Les infractions pénales
qui ne sont pas d’une particulière gravité peuvent justifier un accès aux
données à caractère personnel conservées par des fournisseurs de services de
communications électroniques dès lors que cet accès ne porte pas une atteinte
grave à la vie privée
Crédit photo
L’affaire Ministerio fiscal (aff.
C-207/16) tranchée par la Cour de Justice le 2 octobre dernier apporte des
développements intéressants, voire inattendus, à la jurisprudence Tele2 Sverige AB (C‑203/15) et Secretary of State for the Home Department
(C‑698/15) (CJUE, 21 décembre 2016, voir ici). Il convient de rappeler que ces deux affaires
portaient sur la question de la compatibilité avec le droit de l’Union de l’obligation
générale imposée aux fournisseurs de services de télécommunications, en Suède
et au Royaume-Uni, de conserver les données relatives aux communications électroniques.
Dans l’affaire qui vient d’être tranchée, le contexte, bien que semblable, a suscité une question différente.
En l’espèce, il s’agissait d’une enquête sur un vol
avec violences d’un portefeuille et d’un téléphone mobile. La police judiciaire espagnole a alors demandé
au juge d’instruction de lui accorder l’accès aux données d’identification des
utilisateurs des numéros de téléphone activés depuis le téléphone volé durant
une période de douze jours à compter de la date du vol. Le juge d’instruction a
rejeté cette demande au motif, notamment, que les faits à l’origine de
l’enquête pénale n’auraient pas été constitutifs d’une infraction « grave » –
c’est-à-dire, selon le droit espagnol, une infraction sanctionnée d’une peine
de prison supérieure à cinq ans –, l’accès aux données d’identification n’étant
en effet possible que pour ce type d’infractions. Le Ministerio Fiscal (ministère public espagnol) a interjeté appel de
cette décision devant l’Audiencia
Provincial de Tarragona (cour provinciale de Tarragone, Espagne).
Cette dernière a estimé d’abord que l’intérêt de
l’État à réprimer les comportements délictuels ne pouvait justifier des
ingérences disproportionnées dans les droits fondamentaux consacrés par la
charte des droits fondamentaux de l’Union européenne. Elle a ensuite interrogé
la Cour de justice sur la fixation du seuil de gravité des infractions à partir
duquel une ingérence dans les droits fondamentaux, telle que l’accès par les
autorités nationales compétentes aux données à caractère personnel conservées
par les fournisseurs de services de communications électroniques, pouvait être
justifiée.
La réponse apportée par la Cour de justice, si elle
semble s’inscrire dans la logique de l’arrêt Tele2 Sverige (I), peut paraître toutefois à plusieurs égards comme
symptomatique d’un certain glissement de la jurisprudence européenne, qui
semble peu à peu équilibrer la balance vers plus de sécurité au détriment de la
liberté (II)…
I) Un
prolongement de la jurisprudence Tele2
Sverige
Si nous laissons de côté le raisonnement de la Cour
relatif à sa compétence et à la recevabilité des demandes, on constate que la
Cour s’interroge en premier lieu sur le point de savoir si l’article 15, paragraphe
1, de la directive 2002/58 (directive « vie privée et communications
électroniques ») lu à la lumière des
articles 7 et 8 de la Charte – la disposition ayant donné lieu justement à
l’interprétation délivrée dans son arrêt Tele2
Sverige – doit être interprété en ce sens que l’accès d’autorités publiques
aux données visant à l’identification des titulaires des cartes SIM activées
avec un téléphone mobile volé, telles que les nom, prénom et, le cas échéant,
adresse de ces titulaires, comporte une ingérence
dans les droits fondamentaux de ces derniers, consacrés à ces articles de la
Charte, qui présente une gravité telle
que cet accès devrait être limité,
en matière de prévention, de recherche, de détection et de poursuite
d’infractions pénales, à la lutte contre
la criminalité grave et, dans
l’affirmative, à l’aune de quels critères la gravité de l’infraction en cause
doit être appréciée (§ 48 de l’arrêt, c’est nous qui soulignons).
Si l’accès des autorités aux données évoquées
constitue bien une ingérence dans les droits fondamentaux des personnes
(articles 7 et 8 de la Charte, droit au respect de la vie privée et droit à la
protection des données personnelles), la Cour se penche dès lors sur les
objectifs susceptibles de justifier une telle ingérence. Or, comme le note la
Cour, l’analyse de l’article 15 § 1 de la directive en question montre que non
seulement celle-ci contient une énumération exhaustive de tels objectifs, mais
encore que « que le libellé de l’article 15, paragraphe 1, première
phrase, de la directive 2002/58 ne limite pas cet objectif à la lutte contre
les seules infractions graves, mais vise les « infractions pénales » en général »
(§ 53).
Mais la Cour se voit contrainte de rappeler sa
jurisprudence Tele2 Sverige, qui
elle-même complétait l’historique arrêt Digital
Rights Ireland (aff. C-293/12 et
C-594/12,
8 avril 2014), où la Cour de justice de l’UE avait procédé à l’annulation,
intégrale et rétroactive, de la directive 2006/24/CE, « rétention des
données de communications électroniques ». Elle remarque ainsi avoir
« certes, jugé que, en matière de prévention, de recherche, de détection
et de poursuite d’infractions pénales, seule
la lutte contre la criminalité grave est susceptible de justifier un accès des
autorités publiques à des données à caractère personnel conservées par les
fournisseurs de services de communications qui,
prises dans leur ensemble, permettent de tirer des conclusions précises concernant
la vie privée des personnes dont les données sont concernées » (§ 54,
c’est nous qui soulignons).
Dans le cadre de son contrôle de proportionnalité,
la Cour rappelle dès lors qu’une ingérence grave dans les droits fondamentaux ne
peut être justifiée que par un objectif de lutte contre la criminalité grave,
solution issue de Tele2 Sverige. Mais
poussant alors la logique de cette dernière jurisprudence jusqu’à son comble,
elle en vient à conclure qu’une ingérence qui n’est pas grave pourra être
justifiée dans le cadre de la lutte contre une infraction pénale en général. Le
curseur de l’analyse qui portait sur la gravité de l’infraction pénale, seule
susceptible de justifier une atteinte aux droits fondamentaux (selon sa propre
jurisprudence) se déplace dès lors sur la gravité de l’ingérence, qui, si elle
est faible, permettra d’entériner celle-ci pour la poursuite de toute
infraction pénale, quelle que soit sa gravité.
Il faut certes rappeler que ce qui avait été censuré
dans les arrêts Digital Rights Ireland
et Tele2 Sverige, était l’ingérence
« particulièrement grave » que constituait la rétention des
métadonnées de communications électroniques, permettant « de tirer des
conclusions précises concernant la vie privée des personnes dont les données
sont concernées ». Or en l’espèce, seul était visé l’accès aux numéros de
téléphone correspondant aux cartes SIM activées avec le code IMEI du téléphone
volé, ainsi qu’aux données relatives à l’identité civile des titulaires
desdites cartes, telles que leurs nom, prénom et, le cas échéant, adresse. Ces
données ne portaient pas, comme l’ont
confirmé le gouvernement espagnol et le ministère public, sur les communications
effectuées avec le téléphone mobile volé ni sur la localisation de celui-ci.
L’idée est ainsi que les seules données recueillies ne permettraient pas de
dresser une « cartographie aussi fidèle qu’exhaustive (…) des
comportements d’une personne relevant strictement de sa vie privée, voire d’un
portrait complet et précis de son identité privée », comme le relevait
l’avocat général Cruz Villalón dans ses conclusions très sévères dans l’affaire
Digital Rights. Dans la mesure
où ni les données afférentes au contenu
des communications ni les données de localisation n’étaient concernées, les
données recueillies ne permettent de connaître ni la date, l’heure, la durée et
les destinataires des communications, ni les endroits où ces communications ont
eu lieu ou la fréquence de celles-ci avec certaines personnes pendant une
période donnée, « lesdites données
ne permettent donc pas de tirer de conclusions précises concernant la vie
privée des personnes dont les données sont concernées » (§ 60).
Par conséquent, l’ingérence dans les droits
fondamentaux des personnes concernées n’est pas jugée « grave » et
peut dès lors être justifiée par l’objectif
de prévention, de recherche, de détection et de poursuite d’« infractions
pénales » en général, auquel se réfère l’article 15, paragraphe 1, première phrase,
de la directive 2002/58 (§ 62).
Ce faisant, il est loisible de s’interroger sur
l’évolution récente de la jurisprudence de la Cour en matière de protection des
données, illustrant le récurrent débat sécurité versus liberté.
II) Un
glissement progressif de la jurisprudence, vers plus de sécurité au détriment
de la liberté ?
Il n’est pas inutile de rappeler que la Cour, dans
l’arrêt Tele2 Sverige, avait noté
dans un premier temps que l’article
15, paragraphe 1, de la directive 2002/5, qui est examiné dans l’affaire
commentée, devait être interprété en ce
sens qu’il s’oppose à une réglementation nationale prévoyant, à des fins de
lutte contre la criminalité, une conservation généralisée et indifférenciée de
l’ensemble des données relatives au trafic et des données de localisation de
tous les abonnés et utilisateurs inscrits concernant tous les moyens de
communication électronique ». Puis, dans un second temps,
elle avait souligné que s’il appartient aux législations nationales de fixer
les modalités selon lesquelles les autorités compétentes peuvent avoir accès
aux données dont il est question, Il faut en tout état de cause que non
seulement la conservation des données ne soit pas « généralisée et
indifférenciée », c’est-à-dire qu’elle soit ciblée, mais encore que
l’accès des autorités aux données conservées soit limité aux seules fins de
lutte contre la criminalité grave, et qu’il soit subordonné à un contrôle
préalable par une juridiction ou une autorité administrative indépendante.
Or, il est intéressant de remarquer que le débat,
dans l’affaire Ministerio fiscal, ne
se situe à aucun moment sur le stockage et l’accès aux données de
communication. Dans la logique de l’apport du retentissant arrêt Digital Rights, la Cour, dans l’affaire Tele2 Sverige, avait réitéré son
interdiction de tout stockage de données de façon généralisée et
indifférenciée, n’admettant qu’une conservation ciblée de données, dans le
cadre de la lutte contre la criminalité grave, et en entourant celle-ci de
conditions strictes (tenant à la catégorie des données conservées, aux moyens
de communication visés, aux personnes concernées, à la durée de conservation
etc.).
Or, illustrant l’allégorie de la paille et de poutre,
la Cour, focalisée sur la question de la gravité de l’ingérence (la paille),
semble en oublier que la législation espagnole autorise une rétention des
données de communication générale et indifférenciée (la poutre), pourtant
condamnée dans Digital Rights et Tele2 Sverige…
Si l’on considère la jurisprudence construite ces
dernières années par la Cour de justice sur le droit fondamental à la
protection des données (sans oublier celui au respect de la vie privée), il
semble dès lors que s’opère progressivement un glissement vers un peu moins de
liberté au profit d’un peu plus de sécurité. En effet dans ses arrêts Digital Rights Ireland et Schrems (aff. C-362/14, 6 octobre
2015), la Cour a dans un premier temps fermement condamné tout stockage de
masse de données, de façon générale et indifférenciée, ce qui semblait marquer
un coup d’arrêt aux multiples fichiers à visée sécuritaire mis en place aussi
bien au niveau national qu’européen. Puis, infléchissant peu à peu sa
jurisprudence, elle a par exemple, dans son avis 1/15 relatif à
l’accord PNR entre l’UE et la Canada, validé le principe même du système PNR,
qui correspond pourtant à un stockage de masse de données de tous les voyageurs
aériens, même si elle entoure ses modalités de mise en œuvre de conditions
strictes. L’arrêt Tele2 Sverige
semble pour sa part se couler dans la logique des arrêts les plus protecteurs,
en jugeant de façon identique que la conservation des données ne doit pas être « généralisée
et indifférenciée », mais au contraire ciblée, et que l’accès des
autorités aux données conservées soit en outre limité aux seules fins de lutte
contre la criminalité grave. Par conséquent, l’arrêt Ministerio Fiscal, s’il se situe apparemment dans la logique de Tele2 Sverige, ressemble néanmoins à une
remise en cause des acquis, permettant un stockage de masse de données, et leur
utilisation à des fins de lutte contre toute infraction, quelle que soit sa
gravité, dès lors que l’ingérence n’est pas jugée grave. Mais la question se
pose de qui va juger de la gravité de l’ingérence ? En l’espèce en effet,
soulignons que toutes les personnes contactées au moyen du téléphone volé, se
trouvent impliquées dans une procédure judiciaire, alors qu’elles sont potentiellement
étrangères au délit (le coiffeur ou le dentiste de l’auteur de l’infraction
méritent-ils d’être ainsi stigmatisés et voir leurs données stockées dans des
fichiers de police ?). Dans un contexte d’insécurité générale générée
notamment par le terrorisme, et face à la montée des sirènes politiques
chantres de l’ultra sécurité, aux chants desquelles les citoyens semblent de
plus en plus sensibles, peut-être la Cour de justice juge t-elle indispensable
de rééquilibrer la balance sécurité/liberté vers un peu plus de sécurité pour
conjurer ces divers périls ?…Du reste, la Cour européenne des droits de
l’homme semble jouer aussi finement la même partition, puisqu’elle vient de
valider, dans l’arrêt Big Brother Watch contre Royaume-Uni du 13 septembre 2018, le système de
surveillance de masse que constitue l’interception des communications
électroniques, bien qu’elle en encadre étroitement les modalités de mise en
œuvre.
En tout état de cause, une chose est sûre, le
législateur national a manifestement de moins en moins de latitude pour
organiser son droit interne en la matière, la Cour de Justice s’affirmant comme
le grand ordonnateur des législations d’application des directives européennes.
La question de la protection des données semble ainsi désormais tout entière
maîtrisée par Bruxelles et aujourd’hui Luxembourg. Espérons que ce soit pour
son plus grand bienfait, car, comme le disait Benjamin Franklin, « une
société prête à sacrifier un peu de liberté contre un peu de sécurité ne mérite
ni l’une ni l’autre, et finit par perdre les deux ».
