La Cour de justice de l’Union européenne (CJUE) vient d’affirmer une nouvelle fois sa volonté de garantir les droits fondamentaux des personnes dans le monde numérique en complétant l’édifice législatif établi en matière de protection des données (CJUE, 21 décembre 2016, C-203/15 et C-698/15).

Alors qu’elle avait invalidé, en avril 2014, la directive 2006/24 du 15 mars 2006 qui obligeait les opérateurs de télécommunications à conserver les données de leurs utilisateurs (CJUE, 8 avril 2014, C-293/12 et C-594/12, Digital Rights Ireland e.a.), la Cour de justice était saisie, dans son arrêt du 21 décembre 2016, de la conformité aux textes européens de deux législations nationales imposant une obligation similaire. En effet, les juridictions suédoises et anglaises lui avaient transmis des questions préjudicielles relatives à l’interprétation de la directive vie privée et communications électroniques du 12 juillet 2002, au regard de règles nationales prévoyant la conservation de données à des fins de lutte contre la criminalité.

Dans sa décision, la Cour rappelle l’obligation pour les Etats membres de garantir la confidentialité des communications, et l’effacement des données qui y sont relatives. Ces données ne peuvent être conservées que dans un objectif de « sauvegarde de la sécurité nationale, [de] la défense et la sécurité publique, [de] prévention, [de] recherche, [de] détection et [de] poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques ».

Or, d’après la CJUE, les législations nationales suédoise et anglaise prévoient l’obligation pour les opérateurs de télécommunications de conserver de manière systématique, continue, généralisée et indifférenciée certaines données, et ce sans aucune exception. La conservation de ces données, très précises, constitue une ingérence particulièrement grave dans la vie privée des personnes, que seul un objectif de lutte contre la criminalité grave pourrait justifier.

La Cour de Justice indique précisément les pratiques destinées à guider les Etats membres dans l’instauration de règles de conservation des données. Ainsi, les règles doivent :

• être claires et précises ;
• imposer un minimum d’exigences, notamment mettre à la disposition des personnes concernées des garanties suffisantes de protection de leurs données ;
• indiquer en quelles circonstances et sous quelles conditions une mesure de conservation des données peut être prise ;
• répondre à des critères objectifs qui créent un lien entre les données qui sont conservées et l’objectif poursuivi ;
• viser des personnes spécifiques liées à des activités criminelles graves.

Enfin, la CJUE prévoit que les autorités nationales ne peuvent accéder à ces données que si un contrôle préalable d’une juridiction ou d’une autorité administrative indépendante est effectué.

Afin de se conformer aux exigences instaurées par cette décision, il semblerait que la législation française doive être modifiée, notamment l’article L.34-1 du Code des postes et des communications électroniques, qui prévoit une obligation générale, pour les opérateurs de communications électroniques, de conserver les données des personnes ayant contribué à la création d’un contenu illicite sur Internet.

Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.