Manuel Campos Sánchez-Bordona, l’avocat général de la Cour de Justice de l’Union Européenne (CURIA ou CJUE), vient de donner son avis sur quatre renvois préjudiciels d’États membres portant sur le même thème : les limites à imposer ou non aux invasions de la vie privée par les services de sécurité et de renseignement, au nom de la sécurité nationale ou de la lutte contre le terrorisme (C-623/17 Privacy International, C-511/18 La Quadrature du Net e.a. et C-512/18 French Data Network e.a. et C-520/18 Ordre des barreaux francophones et germanophone e.a.).
En droit de l’UE, un renvoi préjudiciel permet aux juridictions des États membres, dans le cadre d’un litige dont elles sont saisies, d’interroger la Cour sur l’interprétation du droit de l’Union ou sur la validité d’un acte de l’Union. La Cour ne tranche pas le litige national. Il appartient à la juridiction nationale de résoudre l’affaire conformément à la décision de la Cour. Cette décision lie, de la même manière, les autres juridictions nationales qui seraient saisies d’un problème similaire.
L’Avocat Général rappelle que les directives 95/46 et 2002/58 cherchent à établir un équilibre entre droits fondamentaux des citoyens et impératifs nationaux, en respectant le droit d’un État membre de limiter, au moyen de mesures législatives, des droits et des obligations qu’il prévoit, lorsque cela est nécessaire pour garantir, entre autres objectifs, la sécurité nationale, la défense nationale ou la sécurité publique.
La directive de protection de la vie privée exclut de son application les activités menées, en vue de préserver la sécurité nationale, par les pouvoirs publics pour leur propre compte, sans requérir la collaboration de particuliers et, dès lors, sans leur imposer d’obligations dans leur gestion commerciale.
En revanche, lorsque le concours de particuliers – comme les employés de fournisseurs de services de communication électronique – auxquels certaines obligations sont imposées est requis, même pour des raisons de sécurité nationale, cette circonstance relève du domaine régi par le droit de l’Union, celui de la protection de la vie privée qui peut être exigée de ces acteurs privés.
L’identification des activités de l’autorité publique doit nécessairement être restrictive, sous peine de priver d’effet utile la réglementation de l’Union en matière de protection de la vie privée.
Il est ainsi hors de question d’imposer à des fournisseurs de services de communication électronique une conservation généralisée et indifférenciée de données à caractère personnel, car elle fournit un récit détaillé de la vie des personnes concernées pendant une longue période.
Sauf dans les cas d’urgence dûment justifiés, l’accès aux données en question doit être soumis au contrôle préalable d’une juridiction ou d’une autorité administrative indépendante, dont la décision réponde à une demande motivée des autorités compétentes.
La directive s’oppose ainsi aux réglementations françaises, belges et britanniques, qui imposent aux opérateurs et aux prestataires de services de communications électroniques de conserver ou de fournir, de manière générale et indifférenciée, les données relatives au trafic et les données de localisation de tous les abonnés ainsi que les données permettant d’identifier les créateurs de contenus offerts par les fournisseurs de ces services.
En revanche, la directive ne s’oppose pas à une réglementation nationale qui permet de recueillir, en temps réel, les données relatives au trafic et les données de localisation de personnes spécifiques, pour autant que ces actions soient menées conformément aux procédures prévues pour l’accès aux données à caractère personnel légalement conservées et avec les mêmes garanties.
Les conclusions de l’avocat général ne lient pas la CURIA. Toutefois, celle-ci suit son avis la plupart du temps.
Ses conclusions augurent donc d’une victoire pour la Quadrature du Net, French Data Network, Privacy International, et tous les citoyens de l’Union européenne.