Opinion of Advocate General Pitruzzella delivered on 21 January 2020.

• Jurisdiction: European Union
• ECLI: ECLI:EU:C:2020:18
• Date: 21 January 2020
• Celex Number: 62018CC0746
• Court: Court of Justice (European Union)

Édition provisoire

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. GIOVANNI PITRUZZELLA

présentées le 21 janvier 2020 (1)

Affaire C‑746/18

H. K.

contre

Prokuratuur

[demande de décision préjudicielle formée par la Riigikohus (Cour suprême, Estonie)]

« Renvoi préjudiciel – Traitement des données à caractère personnel dans le secteur des communications électroniques – Confidentialité des communications – Fournisseurs de services de communications électroniques – Conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation – Enquêtes pénales – Accès de l’autorité chargée de l’enquête aux données conservées pour des périodes allant d’un jour à un an – Autorisation donnée par le ministère public – Utilisation des données dans le cadre du procès pénal en tant que preuves – Directive 2002/58/CE – Article 1er, paragraphe 3, article 3, et article 15, paragraphe 1 – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8 et 11 ainsi que article 52, paragraphe 1 »

I. Introduction

1. La présente demande de décision préjudicielle porte sur l’interprétation de l’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (2), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009 (3), lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (4).

2. Cette demande a été présentée dans le cadre d’une procédure pénale engagée contre H. K., au motif que cette dernière aurait commis plusieurs vols, aurait utilisé une carte bancaire appartenant à une autre personne et aurait commis des actes de violence à l’égard d’une personne participant à une procédure judiciaire.

3. Les procès-verbaux sur lesquels s’appuie la constatation de ces infractions ont été établis notamment sur la base de données à caractère personnel générées dans le cadre de la fourniture de services de communications électroniques. La Riigikohus (Cour suprême, Estonie) émet des doutes quant à la compatibilité avec le droit de l’Union des conditions dans lesquelles les services d’enquête ont eu accès à ces données.

4. Ces doutes concernent, en premier lieu, la question de savoir si la durée de la période pour laquelle les services d’enquête ont eu accès aux données constitue un critère permettant d’évaluer la gravité de l’ingérence que constitue cet accès dans les droits fondamentaux des personnes concernées.

5. En second lieu, la juridiction de renvoi souhaite savoir si le Prokuratuur (ministère public, Estonie), compte tenu des différentes missions qui lui sont confiées par la réglementation estonienne, constitue une autorité administrative « indépendante » au sens de l’arrêt du 21 décembre 2016, Tele2 Sverige et Watson e.a. (5).

II. Le cadre juridique

A. La directive 2002/58

6. En vertu de l’article 1^er, paragraphe 3, de la directive 2002/58, celle-ci « ne s’applique pas aux activités qui ne relèvent pas du traité instituant la Communauté européenne, telles que celles visées dans les titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux activités concernant la sécurité publique, la défense, la sûreté de l’État (y compris la prospérité économique de l’État lorsqu’il s’agit d’activités liées à la sûreté de l’État) ou aux activités de l’État dans des domaines relevant du droit pénal ».

7. En outre, l’article 15, paragraphe 1, de cette directive, dispose que « [l]es États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l’article 8, paragraphes 1, 2, 3 et 4, et à l’article 9 de la présente directive lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la directive 95/46/CE [(6)]. À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe. Toutes les mesures visées dans le présent paragraphe sont prises dans le respect des principes généraux du droit [de l’Union], y compris ceux visés à l’article 6, paragraphes 1 et 2, du traité sur l’Union européenne ».

B. Le droit estonien

1. La loi relative aux communications électroniques

8. L’elektroonilise side seadus (loi relative aux communications électroniques) (7), du 8 décembre 2004, dans sa version applicable au litige au principal, dispose, à son article 111¹, intitulé « Obligation de conserver les données » :

« [...]

(2) Les fournisseurs de services de téléphonie fixe et de téléphonie mobile ainsi que de réseau de services de téléphonie fixe et de téléphonie mobile sont tenus de conserver les données suivantes :

1) le numéro de l’appelant ainsi que le nom et l’adresse de l’abonné ;

2) le numéro de l’appelé ainsi que le nom et l’adresse de l’abonné ;

3) en cas de services complémentaires, tels que le renvoi ou le transfert d’appel, le numéro composé ainsi que le nom et l’adresse de l’abonné ;

4) la date ainsi que l’heure du début et de la fin de l’appel ;

5) le service de téléphonie fixe ou mobile utilisé ;

6) l’identité internationale de l’abonné mobile (International Mobile Subscriber Identity – IMSI) de l’appelant et de l’appelé ;

7) l’identité internationale d’équipement mobile (International Mobile Equipment Identity – IMEI) de l’appelant et de l’appelé ;

8) l’identifiant cellulaire au moment du début de l’appel ;

9) les données identifiant la localisation géographique de la cellule par référence à l’identifiant cellulaire au cours de la période pendant laquelle les données sont conservées ;

10) en cas de services de téléphonie mobile anonymes à prépaiement, la date et l’heure de la première activation du service ainsi que l’identité de localisation d’où le service a été activé.

[...]

(4) Les données visées aux paragraphes 2 et 3 du présent article sont conservées pour une durée d’un an à compter de la date de la communication, si elles sont générées ou traitées au cours de la fourniture du service de communication [...]

[...]

(11) Les données visées aux paragraphes 2 et 3 du présent article sont transférées :

1) conformément au kriminaalmenetluse seadustik [code de procédure pénale (8)], à l’autorité chargée de l’enquête, à l’autorité habilitée à adopter des mesures de surveillance, au ministère public, au tribunal ;

[...] »

2. Le code de procédure pénale

9. L’article 17 du code de procédure pénale, dans sa version applicable au litige au principal, intitulé « Parties à la procédure en justice », dispose, à son paragraphe 1 :

« Sont parties à la procédure : le ministère public [...] »

10. Aux termes de l’article 30 du code de procédure pénale, intitulé « Le ministère public dans la procédure pénale » :

« (1) Le ministère public dirige la procédure d’instruction, tout en garantissant la légalité et l’efficacité de celle-ci, et représente l’action publique lors du procès.

(2) Les compétences du ministère public dans le cadre de la procédure pénale sont exercées en son nom par un procureur qui agit de manière indépendante et qui est uniquement soumis à la loi. »

11. L’article 90¹ du code de procédure pénale, intitulé « Réclamation de données aux entreprises de communication », prévoit, à ses paragraphes 2 et 3 :

« (2) L’autorité chargée de l’enquête peut, sur autorisation du ministère public au cours d’une procédure d’instruction ou sur autorisation du tribunal au cours d’un procès devant celui-ci, demander à une entreprise de communications électroniques qu’elle fournisse les données énumérées à l’article 111¹, paragraphes 2 et 3, de la loi relative aux communications électroniques qui ne sont pas citées au paragraphe 1 du présent article. Cette autorisation indique de manière précise les dates relatives à la période à propos de laquelle il est possible d’exiger des données.

(3) Les demandes de fourniture de données au sens du présent article ne peuvent être faites que si elles sont absolument nécessaires pour atteindre l’objectif de la procédure pénale. »

12. L’article 211 du code de procédure pénale, intitulé « Objectif de la procédure d’instruction », est rédigé comme suit :

« (1) L’objectif de la procédure d’instruction est la collecte d’éléments de preuve et la création des autres conditions nécessaires à la tenue d’un procès.

(2) Au cours de la procédure d’instruction, l’autorité chargée de l’enquête et le ministère public vérifient les éléments à charge et les éléments à décharge recueillis contre le suspect ou la personne poursuivie. »

3. La loi relative au ministère public

13. La prokuratuuriseadus (loi relative au ministère public) (9), du 22 avril 1998, dans sa version applicable au litige au principal, dispose, à son article 1^er, intitulé « Le ministère public » :

« (1) Le ministère public est une autorité gouvernementale relevant du Justiitsministeeriumi [ministère de la Justice, Estonie], qui participe à la planification des mesures de surveillance nécessaires en vue de combattre et de détecter les infractions pénales, il dirige la procédure d’instruction pénale, tout en garantissant la légalité et l’efficacité de celle‑ci, il représente l’action publique lors du procès et il remplit les autres missions incombant au ministère public en vertu de la loi.

(1¹) Le ministère...