant, notamment en ce qui concerne la liste des catégories de données à collecter et à conserver et la durée de conservation.
139. En ce sens, et étant donné que la directive 2006/24 ne comporte aucune disposition prévoyant sa caducité («sunset clause»), il est du devoir du législateur de l’Union de procéder à une réévaluation périodique des circonstances justifiant la limitation caractérisée de l’exercice du droit au respect de la vie privée qu’elle comporte, lui permettant ainsi d’examiner la pérennité desdites circonstances et de moduler, voire d’abroger en conséquence, ladite limitation.
140. Cela précisé, l’exception que je viens d’évoquer concerne la proportionnalité de l’article 6 de la directive 2006/24, définissant la durée de conservation des données collectées.
141. L’article 6 de la directive 2006/24 fixe l’un des éléments fondamentaux de la conservation des données qu’elle harmonise ou, le cas échéant, met en place, à savoir sa portée limitée dans le temps. Toutes les données conservées, en effet, sont en principe appelées à disparaître avec le temps, étant précisé qu’il ne saurait en aller autrement. Cependant, à la différence du principe établi par la directive 2002/58, dont l’article 6, paragraphe 1, prévoit l’effacement ou l’anonymisation des données de trafic traitées et stockées dès qu’elles cessent d’être nécessaires à la transmission d’une communication (107), l’obligation d’assurer la disparition de ces données ne s’impose pas de façon quasi immédiate, mais au terme de l’écoulement d’un certain laps de temps seulement. Les États membres sont tenus de garantir la conservation des données collectées pendant une durée qui ne peut en aucun cas être inférieure à six mois et qui, sous réserve de la dérogation prévue à l’article 12 de la directive 2006/24, ne peut être supérieure à deux années, la fixation concrète de cette durée incombant aux législateurs nationaux.
142. Par cette prévision, la conservation des données («data retention») qui nous occupe acquiert une dimension de continuité temporelle qui contribue de manière décisive à la caractérisation de l’ingérence dans le droit au respect de la vie privée que comporte la directive 2006/24, en particulier par opposition à l’ingérence que produirait la conservation des données a posteriori («data preservation»), ce qu’il est convenu d’appeler le «quick freeze» (108). L’idée selon laquelle l’accumulation des données en cause ne puisse se perdre pendant un certain temps est l’un des aspects clés d’une mesure dont l’ambition est de fournir aux pouvoirs publics une capacité de réaction supérieure à l’égard de certaines formes graves de criminalité. La question est, cependant, celle de savoir si les termes dans lesquels l’article 6 de la directive 2006/24 dispose, en la forme d’un plancher de six mois et d’un plafond de deux ans, répondent de manière adéquate aux exigences du principe de proportionnalité.
143. En ce sens, une fois qu’il peut être considéré comme acquis que la mesure est en elle-même légitime et adéquate, il reste à apprécier sa nécessité et, concrètement, à vérifier si une mesure moins perturbatrice pour la jouissance des droits fondamentaux en cause ne pourrait permettre d’atteindre l’objectif poursuivi. De ce point de vue, qu’il me soit permis de préciser que l’on ne saurait se contenter de considérer que ce sont les États membres qui assument seuls la responsabilité de la fixation éventuelle d’un délai de conservation atteignant les deux ans. À partir du moment où la directive 2006/24, dans sa fonction harmonisatrice, porte la limite supérieure de conservation des données à deux années, cette prévision doit elle-même être soumise au contrôle de proportionnalité. Il est, sur ce point, à peine nécessaire de rappeler que la question n’est pas celle de savoir si, du point de vue de la répression des activités criminelles graves, une période plus longue de conservation et de mise à disposition est préférable à une période plus brève, mais si, dans le cadre d’un examen de sa proportionnalité, elle est spécifiquement nécessaire.
144. Il convient, à cet égard, de rappeler en premier lieu qu’une accumulation de données dans des lieux indéterminés du cyberespace comme celle en cause, concernant toujours des personnes concrètes et déterminées, tend, quelle que soit sa durée, à être perçue comme une anomalie. En principe, un tel état de «rétention» de données afférentes à la vie privée, quand bien il ne demeurerait que cela, ne devrait jamais exister et, s’il existe, ne le devrait qu’en considération d’autres impératifs de la vie sociale. Une telle situation ne peut être qu’exceptionnelle et, en ce sens, ne saurait se prolonger dans le temps au-delà de ce qui est indispensable.
145. La durée de conservation susceptible d’être considérée comme admissible au regard du principe de proportionnalité ne saurait être déterminée sans que soit reconnue au législateur une marge certaine d’appréciation. Cela n’implique cependant pas que tout contrôle, même délicat, de proportionnalité soit exclu sur ce point.
146. À cet égard, il me paraît utile de rappeler que l’être humain mène son existence dans un temps par définition limité où convergent tant le passé, sa propre histoire et en définitive sa mémoire, que le présent, le vécu plus ou moins immédiat, la conscience de ce qu’il est en train de vivre (109). Même si elle est difficile à définir, une ligne sépare le passé du présent, assurément différente pour chacun ou chacune. Ce qui apparaît peu discutable, c’est la possibilité de faire la différence entre la perception du temps présent et la perception du temps passé. Dans chacune de ces perceptions, la conscience de sa propre vie, la «vie privée» singulièrement, comme vie «enregistrée» peut jouer. Et il y a une différence selon que cette «vie enregistrée» est celle que l’on perçoit comme présente et celle que l’on vit comme sa propre histoire.
147. J’estime que ces considérations peuvent se projeter sur l’analyse de la proportionnalité de l’article 6 de la directive 2006/24. Dès lors que le principe de la conservation de toute cette documentation personnelle durant un certain temps est considéré comme légitime, il reste à se demander s’il est inévitable, c’est-à-dire nécessaire, de l’imposer aux particuliers sur une durée qui s’étend non seulement au «temps présent», mais également au «temps historique».
148. En ce sens, et avec toute la conscience de la subjectivité que cela engage, il peut être considéré qu’une durée de conservation de données personnelles «qui se mesure en mois» est à bien différencier d’une durée «qui se mesure en années». La première correspondrait à celle qui se situe dans la vie qui se perçoit comme présente et la seconde à celle qui se situe dans la vie qui se perçoit comme mémoire. L’ingérence dans le droit au respect de la vie privée est, dans cette perspective, chaque fois différente et la nécessité de chacune de ces ingérences doit pouvoir être justifiée.
149. Or, si la nécessité de l’ingérence dans la dimension du temps présent apparaît comme suffisamment justifiée, je n’ai trouvé aucune justification à une ingérence devant s’étendre dans le temps historique. Exprimé plus directement, et sans nier qu’il y ait des activités criminelles qui se préparent longtemps à l’avance, je n’ai trouvé, dans les différentes prises de position défendant la proportionnalité de l’article 6 de la directive 2006/24, aucune justification suffisante pour que la durée de conservation des données à établir par les États membres doive ne pas demeurer dans une limite inférieure à une année. Autrement dit, et avec toute la prudence que cette dimension du contrôle de proportionnalité requiert toujours, aucun argument n’est parvenu à me convaincre de la nécessité de prolonger la conservation des données au-delà d’une année.
150. Enfin, il doit également être souligné que la directive 2006/24 offre elle-même un argument supplémentaire avec le système de prorogation de la durée maximale de conservation des données qu’elle comporte. L’article 12 de ladite directive offre, en effet, la possibilité aux États membres confrontés à des circonstances particulières, en l’occurrence non définies, de prolonger la période de conservation maximale arrêtée en application de son article 6. Une telle prolongation n’est toutefois possible que pour une période limitée, doit être motivée et notifiée à la Commission qui dispose d’un délai de six mois pour statuer sur les mesures envisagées, c’est-à-dire vérifier si elles représentent un moyen de discrimination arbitraire ou une restriction déguisée aux échanges entre États membres et si elles constituent une entrave au fonctionnement du marché intérieur.
151. Quand bien même la Commission ne pourrait, conformément à l’article 12, paragraphe 2, de la directive 2006/24, rejeter ces mesures que pour des motifs limités, l’existence de ce système de prorogation me conforte dans l’idée que la fixation, par l’article 6 de ladite directive, d’une durée maximale de conservation des données pouvant aller jusqu’à deux ans en l’absence de circonstances exceptionnelles n’est pas nécessaire et qu’elle doit être considérée comme incompatible avec les exigences découlant des articles 7 et 52, paragraphe 1, de la Charte.
152. Il s’ensuit que l’article 6 de la directive 2006/24 est incompatible avec les articles 7 et 52, paragraphe 1, de la Charte dans la mesure où il impose aux États membres de garantir que les données visées à son article 5 soient conservées pendant une durée pouvant atteindre deux ans.
D – Sur la troisième question dans l’affaire C‑293/12
153. Compte tenu des réponses apportées aux deux premières séries de questions des juridictions de renvoi concernant la validité de la directive 2006/24, il ne paraît pas nécessaire d’apporter une réponse à la troisième question préjudicielle posée par la High Court dans l’affaire C‑293/12, sur les obligations d’examen et d’évaluation des mesures nationales de transposition d’une directive avec les garanties prévues par la Charte pesant sur les juridictions nationales. Néanmoins, et à toutes fins utiles, il me semble que, comme l’ont souligné l’ensemble des parties ayant présenté des observations sur ce point, cette question appelle de toute évidence, eu égard aux dispositions et dans le cadre de l’article 51, paragraphe 1, de la Charte, une réponse positive (110).
VI – Sur les effets dans le temps de l’invalidité constatée
154. Eu égard aux conclusions auxquelles me mènent les développements qui précèdent, il me reste à examiner les conséquences de la déclaration d’invalidité de la directive 2006/24 dans le temps.
155. Il doit, à cet égard, être rappelé que, lorsque la Cour constate, dans le cadre d’une procédure initiée en vertu de l’article 267 TFUE, l’invalidité d’un acte adopté par les institutions de l’Union, sa décision a comme conséquence juridique de leur imposer de prendre les mesures nécessaires pour remédier à l’illégalité constatée, l’obligation établie à l’article 266 TFUE en cas d’arrêt d’annulation s’appliquant en pareil cas par analogie (111).
156. Toutefois, lorsque des considérations impérieuses de sécurité juridique le justifient, la Cour bénéficie, en vertu de l’article 264, second alinéa, TFUE, applicable par analogie dans le cadre d’un renvoi préjudiciel en appréciation de validité des actes de l’Union au titre de l’article 267 TFUE, d’un pouvoir d’appréciation pour indiquer, dans chaque cas particulier, ceux des effets de l’acte concerné qui doivent être considérés comme définitifs (112).
157. Dans les cas de figure dans lesquels la constatation d’invalidité d’un acte de l’Union trouve son fondement dans une atteinte aux droits fondamentaux, la mise en balance des différents intérêts en présence doit faire l’objet d’une pondération très attentive. En l’occurrence, la pertinence et même l’urgence des fins ultimes de la restriction des droits fondamentaux en cause n’est, d’un côté, pas douteuse. Les invalidités constatées sont, d’un autre côté, d’une nature singulière. D’une part, la directive 2006/24 est invalide du fait de l’absence d’encadrement suffisant des garanties régissant l’accès aux données collectées et conservées et leur exploitation (qualité de la loi), laquelle peut toutefois avoir trouvé correction dans le cadre des mesures de transposition adoptées par les États membres. D’autre part, les États membres ont, de façon générale, ainsi qu’il ressort des éléments fournis à la Cour, exercé leurs compétences avec modération pour ce qui est de la durée maximale de conservation des données.
158. Il y a lieu, dans ces conditions, de tenir en suspens les effets du constat d’invalidité de la directive 2006/24, le temps que le législateur de l’Union prennent les mesures nécessaires pour remédier à l’invalidité constatée, étant précisé que ces mesures doivent intervenir dans un délai raisonnable.
VII – Conclusion
159. À la lumière des développements qui précèdent, je propose à la Cour de répondre aux questions préjudicielles posées par la High Court dans l’affaire C‑293/12 et par le Verfassungsgerichtshof dans l’affaire C‑594/12 dans les termes suivants:
«1) La directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE, est dans son ensemble incompatible avec l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, dans la mesure où les limitations à l’exercice des droits fondamentaux qu’elle comporte, du fait de l’obligation de conservation des données qu’elle impose, ne s’accompagnent pas des principes indispensables appelés à régir les garanties nécessaires à l’encadrement de l’accès auxdites données et de leur exploitation.
2) L’article 6 de la directive 2006/24 est incompatible avec les articles 7 et 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne en ce qu’il impose aux États membres de garantir que les données visées à son article 5 soient conservées pendant une durée dont la limite supérieure est fixée à deux ans.»