Surveillance généralisée des données de communication électronique : la CJUE pose son veto

Par un important arrêt du 21 décembre 2016 (affaires jointes C-203/15 et C-698/15,), la Cour de justice de l’union européenne (CJUE) précise que la directive 2002/58/CE modifiée s’oppose à ce qu’une réglementation nationale puisse prévoir « à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ». Ces mêmes dispositions doivent aussi s’analyser comme s’opposant à ce qu’une réglementation nationale donne un accès à ces données à des autorités nationales « sans limiter, dans le cadre de la lutte contre la criminalité, cet accès aux seules fins de lutte contre la criminalité grave, sans soumettre ledit accès à un contrôle préalable par une juridiction ou une autorité administrative indépendante, et sans exiger que les données en cause soient conservées sur le territoire de l’Union ».

Ce faisant, cet arrêt constitue le parfait complément de la position retenue par la Cour dans la célèbre affaire Digital Rights Ireland (CJUE 8 avr. 2014, aff. C-293/12). Dans cette dernière, la Cour avait invalidé une directive (2006/24/CE du 15 mars 2006) imposant aux fournisseurs de services de communications électroniques de conserver, pendant une période de six mois à deux ans, un certain nombre de données (définies à l’article 5 de la directive) et de permettre aux autorités nationales d’y accéder. Ainsi, la question de savoir si les Etats pouvaient, nonobstant l’invalidation de cette directive, adopter ou conserver des règles analogues dans leur droit interne demeurait posée. L’arrêt du 21 décembre 2016 répond par la négative, remettant en cause la logique sécuritaire adoptée récemment par de nombreux Etats européens.

Retour en haut