Home / Publications / Invalidation de la directive de 2006 sur la conservation...

Invalidation de la directive de 2006 sur la conservation des données pour atteinte excessive à la vie privée : quelles conséquences pour le dispositif français ? | Flash info Technologie, média & télécoms

29/04/2014

Interrogée par plusieurs juridictions européennes, dont la Cour constitutionnelle autrichienne, la Cour de justice de l’Union européenne (CJUE) a déclaré invalide la directive 2006/24/CE du 15 mars 2006 « sur la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques » au terme d’une décision rendue en Grande Chambre le mardi 8 avril 2014.

La CJUE n’a pas usé de la possibilité qu’elle a de limiter dans le temps les effets de sa décision : la déclaration d’invalidité est donc rétroactive à la date du 15 mars 2006 et la directive 2006/24/CE est réputée n’avoir jamais fait partie de l’ordre juridique communautaire.

Le contenu de la directive et les raisons de son invalidité

Cette directive oblige les Etats membres à prévoir une obligation de conservation des données de trafic et de localisation en vue de garantir leur disponibilité pour la recherche et la constatation des « infractions graves », tout en laissant aux Etats membres la compétence pour circonscrire ces infractions. Elle harmonise les catégories de données à conserver et prévoit une durée de conservation, au choix des Etats membres, comprise entre 6 et 24 mois.

Tout en reconnaissant l’objectif d’intérêt général du dispositif, la Cour considère que la directive porte une atteinte excessive à la vie privée des utilisateurs des services de communications électroniques et qu’elle est donc contraire à la Charte des droits fondamentaux de l’Union européenne. Pour arriver à une telle conclusion, la Cour se fonde notamment sur les éléments suivants :

  • l’obligation de conservation des données s’applique de manière générale sans exiger un lien, fût-il indirect, entre la personne dont les données sont conservées et un risque d’infraction ;

  • elle n’établit aucun lien entre la durée de conservation et la nature de l’infraction ;

  • elle ne fixe aucune limitation à l’utilisation de ces données ni aucun critère objectif concernant leur accès ;

  • la durée de conservation pouvant aller jusqu’à deux ans est disproportionnée ;

  • la directive n’impose pas le stockage de ces données au sein de l’Union européenne.

La situation du droit français au regard de cette directive

En France, un dispositif de stockage des données existe depuis la loi n° 2004-669 du 9 juillet 2004. Il a par la suite été plusieurs fois complété. Figurant aujourd’hui aux articles L.34-1 et suivants et R.10-13 et suivants du code des postes et communications électroniques, il présente les caractéristiques suivantes :

  • il a pour but la recherche, la constatation et la poursuite des infractions pénales ;

  • la durée de conservation est dans tous les cas limitée à un an ;

  • l’accès aux données conservées est réservé à des autorités précisément identifiées : l’autorité judiciaire pour les infractions pénales, l’HADOPI pour le téléchargement illégal, l’autorité nationale de sécurité des systèmes d’information pour les questions relevant de la défense nationale et les officiers de police judiciaire et autres agents habilités pour les actes de terrorisme ;

  • la liste des données conservées est la même que celle prévue par la directive ;

  • le dispositif n'impose pas le stockage des données au sein de l'Union européenne.

Les conséquences de la déclaration d’invalidité de la directive sur le dispositif français

Bien que partiellement antérieur à la directive, le dispositif français était censé s’y conformer dès lors qu'elle avait pour objet d’harmoniser les conditions de conservation des données dans tous les Etats membres afin que les opérateurs de communications électroniques soient soumis à des obligations identiques quels que soient les Etats membres dans lesquels ils sont établis.

Il est permis de s’interroger sur le point de savoir si l’invalidité de la directive rend mécaniquement le dispositif français contraire au droit de l’Union européenne ou si, au contraire, une analyse concrète de celui-ci au regard des griefs soulevés par la Cour à l’encontre de la directive ne doit pas être menée. La seconde approche nous paraît devoir être privilégiée.

Cela étant, même si la durée de conservation prévue par le droit français est limitée à un an et si l’accès aux données est beaucoup plus encadré et différencié en fonction des autorités que ce qui est prévu par la directive, il n’en reste pas moins que certains des reproches formulés par la Cour à l’encontre de la directive pourraient affecter directement le dispositif français. En particulier, l’obligation de conservation est générale et s’applique à toute personne. En outre, toutes les infractions pénales sont visées sans distinction dans l’ampleur des obligations selon la gravité des infractions.

Cette situation fragilise donc considérablement le dispositif français et emporte plusieurs conséquences :

  • le Premier ministre aurait l’obligation soit d’office, soit sur demande d’un tiers, de modifier les dispositions réglementaires du code des postes et communications électroniques régissant la conservation des données ;

  • les opérateurs pourraient être fondés, s’ils le croient utile, à opposer une fin de non-recevoir aux demandes de communication des données stockées qui leur seraient présentées par les autorités policières et judiciaires ;

  • dans le cadre des poursuites pénales engagées sur la base de renseignements obtenus auprès des opérateurs dans les conditions prévues par le dispositif actuel, un moyen tiré de l’irrégularité des poursuites pourrait probablement être soulevé.

En outre, se pose la question de l’éventuelle destruction des données actuellement stockées par les opérateurs, qui auraient été conservées en violation des droits fondamentaux de l’Union européenne.

Enfin, alors même qu’un mécanisme de compensation des surcoûts liés à ces obligations a été mis en place, les opérateurs pourraient être fondés à engager la responsabilité de l’Etat pour les coûts non compensés liés à ces obligations, finalement contraires aux droits fondamentaux de l’Union européenne.

Auteurs

Anne Laure Villedieu
Anne-Laure Villedieu
Associée
Paris
La photo de Claire Vannini
Claire Vannini
Associée
Paris