Privacy International v Secretary of State for Foreign and Commonwealth Affairs and Others.

• Jurisdiction: European Union
• ECLI: ECLI:EU:C:2020:790
• Docket Number: C-623/17
• Date: 06 October 2020
• Celex Number: 62017CJ0623
• Court: Court of Justice (European Union)

ARRÊT DE LA COUR (grande chambre)

6 octobre 2020 ( *1 )

« Renvoi préjudiciel – Traitement des données à caractère personnel dans le secteur des communications électroniques – Fournisseurs de services de communications électroniques – Transmission généralisée et indifférenciée des données relatives au trafic et des données de localisation – Sauvegarde de la sécurité nationale – Directive 2002/58/CE – Champ d’application – Article 1er, paragraphe 3, et article 3 – Confidentialité des communications électroniques – Protection – Article 5 et article 15, paragraphe 1 – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8 et 11 ainsi que article 52, paragraphe 1 – Article 4, paragraphe 2, TUE »

Dans l’affaire C‑623/17,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par l’Investigatory Powers Tribunal (tribunal chargé des pouvoirs d’enquête, Royaume-Uni), par décision du 18 octobre 2017, parvenue à la Cour le 31 octobre 2017, dans la procédure

Privacy International

contre

Secretary of State for Foreign and Commonwealth Affairs,

Secretary of State for the Home Department,

Government Communications Headquarters,

Security Service,

Secret Intelligence Service,

LA COUR (grande chambre),

composée de M. K. Lenaerts, président, Mme R. Silva de Lapuerta, vice-présidente, MM. J.‑C. Bonichot, A. Arabadjiev, Mme A. Prechal, MM. M. Safjan, P. G. Xuereb et Mme L. S. Rossi, présidents de chambre, MM. J. Malenovský, L. Bay Larsen, T. von Danwitz (rapporteur), Mmes C. Toader, K. Jürimäe, MM. C. Lycourgos et N. Piçarra, juges,

avocat général : M. M. Campos Sánchez-Bordona,

greffier : Mme C. Strömholm, administratrice,

vu la procédure écrite et à la suite de l’audience des 9 et 10 septembre 2019,

considérant les observations présentées :

– pour Privacy International, par MM. B. Jaffey et T. de la Mare, QC, par M. D. Cashman, solicitor, ainsi que par Me H. Roy, avocat,

– pour le gouvernement du Royaume-Uni, par Mmes Z. Lavery et D. Guðmundsdóttir ainsi que par M. S. Brandon, en qualité d’agents, assistés de MM. G. Facenna et D. Beard, QC, ainsi que de MM. C. Knight et R. Palmer, barristers,

– pour le gouvernement belge, par MM. P. Cottin et J.-C. Halleux, en qualité d’agents, assistés de Mes J. Vanpraet, advocaat, et E. de Lophem, avocat,

– pour le gouvernement tchèque, par MM. M. Smolek, J. Vláčil et O. Serdula, en qualité d’agents,

– pour le gouvernement allemand, initialement par MM. M. Hellmann, R. Kanitz, D. Klebs et T. Henze, puis par MM. J. Möller, M. Hellmann, R. Kanitz et D. Klebs, en qualité d’agents,

– pour le gouvernement estonien, par Mme A. Kalbus, en qualité d’agent,

– pour le gouvernement irlandais, par Mmes M. Browne et G. Hodge ainsi que par M. A. Joyce, en qualité d’agents, assistés de M. D. Fennelly, barrister,

– pour le gouvernement espagnol, initialement par M. L. Aguilera Ruiz et Mme M. J. García-Valdecasas Dorrego, puis par M. L. Aguilera Ruiz, en qualité d’agents,

– pour le gouvernement français, initialement par Mmes E. de Moustier, E. Armoët et A.-L. Desjonquères ainsi que par MM. F. Alabrune, D. Colas et D. Dubois, puis par Mmes E. de Moustier, E. Armoët et A.-L. Desjonquères ainsi que par MM. F. Alabrune et D. Dubois, en qualité d’agents,

– pour le gouvernement chypriote, par Mmes E. Symeonidou et E. Neofytou, en qualité d’agents,

– pour le gouvernement letton, initialement par Mmes V. Soņeca et I. Kucina, puis par Mme V. Soņeca, en qualité d’agents,

– pour le gouvernement hongrois, initialement par MM. G. Koós, M. Z. Fehér et G. Tornyai ainsi que par Mme Z. Wagner, puis par MM. G. Koós et M. Z. Fehér, en qualité d’agents,

– pour le gouvernement néerlandais, par Mmes C. S. Schillemans et M. K. Bulterman, en qualité d’agents,

– pour le gouvernement polonais, par M. B. Majczyna ainsi que par Mmes J. Sawicka et M. Pawlicka, en qualité d’agents,

– pour le gouvernement portugais, par MM. L. Inez Fernandes et M. Figueiredo ainsi que par Mme F. Aragão Homem, en qualité d’agents,

– pour le gouvernement suédois, initialement par Mmes A. Falk, H. Shev, C. Meyer-Seitz, L. Zettergren et A. Alriksson, puis par Mmes H. Shev, C. Meyer-Seitz, L. Zettergren et A. Alriksson, en qualité d’agents,

– pour le gouvernement norvégien, par MM. T. B. Leming, M. Emberland et J. Vangsnes, en qualité d’agents,

– pour la Commission européenne, initialement par MM. H. Kranenborg, M. Wasmeier et D. Nardi ainsi que Mme P. Costa de Oliveira, puis par MM. H. Kranenborg, M. Wasmeier et D. Nardi, en qualité d’agents,

– pour le Contrôleur européen de la protection des données, par M. T. Zerdick et Mme A. Buchta, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 15 janvier 2020,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte sur l’interprétation de l’article 1er, paragraphe 3, et de l’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009 (JO 2009, L 337, p. 11) (ci-après la « directive 2002/58 »), lus à la lumière de l’article 4, paragraphe 2, TUE ainsi que des articles 7 et 8 et de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »).

2 Cette demande a été présentée dans le cadre d’un litige opposant Privacy International au Secretary of State for Foreign and Commonwealth Affairs (ministre des Affaires étrangères et du Commonwealth, Royaume-Uni), au Secretary of State for the Home Departement (ministre de l’Intérieur, Royaume-Uni), au Government Communications Headquarters (quartier général des communications, Royaume-Uni) (ci-après le « GCHQ »), au Security Service (service de sécurité, Royaume-Uni, ci-après le « MI5 ») et au Secret Intelligence Service (service secret de renseignement, Royaume-Uni, ci-après le « MI6 »), au sujet de la légalité d’une législation autorisant l’acquisition et l’utilisation par les services de sécurité et de renseignement de données relatives à des communications en masse (bulk communications data).

Le cadre juridique

Le droit de l’Union

La directive 95/46

3 La directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31), a été abrogée, avec effet au 25 mai 2018, par le règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (JO 2016, L 119, p. 1). L’article 3 de ladite directive, intitulé « Champ d’application », était libellé comme suit : « 1. La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. 2. La présente directive ne s’applique pas au traitement de données à caractère personnel : – mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI [TUE], et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal, – effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques. »

La directive 2002/58

4 Les considérants 2, 6, 7, 11, 22, 26 et 30 de la directive 2002/58 énoncent : « (2) La présente directive vise à respecter les droits fondamentaux et observe les principes reconnus notamment par la [Charte]. En particulier, elle vise à garantir le plein respect des droits exposés aux articles 7 et 8 de [celle-ci]. [...] (6) L’Internet bouleverse les structures commerciales traditionnelles en offrant une infrastructure mondiale commune pour la fourniture de toute une série de services de communications électroniques. Les services de communications électroniques accessibles au public sur l’Internet ouvrent de nouvelles possibilités aux utilisateurs, mais présentent aussi de nouveaux dangers pour leurs données à caractère personnel et leur vie privée. (7) Dans le cas des réseaux publics de communications, il convient d’adopter des dispositions législatives, réglementaires et techniques spécifiques afin de protéger les droits et les libertés fondamentaux des personnes physiques et les intérêts légitimes des personnes morales, notamment eu égard à la capacité accrue de stockage et de traitement automatisés de données relatives aux abonnés et aux utilisateurs. [...] (11) À l’instar de la directive [95/46], la présente directive ne traite pas des...