DEUXIÈME PARTIE
DES DROITS NATIONAUX
BOULEVERSÉS PAR LA JURISPRUDENCE DE LA CJUE
Largement utilisées par les services d'enquête et essentielles à la manifestation de la vérité, les données de connexion restent, comme on l'a vu, des données sensibles : leur conservation et leur exploitation soulèvent donc des interrogations quant au juste point d'équilibre entre la préservation de la vie privée et la nécessaire lutte contre les infractions pénales.
C'est dans ce débat qu'est intervenue, dès 2014, la Cour de justice de l'Union européenne en posant l'exigence d'une protection maximale des données personnelles - exigence qui, en retour, a généré des perturbations dans de nombreux États membres et qui suscite aujourd'hui des inquiétudes dans tous les services d'enquête européens, comme en atteste la déclaration de Lisbonne déjà citée.
I. UN RECOURS AUX DONNÉES DE CONNEXION PROFONDÉMENT DESTABILISÉ PAR LA JURISPRUDENCE DE LA CJUE
A. UN ENCADREMENT SCRUPULEUX DU RECOURS AUX DONNÉES DE CONNEXION
L'utilisation massive faite par les services de police et de gendarmerie des données de connexion à des fins d'élucidation et de résolution des enquêtes a été profondément déstabilisée par la position qu'a adoptée la Cour de justice de l'Union européenne (CJUE) quant à sa conformité aux textes de droit communautaire protégeant le droit à la vie privée (en particulier la directive 2002/58/CE du 12 juillet 2002, dite « vie privée et communications électroniques » ou « e-privacy »).
Progressivement construite à partir de l'arrêt Digital Rights Ireland Ltd du 8 avril 2014, et surtout des arrêts Tele2 Sverige AB du 21 décembre 2016 et La Quadrature du Net et autres du 6 octobre 2020, cette jurisprudence part du principe, réaffirmé maintes fois depuis par la Cour, qu'une conservation généralisée et indifférenciée des données de connexion, par le volume et le détail des informations qu'elle permet de connaître sur la vie de tout citoyen, porte au droit au respect à la vie privée et à la protection des données personnelles une atteinte massive, qui ne peut par conséquent être admise que pour des motifs et dans des hypothèses très circonscrits.
Il convient à cet égard de distinguer la conservation des données, d'une part, et l'accès à ces données, d'autre part.
Sur le premier point, la Cour juge en substance que seule la sauvegarde de la sécurité nationale est susceptible de justifier une obligation généralisée et indifférenciée de conservation des données de connexion de trafic et de localisation, considérées comme les plus sensibles. L'existence et la gravité de cette menace doivent pouvoir être constatées par un juge ou une autorité administrative indépendante.
Une telle obligation ne peut en revanche pas être imposée en matière de lutte contre la criminalité grave et la prévention des menaces graves pour la sécurité publique. Pour ces finalités, la Cour n'admet que la possibilité, soit d'une conservation ciblée sur un groupe de personnes ou un lieu déterminé, soit d'une conservation dite « rapide », afin de permettre de prévenir ou de réprimer une infraction déterminée.
Enfin, en dehors de ces deux motifs - sauvegarde de la sécurité nationale et lutte contre la criminalité grave -, aucune obligation de conservation de données de trafic et de localisation ne saurait être imposée par les États membres aux opérateurs pour des motifs liés à la lutte contre la criminalité « ordinaire ».
À l'inverse, la Cour admet la possibilité d'une conservation générale et indifférenciée des données d'identification, quel qu'en soit le motif (donc à la fois pour la lutte contre la criminalité « ordinaire », contre la criminalité grave et pour prévenir les menaces graves contre la sécurité publique), puisqu'elle constitue une certes une ingérence, mais de portée réduite.
S'agissant, en second lieu, des conditions dans lesquelles les services de sécurité sont susceptibles d'accéder aux données ainsi conservées, la Cour juge qu'un tel accès doit être obligatoirement soumis au contrôle préalable d'une juridiction ou d'une autorité administrative indépendante (arrêt de grande chambre H.K./Prokuratuur du 2 mars 2021). En cas d'urgence, le contrôle peut intervenir a posteriori, mais à bref délai. En outre, il ne leur est possible d'accéder aux données que pour le motif pour lequel elles ont été conservées et, en tout état de cause, il leur est interdit d'accéder aux données de trafic et de localisation pour la recherche d'infractions « non graves ». Enfin, les personnes dont les données ont été ainsi consultées doivent en être informées.
Cette position est particulièrement stricte puisqu'elle pose le principe que, par nature, les données de connexion permettent de tirer des conclusions très précises sur la vie privée des personnes concernées, si bien que tout accès à ces données constitue une ingérence grave et que, pour « prendre le mal à la racine », il y a lieu de restreindre autant que possible la conservation des mêmes données. Pour illustrer la rigueur de la jurisprudence de la Cour, on rappellera que les faits à l'origine du procès pénal en droit national dans l'affaire précitée H.K./Prokuratuur portaient sur trois accès d'une durée respective d'une journée, d'un mois et de onze mois ; or tous ont fait l'objet de la même censure, alors que l'on peut émettre des doutes légitimes sur la possibilité de connaître, pour reprendre les termes de la Cour, les « habitudes de la vie quotidienne, les lieux de séjours permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales [des] personnes et les milieux sociaux fréquentés par celles-ci » avec un accès limité à une seule journée.
Il convient de relever, par ailleurs, que la position de la CJUE diffère sensiblement de celle de la Cour européenne des droits de l'homme qui, si elle considère également la conservation de données de connexion comme une ingérence dans le droit de toute personne au respect de sa vie privée, protégé par l'article 8 de la Convention européenne des droits de l'homme, s'attache pour sa part, dans le cadre de son contrôle in concreto, à examiner la légalité, la légitimité et la nécessité de la réglementation en cause ainsi que les garanties dont elle est assortie39(*).
Ces décisions ont provoqué un véritable effet de sidération dans les services d'enquête et les parquets, car non seulement elles paraissent condamner le recours aux données de connexion pour une frange très large d'infractions, notamment celles liées à la « délinquance du quotidien » pour lesquelles elles constituent un élément de preuve essentiel, mais, en outre, en posant l'exigence d'un contrôle préalable indépendant sur toute réquisition de ce type, elles portent un risque d'alourdissement et de ralentissement des enquêtes.
Sans doute cette jurisprudence de la Cour de justice n'est-elle pas encore entièrement stabilisée. La Cour est notamment appelée à se prononcer prochainement sur le droit de l'ex-Hadopi (désormais ARCOM) d'obtenir auprès des fournisseurs d'accès à Internet les données d'identité civile correspondant à une adresse IP, afin de lutter contre la reproduction et la diffusion illégale d'oeuvres protégées par les droits d'auteurs, sans contrôle préalable par une juridiction ou une entité administrative indépendante dotée d'un pouvoir contraignant. À cette occasion, la Cour aura notamment à se prononcer sur la possibilité ouverte, ou non, aux États-membres de prévoir une conservation généralisée et indifférenciée des adresses IP afin de permettre la prévention et la répression d'infractions pénales en ligne lorsque l'adresse IP constitue le seul moyen d'investigation permettant d'identifier les personnes. La Cour devra également dire si la notion de « criminalité grave » relève du droit de l'Union européenne ou si sa définition incombe à chaque État-membre, en fonction de ses traditions et de son contexte national.
Néanmoins, le nombre de décisions rendues à ce jour par la Cour de justice et la solennité de la formation qui les a rendues (la grande chambre) rendent peu probable, à court terme, un infléchissement net de sa position, au-delà de quelques aménagements ponctuels.
* 39 CEDH, 25 mai 2021, Big Brother Watch et autres c. Royaume-Uni, n° 58170/13, 62322/14 et 24960/15 ; la position de la CEDH est plus abondamment commentée ci-après, dans un encadré « Les garanties de bout en bout ».