La Cour de justice de l’union européenne vient d’invalider la directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006.
Cette directive prévoit que les fournisseurs de services de communications électroniques et de réseaux publics de communication doivent conserver les données relatives au trafic, les données de localisation ainsi que les données connexes nécessaires pour identifier l’abonné ou l’utilisateur pendant six mois à deux ans.
Elle était introduite à la suite des attaques terroristes à Madrid et à Londres en 2006.
La Haute Cour d’Irlande et la Cour constitutionnelle d’Autriche avaient demandé à la Cour de justice d’examiner la validité de la directive au vu de deux droits fondamentaux de la Charte européenne : droit fondamental du respect de la vie privée et du droit fondamental à la protection des données à caractère personnel.
La Cour estime qu’en imposant la conservation de ces données et en en permettant l’accès aux autorités nationales compétentes, la directive s’immisce de manière particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. En outre, le fait que la conservation et l’utilisation ultérieure des données sont effectuées sans que l’abonné ou l’utilisateur inscrit en soit informé est susceptible de générer dans l’esprit des personnes concernées le sentiment que leur vie privée fait l’objet d’une surveillance constante.
En revanche, elle estime que la conservation des données imposée par la directive n’est pas de nature à porter atteinte au contenu essentiel des droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. De plus, la conservation des données en vue de leur transmission éventuelle aux autorités nationales compétentes répond effectivement à un objectif d’intérêt général, à savoir la lutte contre la criminalité grave ainsi que, en définitive, la sécurité publique.
Toutefois, la Cour estime qu’en adoptant la directive sur la conservation des données, le législateur de l’Union a excédé les limites qu’impose le respect du principe de proportionnalité.
L’ingérence vaste et particulièrement grave de cette directive dans les droits fondamentaux en cause n’est pas suffisamment encadrée afin de garantir que cette ingérence soit effectivement limitée au strict nécessaire.
La directive n’est pas ciblée : aucune différenciation, limitation ou exception n’est opérée en fonction de l’objectif de lutte contre les infractions graves.
La directive ne prévoit aucun critère objectif qui permettrait de garantir que les autorités nationales compétentes n’aient accès aux données et ne puissent les utiliser qu’aux seules fins de prévenir, détecter ou poursuivre pénalement des infractions susceptibles d’être considérées comme suffisamment graves pour justifier une telle ingérence.
Enfin la Cour critique que la durée de conservation n’a aucun critère objectif, que les fournisseurs de services peuvent tenir compte de considérations économiques lors de la détermination du niveau de sécurité qu’ils appliquent, ce qui ne protège pas suffisamment contre les risques d’abus ainsi que contre l’accès et l’utilisation illicites des données, et que la directive, en n’imposant pas une conservation des données sur le territoire de l’Union, ne garantit pas le contrôle du respect des exigences de protection et de sécurité par une autorité indépendante, comme cela est pourtant explicitement exigé par la charte.