CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:463

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. ANTHONY M. COLLINS

présentées le 8 juin 2023(1)

Affaire C‑178/22

Inconnus

en présence de :

Procura della Repubblica presso il Tribunale di Bolzano

[demande de décision préjudicielle formée par le Tribunale di Bolzano (tribunal de Bolzano, Italie)]

« Renvoi préjudiciel – Traitement des données à caractère personnel dans le secteur des communications électroniques – Confidentialité des communications – Fournisseurs de services de communications électroniques – Directive 2002/58/CE – Article 1er, paragraphe 3, et article 15, paragraphe 1 – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8 et 11 ainsi que article 52, paragraphe 1 – Demande d’accès aux données par le ministère public à des fins d’enquêtes et de poursuites d’une infraction de vol avec circonstances aggravantes d’un téléphone mobile – Définition de la notion de “criminalité grave” de nature à justifier une ingérence grave dans les droits fondamentaux – Portée du contrôle préalable visant à garantir le respect de l’exigence d’une infraction grave – Principe de proportionnalité »

I. Introduction

1. Le Procura della Repubblica presso il Tribunale di Bolzano (ministère public près le tribunal de Bolzano, Italie) [ci-après le « ministère public (Bolzano) »] demande au Tribunale di Bolzano (tribunal de Bolzano, Italie) d’autoriser l’accès aux données conservées par des fournisseurs de services de communications électroniques au titre du droit national, qui permet, notamment, de retrouver et d’identifier la source et la destination des communications à partir de téléphones mobiles.

2. Dans le cadre de cette demande, le Tribunale di Bolzano (tribunal de Bolzano) demande à la Cour de justice d’interpréter l’article 15, paragraphe 1, de la directive 2002/58/CE (2). Cette disposition permet aux États membres d’adopter des dérogations législatives à l’obligation, prévue par cette directive (3), de garantir la confidentialité des communications électroniques. Dans l’arrêt Prokuratuur (4), la Cour a jugé qu’un accès aux données qui permet de tirer des conclusions précises sur la vie privée d’un utilisateur, en application de mesures adoptées au titre de l’article 15, paragraphe 1, de la directive 2002/58, constitue une ingérence grave dans les droits et principes fondamentaux consacrés aux articles 7, 8 et 11 ainsi qu’à l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte ») (5). Un tel accès ne peut pas être autorisé à des fins de prévention, de recherche, de détection et de poursuite d’« infractions pénales en général ». Cet accès ne peut être accordé que dans le cadre de procédures visant à la lutte contre la « criminalité grave » (6) et doit être subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante afin de garantir le respect de cette exigence (7). Le Tribunale di Bolzano (tribunal de Bolzano) demande à la Cour de préciser deux aspects de l’arrêt Prokuratuur : la notion de « criminalité grave » et la portée du contrôle préalable qu’une juridiction doit effectuer au titre d’une disposition de droit national qui exige qu’elle autorise l’accès aux données conservées par des fournisseurs de services de communications électroniques.

II. Le cadre juridique

A. Le droit de l’Union

3. Aux termes de l’article 5 de la directive 2002/58, intitulé « Confidentialité des communications » :

« 1. Les États membres garantissent, par la législation nationale, la confidentialité des communications effectuées au moyen d’un réseau public de communications et de services de communications électroniques accessibles au public, ainsi que la confidentialité des données relatives au trafic y afférentes. En particulier, ils interdisent à toute autre personne que les utilisateurs d’écouter, d’intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d’interception ou de surveillance, sans le consentement des utilisateurs concernés sauf lorsque cette personne y est légalement autorisée, conformément à l’article 15, paragraphe 1. [...]

[...] »

4. L’article 6 de la directive 2002/58, intitulé « Données relatives au trafic », dispose :

« 1. Les données relatives au trafic concernant les abonnés et les utilisateurs traitées et stockées par le fournisseur d’un réseau public de communications ou d’un service de communications électroniques accessibles au public doivent être effacées ou rendues anonymes lorsqu’elles ne sont plus nécessaires à la transmission d’une communication sans préjudice des paragraphes 2, 3 et 5, du présent article ainsi que de l’article 15, paragraphe 1.

[...]

5. Le traitement des données relatives au trafic effectué conformément aux dispositions des paragraphes 1, 2, 3 et 4 doit être restreint aux personnes agissant sous l’autorité des fournisseurs de réseaux publics de communications et de services de communications électroniques accessibles au public qui sont chargées d’assurer la facturation ou la gestion du trafic, de répondre aux demandes de la clientèle, de détecter les fraudes et de commercialiser les services de communications électroniques ou de fournir un service à valeur ajoutée ; ce traitement doit se limiter à ce qui est nécessaire à de telles activités.

[...] »

5. L’article 9 de la directive 2002/58, intitulé « Données de localisation autres que les données relatives au trafic », prévoit :

« 1. Lorsque des données de localisation, autres que des données relatives au trafic, concernant des utilisateurs ou abonnés de réseaux publics de communications ou de services de communications électroniques accessibles au public ou des abonnés à ces réseaux ou services, peuvent être traitées, elles ne le seront qu’après avoir été rendues anonymes ou moyennant le consentement des utilisateurs ou des abonnés, dans la mesure et pour la durée nécessaires à la fourniture d’un service à valeur ajoutée. Le fournisseur du service doit informer les utilisateurs ou les abonnés, avant d’obtenir leur consentement, du type de données de localisation autres que les données relatives au trafic qui sera traité, des objectifs et de la durée de ce traitement, et du fait que les données seront ou non transmises à un tiers en vue de la fourniture du service à valeur ajoutée. Les utilisateurs ou les abonnés ont la possibilité de retirer à tout moment leur consentement pour le traitement des données de localisation autres que les données relatives au trafic.

[...] »

6. Aux termes de l’article 15, paragraphe 1, de la directive 2002/58 :

« Les États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l’article 8, paragraphes 1, 2, 3 et 4, et à l’article 9 de la présente directive lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la directive 95/46/CE (8). À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe. Toutes les mesures visées dans le présent paragraphe sont prises dans le respect des principes généraux du droit communautaire, y compris ceux visés à l’article 6, paragraphes 1 et 2, du traité sur l’Union européenne. »

B. Le droit italien

7. L’article 132, paragraphe 3, du decreto legislativo 30 giugno 2003, n. 196 – Codice in materia di protezione dei dati personali (décret législatif n^o 196, établissant un code en matière de protection des données à caractère personnel) (9), du 30 juin 2003, tel que récemment modifié par l’article 1^er du decreto-legge 30 settembre 2021, n. 132 – Misure urgenti in materia di giustizia e di difesa, nonché proroghe in tema di referendum, assegno temporaneo e IRAP, convertito con modificazioni nella legge 23 novembre 2021, n. 178 (décret-loi n^o 132 – Mesures urgentes en matière de justice et de défense ainsi que prorogations en matière de référendum, d’allocation temporaire et d’IRAP (10), du 30 septembre 2021, converti, avec des modifications, en loi n^o 178, du 23 novembre 2021 (11)) (ci-après l’« article 132, paragraphe 3, du décret législatif n^o 196/2003 »), dispose :

« 3. Dans le délai de conservation imposé par la loi (c’est-à-dire 24 mois à dater de la communication), s’il existe des indices suffisants d’infractions pour lesquelles la loi prévoit la peine de la réclusion à perpétuité ou de la réclusion pour une durée maximale d’au moins 3 ans, déterminée conformément à l’article 4 du Codice di procedura penale [code de procédure pénale], et d’infractions de menace et de harcèlement ou nuisance contre les personnes par téléphone, lorsque la menace et le harcèlement sont graves, si elles sont pertinentes pour constater les faits, les données sont recueillies sur autorisation préalable délivrée par le juge par un décret motivé, sur réquisition du ministère public ou à la demande de la défense du prévenu, de la personne faisant l’objet de l’enquête, de la victime et des autres parties privées.

[...]

3 quater. Les données recueillies en violation des dispositions figurant aux paragraphes 3 et 3 bis ne peuvent pas être utilisées. »

8. Aux termes de l’article 4 du code de procédure pénale, intitulé « Règles de détermination de la compétence » :

« La compétence est déterminée en fonction de la peine prévue par la loi pour chaque infraction perpétrée ou tentée. Il n’est pas tenu compte de la continuation, de la récidive ni des circonstances de l’infraction, à l’exception des circonstances aggravantes pour lesquelles la loi prévoit une peine d’une autre espèce que celle qui est prévue ordinairement pour l’infraction et des circonstances à effet spécial. »

9. Selon la juridiction de renvoi, le ministère public peut poursuivre d’office l’infraction de vol avec circonstances aggravantes (12). L’article 625 du Codice penale (code pénal) prévoit que la personne coupable d’un vol avec circonstances aggravantes est passible d’une peine spéciale, à savoir la réclusion de deux à six ans, et d’une amende de 927 à 1 500 euros. L’article 624 du code pénal dispose que la personne coupable de vol simple, qui peut être poursuivie sur plainte de la personne victime du vol, est passible d’une peine de réclusion de six mois à trois ans et d’une amende de 154 à 516 euros.

III. Le litige au principal et la question préjudicielle

10. Le ministère public (Bolzano) a engagé, en application des articles 624 et 625 du code pénal, deux procédures pénales contre des auteurs inconnus pour une infraction de vol avec circonstances aggravantes d’un téléphone mobile (13). Afin de retrouver les auteurs, le ministère public (Bolzano) a demandé à la juridiction de renvoi, au titre de l’article 132, paragraphe 3, du décret législatif n^o 196/2003, « l’autorisation de recueillir auprès de toutes les compagnies téléphoniques toutes les données en leur possession, suivant une méthode de traçage et de localisation (plus particulièrement les abonnés et le cas échéant les codes IMEI [des appareils] appelés ou appelants, les sites visités et atteints, le moment et la durée de l’appel ou de la connexion et l’indication des parties de réseaux ou répartiteurs concernés, les abonnés et les codes IMEI [des appareils] expéditeurs et destinataires des SMS ou MMS et, si possible, les données d’identité des titulaires respectifs) des conversations et communications téléphoniques et des connexions effectuées, y compris en itinérance, entrantes ou sortantes même si les appels ne sont pas facturés (simple sonnerie sans réponse) depuis la date du vol jusqu’à la date de rédaction de la demande ».

11. La juridiction de renvoi a des doutes quant à la compatibilité de l’article 132, paragraphe 3, du décret législatif n^o 196/2003 avec l’article 15, paragraphe 1, de la directive 2002/58 tel qu’interprété dans l’arrêt Prokuratuur. Elle note que, le 7 septembre 2021, la Corte suprema di cassazione (Cour de cassation, Italie) (14) a conclu que, les juridictions nationales disposant d’une marge d’appréciation pour déterminer les infractions constituant des « menaces graves contre la sécurité publique ou d’autres formes graves de criminalité », l’arrêt Prokuratuur n’était pas applicable directement par les juridictions nationales. À la suite de l’arrêt de la Corte suprema di cassazione (Cour de cassation), le législateur italien a adopté le décret-loi n^o 132 du 30 septembre 2021, dont l’article 132, paragraphe 3, qualifie les infractions pénales graves aux fins de l’obtention de relevés téléphoniques, entre autres, d’infractions punissables par la loi « de la réclusion pour une durée maximale d’au moins trois ans ».

12. Selon la juridiction de renvoi, le seuil prévu à l’article 132, paragraphe 3, du décret législatif n^o 196/2003 pour qualifier une infraction d’infraction pénale grave inclut les infractions causant un trouble social limité et qui ne peuvent être poursuivies que sur plainte d’un particulier (15). L’accès aux relevés téléphoniques peut ainsi être obtenu en vertu de cette disposition en cas de vol, même de valeur minime, comme le vol d’un téléphone mobile ou d’une bicyclette. Le seuil prévu à l’article 132, paragraphe 3, du décret législatif n^o 196/2003 méconnaît ainsi le principe de proportionnalité au titre de l’article 52, paragraphe 1, de la Charte, qui exige que, dans tous les cas, la gravité de l’infraction faisant l’objet de l’enquête soit mise en balance avec une limitation de la jouissance d’un droit fondamental. La poursuite de telles infractions mineures ne justifie pas de limiter la jouissance des droits fondamentaux au respect de la vie privée, à la protection des données à caractère personnel et à la liberté d’expression et d’information (16).

13. La juridiction de renvoi explique que les juridictions italiennes disposent d’une marge d’appréciation très restreinte pour refuser l’accès aux relevés téléphoniques, étant donné que l’autorisation doit être accordée dès lors qu’il existe des « indices suffisants d’infraction » et qu’une telle autorisation est « pertinente pour constater [les faits] ». Ces juridictions n’ont, notamment, aucune compétence pour évaluer la gravité de l’infraction faisant l’objet de l’enquête. Le législateur a procédé à cette appréciation lorsqu’il a prévu, de manière générale et sans distinction entre différents types d’infractions, que l’accès aux relevés téléphoniques doit être accordé, notamment, pour la recherche de toutes les infractions passibles de la peine de la réclusion pour une durée maximale d’au moins trois ans.

14. Dans ces circonstances, le Tribunale di Bolzano (tribunal de Bolzano) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :

« L’article 15, paragraphe 1, de la [directive 2002/58] s’oppose-t-il à la législation nationale figurant à [l’article 132, paragraphe 3, du décret législatif n^o 196/2003] qui [...] dispose ce qui suit :

“Dans le délai de conservation imposé par la loi, s’il existe des indices suffisants d’infractions pour lesquelles la loi prévoit la peine de la réclusion à perpétuité ou de la réclusion pour une durée maximale d’au moins trois ans, déterminée conformément à l’article 4 du [code de procédure pénale], et d’infractions de menace et de harcèlement contre les personnes par téléphone, lorsque la menace et le harcèlement sont graves, si elles sont pertinentes pour constater les faits, les données sont recueillies sur autorisation préalable délivrée par le juge par un décret motivé, sur réquisition du ministère public ou à la demande de la défense du prévenu, de la personne faisant l’objet de l’enquête, de la victime et des autres parties privées” ? »

IV. La procédure devant la Cour

15. Les gouvernements italien, tchèque, estonien, irlandais, français, chypriote, hongrois, néerlandais, autrichien et polonais, ainsi que la Commission européenne, ont présenté des observations écrites.

16. Ces mêmes parties ainsi que le ministère public (Bolzano) ont été entendus en leurs plaidoiries et en leurs réponses aux questions de la Cour lors de l’audience du 21 mars 2023.

V. Appréciation

A. Sur la recevabilité

17. Les gouvernements italien et irlandais soutiennent qu’une partie de la demande de décision préjudicielle est irrecevable. Selon les faits exposés dans la décision de renvoi, la demande d’accès a été formulée dans le cadre d’enquêtes sur des infractions de vol d’un téléphone mobile avec circonstances aggravantes. Le gouvernement irlandais souligne que le ministère public peut poursuivre cette infraction d’office. Ce pouvoir reflète le point de vue selon lequel la nature et les effets de l’infraction affectent la société de manière générale. La demande de décision préjudicielle présente ainsi un caractère hypothétique dans la mesure où elle vise également des infractions pénales qui ne peuvent être poursuivies que sur plainte d’un particulier. Le gouvernement italien relève que la juridiction de renvoi mentionne une série d’infractions qui sont sans pertinence dans les affaires dont elle est saisie. Le gouvernement italien et la Commission font valoir que, contrairement à la référence dans la décision de renvoi à une « peine de réclusion pour une durée maximale d’au moins trois ans », l’article 625 du code pénal prévoit, pour l’infraction de vol avec circonstances aggravantes, la réclusion pour une durée de deux à six ans. La Commission propose dès lors à la Cour de reformuler la question. Le gouvernement français demande également à la Cour de reformuler la question. Il estime que, si la Cour peut interpréter des dispositions du droit de l’Union, elle n’est pas compétente pour apprécier la compatibilité de dispositions du droit national avec le droit de l’Union.

18. La question de la juridiction de renvoi invite littéralement la Cour à se prononcer sur la compatibilité d’une disposition de droit national avec le droit de l’Union. Cela n’empêche pas la Cour, en soi, de fournir à la juridiction de renvoi une interprétation du droit de l’Union, en l’occurrence l’article 15, paragraphe 1, de la directive 2002/58, qui lui permettra de statuer sur la compatibilité avec cette disposition de toute règle de droit interne en cause dans le litige dont elle est saisie (17).

19. Il ressort de la demande de décision préjudicielle que le ministère public (Bolzano) a sollicité l’accès aux données, notamment, pour enquêter et poursuivre deux incidents d’infractions de vol avec circonstances aggravantes d’un téléphone mobile au titre de l’article 625 du code pénal. Dans ces conditions, les références que cette demande fait à d’autres infractions, dont celles de l’article 624 du code pénal (vol simple) (18), ne sont pas pertinentes pour statuer sur les demandes pendantes devant la juridiction de renvoi (19). Dans la mesure où la question préjudicielle porte sur la demande du ministère public (Bolzano) d’autoriser l’accès à des données aux fins d’enquêtes sur la commission d’infractions de vol avec circonstances aggravantes, elle n’est pas hypothétique. Je limiterai donc mon appréciation de l’application de l’article 132, paragraphe 3, du décret législatif n^o 196/2003 aux faits décrits par la juridiction de renvoi qui concernent des infractions de vol avec circonstances aggravantes d’un téléphone mobile.

B. Sur le fond

1. Considérations liminaires

20. Le présent renvoi trouve son origine dans une demande du ministère public (Bolzano) d’autoriser l’accès à des données conservées par des fournisseurs de services de communications électroniques. Il ne porte pas sur la conservation de ces données ou sur la licéité de celle-ci au titre, notamment, de l’article 15, paragraphe 1, de la directive 2002/58 (20). Les données sont constituées des informations relatives aux communications entrantes et sortantes (21) effectuées avec les téléphones mobiles volés ainsi que des données de localisation (22). Bien que les données ne comprennent pas le contenu des communications, elles permettent de tirer des conclusions précises sur la vie privée des personnes dont les données sont concernées, et dont l’accès semble constituer une ingérence « grave » dans leurs droits fondamentaux (23). L’ingérence que comporte l’accès à ces données peut être justifiée par l’objectif (24), visé à l’article 15, paragraphe 1, première phrase, de la directive 2002/58, de prévention, de recherche, de détection et de poursuite d’« infractions pénales graves », mais pas d’infractions pénales en général. En interprétant l’article 15, paragraphe 1, de la directive 2002/58, la Cour met en relation la gravité de l’ingérence dans les droits fondamentaux d’une personne avec la gravité de l’infraction pénale faisant l’objet de l’enquête (25).

2. Sur la compétence des États membres pour définir les « infractions pénales graves »

21. La directive 2002/58 régit les activités des fournisseurs de services de communications électroniques en matière de traitement des données à caractère personnel (26). L’article 1^er, paragraphe 3, de cette directive exclut expressément du champ d’application de ladite directive les activités de l’État dans des domaines déterminés tels que la sécurité publique, la défense, la sûreté de l’État et le droit pénal. Les activités visées à l’article 15, paragraphe 1, de la directive 2002/58 recoupent substantiellement celles décrites à l’article 1^er, paragraphe 3, de cette directive et incluent les activités de l’État dans le domaine du droit pénal qui sont exclues expressément du champ d’application de la directive 2002/58 (27). Il existe donc un lien manifeste entre les activités de l’État qui sont exclues du champ d’application de la directive 2002/58 par l’article 1^er, paragraphe 3, de celle-ci et les mesures législatives que les États membres peuvent adopter en vertu de l’article 15, paragraphe 1, de cette directive (28).

22. Nonobstant ce lien manifeste, il est de jurisprudence constante que, dès lors que l’article 15, paragraphe 1, de la directive 2002/58 autorise expressément les États membres à adopter les mesures législatives nationales qui y sont décrites, de telles mesures relèvent du champ d’application de cette directive. Il ressort de cette jurisprudence que la notion d’« activités », y compris les « activités de l’État dans des domaines relevant du droit pénal », figurant à l’article 1^er, paragraphe 3, de la directive 2002/58, ne comprend pas les mesures législatives visées à l’article 15, paragraphe 1, de cette directive (29).

23. Ni l’article 2 de la directive 2002/58, qui contient plusieurs définitions aux fins de l’application de cette directive, ni aucune autre disposition de la directive 2002/58, y compris l’article 15, paragraphe 1, ne définissent la notion d’« infractions pénales ». La directive 2002/58 ne contient aucune énumération des « infractions pénales » (30). Par ailleurs, la jurisprudence interprétant l’article 15, paragraphe 1, de la directive 2002/58 ne définit pas cette notion (31).

24. Malgré l’absence de telles définitions, la directive 2002/58 ne prévoit pas que chaque État membre définit les « infractions pénales » conformément à son droit national (32). Selon une jurisprudence constante de la Cour, il découle des exigences, tant de l’application uniforme du droit de l’Union que du principe d’égalité, qu’une disposition du droit de l’Union qui ne comporte aucun renvoi exprès au droit des États membres pour déterminer son sens et sa portée doit normalement trouver, dans toute l’Union, une interprétation autonome et uniforme. Dans le cadre de l’interprétation de l’article 15, paragraphe 1, de la directive 2002/58, la notion d’« infractions pénales » peut, à tout le moins en principe, être considérée comme étant une notion autonome du droit de l’Union qui doit être interprétée de manière uniforme sur le territoire de l’ensemble des États membres (33).

25. Les dix États membres ayant présenté des observations à la Cour ainsi que la Commission sont toutefois d’avis unanime qu’il appartient à chaque État membre de définir les « infractions pénales », y compris les infractions graves, visées à l’article 15, paragraphe 1, de la directive 2002/58, par référence à son droit national.

26. Je partage cette argumentation pour les raisons suivantes.

27. Premièrement, la Cour a déjà précisé que, dans le cadre de l’article 15, paragraphe 1, de la directive 2002/58, il appartient aux États membres de définir leurs intérêts essentiels de sécurité et d’arrêter les mesures propres à assurer leur sécurité intérieure et extérieure (34). Si elle ne l’a pas expressément jugé, la Cour semble ainsi avoir considéré que la notion de « sécurité nationale » figurant à l’article 15, paragraphe 1, de la directive 2002/58 n’est pas une notion autonome du droit de l’Union, malgré l’absence de définition de cette notion ou de renvoi exprès au droit des États membres (35). Je ne vois aucune raison pour laquelle cette approche ne devrait pas s’appliquer au pouvoir qu’ont les États membres de définir les « infractions pénales » ou les « infractions pénales graves » aux fins de l’article 15, paragraphe 1, de la directive 2002/58. Les notions d’« infractions pénales », de « sécurité publique » et de « sécurité nationale » qui figurent dans cette disposition peuvent être considérées comme étant noscitur a sociis dès lors qu’il apparaît que l’intention du législateur de l’Union était que chacune de ces notions soit traitée de la même façon, y compris en ce qui concerne la manière de les définir (36).

28. Deuxièmement, l’article 4, paragraphe 2, TUE impose à l’Union de respecter l’identité nationale des États membres, inhérente à leur structure fondamentale politique et constitutionnelle. Le préambule de la Charte reconnaît également que, si l’Union contribue à la préservation et au développement de valeurs communes, elle respecte, notamment, la diversité des cultures et des traditions des peuples d’Europe. La définition des infractions pénales et des sanctions (37) reflète les sensibilités et traditions nationales qui varient considérablement non seulement entre les États membres, mais aussi dans le temps parallèlement aux changements sociétaux (38).

29. Il peut être observé dans ce contexte que, lorsqu’ils définissent les infractions pénales et les sanctions, les États membres tiennent compte, à des degrés divers, de différents facteurs. L’appréciation par un État membre de la « gravité » d’une infraction donnée est souvent, voire invariablement, reflétée dans la gravité de la peine infligée. La durée d’une peine privative de liberté peut refléter l’analyse d’un certain nombre de facteurs, dont la « gravité » intrinsèque perçue d’une infraction et sa « gravité » relative par rapport à d’autres infractions. Aucun motif n’a été avancé quant aux raisons pour lesquelles les États membres ne devraient pas exercer cette compétence ni, d’ailleurs, pourquoi une approche différente devrait s’appliquer à la définition des notions d’« infractions pénales », d’« infractions pénales graves » ou d’« infractions pénales en général » dans le contexte particulier qui fait l’objet du présent examen.

30. La compétence des États membres dans le domaine du droit pénal est sans préjudice de celle dont dispose l’Union, dans certains cas, d’établir, par exemple, des règles minimales relatives à la définition des infractions pénales et des sanctions dans des domaines de criminalité particulièrement grave revêtant une dimension transfrontalière résultant du caractère ou des incidences de ces infractions ou d’un besoin particulier de les combattre sur des bases communes (39). Le législateur de l’Union n’a toutefois pas établi de règles régissant la définition des infractions pénales à l’article 15, paragraphe 1, de la directive 2002/58 (40). En effet, comme indiqué précédemment (41), il ressort clairement du libellé de l’article 1^er, paragraphe 3, de la directive 2002/58 que, en adoptant cette directive, le législateur de l’Union n’avait pas l’intention d’exercer une compétence relevant du droit pénal.

31. Ces deux raisons suffisent à expliquer pourquoi, nonobstant le fait que les mesures législatives nationales adoptées en vertu de l’article 15, paragraphe 1, de la directive 2002/58 pour les enquêtes et les poursuites en matière d’infractions pénales relèvent du champ d’application de cette mesure, les États membres demeurent compétents pour définir les « infractions pénales », y compris les « infractions pénales graves », et pour établir les sanctions qui s’appliquent lorsque de telles infractions sont commises (42).

3. Sur le critère de contrôle applicable à l’exercice de la faculté prévue à l’article 15, paragraphe 1, de la directive 2002/58 de déroger au principe de confidentialité

32. La Cour a souligné que la faculté de déroger (43), notamment, au principe de confidentialité prévu à l’article 5, paragraphe 1, de la directive 2002/58 est d’interprétation stricte afin qu’elle ne devienne pas la règle générale, vidant ainsi ce principe de sa portée (44). Partant, l’exercice de cette faculté doit respecter, notamment, les principes d’équivalence (45) et d’effectivité (46). Il doit également respecter les principes généraux du droit de l’Union, y compris le principe de proportionnalité (47), ainsi que les articles 7, 8 et 11 (48) et l’article 52, paragraphe 1, de la Charte (49). L’objectif de lutte contre la criminalité grave doit toujours être concilié avec la jouissance des droits fondamentaux ainsi affectés. Les droits consacrés aux articles 7, 8 et 11 de la Charte n’apparaissent pas comme étant des prérogatives absolues et leur exercice doit être pris en considération par rapport à leur fonction dans la société (50). L’article 52, paragraphe 1, de la Charte prévoit par conséquent que les limitations à l’exercice de ces droits, telles qu’elles sont prévues par la loi, doivent respecter le contenu essentiel desdits droits et, dans le respect du principe de proportionnalité, elles doivent être nécessaires et répondre effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui. Les mesures législatives nationales adoptées au titre de l’article 15, paragraphe 1, de la directive 2002/58 doivent donc répondre effectivement et strictement à l’un des objectifs énoncés à cette disposition. Elles doivent être fondées sur des critères objectifs, être légalement contraignantes et prévoir des règles claires et précises indiquant sous quelles conditions matérielles et procédurales les fournisseurs de services de communications électroniques doivent accorder aux autorités nationales compétentes l’accès aux données (51).

33. Aux fins de garantir, en pratique, le plein respect de ces conditions, l’accès des autorités nationales compétentes aux données conservées doit, en principe (52), être subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante (53), à la suite d’une demande motivée de ces autorités et à l’information des personnes concernées (54). Il est de jurisprudence constante que, dans le cadre de ce contrôle préalable, une juridiction ou une entité administrative indépendante doit assurer une conciliation des différents intérêts et droits en cause afin d’assurer un juste équilibre entre les exigences de l’enquête et la nécessité de garantir les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel des personnes concernées (55).

34. En l’occurrence, l’article 132, paragraphe 3, du décret législatif n^o 196/2003 établit les conditions dans lesquelles une juridiction nationale doit ordonner aux fournisseurs de services de communications électroniques d’accorder au ministère public l’accès aux données à la demande de ce dernier. Il est constant (56) que l’article 132, paragraphe 3, du décret législatif n^o 196/2003 énonce de manière claire et précise les circonstances et les conditions dans lesquelles une juridiction nationale peut ordonner aux fournisseurs de services de communications électroniques d’accorder un tel accès. La juridiction de renvoi est toutefois d’avis que la peine de la « réclusion pour une durée maximale d’au moins trois ans » est excessivement large dès lors qu’elle fait entrer dans son champ d’application des infractions telles que le vol simple qui ne causent que peu de menaces pour la société.

35. Si l’article 132, paragraphe 3, du décret législatif n^o 196/2003 couvre potentiellement un large éventail d’infractions pénales, la Cour ne dispose d’aucun élément dans le cadre de la présente procédure prouvant qu’il englobe un nombre d’infractions à ce point important que l’accès aux données en vertu de cette disposition deviendrait la règle plutôt que l’exception (57). Le seuil de la peine de la réclusion pour une durée maximale d’au moins trois ans prévu à ladite disposition n’apparaît pas excessivement bas (58). Par analogie, l’article 3, point 9, de la directive 2016/681 (59) définit les « formes graves de criminalité » comme étant « les infractions énumérées à l’annexe II qui sont passibles d’une peine privative de liberté ou d’une mesure de sûreté d’une durée maximale d’au moins trois ans au titre du droit national d’un État membre » (60). La Cour a toutefois jugé que, dans la mesure où l’article 3, point 9, de la directive 2016/681 se réfère non pas à la peine minimale applicable, mais à la peine maximale applicable, il n’est pas exclu que les données en cause « puissent faire l’objet d’un traitement à des fins de lutte contre des infractions qui, bien qu’elles remplissent le critère prévu par cette disposition relatif au seuil de gravité, relèvent, compte tenu des spécificités du système pénal national, non pas des formes graves de criminalité, mais de la criminalité ordinaire » (61).

36. La peine de trois ans prévue à l’article 132, paragraphe 3, du décret législatif n^o 196/2003 se réfère à la peine maximale applicable et pourrait ainsi s’appliquer à des infractions telles que le vol simple (62). Il convient donc d’examiner comment l’article 132, paragraphe 3, du décret législatif n^o 196/2003 est appliqué en pratique. Sous réserve de vérification par la juridiction de renvoi, l’article 132, paragraphe 3, du décret législatif n^o 196/2003 semble établir deux critères différents de contrôle préalable par une juridiction nationale en fonction de la nature des infractions faisant l’objet de l’enquête.

37. Le premier de ces critères de contrôle impose (63) aux juridictions nationales d’autoriser le ministère public à accéder aux données conservées par des fournisseurs de services de communications électroniques si ces données sont pertinentes aux fins d’établir les faits et s’il existe des indices suffisants d’une infraction consistant à menacer et à harceler ou à perturber des personnes par téléphone, lorsque la menace ou la perturbation est grave. Le juge national doit donc procéder à une appréciation individuelle du caractère grave de l’infraction en cause et vérifier si l’enquête et les poursuites de cette infraction nécessitent une limitation des droits généraux consacrés aux articles 7, 8 et 11 de la Charte ainsi que des droits spécifiques figurant aux articles 5, 6 et 9 de la directive 2002/58. Ce critère exige une appréciation individuelle dans un cas donné de la question de savoir si l’ingérence dans ces droits est proportionnée à l’objectif d’intérêt public de lutte contre la criminalité.

38. En revanche, le second critère de contrôle, qui est pertinent dans le cadre de la présente procédure, impose (64) aux juridictions nationales d’autoriser le ministère public à accéder aux données conservées par des fournisseurs de services de communications électroniques si ces données sont pertinentes aux fins d’établir les faits et s’il existe des indices suffisants d’une infraction passible, notamment, d’une peine de réclusion pour une durée maximale d’au moins trois ans. Dans ce cas, le rôle du juge national se limite à vérifier si ces exigences objectives sont remplies sans avoir la possibilité de procéder à une appréciation individuelle ou in concreto des intérêts en cause en l’espèce (65). Le contrôle effectué par le juge national au titre de l’article 132, paragraphe 3, du décret législatif n^o 196/2003 est ainsi détaché de tout lien réel avec les circonstances spécifiques de l’affaire dont il est saisi.

39. Si les juridictions nationales peuvent ne pas être compétentes pour examiner la définition, par le législateur, des infractions ou pour examiner la décision du législateur quant à la gravité de ces infractions (66), ces juridictions doivent néanmoins être compétentes pour procéder à une appréciation individuelle de la question de savoir si l’octroi de l’accès, en vertu de mesures législatives adoptées au titre de l’article 15, paragraphe 1, de la directive 2002/58, à des données sensibles permettant de tirer des conclusions précises sur la vie privée d’un utilisateur, constituant ainsi une ingérence grave dans les droits fondamentaux consacrés aux articles 7, 8 et 11 ainsi qu’à l’article 52, paragraphe 1, de la Charte, est proportionné.

40. Il s’ensuit que, conformément aux mesures adoptées au titre de l’article 15, paragraphe 1, de la directive 2002/58, l’accès à des données sensibles ne peut être accordé que si, premièrement, l’infraction en cause atteint le seuil de gravité préalablement déterminé par le législateur national et, deuxièmement, une juridiction ou une autre entité administrative indépendante estime, à la suite d’une appréciation ou d’un examen individuel, que l’ingérence dans les droits fondamentaux que comporte un tel accès est proportionnée, compte tenu de l’objectif d’intérêt général de lutte contre la criminalité dans un cas particulier. Dans certains cas, toutefois, l’accès à ces données peut ne pas être accordé, même lorsque l’infraction atteint le seuil de gravité défini dans le droit national.

41. L’infraction de vol avec circonstances aggravantes en cause en l’espèce est considérée comme étant « grave » en droit national puisqu’elle est passible, notamment, d’une peine de réclusion pour une durée de deux à six ans, respectant ainsi le seuil de gravité prévu à l’article 132, paragraphe 3, du décret législatif n^o 196/2003 (67). Lorsqu’elles appliquent des mesures adoptées au titre de l’article 15, paragraphe 1, de la directive 2002/58, les juridictions italiennes ne semblent pas compétentes pour remettre en cause la qualification d’« infraction grave » du vol avec circonstances aggravantes en droit national. Lorsque le seuil établi par le droit national n’est pas atteint, la juridiction de renvoi ne peut donc pas accorder l’accès demandé aux données (68).

42. Lorsque le seuil établi par le législateur national est atteint, la juridiction de renvoi doit, en application de l’article 15, paragraphe 1, de la directive 2002/58, examiner si, au regard de l’ensemble des circonstances propres au cas d’espèce, l’ingérence dans les droits fondamentaux qu’implique le fait de rendre plus facile l’accès à des données sensibles est proportionnée à l’objectif d’intérêt général de lutte contre cette infraction. La juridiction de renvoi doit, à cet égard, tenir compte de, et évaluer, tous les droits et intérêts pertinents, y compris, notamment, les dommages causés aux droits de propriété des victimes protégés par l’article 17 de la Charte ainsi que le fait que les téléphones mobiles peuvent contenir des informations très sensibles relatives à la vie privée, professionnelle et financière de leur propriétaire (69). L’accès aux données en cause peut être le seul moyen efficace disponible pour enquêter sur les infractions concernées et engager des poursuites et pour s’assurer que leurs auteurs, encore inconnus, n’agissent pas impunément. Les droits des tiers (70) doivent également être pris en compte.

43. En ce qui concerne les droits des tiers, il ressort (71) des dossiers de la juridiction de renvoi que le ministère public (Bolzano) a sollicité l’accès aux données relatives aux communications provenant des téléphones mobiles volés à compter du 29 octobre 2021 pour le premier vol commis le 27 octobre 2021 (72) et du 20 novembre 2021 pour le second vol commis à cette date (73). Ces dates montrent que les demandes d’accès empiètent, dans une mesure très limitée, sur les droits des victimes garantis, notamment, par les articles 7, 8 et 11 de la Charte (74). Le gouvernement italien a par ailleurs indiqué dans ses observations écrites que la procédure nationale porte uniquement sur des données utiles à l’identification des auteurs des infractions de vol en cause. Dans l’hypothèse de l’identification d’appels à destination ou en provenance de tiers non liés à l’infraction de vol, ces données seraient détruites, conformément à l’article 269 du code de procédure pénale (75). Enfin, l’article 132, paragraphe 3 quater, du décret législatif n^o 196/2003 prévoit que les données recueillies en violation des paragraphes 3 et 3 bis dudit article ne peuvent pas être utilisées (76).

VI. Conclusion

44. Eu égard aux considérations qui précèdent, je propose à la Cour de répondre en ces termes à la question posée par le Tribunale di Bolzano (tribunal de Bolzano, Italie) à titre préjudiciel :

L’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, et les articles 7, 8 et 11 ainsi que l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne doivent être interprétés en ce sens que :

ils ne s’opposent pas à une législation nationale qui impose au juge d’autoriser le ministère public à accéder aux données légalement conservées par des fournisseurs de services de communications électroniques et qui permettent de tirer des conclusions précises sur la vie privée d’un utilisateur, si ces données sont pertinentes aux fins d’établir les faits et s’il existe des indices suffisants d’une infraction grave au sens du droit national, laquelle est passible d’une peine de réclusion pour une durée maximale d’au moins trois ans. Préalablement à l’octroi de l’accès, la juridiction nationale doit procéder à une appréciation individuelle de la question de savoir si l’ingérence dans les droits fondamentaux qu’un tel accès implique est proportionnée au regard, notamment, de la gravité de l’infraction concernée et des faits de l’espèce.

1 Langue originale : l’anglais.

2 Directive du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009 (JO 2009, L 337, p. 11) (ci-après la « directive 2002/58 »).

3 Voir article 5 de la directive 2002/58. La protection de la confidentialité des communications électroniques, garantie par l’article 5, paragraphe 1, de la directive 2002/58, s’applique aux mesures prises par toutes les personnes autres que les utilisateurs, qu’il s’agisse de personnes privées ou d’entités publiques. Arrêt du 2 octobre 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788, point 36 et jurisprudence citée).

4 Arrêt du 2 mars 2021, Prokuratuur (Conditions d’accès aux données relatives aux communications électroniques) (C‑746/18, ci-après l’« arrêt Prokuratuur », EU:C:2021:152).

5 Indépendamment de la durée de la période pour laquelle l’accès à ces données est demandé et de la quantité ou de la nature des données disponibles pour cette période.

6 Ou dans le cadre de la prévention de menaces graves contre la sécurité publique. Voir arrêt Prokuratuur (points 35, 39 et 45). Voir également arrêts du 2 octobre 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788, point 56), et du 6 octobre 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 140).

7 Arrêt Prokuratuur (points 48 à 52).

8 Directive du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).

9 Supplément ordinaire n^o 123 à la GURI n^o 174, du 29 juillet 2003, p. 11.

10 GURI n^o 234, du 30 septembre 2021, p. 1.

11 GURI n^o 284, du 29 novembre 2021, p. 1.

12 Le droit italien qualifie les infractions de vol faisant l’objet de l’enquête devant la juridiction de renvoi d’infractions de vol avec « circonstances aggravantes ».

13 Le premier vol a été commis le 27 octobre 2021 (numéro de référence RGNR 9228/2021). Le second vol a eu lieu le 20 novembre 2021 (numéro de référence RGNR 9794/2021). Les vols des téléphones mobiles ont eu lieu à Bolzano et les propriétaires de ces téléphones ont déclaré ces vols aux carabiniers (police).

14 Cass. Pen. Sez. II, n. 33116, ud. 7.9.2021, est. Pellegrino.

15 Selon la juridiction de renvoi, « [t]el est le cas, par exemple, de l’infraction de violation de domicile, qui est punie par l’article 614 du code pénal d’une peine de réclusion d’un à quatre ans. D’autres cas d’infractions pour lesquelles le taux de la peine prévu par la loi ne fait pas obstacle à l’obtention des relevés téléphoniques et qui sont punies seulement sur plainte d’un particulier, parce qu’elles ne causent qu’un faible trouble social, sont les infractions prévues à l’article 633 du code pénal (pénétration sur les terrains et dans les bâtiments : réclusion d’un à trois ans et amende de 103 à 1 032 euros) ou à l’article 640 du code pénal (escroquerie simple : réclusion de six mois à trois ans et amende de 51 à 1 032 euros) ».

16 Voir articles 7, 8 et 11 de la Charte.

17 Voir, par analogie, arrêt du 17 mars 2021, Consulmarketing (C‑652/19, EU:C:2021:208, point 33). Il est de jurisprudence constante que, en vertu de l’article 267 TFUE, il appartient à la Cour de donner au juge de renvoi une réponse qui lui permette de trancher le litige dont il est saisi. Dans cette optique, il incombe, le cas échéant, à la Cour de reformuler les questions qui lui sont posées. Arrêt du 25 juillet 2018, Dyson (C‑632/16, EU:C:2018:599, point 47 et jurisprudence citée).

18 Une personne coupable de vol simple est passible d’une peine de réclusion allant de six mois à trois ans et relève donc du champ d’application de l’article 132, paragraphe 3, du décret législatif n^o 196/2003.

19 Dans la mesure où ces références indiquent que l’article 132, paragraphe 3, du décret législatif n^o 196/2003 peut être invoqué dans le cadre d’enquêtes sur des infractions qui ne sont pas des infractions graves, voir points 35 à 39 des présentes conclusions.

20 La demande de décision préjudicielle repose ainsi sur la prémisse selon laquelle la conservation des données demandées est licite. La conservation et l’accès aux données qui relèvent de la directive 2002/58 constituent des ingérences distinctes dans les droits fondamentaux garantis aux articles 7, 8 et 11 de la Charte, nécessitant une justification distincte, au titre de l’article 52, paragraphe 1, de celle‑ci. Voir, en ce sens, arrêt du 5 avril 2022, Commissioner of An Garda Síochána e.a. (C‑140/20, EU:C:2022:258, point 47). Les points 29 à 33 de l’arrêt Prokuratuur livrent un aperçu des règles qui régissent la conservation de ces données.

21 L’article 2, sous d), de la directive 2002/58 définit une « communication » comme « toute information échangée ou acheminée entre un nombre fini de parties au moyen d’un service de communications électroniques accessible au public ».

22 L’article 2, sous c), de la directive 2002/58 définit les « données de localisation » comme « toutes les données [...] indiquant la position géographique de l’équipement terminal d’un utilisateur d’un service de communications électroniques accessible au public ».

23 Arrêt Prokuratuur (points 34 et 35). Voir, par analogie, arrêt du 2 octobre 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788, points 59 à 62). Il appartient à la juridiction nationale d’apprécier si l’accès aux données en cause constitue une ingérence « grave » dans les droits fondamentaux des personnes dont les données sont concernées. Les présentes conclusions reposent sur la prémisse selon laquelle l’ingérence que comporte l’accès aux données décrites au point 10 des présentes conclusions est grave.

24 L’énumération d’objectifs figurant à l’article 15, paragraphe 1, de la directive 2002/58 revêt un caractère exhaustif. Arrêt du 21 décembre 2016, Tele2 Sverige et Watson e.a. (C‑203/15 et C‑698/15, EU:C:2016:970, point 90).

25 Voir, en ce sens, conclusions de l’avocat général Saugmandsgaard Øe dans l’affaire Ministerio Fiscal (C‑207/16, EU:C:2018:300, points 79 à 82 et jurisprudence citée). En ce qui concerne l’objectif de lutte contre la criminalité, l’accès ne saurait, en principe, être accordé qu’aux données de personnes soupçonnées de projeter, de commettre ou d’avoir commis une infraction grave ou encore d’être impliquées d’une manière ou d’une autre dans une telle infraction. Arrêt du 5 avril 2022, Commissioner of An Garda Síochána e.a. (C‑140/20, EU:C:2022:258, point 105).

26 Voir, en ce sens, article 3 de la directive 2002/58, qui précise que celle-ci s’applique au traitement des données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public. Voir également arrêt du 21 décembre 2016, Tele2 Sverige et Watson e.a. (C‑203/15 et C‑698/15, EU:C:2016:970, points 70 et 74), et, par analogie, conclusions de l’avocat général Szpunar dans l’affaire La Quadrature du Net e.a. (Données personnelles et lutte contre la contrefaçon) (C‑470/21, EU:C:2022:838, point 38).

27 Arrêt du 6 octobre 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 97).

28 Aux fins de la sauvegarde de la sécurité nationale, de la défense, de la sécurité publique, de la prévention, de la recherche, de la détection et de la poursuite d’infractions pénales et des utilisations non autorisées du système de communications électroniques.

29 Arrêts du 6 octobre 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 98), et du 6 octobre 2020, Privacy International (C‑623/17, EU:C:2020:790, point 38 et jurisprudence citée).

30 Voir, en revanche, article 2, paragraphe 2, de la décision-cadre 2002/584/JAI du Conseil, du 13 juin 2002, relative au mandat d’arrêt européen et aux procédures de remise entre États membres (JO 2002, L 190, p. 1), telle que modifiée par la décision-cadre 2009/299/JAI du Conseil, du 26 février 2009 (JO 2009, L 81, p. 24), qui énumère les infractions pénales qui donnent lieu à remise sur la base d’un mandat d’arrêt européen, ainsi que l’annexe II de la directive (UE) 2016/681 du Parlement européen et du Conseil, du 27 avril 2016, relative à l’utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière (JO 2016, L 119, p. 132), qui énumère les « formes graves de criminalité » définies à l’article 3, point 9, de cette directive.

31 La directive 2002/58 ne fait pas référence aux « infractions pénales en général » ni aux « infractions pénales graves » ou à la « criminalité ». La Cour fait référence à ces termes dans sa jurisprudence, sans les définir et sans fournir d’éléments permettant aux législateurs nationaux de le faire. Voir, par exemple, arrêts du 21 décembre 2016, Tele2 Sverige et Watson e.a. (C‑203/15 et C‑698/15, EU:C:2016:970, points 115 et 125), et du 2 octobre 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788, points 54, 56 et 63). Voir également, à cet égard, point 45 de l’arrêt Prokuratuur.

32 Voir, en revanche, article 1^er, paragraphe 1, de la directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58 (JO 2006, L 105, p. 54), qui disposait que « [l]a présente directive a pour objectif d’harmoniser les dispositions des États membres relatives aux obligations des fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications en matière de conservation de certaines données qui sont générées ou traitées par ces fournisseurs, en vue de garantir la disponibilité de ces données à des fins de recherche, de détection et de poursuite d’infractions graves telles qu’elles sont définies par chaque État membre dans son droit interne » (italique ajouté par mes soins). Dans l’arrêt du 8 avril 2014, Digital Rights Ireland e.a. (C‑293/12 et C‑594/12, EU:C:2014:238), la Cour a déclaré la nullité de la directive 2006/24.

33 Voir, par analogie, arrêt du 7 septembre 2022, Staatssecretaris van Justitie en Veiligheid (Nature du droit de séjour au titre de l’article 20 TFUE) (C‑624/20, EU:C:2022:639, points 19 et 20).

34 Arrêt du 6 octobre 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, points 99 et 136).

35 En outre, l’article 4, paragraphe 2, TUE énonce que la sécurité nationale reste de la seule responsabilité de chaque État membre. Le fait qu’une mesure nationale soit prise aux fins de la protection de la sécurité nationale n’entraîne pas l’inapplicabilité du droit de l’Union et ne dispense pas les États membres du respect nécessaire de ce droit. Arrêt du 6 octobre 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, points 99 et 135).

36 Si l’importance de l’objectif de sauvegarde de la sécurité nationale prime celle de la lutte contre la criminalité grave et est ainsi de nature à justifier des ingérences plus graves dans les droits fondamentaux, cet objectif ne porte pas atteinte au droit des États membres de définir les « infractions pénales » ou les « infractions pénales graves ». Arrêt du 6 octobre 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 136).

37 Et celle des circonstances atténuantes et aggravantes.

38 M. l’avocat général Saugmandsgaard Øe a considéré que la législation pénale et les règles de la procédure pénale relèvent de la compétence des États membres, même si l’ordre juridique de ces derniers peut néanmoins être affecté par les dispositions du droit de l’Union adoptées en ce domaine sur le fondement, notamment, de l’article 83, paragraphe 2, TFUE. Il n’existe donc pas de disposition à portée générale qui donnerait une définition harmonisée de la notion d’« infraction grave ». Conclusions de l’avocat général Saugmandsgaard Øe dans l’affaire Ministerio Fiscal (C‑207/16, EU:C:2018:300, point 95). M. l’avocat général Pitruzzella a indiqué que la définition de la notion d’« infraction grave » doit être laissée à l’appréciation des États membres. En effet, selon les systèmes juridiques nationaux, la même infraction peut être condamnée plus ou moins sévèrement. La définition des circonstances aggravantes peut également varier selon les États membres. Conclusions de l’avocat général Pitruzzella dans l’affaire Prokuratuur (Conditions d’accès aux données relatives aux communications électroniques) (C‑746/18, EU:C:2020:18, points 91 et 92). En revanche, M. l’avocat général Szpunar a considéré que « la notion de “criminalité grave” doit [...] recevoir une interprétation autonome. Elle ne saurait dépendre des conceptions de chaque État membre sauf à permettre un contournement des exigences de l’article 15, paragraphe 1, de la directive 2002/58 selon que les États membres adoptent une conception extensive ou non de la lutte contre la criminalité grave ». Conclusions de l’avocat général Szpunar dans l’affaire La Quadrature du Net e.a. (Données personnelles et lutte contre la contrefaçon) (C‑470/21, EU:C:2022:838, point 74).

39 Article 83, paragraphe 1, premier alinéa, TFUE. Voir également arrêt du 21 octobre 2021, Okrazhna prokuratura – Varna (C‑845/19 et C‑863/19, EU:C:2021:864, point 32).

40 Voir, par analogie, arrêt Prokuratuur, points 41 et 42. La Cour a affirmé que, en l’absence de règles de l’Union en la matière et en vertu du principe d’autonomie procédurale, « il appartient, en principe, au seul droit national de déterminer les règles relatives à l’admissibilité et à l’appréciation, dans le cadre d’une procédure pénale ouverte à l’encontre de personnes soupçonnées d’actes de criminalité, d’informations et d’éléments de preuve qui ont été obtenus par une conservation généralisée et indifférenciée de ces données, contraire au droit de l’Union ». La base juridique de la directive 2002/58 est l’article 114 TFUE (ancien article 95 TCE) et non, par exemple, l’article 83, paragraphe 1, premier alinéa, TFUE. En revanche, les bases juridiques de la directive 2016/681 sont l’article 82, paragraphe 1, second alinéa, sous d), TFUE (coopération judiciaire en matière pénale) et l’article 87, paragraphe 2, sous a), TFUE (coopération policière).

41 Voir point 21 des présentes conclusions.

42 Voir, par analogie, arrêt du 23 octobre 2007, Commission/Conseil (C‑440/05, EU:C:2007:625, points 66, 70 et 71 ainsi que jurisprudence citée). Voir également arrêt du 28 avril 2011, El Dridi (C‑61/11 PPU, EU:C:2011:268, point 53).

43 L’article 15, paragraphe 1, de la directive 2002/58 prévoit que les États membres « peuvent adopter » des mesures législatives qui limitent certains droits et obligations prévus par cette directive.

44 Arrêt du 21 décembre 2016, Tele2 Sverige et Watson e.a. (C‑203/15 et C‑698/15, EU:C:2016:970, point 89). M. l’avocat général Saugmandsgaard Øe a considéré que « même si chaque État membre a la faculté d’apprécier quel est le seuil de peine adéquat pour caractériser une infraction grave, il a cependant le devoir de ne pas fixer celui‑ci à un échelon tellement bas, au regard du niveau habituel des peines applicables dans cet État, que les exceptions à l’interdiction de stocker et d’exploiter les données à caractère personnel qui sont prévues à cet article 15, paragraphe 1, seraient muées en principes ». Conclusions de l’avocat général Saugmandsgaard Øe dans l’affaire Ministerio Fiscal (C‑207/16, EU:C:2018:300, point 114).

45 Rien n’indique que la loi italienne litigieuse ne respecte pas ce principe.

46 Arrêt du 5 avril 2022, Commissioner of An Garda Síochána e.a. (C‑140/20, EU:C:2022:258, point 127).

47 Voir également considérant 11 de la directive 2002/58.

48 Voir également considérant 2 de la directive 2002/58.

49 Arrêts du 21 décembre 2016, Tele2 Sverige et Watson e.a. (C‑203/15 et C‑698/15, EU:C:2016:970, point 89), et du 6 octobre 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, points 111 à 113). Voir également conclusions de l’avocat général Saugmandsgaard Øe dans l’affaire Ministerio Fiscal (C‑207/16, EU:C:2018:300, points 116 à 120). Dans l’arrêt du 8 mars 2022, Bezirkshauptmannschaft Hartberg-Fürstenfeld (Effet direct) (C‑205/20, EU:C:2022:168, point 31), la Cour a rappelé que le principe de proportionnalité s’impose aux États membres lorsqu’ils mettent en œuvre le droit de l’Union. Dans ce contexte, les États membres doivent respecter l’article 49, paragraphe 3, de la Charte lorsqu’ils adoptent des sanctions pénales, même en l’absence d’une réglementation de l’Union harmonisant ces sanctions.

50 Article 52, paragraphe 1, de la Charte. Arrêt du 6 octobre 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 120).

51 Arrêt du 21 décembre 2016, Tele2 Sverige et Watson e.a. (C‑203/15 et C‑698/15, EU:C:2016:970, points 117 à 119). Voir également arrêt du 6 octobre 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, points 110 et 129 à 133).

52 Par exemple, l’article 132, paragraphe 3 bis, du décret législatif n^o 196/2003 établit des règles spéciales pour l’accès aux données en cas d’urgence. Dans ses conclusions dans l’affaire La Quadrature du Net e.a. (Données personnelles et lutte contre la contrefaçon) (C‑470/21, EU:C:2022:838, points 99 à 105), M. l’avocat général Szpunar a estimé qu’un contrôle préalable n’est nécessaire qu’en cas d’ingérence grave dans la vie privée des utilisateurs de services de communications électroniques. Un contrôle préalable est nécessaire étant donné que l’ingérence dans la présente affaire est grave en raison de la nature des données auxquelles le ministère public demande l’accès.

53 L’obligation d’un contrôle préalable a été établie dans la jurisprudence de la Cour, et non par la directive 2002/58 : arrêt du 21 décembre 2016, Tele2 Sverige et Watson e.a. (C‑203/15 et C‑698/15, EU:C:2016:970, points 120 et 121 et jurisprudence citée).

54 Arrêt du 21 décembre 2016, Tele2 Sverige et Watson e.a. (C‑203/15 et C‑698/15, EU:C:2016:970, points 120 et 121).

55 Arrêt Prokuratuur, point 52.

56 Sous réserve de vérification par la juridiction de renvoi.

57 Voir l’analyse dans les conclusions de l’avocat général Saugmandsgaard Øe dans l’affaire Ministerio Fiscal (C‑207/16, EU:C:2018:300, points 116 à 120). C’est, en définitive, à la juridiction de renvoi qu’il appartient d’apprécier ce point.

58 La circonstance que la définition des infractions et le régime des sanctions dans un État membre diffèrent de ceux retenus dans un autre État membre ne saurait en soi avoir d’incidence sur la proportionnalité de la législation. Voir, par analogie, arrêt du 8 juillet 2010, Sjöberg et Gerdin (C‑447/08 et C‑448/08, EU:C:2010:415, point 38).

59 La directive 2016/681 concerne le transfert et le traitement des données des passagers aux fins de la prévention et de la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière.

60 La Cour a jugé que les exigences découlant de cette disposition, qui ont trait à la nature et à la sévérité de la peine applicable, sont, en principe, à même de limiter l’application du système établi par la directive 2016/681 à des infractions présentant un niveau suffisant de gravité susceptible de justifier l’ingérence dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte. Arrêt du 21 juin 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, point 150).

61 La Cour a ainsi jugé que les États membres doivent s’assurer que le système établi par la directive 2016/681 est limité à la lutte contre des formes graves de criminalité et ne s’applique pas à la criminalité ordinaire. Arrêt du 21 juin 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, points 151 et 152). L’objet et le champ d’application de la directive 2016/681, qui prévoient, notamment, l’échange de données PNR entre les États membres, ne coïncident pas avec ceux de la directive 2002/58. Il s’ensuit que les dispositions de ces directives doivent être appréciées séparément et selon leurs propres caractéristiques. À cet égard, et contrairement à ce qui est le cas en ce qui concerne l’article 15, paragraphe 1, de la directive 2002/58, la notion de « formes graves de criminalité » qui figure dans la directive 2016/681 est une notion autonome du droit de l’Union. Voir également, à cet égard, considérant 12, article 3, point 9, et annexe II de la directive 2016/681.

62 Voir, par analogie, arrêt du 21 juin 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, point 151).

63 Le texte dans la langue originale utilise les termes « i dati sono acquisiti ».

64 Sous réserve de vérification par la juridiction de renvoi, l’utilisation du mode indicatif à l’article 132, paragraphe 3, du décret législatif n^o 196/2003 (« i dati sono acquisiti ») implique que l’accès aux données en cause est accordé par la juridiction nationale pour autant que les conditions objectives imposées par cette disposition soient remplies.

65 Lors de l’audience, le ministère public (Bolzano) et le gouvernement italien ont exprimé des avis divergents quant au rôle du juge national et à l’étendue du contrôle préalable au titre de l’article 132, paragraphe 3, du décret législatif n^o 196/2003. Tandis que le ministère public (Bolzano) a fait valoir que, avant d’accorder l’accès à ces données, le juge national doit procéder à une appréciation individuelle de la proportionnalité de l’octroi d’un tel accès, le gouvernement italien a souligné que le juge national est lié, conformément à l’article 101 de la Costituzione della Repubblica Italiana (Constitution de la République d’Italie) et à l’article 1 du code pénal, par le principe de légalité et ne saurait donc retenir ce qu’il qualifie d’interprétation créative de la loi. Il appartient à la juridiction de renvoi d’interpréter les dispositions du droit national applicables.

66 À moins que le droit national ne le permette et sous réserve du respect, notamment, de l’article 49 de la Charte.

67 Une peine de réclusion pour une durée maximale d’au moins trois ans.

68 L’article 52, paragraphe 1, de la Charte prévoit que toute limitation de l’exercice d’un droit reconnu par la Charte doit être prévue par la loi. Cela implique que les juridictions nationales sont, en principe, liées par la législation nationale qui contient de telles limitations.

69 Les téléphones mobiles peuvent contenir des photographies, des données de santé, des relevés bancaires, des mots de passe, etc. Le vol d’un téléphone mobile peut donc compromettre l’identité numérique de son propriétaire et les conséquences d’un tel vol peuvent être considérablement supérieures à la perte de sa valeur financière. Par conséquent, la juridiction de renvoi devrait également tenir compte et mettre en balance toute atteinte éventuelle aux droits de la victime au titre, notamment, des articles 7, 8 et 17 de la Charte.

70 Tels que les victimes de l’infraction présumée.

71 Sous réserve de vérification par la juridiction de renvoi.

72 Numéro de référence RGNR 9228/2021.

73 Numéro de référence RGNR 9794/2021.

74 Bien que les données puissent concerner des communications faites à la victime après la date du vol, elles ne concernent en réalité pas les communications effectuées par la victime ni ses données de localisation.

75 Selon le gouvernement italien, l’article 269, paragraphe 2, du code de procédure pénale alors en vigueur disposait que « [l]es enregistrements sont conservés jusqu’au prononcé du jugement définitif. Toutefois, afin de protéger la confidentialité, les parties intéressées peuvent demander au juge qui a autorisé ou validé l’interception de détruire les enregistrements qui n’ont pas été versés au dossier » (dans la mesure où ils sont dénués de pertinence). Si l’accès aux données relatives à des tiers innocents est illimité, l’utilisation de ces données paraît, sous réserve de vérification par la juridiction de renvoi, être encadrée par le droit national.

76 La demande de décision préjudicielle n’explique ni le sens exact de cette disposition ni son application dans la pratique.