Arrêt de la Cour (sixième chambre) du 17 novembre 2022. Renvoi préjudiciel – Traitement des données à caractère personnel dans le secteur des communications électroniques – Confidentialité des communications – Fournisseurs de services de communications électroniques – Conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation pendant une période de six mois – Lutte contre la criminalité grave – Accès aux données conservées – Information des personnes concernées – Droit de recours – Directive 2002/58/CE – Article 15, paragraphes 1 et 2 – Directive (UE) 2016/680 – Articles 13 et 54 – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8, 11 et 47 ainsi que article 52, paragraphe 1.#Affaire C-350/21.

JurisdictionEuropean Union
CourtCourt of Justice (European Union)
ECLIECLI:EU:C:2022:896
Docket NumberC-350/21
Celex Number62021CJ0350
Date17 November 2022

ARRÊT DE LA COUR (sixième chambre)


17 novembre 2022 (*)

« Renvoi préjudiciel – Traitement des données à caractère personnel dans le secteur des communications électroniques – Confidentialité des communications – Fournisseurs de services de communications électroniques – Conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation pendant une période de six mois – Lutte contre la criminalité grave – Accès aux données conservées – Information des personnes concernées – Droit de recours – Directive 2002/58/CEArticle 15, paragraphes 1 et 2 – Directive (UE) 2016/680 – Articles 13 et 54 – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8, 11 et 47 ainsi que article 52, paragraphe 1 »

Dans l’affaire C‑350/21,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Spetsializiran nakazatelen sad (tribunal pénal spécialisé, Bulgarie), par décision du 3 juin 2021, parvenue à la Cour le 4 juin 2021, dans la procédure pénale engagée par

Spetsializirana prokuratura,

LA COUR (sixième chambre),

composée de M. P. G. Xuereb (rapporteur), président de chambre, M. A. Kumin et Mme I. Ziemele, juges,

avocat général : M. M. Campos Sánchez-Bordona,

greffier : M. A. Calot Escobar,

vu la procédure écrite,

considérant les observations présentées :

– pour le gouvernement danois, par Mmes V. Pasternak Jørgensen et M. Søndahl Wolff, en qualité d’agents,

– pour le gouvernement estonien, par Mme M. Kriisa, en qualité d’agent,

– pour le gouvernement irlandais, par Mme M. Browne, MM. D. Fennelly, A. Joyce et Mme M. Lane, en qualité d’agents,

– pour le gouvernement espagnol, par M. L. Aguilera Ruiz, en qualité d’agent,

– pour le gouvernement chypriote, par Mme I. Neophytou, en qualité d’agent,

– pour le gouvernement hongrois, par M. M. Z. Fehér et Mme R. Kissné Berta, en qualité d’agents,

– pour le gouvernement polonais, par M. B. Majczyna, en qualité d’agent,

– pour la Commission européenne, par Mme C. Georgieva, MM. H. Kranenborg, P.-J. Loewenthal et F. Wilman, en qualité d’agents,

vu la décision prise, l’avocat général entendu, de juger l’affaire sans conclusions,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte sur l’interprétation de l’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009 (JO 2009, L 337, p. 11) (ci-après la « directive 2002/58 »), ainsi que des articles 13 et 54 de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO 2016, L 119 p. 89).

2 Cette demande a été présentée dans le cadre d’une procédure pénale engagée par la Spetsializirana prokuratura (parquet spécialisé, Bulgarie) aux fins de l’accès aux données relatives aux communications par téléphone passées par cinq personnes.

Le cadre juridique

Le droit de l’Union

La directive 2002/58

3 Le considérant 11 de la directive 2002/58 énonce :

« À l’instar de la directive 95/46/CE [du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31)], la présente directive ne traite pas des questions de protection des droits et libertés fondamentaux liées à des activités qui ne sont pas régies par le droit communautaire. Elle ne modifie donc pas l’équilibre existant entre le droit des personnes à une vie privée et la possibilité dont disposent les États membres de prendre des mesures telles que celles visées à l’article 15, paragraphe 1, de la présente directive, nécessaires pour la protection de la sécurité publique, de la défense, de la sûreté de l’État (y compris la prospérité économique de l’État lorsqu’il s’agit d’activités liées à la sûreté de l’État) et de l’application du droit pénal. Par conséquent, la présente directive ne porte pas atteinte à la faculté des États membres de procéder aux interceptions légales des communications électroniques ou d’arrêter d’autres mesures si cela s’avère nécessaire pour atteindre l’un quelconque des buts précités, dans le respect de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, telle qu’interprétée par la Cour européenne des droits de l’homme dans ses arrêts. Lesdites mesures doivent être appropriées, rigoureusement proportionnées au but poursuivi et nécessaires dans une société démocratique. Elles devraient également être subordonnées à des garanties appropriées, dans le respect de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. »

4 L’article 4, paragraphes 1 et 1 bis, de la directive 2002/58, intitulé « Sécurité du traitement », dispose :

« 1. Le fournisseur d’un service de communications électroniques accessible au public prend les mesures d’ordre technique et organisationnel appropriées afin de garantir la sécurité de ses services, le cas échéant conjointement avec le fournisseur du réseau public de communications en ce qui concerne la sécurité du réseau. Compte tenu des possibilités techniques les plus récentes et du coût de leur mise en œuvre, ces mesures garantissent un degré de sécurité adapté au risque existant.

1 bis. Sans préjudice des dispositions de la directive [95/46], les mesures visées au paragraphe 1, pour le moins :

– garantissent que seules des personnes autorisées peuvent avoir accès aux données à caractère personnel à des fins légalement autorisées,

– protègent les données à caractère personnel stockées ou transmises contre la destruction accidentelle ou illicite, la perte ou l’altération accidentelles et le stockage, le traitement, l’accès et la divulgation non autorisés ou illicites, et

– assurent la mise en œuvre d’une politique de sécurité relative au traitement des données à caractère personnel.

Les autorités nationales compétentes en la matière sont habilitées à vérifier les mesures prises par les fournisseurs de services de communications électroniques accessibles au public, ainsi qu’à émettre des recommandations sur les meilleures pratiques concernant le degré de sécurité que ces mesures devraient atteindre. »

5 L’article 5 de la directive 2002/58, intitulé « Confidentialité des communications », prévoit, à son paragraphe 1 :

« Les États membres garantissent, par la législation nationale, la confidentialité des communications effectuées au moyen d’un réseau public de communications et de services de communications électroniques accessibles au public, ainsi que la confidentialité des données relatives au trafic y afférentes. En particulier, ils interdisent à toute autre personne que les utilisateurs d’écouter, d’intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d’interception ou de surveillance, sans le consentement des utilisateurs concernés sauf lorsque cette personne y est légalement autorisée, conformément à l’article 15, paragraphe 1. Le présent paragraphe n’empêche pas le stockage technique nécessaire à l’acheminement d’une communication, sans préjudice du principe de confidentialité. »

6 L’article 15 de cette directive, intitulé « Application de certaines dispositions de la directive [95/46] », énonce, à ses paragraphes 1 et 2 :

« 1. Les États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l’article 8, paragraphes 1, 2, 3 et 4, et à l’article 9 de la présente directive lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la directive [95/46]. À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe. Toutes les mesures visées dans le présent paragraphe sont prises dans le respect des principes généraux du droit [de l’Union], y compris ceux visés à l’article 6, paragraphes 1 et 2, du traité sur l’Union européenne.

[...]

2. Les dispositions du chapitre III de la directive [95/46] relatif aux recours juridictionnels, à la responsabilité et aux sanctions sont applicables aux dispositions nationales adoptées en application de la présente directive ainsi qu’aux droits individuels résultant de la présente directive. »

La directive 95/46

7 La directive 95/46 a été abrogée, avec effet au 25 mai 2018, par le règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 (JO 2016, L 119, p. 1). L’article 3, paragraphe 2, de la directive 95/46 disposait :

« La présente directive ne s’applique pas au...

To continue reading

Request your trial

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT