CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. ANTHONY M. COLLINS
présentées le 8 juin 2023(1)
Affaire C‑178/22
Inconnus
en présence de :
Procura della Repubblica presso il Tribunale di Bolzano
[demande de décision préjudicielle formée par le Tribunale di Bolzano (tribunal de Bolzano, Italie)]
« Renvoi préjudiciel – Traitement des données à caractère personnel dans le secteur des communications électroniques – Confidentialité des communications – Fournisseurs de services de communications électroniques – Directive 2002/58/CE – Article 1er, paragraphe 3, et article 15, paragraphe 1 – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8 et 11 ainsi que article 52, paragraphe 1 – Demande d’accès aux données par le ministère public à des fins d’enquêtes et de poursuites d’une infraction de vol avec circonstances aggravantes d’un téléphone mobile – Définition de la notion de “criminalité grave” de nature à justifier une ingérence grave dans les droits fondamentaux – Portée du contrôle préalable visant à garantir le respect de l’exigence d’une infraction grave – Principe de proportionnalité »
I. Introduction
1. Le Procura della Repubblica presso il Tribunale di Bolzano (ministère public près le tribunal de Bolzano, Italie) [ci-après le « ministère public (Bolzano) »] demande au Tribunale di Bolzano (tribunal de Bolzano, Italie) d’autoriser l’accès aux données conservées par des fournisseurs de services de communications électroniques au titre du droit national, qui permet, notamment, de retrouver et d’identifier la source et la destination des communications à partir de téléphones mobiles.
2. Dans le cadre de cette demande, le Tribunale di Bolzano (tribunal de Bolzano) demande à la Cour de justice d’interpréter l’article 15, paragraphe 1, de la directive 2002/58/CE (2). Cette disposition permet aux États membres d’adopter des dérogations législatives à l’obligation, prévue par cette directive (3), de garantir la confidentialité des communications électroniques. Dans l’arrêt Prokuratuur (4), la Cour a jugé qu’un accès aux données qui permet de tirer des conclusions précises sur la vie privée d’un utilisateur, en application de mesures adoptées au titre de l’article 15, paragraphe 1, de la directive 2002/58, constitue une ingérence grave dans les droits et principes fondamentaux consacrés aux articles 7, 8 et 11 ainsi qu’à l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte ») (5). Un tel accès ne peut pas être autorisé à des fins de prévention, de recherche, de détection et de poursuite d’« infractions pénales en général ». Cet accès ne peut être accordé que dans le cadre de procédures visant à la lutte contre la « criminalité grave » (6) et doit être subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante afin de garantir le respect de cette exigence (7). Le Tribunale di Bolzano (tribunal de Bolzano) demande à la Cour de préciser deux aspects de l’arrêt Prokuratuur : la notion de « criminalité grave » et la portée du contrôle préalable qu’une juridiction doit effectuer au titre d’une disposition de droit national qui exige qu’elle autorise l’accès aux données conservées par des fournisseurs de services de communications électroniques.
II. Le cadre juridique
A. Le droit de l’Union
3. Aux termes de l’article 5 de la directive 2002/58, intitulé « Confidentialité des communications » :
« 1. Les États membres garantissent, par la législation nationale, la confidentialité des communications effectuées au moyen d’un réseau public de communications et de services de communications électroniques accessibles au public, ainsi que la confidentialité des données relatives au trafic y afférentes. En particulier, ils interdisent à toute autre personne que les utilisateurs d’écouter, d’intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d’interception ou de surveillance, sans le consentement des utilisateurs concernés sauf lorsque cette personne y est légalement autorisée, conformément à l’article 15, paragraphe 1. [...]
[...] »
4. L’article 6 de la directive 2002/58, intitulé « Données relatives au trafic », dispose :
« 1. Les données relatives au trafic concernant les abonnés et les utilisateurs traitées et stockées par le fournisseur d’un réseau public de communications ou d’un service de communications électroniques accessibles au public doivent être effacées ou rendues anonymes lorsqu’elles ne sont plus nécessaires à la transmission d’une communication sans préjudice des paragraphes 2, 3 et 5, du présent article ainsi que de l’article 15, paragraphe 1.
[...]
5. Le traitement des données relatives au trafic effectué conformément aux dispositions des paragraphes 1, 2, 3 et 4 doit être restreint aux personnes agissant sous l’autorité des fournisseurs de réseaux publics de communications et de services de communications électroniques accessibles au public qui sont chargées d’assurer la facturation ou la gestion du trafic, de répondre aux demandes de la clientèle, de détecter les fraudes et de commercialiser les services de communications électroniques ou de fournir un service à valeur ajoutée ; ce traitement doit se limiter à ce qui est nécessaire à de telles activités.
[...] »
5. L’article 9 de la directive 2002/58, intitulé « Données de localisation autres que les données relatives au trafic », prévoit :
« 1. Lorsque des données de localisation, autres que des données relatives au trafic, concernant des utilisateurs ou abonnés de réseaux publics de communications ou de services de communications électroniques accessibles au public ou des abonnés à ces réseaux ou services, peuvent être traitées, elles ne le seront qu’après avoir été rendues anonymes ou moyennant le consentement des utilisateurs ou des abonnés, dans la mesure et pour la durée nécessaires à la fourniture d’un service à valeur ajoutée. Le fournisseur du service doit informer les utilisateurs ou les abonnés, avant d’obtenir leur consentement, du type de données de localisation autres que les données relatives au trafic qui sera traité, des objectifs et de la durée de ce traitement, et du fait que les données seront ou non transmises à un tiers en vue de la fourniture du service à valeur ajoutée. Les utilisateurs ou les abonnés ont la possibilité de retirer à tout moment leur consentement pour le traitement des données de localisation autres que les données relatives au trafic.
[...] »
6. Aux termes de l’article 15, paragraphe 1, de la directive 2002/58 :
« Les États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l’article 8, paragraphes 1, 2, 3 et 4, et à l’article 9 de la présente directive lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la directive 95/46/CE (8). À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe. Toutes les mesures visées dans le présent paragraphe sont prises dans le respect des principes généraux du droit communautaire, y compris ceux visés à l’article 6, paragraphes 1 et 2, du traité sur l’Union européenne. »
B. Le droit italien
7. L’article 132, paragraphe 3, du decreto legislativo 30 giugno 2003, n. 196 – Codice in materia di protezione dei dati personali (décret législatif no 196, établissant un code en matière de protection des données à caractère personnel) (9), du 30 juin 2003, tel que récemment modifié par l’article 1er du decreto-legge 30 settembre 2021, n. 132 – Misure urgenti in materia di giustizia e di difesa, nonché proroghe in tema di referendum, assegno temporaneo e IRAP, convertito con modificazioni nella legge 23 novembre 2021, n. 178 (décret-loi no 132 – Mesures urgentes en matière de justice et de défense ainsi que prorogations en matière de référendum, d’allocation temporaire et d’IRAP (10), du 30 septembre 2021, converti, avec des modifications, en loi no 178, du 23 novembre 2021 (11)) (ci-après l’« article 132, paragraphe 3, du décret législatif no 196/2003 »), dispose :
« 3. Dans le délai de conservation imposé par la loi (c’est-à-dire 24 mois à dater de la communication), s’il existe des indices suffisants d’infractions pour lesquelles la loi prévoit la peine de la réclusion à perpétuité ou de la réclusion pour une durée maximale d’au moins 3 ans, déterminée conformément à l’article 4 du Codice di procedura penale [code de procédure pénale], et d’infractions de menace et de harcèlement ou nuisance contre les personnes par téléphone, lorsque la menace et le harcèlement sont graves, si elles sont pertinentes pour constater les faits, les données sont recueillies sur autorisation préalable délivrée par le juge par un décret motivé, sur réquisition du ministère public ou à la demande de la défense du prévenu, de la personne faisant l’objet de l’enquête, de la victime et des autres parties privées.
[...]
3 quater. Les données recueillies en violation des dispositions figurant aux paragraphes 3 et 3 bis ne peuvent pas être utilisées. »
8. Aux termes de l’article 4 du code de procédure pénale, intitulé « Règles de détermination de la compétence » :
« La compétence est déterminée en fonction de la peine prévue par la loi pour chaque infraction perpétrée ou tentée. Il n’est pas tenu compte de la continuation, de la récidive ni des circonstances de l’infraction, à l’exception des circonstances aggravantes pour lesquelles la loi prévoit une peine d’une autre espèce que celle qui est prévue ordinairement pour l’infraction et des circonstances à effet spécial. »
9. Selon la juridiction de renvoi, le ministère public peut poursuivre d’office l’infraction de vol avec circonstances aggravantes (12). L’article 625 du Codice penale (code pénal) prévoit que la personne coupable d’un vol avec circonstances aggravantes est passible d’une peine spéciale, à savoir la réclusion de deux à six ans, et d’une amende de 927 à 1 500 euros. L’article 624 du code pénal dispose que la personne coupable de vol simple, qui peut être poursuivie sur plainte de la personne victime du vol, est passible d’une peine de réclusion de six mois à trois ans et d’une amende de 154 à 516 euros.
III. Le litige au principal et la question préjudicielle
10. Le ministère public (Bolzano) a engagé, en application des articles 624 et 625 du code pénal, deux procédures pénales contre des auteurs inconnus pour une infraction de vol avec circonstances aggravantes d’un téléphone mobile (13). Afin de retrouver les auteurs, le ministère public (Bolzano) a demandé à la juridiction de renvoi, au titre de l’article 132, paragraphe 3, du décret législatif no 196/2003, « l’autorisation de recueillir auprès de toutes les compagnies téléphoniques toutes les données en leur possession, suivant une méthode de traçage et de localisation (plus particulièrement les abonnés et le cas échéant les codes IMEI [des appareils] appelés ou appelants, les sites visités et atteints, le moment et la durée de l’appel ou de la connexion et l’indication des parties de réseaux ou répartiteurs concernés, les abonnés et les codes IMEI [des appareils] expéditeurs et destinataires des SMS ou MMS et, si possible, les données d’identité des titulaires respectifs) des conversations et communications téléphoniques et des connexions effectuées, y compris en itinérance, entrantes ou sortantes même si les appels ne sont pas facturés (simple sonnerie sans réponse) depuis la date du vol jusqu’à la date de rédaction de la demande ».
11. La juridiction de renvoi a des doutes quant à la compatibilité de l’article 132, paragraphe 3, du décret législatif no 196/2003 avec l’article 15, paragraphe 1, de la directive 2002/58 tel qu’interprété dans l’arrêt Prokuratuur. Elle note que, le 7 septembre 2021, la Corte suprema di cassazione (Cour de cassation, Italie) (14) a conclu que, les juridictions nationales disposant d’une marge d’appréciation pour déterminer les infractions constituant des « menaces graves contre la sécurité publique ou d’autres formes graves de criminalité », l’arrêt Prokuratuur n’était pas applicable directement par les juridictions nationales. À la suite de l’arrêt de la Corte suprema di cassazione (Cour de cassation), le législateur italien a adopté le décret-loi no 132 du 30 septembre 2021, dont l’article 132, paragraphe 3, qualifie les infractions pénales graves aux fins de l’obtention de relevés téléphoniques, entre autres, d’infractions punissables par la loi « de la réclusion pour une durée maximale d’au moins trois ans ».
12. Selon la juridiction de renvoi, le seuil prévu à l’article 132, paragraphe 3, du décret législatif no 196/2003 pour qualifier une infraction d’infraction pénale grave inclut les infractions causant un trouble social limité et qui ne peuvent être poursuivies que sur plainte d’un particulier (15). L’accès aux relevés téléphoniques peut ainsi être obtenu en vertu de cette disposition en cas de vol, même de valeur minime, comme le vol d’un téléphone mobile ou d’une bicyclette. Le seuil prévu à l’article 132, paragraphe 3, du décret législatif no 196/2003 méconnaît ainsi le principe de proportionnalité au titre de l’article 52, paragraphe 1, de la Charte, qui exige que, dans tous les cas, la gravité de l’infraction faisant l’objet de l’enquête soit mise en balance avec une limitation de la jouissance d’un droit fondamental. La poursuite de telles infractions mineures ne justifie pas de limiter la jouissance des droits fondamentaux au respect de la vie privée, à la protection des données à caractère personnel et à la liberté d’expression et d’information (16).
13. La juridiction de renvoi explique que les juridictions italiennes disposent d’une marge d’appréciation très restreinte pour refuser l’accès aux relevés téléphoniques, étant donné que l’autorisation doit être accordée dès lors qu’il existe des « indices suffisants d’infraction » et qu’une telle autorisation est « pertinente pour constater [les faits] ». Ces juridictions n’ont, notamment, aucune compétence pour évaluer la gravité de l’infraction faisant l’objet de l’enquête. Le législateur a procédé à cette appréciation lorsqu’il a prévu, de manière générale et sans distinction entre différents types d’infractions, que l’accès aux relevés téléphoniques doit être accordé, notamment, pour la recherche de toutes les infractions passibles de la peine de la réclusion pour une durée maximale d’au moins trois ans.
14. Dans ces circonstances, le Tribunale di Bolzano (tribunal de Bolzano) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :
« L’article 15, paragraphe 1, de la [directive 2002/58] s’oppose-t-il à la législation nationale figurant à [l’article 132, paragraphe 3, du décret législatif no 196/2003] qui [...] dispose ce qui suit :
“Dans le délai de conservation imposé par la loi, s’il existe des indices suffisants d’infractions pour lesquelles la loi prévoit la peine de la réclusion à perpétuité ou de la réclusion pour une durée maximale d’au moins trois ans, déterminée conformément à l’article 4 du [code de procédure pénale], et d’infractions de menace et de harcèlement contre les personnes par téléphone, lorsque la menace et le harcèlement sont graves, si elles sont pertinentes pour constater les faits, les données sont recueillies sur autorisation préalable délivrée par le juge par un décret motivé, sur réquisition du ministère public ou à la demande de la défense du prévenu, de la personne faisant l’objet de l’enquête, de la victime et des autres parties privées” ? »
IV. La procédure devant la Cour
15. Les gouvernements italien, tchèque, estonien, irlandais, français, chypriote, hongrois, néerlandais, autrichien et polonais, ainsi que la Commission européenne, ont présenté des observations écrites.
16. Ces mêmes parties ainsi que le ministère public (Bolzano) ont été entendus en leurs plaidoiries et en leurs réponses aux questions de la Cour lors de l’audience du 21 mars 2023.
V. Appréciation
A. Sur la recevabilité
17. Les gouvernements italien et irlandais soutiennent qu’une partie de la demande de décision préjudicielle est irrecevable. Selon les faits exposés dans la décision de renvoi, la demande d’accès a été formulée dans le cadre d’enquêtes sur des infractions de vol d’un téléphone mobile avec circonstances aggravantes. Le gouvernement irlandais souligne que le ministère public peut poursuivre cette infraction d’office. Ce pouvoir reflète le point de vue selon lequel la nature et les effets de l’infraction affectent la société de manière générale. La demande de décision préjudicielle présente ainsi un caractère hypothétique dans la mesure où elle vise également des infractions pénales qui ne peuvent être poursuivies que sur plainte d’un particulier. Le gouvernement italien relève que la juridiction de renvoi mentionne une série d’infractions qui sont sans pertinence dans les affaires dont elle est saisie. Le gouvernement italien et la Commission font valoir que, contrairement à la référence dans la décision de renvoi à une « peine de réclusion pour une durée maximale d’au moins trois ans », l’article 625 du code pénal prévoit, pour l’infraction de vol avec circonstances aggravantes, la réclusion pour une durée de deux à six ans. La Commission propose dès lors à la Cour de reformuler la question. Le gouvernement français demande également à la Cour de reformuler la question. Il estime que, si la Cour peut interpréter des dispositions du droit de l’Union, elle n’est pas compétente pour apprécier la compatibilité de dispositions du droit national avec le droit de l’Union.
18. La question de la juridiction de renvoi invite littéralement la Cour à se prononcer sur la compatibilité d’une disposition de droit national avec le droit de l’Union. Cela n’empêche pas la Cour, en soi, de fournir à la juridiction de renvoi une interprétation du droit de l’Union, en l’occurrence l’article 15, paragraphe 1, de la directive 2002/58, qui lui permettra de statuer sur la compatibilité avec cette disposition de toute règle de droit interne en cause dans le litige dont elle est saisie (17).
19. Il ressort de la demande de décision préjudicielle que le ministère public (Bolzano) a sollicité l’accès aux données, notamment, pour enquêter et poursuivre deux incidents d’infractions de vol avec circonstances aggravantes d’un téléphone mobile au titre de l’article 625 du code pénal. Dans ces conditions, les références que cette demande fait à d’autres infractions, dont celles de l’article 624 du code pénal (vol simple) (18), ne sont pas pertinentes pour statuer sur les demandes pendantes devant la juridiction de renvoi (19). Dans la mesure où la question préjudicielle porte sur la demande du ministère public (Bolzano) d’autoriser l’accès à des données aux fins d’enquêtes sur la commission d’infractions de vol avec circonstances aggravantes, elle n’est pas hypothétique. Je limiterai donc mon appréciation de l’application de l’article 132, paragraphe 3, du décret législatif no 196/2003 aux faits décrits par la juridiction de renvoi qui concernent des infractions de vol avec circonstances aggravantes d’un téléphone mobile.
B. Sur le fond
1. Considérations liminaires
20. Le présent renvoi trouve son origine dans une demande du ministère public (Bolzano) d’autoriser l’accès à des données conservées par des fournisseurs de services de communications électroniques. Il ne porte pas sur la conservation de ces données ou sur la licéité de celle-ci au titre, notamment, de l’article 15, paragraphe 1, de la directive 2002/58 (20). Les données sont constituées des informations relatives aux communications entrantes et sortantes (21) effectuées avec les téléphones mobiles volés ainsi que des données de localisation (22). Bien que les données ne comprennent pas le contenu des communications, elles permettent de tirer des conclusions précises sur la vie privée des personnes dont les données sont concernées, et dont l’accès semble constituer une ingérence « grave » dans leurs droits fondamentaux (23). L’ingérence que comporte l’accès à ces données peut être justifiée par l’objectif (24), visé à l’article 15, paragraphe 1, première phrase, de la directive 2002/58, de prévention, de recherche, de détection et de poursuite d’« infractions pénales graves », mais pas d’infractions pénales en général. En interprétant l’article 15, paragraphe 1, de la directive 2002/58, la Cour met en relation la gravité de l’ingérence dans les droits fondamentaux d’une personne avec la gravité de l’infraction pénale faisant l’objet de l’enquête (25).
2. Sur la compétence des États membres pour définir les « infractions pénales graves »
21. La directive 2002/58 régit les activités des fournisseurs de services de communications électroniques en matière de traitement des données à caractère personnel (26). L’article 1er, paragraphe 3, de cette directive exclut expressément du champ d’application de ladite directive les activités de l’État dans des domaines déterminés tels que la sécurité publique, la défense, la sûreté de l’État et le droit pénal. Les activités visées à l’article 15, paragraphe 1, de la directive 2002/58 recoupent substantiellement celles décrites à l’article 1er, paragraphe 3, de cette directive et incluent les activités de l’État dans le domaine du droit pénal qui sont exclues expressément du champ d’application de la directive 2002/58 (27). Il existe donc un lien manifeste entre les activités de l’État qui sont exclues du champ d’application de la directive 2002/58 par l’article 1er, paragraphe 3, de celle-ci et les mesures législatives que les États membres peuvent adopter en vertu de l’article 15, paragraphe 1, de cette directive (28).
22. Nonobstant ce lien manifeste, il est de jurisprudence constante que, dès lors que l’article 15, paragraphe 1, de la directive 2002/58 autorise expressément les États membres à adopter les mesures législatives nationales qui y sont décrites, de telles mesures relèvent du champ d’application de cette directive. Il ressort de cette jurisprudence que la notion d’« activités », y compris les « activités de l’État dans des domaines relevant du droit pénal », figurant à l’article 1er, paragraphe 3, de la directive 2002/58, ne comprend pas les mesures législatives visées à l’article 15, paragraphe 1, de cette directive (29).
23. Ni l’article 2 de la directive 2002/58, qui contient plusieurs définitions aux fins de l’application de cette directive, ni aucune autre disposition de la directive 2002/58, y compris l’article 15, paragraphe 1, ne définissent la notion d’« infractions pénales ». La directive 2002/58 ne contient aucune énumération des « infractions pénales » (30). Par ailleurs, la jurisprudence interprétant l’article 15, paragraphe 1, de la directive 2002/58 ne définit pas cette notion (31).
24. Malgré l’absence de telles définitions, la directive 2002/58 ne prévoit pas que chaque État membre définit les « infractions pénales » conformément à son droit national (32). Selon une jurisprudence constante de la Cour, il découle des exigences, tant de l’application uniforme du droit de l’Union que du principe d’égalité, qu’une disposition du droit de l’Union qui ne comporte aucun renvoi exprès au droit des États membres pour déterminer son sens et sa portée doit normalement trouver, dans toute l’Union, une interprétation autonome et uniforme. Dans le cadre de l’interprétation de l’article 15, paragraphe 1, de la directive 2002/58, la notion d’« infractions pénales » peut, à tout le moins en principe, être considérée comme étant une notion autonome du droit de l’Union qui doit être interprétée de manière uniforme sur le territoire de l’ensemble des États membres (33).
25. Les dix États membres ayant présenté des observations à la Cour ainsi que la Commission sont toutefois d’avis unanime qu’il appartient à chaque État membre de définir les « infractions pénales », y compris les infractions graves, visées à l’article 15, paragraphe 1, de la directive 2002/58, par référence à son droit national.
26. Je partage cette argumentation pour les raisons suivantes.
27. Premièrement, la Cour a déjà précisé que, dans le cadre de l’article 15, paragraphe 1, de la directive 2002/58, il appartient aux États membres de définir leurs intérêts essentiels de sécurité et d’arrêter les mesures propres à assurer leur sécurité intérieure et extérieure (34). Si elle ne l’a pas expressément jugé, la Cour semble ainsi avoir considéré que la notion de « sécurité nationale » figurant à l’article 15, paragraphe 1, de la directive 2002/58 n’est pas une notion autonome du droit de l’Union, malgré l’absence de définition de cette notion ou de renvoi exprès au droit des États membres (35). Je ne vois aucune raison pour laquelle cette approche ne devrait pas s’appliquer au pouvoir qu’ont les États membres de définir les « infractions pénales » ou les « infractions pénales graves » aux fins de l’article 15, paragraphe 1, de la directive 2002/58. Les notions d’« infractions pénales », de « sécurité publique » et de « sécurité nationale » qui figurent dans cette disposition peuvent être considérées comme étant noscitur a sociis dès lors qu’il apparaît que l’intention du législateur de l’Union était que chacune de ces notions soit traitée de la même façon, y compris en ce qui concerne la manière de les définir (36).
28. Deuxièmement, l’article 4, paragraphe 2, TUE impose à l’Union de respecter l’identité nationale des États membres, inhérente à leur structure fondamentale politique et constitutionnelle. Le préambule de la Charte reconnaît également que, si l’Union contribue à la préservation et au développement de valeurs communes, elle respecte, notamment, la diversité des cultures et des traditions des peuples d’Europe. La définition des infractions pénales et des sanctions (37) reflète les sensibilités et traditions nationales qui varient considérablement non seulement entre les États membres, mais aussi dans le temps parallèlement aux changements sociétaux (38).
29. Il peut être observé dans ce contexte que, lorsqu’ils définissent les infractions pénales et les sanctions, les États membres tiennent compte, à des degrés divers, de différents facteurs. L’appréciation par un État membre de la « gravité » d’une infraction donnée est souvent, voire invariablement, reflétée dans la gravité de la peine infligée. La durée d’une peine privative de liberté peut refléter l’analyse d’un certain nombre de facteurs, dont la « gravité » intrinsèque perçue d’une infraction et sa « gravité » relative par rapport à d’autres infractions. Aucun motif n’a été avancé quant aux raisons pour lesquelles les États membres ne devraient pas exercer cette compétence ni, d’ailleurs, pourquoi une approche différente devrait s’appliquer à la définition des notions d’« infractions pénales », d’« infractions pénales graves » ou d’« infractions pénales en général » dans le contexte particulier qui fait l’objet du présent examen.
30. La compétence des États membres dans le domaine du droit pénal est sans préjudice de celle dont dispose l’Union, dans certains cas, d’établir, par exemple, des règles minimales relatives à la définition des infractions pénales et des sanctions dans des domaines de criminalité particulièrement grave revêtant une dimension transfrontalière résultant du caractère ou des incidences de ces infractions ou d’un besoin particulier de les combattre sur des bases communes (39). Le législateur de l’Union n’a toutefois pas établi de règles régissant la définition des infractions pénales à l’article 15, paragraphe 1, de la directive 2002/58 (40). En effet, comme indiqué précédemment (41), il ressort clairement du libellé de l’article 1er, paragraphe 3, de la directive 2002/58 que, en adoptant cette directive, le législateur de l’Union n’avait pas l’intention d’exercer une compétence relevant du droit pénal.
31. Ces deux raisons suffisent à expliquer pourquoi, nonobstant le fait que les mesures législatives nationales adoptées en vertu de l’article 15, paragraphe 1, de la directive 2002/58 pour les enquêtes et les poursuites en matière d’infractions pénales relèvent du champ d’application de cette mesure, les États membres demeurent compétents pour définir les « infractions pénales », y compris les « infractions pénales graves », et pour établir les sanctions qui s’appliquent lorsque de telles infractions sont commises (42).
3. Sur le critère de contrôle applicable à l’exercice de la faculté prévue à l’article 15, paragraphe 1, de la directive 2002/58 de déroger au principe de confidentialité
32. La Cour a souligné que la faculté de déroger (43), notamment, au principe de confidentialité prévu à l’article 5, paragraphe 1, de la directive 2002/58 est d’interprétation stricte afin qu’elle ne devienne pas la règle générale, vidant ainsi ce principe de sa portée (44). Partant, l’exercice de cette faculté doit respecter, notamment, les principes d’équivalence (45) et d’effectivité (46). Il doit également respecter les principes généraux du droit de l’Union, y compris le principe de proportionnalité (47), ainsi que les articles 7, 8 et 11 (48) et l’article 52, paragraphe 1, de la Charte (49). L’objectif de lutte contre la criminalité grave doit toujours être concilié avec la jouissance des droits fondamentaux ainsi affectés. Les droits consacrés aux articles 7, 8 et 11 de la Charte n’apparaissent pas comme étant des prérogatives absolues et leur exercice doit être pris en considération par rapport à leur fonction dans la société (50). L’article 52, paragraphe 1, de la Charte prévoit par conséquent que les limitations à l’exercice de ces droits, telles qu’elles sont prévues par la loi, doivent respecter le contenu essentiel desdits droits et, dans le respect du principe de proportionnalité, elles doivent être nécessaires et répondre effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui. Les mesures législatives nationales adoptées au titre de l’article 15, paragraphe 1, de la directive 2002/58 doivent donc répondre effectivement et strictement à l’un des objectifs énoncés à cette disposition. Elles doivent être fondées sur des critères objectifs, être légalement contraignantes et prévoir des règles claires et précises indiquant sous quelles conditions matérielles et procédurales les fournisseurs de services de communications électroniques doivent accorder aux autorités nationales compétentes l’accès aux données (51).
33. Aux fins de garantir, en pratique, le plein respect de ces conditions, l’accès des autorités nationales compétentes aux données conservées doit, en principe (52), être subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante (53), à la suite d’une demande motivée de ces autorités et à l’information des personnes concernées (54). Il est de jurisprudence constante que, dans le cadre de ce contrôle préalable, une juridiction ou une entité administrative indépendante doit assurer une conciliation des différents intérêts et droits en cause afin d’assurer un juste équilibre entre les exigences de l’enquête et la nécessité de garantir les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel des personnes concernées (55).
34. En l’occurrence, l’article 132, paragraphe 3, du décret législatif no 196/2003 établit les conditions dans lesquelles une juridiction nationale doit ordonner aux fournisseurs de services de communications électroniques d’accorder au ministère public l’accès aux données à la demande de ce dernier. Il est constant (56) que l’article 132, paragraphe 3, du décret législatif no 196/2003 énonce de manière claire et précise les circonstances et les conditions dans lesquelles une juridiction nationale peut ordonner aux fournisseurs de services de communications électroniques d’accorder un tel accès. La juridiction de renvoi est toutefois d’avis que la peine de la « réclusion pour une durée maximale d’au moins trois ans » est excessivement large dès lors qu’elle fait entrer dans son champ d’application des infractions telles que le vol simple qui ne causent que peu de menaces pour la société.
35. Si l’article 132, paragraphe 3, du décret législatif no 196/2003 couvre potentiellement un large éventail d’infractions pénales, la Cour ne dispose d’aucun élément dans le cadre de la présente procédure prouvant qu’il englobe un nombre d’infractions à ce point important que l’accès aux données en vertu de cette disposition deviendrait la règle plutôt que l’exception (57). Le seuil de la peine de la réclusion pour une durée maximale d’au moins trois ans prévu à ladite disposition n’apparaît pas excessivement bas (58). Par analogie, l’article 3, point 9, de la directive 2016/681 (59) définit les « formes graves de criminalité » comme étant « les infractions énumérées à l’annexe II qui sont passibles d’une peine privative de liberté ou d’une mesure de sûreté d’une durée maximale d’au moins trois ans au titre du droit national d’un État membre » (60). La Cour a toutefois jugé que, dans la mesure où l’article 3, point 9, de la directive 2016/681 se réfère non pas à la peine minimale applicable, mais à la peine maximale applicable, il n’est pas exclu que les données en cause « puissent faire l’objet d’un traitement à des fins de lutte contre des infractions qui, bien qu’elles remplissent le critère prévu par cette disposition relatif au seuil de gravité, relèvent, compte tenu des spécificités du système pénal national, non pas des formes graves de criminalité, mais de la criminalité ordinaire » (61).
36. La peine de trois ans prévue à l’article 132, paragraphe 3, du décret législatif no 196/2003 se réfère à la peine maximale applicable et pourrait ainsi s’appliquer à des infractions telles que le vol simple (62). Il convient donc d’examiner comment l’article 132, paragraphe 3, du décret législatif no 196/2003 est appliqué en pratique. Sous réserve de vérification par la juridiction de renvoi, l’article 132, paragraphe 3, du décret législatif no 196/2003 semble établir deux critères différents de contrôle préalable par une juridiction nationale en fonction de la nature des infractions faisant l’objet de l’enquête.
37. Le premier de ces critères de contrôle impose (63) aux juridictions nationales d’autoriser le ministère public à accéder aux données conservées par des fournisseurs de services de communications électroniques si ces données sont pertinentes aux fins d’établir les faits et s’il existe des indices suffisants d’une infraction consistant à menacer et à harceler ou à perturber des personnes par téléphone, lorsque la menace ou la perturbation est grave. Le juge national doit donc procéder à une appréciation individuelle du caractère grave de l’infraction en cause et vérifier si l’enquête et les poursuites de cette infraction nécessitent une limitation des droits généraux consacrés aux articles 7, 8 et 11 de la Charte ainsi que des droits spécifiques figurant aux articles 5, 6 et 9 de la directive 2002/58. Ce critère exige une appréciation individuelle dans un cas donné de la question de savoir si l’ingérence dans ces droits est proportionnée à l’objectif d’intérêt public de lutte contre la criminalité.
38. En revanche, le second critère de contrôle, qui est pertinent dans le cadre de la présente procédure, impose (64) aux juridictions nationales d’autoriser le ministère public à accéder aux données conservées par des fournisseurs de services de communications électroniques si ces données sont pertinentes aux fins d’établir les faits et s’il existe des indices suffisants d’une infraction passible, notamment, d’une peine de réclusion pour une durée maximale d’au moins trois ans. Dans ce cas, le rôle du juge national se limite à vérifier si ces exigences objectives sont remplies sans avoir la possibilité de procéder à une appréciation individuelle ou in concreto des intérêts en cause en l’espèce (65). Le contrôle effectué par le juge national au titre de l’article 132, paragraphe 3, du décret législatif no 196/2003 est ainsi détaché de tout lien réel avec les circonstances spécifiques de l’affaire dont il est saisi.
39. Si les juridictions nationales peuvent ne pas être compétentes pour examiner la définition, par le législateur, des infractions ou pour examiner la décision du législateur quant à la gravité de ces infractions (66), ces juridictions doivent néanmoins être compétentes pour procéder à une appréciation individuelle de la question de savoir si l’octroi de l’accès, en vertu de mesures législatives adoptées au titre de l’article 15, paragraphe 1, de la directive 2002/58, à des données sensibles permettant de tirer des conclusions précises sur la vie privée d’un utilisateur, constituant ainsi une ingérence grave dans les droits fondamentaux consacrés aux articles 7, 8 et 11 ainsi qu’à l’article 52, paragraphe 1, de la Charte, est proportionné.
40. Il s’ensuit que, conformément aux mesures adoptées au titre de l’article 15, paragraphe 1, de la directive 2002/58, l’accès à des données sensibles ne peut être accordé que si, premièrement, l’infraction en cause atteint le seuil de gravité préalablement déterminé par le législateur national et, deuxièmement, une juridiction ou une autre entité administrative indépendante estime, à la suite d’une appréciation ou d’un examen individuel, que l’ingérence dans les droits fondamentaux que comporte un tel accès est proportionnée, compte tenu de l’objectif d’intérêt général de lutte contre la criminalité dans un cas particulier. Dans certains cas, toutefois, l’accès à ces données peut ne pas être accordé, même lorsque l’infraction atteint le seuil de gravité défini dans le droit national.
41. L’infraction de vol avec circonstances aggravantes en cause en l’espèce est considérée comme étant « grave » en droit national puisqu’elle est passible, notamment, d’une peine de réclusion pour une durée de deux à six ans, respectant ainsi le seuil de gravité prévu à l’article 132, paragraphe 3, du décret législatif no 196/2003 (67). Lorsqu’elles appliquent des mesures adoptées au titre de l’article 15, paragraphe 1, de la directive 2002/58, les juridictions italiennes ne semblent pas compétentes pour remettre en cause la qualification d’« infraction grave » du vol avec circonstances aggravantes en droit national. Lorsque le seuil établi par le droit national n’est pas atteint, la juridiction de renvoi ne peut donc pas accorder l’accès demandé aux données (68).
42. Lorsque le seuil établi par le législateur national est atteint, la juridiction de renvoi doit, en application de l’article 15, paragraphe 1, de la directive 2002/58, examiner si, au regard de l’ensemble des circonstances propres au cas d’espèce, l’ingérence dans les droits fondamentaux qu’implique le fait de rendre plus facile l’accès à des données sensibles est proportionnée à l’objectif d’intérêt général de lutte contre cette infraction. La juridiction de renvoi doit, à cet égard, tenir compte de, et évaluer, tous les droits et intérêts pertinents, y compris, notamment, les dommages causés aux droits de propriété des victimes protégés par l’article 17 de la Charte ainsi que le fait que les téléphones mobiles peuvent contenir des informations très sensibles relatives à la vie privée, professionnelle et financière de leur propriétaire (69). L’accès aux données en cause peut être le seul moyen efficace disponible pour enquêter sur les infractions concernées et engager des poursuites et pour s’assurer que leurs auteurs, encore inconnus, n’agissent pas impunément. Les droits des tiers (70) doivent également être pris en compte.
43. En ce qui concerne les droits des tiers, il ressort (71) des dossiers de la juridiction de renvoi que le ministère public (Bolzano) a sollicité l’accès aux données relatives aux communications provenant des téléphones mobiles volés à compter du 29 octobre 2021 pour le premier vol commis le 27 octobre 2021 (72) et du 20 novembre 2021 pour le second vol commis à cette date (73). Ces dates montrent que les demandes d’accès empiètent, dans une mesure très limitée, sur les droits des victimes garantis, notamment, par les articles 7, 8 et 11 de la Charte (74). Le gouvernement italien a par ailleurs indiqué dans ses observations écrites que la procédure nationale porte uniquement sur des données utiles à l’identification des auteurs des infractions de vol en cause. Dans l’hypothèse de l’identification d’appels à destination ou en provenance de tiers non liés à l’infraction de vol, ces données seraient détruites, conformément à l’article 269 du code de procédure pénale (75). Enfin, l’article 132, paragraphe 3 quater, du décret législatif no 196/2003 prévoit que les données recueillies en violation des paragraphes 3 et 3 bis dudit article ne peuvent pas être utilisées (76).
VI. Conclusion
44. Eu égard aux considérations qui précèdent, je propose à la Cour de répondre en ces termes à la question posée par le Tribunale di Bolzano (tribunal de Bolzano, Italie) à titre préjudiciel :
L’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, et les articles 7, 8 et 11 ainsi que l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne doivent être interprétés en ce sens que :
ils ne s’opposent pas à une législation nationale qui impose au juge d’autoriser le ministère public à accéder aux données légalement conservées par des fournisseurs de services de communications électroniques et qui permettent de tirer des conclusions précises sur la vie privée d’un utilisateur, si ces données sont pertinentes aux fins d’établir les faits et s’il existe des indices suffisants d’une infraction grave au sens du droit national, laquelle est passible d’une peine de réclusion pour une durée maximale d’au moins trois ans. Préalablement à l’octroi de l’accès, la juridiction nationale doit procéder à une appréciation individuelle de la question de savoir si l’ingérence dans les droits fondamentaux qu’un tel accès implique est proportionnée au regard, notamment, de la gravité de l’infraction concernée et des faits de l’espèce.