Affaires jointes C‑293/12 et C‑594/12

Digital Rights Ireland Ltd

contre

Minister for Communications, Marine and Natural Resources e.a.
et
Kärntner Landesregierung e.a.

[demandes de décision préjudicielle,
introduites par la High Court (Irlande) et le Verfassungsgerichtshof]

«Communications électroniques – Directive 2006/24/CE – Services de communications électroniques accessibles au public ou de réseaux publics de communications – Conservation de données générées ou traitées dans le cadre de la fourniture de tels services – Validité – Articles 7, 8 et 11 de la charte des droits fondamentaux de l’Union européenne»

Sommaire – Arrêt de la Cour (grande chambre) du 8 avril 2014

1.        Droits fondamentaux – Charte des droits fondamentaux de l’Union européenne – Respect de la vie privée – Protection des données à caractère personnel – Conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications – Directive 2006/24 – Obligation pour les fournisseurs de conserver certaines données aux fins d’une communication éventuelle aux autorités nationales – Ingérence au sens des articles 7 et 8 de la charte

(Charte des droits fondamentaux de l’Union européenne, art. 7 et 8; directive du Parlement européen et du Conseil 2006/24, art. 3, 4, 5, 6 et 8)

2.        Droits fondamentaux – Charte des droits fondamentaux de l’Union européenne – Limitation de l’exercice des droits et libertés consacrés par la charte – Conditions – Conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications – Directive 2006/24 – Obligation pour les fournisseurs de conserver certaines données aux fins d’une communication éventuelle aux autorités nationales – Atteinte au contenu essentiel des droits fondamentaux – Absence – Objectif de protection de la sécurité publique

(Charte des droits fondamentaux de l’Union européenne, art. 7, 8 et 52, § 1; directive du Parlement européen et du Conseil 2006/24)

3.        Droits fondamentaux – Charte des droits fondamentaux de l’Union européenne – Limitation de l’exercice des droits et libertés consacrés par la charte – Conditions – Conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications – Directive 2006/24 – Obligation pour les fournisseurs de conserver certaines données aux fins d’une communication éventuelle aux autorités nationales – Violation du principe de proportionnalité

(Charte des droits fondamentaux de l’Union européenne, art. 7, 8 et 52, § 1; directive du Parlement européen et du Conseil 2006/24)

1.        L’obligation imposée par les articles 3 et 6 de la directive 2006/24, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58, aux fournisseurs desdits services de conserver pendant une certaine durée des données relatives à la vie privée d’une personne et à ses communications, telles que celles visées à l’article 5 de cette directive, constitue en soi une ingérence dans les droits garantis par l’article 7 de la charte des droits fondamentaux de l’Union européenne. En outre, les articles 4 et 8 de la directive 2006/24 prévoyant des règles relatives à l’accès des autorités nationales compétentes aux données sont également constitutifs d’une ingérence dans les droits garantis par l’article 7 de la charte.

De même, la directive 2006/24 est constitutive d’une ingérence dans le droit fondamental à la protection des données à caractère personnel garanti par l’article 8 de la charte puisqu’elle prévoit un traitement des données à caractère personnel.

Cette ingérence s’avère d’une vaste ampleur et doit être considérée comme particulièrement grave. En outre, la circonstance que la conservation des données et l’utilisation ultérieure de celles-ci sont effectuées sans que l’abonné ou l’utilisateur inscrit en soient informés est susceptible de générer dans l’esprit des personnes concernées le sentiment que leur vie privée fait l’objet d’une surveillance constante.

(cf. points 34-37)

2.        Conformément à l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, toute limitation de l’exercice des droits et des libertés consacrés par celle-ci doit être prévue par la loi, respecter leur contenu essentiel et, dans le respect du principe de proportionnalité, des limitations ne peuvent être apportées à ces droits et libertés que si elles sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui.

En premier lieu, même si la conservation des données imposée par la directive 2006/24, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58, constitue une ingérence particulièrement grave dans le droit fondamental au respect de la vie privée et les autres droits consacrés à l’article 7 de la charte, elle n’est pas de nature à porter atteinte à leur contenu essentiel étant donné que, ainsi qu’il découle de son article 1^er, paragraphe 2, cette directive ne permet pas de prendre connaissance du contenu des communications électroniques en tant que tel. Cette conservation des données n’est pas non plus de nature à porter atteinte au contenu essentiel du droit fondamental à la protection des données à caractère personnel, consacré à l’article 8 de la charte, en raison du fait que la directive 2006/24 prévoit, à son article 7, une règle relative à la protection et à la sécurité des données.

En deuxième lieu, l’objectif matériel de la directive 2006/24 vise, ainsi qu’il découle de son article 1^er, paragraphe 1, à garantir la disponibilité de ces données à des fins de recherche, de détection et de poursuite d’infractions graves telles qu’elles sont définies par chaque État membre dans son droit interne. L’objectif matériel de cette directive est, dès lors, de contribuer à la lutte contre la criminalité grave et ainsi, en fin de compte, à la sécurité publique. Par conséquent, la conservation des données aux fins de leur accès éventuel par les autorités nationales compétentes, imposée par la directive 2006/24, répond effectivement à un objectif d’intérêt général.

(cf. points 38-41, 44)

3.        La directive 2006/24, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58, est invalide.

En effet, certes, la lutte contre la criminalité grave, notamment contre la criminalité organisée et le terrorisme, est d’une importance primordiale pour garantir la sécurité publique et son efficacité peut dépendre dans une large mesure de l’utilisation des techniques modernes d’enquête. Toutefois, un tel objectif d’intérêt général, pour fondamental qu’il soit, ne saurait à lui seul justifier qu’une mesure de conservation de données telle que celle instaurée par la directive 2006/24 soit considérée comme nécessaire aux fins de ladite lutte.

La protection des données à caractère personnel, résultant de l’obligation explicite prévue à l’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, revêt une importance particulière pour le droit au respect de la vie privée consacré à l’article 7 de celle-ci. Ainsi, la réglementation de l’Union en cause doit prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant un minimum d’exigences de sorte que les personnes dont les données ont été conservées disposent de garanties suffisantes permettant de protéger efficacement leurs données à caractère personnel contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites de ces données.

Il s’avère que la directive 2006/24 vise tous les moyens de communication électronique dont l’utilisation est très répandue et d’une importance croissante dans la vie quotidienne de chacun et couvre tous les abonnés et utilisateurs inscrits. Elle comporte donc une ingérence dans les droits fondamentaux de la quasi-totalité de la population européenne.

Or, en premier lieu, la directive 2006/24 couvre de manière généralisée toute personne et tous les moyens de communication électronique ainsi que l’ensemble des données relatives au trafic sans qu’aucune différenciation, limitation ni exception soient opérées en fonction de l’objectif de lutte contre les infractions graves.

En deuxième lieu, la directive 2006/24 ne prévoit aucun critère objectif permettant de délimiter l’accès des autorités nationales compétentes aux données et leur utilisation ultérieure à des fins de prévention, de détection ou de poursuites pénales concernant des infractions pouvant, au regard de l’ampleur et de la gravité de l’ingérence dans les droits fondamentaux consacrés aux articles 7 et 8 de la charte, être considérées comme suffisamment graves pour justifier une telle ingérence. En outre, la directive 2006/24 ne contient pas les conditions matérielles et procédurales afférentes à l’accès des autorités nationales compétentes aux données et à leur utilisation ultérieure.

En troisième lieu, la directive 2006/24 impose la conservation des données pendant une période d’au moins six mois sans que soit opérée une quelconque distinction entre les catégories de données en fonction de leur utilité éventuelle aux fins de l’objectif poursuivi ou selon les personnes concernées. En outre, il n’est pas précisé que la détermination de la durée de conservation doit être fondée sur des critères objectifs afin de garantir que celle-ci est limitée au strict nécessaire.

Par conséquent, la directive 2006/24 comporte une ingérence dans ces droits fondamentaux d’une vaste ampleur et d’une gravité particulière dans l’ordre juridique de l’Union sans qu’une telle ingérence soit précisément encadrée par des dispositions permettant de garantir qu’elle est effectivement limitée au strict nécessaire.

Enfin, la directive 2006/24 ne prévoit pas des garanties suffisantes, telles que requises par l’article 8 de la charte, permettant d’assurer une protection efficace des données conservées contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites de ces données.

Il résulte de l’ensemble de ces considérations qu’en adoptant la directive 2006/24, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58, le législateur de l’Union a excédé les limites qu’impose le respect du principe de proportionnalité au regard des articles 7, 8 et 52, paragraphe 1, de la charte.

(cf. points 51, 53, 54, 56, 57, 60, 61, 63-66, 69 et disp.)