Opinion of Advocate General Campos Sánchez-Bordona delivered on 30 March 2023.
| Jurisdiction | European Union |
| Date | 30 March 2023 |
| Court | Court of Justice (European Union) |
Édition provisoire
CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. MANUEL CAMPOS SÁNCHEZ-BORDONA
présentées le 30 mars 2023 (1)
Affaire C‑162/22
A. G.
En présence de :
Lietuvos Respublikos generalinė prokuratūra
[demande de décision préjudicielle formée par le Lietuvos vyriausiasis administracinis teismas (Cour administrative suprême, Lituanie)]
« Renvoi préjudiciel – Télécommunications – Traitement des données à caractère personnel – Directive 2002/58/CE – Champ d’application – Article 15, paragraphe 1 – Accès aux données conservées par les fournisseurs de services de communications électroniques et mises à la disposition des autorités en charge de procédures pénales – Utilisation ultérieure de ces données lors d’une enquête portant sur une faute de service »
1. Ce renvoi préjudiciel vise, en substance, à savoir si des données à caractère personnel obtenues au cours d’une enquête pénale peuvent, par la suite, être utilisées dans le cadre d’une procédure disciplinaire administrative à l’encontre d’un fonctionnaire public.
2. La réponse à cette interrogation offre à la Cour une nouvelle occasion de se prononcer sur les champs d’application respectifs de la directive 2002/58/CE (2), d’une part, et de la directive (UE) 2016/680 (3) et du règlement (UE) 2016/679 (4), d’autre part.
3. S’agissant de la directive 2002/58, la Cour a dégagé une jurisprudence désormais bien établie concernant les cas et les conditions dans lesquels les États membres peuvent limiter la portée des droits et des obligations qu’elle prévoit (5).
I. Le cadre juridique.
A. Le droit de l’Union
1. La directive 2002/58
4. L’article 1er (« Champ d’application et objectif ») prévoit :
« 1. La présente directive harmonise les dispositions des États membres nécessaires pour assurer un niveau équivalent de protection des droits et libertés fondamentaux, et en particulier du droit à la vie privée, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et des services de communications électroniques dans la Communauté.
2. Les dispositions de la présente directive précisent et complètent la directive 95/46/CE (6) aux fins énoncées au paragraphe 1. En outre, elles prévoient la protection des intérêts légitimes des abonnés qui sont des personnes morales.
3. La présente directive ne s’applique pas aux activités qui ne relèvent pas du [TFUE], telles que celles visées dans les points V et VI du [TUE], et, en tout état de cause, aux activités concernant la sécurité publique, la défense, la sûreté de l’État (y compris la prospérité économique de l’État lorsqu’il s’agit d’activités liées à la sûreté de l’État) ou aux activités de l’État dans des domaines relevant du droit pénal. »
5. L’article 5 (« Confidentialité des communications »), paragraphe 1, dispose :
« Les États membres garantissent, par la législation nationale, la confidentialité des communications effectuées au moyen d’un réseau public de communications et de services de communications électroniques accessibles au public, ainsi que la confidentialité des données relatives au trafic y afférentes. En particulier, ils interdisent à toute autre personne que les utilisateurs d’écouter, d’intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d’interception ou de surveillance, sans le consentement des utilisateurs concernés sauf lorsque cette personne y est légalement autorisée, conformément à l’article 15, paragraphe 1. Le présent paragraphe n’empêche pas le stockage technique nécessaire à l’acheminement d’une communication, sans préjudice du principe de confidentialité. »
6. L’article 15 (« Application de certaines dispositions de la directive 95/46/CE ») de la directive 2002/58 dispose :
« 1. Les États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l’article 8, paragraphes 1, 2, 3 et 4, et à l’article 9 de la présente directive lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la directive 95/46/CE. À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe. Toutes les mesures visées dans le présent paragraphe sont prises dans le respect des principes généraux du droit communautaire, y compris ceux visés à l’article 6, paragraphes 1 et 2, du [TUE].
[...]
2. Les dispositions du chapitre III de la directive 95/46/CE relatif aux recours juridictionnels, à la responsabilité et aux sanctions sont applicables aux dispositions nationales adoptées en application de la présente directive ainsi qu’aux droits individuels résultant de la présente directive.
[…] ».
2. Le RGPD
7. L’article 2 (« Champ d’application matériel ») dispose :
« 1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :
a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;
[...]
d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.
[…] ».
8. L’article 5 (« Principes relatifs au traitement des données à caractère personnel ») prévoit :
« 1. Les données à caractère personnel doivent être :
[...]
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ;
[…] ».
9. Aux termes de l’article 6 (« Licéité du traitement ») :
« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
[...]
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
[...]
3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :
a) le droit de l’Union ; ou
b) le droit de l’État membre auquel le responsable du traitement est soumis.
[...]
4. Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres :
a) de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ;
b) du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;
c) de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10 ;
d) des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;
[...] ».
3. La directive 2016/680
10. L’article 1er (« Objet et objectifs »), paragraphe 1, dispose :
« 1. La présente directive établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. »
11. L’article 2 (intitulé « Champ d’application »), paragraphe 1, énonce :
« La présente directive s’applique au traitement de données à caractère personnel effectué par les autorités compétentes aux fins énoncées à l’article 1er, paragraphe 1. »
12. L’article 4 (« Principes relatifs au traitement des données à caractère personnel ») prévoit :
« 1. Les États membres prévoient que les données à caractère personnel sont :
[…]
b) collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées d’une manière incompatible avec ces finalités ;
[…]
2. Le traitement, par le même ou par un autre responsable du traitement, pour l’une des finalités énoncées à l’article 1er, paragraphe 1, autre que celles pour lesquelles les données ont été collectées, est...
To continue reading
Request your trial