Par un arrêt rendu en Grande Chambre le 8 avril 2014, la Cour de Justice de l’Union Européenne répond à une question préjudicielle posée par la High Court d’Irlande et par le Verfassungsgerichtshof dont les affaires ont été jointes. La question préjudicielle porte sur la validité de la Directive 2006/24/CE relative à la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications et sur la compatibilité de la loi transposant ladite directive en droit interne autrichien avec la loi constitutionnelle fédérale.
A l’origine de la demande de décision préjudicielle présentée par le Verfassungsgerichtshof (Aff. C-594/12), des milliers de requérants ont introduit une demande visant à l’annulation de l’article 102 bis de la loi de 2003 sur les télécommunications introduit par la loi de transposition nationale de la Directive 2006/24/CE, qui selon eux, violerait le droit à la protection des données à caractère personnel, soit un droit fondamental protégé tant par le droit européen que par les droits nationaux des Etats membres.
Dans le litige opposant Digital Rights aux autorités irlandaises (Aff. C-293/12), la requérante prétendait être propriétaire d’un téléphone portable dont les données avaient été conservées conformément à des mesures législatives et administratives nationales. Cette question préjudicielle, qui pourrait paraître anodine, tendait en réalité à remettre en cause des dispositions qui bafouaient un droit fondamental des citoyens européens : la protection des données personnelles. Cette décision intervient dans un climat relativement tendu de mondialisation des échanges de données qui commence tant à effrayer qu’à alarmer les citoyens.
Au principal, la question préjudicielle posée à la Cour de Justice de l’Union Européenne tendait à déterminer si « la restriction faite aux droits de la partie requérante en matière d’utilisation de téléphonie mobile qui découle des exigences des articles 3, 4 et 6 de la Directive 2006/24/CE est (…) incompatible avec l’article 5, paragraphe 4 TUE, en ce qu’elle est disproportionnée et qu’elle n’est pas nécessaire ou qu’elle est inappropriée pour atteindre les objectifs légitimes (…) » et si la Directive était compatible avec le droit de circuler, le droit au respect de la vie privée, le droit à la protection des données à caractère personnel, le droit à la liberté d’expression, le droit à une bonne administration. Quant à la seconde affaire, le Verfassungsgerichtshof demande à la Cour de Justice si les articles 3 à 9 de la Directive 2006/24/CE sont compatibles avec les articles 7, 8 et 11 de la Charte des Droits Fondamentaux. L’article 8 de la Charte prévoit expressément la protection des données à caractère personnel suivant laquelle, soit la personne concernée doit consentir au traitement de ses données personnelles, soit la loi doit prévoir des dispositions afin de garantir la loyauté dans le traitement et la conservation de celle-ci. Il s’agissait dans cet arrêt non pas d’analyser l’existence ou la validité d’un tel consentement mais de considérer les dispositions nationales et la Directive mise en cause.
La Cour de Justice relève que la conservation des données aux fins d’un éventuel accès par les autorités nationales prévue par la Directive 2006/24/CE se rapporte de manière directe à la vie privée des citoyens usagers des réseaux téléphoniques, garantie par la Charte des Droits Fondamentaux.
La Cour de Justice a jugé que les articles 3 à 6 de la Directive 2006/24/CE étaient contraires à la Charte des Droits Fondamentaux en ce qu’ils permettent la conservation pendant une certaine durée des données relatives à la vie privée d’une personne et de ses communications. De plus, la Cour de Justice relève que l’accès – sans que l’utilisateur en soit informé, de surcroît – par les autorités nationales à ces informations à caractère privé constitue une ingérence dans le droit fondamental à la vie privée. Néanmoins, la conservation des données personnelles ainsi que l’accès à celles-ci par les autorités nationales compétentes sont conformes à l’intérêt général, soit la lutte contre la criminalité. Partant, la Cour de Justice a vérifié la proportionnalité de l’ingérence par rapport aux objectifs de la Directive 2006/24/CE et des lois de transposition nationales.
L’arrêt juge que « la règlementation de l’Union en cause doit prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant un minimum d’exigences de sorte que les personnes dont les données ont été conservées disposent de garanties suffisantes permettant de protéger efficacement leurs données à caractère personnel contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites de ces données ». La Directive 2006/24/CE ayant une portée générale, visant toute personne et tout moyen de communication, ne respecte pas cette exigence fondamentale. Ensuite, la conservation des données n’est pas spécifique à la prévention de la criminalité, mais elle est générale. A cet effet, la proportionnalité n’est pas respectée entre les mesures mises en œuvre et l’objectif de prévention de la criminalité.
Par ailleurs, la Directive 2006/24/CE ne prévoyait ni critère objectif, ni conditions matérielles, ni procédures quant à l’accès aux données par les autorités nationales. De même, elle ne prévoyait pas de durées objectives quant à la conservation des données en fonction de leurs catégories. Ces lacunes avaient pour effet principal de laisser à la libre appréciation des législations nationales les conditions d’application de la Directive, ce qui ne permettait d’assurer suffisamment le respect des droits fondamentaux des citoyens. La Cour rappelle ici que si les libertés fondamentales peuvent être limitées afin de servir certains objectifs d’intérêt général, il n’en demeure pas moins que ces limitations doivent être strictement encadrées.
La Directive 2006/24CE ne permettait ni une protection des données à caractère privé contre les abus et utilisations illicites de celles-ci, ni ne prévoyait de destruction irrémédiable au terme de la conservation. Le droit à l’oubli revendiqué par les demandeurs a été, selon toute légitimité, estimé à sa juste valeur par la Cour de Justice par cette décision importante qui mérite toute son attention. Si les conséquences de cet arrêt vont sans nul doute poser quelques problèmes logistiques, tant pour les opérateurs que pour les autorités nationales, les juges ont néanmoins, après un contrôle minutieux de proportionnalité entre l’objectif de lutte contre la criminalité organisée dont le terrorisme et le respect des droits des citoyens, la Cour a favorisé le respect des libertés fondamentales.
Par un second arrêt retentissant du 13 mai 2014 (Aff. C-131/12), la Cour de Justice a formellement consacré le droit à l’oubli numérique en imposant au gigantesque Google, lorsqu’il lui sera demandé et ce, sous certaines conditions, de supprimer des liens donnant accès à des pages web contenant des données personnelles. La Cour de Justice, saisie d’une question préjudicielle par une juridiction espagnole, a reconnu la responsabilité de l’exploitant Google quant au traitement des données personnelles collectées et diffusées par ses serveurs. Cette décision a été prise en conformité avec le droit européen des droits et libertés fondamentaux, et notamment la Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Cette décision, bien que contraire aux conclusions de l’avocat général, nous semble particulièrement opportune dans un monde qui s’avère de plus en plus mondialisé et dans lequel la vie privée de chacun devient publique. Les juges européens ont considéré, à l’appui de leur décision, que le nombre important d’informations personnelles relatives aux personnes contenues sur les pages web permettait à quiconque d’avoir des idées précises sur la vie privée des individus. Ils ont, à leur échelle, certainement tenté de faire obstacle à ce phénomène de diffusion des données personnelles d’ampleur mondiale en permettant à la vie privée de recouvrir quelque peu ses droits.
Morgane LEPETIT