ARRÊT DE LA COUR (grande chambre)

10 février 2009 (*)

«Recours en annulation – Directive 2006/24/CE – Conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques – Choix de la base juridique»

Dans l’affaire C‑301/06,

ayant pour objet un recours en annulation au titre de l’article 230 CE, introduit le 6 juillet 2006,

Irlande, représentée par M. D. O’Hagan, en qualité d’agent, assisté de MM. E. Fitzsimons, D. Barniville et A. Collins, SC, ayant élu domicile à Luxembourg,

partie requérante,

soutenue par:

République slovaque, représentée par M. J. Čorba, en qualité d’agent,

partie intervenante,

contre

Parlement européen, représenté initialement par M. H. Duintjer Tebbens, Mme M. Dean et M. A. Auersperger Matić, puis par ces deux derniers et M. K. Bradley, en qualité d’agents, ayant élu domicile à Luxembourg,

Conseil de l’Union européenne, représenté par MM. J.-C. Piris et J. Schutte ainsi que par Mme S. Kyriakopoulou, en qualité d’agents,

parties défenderesses,

soutenus par:

Royaume d’Espagne, représenté par MM. M. A. Sampol Pucurull et J. Rodríguez Cárcamo, en qualité d’agents, ayant élu domicile à Luxembourg,

Royaume des Pays-Bas, représenté par Mmes C. ten Dam et C. Wissels, en qualité d’agents,

Commission des Communautés européennes, représentée par MM. C. Docksey et R. Troosters ainsi que par Mme C. O’Reilly, en qualité d’agents, ayant élu domicile à Luxembourg,

Contrôleur européen de la protection des données, représenté par M. H. Hijmans, en qualité d’agent,

parties intervenantes,

LA COUR (grande chambre),

composée de M. V. Skouris, président, MM. P. Jann, C. W. A. Timmermans, A. Rosas et K. Lenaerts, présidents de chambre, MM. A. Tizzano, J. N. Cunha Rodrigues (rapporteur), Mme R. Silva de Lapuerta, MM. K. Schiemann, J. Klučka, A. Arabadjiev, Mme C. Toader et M. J.‑J. Kasel, juges,

avocat général: M. Y. Bot,

greffier: Mme C. Strömholm, administrateur,

vu la procédure écrite et à la suite de l’audience du 1er juillet 2008,

ayant entendu l’avocat général en ses conclusions à l’audience du 14 octobre 2008,

rend le présent

Arrêt

1        Par son recours, l’Irlande demande à la Cour d’annuler la directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE (JO L 105, p. 54), au motif qu’elle n’a pas été adoptée sur le fondement d’une base juridique appropriée.

 Le cadre juridique

 La directive 95/46/CE

2        La directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, p. 31), établit des normes relatives au traitement des données à caractère personnel afin de protéger les droits des personnes physiques à cet égard, tout en assurant la libre circulation de ces données dans la Communauté européenne.

3        L’article 3, paragraphe 2, de la directive 95/46 prévoit:

«La présente directive ne s’applique pas au traitement de données à caractère personnel:

–        mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal,

–        effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques.»

 La directive 2002/58/CE

4        La directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201, p. 37), a été adoptée en vue de compléter la directive 95/46 par des dispositions spécifiques au secteur des télécommunications.

5        Aux termes de l’article 6, paragraphe 1, de la directive 2002/58:

«Les données relatives au trafic concernant les abonnés et les utilisateurs traitées et stockées par le fournisseur d’un réseau public de communications ou d’un service de communications électroniques accessibles au public doivent être effacées ou rendues anonymes lorsqu’elles ne sont plus nécessaires à la transmission d’une communication sans préjudice des paragraphes 2, 3 et 5 du présent article ainsi que de l’article 15, paragraphe 1.»

6        L’article 15, paragraphe 1, de la même directive prévoit:

«Les États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l’article 8, paragraphes 1, 2, 3 et 4, et à l’article 9 de la présente directive lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la directive 95/46/CE. À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe. Toutes les mesures visées dans le présent paragraphe sont prises dans le respect des principes généraux du droit communautaire, y compris ceux visés à l’article 6, paragraphes 1 et 2, du traité sur l’Union européenne.»

 La directive 2006/24

7        Aux termes des cinquième à onzième considérants de la directive 2006/24:

«(5)      Plusieurs États membres ont légiféré sur la conservation de données par les fournisseurs de services en vue de la prévention, de la recherche, de la détection et de la poursuite d’infractions pénales. Lesdites dispositions nationales varient considérablement.

(6)      Les disparités législatives et techniques existant entre les dispositions nationales relatives à la conservation de données en vue de la prévention, de la recherche, de la détection et de la poursuite d’infractions pénales constituent des entraves au marché intérieur des communications électroniques dans la mesure où les fournisseurs de services doivent satisfaire à des exigences différentes pour ce qui est des types de données relatives au trafic et à la localisation à conserver ainsi que des conditions et des durées de conservation.

(7)      Dans ses conclusions, le Conseil ‘Justice et affaires intérieures’ du 19 décembre 2002 souligne qu’en raison de l’accroissement important des possibilités qu’offrent les communications électroniques, les données relatives à l’utilisation de celles-ci sont particulièrement importantes et constituent donc un instrument utile pour la prévention, la recherche, la détection et la poursuite d’infractions pénales, notamment de la criminalité organisée.

(8)      Dans sa déclaration du 25 mars 2004 sur la lutte contre le terrorisme, le Conseil européen a chargé le Conseil d’envisager des propositions en vue de l’établissement de règles relatives à la conservation, par les fournisseurs de services, des données relatives au trafic des communications.

(9)      En vertu de l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales [ci-après la «CEDH»], toute personne a droit au respect de sa vie privée et de sa correspondance. Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire, entre autres, à la sécurité nationale, à la sûreté publique, à la défense de l’ordre et à la prévention des infractions pénales, ou à la protection des droits et des libertés d’autrui. Étant donné que la conservation des données s’est révélée être un outil d’investigation nécessaire et efficace pour les enquêtes menées par les services répressifs dans plusieurs États membres et, en particulier, relativement aux affaires graves telles que celles liées à la criminalité organisée et au terrorisme, il convient de veiller à ce que les données conservées soient accessibles aux services répressifs pendant un certain délai, dans les conditions prévues par la présente directive. L’adoption d’un instrument relatif à la conservation des données constitue dès lors une mesure nécessaire au regard des exigences de l’article 8 de la CEDH.

(10)      Le 13 juillet 2005, le Conseil a réaffirmé, dans sa déclaration condamnant les attentats terroristes de Londres, la nécessité d’adopter dans les meilleurs délais des mesures communes relatives à la conservation de données concernant les télécommunications.

(11)      Eu égard à l’importance des données relatives au trafic et des données de localisation pour la recherche, la détection et la poursuite d’infractions pénales, il est nécessaire, comme les travaux de recherche et l’expérience pratique de plusieurs États membres le démontrent, de garantir au niveau européen la conservation pendant un certain délai, dans les conditions prévues par la présente directive, des données traitées par les fournisseurs de communications électroniques dans le cadre de la fourniture de services de communications électroniques accessibles au public ou d’un réseau public de communications.»

8        Le vingt et unième considérant de la même directive énonce:

«Étant donné que les objectifs de la présente directive, à savoir l’harmonisation des obligations incombant aux fournisseurs de conserver certaines données et de faire en sorte que ces données soient disponibles aux fins de la recherche, de la détection et de la poursuite d’infractions graves telles que définies par chaque État membre dans son droit interne, ne peuvent pas être réalisés de manière suffisante par les États membres et peuvent donc, en raison des dimensions ou des effets de la présente directive, être mieux réalisés au niveau communautaire, la Communauté peut prendre des mesures conformément au principe de subsidiarité consacré à l’article 5 du traité [CE]. Conformément au principe de proportionnalité, tel qu’énoncé audit article, la présente directive n’excède pas ce qui est nécessaire pour atteindre ces objectifs.»

9        Le vingt-cinquième considérant de ladite directive est libellé comme suit:

«La présente directive est sans préjudice du pouvoir qu’ont les États membres d’adopter des mesures législatives concernant le droit pour les autorités nationales qu’ils ont désignées d’accéder aux données et de les utiliser. Les questions relatives à l’accès aux données conservées en application de la présente directive par les autorités nationales aux fins des activités visées à l’article 3, paragraphe 2, premier tiret, de la directive 95/46/CE ne relèvent pas du droit communautaire. Elles peuvent toutefois faire l’objet de dispositions de droit interne ou de mesures relevant du titre VI du traité sur l’Union européenne. De telles dispositions ou mesures doivent pleinement respecter les droits fondamentaux tels qu’ils découlent des traditions constitutionnelles communes des États membres et tels qu’ils sont consacrés par la CEDH. […]»

10      L’article 1er, paragraphe 1, de la directive 2006/24 prévoit:

«La présente directive a pour objectif d’harmoniser les dispositions des États membres relatives aux obligations des fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications en matière de conservation de certaines données qui sont générées ou traitées par ces fournisseurs, en vue de garantir la disponibilité de ces données à des fins de recherche, de détection et de poursuite d’infractions graves telles qu’elles sont définies par chaque État membre dans son droit interne.»

11      L’article 3, paragraphe 1, de ladite directive dispose:

«Par dérogation aux articles 5, 6 et 9 de la directive 2002/58/CE, les États membres prennent les mesures nécessaires pour que les données visées à l’article 5 de la présente directive soient conservées, conformément aux dispositions de cette dernière, dans la mesure où elles sont générées ou traitées dans le cadre de la fourniture des services de communication concernés par des fournisseurs de services de communications électroniques accessibles au public ou d’un réseau public de communications, lorsque ces fournisseurs sont dans leur ressort.»

12      L’article 4 de la même directive précise:

«Les États membres prennent les mesures nécessaires pour veiller à ce que les données conservées conformément à la présente directive ne soient transmises qu’aux autorités nationales compétentes, dans des cas précis et conformément au droit interne. La procédure à suivre et les conditions à remplir pour avoir accès aux données conservées dans le respect des exigences de nécessité et de proportionnalité sont arrêtées par chaque État membre dans son droit interne, sous réserve des dispositions du droit de l’Union européenne ou du droit international public applicables en la matière, en particulier la CEDH telle qu’interprétée par la Cour européenne des droits de l’homme.»

13      L’article 5 de la directive 2006/24 énonce:

«1.      Les États membres veillent à ce que soient conservées en application de la présente directive les catégories de données suivantes:

a)      les données nécessaires pour retrouver et identifier la source d’une communication:

[…]

b)      les données nécessaires pour identifier la destination d’une communication:

[…]

c)      les données nécessaires pour déterminer la date, l’heure et la durée d’une communication:

[…]

d)      les données nécessaires pour déterminer le type de communication:

[…]

e)      les données nécessaires pour identifier le matériel de communication des utilisateurs ou ce qui est censé être leur matériel:

[…]

f)      les données nécessaires pour localiser le matériel de communication mobile:

[…]

2.      Aucune donnée révélant le contenu de la communication ne peut être conservée au titre de la présente directive.»

14      L’article 6 de ladite directive dispose:

«Les États membres veillent à ce que les catégories de données visées à l’article 5 soient conservées pour une durée minimale de six mois et maximale de deux ans à compter de la date de la communication.»

15      L’article 7 de la même directive prévoit:

«Sans préjudice des dispositions adoptées en application des directives 95/46/CE et 2002/58/CE, chaque État membre veille à ce que les fournisseurs de services de communications électroniques accessibles au public ou d’un réseau public de communications respectent, au minimum, les principes suivants en matière de sécurité des données, pour ce qui concerne les données conservées conformément à la présente directive:

[…]»

16      Aux termes de l’article 8 de la directive 2006/24:

«Les États membres veillent à ce que les données visées à l’article 5 soient conservées conformément à la présente directive de manière à ce que les données conservées et toute autre information nécessaire concernant ces données puissent, à leur demande, être transmises sans délai aux autorités compétentes.»

17      L’article 11 de la même directive est libellé comme suit:

«À l’article 15 de la directive 2002/58/CE, le paragraphe suivant est inséré:

‘1 bis.      Le paragraphe 1 n’est pas applicable aux données dont la conservation est spécifiquement exigée par la directive [2006/24] aux fins visées à l’article 1er, paragraphe 1, de ladite directive’.»

 Les antécédents du litige

18      Le 28 avril 2004, la République française, l’Irlande, le Royaume de Suède et le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord ont présenté au Conseil de l’Union européenne une initiative en vue de l’adoption d’une décision-cadre fondée sur les articles 31, paragraphe 1, sous c), et 34, paragraphe 2, sous b), UE. Ce projet avait pour objet la rétention de données traitées et stockées en rapport avec la fourniture de services de communications électroniques accessibles au public ou de données transmises via des réseaux de communications publics, aux fins de la prévention, de la recherche, de la détection et de la poursuite de délits et d’infractions pénales, y compris en matière de terrorisme (document du Conseil 8958/04).

19      La Commission des Communautés européennes s’est prononcée en faveur de la base juridique utilisée dans ce projet de décision-cadre en ce qui concerne une partie de celui-ci. En particulier, elle a rappelé que l’article 47 UE ne permet pas qu’un acte fondé sur le traité UE affecte l’acquis communautaire, en l’occurrence les directives 95/46 et 2002/58. Estimant que la détermination des catégories de données à conserver et de la durée de la conservation de celles-ci relevait de la compétence du législateur communautaire, la Commission s’est réservée le droit de faire une proposition de directive.

20      Le 21 septembre 2005, la Commission a adopté une proposition de directive du Parlement européen et du Conseil sur la conservation de données traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public, et modifiant la directive 2002/58 [COM(2005) 438 final], proposition qui était fondée sur l’article 95 CE.

21      Lors de sa session des 1er et 2 décembre 2005, le Conseil a opté pour l’adoption d’une directive fondée sur le traité CE plutôt que de poursuivre l’adoption d’une décision-cadre.

22      Le 14 décembre 2005, le Parlement européen a émis son avis dans le cadre de la procédure de codécision visée à l’article 251 CE.

23      Le Conseil a adopté à la majorité qualifiée la directive 2006/24 lors de sa session du 21 février 2006. L’Irlande et la République slovaque ont voté contre l’adoption de ce texte.

 Les conclusions des parties

24      L’Irlande demande à la Cour:

–        d’annuler la directive 2006/24 au motif qu’elle n’a pas été adoptée sur le fondement d’une base juridique appropriée, et

–        de condamner le Conseil et le Parlement aux dépens.

25      Le Parlement demande à la Cour:

–        à titre principal, de rejeter le recours comme infondé, et

–        de condamner l’Irlande à supporter l’intégralité des dépens afférents à la présente procédure;

–        à titre subsidiaire, dans le cas où la directive 2006/24 serait annulée par la Cour, de déclarer que cette directive continuera à produire des effets jusqu’à l’entrée en vigueur d’un nouvel acte.

26      Le Conseil demande à la Cour:

–        de rejeter le recours introduit par l’Irlande, et

–        de condamner cet État membre aux dépens.

27      Par ordonnances du président de la Cour du 1er février 2007, la République slovaque a été admise à intervenir au soutien des conclusions de l’Irlande et le Royaume d’Espagne, le Royaume des Pays-Bas, la Commission ainsi que le Contrôleur européen de la protection des données ont été admis à intervenir au soutien des conclusions du Parlement et du Conseil.

 Sur le recours

 Argumentation des parties

28      L’Irlande fait valoir que le choix de l’article 95 CE comme base juridique de la directive 2006/24 est une erreur fondamentale. Ni cet article ni aucune autre des dispositions du traité CE ne seraient susceptibles de fournir une base juridique appropriée à cette directive. Cet État membre prétend, principalement, que l’unique objectif ou, à tout le moins, l’objectif principal ou prédominant de ladite directive est de faciliter la recherche, la détection et la poursuite d’infractions pénales, y compris en matière de terrorisme. Dès lors, la seule base juridique pouvant valablement fonder les mesures contenues dans la directive 2006/24 serait le titre VI du traité UE, en particulier les articles 30, 31, paragraphe 1, sous c), et 34, paragraphe 2, sous b), de celui-ci.

29      Selon l’Irlande, un examen notamment des septième à onzième et du vingt et unième considérants de la directive 2006/24 ainsi que des dispositions fondamentales de celle-ci, en particulier son article 1er, paragraphe 1, démontre que le fait de retenir l’article 95 CE comme base juridique de cette directive est inapproprié et injustifiable. Ladite directive serait clairement orientée vers la répression des infractions pénales.

30      Pour cet État membre, il est établi que les mesures fondées sur l’article 95 CE doivent avoir pour «centre de gravité» le rapprochement des législations nationales afin d’améliorer le fonctionnement du marché intérieur (voir, notamment, arrêt du 30 mai 2006, Parlement/Conseil et Commission, C‑317/04 et C‑318/04, Rec. p. I‑4721). Les dispositions de la directive 2006/24 porteraient sur la répression des infractions pénales et ne seraient pas destinées à réparer les éventuels dysfonctionnements du marché intérieur.

31      Si, contrairement à la prétention principale de l’Irlande, la Cour devait juger que la directive 2006/24 a bien pour objectif, notamment, la prévention des distorsions ou des entraves au marché intérieur, cet État membre soutient, à titre subsidiaire, que cet objectif doit être considéré comme de nature purement secondaire par rapport à l’objectif principal ou prédominant, à savoir la répression de la criminalité.

32      L’Irlande ajoute que la directive 2002/58 pourrait être modifiée par une autre directive, mais le législateur communautaire ne serait pas habilité à recourir à une directive modificative adoptée sur le fondement de l’article 95 CE afin d’incorporer dans la directive 2002/58 des dispositions échappant à la compétence dévolue à la Communauté en vertu du premier pilier. Les obligations destinées à garantir que les données sont disponibles aux fins de la recherche, de la détection et de la poursuite d’infractions pénales relèveraient d’une matière qui ne peut faire l’objet que d’un instrument fondé sur le titre VI du traité UE. L’adoption d’un tel instrument législatif n’affecterait pas les dispositions de ladite directive au sens de l’article 47 UE. Si le verbe «affecter», qui est employé à cet article, était correctement entendu, il faudrait interpréter celui-ci comme n’interdisant pas que des actes communautaires et des actes de l’Union puissent se chevaucher dans la mesure où il s’agit de matières secondaires et sans importance.

33      La République slovaque soutient la position de l’Irlande. Elle estime que l’article 95 CE ne saurait servir de base juridique pour la directive 2006/24, étant donné que l’objectif principal de cette dernière n’est pas d’éliminer les barrières et les distorsions dans le marché intérieur. Cette directive aurait pour finalité l’harmonisation de la conservation des données au-delà des objectifs commerciaux aux fins de faciliter l’action des États membres dans le domaine du droit pénal et, pour cette raison, elle ne pourrait pas être adoptée dans le cadre des compétences de la Communauté.

34      Selon cet État membre, la conservation des données personnelles dans la mesure exigée par la directive 2006/24 aboutit à une ingérence significative dans le droit des particuliers au respect de la vie privée, prévu à l’article 8 de la CEDH. Il serait douteux qu’une ingérence aussi importante puisse être justifiée par des motifs économiques, en l’occurrence le meilleur fonctionnement du marché intérieur. L’adoption d’un acte en dehors de la compétence de la Communauté, dont l’objectif principal et non dissimulé serait la répression de la criminalité et du terrorisme, représenterait une solution plus appropriée, qui offrirait une justification plus adéquate de l’ingérence dans le droit à la protection de la vie privée.

35      Le Parlement fait valoir que l’Irlande fait une lecture sélective des dispositions de la directive 2006/24. Pour lui, les cinquième et sixième considérants de celle-ci précisent que l’objectif principal ou prédominant de cette directive est d’éliminer les entraves au marché intérieur des communications électroniques et le vingt-cinquième considérant confirme que l’accès et l’utilisation des données conservées ne relèvent pas de la compétence communautaire.

36      Le Parlement soutient que, à la suite des attentats terroristes du 11 septembre 2001 à New York (États-Unis), du 11 mars 2004 à Madrid (Espagne) et du 7 juillet 2005 à Londres (Royaume-Uni), certains États membres ont adopté des règles différentes en matière de conservation des données. Selon cette institution, de telles différences étaient susceptibles d’entraver la fourniture de services de communications électroniques. Le Parlement considère que la conservation de données constitue un élément de coût important pour les fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications (ci-après les «fournisseurs de services») et l’existence de normes différentes en la matière peut fausser la concurrence dans le marché intérieur. Il ajoute que la directive 2006/24 a pour objet principal d’harmoniser les obligations imposées par les États membres aux fournisseurs de services en matière de conservation de données. Il en résulterait que l’article 95 constitue la base juridique correcte pour cette directive.

37      Le Parlement fait également valoir que l’importance conférée à la répression de la criminalité n’interdit pas de fonder ladite directive sur l’article 95 CE. Si la répression de la criminalité a clairement influencé les choix opérés dans cette directive, cette influence ne vicierait pas le choix de l’article 95 CE comme base juridique.

38      En outre, l’article 4 de la directive 2006/24 disposerait, dans le droit fil du vingt-cinquième considérant de celle-ci, que les conditions d’accès et de traitement des données conservées doivent être définies par les États membres sous réserve des dispositions du droit de l’Union ainsi que du droit international et, notamment, de la CEDH. Cette approche serait différente de celle retenue pour les mesures faisant l’objet de l’arrêt Parlement/Conseil et Commission, précité, affaire dans laquelle les compagnies aériennes ont été obligées d’accorder l’accès aux données des passagers à une autorité répressive d’un État tiers. Ainsi ladite directive respecterait la répartition des compétences entre les premier et troisième piliers.

39      D’après le Parlement, s’il est vrai que le stockage des données personnelles d’un particulier peut en principe constituer une ingérence au sens de l’article 8 de la CEDH, cette ingérence peut être justifiée, au titre de cet article, par référence à la sûreté publique et à la prévention des infractions pénales. Il conviendrait de distinguer la question de la justification d’une telle ingérence de celle du choix de la base juridique correcte dans le cadre de l’ordre juridique de l’Union, ces deux questions n’ayant aucun rapport entre elles.

40      Le Conseil fait valoir que, dans les années suivant l’adoption de la directive 2002/58, les autorités répressives nationales se sont de plus en plus inquiétées de l’exploitation des innovations dans le domaine des services de communications électroniques pour commettre des actes criminels. Selon lui, ces préoccupations nouvelles ont conduit les États membres à adopter des mesures afin d’empêcher l’effacement des données relatives à ces communications et de garantir leur disponibilité à l’égard des autorités répressives. Cette institution fait valoir que le caractère divergent de ces mesures commençait à perturber le bon fonctionnement du marché intérieur. Les cinquième et sixième considérants de la directive 2006/24 seraient explicites à cet égard.

41      Cette situation aurait obligé le législateur communautaire à s’assurer que des règles uniformes sont imposées aux fournisseurs de services en ce qui concerne les conditions d’exercice de leurs activités.

42      Ce serait pour ces motifs que, au cours de l’année 2006, le législateur communautaire a estimé nécessaire de mettre fin à l’obligation d’effacer les données imposée par les articles 5, 6 et 9 de la directive 2002/58 et de prévoir que, à l’avenir, les données visées à l’article 5 de la directive 2006/24 devraient être obligatoirement conservées pendant une certaine période. Cette modification obligerait les États membres à assurer la conservation desdites données pour une durée minimale de six mois et maximale de deux ans à compter de la date de la communication. Le but de cette modification aurait été d’établir des conditions précises et harmonisées que les fournisseurs de services sont tenus de respecter en ce qui concerne l’effacement ou non des données à caractère personnel visées à l’article 5 de la directive 2006/24, en instaurant ainsi des règles communes dans la Communauté en vue d’assurer l’unicité du marché intérieur.

43      Le Conseil conclut que, si le besoin de réprimer la criminalité, y compris le terrorisme, a été un facteur déterminant dans la décision de modifier la portée des droits et obligations prévus aux articles 5, 6 et 9 de la directive 2002/58, cette circonstance n’empêche pas que la directive 2006/24 devait être adoptée sur la base de l’article 95 CE.

44      Ni les articles 30 UE, 31 UE et 34 UE ni aucun autre article du traité UE ne pourraient fonder un acte qui aurait en substance pour objectif de modifier les conditions d’exercice des activités des fournisseurs de services ou de rendre inapplicable à ces derniers le régime établi par la directive 2002/58.

45      Une réglementation relative aux catégories de données à conserver par les fournisseurs de services et à la durée de conservation de ces données qui modifierait les obligations imposées à ces derniers par la directive 2002/58 ne pourrait pas faire l’objet d’un acte fondé sur le titre VI du traité UE. En effet, l’adoption d’un tel acte affecterait les dispositions de cette directive, ce qui constituerait une violation de l’article 47 UE.

46      Selon le Conseil, les droits protégés par l’article 8 de la CEDH ne sont pas absolus et peuvent faire l’objet de restrictions dans les conditions prévues au point 2 de cet article. Telle qu’elle est prévue par la directive 2006/24, la conservation des données servirait un intérêt général légitime, reconnu par l’article 8, point 2, de la CEDH, et constituerait un moyen adéquat de protéger cet intérêt.

47      Le Royaume d’Espagne et le Royaume des Pays-Bas soutiennent que, comme cela ressort des premier, deuxième, cinquième et sixième considérants de la directive 2006/24, celle-ci a principalement pour objet d’éliminer les entraves au marché intérieur qu’engendrent les disparités législatives et techniques existant entre les dispositions nationales des États membres. Selon eux, ladite directive réglemente la conservation des données dans le but d’éliminer ce genre d’entraves, d’une part, en harmonisant l’obligation de conservation des données et, d’autre part, en précisant les éléments sur lesquels porte cette obligation, tels que les catégories de données à conserver et la durée de conservation de celles-ci.

48      Le fait que, aux termes de son article 1er, la directive 2006/24 procède à cette harmonisation «en vue de garantir la disponibilité de ces données à des fins de recherche, de détection et de poursuite d’infractions graves telles qu’elles sont définies par chaque État membre dans son droit interne» serait une autre question. Cette directive ne réglementerait pas le traitement de données par les autorités publiques ou policières des États membres. Au contraire, l’harmonisation concernerait uniquement les aspects de la conservation des données qui affectent directement les activités commerciales des fournisseurs de services.

49      Dans la mesure où ladite directive modifie la directive 2002/58 et présente un lien avec la directive 95/46, les modifications qu’elle comporte ne pourraient être dûment effectuées qu’au moyen d’un acte communautaire et non pas d’un acte relevant du traité UE.

50      La Commission rappelle que, avant l’adoption de la directive 2006/24, plusieurs États membres avaient pris, en application de l’article 15, paragraphe 1, de la directive 2002/58, des mesures nationales relatives à la conservation des données. Elle souligne les divergences significatives qui existaient entre ces mesures. Par exemple, les durées de conservation auraient varié de trois mois aux Pays-Bas à quatre ans en Irlande. Selon elle, les obligations relatives à la conservation des données ont des implications économiques importantes pour les fournisseurs de services. Une divergence entre ces obligations pourrait entraîner des distorsions du marché intérieur. Dans ce contexte, il aurait été légitime d’adopter la directive 2006/24 sur la base de l’article 95 CE.

51      Par ailleurs, cette dernière directive limiterait, d’une manière harmonisée au niveau communautaire, les obligations prévues par la directive 2002/58. Celle-ci étant fondée sur l’article 95 CE, la base juridique de la directive 2006/24 ne saurait être différente.

52      La mention de la recherche, de la détection et de la poursuite d’infractions graves, figurant à l’article 1er, paragraphe 1, de la directive 2006/24, relèverait du droit communautaire parce qu’elle servirait à indiquer l’objectif légitime des restrictions apportées par cette directive aux droits des personnes en matière de protection des données. Une telle indication serait nécessaire tant pour respecter les exigences des directives 95/46 et 2002/58 que pour se conformer à l’article 8 de la CEDH.

53      Le Contrôleur européen fait valoir que l’objet de la directive 2006/24 relève de l’article 95 CE parce que, d’une part, cette directive a une incidence directe sur les activités économiques des fournisseurs de services et peut donc contribuer à l’établissement et au fonctionnement du marché intérieur et que, d’autre part, si le législateur communautaire n’était pas intervenu, une distorsion de concurrence sur ce marché intérieur aurait pu se produire. L’objectif de répression des infractions pénales ne serait ni l’objectif unique ni même l’objectif prépondérant de ladite directive. Au contraire, celle-ci viserait en premier lieu à contribuer à l’établissement et au fonctionnement du marché intérieur ainsi qu’à l’élimination des distorsions de concurrence. Cette directive harmoniserait les dispositions nationales relatives à la conservation de certaines données par des entreprises privées, dans le cadre de leur activité économique normale.

54      En outre, la directive 2006/24 modifierait la directive 2002/58, qui a été adoptée sur la base de l’article 95 CE, et devrait par conséquent être adoptée sur la même base juridique. En vertu de l’article 47 UE, seul le législateur communautaire serait compétent pour modifier des obligations nées d’une directive fondée sur le traité CE.

55      Selon le Contrôleur européen, si le traité CE ne pouvait pas servir de base juridique à la directive 2006/24, les dispositions du droit communautaire relatives à la protection des données ne protégeraient pas les citoyens dans le cas où le traitement de leurs données à caractère personnel facilite la répression de la criminalité. Dans une telle hypothèse, le régime général de la protection des données en vertu du droit communautaire s’appliquerait au traitement des données à des fins commerciales, mais non pas au traitement des mêmes données à des fins répressives. Il en résulterait des distinctions difficiles pour les fournisseurs de services et une diminution du niveau de protection pour la personne concernée. Il conviendrait d’éviter une telle situation. Ce besoin de cohérence justifierait l’adoption de la directive 2006/24 en vertu du traité CE.

 Appréciation de la Cour

56      À titre liminaire, il convient de relever que la question des compétences de l’Union européenne se présente de manière différente selon que la compétence en question a déjà été reconnue à l’Union européenne au sens large ou n’a pas encore été reconnue à celle-ci. Dans le premier cas de figure, il s’agit de statuer sur la répartition des compétences au sein de l’Union et, plus particulièrement, sur la question de savoir s’il convient de procéder par directive sur le fondement du traité CE ou par décision-cadre sur le fondement du traité UE. En revanche, dans le second cas de figure, il s’agit de statuer sur la répartition des compétences entre l’Union et les États membres et, plus particulièrement, sur la question de savoir si l’Union a empiété sur les compétences de ces derniers. La présente affaire relève du premier de ces deux cas de figure.

57      Il y a lieu également de préciser que le recours formé par l’Irlande porte uniquement sur le choix de la base juridique et non pas sur une éventuelle violation des droits fondamentaux découlant des ingérences dans l’exercice du droit au respect de la vie privée que la directive 2006/24 comporte.

58      L’Irlande, soutenue par la République slovaque, fait valoir que la directive 2006/24 ne peut pas être fondée sur l’article 95 CE étant donné que le «centre de gravité» de celle-ci ne concerne pas le fonctionnement du marché intérieur. Cette directive aurait pour unique objectif, ou à tout le moins pour objectif principal, la recherche, la détection et la poursuite d’infractions pénales.

59      Cette position ne saurait être retenue.

60      Selon une jurisprudence constante de la Cour, le choix de la base juridique d’un acte communautaire doit se fonder sur des éléments objectifs susceptibles de contrôle juridictionnel, parmi lesquels figurent, notamment, le but et le contenu de l’acte (voir arrêt du 23 octobre 2007, Commission/Conseil, C‑440/05, Rec. p. I‑9097, point 61 et jurisprudence citée).

61      La directive 2006/24 a été adoptée sur le fondement du traité CE et, en particulier, de l’article 95 de celui-ci.

62      L’article 95, paragraphe 1, CE prévoit que le Conseil arrête les mesures relatives au rapprochement des dispositions législatives, réglementaires et administratives des États membres qui ont pour objet l’établissement et le fonctionnement du marché intérieur.

63      Le législateur communautaire peut recourir à l’article 95 CE notamment en cas de l’existence de disparités entre les réglementations nationales lorsque de telles disparités sont de nature à entraver les libertés fondamentales ou à créer des distorsions de concurrence et à avoir ainsi une incidence directe sur le fonctionnement du marché intérieur (voir, en ce sens, arrêt du 12 décembre 2006, Allemagne/Parlement et Conseil, C‑380/03, Rec. p. I-11573, point 37 et jurisprudence citée).

64      En outre, si le recours à l’article 95 CE comme base juridique est possible en vue de prévenir des obstacles futurs aux échanges résultant de l’évolution hétérogène des législations nationales, l’apparition de tels obstacles doit être vraisemblable et la mesure en cause doit avoir pour objet leur prévention (arrêt Allemagne/Parlement et Conseil, précité, point 38 et jurisprudence citée).

65      Il importe de vérifier si la situation ayant conduit à l’adoption de la directive 2006/24 remplit les conditions décrites aux deux points précédents.

66      Ainsi qu’il ressort des cinquième et sixième considérants de ladite directive, le législateur communautaire est parti du constat selon lequel il existait des disparités législatives et techniques entre les réglementations nationales relatives à la conservation de données par les fournisseurs de services.

67      À cet égard, les éléments soumis à la Cour confirment que, à la suite des attentats terroristes mentionnés au point 36 du présent arrêt, plusieurs États membres, s’apercevant que les données relatives aux communications électroniques sont un moyen efficace pour détecter et réprimer les infractions pénales, y compris le terrorisme, ont adopté des mesures en application de l’article 15, paragraphe 1, de la directive 2002/58, pour imposer aux fournisseurs de services des obligations relatives à la conservation de telles données.

68      Il résulte également du dossier que les obligations relatives à la conservation des données ont des implications économiques substantielles pour les fournisseurs de services, dans la mesure où elles peuvent entraîner des investissements et des coûts d’exploitation importants.

69      Les éléments soumis à la Cour attestent, par ailleurs, que les mesures nationales adoptées jusqu’en 2005 en application de l’article 15, paragraphe 1, de la directive 2002/58 présentaient des divergences importantes, notamment en ce qui concerne la nature des données conservées et la durée de conservation de celles-ci.

70      Enfin, il était tout à fait prévisible que les États membres qui ne s’étaient pas encore dotés d’une réglementation en matière de conservation des données introduiraient des règles en la matière susceptibles d’accentuer encore les divergences entre les différentes mesures nationales existantes.

71      Au vu de ces éléments, il apparaît que les divergences entre les différentes réglementations nationales adoptées en matière de conservation des données relatives aux communications électroniques étaient de nature à avoir une incidence directe sur le fonctionnement du marché intérieur et qu’il était prévisible que cette incidence irait en s’aggravant.

72      Une telle situation justifiait que le législateur communautaire poursuive l’objectif de protéger le bon fonctionnement du marché intérieur en adoptant des règles harmonisées.

73      Il convient, par ailleurs, de relever que, en prévoyant un niveau harmonisé de conservation des données relatives aux communications électroniques, la directive 2006/24 a modifié les dispositions de la directive 2002/58.

74      Cette dernière directive est fondée sur l’article 95 CE.

75      En vertu de l’article 47 UE, aucune des dispositions du traité CE ne saurait être affectée par une disposition du traité UE. Cette exigence figure au premier alinéa de l’article 29 UE, qui introduit le titre VI de ce dernier traité, intitulé «Dispositions relatives à la coopération policière et judiciaire en matière pénale» (arrêt Commission/Conseil, précité, point 52).

76      En prévoyant qu’aucune disposition du traité UE n’affecte les traités instituant les Communautés européennes ni les traités et actes subséquents qui les ont modifiés ou complétés, l’article 47 UE vise, conformément aux articles 2, cinquième tiret, UE et 3, premier alinéa, UE, à maintenir et à développer l’acquis communautaire (arrêt du 20 mai 2008, Commission/Conseil, C-91/05, non encore publié au Recueil, point 59).

77      Il incombe à la Cour de veiller à ce que les actes dont une partie prétend qu’ils relèvent du titre VI du traité UE et qui, par leur nature, sont susceptibles de produire des effets juridiques n’empiètent pas sur les compétences que les dispositions du traité CE attribuent à la Communauté (arrêt du 20 mai 2008, Commission/Conseil, précité, point 33 et jurisprudence citée).

78      Pour autant que la modification de la directive 2002/58 opérée par la directive 2006/24 relève des compétences communautaires, celle-ci ne pouvait être fondée sur une disposition du traité UE sans violer l’article 47 de celui-ci.

79      Afin de déterminer si le législateur a choisi la base juridique appropriée pour l’adoption de la directive 2006/24, il convient encore, ainsi que cela découle du point 60 du présent arrêt, d’examiner le contenu matériel des dispositions de celle‑ci.

80      À cet égard, il importe de constater que les dispositions de cette directive sont essentiellement limitées aux activités des fournisseurs de services et ne réglementent pas l’accès aux données ni l’exploitation de celles-ci par les autorités policières ou judiciaires des États membres.

81      Plus précisément, les dispositions de la directive 2006/24 tendent au rapprochement des législations nationales concernant l’obligation de conservation de données (article 3), les catégories de données à conserver (article 5), la durée de conservation des données (article 6), la protection et la sécurité des données (article 7) ainsi que les conditions de stockage de celles-ci (article 8).

82      En revanche, les mesures prévues par la directive 2006/24 n’impliquent pas, par elles-mêmes, une intervention répressive des autorités des États membres. Ainsi qu’il ressort notamment de l’article 3 de cette directive, il est prévu que les fournisseurs de services doivent conserver les seules données qui sont générées ou traitées lors de la fourniture des services de communication concernés. Ces données sont uniquement celles qui sont étroitement liées à l’exercice de l’activité commerciale de ces fournisseurs.

83      La directive 2006/24 réglemente ainsi des opérations qui sont indépendantes de la mise en œuvre de toute éventuelle action de coopération policière et judiciaire en matière pénale. Elle n’harmonise ni la question de l’accès aux données par les autorités nationales compétentes en matière répressive ni celle relative à l’utilisation et à l’échange de ces données entre ces autorités. Ces questions, qui relèvent, en principe, du domaine couvert par le titre VI du traité UE, ont été exclues des dispositions de cette directive, ainsi qu’il est indiqué notamment au vingt-cinquième considérant et à l’article 4 de celle-ci.

84      Il en résulte que le contenu matériel de la directive 2006/24 vise pour l’essentiel les activités des fournisseurs de services dans le secteur concerné du marché intérieur, à l’exclusion des activités étatiques relevant du titre VI du traité UE.

85      Au vu de ce contenu matériel, il convient de conclure que la directive 2006/24 concerne de façon prépondérante le fonctionnement du marché intérieur.

86      À l’encontre d’une telle conclusion, l’Irlande fait valoir que, par l’arrêt Parlement/Conseil et Commission, précité, la Cour a annulé la décision 2004/496/CE du Conseil, du 17 mai 2004, concernant la conclusion d’un accord entre la Communauté européenne et les États-Unis d’Amérique sur le traitement et le transfert de données PNR par des transporteurs aériens au Bureau des douanes et de la protection des frontières du ministère américain de la sécurité intérieure (JO L 183, p. 83, et – rectificatif – JO 2005, L 255, p. 168).

87      Au point 68 de l’arrêt Parlement/Conseil et Commission, précité, la Cour a considéré que ledit accord visait le même transfert de données que la décision 2004/535/CE de la Commission, du 14 mai 2004, relative au niveau de protection adéquat des données à caractère personnel contenues dans les dossiers des passagers aériens transférés au Bureau des douanes et de la protection des frontières des États-Unis d’Amérique (JO L 235, p. 11).

88      Cette dernière décision avait trait au transfert des données des passagers provenant des systèmes de réservation des transporteurs aériens situés sur le territoire des États membres au Bureau des douanes et de la protection des frontières du ministère de la Sécurité intérieure des États-Unis. La Cour a constaté que cette décision avait pour objet un traitement de données qui n’était pas nécessaire à la réalisation d’une prestation de services par les transporteurs aériens, mais qui était considéré comme nécessaire pour sauvegarder la sécurité publique et à des fins répressives. Aux points 57 à 59 de l’arrêt Parlement/Conseil et Commission, précité, la Cour a jugé qu’un tel traitement de données relevait de l’article 3, paragraphe 2, de la directive 95/46, selon lequel cette directive ne s’applique pas, notamment, aux traitements de données personnelles ayant pour objet la sécurité publique et les activités de l’État relatives à des domaines du droit pénal. La Cour a, dès lors, conclu que la décision 2004/535 ne relevait pas du champ d’application de la directive 95/46.

89      Puisque l’accord faisant l’objet de la décision 2004/496 visait, tout comme la décision 2004/535, un traitement de données qui était exclu du champ d’application de la directive 95/46, la Cour a jugé que la décision 2004/496 n’avait pu être valablement adoptée sur le fondement de l’article 95 CE (arrêt Parlement/Conseil et Commission, précité, points 68 et 69).

90      De telles considérations ne sauraient être transposées à la directive 2006/24.

91      En effet, à la différence de la décision 2004/496, qui concernait un transfert de données personnelles s’insérant dans un cadre institué par les pouvoirs publics en vue d’assurer la sécurité publique, la directive 2006/24 vise les activités des fournisseurs de services dans le marché intérieur et ne comporte aucune réglementation des activités des pouvoirs publics à des fins répressives.

92      Il en résulte que les arguments tirés par l’Irlande de l’annulation de la décision 2004/496 par l’arrêt Parlement/Conseil et Commission, précité, ne sauraient être retenus.

93      Eu égard à l’ensemble des considérations qui précédent, il y a lieu de considérer que l’adoption de la directive 2006/24 sur la base de l’article 95 CE s’imposait.

94      Par conséquent, il convient de rejeter le présent recours.

 Sur les dépens

95      Aux termes de l’article 69, paragraphe 2, du règlement de procédure, toute partie qui succombe est condamnée aux dépens, s’il est conclu en ce sens. Le Parlement et le Conseil ayant conclu à la condamnation de l’Irlande et celle-ci ayant succombé en ses moyens, il y a lieu de la condamner aux dépens. En application du paragraphe 4, premier alinéa, du même article, les intervenants au présent litige supportent leurs propres dépens.

Par ces motifs, la Cour (grande chambre) déclare et arrête:

1)      Le recours est rejeté.

2)      L’Irlande est condamnée aux dépens.

3)      Le Royaume d’Espagne, le Royaume des Pays-Bas, la République slovaque, la Commission des Communautés européennes et le Contrôleur européen de la protection des données supportent leurs propres dépens.

Signatures


* Langue de procédure: l’anglais.