Par une décision en date du 21 décembre 2016, la CJUE a jugé que le droit de l’Union s’opposait à ce que les Etats Membres puissent imposer aux fournisseurs de services de communications électroniques une obligation générale et indifférenciée de conservation de données de trafic et de localisation.

CJUE 21 décembre 2016, affaires jointes C-203/15 et C-698/15

Cette décision s’inscrit dans le sillage de la décision de la CJUE du 8 avril 2014 dite « Digital Rights » qui avait invalidé une directive du Parlement sur la conservation des données[1], au motif que cette directive engendrait une « ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel sans que cette ingérence soir limitée au strict nécessaire ».[2]

Suite à cette décision, la CJUE a été saisie d’un renvoi préjudiciel par des cours anglaise et suédoise, qui questionnaient en substance le droit pour les Etats Membres d’imposer aux fournisseurs une obligation générale de conservation des données de trafic et de localisation, sans limitation dans le temps, dans l’espace ou à une cercle d’individus déterminés.

La CJUE répond que le droit de l’Union s’oppose à une réglementation nationale prévoyant une obligation de conservation des données généralisée et indifférenciée au motif que ceci crée une ingérence très importante dans la vie privée des individus dont les données sont conservées.

Dans le même temps, la CJUE autorise la conservation « ciblée des données » pour la lutte contre la criminalité d’une particulière gravité. La CJUE vient préciser que toute obligation de conservation des données doit être assortie des gardes fous suivants :

- les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation doit être limitée au strict nécessaire ;

- la réglementation doit être strictement nécessaire à la lutte contre les infractions graves ; la réglementation doit être claire et précise ;

- elle doit respecter le contenu essentiel des droits reconnus par les articles 7 (vie privée) et 8 (données) de la charte des droits fondamentaux ;

- la réglementation doit se fonder sur des critères objectifs pour définir les circonstances et les conditions dans lesquelles l’accès aux données doit être accordé aux autorités nationales compétentes ;

- l’accès aux données conservées doit être, sauf en cas d’urgence, subordonnée à un contrôle préalable par une juridiction ou une entité indépendante ;

- les données doivent être conservées sur le territoire de l’Union et doivent être irrémédiablement détruites au terme de leur durée de conservation.

Cette décision intervient dans un contexte où de nombreux Etats Membres mettent en place des législations sécuritaires. En France, la légitimité des obligations de conservation des données mises en place par la loi sur le Renseignement adoptée en juin 2015 pourrait à nouveau être questionnée.