L’acquisition de données de communications électroniques par les autorités de renseignement à l’épreuve de la directive « e-Privacy » 2002/58/CE
Daniel Ventura est Docteur en droit public de l’Université Paris 1 Panthéon-Sorbonne (Institut de Recherche en Droit International et Européen de la Sorbonne – IREDIES)
Par quatre demandes de décisions préjudicielles formées par des juridictions britannique, belge puis française, la Cour de Justice de l’Union européenne a été sollicitée pour apporter une lumière nouvelle sur le régime de conservation et d’accès aux données électroniques à caractère personnel induit par la directive « e-Privacy » 2002/58/CE. Alors que les conclusions de l’avocat général ont été rendues publiques le 15 janvier 2020, cette contribution se propose d’analyser les enjeux de ces renvois préjudiciels à l’aune des positions antagonistes de la Cour de Justice, des États et de la Cour EDH.
L’acquisition de données de communications électroniques par les autorités de renseignement à l’épreuve de la directive « e-Privacy » 2002/58/CE – La CJUE face aux résistances étatiques et à la Cour EDH à l’heure des affaires Privacy International, La Quadrature du Net e.a., et ordre des barreaux francophones et germanophone e.a.
« The National Security Agency is currently collecting the telephone records of millions of US customers of Verizon, one of America’s largest telecoms providers, under a top secret court order issued in April ». Ce sont par ces mots, parus le 6 juin 2013 dans le quotidien britannique The Guardian[1], que le journaliste Glenn Greenwald commençait à révéler les informations obtenues quelques jours plus tôt dans une chambre d’hôtel à Hong Kong auprès d’un jeune prestataire de services informatiques anciennement détaché auprès de l’organisme américain de surveillance électronique, la NSA.
L’onde de choc provoquée par la révélation des programmes américains de renseignement PRISM (en matière d’acquisition de données par les services de renseignement auprès de prestataires de services internet) et Upstream (en matière d’interception immédiate de données par les services de renseignement à travers des câbles sous-marins de fibre optique) a rapidement obligé de nombreux États européens à révéler l’existence de leurs propres programmes de surveillance dans le contexte de la lutte contre le terrorisme. Dès le mois de juillet 2013, une dizaine d’organisations non gouvernementales sollicitaient par exemple du gouvernement britannique qu’ils révèlent la nature des ingérences provoquées par ces programmes dans leur droit à la vie privée et le cadre juridique dans lequel ces ingérences étaient effectuées[2]. Ce n’est qu’en novembre 2015 que le gouvernement admit l’existence d’un programme secret d’acquisition de données en masse débuté en 2001, dépourvu de tout mécanisme de supervision et dont le fonctionnement était en tout état cause insusceptible d’être contesté judiciairement[3].
Domaine réservé de l’État par excellence[4], les mesures de surveillance secrète, justifiées par des considérations de sécurité nationale, sont un instrument déterminant de la politique des États membres de l’Union européenne pour lutter contre la criminalité, le terrorisme, la prolifération nucléaire ou encore l’espionnage. La sécurité nationale constitue à ce titre un motif d’ingérence reconnu dans le droit au respect de la vie privée et aux principes de protection des données personnelles, notamment la confidentialité des communications et des données de connexion. Elle garantit pour ce faire une « ample marge d’appréciation » aux États, ce que la Cour européenne des droits de l’homme a pu retenir encore très récemment dans le cadre de l’interprétation de l’article 8, § 2 de la Convention EDH qui garantit le droit à la protection de la vie privée[5].
Le domaine du renseignement a également intégré le champ du contrôle contentieux effectué par la Cour de Justice de l’Union européenne dans le cadre de l’application de la Charte des droits fondamentaux. L’article 52, § 1 autorise en effet les limitations de l’exercice des droits et libertés « nécessaires et [qui] répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ». Or, la Cour de Justice a pu reconnaitre que la lutte contre la criminalité grave et notamment la lutte contre le terrorisme répondait à un tel objectif et soumettre en conséquence les limitations du droit à la protection des données personnelles (consacré à l’article 8 de la Charte) justifiées par un tel motif au respect du droit de l’Union et de sa Charte des droits fondamentaux[6].
L’applicabilité de la Charte et partant, du droit de l’Union, est au cœur des enjeux qui sous-tendent aujourd’hui quatre demandes de décisions préjudicielles émanant de trois juridictions française, belge et britannique[7], dans le cadre très spécifique de la conformité au droit de l’Union des régimes nationaux d’acquisition de données motivés par la défense de la sécurité nationale. La France, la Belgique et le Royaume-Uni contestent l’interprétation extensive faite par la Cour de Justice du champ d’application de la directive 2002/58/CE dite « e-Privacy » aux fins d’encadrer les législations internes relatives à la conservation de données par les opérateurs privés de communications électroniques et d’accès subséquent à ces données par les services de renseignement. Ces trois États se fondent notamment sur l’article 4, § 2 du Traité instituant l’Union européenne qui garantit que la sécurité nationale « reste de la seule responsabilité de chaque État membre ». Ils en déduisent qu’aucune activité de surveillance électronique fondée sur un tel motif ne devrait ressortir du champ d’application du droit de l’Union.
La Cour de Justice de l’Union ne constitue pas en effet le prétoire le plus naturel pour analyser la licéité de mesures qui sont a priori exorbitantes du champ d’application de son droit. Deux facteurs ont pourtant contribué à ce qu’elle ait à connaitre, au même titre que sa cousine strasbourgeoise, de questions juridiques mettant en jeu la compatibilité au regard des droits fondamentaux de régimes internes de surveillance secrète motivés par la sauvegarde de la sécurité nationale.
Le premier est l’intégration, au sein d’instruments de droit dérivé relatifs à la protection des données personnelles, de clauses de limitation des droits et obligations pour des motifs tenant à la sauvegarde de la sécurité nationale, la sécurité publique, ou bien la prévention, la recherche, la détection et la poursuite d’infractions pénales[8]. C’est le cas notamment de l’article 15, § 1 de la directive 2002/58 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (e-Privacy). Cette directive, dont l’objet consistait à compléter la directive 95/46, se rattache désormais au Règlement « RGPD »[9] pour ce qui a trait aux relations entre les États membres, les fournisseurs de services de communications électroniques, et leurs utilisateurs[10]. Elle vise à protéger les droits fondamentaux des utilisateurs de ces services contre les traitements de données effectués par les opérateurs en garantissant par exemple la confidentialité de leurs communications (article 5), l’effacement des données relatives au trafic – métadonnées – dès lors qu’elles ne sont plus nécessaires pour assurer une prestation de services (article 6) ou encore l’anonymat des données de localisation, lorsque ces dernières sont traitées dans le cadre d’un service à valeur ajoutée (article 9). L’article 15, § 1, autorise les États membres à prendre des mesures dérogatoires justifiées par les finalités évoquées ci-dessus, tout en précisant que l’ensemble de ces mesures doivent être prises « dans le respect des principes généraux du droit communautaire, y compris ceux visés à l’article 6, paragraphes 1 [relatifs à la Charte des droits fondamentaux de l’Union européenne] et 2 [relatifs à la Convention européenne des droits de l’homme], du traité sur l’Union européenne ».
Le second est la consécration du droit autonome à la protection des données personnelles à l’article 8 de la Charte des droits fondamentaux de l’Union européenne et partant, la possibilité que l’Union européenne puisse, sur le fondement de la Charte, accorder une protection plus étendue que celle qu’octroie la Convention européenne des droits de l’homme[11]. À la différence de la Convention EDH qui ne constitue pas un instrument formellement intégré à l’ordre juridique de l’Union[12], la Charte constitue au contraire un instrument hissé au rang de droit primaire par le traité de Lisbonne[13]. Il en découle des principes spécifiques au droit de l’Union européenne, relatifs par exemple à la conservation des données générées ou traitées par des services de communication électronique[14], au déréférencement sur internet (droit à l’oubli) [15], à la conditionnalité du transfert de données personnelles sur des serveurs situés en dehors de l’Union européenne[16], ou bien encore à la transmission des données à caractère personnel aux autorités de renseignement par les fournisseurs de services de communication électronique[17].
L’effet cumulé du rôle joué par la Charte des droits fondamentaux dans l’Union européenne post-Lisbonne et de la présence de clauses tendant à ce que toute activité étatique liée à la sécurité nationale ne soit pas par principe exclue du champ d’application de son droit a poussé la Cour de Justice à développer une conditionnalité stricte des régimes de conservation de données par les fournisseurs de services de communication, puis d’accès à ces données par les autorités internes de renseignement.
C’est dans ce contexte et sous le jeu de ces éléments que des solutions dissonantes se sont cristallisées entre la jurisprudence de la Cour de Justice et de la Cour EDH, ce dont atteste aujourd’hui la difficile réconciliation des arrêts Tele 2 et Watson d’une part (CJUE), et Big Brother Watch c. Royaume-Uni d’autre part (Cour EDH). Ces dissonances, qui ne sont d’ailleurs pas spécifiques au secteur du renseignement[18], tiennent à la marge d’appréciation beaucoup plus importante que la Cour EDH octroie de manière générale aux États partie à la Convention EDH en matière de sécurité nationale, par opposition à l’encadrement strict des régimes de conservation de données et d’accès aux données que la CJUE a façonné à partir de son interprétation de la directive 2002/58.
Les questions préjudicielles posées par les trois juridictions de renvoi dans les affaires Privacy International (C-520/18), La Quadrature du Net (aff. jointes C-511/18 et C-512/18) et Ordre des barreaux francophones et germanophones (C-623/17) masquent mal une volonté évidente de remettre en question les critères « Tele2 et Watson » dégagés par la CJUE et de leur substituer les solutions dégagées par la Cour EDH, qu’elles jugent plus conforme à l’équilibre requis pour lutter contre la criminalité grave, et la seule qui puisse leur être appliquée compte tenu de l’article 4, § 2 TUE. Le régime européen d’acquisition de données de communication électroniques est pour l’heure le théâtre d’une partie de billard à trois bandes initiée en 2014 par la Cour de Justice avec l’affaire Digital Rights[19] et dont les prolongements les plus contemporains se manifestent par la concomitance des renvois devant le collège de la Grande Chambre de la Cour EDH des affaires Big Brother Watch et Centrum För Rätvisa en février 2019 et de l’examen par la Cour de l’Union des questions préjudicielles dans les trois affaires précitées.
Le point de rencontre entre les compétences régaliennes des États et le champ d’application de la Charte des droits fondamentaux de l’Union est au cœur des enjeux qui entourent les quatre renvois préjudiciels que cette contribution se propose d’analyser. L’interprétation extensive de la directive 2002/58 par la Cour de Justice est à l’origine d’un encadrement strict des législations internes qui régissent l’acquisition de données de communications électroniques par les autorités de renseignement auprès des fournisseurs de services de communications électroniques (I). Les solutions dégagées par la Cour de Justice ont cristallisé des antagonismes avec les États membres et la Cour EDH (II). La décision attendue de la Cour de Justice pourrait prolonger cette dissonance dès lors que les conclusions de l’avocat général en date du 15 janvier 2020 confirment, précisent et étendent la lignée jurisprudentielle initiée avec l’arrêt Digital Rights (III).
I- L’extension du champ d’application du droit de l’Union européenne en matière de surveillance secrète
Fruit d’une sédimentation progressive, l’extension par la Cour de Justice du champ d’application du droit de l’Union européenne en matière d’acquisition de données s’est d’abord matérialisée dans le contexte de la recherche, de la détection et de la poursuite d’infractions graves. L’apport initial de l’arrêt Digital Rights, relatif à l’invalidation de la directive 2006/24 (A) a été confirmé et précisé par l’arrêt Tele2 et Watson, en ce qui concerne les législations des États membres (B).
A- L’apport initial de l’arrêt Digital Rights
1- L’invalidation de la directive 2006/24 et de son régime de conservation généralisée de données
La directive 2006/24[20] a été adoptée pour remédier aux nombreuses disparités législatives et techniques causées par la transposition de l’article 15, § 1 de la directive 2002/58 ouvrant la faculté pour les États membres de modifier le régime des droits et obligations applicables aux fournisseurs de services de communications et leurs utilisateurs pour « sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électronique ». Cette directive était fondée, au même titre que les directives 95/46 et 2002/58, sur le rapprochement des législations ayant pour objet le fonctionnement du marché intérieur, dès lors que des exigences distinctes entre les États quant au type de données à conserver et les conditions et durées de cette conservation y porteraient une entrave. Elle amendait ainsi la directive 2002/58 en imposant aux fournisseurs de services de communications électroniques certaines obligations particulières de conservation de données en matière de « recherche, de détection et de poursuite d’infractions graves telles qu’elles sont définies par chaque État membre dans son droit interne »[21].
L’apport de cette directive était de deux ordres. Elle imposait d’une part un régime de conservation généralisée de certaines catégories de données « pour une durée minimale de six mois et maximale de deux ans »[22]. Elle renvoyait d’autre part la détermination des modalités d’accès aux données par les autorités nationales au droit interne, « dans le respect des exigences de nécessité et de proportionnalité » propres à chaque État membre, et « sous réserve des dispositions du droit l’Union européenne ou du droit international public applicables en la matière, en particulier la CEDH telle qu’interprétée par la Cour européenne des droits de l’homme »[23].
En d’autres termes, la directive liait les États membres quant aux obligations de conservation de données qu’ils devaient mettre à la charge des fournisseurs de services de communications électroniques, tout en leur laissant une vaste compétence autonome pour régir les conditions de l’accès à ces données par les autorités internes. Des réserves quant à la compatibilité de cette directive avec le bon fonctionnement du marché intérieur de l’Union européenne ainsi qu’avec la Charte des droits fondamentaux de l’Union européenne – en particulier le droit à la vie privée et le droit à la protection des données personnelles – furent rapidement émises et la Cour fut finalement saisie de deux questions préjudicielles présentées par la High Court of Ireland et la Verfassungsgerichtshof (Cour constitutionnelle autrichienne).
Dans son arrêt Digital Rights Ireland e.a. en date du 8 avril 2014, la Cour de Luxembourg invalida cette directive au motif exclusif qu’elle excédait les limites imposées par le principe de proportionnalité tel qu’il résulte des articles 7 (droit à la vie privée), 8 (droit à la protection des données personnelles), et 52, § 1 (portée des droits garantis) de la Charte des droits fondamentaux.
Le cœur du raisonnement de la Cour tint à ce que l’ingérence « particulièrement grave » (§ 37) dans les droits des requérants qui résultait de l’obligation de conservation généralisée de données poursuivait, certes, un objectif d’intérêt général – « contribuer à la lutte contre la criminalité grave et ainsi, en fin de compte, à la sécurité publique » (§ 41) mais qui excédait « les limites du strict nécessaire » (§ 52).
La décision était audacieuse en ce qu’elle tirait toutes les conséquences de l’article 52, § 2 de la Charte en vertu duquel les limitations de l’exercice des droits et des libertés consacrés par celle-ci doivent « respecter leur contenu essentiel » de sorte que les limitations qui y sont apportées doivent être « nécessaires et répond[re] effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui »[24].
Ainsi, sur le plan des compétences de l’Union, bien que la directive trouvât sa base légale formelle dans le fonctionnement du marché intérieur, la Cour considéra que son objectif matériel était bel et bien la lutte contre la criminalité grave et partant la sauvegarde de la sécurité publique, laquelle relève aujourd’hui de l’espace de liberté, de sécurité et de justice garanti par le Titre V de la troisième partie du TFUE. Mettant en avant cet objectif matériel, le contrôle de proportionnalité exercé par la Cour porta exclusivement sur le point de savoir si la directive ne dépassait pas les limites de ce qui est approprié et nécessaire à sa réalisation. En dépassant le strict aspect formel de la finalité affichée par le texte, la Cour acceptait ainsi de déployer toutes les potentialités de « la base constitutionnelle désormais incontournable » que représente la Charte des droits fondamentaux, au regard de l’objectif de sécurité publique[25].
Pour autant, la déclaration d’incompatibilité du régime de conservation généralisée de données de communication prévu par la directive 2006/24/CE au regard de la Charte des droits fondamentaux de l’Union laissait en suspens un certain nombre d’incertitudes quant à la portée de l’article 15, § 1 de la directive 2002/58 et ainsi, de l’étendue du champ d’application du droit de l’Union européenne.
2- Les incertitudes nées de l’invalidation de la directive 2006/24
En premier lieu, la directive 2006/24 étant invalidée, dans quelle mesure les États retrouvaient-ils la possibilité d’introduire eux-mêmes dans leur législation des obligations de conservation généralisée de données à la charge des fournisseurs ? En effet, dans son test de proportionnalité, la Cour ne s’était pas bornée uniquement à relever l’absence générale de limites dans le champ des données à conserver (§§ 57-59), ou bien le fait que la durée de conservation proposée ne reposait sur aucun critère objectif (§§ 63-64). Elle considéra également qu’à cette absence de limites « s’ajoute le fait que la directive 2006/24 ne prévoit aucun critère objectif permettant de délimiter l’accès des autorités nationales compétentes aux données et leur utilisation ultérieure à des fins de prévention, de détection ou de poursuites pénales concernant des infractions pouvant, au regard de l’ampleur et de la gravité de l’ingérence dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte, être considérées comme suffisamment graves pour justifier une telle ingérence » (§ 61). En établissant, même indirectement, que les modalités d’accès aux données par les autorités nationales puissent être une variable du test de proportionnalité de l’obligation de conservation généralisée de données, l’arrêt Digital Rights laissait-il la porte ouverte à ce qu’un tel régime de conservation de données soit jugé proportionné à l’atteinte créée au droit à la protection des données personnelles, si tant est qu’un régime strict encadre a posteriori l’accès aux données ?
En second lieu, fallait-il considérer que le régime des conditions d’accès aux données par les autorités internes est soumis au droit de l’Union européenne, par le truchement de l’article 15, § 1 de la directive 2002/58 ? Ou bien fallait-il considérer au contraire qu’un tel régime ne met pas en œuvre le droit de l’Union, eu égard à la clause d’exclusion prévue à l’article 1er, paragraphe 3, de la directive 2002/58 qui réserve les activités concernant la sécurité publique, la défense, la sûreté de l’État ?
Ces interrogations reprennent en substance celles dont la Cour fut très rapidement saisie après son arrêt Digital Rights par le Rrätten i Stockholm (Cour d’appel administrative de Stockholm, Suède) et la Court of Appeal (England & Wales) (Civil Division), dans les affaires Tele2 Sverige et Watson précitées. Etaient en jeux des différends internes concernant l’interprétation et l’application de dispositions nationales transposant la directive 2006/24, en matière de lutte contre la criminalité, et prévoyant à ce titre un régime de conservation générale de données par les opérateurs de services de communications électroniques ainsi que des dispositions encadrant l’accès à ces mêmes données par les autorités policières et judiciaires compétentes. En ce qui concerne la législation britannique – laquelle était également en cause devant la Cour EDH dans l’arrêt Big Brother Watch – les dispositions concernées étaient le chapitre 2 du Regulations and Investigatory Powers Act (RIPA) qui régit les conditions d’accès aux données de connexion par les autorités, ainsi que le Data Retention and Investigatory Powers Act (DRIPA), qui régit, entre 2014 et 2016, les modalités de conservation des données par les fournisseurs de services de communications.
La réponse donnée par la Cour dans son arrêt de Grande Chambre du 21 décembre 2016 a très largement clarifié la portée de l’article 15, § 1 de la directive 2002/58/CE en tant que clause de limitation des droits et obligations à la charge des États membres en matière de traitement de données à caractère personnel dans le secteur des communications électroniques.
B- Les apports subséquents de l’arrêt Tele 2 et Watson
Les apports de l’arrêt Tele 2 et Watson sont de deux ordres. D’une part, il confirme que tant la conservation de données électroniques par les prestataires de services de télécommunications que l’accès aux données par les services de renseignement, même motivés par la lutte contre la criminalité grave, constituent des traitements de données à caractère personnel qui entrent dans le champ d’application du droit de l’Union (1). D’autre part et sur la base de ce constat préliminaire, il précise les obligations induites par l’article 8 de la charte des droits fondamentaux de l’Union garantissant le droit à la protection des données personnelles (2). Le raisonnement de la Cour, entièrement tourné sur l’interprétation de l’article 15, § 1 de la directive 2002/58 a cependant manifestement sous-estimé le rôle joué par la clause d’exclusion insérée dans l’article 1er, § 3 de la directive en ne justifiant pas les raisons de son inapplicabilité (3).
1- La confirmation de l’application du droit de l’Union aux régimes nationaux de conservation et d’accès aux données électroniques
S’il allait de soi que la conservation de données, mentionnée à titre d’exemple à la fois dans la directive 95/46 et 2002/58 « implique nécessairement un traitement […] de données à caractère personnel »[26] et entre de ce fait dans le champ d’application du droit de l’Union, cela était beaucoup moins évident en ce qui concerne l’accès aux données par les autorités de surveillance, ce que démontrent les raisonnements antagonistes que retinrent à ce sujet la Cour et l’avocat général dans l’affaire Tele2 et Watson.
En effet, partant du principe que les activités exclues du champ d’application de la directive 2002/58 en vertu de son article 1er, § 3 sont celles qui sont « propres aux États ou aux autorités étatiques et étrangères aux domaines d’activité des particuliers »[27], l’avocat général n’a raisonné qu’en terme de distinction des champs d’application respectifs des articles 1er, § 3 et 15, § 1 de la directive. De ce point de vue, il considère que les obligations de conservation de données imposées à des opérateurs privés dans le cadre de leurs activités commerciales sont indépendantes de tout acte des autorités étatiques relevant de la sécurité publique, de la défense, de la sûreté de l’État ou du droit pénal de sorte qu’elles entrent dans le champ d’application du droit de l’Union[28]. Au contraire, il note que les législations nationales régissant l’accès aux données par les autorités de surveillance concernent des « activités de l’État dans des domaines relevant du droit pénal » et qui se rattachent ainsi à la clause d’exclusion prévue à l’article 1er, § 3[29].
La Cour, dans l’arrêt Tele2 et Watson, a infirmé cette conclusion tout en refusant de raisonner en terme de distinction des champs d’application respectifs des articles 1er, § 3 et 15, § 1 de la directive, ce qui constitue une source d’incertitudes évidentes. Elle s’est en effet focalisée uniquement sur la notion de « traitement de données à caractère personnel » pour considérer qu’il allait de soi qu’une mesure législative imposant aux fournisseurs d’accorder aux autorités nationales, dans les conditions prévues par une telle mesure, l’accès aux données conservées par lesdits fournisseurs « porte sur des traitements de données à caractère personnel par ces derniers, traitements qui relèvent du champ d’application de cette directive »[30]. La conséquence logique de cette qualification est identique à celle qui prévaut pour les mesures de conservation de données, à savoir qu’il revient à la Cour de contrôler les règlementations internes régissant l’accès aux données par référence aux exigences de la Charte des droits fondamentaux. C’est en substance ce que la Cour énonçait déjà dans l’arrêt Digital Rights en déplorant le fait que « la directive 2006/24 ne prévoit aucun critère objectif permettant de délimiter l’accès des autorités nationales compétentes aux données et leur utilisation ultérieure à des fins de prévention, de détection ou de poursuites pénales concernant des infractions pouvant, au regard de l’ampleur et de la gravité de l’ingérence dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte »[31]. Cette position fut ainsi réitérée sans nuances dans l’arrêt Tele 2 et Watson à propos des règlementations nationales[32], de sorte que la Cour précisa dans cet arrêt les critères matériels et procéduraux qu’une législation interne régissant l’accès des autorités compétentes aux données conservées devrait prévoir.
2- L’approfondissement par la Cour des régimes de conservation et d’accès aux données
Du point de vue des obligations induites par l’applicabilité du droit de l’Union se posait tant la question des régimes respectifs de la conservation et de l’accès aux données que celle de la nature des interactions entre ces deux régimes. En particulier, le point central était celui de déterminer si des modalités plus restrictives d’accès pouvaient justifier une conservation accrue de données.
Selon l’Avocat général Saugmandsgaard Øe, le lien qui unit les problématiques de la conservation de données et de l’accès aux données fait que « les dispositions régissant l’accès doivent être prises en compte pour apprécier la nécessité et la proportionnalité d’une telle obligation [générale de conservation de données] »[33]. Ne pouvant être « complètement dissociées » des dispositions régissant la conservation, il serait normal que le régime propre aux conditions d’accès soit pris en compte pour apprécier la proportionnalité des secondes. L’avocat général Saugmandsgaard Øe concluait ainsi « qu’une obligation générale de conservation de données est compatible avec le régime établi par la directive 2002/58 et, partant, qu’il est possible pour un État membre de faire usage de la faculté offerte par l’article 15, paragraphe 1, de cette directive en vue d’imposer une telle obligation »[34].
La Cour s’est éloignée catégoriquement des conclusions de l’Avocat général sur ce point également en entérinant une logique claire de disjonction entre les atteintes aux droits fondamentaux découlant de la conservation de données, et les garanties entourant l’accès aux données. Les secondes ne peuvent avoir de conséquence sur la légalité ou bien l’illégalité des premières, ce dont il était encore possible de douter à la lecture de l’arrêt Digital Rights. Aussi, excède les limites du « strict nécessaire » la règlementation nationale qui couvre de manière généralisée tous les abonnés, sans qu’aucune relation n’existe entre les données et une menace pour la sécurité publique[35]. La Cour ne précisa pas en détail quelles catégories de données, quels moyens de communication, quelles personnes concernées et quelle durée de conservation garantissaient le succès du test de « stricte nécessité ». Néanmoins, elle proposa, de manière non exhaustive, des méthodes à même de faire ressortir une telle relation entre les données et une menace. Elles reposent par exemple sur l’acquisition de données limitées à une certaine période temporelle, une zone géographique particulière « et/ou sur un cercle de personnes susceptibles d’être mêlées d’une manière ou d’une autre à une infraction grave »[36]. En tout état de cause, le régime de la conservation de données était entièrement décorrélé des garanties entourant l’accès. Comme le relève la Cour, « cette seconde question est indépendante du caractère généralisé ou ciblé d’une conservation des données »[37].
Dans sa réponse à la seconde question préjudicielle dans l’affaire Tele2 Sverige et la première dans l’affaire Watson relative aux conditions d’accès aux données, la Cour a jugé que l’article 15, § 1 de la directive 2002/58, lu à la lumière de la Charte des droits fondamentaux, suppose qu’une règlementation nationale qui régit l’accès des autorités nationales compétentes aux données conservées par les fournisseurs dans le cadre de la lutte contre la criminalité, 1) limite cet accès « aux seules fins de lutte contre la criminalité grave » ; 2) soumette cet accès à un « contrôle préalable par une juridiction ou une autorité administrative indépendante », 3) exige que les données soient conservées sur le territoire de l’Union[38].
La Cour a également précisé la portée de ces exigences dans le cadre d’un contrôle de « stricte nécessité » de l’ingérence dans les droits garantis, lequel caractérise le standard de l’Union européenne applicable aux limitations de l’exercice des droits à la protection des données à caractère personnel. D’une part, la limitation de l’accès « aux seules fins de lutte contre la criminalité grave » ne signifie pas que l’accès puisse être accordé à toutes les données conservées sur la base d’un tel motif. Seul un lien, même indirect, avec le but poursuivi, caractérise l’exigence de « stricte nécessité »[39]. Il en découle que la législation doit ainsi déterminer des critères objectifs pour définir les conditions et circonstances de l’accès aux données par les autorités nationales[40]. D’autre part, le contrôle préalable n’est pas envisagé comme une simple exigence formelle mais comme un véritable moyen de garantir la limitation de l’accès aux données. Il convient par conséquent que la « décision » prise à l’issu de ce contrôle préalable intervienne « à la suite d’une demande motivée [des] autorités », en sorte que ce contrôle constitue en définitive, une procédure d’autorisation et non simplement de « supervision »[41]. Enfin, la décision d’accès aux données issue du contrôle préalable doit pouvoir être notifiée aux personnes concernées « dès le moment où cette communication n’est pas susceptible de compromettre les enquêtes menées par ces autorités »[42] afin de garantir l’exercice du droit de recours, lequel est explicitement prévu à l’article 15, § 2 de la directive.
3- Les incertitudes des solutions « Tele2 et Watson» au regard de l’article 1er, § 3 de la directive 2002/58
Quoique convaincante sur le fait que le transfert de données aux autorités internes constitue un « traitement de données personnelles » au sens de la directive 2002/58, la décision Tele2 et Watson l’est beaucoup moins en ce qui concerne les raisons pour lesquelles la clause d’exclusion insérée dans l’article 1er, § 3 ne bénéficie pas aux législations nationales régissant l’acquisition de données dans le contexte de la lutte contre la criminalité grave[43]. L’arrêt insiste davantage sur la nécessité de garantir « l’effet utile » de l’article 15, § 1 plutôt que celui de l’article 1er, § 3. Par ailleurs, il est remarquable que l’Avocat général s’inscrit en faux avec la solution retenue par la Cour en considérant que les dispositions nationales régissant l’accès aux données « relèvent […] de l’exclusion prévue à l’article 1er, paragraphe 3, de la directive 2002/58 »[44]. Enfin, la Cour elle-même, dans son arrêt, consent au fait que les finalités des activités régies par l’article 15, § 1 « recoupent substantiellement [celles] poursuivies par les activités visées à l’article 1er, paragraphe 3 de cette directive »[45].
Un certain paradoxe ressort d’ailleurs de l’inclusion par le Conseil de l’Union – « voix des États membres de l’Union » – de telles clauses visant à exclure certaines activités du champ du droit de l’Union et que la Cour de Justice réintroduit au contraire[46]. L’absence dans la décision Tele2 et Watson de critères permettant de distinguer de manière systématique les champs d’application respectifs des clauses dites « de limitation » des droits et obligations régis par le droit secondaire et des clauses « d’exclusion » de l’application du droit de l’Union européenne ressort très distinctement de l’ensemble des questions préjudicielles posées dans les affaires Privacy international, la Quadrature du Net, et Ordre des barreaux francophones et germanophone. La Cour ne s’est pas prononcée en effet sur l’argument énoncé par la France et le Royaume-Uni selon lequel le motif tiré de la sécurité nationale – à la différence de la lutte contre la « criminalité grave » – relèverait en tout état de cause de la clause d’exclusion de l’article 1er, § 3.
C’est dans ce contexte d’extension du champ d’application du droit de l’Union européenne en matière de surveillance secrète et d’incertitudes quant à la marge d’appréciation que les États membres peuvent revendiquer que la Cour EDH s’est prononcée à son tour sur le régime britannique d’acquisition de données.
II – La cristallisation de réactions antagonistes entre la Cour de Justice, les États, et la Cour EDH
Les quatre demandes de décisions préjudicielles formées devant la Cour de Justice entre septembre 2017 et juillet 2018 ne visent pas uniquement à clarifier les incertitudes nées de l’arrêt Tele2 et Watson mais plus directement à inciter cette dernière à infléchir, pour ne pas dire révoquer ses apports. Elles reflètent en ce sens un certain activisme des États membres (B), lesquels peuvent trouver appui sur la jurisprudence de la Cour EDH qui, par deux fois, en juin 2018 (Centrum för Rättvisa c. Suède) puis surtout en septembre 2018 (Big Brother Watch c. Royaume-Uni) s’est penchée sur différents aspects des régimes de surveillance dits « en masse » (A).
A- Les dissonances constatées entre le régime établi par la Cour de Justice et la Cour EDH
La Cour EDH a eu l’opportunité de se prononcer elle aussi sur la compatibilité au regard du droit au respect de la vie privée des règles britanniques qui régissent l’accès aux données conservées par les fournisseurs de services de communication telles qu’elles découlent du chapitre II de la RIPA. Le contraste entre la position de la Cour de Strasbourg et celle de Luxembourg est patent[47]. En effet, si la Cour EDH fait bel et bien référence à l’arrêt Tele2 et Watson, les emprunts à la jurisprudence de la CJUE se limitent à reprendre les exigences les plus minimales du dispositif de l’arrêt Tele2 et Watson, signe d’une déférence indéniablement plus grande de la Cour de Strasbourg à l’endroit de la marge d’appréciation des États[48]. Les exigences communes aux deux Cours sont au nombre de deux :
- « Tout régime permettant aux autorités d’accéder aux données conservées par un fournisseur de services de communication [doit] limite[r] cet accès au but de lutter contre les infractions graves » (1) ;
- « Tout régime doit être soumis au contrôle préalable d’un tribunal ou d’une instance administrative indépendante » (2) [49].
1- Sur la limitation de l’accès aux données « au but de lutter contre les infractions graves »
La Cour EDH ne déduit aucune prescription additionnelle de l’exigence de limiter l’accès aux données « au but de lutter contre les infractions graves ». Or, nous avons vu que la CJUE ne juge pas suffisant que la réglementation nationale concernée se limite à exiger que l’accès réponde à un objectif légitime, et proscrit tout accès général aux données conservées en l’absence d’un quelconque lien, même indirect, avec le but poursuivi par la mesure. Au contraire, et en dépit de ce que la Cour EDH avait pu laisser croire dans l’affaire Roman Zakharov dans le contexte de mesures d’interception ciblée de données[50], l’exigence d’un lien avec le but poursuivi par la surveillance est entièrement absente du raisonnement de la Cour de Strasbourg en matière d’acquisition de données.
Par ailleurs, la manière dont est rédigée cette première exigence est déroutante puisqu’elle laisse à penser que la criminalité grave est le seul motif justifiant un accès aux données conservées par les opérateurs de services de communications, à l’exclusion par exemple du motif de sécurité nationale. Or, l’arrêt Tele2 et Watson spécifiait bien que ce n’est que dans le cadre du motif tiré de la prévention, de la détection et de la poursuite d’infractions pénales que l’accès est restreint à la lutte contre la criminalité grave[51], sans préjudice des autres objectifs énumérés dans l’article 15, § 1 et notamment l’intérêt de la sécurité nationale. Le raisonnement de la Cour EDH interroge et on ne peut sur ce point que s’en remettre aux travaux de la Grande Chambre devant laquelle l’affaire a été renvoyée en février 2019. Un constat peut néanmoins être mis en avant. En effet, les longs développements de la Cour EDH relatifs au régime britannique d’interception de données en masse intervenaient eux bel et bien dans le contexte de la défense de la sécurité nationale. Ces développements ne retiennent ni la nécessité d’un lien entre les données et les buts poursuivis par la surveillance[52], ni l’exigence d’autorisation préalable dont l’absence « ne constitue pas automatiquement, en elle-même, un défaut de garanties adéquates contre les abus »[53]. De ce point de vue, « l’oubli » du motif tiré de la défense de la sécurité nationale a ici l’avantage de ne pas créer un paradoxe trop apparent entre les régimes d’interception et d’acquisition de données – dont les degrés d’ingérence dans les droits fondamentaux des individus nous paraissent pourtant parfaitement comparables –. Cet oubli met également en lumière l’état de la fragmentation actuelle des régimes de surveillance.
2- Sur l’exigence d’un contrôle préalable effectué par un tribunal ou une autorité administrative indépendante
S’agissant d’autre part de l’exigence de contrôle préalable à l’accès aux données, la Cour EDH ne la lie en aucune manière à une quelconque obligation de notification des personnes concernées, à la différence de la CJUE. Cette dernière s’est notamment appuyée sur le rapport de la Commission de Venise – organe consultatif du Conseil de l’Europe – sur le « contrôle démocratique des agences de collecte de renseignements d’origine électromagnétique » pour considérer que « l’article 8 de la Convention n’impose pas expressément qu’une personne soit informée qu’elle a fait l’objet d’une surveillance. L’absence de notification peut être compensée par la mise en place d’une procédure générale de traitement des plaintes gérée par un organe de contrôle indépendant »[54].
Une certaine perplexité ressort ainsi de l’utilisation des critères « Tele2 et Watson » par la Cour EDH. Cela tient non seulement au fait que la Cour EDH leur donne une portée nettement moins protectrice que la Cour de Justice, mais encore à ce qu’elle ne juge pas ces critères applicables au-delà des régimes d’acquisition de données justifiés par la lutte contre la criminalité grave, sans que l’on ne puisse véritablement comprendre pourquoi. De manière éclatante, les mandats d’interception de données délivrés par un ministre n’emportent pas par eux-mêmes violation de l’article 8 de la Convention[55] bien qu’il ne s’agisse ni d’une autorisation judiciaire, ni d’une autorisation délivrée par une instance administrative indépendante. Faisant prévaloir une approche « globale », fondée sur le « fonctionnement concret du système d’interception dans son ensemble »[56], la Cour EDH a considéré que « l’examen soigneux dont font l’objet les demandes de mandat avant l’autorisation » ainsi que le contrôle postérieur à l’autorisation, étaient autant d’éléments justifiant l’absence de violation. Par conséquent, « l’absence d’autorisation préalable ne constitue pas automatiquement en elle-même, un défaut de garanties adéquates contre les abus »[57], dès lors qu’est garantie une « supervision indépendante du processus de filtrage et de sélection pour examen des données interceptées »[58].
La grande latitude offerte par la Cour EDH aux États parties à la Convention pour mettre en œuvre des régimes d’acquisition de données renforce incontestablement l’argumentaire des États membres de l’Union à l’encontre de la jurisprudence de la Cour de Justice. Ces derniers, désireux de ne s’en remettre qu’à l’analyse de la Cour EDH et non à celle de la CJUE, estiment que les juges de Luxembourg empiètent sur leurs compétences dans le domaine de la sécurité nationale. C’est précisément cette position qui ressort de l’argumentaire des juridictions française, britannique et belge dans leurs questions préjudicielles adressées à la Cour de Justice quelques semaines après que la Cour EDH ait rendu son arrêt dans l’affaire Centrüm for Rättvisa et quelques semaines avant qu’elle ne se prononce à nouveau dans l’affaire Big Brother Watch.
B- Les résistances des États membres de l’Union européenne
L’objet des résistances vis-à-vis du champ d’application de la directive 2002/58 a évolué au gré des solutions retenues par la Cour. Dirigées tout d’abord contre l’invalidation du régime de conservation généralisée instauré par la directive 2006/24/CE, elles se sont ensuite orientées vers la défense d’un droit à la conservation généralisée et à tout le moins de l’exclusion du champ de la directive 2002/58 du régime d’accès aux données conservées par les fournisseurs, que ce soit dans le contexte de la lutte contre la criminalité grave par les autorités internes de police dans les affaires Tele2 Sverige et Watson, ou bien dans celui de la détection et la poursuite de toutes infractions pénales par des autorités de police judiciaire dans l’affaire Ministerio Fiscal[59].
Par quatre questions préjudicielles mettant en jeu les régimes français, belge, et britannique d’acquisition de données auprès de fournisseurs de services de communication, ces résistances se sont cristallisées au sujet de l’applicabilité des solutions dégagées par ces arrêts dans le contexte spécifique des activités liées à la sécurité nationale et la lutte contre le terrorisme. En effet, à retenir que tout régime de surveillance motivé par de tels motifs est exorbitant du droit de l’Union européenne, les États membres pourraient ainsi se contenter de respecter les exigences énumérées dans l’affaire Big Brother Watch. Il faut voir dans ces questions préjudicielles une tentative claire de résistance des juridictions de renvoi, visant sinon à renverser purement et simplement la jurisprudence de la Cour, du moins à la nuancer[60].
1- Les arrêts du Conseil d’État du 26 juillet 2018 « Quadrature du net e.a.»
Par deux arrêts en date du 26 juillet 2018, le Conseil d’État a sursis à statuer sur différents recours pour excès de pouvoirs visant, dans le premier arrêt[61], plusieurs décrets d’application de la loi n°2015-912 du 24 juillet 2015 relative au renseignement et pris pour la mise en œuvre de différents articles du code de la sécurité intérieure, et dans le second[62], l’article R. 10-13 du code des postes et des communications électroniques[63]. Il ressort de l’économie générale de ces dispositions règlementaires une obligation de conservation préventive et indifférenciée de données à la charge des fournisseurs de services de communication, doublée de conditions restrictive d’accès aux données (lequel ne peut être octroyé qu’à propos d’individus préalablement identifiés comme étant susceptibles de présenter une menace pour la sécurité publique, la défense ou la sûreté de l’État).
La manière avec laquelle le Conseil d’État a contextualisé les questions préjudicielles est une invitation claire à ce que la Cour de Justice modifie sa jurisprudence. Il indique sans ambages à propos du mécanisme français d’acquisition de données que « dans un contexte marqué par des menaces graves et persistantes pour la sécurité nationale, tenant en particulier au risque terroriste, ces techniques présentent […] une utilité opérationnelle sans équivalent »[64]. Le Conseil d’État cherche également à interpréter dans un sens favorable l’avis 1/15 du 26 juillet 2017 rendu par la Cour de Justice[65] en ce qu’il spécifie que les droits consacrés aux articles 7 et 8 de la Charte « n’apparaissent pas comme des prérogatives absolues ». Les juges du palais royal proposent ainsi de réconcilier ces articles avec l’article 6 du même instrument qui garantit à « toute personne » le « droit à la sûreté » qu’ils tiennent comme équivalent à la protection de la sécurité publique[66].
Enfin, le Conseil d’État considère en tout état de cause que « le fait que l’obligation de conservation […] revête un caractère général sans être limitée à des personnes ou circonstances particulières n’est pas, par lui-même, contraire aux exigences découlant des stipulations de l’article 8 [CEDH] »[67]. Cette observation – au demeurant spéculative puisque la Cour ne s’est pas prononcée sur une telle obligation de conservation généralisée – nous paraît démontrer à l’envie le souhait du Conseil d’État de revoir entièrement le contenu de la décision Tele2 et Watson.
2- L’arrêt de la Cour constitutionnelle belge du 19 juillet 2018 « ordre des barreaux francophones et germanophone e.a.»
Précédant le Conseil d’État d’une semaine, la Cour constitutionnelle a également posé différentes questions préjudicielles tenant à la compatibilité au regard de la directive 2002/58 de la Loi belge du 29 mai 2016 relative à la collecte et à la conservation des données dans le secteur des communications électroniques[68]. Son article 4 instaure, tout comme la règlementation française, une obligation de conservation généralisée des données pour une durée de douze mois, accessibles « sur simple demande » notamment par les services de renseignement et de sécurité. Ses articles 12 et 13 précisent toutefois que l’accès aux données est fondé sur des critères objectifs qui garantissent que l’accès soit limité au strict nécessaire, sur la base d’une menace (évènements, groupements, personnes) préalablement identifiée.
Le raisonnement de la Cour constitutionnelle belge est fondé pour partie sur l’exposé des motifs de la loi attaquée selon lequel « il était impossible, à la lumière de l’objectif poursuivi, de mettre en place une obligation de conservation ciblée et différenciée », précipitant ainsi le choix « d’assortir l’obligation de conservation générale et indifférenciée de garanties strictes, tant sur le plan de la protection de la conservation que sur le plan de l’accès, afin de limiter à un minimum l’ingérence dans le droit au respect de la protection de la vie privée »[69]. Dans ce contexte de conservation généralisée qui serait justifiée par des nécessités techniques, la Cour constitutionnelle précise que l’arrêt Centrum för Rättvisa rendu par la Cour EDH le mois précédent, concluait justement à la conformité du régime d’interception de données en cause à l’article 8 de la Convention tout en citant cet arrêt pour mettre en exergue l’« ample marge d’appréciation pour choisir les moyens de sauvegarder la sécurité nationale »[70].
C’est ainsi très logiquement que la Cour partage l’opinion selon laquelle l’interprétation des arrêts de la Cour de justice de l’Union européenne peut admettre une obligation généralisée de conservation des données « si cette obligation s’accompagne [des] garanties [qui ressortent] du texte de la loi attaquée et des travaux préparatoires cités »[71]. Elle souligne enfin, quelques lignes avant d’exposer sa question préjudicielle « que la majorité des États membres connaissent […] de grandes difficultés pour mettre en conformité leur législation en matière de conservation des données avec les exigences émises par la Cour de Justice dans sa jurisprudence »[72]. En définitive et à l’instar du Conseil d’État, la Cour belge expose moins des difficultés sérieuses d’interprétation du droit de l’Union que ses propres réticences à l’égard de l’application des solutions dégagées dans l’arrêt Tele2 et Watson.
3- L’« order for reference to the Court of Justice of the European Union» de l’Investigatory Powers Tribunal du 8 septembre 2017 « Privacy International »[73]
L’Investigatory Powers Tribunal est l’organe judiciaire britannique instauré par la RIPA, chargé d’enquêter sur les griefs de toute personne alléguant qu’une ingérence illicite au regard de cette loi aurait été commise à l’endroit de son droit à la vie privée et à la protection des données personnelles. En l’espèce, l’Organisation non gouvernementale de protection des droits de l’homme Privacy International saisit l’IPT postérieurement à l’arrêt Tele2 et Watson, en sa qualité de personne morale potentiellement lésée par les mécanismes d’acquisition de données. L’ONG allègue que ces mécanismes demeurent contraires non seulement au droit de la Convention mais encore au droit de l’Union, en dépit du constat effectué par l’IPT (avant que l’arrêt Tele2 et Watson ne soit rendu) et en vertu duquel le régime d’acquisition de donnée serait conforme à l’article 8 CEDH depuis novembre 2015 et les divulgations du gouvernement britannique sur l’existence de ces mécanismes[74].
Examinant ce grief, l’IPT considéra que la conformité du régime britannique d’acquisition de données aux exigences de la Convention EDH demeurait acquise – ce que ne retiendra au demeurant pas la Cour EDH, un an plus tard, dans son arrêt Big Brother Watch – , et qu’il ne convenait par conséquent que de savoir « whether the bulk communications data [BCD] regime is within the scope of EU Law and, if so, whether and how, any requirements of EU law that go beyond those applicable under the ECHR apply to the BCD regime »[75]. En particulier, l’IPT demanda à la Cour de clarifier « the basis on which EU law may apply to the national security activities of the Security and Intelligence Agencies [SIAs] of a Member State, having regard to Article 4 TEU »[76]. L’approche de l’IPT consista très explicitement à démontrer que l’article 1, § 3 de la directive 2002/58, mettant en œuvre l’article 4, § 2 TUE, ne pouvait que primer sur son article 15, § 1, en sorte que le motif tiré de la défense de la sécurité nationale s’oppose à ce que les régimes de conservation et d’accès subséquent aux données personnelles soient d’une quelconque manière encadrés par le droit de l’Union.
Dans le dernier point de son finding of facts qui précède immédiatement l’exposé des questions préjudicielles, l’IPT conclut en des termes catégoriques que « the imposition of the Watson Requirements if applicable, would critically undermine the ability of the SIAs to safeguard national security, and thereby put the national security of the United Kingdom at risk »[77].
4- Les questions préjudicielles adressées à la Cour
En définitive et sur la base des constats concordants établis par les juridictions de renvoi, les questions préjudicielles renvoyées devant la Cour de Justice se recoupent très largement et peuvent être résumées comme suit :
De manière générale, dans la mesure où l’article 4, § 2 TUE dispose expressément que la sécurité nationale reste de la seule responsabilité de chaque État membre, pourquoi le droit de l’Union devrait-il régir le régime des obligations dérogatoires prévues à l’article 15, § 1 de la directive 2002/58, dès lors que cet article fait expressément référence à la sauvegarde de la sécurité nationale ?
Subsidiairement, si tant est que les mécanismes d’acquisition de données justifiés par la sécurité nationale entrent bel et bien dans le champ du droit de l’Union, ne faut-il pas considérer que ces derniers constituent une ingérence justifiée par le droit à la sûreté garanti à l’article 6 de la Charte des droits fondamentaux ?
Plus particulièrement, et d’une part, les menaces graves et persistantes pour la sécurité nationale, notamment le risque terroriste, ne justifient-elles pas une obligation de conservation généralisée et indifférenciée imposée par la loi, si tant est que cette obligation soit assortie de garanties et de contrôles adéquats au stade de l’accès aux données et de leur traitement par les autorités internes ?
En qui concerne spécifiquement ces garanties, d’autre part, convient-il d’appliquer les exigences « Tele2 et Watson » au-delà du contexte de la lutte contre la criminalité grave, notamment lorsque les mesures sont justifiées par la protection de la sécurité nationale ?
Enfin, l’exigence de notification est-elle impérative ou bien peut-elle être compensée par d’autres garanties ? L’existence à elle seule d’une voie de contestation judiciaire ouverte à toute personne s’estimant visée par une collecte d’informations peut-elle compenser l’absence de notification ?
Les conclusions de l’avocat général Campos Sánchez-Bordona présentées le 15 janvier 2020 abordent ces questions dans le détail. Elles confirment non seulement les solutions dégagées dans l’arrêt Tele2 et Watson et confirmées par l’arrêt Ministerio Fiscal, mais étendent encore ces solutions au-delà du seul domaine pénal, laissant présager, non pas simplement un niveau de protection accru du droit de l’Union sur le droit de la Convention en matière d’acquisition de données, mais un risque réel d’incohérences juridiques entre les différents régimes de surveillance.
III- L’apport des conclusions de l’avocat général du 15 janvier 2020
A- Le sens des conclusions
Dans ses trois jeux de conclusions rendus publics le 15 janvier 2020, l’avocat général Campos Sánchez-Bordona cherche à évacuer les critiques selon lesquelles un primat serait donné par la Cour de Justice à la protection des droits fondamentaux sur l’efficacité des régimes de surveillance de masse. Le fil directeur de son analyse consiste à rechercher un équilibre entre « d’une part, le droit à la sécurité et, d’autre part, le droit à la vie privée et le droit à la protection des données à caractère personnel »[78]. En d’autres termes, les exigences de « nécessité et de proportionnalité des mesures au sein d’une société démocratique »[79] supposent que le critère tiré de l’efficacité de la lutte antiterroriste ne soit pas le seul à être envisagé, sauf à remettre en cause « un ordre juridique dont la défense des droits fondamentaux constitue la raison d’être et la finalité »[80]. La logique qui préside à l’ensemble des trois jeux de conclusions ressort de manière particulièrement claire de la réflexion suivante : « [s]i la justification des moyens du terrorisme ne répond à aucun autre critère que celui de l’efficacité pure (et maximale) de ses atteintes à l’ordre établi, pour l’État de droit, l’effectivité se mesure en des termes qui ne tolèrent pas de passer outre, lors de sa défense, les procédures et les garanties qui en font un ordre légitime »[81].
Aussi, l’avocat général ne nie pas le « contexte factuel » qui justifierait une obligation générale de conservation de donnée, en l’occurrence celui d’une menace grave et persistante pour la sécurité nationale dont la lutte « est littéralement vitale pour l’État et [dont la] réussite constitue un objectif d’intérêt général auquel un État de droit ne saurait renoncer »[82]. Il considère toutefois que les régimes de conservation généralisée de données prévus par les législations en en cause doivent être appréhendés également dans leur « contexte règlementaire », celui dans lequel le terrorisme constitue lui-même une « forme de criminalité particulièrement grave »[83].
De ce point de vue, l’avocat général insiste sur le fait que la particularité de la lutte contre le terrorisme est déjà prise en compte par la CJUE, en ce qui concerne les « situations réellement exceptionnelles, caractérisées par une menace imminente ou par un risque extraordinaire justifiant la constatation officielle de la situation d’urgence dans un État membre », lesquelles permettraient que soit imposée pour une durée limitée « une obligation de conservation de données aussi étendue et générale qu’il est jugé indispensable »[84].
La poursuite de cette recherche d’équilibre guide en définitive l’ensemble des propositions émises par l’avocat général, lequel confirme les acquis des décisions Digital Rights et Tele2 et Watson, les justifie, et les approfondit dans le contexte spécifique de la sécurité nationale, sans jamais s’en remettre à la jurisprudence de la Cour EDH.
Le sens de ses conclusions peut être synthétisé de la sorte :
Est confirmé le fait que l’article 15, § 1 de la directive 2002/58/CE s’oppose à une législation nationale imposant une obligation de conservation généralisée de données de communication et de localisation.
Est précisé que l’article 6 de la Charte des droits fondamentaux qui protège le droit à la sûreté garantit la sécurité personnelle et non la sécurité publique, dans le prolongement de l’interprétation que fait la Cour EDH de l’article 5 de la Convention EDH. Par conséquent, il ne constitue pas une cause de justification d’ingérences dans les droits à la vie privée et à la protection des données personnelles.
Est précisé que l’interdiction évoquée au point précédent est indifférente au fait que la législation en cause régisse non seulement la lutte contre la criminalité grave mais ait encore pour objectif « la sécurité nationale, la défense du territoire, la sécurité publique ».
Est précisé que ni l’article 4, § 2 TUE, ni l’article 1er, § 3 de la directive 2002/58 n’autorise les États à imposer aux fournisseurs de services de communication une obligation de fournir aux services de renseignement les données préalablement collectées de manière généralisée et indifférenciée.
Sont confirmées l’ensemble des exigences conditionnant l’accès aux données de Tele2 et Watson, pour l’ensemble des motifs recensés à l’article 15, § 1, et en particulier l’exigence d’informer les personnes concernées par un traitement de données par les autorités compétentes, dès lors que cela ne compromet pas l’action de ces autorités.
Est précisé, enfin, que l’article 15 ne s’oppose pas, sous le jeu de l’ensemble des points évoqués ci-dessus, à la conservation et l’accès au recueil de données en temps réel.
Chacune des réponses proposées par l’avocat général aux questions posées par les juridictions de renvoi s’accompagnent de justifications qui, si elles devaient être confirmées par la Cour dans ses décisions préjudicielles, auraient des répercussions importantes sur les obligations à la charge des États membres dans un domaine que la Cour EDH considère comme relevant de « l’ample marge d’appréciation » des États partie à la Convention.
B- La clarification de la portée de l’article 1er, § 3 de la directive 2002/58 dans les conclusions de l’affaire Quadrature du Net (C-511/18 et C-512-18)
Le jeu de conclusions spécifique à l’affaire Quadrature du Net porte sur la sauvegarde de la sécurité nationale, en tant que cause d’exclusion de l’application de la directive et en tant que cause de limitation des droits et obligations qu’elle prévoit.
L’arrêt Tele2 et Watson considérait en effet qu’il allait de soi que la règlementation des mesures visées par l’article 15, § 1, notamment la conservation de données par les fournisseurs de services de communication, relève du champ d’application de la directive, dès lors que cette disposition « n’autorise expressément les États membres à les adopter que dans le respect des conditions qu’elle prévoit »[85].
Pour convainquant que l’argument fut, la Cour de Justice ne s’était pas justifiée quant à la manière avec laquelle cette disposition se conciliait avec la clause d’exclusion de l’application de la directive insérée dans son article 1er, § 3, à propos des activités qui concernent notamment la « sureté de l’État », lesquelles sont purement et simplement exclues de son champ d’application. C’est sur ce point particulier que l’avocat général Campos Sánchez-Bordona s’est particulièrement attardé dans ses conclusions sous l’affaire Quadrature du net en distinguant la raison d’être de la « clause d’exclusion » et de la « clause de restriction » présentes dans la directive.
La clause d’exclusion de l’article 1er, § 3 de la directive met en œuvre l’article 4, § 2 TUE qui prévoit que « la sécurité nationale » reste de la responsabilité de chaque État membre. Or, la CJUE a pu confirmer, dans son arrêt Ministerio fiscal, que « les activités qui y sont mentionnées à titre d’exemples sont, dans tous les cas, des activités propres aux États ou aux autorités étatiques, étrangères aux domaines d’activité des particuliers »[86]. Par comparaison, la référence à la sécurité nationale dans l’article 15, § 1 ne régirait pas les activités propres aux États mais jouerait comme une clause de réserve permettant aux États membres d’imposer aux fournisseurs de services de communication, pour ce même motif, des droits et obligations dérogatoires. L’article 15, § 1, à la différence de l’article 1er, § 3, ne serait ainsi pas étranger aux domaines d’activité des particuliers régis par le droit de l’Union.
Par conséquent, l’avocat général considère que « l’élément clef » pour délimiter les champs respectifs de l’exclusion et de la limitation de l’application de cette directive tient à l’autonomie ou non de l’action des autorités étatiques. En matière de sécurité nationale, dès lors que les autorités publiques agissent « directement et par leurs propres moyens »[87], « pour leur propre compte », « sans requérir la collaboration de particuliers, et dès lors, sans leur imposer d’obligations dans leur gestion commerciale »[88], cette activité entre dans le champ de la clause d’exclusion de l’application de la directive. Au contraire, si l’activité liée à la sécurité nationale nécessite « le concours de particuliers auxquels certaines obligations sont imposées [par la directive] », cette « circonstance détermine l’entrée dans un domaine (la protection de la vie privée qui peut être exigée de ces acteurs privés) régi par le droit de l’Union »[89]. Par exemple, on pourrait considérer, à l’instar du Conseil d’État, que relèvent spécifiquement de la clause d’exclusion les régimes d’interception de données « qui sont directement mi[s] en œuvre par l’État sans régir les activités des fournisseurs de services de communications électroniques en leur imposant des obligations spécifiques »[90].
La portée de ce critère de distinction excède largement la seule directive 2002/58/CE qui n’est pas le seul instrument en matière de protection des données à considérer la sécurité nationale sous ces deux formes distinctes. À maintenir en effet cette distinction entre clause d’exclusion et de limitation par le truchement du critère du « concours des particuliers », cela signifie qu’elle serait ipso facto transposable au Règlement 2016/679 (« RGPD ») dont l’article 23, § 1 comporte une clause similaire à l’article 15, § 1 qui autorise notamment la limitation des droits et obligations des responsables de traitement de données pour des motifs de sécurité nationale, défense nationale, sécurité publique. Il serait tout aussi transposable à la directive 2016/680 « police-justice » (relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales), qui autorise également les États membres à limiter les droits des personnes concernées par un traitement de données.
L’économie même de l’article 4, § 2 TUE est donc ici en jeu. Si la sécurité nationale « reste de la seule responsabilité de chaque État membre », il faudrait comprendre, à suivre l’avocat général, que cette responsabilité est bel et bien encadrée par le droit de l’Union dès lors qu’elle est mise en œuvre par les États « directement et par leurs propres moyens ». Si tant est que l’exercice de cette responsabilité requière le concours de personnes physiques ou morales autrement assujetties à des obligations relevant du droit de l’Union, les compétences des États membres le seront logiquement elles aussi.
C- La confirmation de l’entrée dans le champ d’application de la directive 2002/58 des régimes d’accès aux données dans les conclusions de l’affaire Privacy International (C-623/17)
L’apport principal des conclusions de l’affaire Privacy International consiste à confirmer la solution exprimée dans l’arrêt Tele2 et Watson selon laquelle la transmission des données par les fournisseurs de services, au même titre que leur conservation, constitue un traitement de données à caractère personnel au sens de la directive 2002/58, de sorte qu’elle relève « tout naturellement » du champ d’application de la directive. Une distinction nette est ainsi effectuée entre l’opération de transmission des données, et « les activités des services de sécurité et de renseignement » en elles-mêmes. La première est du ressort du fournisseur de services de communications électroniques, alors que les secondes « pourraient ne pas être couvertes par le droit de l’Union si elles ne concernaient pas les fournisseurs de communications électroniques »[91].
Ce point clarifié, l’avocat général a proposé de conserver en l’état les conditions fixées dans l’arrêt Tele 2 et Watson, à savoir l’interdiction de toute législation prévoyant une conservation généralisée et indifférenciée de données à caractère personnel, y compris pour un motif de sécurité nationale, en renvoyant pour cela au raisonnement retenu dans ses conclusions dans l’affaire Quadrature du net. Ce faisant, il confirme la disjonction absolue des régimes de conservation et d’accès aux données. Il est clair, pour l’avocat général, qu’aucune exigence « en plus de celles imposées par la CEDH » ou de celles découlant de l’arrêt Tele2 en matière d’accès aux données ne pourraient remettre en question l’interdiction de la conservation généralisée et indifférenciée[92]. Les conditions de la conservation des données puis les conditions subséquentes relatives à leur accès régissent deux mécanismes distincts et étanches, dont les atteintes causées aux droits fondamentaux le sont tout autant.
D- L’approfondissement des modalités de la conservation limitée de données et des conditions d’accès des autorités internes à ces données dans les conclusions de l’affaire Ordre des barreaux francophones et germanophone (C-520/18)
L’objet de l’analyse effectuée dans les conclusions de cette troisième affaire est le plus problématique dans la mesure où il tient au contenu du régime de la conservation de données et de son accès par les autorités internes. L’analyse effectuée par l’avocat général tente à ce titre de justifier la faisabilité d’un système de conservation et d’accès restreint aux données. Si l’efficacité d’un tel système est nécessairement moindre pour lutter contre les menaces à la sécurité nationale, c’est « le prix […] que les pouvoirs publics doivent payer lorsqu’ils s’imposent à eux-mêmes l’obligation de sauvegarder les droits fondamentaux »[93] (§ 102).
D’une part, l’utilité même d’une conservation de données ciblée qui aille au-delà des seules données nécessaires à la gestion des obligations contractuelles envers les utilisateurs aux fins de prévention de la criminalité n’est pas remise en question[94]. Pour autant, définir les contours de cette obligation n’en est pas moins complexe. L’avocat général expose par exemple les difficultés d’un système de conservation de données relatives à un public spécifique considéré comme présentant certains liens avec les menaces les plus graves, ou bien à une zone géographique déterminée. Pour autant et afin de répondre aux nombreuses critiques des États sur la faisabilité d’un tel système, l’avocat général « insiste » sur la possibilité de trouver d’autres modalités de conservation, qui ne soient pas fondées sur un critère géographique ou bien un public spécifique[95]. Il cite par exemple la limitation des catégories de données conservées, leur pseudonymisation, ou bien la limitation des périodes de conservation[96], l’objectif étant, en définitive, que les données conservées « ne permettent pas, prises ensemble, d’obtenir une image précise et détaillée de la vie des personnes concernées »[97].
Bien conscient des difficultés pratiques inhérentes à l’exercice de définition des hypothèses et conditions dans lesquelles une conservation ciblée peut être effectuée, l’avocat général considère que « dans l’attente d’une réglementation commune à l’ensemble de l’Union dans ce domaine spécifique, [on ne peut] demander à la Cour d’assumer des fonctions règlementaires et de préciser, en détail, quelles catégories de données peuvent être conservées et pour combien de temps »[98]. À la Cour de fixer les limites qui découlent de la Charte, et aux institutions de l’Union et aux États membres « de placer le curseur au bon endroit afin d’opérer un équilibre entre la sauvegarde de la sécurité et les droits fondamentaux protégés par la Charte »[99]
D’autre part, en ce qui concerne les règles spécifiques aux conditions d’accès des autorités de renseignement aux données conservées, l’avocat général ne définit pas non plus outre mesure les conditions d’accès des autorités de renseignement à celles-ci. En l’absence de règlementation précise et commune à l’ensemble des États membres de l’Union, il confirme la pertinence des principes énoncés dans Tele2 et Watson selon lesquels la règlementation nationale établissant les conditions matérielles et procédurales régissant l’accès doit garantir qu’il soit limité au strict nécessaire[100], avec tout ce que ce contrôle de stricte nécessité implique en termes de délimitation des circonstances et conditions dans lesquelles l’accès doit être accordé ; d’autorisation préalable ; et de notification aux personnes concernées[101].
Le point déterminant qui est mis en lumière par l’avocat général est que l’incompatibilité du régime belge de conservation de données au regard des exigences du droit de l’Union rend vain, en tout état de cause, l’exercice consistant à justifier cette incompatibilité par des garanties précisément réglementées en termes d’accès. Ici encore, la position de l’avocat général s’inscrit dans le prolongement immédiat de l’apport de Tele2 et Watson sur les ingérences et les justifications distinctes induites par la conservation de données et l’accès aux données.
** *
La saga judiciaire relative au régime européen d’acquisition de données de communications électroniques est appelée à connaitre d’importants prolongements. L’impact que les décisions préjudicielles de la Cour de Justice pourront avoir sur le raisonnement que la Grande Chambre de la Cour EDH adoptera dans les affaires Big Brother Watch et Centrum för Rättvisa demeure par exemple très incertain.
Pour l’heure, les conceptions distinctes du contrôle de proportionnalité effectué par les deux Cours en matière d’atteintes au droit à la vie privée dans le contexte particulier des données personnelles incite les États à prendre le contrepied des solutions édictées par la Cour de Justice. À ce titre, il est remarquable que la dernière mouture du projet de Règlement « e-Privacy » en date du 6 mars 2020[102] et qui abrogera la directive 2002/58 a purement et simplement éliminé la défense de la sécurité nationale des motifs justifiant de limiter la portée des droits et obligations prévus par le Règlement[103]. Il sera d’autant plus intéressant de voir comment réagira la Cour de Justice dans ce contexte, alors que rien ne garantit l’adoption de ce projet. Si l’arrêt de la Cour s’inscrit dans la lignée de ses précédentes décisions, l’on peut craindre, dans ce domaine comme dans d’autres, un accroissement du contrôle ultra vires des actes de l’Union européenne par les juridictions internes, afin de neutraliser toute « incursion grave [de l’Union], au-delà de son domaine de compétence, dans des sphères réservées aux États membres »[104].
Toujours est-il que l’audace dont a su faire preuve la Cour de Justice en 2016 pour limiter l’impact des réactions sécuritaires des démocraties européennes sur la vie privée des individus semble sur le point d’être réitéré. Reste à savoir comment la Cour de Justice et la Cour européenne des droits de l’homme surmonteront les dissonances constatées entre leurs jurisprudences pour œuvrer à la constitution d’un espace homogène de garanties effectives contre les abus de la surveillance de masse. Comme le résume très justement l’avocat général Campos Sánchez-Bordona, « s’il s’abandonnait à la simple efficacité, l’État de droit perdrait la qualité de ce qui le distingue et pourrait devenir, dans des cas extrêmes, une menace pour le citoyen »[105].
[1] G. Greenwald, « NSA collecting phone records of millions of Verizon customer daily », The Guardian, 6 juin 2013.
[2] Voir en ce sens la requête déposée devant l’Investigatory Powers Tribunal (Royaume-Uni) par l’ONG Privacy International, disponible en ligne : https://privacyinternational.org/sites/default/files/2018-02/Privacy%20International%20IPT%20Grounds_0%20%281%29.pdf.
[3] The Guardian, « Theresa May unveils UK surveillance measures in wake of Snowden claims », 4 novembre 2015, disponible en ligne :
https://www.theguardian.com/world/2015/nov/04/theresa-may-surveillance-measures-edward-snowden.
[4] L’article 4, § 2 du Traité instituant l’Union européenne spécifie expressément que « la sécurité nationale reste de la seule responsabilité de chaque État membre ».
[5] Cour EDH, Centrum för Rättvisa c. Suède, arrêt du 19 juin 2018, req. n° 35252/08, § 112 ; dans le même sens, Cour EDH, Big Brother Watch e.a. c. Royaume-Uni, arrêt du 13 septembre 2018, req. n° 58170/13, 62322/14, 24960/15, § 314. Ces arrêts ont tous deux fait l’objet de renvois devant le collège de la Grande Chambre le 4 février 2019.
[6] CJUE, Grande Chambre, 21 décembre 2016, Tele 2 Sverige et Tom Watson, aff. jointes C‑203/15 et C‑698/15, § 103.
[7] Conseil d’État, La Quadrature du Net e.a., arrêt du 26 juillet 2018, n° 394922 et arrêt du 26 juillet 2018, n° 393099 ; Cour constitutionnelle (Belgique), Ordre des barreaux francophones et germanophone e.a., arrêt du 19 juillet 2018, n° 96/2018 ; Investigatory Powers Tribunal (Royaume-Uni), Privacy International v. Secretary of State for Foreign and Commonwealth Affairs, arrêt du 23 juillet 2018, n° IPT/15/110/CH.
[8] Tel était le cas, notamment, de l’article 13, § 1 de la directive 95/46 et désormais de l’article 23 du règlement 2016/679. C’est encore le cas de l’article 15, § 1 de la directive 2002/58 qui constitue ici le cœur des développements du présent article.
[9] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
[10] Précisons qu’un projet de Règlement « e-Privacy » abrogeant la directive 2002/58 est en discussion au Conseil de l’Union européenne depuis 2017. Sa dernière mouture a été rendue publique le 6 mars 2020. Disponible en ligne :
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CONSIL:ST_6543_2020_INIT&from=EN.
[11] CJUE, Grande Chambre, 21 décembre 2016, Tele 2 Sverige et Tom Watson, op. cit., § 129, reprenant en ce sens l’article 52, § 3 de la Charte des droits fondamentaux de l’Union européenne.
[12] CJUE, Avis 2/13 du 18 décembre 2014, § 179.
[13] Voir en ce sens les développements de S. PEYROU, « La Cour de Justice, garante du droit ‘constitutionnel’ à la protection des données à caractère personnel », RTD eur. 2015, pp. 117 et s.
[14] CJUE, Grande Chambre, 8 avril 2014, Digital Rights Ireland Ltd, C-293/12.
[15] CJUE, Grande Chambre, 13 mai 2014, Google Spain, C-131/12.
[16] CJUE, Grande Chambre, 6 octobre 2015, Schrems, C-362/14.
[17] CJUE, Tele 2 et Watson, op.cit.
[18] Que l’on pense aux dissonances persistantes entre la jurisprudence de la CEDH et de la CJUE quant à la portée du principe ne bis in idem sur le cumul des « poursuites/sanctions pénales » et « poursuites/sanctions administratives de nature pénale ». Son interprétation autonome par la Cour de Justice, fondée sur l’article 50 de la Charte des droits fondamentaux et non sur l’article 4 du protocole n° 7 de la Convention, lui donne une portée plus protectrice. Voir en ce sens, CEDH, A et B c. Norvège, arrêt du 15 nov. 2016, req. n° 24130/11 et 29758/11, AJDA 2016. 2190 ; D. 2017. 128, obs. J.-F. RENUCCI et A. RENUCCI ; AJ pénal 2017. 45, obs. M. ROBERT) ; CJUE: Menci (C-524/15); Di Puma et Zecca (C-596/16 et C-597/16); Garlsson Real Estate e.a., (C-537/16), arrêts du 20 mars 2018.
[19] CJUE, arrêt du 8 avril 2014, Digital Rights Ireland Ltd, op. cit.
[20] Directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE.
[21] Ibid., article 1er, § 1.
[22] Ibid., article 6. L’ensemble des données concernées constituaient des « données de communication », distinctes du contenu de la communication. Il s’agit par exemple des données nécessaires à l’identification de la source d’une communication (numéro de téléphone ; adresse IP…) ; les données nécessaires pour déterminer la date, l’heure et la durée d’une communication ou bien encore la localisation du matériel de communication.
[23] Ibid., article 4.
[24] Voir sur ce point les développements de S. PEYROU, « La Cour de justice, garante du droit ‘constitutionnel’ à la protection des données à caractère personnel », RTD eur. 2015, pp. 117-131 ; voir également, H. LABAYLE, « La Cour de Justice et la protection des données : quand le juge européen des droits fondamentaux prend ses responsabilités », 9 avril 2014, publié en ligne sur le site gdr-elsj.eu ; M.-L BASILIEN-GAINCHE, « Une prohibition européenne claire de la surveillance électronique de masse », La Revue des Droits de l’Homme, mai 2014, disponible en ligne: https://doi.org/10.4000/revdh.746.
[25] S. PEYROU, « La Cour de justice, garante du droit ‘constitutionnel’ à la protection des données à caractère personnel », op. cit.
[26] CJUE, Tele 2 et Watson, op.cit., § 75.
[27] CJUE, Conclusions de l’avocat général Saugmandsgaard Øe présentées le 19 juillet 2016, Tele2 et Watson, aff. jointes C-203/15 et C-698/15, § 93. L’avocat général cite en ce sens CJUE, 6 novembre 2003, Lindqvist, aff. C-101/01, §§ 43 et 44.
[28] CJUE, Conclusions de l’avocat général sous Tele2 et Watson, op. cit., §§ 90-97.
[29] Ibid., § 124.
[30] CJUE, Tele 2 et Watson, op.cit., § 78.
[31] CJUE, Digital Rights, op. cit., § 61.
[32] CJUE, Tele2 et Watson, op. cit., § 118.
[33] Ibid., § 125.
[34] Ibid., § 108. Voir sur ce point les développements de M. BENLOLO-CARABOT, « Protection des données personnelles, lutte contre le terrorisme : la CJUE confrontée à la surveillance de masse », Chronique Droit pénal de l’Union européenne, RTDEur. 2017, pp. 884 et s.
[35] Sur l’exigence jurisprudentielle de « stricte nécessité » des mesures limitant l’exercice des droits à la protection des données à caractère personnel, voir notamment, European Data Protection Supervisor, « Guide pour l’évaluation de la nécessité des mesures limitant le droit fondamental à la protection des données à caractère personnel », 11 avril 2017, p. 7.
[36] CJUE, Tele 2 et Watson, op. cit., §§ 105-107.
[37] Ibid., § 113.
[38] Ibid., § 125.
[39] Ibid., § 119.
[40] Ibid.
[41] Ibid., § 120.
[42] Ibid., § 121.
[43] L’article dispose que « [l]a présente directive ne s’applique pas aux activités qui ne relèvent pas du traité instituant la Communauté européenne, telles que celles visées dans les titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux activités concernant la sécurité publique, la défense, la sûreté de l’État (y compris la prospérité économique de l’État lorsqu’il s’agit d’activités liées à la sûreté de l’État) ou aux activités de l’État dans des domaines relevant du droit pénal ».
[44] CJUE, Conclusions de l’avocat général Saugmandsgaard Øe, op. cit., § 124.
[45] CJUE, Tele2 et Watson, op. cit., § 72.
[46] F.-X. BRECHOT, « Clap de fin pour la conservation généralisée des données de connexion en Europe? », Rev. De l’UE, 2017, p. 178.
[47] T. CHRISTAKIS, « A Fragmentation of EU/ECHR Law on Mass Surveillance: Initial thoughts on the Big Brother Watch Judgment », European Law Blog, 20 septembre 2018, disponible en ligne: https://europeanlawblog.eu/2018/09/20/a-fragmentation-of-eu-echr-law-on-mass-surveillance-initial-thoughts-on-the-big-brother-watch-judgment/.
[48] Ce constat est notamment partagé par les juges PARDALOS et EICKE dans leur opinion commune en partie dissidente et en partie concordante, § 22 : « s’il y a une certaine similitude dans les termes utilisés par les deux cours européennes, la CJUE a manifestement adopté une approche plus prescriptive quant aux garanties qu’elle estime nécessaires ».
[49] Cour EDH, Big Brother Watch c. Royaume-Uni, op. cit., § 467.
[50] À savoir, qu’« un accès ne saurait, en principe, être accordé, en relation avec l’objectif de lutte contre la criminalité, qu’aux données de personnes soupçonnées de projeter, de commettre ou d’avoir commis une infraction grave ou encore d’être impliquées d’une manière ou d’une autre dans une telle infraction » : Cour EDH (Gr. Ch.), Roman Zakharov c. Russie, op. cit., § 260.
[51] CJUE, Tele2 et Watson, op. cit., § 115.
[52] Voir en ce sens les développements relatifs aux circonstances dans lesquelles l’accès aux données interceptées peut être réalisé : Cour EDH, Big Brother Watch c. Royaume-Uni, op. cit., §§ 337-338.
[53] Ibid., § 345.
[54] Cour EDH, Big Brother Watch c. Royaume-Uni, op. cit., § 213 et Cour EDH, Centrum för rättvisa c. Suède, op. cit., note 3, § 71.
[55] Cour EDH, Big Brother Watch c. Royaume-Uni, op. cit., § 381.
[56] Ibid., § 377.
[57] Ibid., § 345.
[58] Ibid., § 346.
[59] CJUE, Grande Chambre, 2 octobre 2018, Ministerio Fiscal, C-207/16.
[60] Voir en ce sens, F.-X. BRECHOT, « Conservation des données de connexion : la CJUE invitée à reconsidérer sa jurisprudence », AJDA, 2018, p. 2027.
[61] CE, 26 juillet 2018, La quadrature du net e.a., n° 394922, à l’origine de l’affaire C-511/18.
[62] CE, 26 juillet 2018, La quadrature du net e.a., n°393099, à l’origine de l’affaire C-512/18.
[63] Lequel énumère les données qui doivent être conservées par les opérateurs de communications électroniques et fixe à un an leur durée de conservation.
[64] CE, 26 juillet 2018, La quadrature du net e.a., n° 394922, § 27.
[65] CJUE, Grande Chambre, 26 juillet 2017, avis 1/15, concernant le projet d’accord entre le Canada et l’Union européenne à propos du transfert et du traitement de données des dossiers passagers (données « PNR »).
[66] CE, 26 juillet 2018, La quadrature du net e.a., n° 394922, §§ 24-25.
[67] CE, 26 juillet 2018, La quadrature du net e.a., n°393099, § 5.
[68] Arrêt n° 96/2018 du 19 juillet 2018.
[69] Ibid., § B. 4.1.
[70] Ibid., § B. 6.8.
[71] Ibid., § B. 15.
[72] Ibid., § B. 20.2.
[73] IPT, Order du 8 septembre 2017, Privacy International v. Secretary of State for Foreign and Commonwealth Affairs e.a., case n° IPT/15/110/CH.
[74] IPT, arrêt du 17 octobre 2016, Privacy international v. Secretary of State for foreign and Commonwealth affairs e.a., [2016] UKIPTrib 15_110-CH.
[75] IPT, Order du 8 septembre 2017, op. cit., § 3.
[76] Ibid, § 4.
[77] Ibid., § 59 vi.
[78] CJUE, Conclusions de l’avocat général Campos Sánchez-Bordona, La Quadrature du Net e.a., 15 janvier 2020, C-511/18 et C-512/18.
[79] Ibid., § 102. Italique dans le texte original.
[80] Ibid., § 130.
[81] Ibid., § 131. Ce raisonnement tranche fondamentalement avec celui que tint le Conseil d’État, dans son rapport de 2014 rendu public après l’arrêt Digital Rights, et qui en déplorait justement les conséquences du point de vue de l’efficacité pure des régimes de surveillance, Conseil d’État, Le numérique et les droits fondamentaux, Coll. Les rapports du Conseil d’État, 446 p., pp. 209-210.
[82] CJUE, Conclusions de l’avocat général sous C-511/18 et C-512/18, op. cit., § 128.
[83] Ibid., § 120.
[84] Ibid., § 104, et sous C-520/18, Ordre des barreaux francophones et germanophone, § 105.
[85] CJUE, Tele2 et Watson, op. cit., § 73.
[86] CJUE, Ministerio Fiscal, op. cit., § 32. Italiques ajoutées.
[87] CJUE, Conclusions de l’avocat général sous C-511/18 et C-512/18, op. cit., § 85.
[88] Ibid., § 79.
[89] Ibid., § 85.
[90] CE, 26 juillet 2018, La quadrature du net e.a., n° 394922, op. cit., § 22.
[91] CJUE, conclusions de l’avocat général sous C-623/17, § 32.
[92] Ibid., §§ 40-44.
[93] CJUE, conclusions de l’avocat général sous C-520/18, § 102.
[94] Ibid., § 81.
[95] Ibid., § 92.
[96] Ibid.
[97] Ibid., § 93.
[98] Ibid., § 101.
[99] Ibid.
[100] Ibid., § 128.
[101] Voir sur ce point, supra, pp. 14-15.
[102] Conseil de l’Union européenne, Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications), 6 mars 2020, 2017/0003(COD), disponible en ligne :
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CONSIL:ST_6543_2020_INIT&from=EN.
[103] Ibid., voir l’article 11, § 1 du projet de Règlement, remplaçant l’actuel article 15, § 1 de la directive 2002/58.
[104] S. DAHAN, O. FUCHS, M.-L. LAYUS, « Whatever it takes ? A propos de la décision OMT de la Cour constitutionnelle fédérale d’Allemagne », AJDA, 2014, n° 23, pp. 1311-1319.
[105] Conclusions de l’avocat général sous C-511/18, § 131.