La Quadrature du Net y otros

• Jurisdiction: European Union
• ECLI: ECLI:EU:C:2020:6
• Date: 15 January 2020
• Celex Number: 62018CC0511
• Court: Court of Justice (European Union)

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. MANUEL CAMPOS SÁNCHEZ-BORDONA

présentées le 15 janvier 2020 (1)

Affaires jointes C‑511/18 et C‑512/18

La Quadrature du Net,

French Data Network,

Fédération des fournisseurs d’accès à Internet associatifs

Igwan.net (C‑511/18)

contre

Premier ministre,

Garde des Sceaux, ministre de la Justice,

Ministre de l’Intérieur,

Ministre des Armées

[Demande de décision préjudicielle formée par le Conseil d’État statuant au contentieux (France)]

« Renvoi préjudiciel — Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques — Sauvegarde de la sécurité nationale et lutte contre le terrorisme — Directive 2002/58/CE — Champ d’application — Article 1er, paragraphe 3 — Article 15, paragraphe 3 — Article 4, paragraphe 2, TUE — Charte des droits fondamentaux de l’Union européenne — Articles 6, 7, 8, 11, 47 et 52, paragraphe 1 — Conservation généralisée et indifférenciée des données de connexion et des données permettant d’identifier les créateurs de contenu — Recueil de données relatives au trafic et de données de localisation — Accès aux données »

1. Ces dernières années, la Cour a maintenu une ligne jurisprudentielle constante en matière de conservation et d’accès aux données à caractère personnel, marquée par les jalons suivants :

– l’arrêt du 8 avril 2014, Digital Rights Ireland e.a. (2), dans lequel la Cour a constaté l’invalidité de la directive 2006/24/CE (3), au motif que cette dernière permettait une ingérence disproportionnée dans les droits consacrés par les articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne (ci‑après la « Charte ») ;

– l’arrêt du 21 décembre 2016, Tele2 Sverige et Watson e.a. (4), dans lequel elle a interprété l’article 15, paragraphe 1, de la directive 2002/58/CE (5) ;

– l’arrêt du 2 octobre 2018, Ministerio Fiscal (6), dans lequel elle a confirmé l’interprétation de cette même disposition de la directive 2002/58.

2. Ces arrêts (notamment le deuxième) préoccupent les autorités de certains États membres, car ils ont, selon elles, pour effet de les priver d’un instrument qu’elles estiment nécessaire à la sauvegarde de la sécurité nationale et à la lutte contre la criminalité et le terrorisme. Certains de ces États membres demandent donc que cette jurisprudence soit révoquée ou nuancée.

3. Des juridictions d’États membres ont fait part de cette même préoccupation dans quatre renvois préjudiciels (7) sur lesquels je présente ce jour mes conclusions.

4. Les quatre affaires soulèvent, tout d’abord, le problème de l’application de la directive 2002/58 à des activités liées à la sécurité nationale et à la lutte contre le terrorisme. Si cette directive s’applique dans un tel contexte, il conviendra alors de déterminer dans quelle mesure les États membres peuvent restreindre les droits en matière de vie privée qu’elle protège. Enfin, il y aura lieu d’examiner jusqu’à quel point les différentes réglementations nationales (britannique (8), belge (9) et française (10)) en la matière sont conformes au droit de l’Union, tel qu’interprété par la Cour.

I. Le cadre réglementaire

A. Le droit de l’Union

1. La directive 2002/58

5. Aux termes de l’article 1^er (« Champ d’application et objectif ») de la directive 2002/58 :

« 1. La présente directive harmonise les dispositions des États membres nécessaires pour assurer un niveau équivalent de protection des droits et libertés fondamentaux, et en particulier du droit à la vie privée, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et des services de communications électroniques dans la Communauté.

[...]

3. La présente directive ne s’applique pas aux activités qui ne relèvent pas du traité instituant la Communauté européenne, telles que celles visées dans les titres V et VI du traité sur l’Union européenne, et en tout état de cause, aux activités concernant la sécurité publique, la défense, la sûreté de l’État (y compris la prospérité économique de l’État lorsqu’il s’agit d’activités liées à la sûreté de l’État) ou aux activités de l’État dans des domaines relevant du droit pénal. »

6. L’article 3 (« Services concernés ») de la directive 2002/58 prévoit :

« La présente directive s’applique au traitement des données à caractère personnel dans le cadre de la fourniture des services de communications électroniques accessibles au public sur les réseaux de communications publics dans la Communauté, y compris les réseaux de communications publics qui prennent en charge les dispositifs de collecte de données et d’identification. »

7. L’article 5 (« Confidentialité des communications ») de la directive 2002/58 énonce, à son paragraphe 1 :

« Les États membres garantissent, par la législation nationale, la confidentialité des communications effectuées au moyen d’un réseau public de communications et de services de communications électroniques accessibles au public, ainsi que la confidentialité des données relatives au trafic y afférentes. En particulier, ils interdisent à toute autre personne que les utilisateurs d’écouter, d’intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d’interception ou de surveillance, sans le consentement des utilisateurs concernés sauf lorsque cette personne y est légalement autorisée, conformément à l’article 15, paragraphe 1. Le présent paragraphe n’empêche pas le stockage technique nécessaire à l’acheminement d’une communication, sans préjudice du principe de confidentialité. »

8. Conformément à l’article 6 (« Données relatives au trafic ») de la directive 2002/58 :

« 1. Les données relatives au trafic concernant les abonnés et les utilisateurs traitées et stockées par le fournisseur d’un réseau public de communications ou d’un service de communications électroniques accessibles au public doivent être effacées ou rendues anonymes lorsqu’elles ne sont plus nécessaires à la transmission d’une communication sans préjudice des paragraphes 2, 3 et 5, du présent article ainsi que de l’article 15, paragraphe 1.

2. Les données relatives au trafic qui sont nécessaires pour établir les factures des abonnés et les paiements pour interconnexion peuvent être traitées. Un tel traitement n’est autorisé que jusqu’à la fin de la période au cours de laquelle la facture peut être légalement contestée ou des poursuites engagées pour en obtenir le paiement ».

9. L’article 15 (« Application de certaines dispositions de la directive 95/46/CE (11) ») de la directive 2002/58 dispose, à son paragraphe 1 :

« Les États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l’article 8, paragraphes 1, 2, 3 et 4, et à l’article 9 de la présente directive lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est‑à‑dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la directive 95/46/CE. À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe. Toutes les mesures visées dans le présent paragraphe sont prises dans le respect des principes généraux du droit communautaire, y compris ceux visés à l’article 6, paragraphes 1 et 2, du traité sur l’Union européenne. »

2. La directive 2000/31/CE

10. L’article 14 de la directive 2000/31 (12) prévoit :

« 1. Les États membres veillent à ce que, en cas de fourniture d’un service de la société de l’information consistant à stocker des informations fournies par un destinataire du service, le prestataire ne soit pas responsable des informations stockées à la demande d’un destinataire du service à condition que :

[...]

3. Le présent article n’affecte pas la possibilité, pour une juridiction ou une autorité administrative, conformément aux systèmes juridiques des États membres, d’exiger du prestataire qu’il mette un terme à une violation ou qu’il prévienne une violation et n’affecte pas non plus la possibilité, pour les États membres, d’instaurer des procédures régissant le retrait de ces informations ou les actions pour en rendre l’accès impossible. »

11. Aux termes de l’article 15 de la directive 2000/31 :

« 1. Les États membres ne doivent pas imposer aux prestataires, pour la fourniture des services visée aux articles 12, 13 et 14, une obligation générale de surveiller les informations qu’ils transmettent ou stockent, ou une obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites.

2. Les États membres peuvent instaurer, pour les prestataires de services de la société de l’information, l’obligation d’informer promptement les autorités publiques compétentes d’activités illicites alléguées qu’exerceraient les destinataires de leurs services ou d’informations illicites alléguées que ces derniers fourniraient ou de communiquer aux autorités compétentes, à leur demande, les informations permettant d’identifier les destinataires de leurs services avec lesquels ils ont conclu un accord d’hébergement. »

3. Le règlement (UE) 2016/679

12. Conformément à l’article 2 (« Champ d’application matériel ») du règlement 2016/679 (13) :

« 1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à...