CURIA - Documents

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. MANUEL CAMPOS SÁNCHEZ-BORDONA

présentées le 30 mars 2023 (1)

Affaire C‑162/22

A. G.

en présence de

Lietuvos Respublikos generalinė prokuratūra

[demande de décision préjudicielle formée par le Lietuvos vyriausiasis administracinis teismas (Cour administrative suprême de Lituanie)]

« Renvoi préjudiciel – Télécommunications – Traitement des données à caractère personnel – Directive 2002/58/CE – Champ d’application – Article 15, paragraphe 1 – Accès aux données conservées par les fournisseurs de services de communications électroniques et mises à la disposition des autorités en charge de procédures pénales – Utilisation ultérieure de ces données lors d’une enquête portant sur une faute de service »

1. Ce renvoi préjudiciel vise, en substance, à savoir si des données à caractère personnel obtenues au cours d’une enquête pénale peuvent, par la suite, être utilisées dans le cadre d’une procédure disciplinaire administrative à l’encontre d’un fonctionnaire public.

2. La réponse à cette interrogation offre à la Cour une nouvelle occasion de se prononcer sur les champs d’application respectifs de la directive 2002/58/CE (2), d’une part, et de la directive (UE) 2016/680 (3) et du règlement (UE) 2016/679 (4), d’autre part.

3. S’agissant de la directive 2002/58, la Cour a dégagé une jurisprudence désormais bien établie concernant les cas et les conditions dans lesquels les États membres peuvent limiter la portée des droits et des obligations qu’elle prévoit (5).

I. Le cadre juridique

A. Le droit de l’Union

1. La directive 2002/58

4. L’article 1^er (« Champ d’application et objectif ») de cette directive prévoit :

« 1. La présente directive harmonise les dispositions des États membres nécessaires pour assurer un niveau équivalent de protection des droits et libertés fondamentaux, et en particulier du droit à la vie privée, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et des services de communications électroniques dans la Communauté.

2. Les dispositions de la présente directive précisent et complètent la directive 95/46/CE (6) aux fins énoncées au paragraphe 1. En outre, elles prévoient la protection des intérêts légitimes des abonnés qui sont des personnes morales.

3. La présente directive ne s’applique pas aux activités qui ne relèvent pas du [TFUE], telles que celles visées dans les titres V et VI du [TUE], et, en tout état de cause, aux activités concernant la sécurité publique, la défense, la sûreté de l’État (y compris la prospérité économique de l’État lorsqu’il s’agit d’activités liées à la sûreté de l’État) ou aux activités de l’État dans des domaines relevant du droit pénal. »

5. L’article 5 (« Confidentialité des communications »), paragraphe 1, de ladite directive dispose :

« Les États membres garantissent, par la législation nationale, la confidentialité des communications effectuées au moyen d’un réseau public de communications et de services de communications électroniques accessibles au public, ainsi que la confidentialité des données relatives au trafic y afférentes. En particulier, ils interdisent à toute autre personne que les utilisateurs d’écouter, d’intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d’interception ou de surveillance, sans le consentement des utilisateurs concernés sauf lorsque cette personne y est légalement autorisée, conformément à l’article 15, paragraphe 1. Le présent paragraphe n’empêche pas le stockage technique nécessaire à l’acheminement d’une communication, sans préjudice du principe de confidentialité. »

6. L’article 15 (« Application de certaines dispositions de la directive 95/46/CE ») de la directive 2002/58 dispose :

« 1. Les États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l’article 8, paragraphes 1, 2, 3 et 4, et à l’article 9 de la présente directive lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la directive 95/46/CE. À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe. Toutes les mesures visées dans le présent paragraphe sont prises dans le respect des principes généraux du droit communautaire, y compris ceux visés à l’article 6, paragraphes 1 et 2, du [TUE].

[...]

2. Les dispositions du chapitre III de la directive 95/46/CE relatif aux recours juridictionnels, à la responsabilité et aux sanctions sont applicables aux dispositions nationales adoptées en application de la présente directive ainsi qu’aux droits individuels résultant de la présente directive.

[...] »

2. Le RGPD

7. L’article 2 (« Champ d’application matériel ») de ce règlement dispose :

« 1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :

a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;

[...]

d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.

[...] »

8. L’article 5 (« Principes relatifs au traitement des données à caractère personnel ») dudit règlement prévoit :

« 1. Les données à caractère personnel doivent être :

[...]

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ;

[...] »

9. Aux termes de l’article 6 (« Licéité du traitement ») du même règlement :

« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

[...]

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

[...]

3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :

a) le droit de l’Union ; ou

b) le droit de l’État membre auquel le responsable du traitement est soumis.

[...]

4. Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres :

a) de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ;

b) du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;

c) de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10 ;

d) des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;

[...] »

3. La directive 2016/680

10. L’article 1^er (« Objet et objectifs »), paragraphe 1, de cette directive dispose :

« 1. La présente directive établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. »

11. L’article 2 (intitulé « Champ d’application »), paragraphe 1, de ladite directive énonce :

« La présente directive s’applique au traitement de données à caractère personnel effectué par les autorités compétentes aux fins énoncées à l’article 1^er, paragraphe 1. »

12. L’article 4 (« Principes relatifs au traitement des données à caractère personnel ») de la même directive prévoit :

« 1. Les États membres prévoient que les données à caractère personnel sont :

[...]

b) collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées d’une manière incompatible avec ces finalités ;

[...]

2. Le traitement, par le même ou par un autre responsable du traitement, pour l’une des finalités énoncées à l’article 1^er, paragraphe 1, autre que celles pour lesquelles les données ont été collectées, est autorisé à condition que :

a) le responsable du traitement soit autorisé à traiter ces données à caractère personnel pour une telle finalité conformément au droit de l’Union ou au droit d’un État membre ; et

b) le traitement soit nécessaire et proportionné à cette autre finalité conformément au droit de l’Union ou au droit d’un État membre.

[...] »

13. L’article 9 (« Conditions de traitement spécifiques »), paragraphe 1, de la directive 2016/680 énonce :

« Les données à caractère personnel collectées par les autorités compétentes pour les finalités énoncées à l’article 1^er, paragraphe 1, ne peuvent être traitées à des fins autres que celles énoncées à l’article 1^er, paragraphe 1, à moins qu’un tel traitement ne soit autorisé par le droit de l’Union ou le droit d’un État membre. Lorsque des données à caractère personnel sont traitées à de telles autres fins, le [RGPD] s’applique, à moins que le traitement ne soit effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union. »

B. Le droit lituanien

1. Le Lietuvos Respublikos elektroninių ryšių įstatymas (7)

14. L’article 65, paragraphe 2, impose aux fournisseurs de services de communications électroniques de conserver les données énumérées à l’annexe 1 de cette loi et, le cas échéant, de les mettre à la disposition des autorités compétentes afin qu’elles puissent les utiliser aux fins de la lutte contre la criminalité grave (8).

15. En vertu de l’article 77, paragraphe 1, de ladite loi, les fournisseurs de services de communications électroniques doivent fournir aux autorités compétentes les informations qu’ils détiennent légalement et qui sont nécessaires, notamment, à la prévention, à la détection et à la poursuite d’infractions pénales.

16. Conformément à l’article 77, paragraphe 4, de la même loi, s’il existe une décision de justice motivée ou une autre base juridique prévue par la loi, les fournisseurs de services de communications électroniques doivent rendre techniquement possible, notamment pour les organes d’enquête pénale et les organes d’instruction, selon les modalités prévues par le code de procédure pénale, le contrôle du contenu des communications acheminées par les réseaux de communications électroniques.

2. Le Lietuvos Respublikos kriminalinės žvalgybos įstatymas (9)

17. En vertu de l’article 6, paragraphe 3, point 1, de cette loi, lorsque les conditions prévues par la loi sur le renseignement criminel sont remplies, et sur autorisation d’un membre du ministère public ou d’une juridiction, les organes de renseignement criminel (10) ont le pouvoir d’obtenir des informations auprès des fournisseurs de services de communications électroniques.

18. Conformément à l’article 8, paragraphes 1 et 3, de ladite loi, les organismes de renseignement en matière pénale agissent dès que des informations sur la préparation ou la commission d’une infraction pénale très grave, grave ou relativement grave sont disponibles, étant entendu qu’une instruction pénale est entamée immédiatement si l’enquête révèle la présence d’éléments d’une infraction pénale.

19. Conformément à l’article 19, paragraphe 1, point 5, de la même loi, les informations provenant d’opérations de renseignement criminel peuvent être utilisées dans les cas visés aux paragraphes 3 et 4 de cet article et dans d’autres cas prévus par la loi.

20. En vertu de l’article 19, paragraphe 3, de la loi de la République de Lituanie sur le renseignement criminel, les informations relatives à un fait présentant les caractéristiques d’une infraction apparentée à la corruption peuvent être déclassifiées, en accord avec le ministère public, et utilisées dans le cadre d’une enquête sur des fautes disciplinaires ou de service.

3. Le Lietuvos Respublikos baudžiamojo proceso kodeksas (11)

21. Aux termes de l’article 154 (« Contrôle, enregistrement et conservation des informations acheminées par des réseaux de communications électroniques »), paragraphe 1, de ce code, sur décision d’un juge d’instruction prononcée à la demande d’un membre du ministère public, un enquêteur peut écouter, enregistrer et conserver les conversations acheminées par les réseaux de communication électronique s’il existe des raisons de penser que cela permettra d’obtenir des données au sujet d’une infraction très grave ou grave en cours de préparation ou de perpétration ou qui a été perpétrée, ou au sujet d’une infraction relativement grave ou d’infractions non graves.

22. Selon l’article 177 (« Interdiction de communiquer les données de l’instruction préliminaire »), paragraphe 1, dudit code, les données de l’instruction sont confidentielles et, jusqu’à l’examen de l’affaire en justice, ces données ne peuvent être divulguées que sur autorisation du ministère public et que dans la mesure où cela est reconnu justifiable (12).

II. Les faits, le litige et la question préjudicielle

23. La Lietuvos Respublikos generalinė prokuratūra (parquet général de la République de Lituanie, ci-après le « parquet général ») a ouvert une enquête interne sur les agissements de A. G., alors procureur au sein d’une Apygardos prokuratūra (parquet régional), au motif qu’il existait des indices que celui-ci avait commis une faute dans l’exercice de ses fonctions.

24. La commission du parquet général a conclu à l’existence d’une faute commise par A. G. dans l’exercice de ses fonctions et a proposé de lui infliger la sanction disciplinaire de révocation.

25. Cette faute de service aurait été établie à partir des informations recueillies lors de l’enquête administrative et obtenues lors de l’opération de renseignement criminel, des déclarations d’autres fonctionnaires et du requérant, ainsi que des conclusions de deux enquêtes antérieures.

26. En particulier, il y aurait eu des communications téléphoniques entre A. G. et l’avocat d’un suspect, dans le cadre d’une enquête menée par A. G. au sujet d’affaires dans lesquelles cet avocat agissait en tant que défenseur (13).

27. L’interception et l’enregistrement du contenu des informations acheminées par des réseaux de communications électroniques avaient été autorisés par des décisions de justice.

28. Le procureur général a infligé la sanction de révocation à A. G., qui a saisi le Vilniaus apygardos administracinis teismas (tribunal administratif régional de Vilnius, Lituanie) d’un recours en annulation.

29. Ce recours a été rejeté par jugement du 16 juillet 2021, la juridiction de première instance ayant constaté que les actes accomplis par les services de renseignement criminel avaient été licites, de même que l’utilisation, au cours de l’enquête disciplinaire, des éléments recueillis par ces services.

30. A. G. a formé un recours contre le jugement de première instance devant le Lietuvos vyriausiasis administracinis teismas (Cour administrative suprême de Lituanie), qui saisit la Cour de la question préjudicielle suivante :

« L’article 15, paragraphe 1, de la [directive 2002/58], lu en combinaison avec les articles 7, 8 et 11 et l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne [ci-après la « Charte »], doit-il être interprété en ce sens qu’il interdit aux autorités publiques compétentes d’utiliser des données, conservées par les fournisseurs de services de communications électroniques, susceptibles de fournir des informations sur les communications effectuées par un utilisateur d’un moyen de communication électronique, dans des enquêtes relatives à des fautes de service apparentées à la corruption, indépendamment du point de savoir si l’accès à ces données a été accordé dans le cas d’espèce à des fins de lutte contre la criminalité grave et de prévention de menaces graves contre la sécurité publique ? »

III. La procédure devant la Cour

31. La demande de décision préjudicielle est parvenue à la Cour le 3 mars 2022.

32. Des observations écrites ont été déposées par A. G., les gouvernements lituanien, tchèque, estonien, irlandais, italien et hongrois, ainsi que par la Commission européenne.

33. Ont comparu à l’audience, qui s’est tenue le 2 février 2023, A. G., les gouvernements lituanien, irlandais, français et hongrois, ainsi que la Commission.

IV. Analyse

A. Recevabilité. Délimitation de la réponse à la question préjudicielle

34. La juridiction de renvoi est une juridiction administrative, compétente pour le contrôle juridictionnel des décisions administratives. C’est le cas de celle qu’a prise le procureur général, qui a infligé une sanction de révocation à un fonctionnaire d’un parquet territorialement compétent, pour des faits constitutifs de fautes de service.

35. Le litige au principal ne porte donc pas sur des décisions des autorités judiciaires pénales. Même si ces décisions coexistent avec la procédure administrative (disciplinaire) qui a donné lieu à la révocation des fonctions (14), il importe de souligner que le litige ne porte que sur cette dernière.

36. Cela étant, la décision de renvoi manifeste une certaine imprécision quant aux faits du litige qui forment le contexte dans lequel s’inscrit la question préjudicielle.

37. Comme l’ont souligné le gouvernement tchèque et la Commission, la décision de renvoi ne permet pas d’établir de façon certaine si les autorités compétentes : a) se sont adressées aux fournisseurs de services de communications électroniques pour obtenir les données en cause ; ou b) les ont obtenues elles-mêmes directement.

38. Cette question n’est nullement mineure. Elle détermine l’identification du régime de droit de l’Union qui est pertinent pour répondre à la question préjudicielle. Selon la façon dont les faits se sont produits, il convient d’appliquer :

— La directive 2002/58, si les données obtenues résultent d’une obligation de traitement imposée aux fournisseurs de services de communications électroniques ; ou

— La directive 2016/680, si les données ont été obtenues directement par l’autorité publique, sans imposer d’obligations à ces fournisseurs.

39. Dans cette seconde hypothèse, la protection des données à caractère personnel serait régie par le droit national, sans préjudice de l’application de la directive 2016/680 (15). En mettant l’accent sur la directive 2002/58, la question préjudicielle reposerait ainsi sur une approche inappropriée.

40. Persuadé que les données à caractère personnel auraient été obtenues au moyen d’opérations d’interception téléphonique réalisées par les services de renseignement criminel, le gouvernement hongrois met en doute la recevabilité du renvoi préjudiciel, puisque la directive 2002/58 serait alors inapplicable.

41. Pour la Commission, toutefois,

— la directive 2016/680 s’appliquerait dans la mesure où les données à caractère personnel collectées et stockées directement par les autorités dans le cadre d’une enquête pénale antérieure doivent être utilisées aux fins d’une enquête ultérieure ;

— la directive 2002/58 s’appliquerait si, comme l’a constaté la juridiction de renvoi (16), au moins certaines des données ont dû être recueillies et conservées en vertu de dispositions nationales adoptées en application de l’article 15, paragraphe 1, de cette directive. Cette dernière serait ainsi pertinente pour l’issue du litige.

42. Je partage cette approche de la Commission, qui est d’ailleurs la seule qui permette de surmonter les doutes (justifiés) que suscite la recevabilité de la décision de renvoi.

43. La question préjudicielle ainsi comprise, la pertinence de la directive 2002/58 pour y répondre :

— découle de la présomption qui s’attache à tout renvoi préjudiciel quant à la nécessité de son introduction, dont la responsabilité incombe au juge qui y procède (17) ;

— peut être admise, dans la mesure où la juridiction de renvoi ne demande l’interprétation de la Cour qu’à propos de cette directive 2002/58, qu’elle juge essentielle pour la solution du litige (18).

44. En effet, la juridiction de renvoi estime que, dans le litige dont elle est saisie, sont pertinents :

« i) l’accès aux données conservées par les [fournisseurs de réseaux ou de services de communications électroniques] à des fins autres que la lutte contre les infractions graves et la prévention des menaces graves contre la sécurité publique ;

ii) cet accès étant obtenu, l’utilisation des données conservées à des fins de lutte contre les infractions graves et de prévention des menaces graves contre la sécurité publique pour enquêter sur des fautes de service apparentées à la corruption » (19).

45. Tout semble donc indiquer que, indépendamment de la présence éventuelle de données à caractère personnel dont le traitement ne pourrait pas relever du champ d’application de la directive 2002/58 (mais de celui de la directive 2016/680), des données à caractère personnel collectées auprès des fournisseurs de services de communications électroniques ont été utilisées au cours de l’enquête qui a débouché sur la sanction infligée.

46. La Cour doit limiter sa réponse à la demande de décision préjudicielle telle que la juridiction de renvoi la formule. Il conviendra donc de déterminer si les données à caractère personnel obtenues et traitées au titre de l’article 15, paragraphe 1, de la directive 2002/58 dans le cadre d’une enquête pénale peuvent, par la suite, être utilisées dans le cadre d’une procédure (administrative) de nature disciplinaire dirigée contre un fonctionnaire public.

47. Les termes du renvoi préjudiciel étant ainsi circonscrits, les considérations qui viennent d’être exposées ont pour corollaire que les questions suivantes n’en relèvent pas :

— En premier lieu, celles relatives à la légalité de l’obtention initiale des données à caractère personnel sur le fondement de l’article 15, paragraphe 1, de la directive 2002/58. La question de la juridiction de renvoi se limite à l’utilisation ultérieure de ces données dans la procédure disciplinaire, sans mettre en doute la licéité de leur obtention initiale (20).

— En second lieu, celles relatives à l’utilisation des données obtenues et traitées de manière directe par les autorités publiques dans le cadre d’enquêtes pénales antérieures. Sur ce point, qui relève du droit national et de la directive 2016/680, la juridiction de renvoi ne soulève pas non plus de doutes.

48. En somme, les considérations qui suivent sur le fond devront laisser de côté l’interprétation de la directive 2016/680 (21). Elles se borneront, en ce qui concerne la directive 2002/58, à l’utilisation de données à caractère personnel obtenues en vertu de celle-ci par des traitements dont il convient de présumer la licéité initiale, dans la mesure où elle n’est pas en cause dans le litige au principal.

B. Quant au fond

1. Rappel de la jurisprudence de la Cour quant à l’application de la directive 2002/58

49. Il ressort de l’article 15, paragraphe 1, première phrase, de la directive 2002/58 que les États membres peuvent adopter une mesure dérogeant au principe de confidentialité consacré à l’article 5, paragraphe 1, de cette directive, lorsqu’une telle mesure est « nécessaire, appropriée et proportionnée, au sein d’une société démocratique », et qu’elle est « rigoureusement » proportionnée au but poursuivi (22).

50. Plus particulièrement, la possibilité pour les États membres de justifier une limitation aux droits et aux obligations prévus, notamment, aux articles 5, 6 et 9 de la directive 2002/58 doit être appréciée en mesurant la gravité de l’ingérence que comporte une telle limitation et en vérifiant que l’importance de l’objectif d’intérêt général poursuivi par cette limitation est en relation avec cette gravité (23).

51. « Pour satisfaire à l’exigence de proportionnalité, une législation nationale doit prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant des exigences minimales, de telle sorte que les personnes dont les données à caractère personnel sont concernées disposent de garanties suffisantes permettant de protéger efficacement ces données contre les risques d’abus. Cette législation doit être légalement contraignante en droit interne et, en particulier, indiquer en quelles circonstances et sous quelles conditions une mesure prévoyant le traitement de telles données peut être prise [...] » (24)

52. S’agissant des objectifs d’intérêt général susceptibles de justifier une mesure prise en vertu de l’article 15, paragraphe 1, de la directive 2002/58, il existe, conformément au principe de proportionnalité, une hiérarchie entre ces objectifs en fonction de leur importance respective : l’importance de l’objectif poursuivi par une telle mesure doit être en relation avec la gravité de l’ingérence qui en résulte (25).

53. Dans cette hiérarchie d’objectifs, la sauvegarde de la sécurité nationale, interprétée à la lumière de l’article 4, paragraphe 2, TUE, dépasse celle des autres objectifs visés à l’article 15, paragraphe 1, de la directive 2002/58, à savoir la défense, la sécurité publique ou la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques. L’objectif visant à lutter contre la criminalité en général, même grave, ainsi qu’à protéger la sécurité publique, figure dans cette seconde catégorie (26).

54. Il ressort de cette catégorisation des objectifs que :

— Celui visant à sauvegarder la sécurité nationale, qui est le premier dans l’ordre hiérarchique relevé par la Cour, autorise des ingérences aussi graves que celles constituées par des mesures législatives permettant d’enjoindre aux fournisseurs de services de communications électroniques de procéder à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation (27).

— L’objectif qui le suit immédiatement en importance, à savoir la lutte contre la criminalité grave, peut justifier des ingérences telles que, par exemple, une conservation ciblée des données relatives au trafic et des données de localisation ou des adresses IP attribuées à la source d’une connexion, pour une période temporellement limitée au strict nécessaire (28).

2. Application de cette jurisprudence au présent renvoi préjudiciel

55. Selon la juridiction de renvoi, les données en cause auraient été obtenues par la voie d’ingérences graves dans les droits garantis par les articles 7, 8 et 11 de la Charte (29).

56. Il ne s’agit pas ici, je le répète, d’examiner la licéité initiale de l’obtention de ces données, c’est-à-dire d’apprécier si l’ingérence a été suffisamment justifiée au regard de la gravité de l’infraction visée.

57. Sur ces deux points (gravité de l’ingérence et gravité de l’infraction), la juridiction de renvoi s’est prononcée dans des termes qui ne sont pas contestés dans la procédure a quo et ne sont donc pas pertinents pour le renvoi préjudiciel.

58. Ce qui importe à ce stade, selon les termes de la juridiction de renvoi, c’est de déterminer si ces données : a) peuvent aussi être utilisées dans des enquêtes ultérieures ayant pour objet la lutte contre la criminalité en général (en supposant que le comportement qui a donné lieu à la sanction disciplinaire litigieuse relève de cette notion) ; ou b) sont uniquement susceptibles d’être utilisées dans les enquêtes visant à lutter contre la criminalité grave.

59. Les gouvernements tchèque et irlandais ont examiné la question de savoir si le comportement en cause devant la juridiction de renvoi mérite ou non la qualification d’« infraction grave » et ont conclu par l’affirmative.

60. À mon avis, il s’agit cependant d’un point sur lequel la Cour n’a pas à se prononcer, car la qualification du comportement relève de la compétence de la juridiction de renvoi.

61. La juridiction de renvoi affirme que, si l’utilisation des données obtenues au moyen d’une ingérence grave dans les droits fondamentaux ne pouvait se justifier qu’aux fins de lutter contre la criminalité grave et de prévenir des menaces graves contre la sécurité publique, ces données ne pourraient pas être utilisées dans le cadre des enquêtes relatives à des fautes disciplinaires apparentées à la corruption (30). C’est-à-dire dans des enquêtes telles que celle en cause dans cette affaire.

62. À partir de cette appréciation, il s’agit de déterminer si les infractions disciplinaires que l’on entend poursuivre en utilisant certaines données à caractère personnel doivent, au regard de leur gravité, être qualitativement équivalentes aux infractions qui ont justifié l’obtention de telles données (31).

63. Lors de l’audience, le gouvernement lituanien a reconnu que la révocation des fonctions avait été imposée en raison d’une faute déontologique commise par le procureur sanctionné. L’appréciation du point de savoir si cette faute (la fuite d’informations relatives à une instruction) est assimilable à une infraction pénale grave ou peut entraîner un risque grave pour la sauvegarde de la sécurité publique dépend d’un ensemble de facteurs que seule la juridiction de renvoi est en mesure de vérifier (32).

64. Lors de l’audience, de nombreuses références ont été faites à la lutte contre la corruption, en tant que cette dernière constituerait un phénomène sous-jacent à des comportements tels que celui en cause. Le débat sur ce point nécessiterait d’être largement nuancé, dans l’intérêt de la rigueur qu’exigent toutes les manifestations du pouvoir punitif de l’État. Il conviendrait, par exemple, de déterminer si le terme « corruption » est employé dans un sens générique ou s’il vise un type spécifique de comportement, dans lequel, dans l’abstrait, il serait peut‑être excessif d’inclure la simple violation du devoir de secret, lorsqu’elle n’est pas assortie d’un avantage corrélatif en faveur du fonctionnaire (33).

65. En tout état de cause, si la juridiction de renvoi devait estimer que l’infraction déontologique ici sanctionnée est d’une gravité moindre que l’infraction pénale sur laquelle a porté l’enquête qui a justifié la mesure prise au titre de l’article 15 de la directive 2002/58, la réponse à sa question préjudicielle découlerait des constatations suivantes de la Cour :

— « l’accès à des données relatives au trafic et à des données de localisation conservées par des fournisseurs en application d’une mesure prise au titre de l’article 15, paragraphe 1, de la directive 2002/58, qui doit s’effectuer dans le plein respect des conditions résultant de la jurisprudence ayant interprété la directive 2002/58, ne peut en principe être justifié que par l’objectif d’intérêt général pour lequel cette conservation a été imposée à ces fournisseurs. Il n’en va autrement que si l’importance de l’objectif poursuivi par l’accès dépasse celle de l’objectif ayant justifié la conservation » (34) ;

— « en particulier, [...] un accès à de telles données à des fins de poursuite et de sanction d’une infraction pénale ordinaire ne saurait en aucun cas être accordé lorsque leur conservation a été justifiée par l’objectif de lutte contre la criminalité grave ou, a fortiori, de sauvegarde de la sécurité nationale » (35).

66. Une sorte de principe d’équivalence s’applique donc à cet égard entre, d’une part, les objectifs d’intérêt général justifiant l’obtention de données à caractère personnel et, d’autre part, ceux qui légitiment leur utilisation ultérieure. La seule exception à ce principe est, ainsi qu’il vient d’être exposé, que l’importance de l’objectif poursuivi par l’accès dépasse celle de l’objectif ayant justifié la conservation.

67. Retenir une autre interprétation reviendrait à dénaturer le système de garanties de la directive 2002/58 : les droits dont elle assure la sauvegarde pourraient faire l’objet d’ingérences graves ne relevant pas des cas prévus à l’article 15 de cette directive et des conditions établies dans la jurisprudence de la Cour.

68. En particulier, le sacrifice de l’intégrité du droit à la confidentialité des communications n’est légitimement admissible qu’au regard de l’objectif d’intérêt général concret que vise ce sacrifice. C’est pourquoi la légitimité de l’accès aux données conservées doit être vérifiée au cas par cas, en mettant en balance la gravité qui s’y attache, d’une part, et l’importance de l’objectif d’intérêt général que poursuit cette ingérence, d’autre part.

69. L’interprétation de la directive 2002/58 qui ne saurait être admise, c’est celle qui voudrait que, dès lors que l’accès a été fourni à l’occasion d’un premier cas le justifiant valablement, la voie serait libre pour un accès ultérieur (en réalité, une réutilisation des données obtenues) fondé sur un objectif hiérarchiquement inférieur à celui de ce cas initial.

70. À cet égard, les exigences requises pour l’accès initial (y compris celles auxquelles la Cour subordonne son autorisation) (36) sont transposables à l’utilisation ultérieure des mêmes données par d’autres autorités.

C. À titre subsidiaire : incidence de la directive 2016/680

71. J’ai exposé jusqu’à présent ce que je considère être la solution la plus appropriée pour répondre à la demande de décision préjudicielle telle qu’elle est libellée, c’est-à-dire en fournissant à la juridiction de renvoi l’interprétation de la directive 2002/58, comme elle le demande.

72. Dans l’hypothèse où les données en cause dans cette affaire auraient été obtenues non pas sur le fondement de l’article 15, paragraphe 1, de la directive 2002/58, mais directement par les services de renseignement criminel de l’État membre, dans le cadre d’une procédure pénale, le scénario serait différent.

73. Dans une telle hypothèse, les règles du droit national entreraient en jeu, sans préjudice de l’application de la directive 2016/680 en ce qui concerne le traitement des données à caractère personnel obtenues dans le cadre d’une enquête pénale. Je tiens pour acquis que les actes des services de renseignement criminel relèvent dans ce cas de la directive 2016/680. C’est ce qui a été confirmé lors de l’audience.

74. Comme je l’ai expliqué dans les conclusions présentées dans l’affaire Inspektor v Inspektorata kam Visshia sadeben savet (Finalités du traitement de données à caractère personnel – Enquête pénale) (37), « le RGPD et la directive 2016/680 constituent un système cohérent dans lequel :

— le RGPD fixe les règles générales pour la protection des personnes physiques au regard du traitement de leurs données à caractère personnel ;

— la directive 2016/680 établit des règles spécifiques pour le traitement desdites données dans le cadre de la coopération judiciaire en matière pénale et de la coopération policière » (38).

75. J’ai alors rappelé (39) que :

— « La protection conférée par le régime constitué par ces deux réglementations est fondée sur les principes de licéité, de loyauté, de transparence et, pour ce qui nous intéresse ici, sur le principe de limitation stricte de la collecte des données et de leur traitement aux fins prévues par la loi. »

— « Concrètement, l’article 5, paragraphe 1, sous b), du RGPD prévoit que les données doivent être “collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités”. La directive 2016/680, en tant que lex specialis, emploie les mêmes termes en son article 4, paragraphe 1, sous b). »

— « Ainsi, les données à caractère personnel ne sauraient être collectées ou traitées de manière générale, mais uniquement en fonction de finalités déterminées et dans les conditions de licéité fixées par le législateur de l’Union » (40)

— « Le principe du lien étroit existant entre la collecte et le traitement des données, d’une part, et les finalités auxquelles les deux opérations doivent servir, d’autre part, n’a pas un caractère absolu, le RGPD et la directive 2016/680 permettant une certaine flexibilité [...] »

76. Or, selon l’interprétation que la Cour a faite de l’article 4, paragraphe 2, de la directive 2016/680 (41), il pourra être difficile d’admettre que les données à caractère personnel recueillies dans le cadre d’une procédure pénale soient utilisées à cette même fin dans le contexte d’une procédure disciplinaire ultérieure à l’encontre d’un fonctionnaire public.

77. Il convient cependant de rappeler que, en vertu de l’article 4, paragraphe 2, de la directive 2016/680, « [l]e traitement, par le même ou par un autre responsable du traitement, pour l’une des finalités énoncées à l’article 1^er, paragraphe 1, autre que celles pour lesquelles les données ont été collectées, est autorisé à condition que :

a) le responsable du traitement soit autorisé à traiter ces données à caractère personnel pour une telle finalité conformément au droit de l’Union ou au droit d’un État membre ; et

b) le traitement soit nécessaire et proportionné à cette autre finalité conformément au droit de l’Union ou au droit d’un État membre ».

78. C’est à partir de cette prémisse que la juridiction de renvoi devra examiner si la finalité (différente) du traitement ultérieur relève de celles prévues à l’article 1^er, paragraphe 1, de la directive 2016/680 ou si elle se trouve en dehors de celles-ci :

— Dans le premier cas (réaffectation ad intra), il convient de vérifier que les deux conditions prévues à l’article 4, paragraphe 2, de la directive 2016/680 sont remplies.

— Dans le second cas (réaffectation ad extra), l’article 9, paragraphe 1, de la directive 2016/680 entre en jeu.

1. Utilisation des données au titre de l’article 4, paragraphe 2, de la directive 2016/680

79. En ce qui concerne la première des deux conditions requises par cette disposition, elle ne sera respectée que si le droit de l’État membre prend la forme d’une loi (42) régissant les circonstances dans lesquelles le responsable du traitement est autorisé à traiter les données à caractère personnel. Cette loi doit par ailleurs contenir des règles contraignantes, claires et précises (43).

80. Il s’agit cependant d’un point qu’il revient naturellement à la juridiction de renvoi de vérifier, après analyse de l’article 177 du code de procédure pénale, de l’article 19, paragraphe 3, de la loi sur le renseignement criminel et des recommandations du parquet général (44). Sur la base de ces éléments, il conviendra d’apprécier dans quelle mesure le droit national permet que les informations obtenues dans le cadre d’une procédure pénale puissent être utilisées, sous certaines conditions, dans le cadre de l’enquête sur des fautes disciplinaires. Lors de cette vérification, les considérations retenues dans l’arrêt Adomaitis de la Cour EDH peuvent lui être utiles (45).

81. En ce qui concerne la seconde condition, la juridiction de renvoi devra apprécier si, dans le traitement de données en cause dans cette affaire, l’ingérence était nécessaire et proportionnée (46).

82. Là encore, les déclarations de la Cour EDH dans son arrêt Adomaitis pourraient l’aider dans cette appréciation :

— Quant à la nécessité, il conviendra de pondérer la mesure dans laquelle l’insuffisance probatoire d’autres données disponibles au cours de la procédure disciplinaire rendait réellement nécessaire, pour le succès de l’enquête en cours, de recourir aux données litigieuses (47).

— Quant à la proportionnalité, il conviendra de mesurer la gravité de l’infraction à l’origine de la procédure disciplinaire, étant entendu que, comme l’a fait valoir le gouvernement lituanien et comme il ressort de l’arrêt Adomaitis de la Cour EDH (48), l’utilisation de données à caractère personnel est réservée aux cas d’infractions pour lesquelles la sanction disciplinaire la plus sévère, à savoir la révocation, est prévue.

2. Utilisation des données au titre de l’article 9 de la directive 2016/680

83. Conformément à l’article 9, paragraphe 1, de la directive 2016/680, les données à caractère personnel collectées par les autorités compétentes pour les finalités énoncées à l’article 1^er, paragraphe 1, peuvent être traitées à des fins autres que celles énoncées à l’article 1^er, paragraphe 1, lorsqu’un tel traitement est autorisé par le droit de l’Union ou le droit d’un État membre. Dans ce cas, le RGPD s’applique, à moins que le traitement soit effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union (49).

84. Si la juridiction de renvoi juge que l’article 4, paragraphe 2, de la directive 2016/680 est inapplicable, il lui faudra se référer au RGPD. Conformément à ce règlement, elle devra déterminer si, outre la disposition légale, au moins l’une des conditions de licéité du traitement des données à caractère personnel énumérées de manière exhaustive à son article 6, paragraphe 1, est remplie.

V. Conclusion

85. Eu égard aux considérations qui précèdent, je propose à la Cour de répondre au Lietuvos vyriausiasis administracinis teismas (Cour administrative suprême de Lituanie) de la manière suivante :

1. L’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), lu en combinaison avec les articles 7, 8, 11 et l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne,

doit être interprété en ce sens que :

il ne permet pas aux autorités publiques compétentes de collecter des données conservées par des fournisseurs de services de communications électroniques susceptibles de fournir des informations détaillées sur un utilisateur et de les utiliser dans le cadre d’enquêtes portant sur des comportements constitutifs d’infractions moins graves que celles sur lesquelles a porté l’enquête qui, lorsqu’elle a été effectuée, a pu justifier l’accès auxdites données.

2. À titre subsidiaire :

L’article 9, paragraphe 1, de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, lu en combinaison avec les articles 6 et 10 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), à la lumière des articles 7 et 8 de la charte des droits fondamentaux,

doit être interprété en ce sens que :

il ne s’oppose pas à l’utilisation, dans le cadre d’une procédure administrative de nature disciplinaire, de données à caractère personnel obtenues licitement et directement par la puissance publique dans le cadre d’une enquête pénale, à condition que cette procédure et cette enquête soient liées conformément à des règles claires, précises et contraignantes du droit national, et pour autant que l’utilisation des données poursuive un but légitime, et qu’elle soit nécessaire et proportionnée, ce qu’il appartient à l’autorité judiciaire de déterminer.

1 Langue originale : l’espagnol.

2 Directive du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37).

3 Directive du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision‑cadre 2008/977/JAI du Conseil (JO 2016, L 119, p. 89).

4 Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

5 Sans prétention à l’exhaustivité, on peut notamment citer, parmi les principales références de cette jurisprudence, les arrêts du 8 avril 2014, Digital Rights Ireland e.a. (C‑293/12 et C‑594/12, EU:C:2014:238) ; du 21 décembre 2016, Tele2 Sverige et Watson e.a. (C‑203/15 et C‑698/15, EU:C:2016:970) ; du 6 octobre 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 et C‑520/18, ci-après l’« arrêt La Quadrature du Net e.a. », EU:C:2020:791 ; du 2 mars 2021, Prokuratuur (Conditions d’accès aux données relatives aux communications électroniques) (C‑746/18, EU:C:2021:152), et du 5 avril 2022, Commissioner of An Garda Síochána e.a. (C‑140/20, ci-après l’« arrêt Commissioner of An Garda Síochána », EU:C:2022:258).

6 Directive du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).

7 Loi de la République de Lituanie sur les communications électroniques, dans sa version résultant de la loi n^o IX-2135 du 15 avril 2004, telle que modifiée par la loi n^o°XIII-2172 du 6 juin 2019.

8 Les données énumérées à ladite annexe (« Catégories de données à protéger ») sont celles nécessaires pour identifier la source et la destination d’une communication, sa date, son heure et sa durée, ainsi que pour déterminer le type de communication et localiser le matériel de communication (y compris de la communication mobile) des utilisateurs.

9 Loi de la République de Lituanie sur le renseignement criminel, dans sa version résultant de la loi nº XI-2234 du 2 octobre 2012 (Žin., 2012, n^o 122‑6093), telle que modifiée en dernier lieu par la loi nº XIII‑1837 du 20 décembre 2018 (ci-après la « loi sur le renseignement criminel »).

10 Sans objet en français.

11 Code lituanien de procédure pénale, du 14 mars 2002, dans sa version applicable à la procédure au principal (ci-après le « code de procédure pénale »).

12 Selon les Ikiteisminio tyrimo duomenų teikimo ir panaudojimo ne baudžiamojo persekiojimo tikslais ir ikiteisminio tyrimo duomenų apsaugos rekomendacijos (Recommandations relatives à la transmission et l’utilisation des données issues de l’instruction à des fins autres que les poursuites ainsi qu’à la protection de ces données), approuvées par la décision nº I-279 du procureur général du 17 août 2017, telles que modifiées en dernier lieu par le décret nº I-211 du 25 juin 2018, et notamment le point 23, lorsqu’il reçoit une demande d’accès aux données d’instruction, le ministère public décide s’il y a lieu de les communiquer. Dans l’affirmative, il précise dans quelle mesure les données visées par la demande peuvent être communiquées.

13 Ainsi qu’il a été exposé lors de l’audience, une procédure pénale est toujours pendante contre A. G. et l’avocat pour ces faits.

14 Voir note 13 des présentes conclusions.

15 Selon l’arrêt La Quadrature du Net, point 103, « lorsque les États membres mettent directement en œuvre des mesures dérogeant à la confidentialité des communications électroniques, sans imposer des obligations de traitement aux fournisseurs de services de telles communications, la protection des données des personnes concernées relève non pas de la directive 2002/58, mais du seul droit national, sous réserve de l’application de la [directive 2016/680] ».

16 Point 37 de la décision de renvoi.

17 Voir, notamment, arrêts du 4 décembre 2018, Minister for Justice and Equality et Commissioner of An Garda Síochána (C‑378/17, EU:C:2018:979, point 26), et du 22 décembre 2022, Airbnb Ireland et Airbnb Payments UK (C‑83/21, EU:C:2022:1018, point 82).

18 La référence non équivoque à la directive 2002/58 dans le dispositif de la décision de renvoi et le silence sur la directive 2016/680 dans ses motifs plaident également en ce sens. Il n’en demeure pas moins que, sans outrepasser les limites de la demande préjudicielle, la Cour peut fournir des indications utiles à la juridiction de renvoi pour se prononcer, en recourant, le cas échéant, à d’autres dispositions du droit de l’Union. En ce sens, voir arrêt du 18 septembre 2019, VIPA (C‑222/18, EU:C:2019:751, point 50 et jurisprudence citée).

19 Point 35 de la décision de renvoi. Mise en italique ajoutée par mes soins.

20 Il n’est donc pas nécessaire que la Cour se prononce sur la licéité de ces opérations antérieures. Si elle le faisait, il conviendrait de réaffirmer que l’accès aux données détenues par les fournisseurs de services de communications électroniques ne peut être accordé que si ces fournisseurs les ont conservées d’une manière conforme à l’article 15, paragraphe 1, de la directive 2002/58. En ce sens, voir arrêt La Quadrature du Net, point 167. Cette disposition, lue à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte, s’oppose à des mesures législatives prévoyant, aux fins prévues à cet article 15, à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation (arrêt La Quadrature du Net, point 168).

21 J’y reviendrai toutefois, à titre subsidiaire, dans la dernière partie des présentes conclusions.

22 Arrêt La Quadrature du Net, point 129.

23 Arrêt La Quadrature du Net, point 131 et jurisprudence citée.

24 Arrêt Commissioner of An Garda Síochána, point 54.

25 Arrêt Commissioner of An Garda Síochána, point 56.

26 Arrêt La Quadrature du Net, points 135 et 136, où il est expliqué que la sécurité nationale reste de la seule responsabilité de chaque État membre et correspond à l’intérêt primordial de protéger les fonctions essentielles de l’État et les intérêts fondamentaux de la société, en incluant la prévention et la répression d’activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d’un pays, et en particulier à menacer directement la société, la population ou l’État en tant que tel, telles que notamment des activités de terrorisme. Ces menaces se distinguent, par leur nature et leur particulière gravité, du risque général de survenance de tensions ou de troubles, même graves, à la sécurité publique. L’objectif de sauvegarde de la sécurité nationale est dès lors susceptible de justifier des mesures comportant des ingérences dans les droits fondamentaux plus graves que celles que pourraient justifier ces autres objectifs.

27 Arrêt Commissioner of An Garda Síochána, point 58.

28 Arrêt La Quadrature du Net, point 168.

29 C’est ce qui ressort du point 46 de la décision de renvoi : il y est fait référence aux données qui peuvent fournir des informations sur les communications effectuées par un utilisateur d’un moyen de communication électronique ou sur la localisation des équipements terminaux qu’utilise celui-ci et qui permettent de tirer des conclusions précises sur la vie privée des personnes concernées.

30 Point 46 in fine de la décision de renvoi.

31 L’arrêt de la Cour européenne des droits de l’homme (Cour EDH) du 18 janvier 2022, Adomaitis c. Lituanie (CE:ECHR:2022:0118JUD001483318, ci-après l’« arrêt Adomaitis de la Cour EDH »), qui portait sur l’interception de communications électroniques du fait de l’existence d’abus de pouvoir continus de la part du directeur d’un établissement pénitentiaire, fournit des pistes pour apprécier cette équivalence.

32 Il n’y a pas lieu, en principe, de mettre sur le même plan les comportements punissables qui font l’objet de poursuites pénales, d’une part, et les fautes purement déontologiques, qui sont sanctionnées par la voie d’une procédure disciplinaire, d’autre part. La procédure pénale et la procédure disciplinaire se distinguent par leur objet, ainsi que par la nature et la gravité du comportement en cause. Les différences entre les procédures constituent à cet égard une indication des niveaux de gravité distincts de leurs objets respectifs.

33 La convention établie sur la base de l’article K.3, paragraphe 2, point c), du traité sur l’Union européenne relative à la lutte contre la corruption impliquant des fonctionnaires des Communautés européennes ou des fonctionnaires des États membres de l’Union européenne (JO 1997, C 195, p. 2) envisage les cas de corruption passive (« le fait intentionnel, pour un fonctionnaire, directement ou par interposition de tiers, de solliciter ou de recevoir des avantages de quelque nature que ce soit, pour lui-même ou pour un tiers, ou d’en accepter la promesse, pour accomplir ou ne pas accomplir, de façon contraire à ses devoirs officiels, un acte de sa fonction ou un acte dans l’exercice de sa fonction ») et active (« le fait intentionnel, pour quiconque, de promettre ou de donner, directement ou par interposition de tiers, un avantage de quelque nature que ce soit, à un fonctionnaire, pour lui-même ou pour un tiers, pour qu’il accomplisse ou s’abstienne d’accomplir, de façon contraire à ses devoirs officiels, un acte de sa fonction ou un acte dans l’exercice de sa fonction »), qu’il faut qualifier d’infractions pénales.

34 Arrêt Commissioner of An Garda Síochána, point 98.

35 Arrêt La Quadrature du Net, point 166.

36 Arrêt Commissioner of An Garda Síochána, point 106, avec renvoi à l’arrêt du 2 mars 2021, Prokuratuur (Conditions d’accès aux données relatives aux communications électroniques), C‑746/18, EU:C:2021:152, point 51.

37 C‑180/21, ci-après les « conclusions Inspektor v Inspektorata », EU:C:2022:406.

38 Conclusions Inspektor v Inspektorata, point 35.

39 Conclusions Inspektor v Inspektorata, points 36 à 39.

40 L’exigence de « licéité » est requise par l’article 5, paragraphe 1, sous a), du RGPD [article 4, paragraphe 1, sous a), de la directive 2016/680], et ses conditions sont explicitées à l’article 6 de ce règlement. Pour ce qui nous intéresse ici et conformément au paragraphe 1, sous e), de cette dernière disposition, le traitement doit être nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable (du traitement lui-même).

41 Arrêt du 8 décembre 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Finalités du traitement de données à caractère personnel – Enquête pénale) (C‑180/21, ci-après l’« arrêt Inspektor v Inspektorata », EU:C:2022:967).

42 Je partage l’avis de la Commission selon lequel, l’utilisation ultérieure de données à caractère personnel recueillies au cours d’une enquête pénale étant une ingérence dans les droits fondamentaux garantis par les articles 7 et 8 de la Charte, il est impératif, en vertu de l’article 52, paragraphe 1, de la Charte, qu’elle soit prévue par la loi.

43 Point 51 des présentes conclusions.

44 Note 12 des présentes conclusions.

45 Au paragraphe 83 de cet arrêt, la Cour EDH juge suffisant que l’ingérence ait bénéficié de la garantie de légalité assurée par les dispositions législatives nationales et la jurisprudence constitutionnelle lituanienne.

46 Comme le relève la Commission, cette affaire n’est pas très différente de celle examinée dans l’arrêt de la Cour EDH du 16 juin 2016, Versini-Campinchi et Crasnianski c. France (CE:ECHR:2016:0616JUD004917611). Au paragraphe 57 de cet arrêt, la Cour EDH estime que poursuit un but légitime, au sens de l’article 8 de la CEDH, l’utilisation, dans le cadre d’une procédure disciplinaire pour violation du secret professionnel, de communications interceptées dans le cadre d’une procédure pénale. L’étroite imbrication matérielle entre les objets respectifs des procédures pénale et disciplinaire conduit à ce qu’il y ait communauté de légitimité entre les buts de l’une et de l’autre.

47 Arrêt Adomaitis de la Cour EDH, point 85.

48 Arrêt Adomaitis de la Cour EDH, point 87.

49 Cette exception a fait l’objet d’une interprétation restrictive dans l’arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) (C‑439/19, EU:C:2021:504, point 66).