Opinion of Advocate General Saugmandsgaard Øe delivered on 19 July 2016.

• Jurisdiction: European Union
• ECLI: ECLI:EU:C:2016:572
• Docket Number: C-698/15,C-203/15
• Celex Number: 62015CC0203
• Court: Court of Justice (European Union)
• Procedure Type: Reference for a preliminary ruling
• Date: 19 July 2016

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. HENRIK SAUGMANDSGAARD ØE

présentées le 19 juillet 2016 ( 1 )

Affaires jointes C‑203/15 et C‑698/15

Tele2 Sverige AB

contre

Post‑ och telestyrelsen (C‑203/15)

et

Secretary of State for the Home Department

contre

Tom Watson,

Peter Brice,

Geoffrey Lewis (C‑698/15)

en présence de

Open Rights Group,

Privacy International,

Law Society of England and Wales

[demandes de décision préjudicielle formées par le Kammarrätten i Stockholm (cour administrative d’appel de Stockholm, Suède) et la Court of Appeal (England & Wales) (Civil Division) [Cour d’appel (Angleterre et pays de Galles) (division civile), Royaume‑Uni]

«Renvoi préjudiciel — Directive 2002/58/CE — Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques — Législation nationale prévoyant une obligation générale de conserver les données relatives aux communications électroniques — Article 15, paragraphe 1 — charte des droits fondamentaux de l’Union européenne — Article 7 — Droit au respect de la vie privée — Article 8 — Droit à la protection des données à caractère personnel — Ingérence grave — Justification — Article 52, paragraphe 1 — Conditions — Objectif légitime de lutte contre les infractions graves — Exigence d’une base légale en droit national — Exigence de stricte nécessité — Exigence de proportionnalité dans une société démocratique»

Table des matières

I – Introduction

II – Le cadre juridique

A – La directive 2002/58

B – Le droit suédois

1. Sur la portée de l’obligation de conservation

2. Sur l’accès aux données conservées

a) La LEK

b) Le RB

c) La loi 2012:278

3. Sur la durée de conservation des données

4. Sur la protection et la sécurité des données conservées

C – Le droit du Royaume‑Uni

1. Sur la portée de l’obligation de conservation

2. Sur l’accès aux données conservées

3. Sur la durée de conservation des données

4. Sur la protection et la sécurité des données conservées

III – Les litiges au principal et les questions préjudicielles

A – L’affaire C‑203/15

B – L’affaire C‑698/15

IV – La procédure devant la Cour

V – Analyse des questions préjudicielles

A – Sur la recevabilité de la seconde question posée dans l’affaire C‑698/15

B – Sur la compatibilité d’une obligation générale de conservation de données avec le régime établi par la directive 2002/58

1. Sur l’inclusion d’une obligation générale de conservation de données dans le champ d’application de la directive 2002/58

2. Sur la possibilité de déroger au régime établi par la directive 2002/58 en établissant une obligation générale de conservation de données

C – Sur l’applicabilité de la Charte à une obligation générale de conservation de données

D – Sur la compatibilité d’une obligation générale de conservation de données avec les exigences établies par l’article 15, paragraphe 1, de la directive 2002/58 ainsi que par les articles 7, 8 et 52, paragraphe 1, de la Charte

1. Sur l’exigence d’une base légale en droit national

2. Sur le respect du contenu essentiel des droits reconnus par les articles 7 et 8 de la Charte

3. Sur l’existence d’un objectif d’intérêt général reconnu par l’Union susceptible de justifier une obligation générale de conservation de données

4. Sur le caractère approprié d’une obligation générale de conservation de données au regard de la lutte contre les infractions graves

5. Sur le caractère nécessaire d’une obligation générale de conservation de données au regard de la lutte contre les infractions graves

a) Sur le caractère strictement nécessaire d’une obligation générale de conservation de données

b) Sur le caractère impératif des garanties énoncées par la Cour aux points 60 à 68 de l’arrêt DRI au regard de l’exigence de stricte nécessité

6. Sur le caractère proportionné, dans une société démocratique, d’une obligation générale de conservation de données au regard de l’objectif de lutte contre les infractions graves

VI – Conclusion

I – Introduction

1. En 1788, James Madison, l’un des auteurs de la Constitution des États‑Unis, écrivait : « If men were angels, no government would be necessary. If angels were to govern men, neither external nor internal controls on government would be necessary. In framing a government which is to be administered by men over men, the great difficulty lies in this : you must first enable the government to control the governed ; and in the next place oblige it to control itself» ( 2 ).

2. Les présentes affaires nous placent au cœur de la « grande difficulté » identifiée par Madison. Elles portent sur la compatibilité avec le droit de l’Union de régimes nationaux établissant, à charge des fournisseurs de services de communications électroniques accessibles au public (ci‑après les « fournisseurs »), une obligation de conservation des données relatives aux communications électroniques (ci‑après les « données relatives aux communications »), portant sur l’ensemble des moyens de communication et l’ensemble des utilisateurs (ci‑après l’« obligation générale de conservation de données »).

3. D’une part, la conservation des données relatives aux communications permet « au gouvernement de contrôler les gouvernés » en offrant aux autorités compétentes un moyen d’investigation pouvant revêtir une utilité certaine dans la lutte contre les infractions graves, et notamment dans la lutte contre le terrorisme. En substance, la conservation de ces données octroie aux autorités une capacité limitée de « lire le passé », en accédant aux données relatives aux communications qu’une personne a effectuées avant même d’être suspectée d’avoir un lien avec une infraction grave ( 3 ).

4. Toutefois, et d’autre part, il est impératif d’« obliger le gouvernement à se contrôler lui‑même » en ce qui concerne tant la conservation que l’accès aux données conservées, eu égard aux graves risques qu’engendre l’existence de telles bases de données couvrant la totalité des communications réalisées sur le territoire national. En effet, ces bases de données d’une ampleur considérable offrent à toute personne y ayant accès le pouvoir de cataloguer instantanément l’ensemble de la population pertinente ( 4 ). Ces risques doivent être scrupuleusement appréhendés au travers notamment de l’examen des caractères strictement nécessaire et proportionné d’une obligation générale de conservation de données, telle que celles en cause dans les litiges au principal.

5. Ainsi, dans le cadre des présentes affaires, la Cour et les juridictions de renvoi sont appelées à définir un point d’équilibre entre l’obligation incombant aux États membres d’assurer la sécurité des individus se trouvant sur leur territoire et le respect des droits fondamentaux à la vie privée et à la protection des données à caractère personnel consacrés aux articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne (ci‑après la « Charte »).

6. C’est à la lumière de cette « grande difficulté » que j’examinerai les questions posées à la Cour dans les présentes affaires. Celles‑ci concernent, plus spécifiquement, la compatibilité de régimes nationaux établissant une obligation générale de conservation de données avec la directive 2002/58/CE ( 5 ) ainsi qu’avec les articles 7 et 8 de la Charte. En vue de répondre à ces questions, la Cour devra notamment préciser l’interprétation qu’il convient d’apporter dans un contexte national à l’arrêt Digital Rights Ireland e.a. (ci‑après « l’arrêt DRI ») ( 6 ), dans lequel la grande chambre de la Cour a invalidé la directive 2006/24/CE ( 7 ).

7. Pour les motifs que j’exposerai ci‑après, j’ai le sentiment qu’une obligation générale de conservation de données imposée par un État membre peut être compatible avec les droits fondamentaux consacrés par le droit de l’Union à condition d’être strictement encadrée par une série de garanties que j’identifierai au cours de mon exposé.

II – Le cadre juridique

A – La directive 2002/58

8. L’article 1er de la directive 2002/58, intitulé « Champ d’application et objectif », dispose : « 1. La présente directive prévoit l’harmonisation des dispositions nationales nécessaires pour assurer un niveau équivalent de protection des droits et libertés fondamentaux, et en particulier du droit à la vie privée et à la confidentialité, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et services de communications électroniques dans [l’Union européenne]. 2. Les dispositions de la présente directive précisent et complètent la directive [95/46] aux fins énoncées au paragraphe 1. En outre, elles prévoient la protection des intérêts légitimes des abonnés qui sont des personnes morales. 3. La présente directive ne s’applique pas aux activités qui ne relèvent pas du [TFUE], telles que celles visées dans les titres V et VI du [TUE], et, en tout état de cause, aux activités concernant la sécurité publique, la défense, la sûreté de l’État (y compris la prospérité économique de l’État lorsqu’il s’agit d’activités liées à la sûreté de l’État) ou aux activités de l’État dans des domaines relevant du droit pénal. »

9. L’article 15, paragraphe 1, de la directive 2002/58, intitulé « Application de certaines dispositions de la directive...