mercredi 10 octobre 2018

Cour de Justice de l’Union européenne, 2 octobre 2018, Ministerio fiscal : la paille et la poutre…


Les infractions pénales qui ne sont pas d’une particulière gravité peuvent justifier un accès aux données à caractère personnel conservées par des fournisseurs de services de communications électroniques dès lors que cet accès ne porte pas une atteinte grave à la vie privée

                                                                                                                      
                                                                                                                      Crédit photo



L’affaire Ministerio fiscal (aff. C-207/16) tranchée par la Cour de Justice le 2 octobre dernier apporte des développements intéressants, voire inattendus, à la jurisprudence Tele2 Sverige AB (C‑203/15) et Secretary of State for the Home Department (C‑698/15) (CJUE, 21 décembre 2016, voir ici). Il convient de rappeler que ces deux affaires portaient sur la question de la compatibilité avec le droit de l’Union de l’obligation générale imposée aux fournisseurs de services de télécommunications, en Suède et au Royaume-Uni, de conserver les données relatives aux communications électroniques. Dans l’affaire qui vient d’être tranchée, le contexte, bien que semblable,  a suscité une question différente.

En l’espèce, il s’agissait d’une enquête sur un vol avec violences d’un portefeuille et d’un téléphone mobile.  La police judiciaire espagnole a alors demandé au juge d’instruction de lui accorder l’accès aux données d’identification des utilisateurs des numéros de téléphone activés depuis le téléphone volé durant une période de douze jours à compter de la date du vol. Le juge d’instruction a rejeté cette demande au motif, notamment, que les faits à l’origine de l’enquête pénale n’auraient pas été constitutifs d’une infraction « grave » – c’est-à-dire, selon le droit espagnol, une infraction sanctionnée d’une peine de prison supérieure à cinq ans –, l’accès aux données d’identification n’étant en effet possible que pour ce type d’infractions. Le Ministerio Fiscal (ministère public espagnol) a interjeté appel de cette décision devant l’Audiencia Provincial de Tarragona (cour provinciale de Tarragone, Espagne).

Cette dernière a estimé d’abord que l’intérêt de l’État à réprimer les comportements délictuels ne pouvait justifier des ingérences disproportionnées dans les droits fondamentaux consacrés par la charte des droits fondamentaux de l’Union européenne. Elle a ensuite interrogé la Cour de justice sur la fixation du seuil de gravité des infractions à partir duquel une ingérence dans les droits fondamentaux, telle que l’accès par les autorités nationales compétentes aux données à caractère personnel conservées par les fournisseurs de services de communications électroniques, pouvait être justifiée.

La réponse apportée par la Cour de justice, si elle semble s’inscrire dans la logique de l’arrêt Tele2 Sverige (I), peut paraître toutefois à plusieurs égards comme symptomatique d’un certain glissement de la jurisprudence européenne, qui semble peu à peu équilibrer la balance vers plus de sécurité au détriment de la liberté (II)…

I) Un prolongement de la jurisprudence Tele2 Sverige

Si nous laissons de côté le raisonnement de la Cour relatif à sa compétence et à la recevabilité des demandes, on constate que la Cour s’interroge en premier lieu sur le point de savoir si l’article 15, paragraphe 1, de la directive 2002/58 (directive « vie privée et communications électroniques »)  lu à la lumière des articles 7 et 8 de la Charte – la disposition ayant donné lieu justement à l’interprétation délivrée dans son arrêt Tele2 Sverige – doit être interprété en ce sens que l’accès d’autorités publiques aux données visant à l’identification des titulaires des cartes SIM activées avec un téléphone mobile volé, telles que les nom, prénom et, le cas échéant, adresse de ces titulaires, comporte une ingérence dans les droits fondamentaux de ces derniers, consacrés à ces articles de la Charte, qui présente une gravité telle que cet accès devrait être limité, en matière de prévention, de recherche, de détection et de poursuite d’infractions pénales, à la lutte contre la criminalité grave et, dans l’affirmative, à l’aune de quels critères la gravité de l’infraction en cause doit être appréciée (§ 48 de l’arrêt, c’est nous qui soulignons). 

Si l’accès des autorités aux données évoquées constitue bien une ingérence dans les droits fondamentaux des personnes (articles 7 et 8 de la Charte, droit au respect de la vie privée et droit à la protection des données personnelles), la Cour se penche dès lors sur les objectifs susceptibles de justifier une telle ingérence. Or, comme le note la Cour, l’analyse de l’article 15 § 1 de la directive en question montre que non seulement celle-ci contient une énumération exhaustive de tels objectifs, mais encore que « que le libellé de l’article 15, paragraphe 1, première phrase, de la directive 2002/58 ne limite pas cet objectif à la lutte contre les seules infractions graves, mais vise les « infractions pénales » en général » (§ 53). 

Mais la Cour se voit contrainte de rappeler sa jurisprudence Tele2 Sverige, qui elle-même complétait l’historique arrêt Digital Rights Ireland (aff. C-293/12 et C-594/12, 8 avril 2014), où la Cour de justice de l’UE avait procédé à l’annulation, intégrale et rétroactive, de la directive 2006/24/CE, « rétention des données de communications électroniques ». Elle remarque ainsi avoir «  certes, jugé que, en matière de prévention, de recherche, de détection et de poursuite d’infractions pénales, seule la lutte contre la criminalité grave est susceptible de justifier un accès des autorités publiques à des données à caractère personnel conservées par les fournisseurs de services de communications qui, prises dans leur ensemble, permettent de tirer des conclusions précises concernant la vie privée des personnes dont les données sont concernées » (§ 54, c’est nous qui soulignons). 

Dans le cadre de son contrôle de proportionnalité, la Cour rappelle dès lors qu’une ingérence grave dans les droits fondamentaux ne peut être justifiée que par un objectif de lutte contre la criminalité grave, solution issue de Tele2 Sverige. Mais poussant alors la logique de cette dernière jurisprudence jusqu’à son comble, elle en vient à conclure qu’une ingérence qui n’est pas grave pourra être justifiée dans le cadre de la lutte contre une infraction pénale en général. Le curseur de l’analyse qui portait sur la gravité de l’infraction pénale, seule susceptible de justifier une atteinte aux droits fondamentaux (selon sa propre jurisprudence) se déplace dès lors sur la gravité de l’ingérence, qui, si elle est faible, permettra d’entériner celle-ci pour la poursuite de toute infraction pénale, quelle que soit sa gravité. 

Il faut certes rappeler que ce qui avait été censuré dans les arrêts Digital Rights Ireland et Tele2 Sverige, était l’ingérence « particulièrement grave » que constituait la rétention des métadonnées de communications électroniques, permettant « de tirer des conclusions précises concernant la vie privée des personnes dont les données sont concernées ». Or en l’espèce, seul était visé l’accès aux numéros de téléphone correspondant aux cartes SIM activées avec le code IMEI du téléphone volé, ainsi qu’aux données relatives à l’identité civile des titulaires desdites cartes, telles que leurs nom, prénom et, le cas échéant, adresse. Ces données ne portaient  pas, comme l’ont confirmé le gouvernement espagnol et le ministère public, sur les communications effectuées avec le téléphone mobile volé ni sur la localisation de celui-ci. L’idée est ainsi que les seules données recueillies ne permettraient pas de dresser une « cartographie aussi fidèle qu’exhaustive (…) des comportements d’une personne relevant strictement de sa vie privée, voire d’un portrait complet et précis de son identité privée », comme le relevait l’avocat général Cruz Villalón dans ses conclusions très sévères dans l’affaire Digital Rights. Dans la mesure où  ni les données afférentes au contenu des communications ni les données de localisation n’étaient concernées, les données recueillies ne permettent de connaître ni la date, l’heure, la durée et les destinataires des communications, ni les endroits où ces communications ont eu lieu ou la fréquence de celles-ci avec certaines personnes pendant une période donnée,  « lesdites données ne permettent donc pas de tirer de conclusions précises concernant la vie privée des personnes dont les données sont concernées » (§ 60).

Par conséquent, l’ingérence dans les droits fondamentaux des personnes concernées n’est pas jugée « grave » et peut dès lors être justifiée par  l’objectif de prévention, de recherche, de détection et de poursuite d’« infractions pénales » en général, auquel se réfère l’article 15, paragraphe 1, première phrase, de la directive 2002/58 (§ 62).

Ce faisant, il est loisible de s’interroger sur l’évolution récente de la jurisprudence de la Cour en matière de protection des données, illustrant le récurrent débat sécurité versus liberté.

II) Un glissement progressif de la jurisprudence, vers plus de sécurité au détriment de la liberté ?

Il n’est pas inutile de rappeler que la Cour, dans l’arrêt Tele2 Sverige, avait noté dans un premier temps que l’article 15, paragraphe 1, de la directive 2002/5, qui est examiné dans l’affaire commentée,  devait être interprété en ce sens qu’il s’oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ». Puis, dans un second temps, elle avait souligné que s’il appartient aux législations nationales de fixer les modalités selon lesquelles les autorités compétentes peuvent avoir accès aux données dont il est question, Il faut en tout état de cause que non seulement la conservation des données ne soit pas « généralisée et indifférenciée », c’est-à-dire qu’elle soit ciblée, mais encore que l’accès des autorités aux données conservées soit limité aux seules fins de lutte contre la criminalité grave, et qu’il soit subordonné à un contrôle préalable par une juridiction ou une autorité administrative indépendante. 

Or, il est intéressant de remarquer que le débat, dans l’affaire Ministerio fiscal, ne se situe à aucun moment sur le stockage et l’accès aux données de communication. Dans la logique de l’apport du retentissant arrêt Digital Rights, la Cour, dans l’affaire Tele2 Sverige, avait réitéré son interdiction de tout stockage de données de façon généralisée et indifférenciée, n’admettant qu’une conservation ciblée de données, dans le cadre de la lutte contre la criminalité grave, et en entourant celle-ci de conditions strictes (tenant à la catégorie des données conservées, aux moyens de communication visés, aux personnes concernées, à la durée de conservation etc.).

Or, illustrant l’allégorie de la paille et de poutre, la Cour, focalisée sur la question de la gravité de l’ingérence (la paille), semble en oublier que la législation espagnole autorise une rétention des données de communication générale et indifférenciée (la poutre), pourtant condamnée dans Digital Rights et Tele2 Sverige

Si l’on considère la jurisprudence construite ces dernières années par la Cour de justice sur le droit fondamental à la protection des données (sans oublier celui au respect de la vie privée), il semble dès lors que s’opère progressivement un glissement vers un peu moins de liberté au profit d’un peu plus de sécurité. En effet dans ses arrêts Digital Rights Ireland et Schrems (aff. C-362/14, 6 octobre 2015), la Cour a dans un premier temps fermement condamné tout stockage de masse de données, de façon générale et indifférenciée, ce qui semblait marquer un coup d’arrêt aux multiples fichiers à visée sécuritaire mis en place aussi bien au niveau national qu’européen. Puis, infléchissant peu à peu sa jurisprudence, elle a par exemple, dans son avis 1/15 relatif à l’accord PNR entre l’UE et la Canada, validé le principe même du système PNR, qui correspond pourtant à un stockage de masse de données de tous les voyageurs aériens, même si elle entoure ses modalités de mise en œuvre de conditions strictes. L’arrêt Tele2 Sverige semble pour sa part se couler dans la logique des arrêts les plus protecteurs, en jugeant de façon identique que la conservation des données ne doit pas être « généralisée et indifférenciée », mais au contraire ciblée, et que l’accès des autorités aux données conservées soit en outre limité aux seules fins de lutte contre la criminalité grave. Par conséquent, l’arrêt Ministerio Fiscal, s’il se situe apparemment dans la logique de Tele2 Sverige, ressemble néanmoins à une remise en cause des acquis, permettant un stockage de masse de données, et leur utilisation à des fins de lutte contre toute infraction, quelle que soit sa gravité, dès lors que l’ingérence n’est pas jugée grave. Mais la question se pose de qui va juger de la gravité de l’ingérence ? En l’espèce en effet, soulignons que toutes les personnes contactées au moyen du téléphone volé, se trouvent impliquées dans une procédure judiciaire, alors qu’elles sont potentiellement étrangères au délit (le coiffeur ou le dentiste de l’auteur de l’infraction méritent-ils d’être ainsi stigmatisés et voir leurs données stockées dans des fichiers de police ?). Dans un contexte d’insécurité générale générée notamment par le terrorisme, et face à la montée des sirènes politiques chantres de l’ultra sécurité, aux chants desquelles les citoyens semblent de plus en plus sensibles, peut-être la Cour de justice juge t-elle indispensable de rééquilibrer la balance sécurité/liberté vers un peu plus de sécurité pour conjurer ces divers périls ?…Du reste, la Cour européenne des droits de l’homme semble jouer aussi finement la même partition, puisqu’elle vient de valider, dans l’arrêt Big Brother Watch contre Royaume-Uni du 13 septembre 2018, le système de surveillance de masse que constitue l’interception des communications électroniques, bien qu’elle en encadre étroitement les modalités de mise en œuvre. 

En tout état de cause, une chose est sûre, le législateur national a manifestement de moins en moins de latitude pour organiser son droit interne en la matière, la Cour de Justice s’affirmant comme le grand ordonnateur des législations d’application des directives européennes. La question de la protection des données semble ainsi désormais tout entière maîtrisée par Bruxelles et aujourd’hui Luxembourg. Espérons que ce soit pour son plus grand bienfait, car, comme le disait Benjamin Franklin, « une société prête à sacrifier un peu de liberté contre un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux ».


Aucun commentaire:

Enregistrer un commentaire

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.