Affaire C‑178/22
Inconnus
(demande de décision préjudicielle,
introduite par Tribunale di Bolzano/Landesgericht Bozen)
Arrêt de la Cour(grande chambre) du 30 avril 2024
« Renvoi préjudiciel – Traitement des données à caractère personnel dans le secteur des communications électroniques – Confidentialité des communications – Fournisseurs de services de communications électroniques – Directive 2002/58/CE – Article 15, paragraphe 1 – Articles 7, 8 et 11 ainsi que article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne – Accès à ces données demandé par une autorité nationale compétente à des fins de poursuites d’infractions de vols avec circonstances aggravantes – Définition de la notion d’“infraction grave” dont la poursuite est susceptible de justifier une ingérence grave dans les droits fondamentaux – Compétence des États membres – Principe de proportionnalité – Étendue du contrôle préalable du juge sur les demandes d’accès aux données conservées par les fournisseurs de services de communications électroniques »
1. Rapprochement des législations – Secteur des télécommunications – Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques – Directive 2002/58 – Faculté pour les États membres de limiter la portée de certains droits et obligations – Réglementation nationale permettant aux autorités nationales d’accéder aux données relatives au trafic et à la localisation à des fins de lutte contre la criminalité grave – Accès à ces données à des fins de poursuites d’infractions de vols avec circonstances aggravantes – Existence d’une ingérence grave dans les droits au respect de la vie privée et à la protection des données à caractère personnel – Critères d’appréciation – Durée de la période d’accès aux données – Demande d’accès aux données des utilisateurs de services de communications électroniques n’ayant pas la qualité d’abonné à ces services – Absence de pertinence
[Charte des droits fondamentaux de l’Union européenne, art. 7 et 8 ; directive du Parlement européen et du Conseil 2002/58, telle que modifiée par la directive 2009/136, art. 2, a), 5, § 1, et 15, § 1]
(voir points 36, 39-41)
2. Rapprochement des législations – Secteur des télécommunications – Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques – Directive 2002/58 – Faculté pour les États membres de limiter la portée de certains droits et obligations – Réglementation nationale permettant aux autorités nationales d’accéder aux données relatives au trafic et à la localisation à des fins de lutte contre la criminalité grave – Accès à ces données à des fins de poursuites d’infractions de vols avec circonstances aggravantes – Notion d’infraction grave – Compétence des États membres pour définir cette notion – Limites – Respect du principe de proportionnalité – Vérification dans le cadre du contrôle préalable effectué par une juridiction ou par une entité administrative indépendante – Étendue dudit contrôle
(Charte des droits fondamentaux de l’Union européenne, art. 7, 8, 11 et 52, § 1 ; directive du Parlement européen et du Conseil 2002/58, telle que modifiée par la directive 2009/136, art. 15, § 1)
(voir points 44-51, 54-63 et disp.)
Résumé
Saisie à titre préjudiciel par le Giudice delle indagini preliminari presso il Tribunale di Bolzano (juge des enquêtes préliminaires du tribunal de Bolzano, Italie), la grande chambre de la Cour précise à qui il incombe de définir la notion d’« infraction grave », aux fins de l’application de l’article 15, paragraphe 1, de la directive « vie privée et communications électroniques » (1). En outre, elle se prononce sur l’étendue du contrôle préalable du juge national sur les demandes d’accès aux données conservées par les fournisseurs de services de communications électroniques.
À la suite de deux vols de téléphone mobile, la Procura della Repubblica presso il Tribunale di Bolzano (parquet près le tribunal de Bolzano, Italie) a engagé deux procédures pénales contre des auteurs inconnus pour des infractions de vol avec circonstances aggravantes. Afin d’identifier les auteurs de ces vols, ce parquet a, sur le fondement d’une disposition de droit national (2), demandé à la juridiction de renvoi l’autorisation de recueillir auprès des compagnies téléphoniques les relevés téléphoniques des téléphones volés.
Nourrissant des doutes quant à la compatibilité de cette disposition nationale, qui prévoit que la peine maximale de réclusion d’au moins trois ans, dont est punie une infraction, peut justifier la communication de relevés téléphoniques aux autorités publiques, avec la directive « vie privée et communications électroniques », lue à la lumière de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »), la juridiction de renvoi a interrogé la Cour sur l’interprétation de cette directive.
Appréciation de la Cour
En premier lieu, s’agissant de la nature de l’ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel (3), causée par l’accès à des relevés téléphoniques, la Cour estime que cette ingérence est susceptible d’être qualifiée de grave et que, par conséquent, un tel accès ne peut être accordé que dans le contexte de la lutte contre la criminalité grave. La Cour note qu’aux fins d’apprécier l’existence d’une ingérence grave dans ces droits fondamentaux, la circonstance que les données auxquelles l’accès a été demandé ne seraient pas celles des propriétaires des téléphones mobiles en cause, mais celles des personnes ayant utilisé ces téléphones après leurs vols présumés, est dépourvue de pertinence. En effet, il ressort de la directive « vie privée et communications électroniques » (4) que l’obligation de principe de garantir la confidentialité des communications électroniques ainsi que la confidentialité des données relatives au trafic y afférentes vise les communications effectuées par les utilisateurs du réseau public de communications. Or, cette directive définit la notion d’« utilisateur » comme toute personne physique utilisant un service de communications électroniques accessible au public sans être nécessairement abonnée à ce service.
En deuxième lieu, en ce qui concerne la définition de la notion d’« infraction grave », la Cour rappelle que, dans la mesure où l’Union n’a pas légiféré en la matière, la législation pénale et les règles de la procédure pénale relèvent de la compétence des États membres. Ceux-ci doivent toutefois exercer cette compétence dans le respect du droit de l’Union.
À cet égard, elle observe que la définition des infractions pénales, des circonstances atténuantes et aggravantes et des sanctions reflète tant les réalités sociales que les traditions juridiques qui varient non seulement entre les États membres, mais aussi dans le temps. Or, ces réalités et traditions revêtent une importance certaine pour déterminer les infractions graves.
Partant, compte tenu de la répartition des compétences entre l’Union et les États membres et des différences importantes entre les systèmes juridiques nationaux dans le domaine pénal, il incombe aux États membres de définir les « infractions graves ».
Toutefois, la Cour souligne que cette définition des « infractions graves » doit respecter les exigences qui découlent de la directive « vie privée et communications électroniques » (5), lue à la lumière de la Charte (6). Il s’ensuit que les États membres ne sauraient dénaturer la notion d’« infraction grave » et, par extension, celle de « criminalité grave », en y incluant des infractions qui ne sont manifestement pas graves, au regard des conditions sociétales prévalant dans l’État membre concerné. C’est notamment en vue de vérifier l’absence d’une telle dénaturation qu’il est essentiel que, en présence d’un risque d’une ingérence grave dans les droits fondamentaux, l’accès des autorités nationales aux données conservées soit subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante.
En troisième et dernier lieu, aux fins d’apprécier si la définition d’« infractions graves » résultant de la disposition nationale n’est pas trop large, la Cour relève, premièrement, qu’est fondée sur un critère objectif une définition selon laquelle les « infractions graves », pour la poursuite desquelles l’accès peut être octroyé, sont celles pour lesquelles la peine de réclusion maximale est au moins égale à une durée que la loi détermine.
Deuxièmement, elle souligne néanmoins que la définition donnée, en droit national, des « infractions graves » ne doit pas être à ce point large que l’accès à ces données devienne la règle plutôt que l’exception. Ainsi, elle ne saurait couvrir la grande majorité des infractions pénales, ce qui serait le cas si le seuil était fixé à un niveau excessivement bas. Or, un seuil fixé par référence à une peine maximale de réclusion de trois ans n’apparaît pas, à cet égard, comme étant excessivement bas.
Cela étant, dès lors que la définition des « infractions graves » est établie par référence non pas à une peine minimale, mais à une peine maximale, la Cour n’exclut pas qu’un accès à des données, constitutif d’une ingérence grave dans les droits fondamentaux, puisse être demandé à des fins de poursuites d’infractions ne relevant pas, en réalité, de la criminalité grave.
Néanmoins, la fixation d’un seuil à partir duquel la peine de réclusion maximale dont est punie une infraction justifie que celle-ci soit qualifiée d’infraction grave n’est pas nécessairement contraire au principe de proportionnalité.
D’une part, tel semble être le cas de la disposition nationale en cause, puisqu’elle paraît notamment couvrir des cas dans lesquels l’accès ne peut être qualifié d’ingérence grave, car il ne vise pas un ensemble de données susceptible de permettre de tirer des conclusions précises sur la vie privée des personnes concernées.
D’autre part, la juridiction ou l’entité administrative indépendante, intervenant dans le cadre d’un contrôle préalable, doit être habilitée à refuser ou à restreindre cet accès lorsqu’elle constate que l’ingérence dans les droits fondamentaux est grave alors qu’il est manifeste que l’infraction en cause ne relève pas effectivement de la criminalité grave.
En effet, la juridiction ou l’entité chargée de ce contrôle doit être en mesure d’assurer un juste équilibre entre, d’une part, les intérêts légitimes liés aux besoins de l’enquête pénale et, d’autre part, les droits au respect de la vie privée et à la protection des données à caractère personnel.
En particulier, cette juridiction ou cette entité doit être en mesure d’exclure un tel accès lorsque ce dernier est sollicité dans le cadre de poursuites pour une infraction qui n’est manifestement pas grave.
La Cour en conclut que la directive « vie privée et communications électroniques », lue à la lumière de la Charte , ne s’oppose pas à une disposition nationale qui impose au juge national d’autoriser l’accès à un ensemble de données relatives au trafic ou de données de localisation si celui-ci est demandé aux fins de la recherche d’infractions pénales punies d’une peine de réclusion maximale d’au moins trois ans, à condition, toutefois, que ce juge soit habilité à refuser ledit accès si ce dernier est sollicité dans le cadre d’une enquête portant sur une infraction qui n’est manifestement pas grave, au regard des conditions sociétales prévalant dans l’État membre concerné.