Opinion of Advocate General Campos Sánchez-Bordona delivered on 15 January 2020.

• Jurisdiction: European Union
• ECLI: ECLI:EU:C:2020:5
• Date: 15 January 2020
• Celex Number: 62017CC0623
• Court: Court of Justice (European Union)

Édition provisoire

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. MANUEL CAMPOS SÁNCHEZ-BORDONA

présentées le 15 janvier 2020 (1)

Affaire C‑623/17

Privacy International

contre

Secretary of State for Foreign and Commonwealth Affairs,

Secretary of State for the Home Department,

Government Communications Headquarters,

Security Service,

Secret Intelligence Service

[demande de décision préjudicielle formée par l’Investigatory Powers Tribunal (tribunal chargé des pouvoirs d’enquête, Royaume‑Uni)]

« Recours préjudiciel – Traitement de données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques – Directive 2002/58/CE – Champ d’application – Article 1er, paragraphe 3 – Article 15, paragraphe 3 – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8 et 51 ainsi que article 52, paragraphe 1 – Article 4, paragraphe 2, TUE – Transmission généralisée et indifférenciée aux services de sécurité de données de connexion des utilisateurs d’un service de communications électroniques »

1. Ces dernières années, la Cour a maintenu une jurisprudence constante en matière de conservation et d’accès aux données à caractère personnel, dont les arrêts suivants constituent des jalons importants :

– L’arrêt du 8 avril 2014, Digital Rights Ireland e.a. (2), dans lequel elle a déclaré l’invalidité de la directive 2006/24/CE (3) au motif que celle‑ci permettait une ingérence disproportionnée dans les droits reconnus par les articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne.

– L’arrêt du 21 décembre 2016, Tele2 Sverige et Watson e.a. (4), dans lequel elle a interprété l’article 15, paragraphe 1, de la directive 2002/58/CE (5).

– L’arrêt du 2 octobre 2018, Ministerio Fiscal (6), dans lequel elle a confirmé l’interprétation de cette même disposition de la directive 2002/58.

2. Ces arrêts (en particulier le deuxième) préoccupent les autorités de certains États membres car elles estiment qu’ils ont pour conséquence de les priver d’un instrument qu’ils jugent indispensable à la sauvegarde de la sécurité nationale et à la lutte contre la criminalité et le terrorisme. C’est pourquoi quelques-uns de ces États membres plaident en faveur du renversement ou de l’atténuation de cette jurisprudence.

3. Certaines juridictions des États membres ont exprimé cette même préoccupation dans le cadre de quatre renvois préjudiciels (7), sur lesquels je présente mes conclusions ce jour.

4. Les quatre affaires soulèvent avant tout le problème de l’application de la directive 2002/58 à des activités liées à la sécurité nationale et à la lutte contre le terrorisme. Si ladite directive était applicable dans ce contexte, il conviendrait ensuite de déterminer dans quelle mesure les États membres peuvent restreindre les droits à la protection de la vie privée qu’elle garantit. Enfin, il conviendra d’analyser jusqu’à quel point les différentes réglementations nationales (britannique (8), belge (9) et française (10)) en la matière sont conformes au droit de l’Union tel qu’il a été interprété par la Cour.

I. Le cadre juridique

A. Le droit de l’Union

5. Je renvoie au point correspondant de mes conclusions dans les affaires jointes C‑511/18 et C‑512/18, La Quadrature du Net e.a.

B. Le droit du Royaume‑Uni (applicable à la présente espèce)

1. Telecommunications Act 1984 (11)

6. Conformément à l’article 94, le Secretary of State (secrétaire d’État, Royaume‑Uni) peut, après avoir consulté un opérateur de réseau public de communications électroniques, donner à cet opérateur des instructions générales ou spécifiques qui lui semblent être nécessaires dans l’intérêt de la sécurité nationale ou des relations avec un gouvernement étranger.

2. Data Retention and Investigatory Powers Act 2014 (12)

7. L’article 1^er dispose ce qui suit :

« (1) Le secrétaire d’État peut, aux termes d’un acte ordonnant la conservation exiger d’un opérateur de télécommunications publiques de conserver des données pertinentes relatives à des communications s’il estime que cette exigence est nécessaire et proportionnée à un ou plusieurs des objectifs visés aux points a) à h) de la section 22, paragraphe 2, du Regulation of Investigatory Powers Act 2000 [loi de 2000 portant réglementation des pouvoirs d’enquête, ci‑après la “RIPA”].

(2) Un acte ordonnant la conservation peut :

(a) se rapporter à un opérateur en particulier ou à toute catégorie d’opérateurs ;

(b) imposer la conservation de toutes les données ou toute catégorie de données ;

(c) préciser la période ou les périodes pendant lesquelles les données doivent être conservées ;

(d) comporter d’autres exigences ou restrictions en relation avec la conservation des données ;

(e) prévoir des dispositions différentes à des fins différentes ;

(f) concerner des données, qu’elles existent ou non à la date à laquelle l’acte ordonnant la conservation est adopté ou entre en vigueur.

(3) Le secrétaire d’État peut, par voie de règlements, adopter davantage de dispositions concernant la conservation des données pertinentes relatives aux communications.

(4) Ces dispositions peuvent porter, en particulier, sur :

(a) les exigences préalables à l’adoption de l’acte ordonnant la conservation ;

(b) la période maximale pendant laquelle les données doivent être conservées en application d’un acte ordonnant la conservation ;

(c) le contenu, l’adoption, l’entrée en vigueur, le réexamen, la modification ou la révocation d’un acte ordonnant la conservation ;

(d) l’intégrité, la sécurité ou la protection des données conservées en application du présent article, l’accès à ces données ainsi que leur divulgation ou leur destruction ;

(e) la mise en œuvre des exigences ou restrictions pertinentes ou la vérification de la conformité à ces exigences ou restrictions ;

(f) un code des bonnes pratiques relatives aux exigences, restrictions ou pouvoirs pertinents ;

(g) le remboursement par le secrétaire d’État (sous certaines conditions ou non) des frais encourus par les opérateurs de télécommunications publiques pour se conformer aux exigences ou aux restrictions pertinentes ;

[...]

(5) La période maximale prévue en application du paragraphe 4, sous b), ne doit pas excéder 12 mois à compter de la date précisée en relation avec les données concernées par les règlements visés au paragraphe 3.

(6) Un opérateur de télécommunications publiques qui conserve des données pertinentes relatives aux communications en application du présent article ne peut les divulguer à moins que :

(a) il les divulgue conformément :

(i) au chapitre 2 de la partie 1 de la [RIPA] ou

(ii) à une décision judiciaire ou toute autre autorisation ou injonction du tribunal, ou que

(b) cela soit prévu par les règlements visés au paragraphe 3.

(7) Le secrétaire d’État peut, par voie de règlements, adopter des dispositions relatives aux différentes dispositions adoptées (ou susceptibles d’être adoptées) en application du paragraphe 4, points d) à g), ou du paragraphe 6, concernant les données relatives aux communications conservées par les fournisseurs de services de télécommunications conformément à un code des bonnes pratiques, en vertu de l’article 102 de l’Anti-Terrorism, Crime and Security Act 2001 [loi sur la sécurité et la répression de la criminalité et du terrorisme de 2001] ».

3. La RIPA

8. L’article 21 est rédigé comme suit :

« (4) Dans le présent chapitre, on entend par “données relatives aux communications” l’une quelconque des notions suivantes :

(a) toute donnée relative au trafic comprise dans, ou annexée à, une communication (par l’expéditeur ou autrement) aux fins de tout service postal ou de système de télécommunication par le biais duquel elle est transmise ou peut être transmise ;

(b) toute information qui n’inclut aucun contenu d’une communication (excepté toute information relevant du point a) et qui porte sur l’utilisation effectuée par toute personne :

(i) de tout service postal ou de télécommunication ; ou

(ii) en relation avec la fourniture ou l’utilisation par toute personne de tout service de télécommunications, de toute partie d’un système de télécommunications ;

(c) toute information ne relevant pas des points a) ou b), qui est détenue ou obtenue, en relation avec des personnes destinataires du service, par une personne fournissant un service postal ou un service de télécommunications.

[...]

(6) Dans cette section, la notion de “donnée relative au trafic”, concernant toute communication, fait référence à :

(a) toute donnée identifiant ou permettant d’identifier une personne, un appareil ou un lieu vers lequel ou à partir duquel une communication est ou peut être transmise ;

(b) toute donnée identifiant ou sélectionnant, ou permettant d’identifier ou de sélectionner l’équipement par lequel la communication est ou peut être transmise ;

(c) toute donnée comprenant des signaux pour le fonctionnement de l’appareil utilisé dans un système de communication afin de transmettre toute communication ; et

(d) toute donnée identifiant les données comprises dans, ou annexées à, une communication particulière ou d’autres données dans la mesure où elles sont comprises dans, ou annexées à, une communication particulière.

[...] »

9. L’article 22 est libellé comme suit :

« (1) Le présent article s’applique dès lors qu’une personne responsable aux fins de ce chapitre estime qu’il est nécessaire, pour les raisons relevant du paragraphe 2 du présent article, d’obtenir toute donnée de communication.

(2) Il y a lieu, pour des raisons relevant du présent paragraphe, d’obtenir les données relatives à des communications si elles sont nécessaires :

(a) dans l’intérêt de la sûreté nationale ;

(b) à des fins de prévention ou de détection de la criminalité ou de prévention des troubles à l’ordre public ;

(c) dans l’intérêt du bien-être économique du Royaume‑Uni, à condition que ces intérêts soient également pertinents pour les intérêts de la sûreté nationale ;

(d) dans l’intérêt de la sécurité publique ;

(e) à...