CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:702

Affaires jointes C‑793/19 et C‑794/19

Bundesrepublik Deutschland

contre

SpaceNet AG
et
Telekom Deutschland GmbH

(demandes de décision préjudicielle, introduites par le Bundesverwaltungsgericht)

Arrêt de la Cour (grande chambre) du 20 septembre 2022

« Renvoi préjudiciel – Traitement des données à caractère personnel dans le secteur des communications électroniques – Confidentialité des communications – Fournisseurs de services de communications électroniques – Conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation – Directive 2002/58/CE – Article 15, paragraphe 1 – Charte des droits fondamentaux de l’Union européenne – Articles 6, 7, 8 et 11 ainsi que article 52, paragraphe 1 – Article 4, paragraphe 2, TUE »

1. Rapprochement des législations – Secteur des télécommunications – Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques – Directive 2002/58 – Champ d’application – Réglementation nationale imposant aux fournisseurs de services de communications électroniques de conserver des données relatives au trafic et à la localisation – Objectifs de protection de la sécurité nationale et de la lutte contre la criminalité – Inclusion

(Art. 4, § 2, TUE ; directive du Parlement européen et du Conseil 2002/58, telle que modifiée par la directive 2009/136, art. 1^er, § 1 et 3, 3 et 15, § 1)

(voir point 48)

2. Rapprochement des législations – Secteur des télécommunications – Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques – Directive 2002/58 – Faculté pour les États membres de limiter la portée de certains droits et obligations – Mesures nationales imposant aux fournisseurs de services de communications électroniques la conservation généralisée et indifférenciée des données relatives au trafic et à la localisation – Objectif de lutte contre la criminalité grave et de prévention des menaces graves contre la sécurité publique – Inadmissibilité – Durée de la période de conservation généralisée et indifférenciée de ces données – Absence d’incidence – Mesures nationales relatives à la conservation de certaines catégories de données – Objectifs de sauvegarde de la sécurité nationale, de lutte contre la criminalité grave et de prévention des menaces graves contre la sécurité publique – Admissibilité – Conditions

(Charte des droits fondamentaux de l’Union européenne, art. 7, 8, 11 et 52, § 1 ; directive du Parlement européen et du Conseil 2002/58, telle que modifiée par la directive 2009/136, art. 15, § 1)

(voir points 49-75, 77-81, 83-85, 87-94, 97-99, 110, 113, 116-121, 127-131 et disp.)

Résumé

Ces dernières années, la Cour s’est prononcée, dans plusieurs arrêts, sur la conservation et l’accès aux données à caractère personnel dans le domaine des communications électroniques (1).

Plus récemment, par l’arrêt La Quadrature du net e.a. (2), rendu en grande chambre le 6 octobre 2020, la Cour a confirmé sa jurisprudence issue de l’arrêt Tele2 Sverige et Watson e.a (3) sur le caractère disproportionné d’une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation afférentes aux communications électroniques. Elle a également apporté des précisions, notamment quant à l’étendue des pouvoirs que reconnaît la directive « vie privée et communications électroniques » aux États membres en matière de conservation de telles données aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité et de la sauvegarde de la sécurité publique.

Dans les présentes affaires jointes, deux demandes de décision préjudicielle ont été présentées par le Bundesverwaltungsgericht (Cour administrative fédérale, Allemagne), qui a été saisi d’un recours en Revision par la République fédérale d’Allemagne contre deux arrêts ayant accueilli les recours formés par deux sociétés, SpaceNet AG (affaire C‑793/19) et Telekom Deutschland GmbH (affaire C‑794/19), fournissant des services d’accès à Internet. Par ces recours, ces sociétés contestaient l’obligation qu’impose la réglementation allemande (4) de conserver des données relatives au trafic et des données de localisation afférentes aux communications électroniques de leurs clients.

Les doutes émis par la juridiction de renvoi portaient notamment sur la compatibilité avec la directive « vie privée et communications électroniques » (5), lue à la lumière de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte ») (6) et de l’article 4, paragraphe 2, TUE, d’une réglementation nationale qui impose aux fournisseurs de services de communications électroniques accessibles au public, notamment aux fins de la répression des infractions pénales graves ou de la prévention d’un risque concret pour la sécurité nationale, la conservation généralisée et indifférenciée de l’essentiel des données relatives au trafic et des données de localisation des utilisateurs de ces services, en prévoyant une durée de conservation de plusieurs semaines, ainsi que des règles visant à garantir une protection efficace des données conservées contre les risques d’abus ainsi que contre tout accès illicite à ces données.

Par son arrêt, la Cour, réunie en grande chambre, confirme, tout en précisant sa portée, la jurisprudence issue de l’arrêt La Quadrature du Net e.a., et, plus récemment, de l’arrêt Commissioner of An Garda Síochána e.a. (7). Elle rappelle notamment que la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation afférentes aux communications électroniques n’est pas autorisée, à titre préventif, aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique.

Appréciation de la Cour

La Cour commence par confirmer l’applicabilité de la directive « vie privée et communications électroniques » à la réglementation nationale en cause, puis effectue un rappel didactique des principes issus de sa jurisprudence, avant de procéder à un examen détaillé des caractéristiques de la réglementation nationale en cause, mises en exergue par la juridiction de renvoi.

En ce qui concerne, tout d’abord, l’étendue des données conservées, la Cour relève que l’obligation de conservation prévue par la réglementation nationale en cause s’étend à un ensemble très large de données relatives au trafic et de données de localisation et qu’elle concerne la quasi-totalité des personnes composant la population sans que celles-ci se trouvent, même indirectement, dans une situation susceptible de donner lieu à des poursuites pénales. Elle relève également que cette réglementation impose la conservation, sans motif, généralisée et non différenciée d’un point de vue personnel, temporel et géographique, de l’essentiel des données relatives au trafic et des données de localisation dont l’étendue correspond, en substance, à celle des données conservées dans les affaires ayant conduit à l’arrêt La Quadrature du net e.a. Partant, eu égard à cette jurisprudence, la Cour considère qu’une obligation de conservation des données telle que celle en cause en l’espèce ne peut être considérée comme étant une conservation ciblée des données.

Ensuite, s’agissant de la durée de conservation des données, la Cour rappelle qu’il ressort de la directive « vie privée et communications électroniques » (8) que la durée de conservation prévue par une mesure nationale imposant une obligation de conservation généralisée et indifférenciée est, certes, un facteur pertinent, parmi d’autres, afin de déterminer si le droit de l’Union s’oppose à une telle mesure, ladite directive exigeant que cette durée soit « limitée ». Toutefois, la gravité de l’ingérence découle du risque, notamment eu égard à leur nombre et à leur variété, que les données conservées, prises dans leur ensemble, permettent de tirer des conclusions très précises concernant la vie privée de la ou des personnes dont les données ont été conservées et, en particulier, fournissent les moyens d’établir le profil de la ou des personnes concernées, qui est une information tout aussi sensible, au regard du droit au respect de la vie privée, que le contenu même des communications. Partant, la conservation des données relatives au trafic ou des données de localisation présente en tout état de cause un caractère grave, indépendamment de la durée de la période de conservation, de la quantité ou de la nature des données conservées, lorsque l’ensemble de données conservées est susceptible de permettre de tirer de telles conclusions (9).

Enfin, ce qui concerne les garanties visant à protéger les données conservées contre les risques d’abus et contre tout accès illicite, la Cour relève, en se fondant sur la jurisprudence antérieure, que la conservation des données et l’accès à celles-ci constituent des ingérences distinctes dans les droits fondamentaux des personnes concernées, nécessitant une justification distincte. Il en découle qu’une législation nationale assurant le plein respect des conditions résultant de la jurisprudence en matière d’accès aux données conservées ne saurait, par nature, être susceptible ni de limiter ni même de remédier à l’ingérence grave dans les droits des personnes concernées qui résulterait de la conservation généralisée de ces données.

Par ailleurs, afin de répondre à des arguments présentés devant elle, la Cour relève, en premier lieu, qu’une menace pour la sécurité nationale doit être réelle et actuelle ou, à tout le moins, prévisible, ce qui suppose la survenance de circonstances suffisamment concrètes, pour pouvoir justifier une mesure de conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, pendant une durée limitée. Une telle menace se distingue donc, par sa nature, sa gravité et le caractère spécifique des circonstances qui la constituent, du risque général et permanent de survenance de tensions ou de troubles, même graves, à la sécurité publique ou celui d’infractions pénales graves. Ainsi, la criminalité, même particulièrement grave, ne peut être assimilée à une menace pour la sécurité nationale.

Elle relève, en second lieu, que le fait d’autoriser, aux fins de la lutte contre la criminalité grave, un accès à des données relatives au trafic et des données de localisation conservées de manière généralisée et indifférenciée, pour faire face à une menace grave pour la sécurité nationale, serait contraire à la hiérarchie des objectifs d’intérêt général pouvant justifier une mesure prise au titre de la directive « vie privée et communications électroniques » (10). En effet, ceci reviendrait à permettre que l’accès puisse être justifié par un objectif d’une importance moindre que celui ayant justifié la conservation, à savoir la sauvegarde de la sécurité nationale, ce qui risquerait de priver de tout effet utile l’interdiction de procéder à une conservation généralisée et indifférenciée aux fins de la lutte contre la criminalité grave.

La Cour conclut, en confirmant sa jurisprudence antérieure, que la directive « vie privée et communications électroniques », lue à la lumière de la Charte, s’oppose à des mesures législatives nationales prévoyant, à titre préventif, aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation.

En revanche, elle ne s’oppose pas à des mesures législatives nationales permettant, aux fins de la sauvegarde de la sécurité nationale, le recours à une injonction faite aux fournisseurs de services de communications électroniques de procéder à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, dans des situations où l’État membre concerné fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible. À cet égard, la Cour précise que la décision prévoyant cette injonction peut faire l’objet d’un contrôle effectif soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, visant à vérifier l’existence d’une de ces situations ainsi que le respect des conditions et des garanties devant être prévues, et ladite injonction ne pouvant être émise que pour une période temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de cette menace.

Cette directive, lue à la lumière de la Charte, ne s’oppose pas non plus à des mesures législatives nationales prévoyant, aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation ciblée des données relatives au trafic et des données de localisation qui soit délimitée, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique, pour une période temporellement limitée au strict nécessaire, mais renouvelable.

Il en est de même pour ce qui est des mesures législatives nationales prévoyant, aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion, pour une période temporellement limitée au strict nécessaire, ainsi que des données relatives à l’identité civile des utilisateurs de moyens de communications électroniques, dont il est constant que la conservation est susceptible de contribuer à la lutte contre la criminalité grave, pour autant que ces données permettent d’identifier les personnes ayant utilisé de tels moyens dans le contexte de la préparation ou de la commission d’un acte relevant de la criminalité grave.

Il n’en va pas différemment pour ce qui est des mesures législatives nationales permettant, aux fins de la lutte contre la criminalité grave et, a fortiori, de la sauvegarde de la sécurité nationale, le recours à une injonction faite aux fournisseurs de services de communications électroniques, au moyen d’une décision de l’autorité compétente soumise à un contrôle juridictionnel effectif, de procéder, pour une durée déterminée, à la conservation rapide des données relatives au trafic et des données de localisation dont disposent ces fournisseurs de services.

Cependant, la Cour indique que toutes les mesures susmentionnées doivent assurer, par des règles claires et précises, que la conservation des données en cause est subordonnée au respect des conditions matérielles et procédurales y afférentes et que les personnes concernées disposent de garanties effectives contre les risques d’abus. Ces différentes mesures peuvent, selon le choix du législateur national et tout en respectant les limites du strict nécessaire, être appliquées conjointement.

1 Arrêts du 8 avril 2014, Digital Rights Ireland e.a (C‑293/12 et C‑594/12, EU:C:2014:238), du 21 décembre 2016, Tele2 Sverige et Watson e.a. (C‑203/15 et C‑698/15, EU:C:2016:970), et du 2 octobre 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788).

2 Arrêt du 6 octobre 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791). Voir également l’arrêt rendu le même jour, Privacy International (C‑623/17, EU:C:2020:790) concernant la transmission généralisée et indifférenciée des données relatives au trafic et des données de localisation.

3 Dans cet arrêt, la Cour a jugé que l’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37, ci-après la « directive “vie privée et communications électroniques” »), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009 (JO 2009, L 337, p. 11), s’oppose à une réglementation nationale prévoyant la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation aux fins de la lutte contre la criminalité.

4 Dispositions combinées de l’article 113a, paragraphe 1, et de l’article 113b du Telekommunikationsgesetz (loi sur les télécommunications), du 22 juin 2004 (BGBl. 2004 I, p. 1190), dans sa version applicable au litige au principal.

5 Plus précisément, l’article 15, paragraphe 1, de la directive 2002/58.

6 Articles 6 à 8, 11 et 52, paragraphe 1, de la Charte.

7 Arrêt du 5 avril 2022, Commissioner of An Garda Síochána e.a. (C‑140/20, EU:C:2022:258).

8 Plus précisément, de l’article 15, paragraphe 1, deuxième phrase, de la directive 2002/58.

9 Voir, en ce qui concerne l’accès à de telles données, arrêt du 2 mars 2021, Prokuratuur (Conditions d’accès aux données relatives aux communications électroniques) (C‑746/18, EU:C:2021:152, point 39).

10 Cette hiérarchie est consacrée dans la jurisprudence de la Cour, et notamment dans l’arrêt La Quadrature du Net e.a., aux points 135 et 136. En vertu de cette hiérarchie, la lutte contre la criminalité grave est d’une importance moindre que la sauvegarde de la sécurité nationale.