Digital Rights Ireland Ltd v Minister for Communications, Marine and Natural Resources and Others and Kärntner Landesregierung and Others.

• Jurisdiction: European Union
• Court: Court of Justice (European Union)
• Writing for the Court: von Danwitz
• ECLI: ECLI:EU:C:2014:238
• Docket Number: C‑293/12,C‑594/12
• Date: 08 April 2014
• Procedure Type: Reference for a preliminary ruling

ARRÊT DE LA COUR (grande chambre)

8 avril 2014 ( *1 )

«Communications électroniques — Directive 2006/24/CE — Services de communications électroniques accessibles au public ou de réseaux publics de communications — Conservation de données générées ou traitées dans le cadre de la fourniture de tels services — Validité — Articles 7, 8 et 11 de la charte des droits fondamentaux de l’Union européenne»

Dans les affaires jointes C‑293/12 et C‑594/12,

ayant pour objet des demandes de décision préjudicielle au titre de l’article 267 TFUE, introduites par la High Court (Irlande) et le Verfassungsgerichtshof (Autriche), par décisions, respectivement, des 27 janvier et 28 novembre 2012, parvenues à la Cour les 11 juin et 19 décembre 2012, dans les procédures

Digital Rights Ireland Ltd (C‑293/12)

contre

Minister for Communications, Marine and Natural Resources,

Minister for Justice, Equality and Law Reform,

Commissioner of the Garda Síochána,

Irlande,

The Attorney General,

en présence de:

Irish Human Rights Commission,

et

Kärntner Landesregierung (C‑594/12),

Michael Seitlinger,

Christof Tschohl e.a.,

LA COUR (grande chambre),

composée de M. V. Skouris, président, M. K. Lenaerts, vice-président, M. A. Tizzano, Mme R. Silva de Lapuerta, MM. T. von Danwitz (rapporteur), E. Juhász, A. Borg Barthet, C. G. Fernlund et J. L. da Cruz Vilaça, présidents de chambre, MM. A. Rosas, G. Arestis, J.‑C. Bonichot, A. Arabadjiev, Mme C. Toader et M. C. Vajda juges,

avocat général: M. P. Cruz Villalón,

greffier: M. K. Malacek, administrateur,

vu la procédure écrite et à la suite de l’audience du 9 juillet 2013,

considérant les observations présentées:

— pour Digital Rights Ireland Ltd, par MM. F. Callanan, SC, et F. Crehan, BL, mandatés par M. S. McGarr, solicitor,

— pour M. Seitlinger, par Me G. Otto, Rechtsanwalt,

— pour M. Tschohl e.a., par Me E. Scheucher, Rechtsanwalt,

— pour l’Irish Human Rights Commission, par M. P. Dillon Malone, BL, mandaté par Mme S. Lucey, solicitor,

— pour l’Irlande, par Mme E. Creedon et M. D. McGuinness, en qualité d’agents, assistés de MM. E. Regan, SC, et D. Fennelly, JC,

— pour le gouvernement autrichien, par MM. G. Hesse et G. Kunnert, en qualité d’agents,

— pour le gouvernement espagnol, par Mme N. Díaz Abad, en qualité d’agent,

— pour le gouvernement français, par MM. G. de Bergues et D. Colas ainsi que par Mme B. Beaupère-Manokha, en qualité d’agents,

— pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de M. A. De Stefano, avvocato dello Stato,

— pour le gouvernement polonais, par MM. B. Majczyna et M. Szpunar, en qualité d’agents,

— pour le gouvernement portugais, par M. L. Inez Fernandes et Mme C. Vieira Guerra, en qualité d’agents,

— pour le gouvernement du Royaume-Uni, par M. L. Christie, en qualité d’agent, assisté de Mme S. Lee, barrister,

— pour le Parlement européen, par MM. U. Rösslein et A. Caiola ainsi que par Mme K. Zejdová, en qualité d’agents,

— pour le Conseil de l’Union européenne, par MM. J. Monteiro et E. Sitbon ainsi que par Mme I. Šulce, en qualité d’agents,

— pour la Commission européenne, par Mme D. Maidani ainsi que par MM. B. Martenczuk et M. Wilderspin, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 12 décembre 2013,

rend le présent

Arrêt

1 Les demandes de décision préjudicielle portent sur la validité de la directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE (JO L 105, p. 54).

2 La demande présentée par la High Court (affaire C‑293/12) concerne un litige opposant Digital Rights Ireland Ltd (ci-après «Digital Rights») au Minister for Communications, Marine and Natural Resources, au Minister for Justice, Equality and Law Reform, au Commissioner of the Garda Síochána, à l’Irlande ainsi qu’à l’Attorney General au sujet de la légalité de mesures législatives et administratives nationales concernant la conservation de données relatives à des communications électroniques.

3 La demande présentée par le Verfassungsgerichtshof (affaire C‑594/12) est relative à des recours en matière constitutionnelle introduits devant cette juridiction respectivement par la Kärntner Landesregierung (gouvernement du Land de Carinthie) ainsi que par MM. Seitlinger, Tschohl et 11 128 autres requérants au sujet de la compatibilité de la loi transposant la directive 2006/24 dans le droit interne autrichien avec la loi constitutionnelle fédérale (Bundes-Verfassungsgesetz).

Le cadre juridique

La directive 95/46/CE

4 La directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, p. 31), a, conformément à son article 1er, paragraphe 1, pour objet d’assurer la protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel.

5 Quant à la sécurité des traitements de telles données, l’article 17, paragraphe 1, de ladite directive dispose: «Les États membres prévoient que le responsable du traitement doit mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite. Ces mesures doivent assurer, compte tenu de l’état de l’art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.»

La directive 2002/58/CE

6 La directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201, p. 37), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009 (JO L 337, p. 11, ci-après la «directive 2002/58»), a pour objectif, conformément à son article 1er, paragraphe 1, d’harmoniser les dispositions des États membres nécessaires pour assurer un niveau équivalent de protection des droits et des libertés fondamentaux, et en particulier du droit à la vie privée et à la confidentialité, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et des services de communications électroniques dans l’Union européenne. En vertu du paragraphe 2 du même article, les dispositions de cette directive précisent et complètent la directive 95/46 aux fins énoncées au paragraphe 1 susmentionné.

7 En ce qui concerne la sécurité du traitement des données, l’article 4 de la directive 2002/58 prévoit: «1. Le fournisseur d’un service de communications électroniques accessible au public prend les mesures d’ordre technique et organisationnel appropriées afin de garantir la sécurité de ses services, le cas échéant conjointement avec le fournisseur du réseau public de communications en ce qui concerne la sécurité du réseau. Compte tenu des possibilités techniques les plus récentes et du coût de leur mise en œuvre, ces mesures garantissent un degré de sécurité adapté au risque existant. 1bis. Sans préjudice des dispositions de la directive 95/46/CE, les mesures visées au paragraphe 1, pour le moins: — garantissent que seules des personnes autorisées peuvent avoir accès aux données à caractère personnel à des fins légalement autorisées, — protègent les données à caractère personnel stockées ou transmises contre la destruction accidentelle ou illicite, la perte ou l’altération accidentelles et le stockage, le traitement, l’accès et la divulgation non autorisés ou illicites, et — assurent la mise en œuvre d’une politique de sécurité relative au traitement des données à caractère personnel. Les autorités nationales compétentes en la matière sont habilitées à vérifier les mesures prises par les fournisseurs de services de communications électroniques accessibles au public, ainsi qu’à émettre des recommandations sur les meilleures pratiques concernant le degré de sécurité que ces mesures devraient atteindre. 2. Lorsqu’il existe un risque particulier de violation de la sécurité du réseau, le fournisseur d’un service de communications électroniques accessible au public informe les abonnés de ce risque et, si les mesures que peut prendre le fournisseur du service ne permettent pas de l’écarter, de tout moyen éventuel d’y remédier, y compris en en indiquant le coût probable.»

8 Quant à la confidentialité des communications et des données relatives au trafic, l’article 5, paragraphes 1 et 3, de ladite directive dispose: «1. Les États membres garantissent, par la législation nationale, la confidentialité des communications effectuées au moyen d’un...