Pour mémoire, les données à caractère personnel sont définies comme « toute information relative à une personne physique identifiée, directement ou indirectement, par référence (…) à un ou plusieurs éléments qui lui sont propres. »
Il s’agit par exemple du prénom et du nom patronymique d’une personne, de son numéro de téléphone, de son adresse email ou encore de son adresse postale.
Le droit européen dispose d’un encadrement récent de la protection des données à caractère personnel et actuellement en évolution.
La directive 95/46/CE
La directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel.
Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l'Union européenne (UE).
Pour ce faire, la directive fixe des limites strictes à la collecte et à l'utilisation des données à caractère personnel, et demande la création, dans chaque État membre, d'un organisme national indépendant chargé de la protection de ces données.
La directive européenne 95/46 a pour objet la protection des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la vie privée, à l’égard du traitement des données à caractère personnel, ainsi que l’élimination des obstacles à la libre circulation de ces données.
La directive 2002/58/CE
La directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) a pour objectif d’harmoniser les dispositions des États membres nécessaires pour assurer un niveau équivalent de protection des droits et libertés fondamentaux, et en particulier du droit à la vie privée et à la confidentialité, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et des services de communications électroniques dans l’Union européenne.
Les dispositions de cette directive précisent et complètent la directive 95/46 précitée. Elles concernent notamment la sécurité du traitement des données à caractère personnel et la confidentialité des communications et des données relatives au trafic.
La directive 2006/24
Après avoir lancé une consultation auprès des représentants des services répressifs, du secteur des communications électroniques et des experts en matière de protection des données, la Commission a présenté, le 21 septembre 2005, une analyse d’impact des options politiques relatives à des règles concernant la conservation des données relatives au trafic (ci-après l’«analyse d’impact»).
Cette analyse a servi de base à l’élaboration de la proposition de directive du Parlement européen et du Conseil sur la conservation de données traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public, et modifiant la directive 2002/58/CE, présentée le même jour, qui a abouti à l’adoption de la directive 2006/24 sur le fondement de l’article 95 CE.
Cependant, le 8 avril 2014, la Cour de justice a déclaré la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données invalide car elle « comporte une ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel sans que cette ingérence soit limitée au strict nécessaire » (CJUE, 8 avril 2014 Digital Rights Ireland Ltd c/ Ireland n°C-293/12)
La High Court (Haute Cour, Irlande) ainsi que le Verfassungsgerichtshof (Cour constitutionnelle, Autriche) demandaient à la Cour de justice d’examiner la validité de la directive, notamment à la lumière de deux droits fondamentaux garantis par la charte des droits fondamentaux de l’Union européenne, à savoir le droit fondamental au respect de la vie privée et le droit fondamental à la protection des données à caractère personnel.
La High Court doit trancher un litige qui oppose la société irlandaise Digital Rights aux autorités irlandaises au sujet de la légalité de mesures nationales portant sur la conservation de données relatives aux communications électroniques.
Le Verfassungsgerichtshof est saisi de plusieurs recours en matière constitutionnelle introduits par la Kärntner Landesregierung (gouvernement du Land de Carinthie) ainsi que par MM. Seitlinger, Tschohl et 11.128 autres requérants.
Ces recours visent à obtenir l’annulation de la disposition nationale qui transpose la directive en droit autrichien.
Par son arrêt du 8 avril 2014, la Cour déclare la directive invalide de manière rétroactive.
En effet, la Cour constate tout d’abord que les données à conserver permettent notamment de savoir avec quelle personne et par quel moyen un abonné ou un utilisateur inscrit a communiqué, de déterminer le temps de la communication ainsi que l’endroit à partir duquel celle-ci a eu lieu et de connaître la fréquence des communications de l’abonné ou de l’utilisateur inscrit avec certaines personnes pendant une période donnée.
Ces données, prises dans leur ensemble, sont susceptibles de fournir des indications très précises sur la vie privée des personnes dont les données sont conservées, comme les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales et les milieux sociaux fréquentés.
La Cour estime qu’en imposant la conservation de ces données et en en permettant l’accès aux autorités nationales compétentes, la directive s’immisce de manière particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel.
En outre, le fait que la conservation et l’utilisation ultérieure des données soient effectuées sans que l’abonné ou l’utilisateur inscrit en soit informé est susceptible de générer dans l’esprit des personnes concernées le sentiment que leur vie privée fait l’objet d’une surveillance constante.
La Cour examine ensuite si une telle ingérence dans les droits fondamentaux en cause est justifiée.
Elle constate que la conservation des données imposée par la directive n’est pas de nature à porter atteinte au contenu essentiel des droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel.
En effet, la directive ne permet pas de prendre connaissance du contenu des communications électroniques en tant que tel et prévoit que les fournisseurs de services ou de réseaux doivent respecter certains principes de protection et de sécurité des données.
De plus, la conservation des données en vue de leur transmission éventuelle aux autorités nationales compétentes répond effectivement à un objectif d’intérêt général, à savoir la lutte contre la criminalité grave ainsi que, en définitive, la sécurité publique.
Toutefois, la Cour estime qu’en adoptant la directive sur la conservation des données, le législateur de l’Union a excédé les limites qu’impose le respect du principe de proportionnalité.
À cet égard, la Cour observe que, compte tenu, d’une part, du rôle important que joue la protection des données à caractère personnel au regard du droit fondamental au respect de la vie privée et, d’autre part, de l’ampleur et de la gravité de l’ingérence dans ce droit que comporte la directive, le pouvoir d’appréciation du législateur de l’Union s’avère réduit, de sorte qu’il convient de procéder à un contrôle strict.
Si la conservation des données imposée par la directive peut être considérée comme apte à réaliser l’objectif poursuivi par celle-ci, l’ingérence vaste et particulièrement grave de cette directive dans les droits fondamentaux en cause n’est pas suffisamment encadrée afin de garantir que cette ingérence soit effectivement limitée au strict nécessaire.
En effet, premièrement, la directive couvre de manière généralisée l’ensemble des individus, des moyens de communication électronique et des données relatives au trafic sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif de lutte contre les infractions graves.
Deuxièmement, la directive ne prévoit aucun critère objectif qui permettrait de garantir que les autorités nationales compétentes n’aient accès aux données et ne puissent les utiliser qu’aux seules fins de prévenir, détecter ou poursuivre pénalement des infractions susceptibles d’être considérées, au regard de l’ampleur et de la gravité de l’ingérence dans les droits fondamentaux en question, comme suffisamment graves pour justifier une telle ingérence.
Au contraire, la directive se borne à renvoyer de manière générale aux « infractions graves » définies par chaque État membre dans son droit interne.
De plus, la directive ne prévoit pas les conditions matérielles et procédurales dans lesquelles les autorités nationales compétentes peuvent avoir accès aux données et les utiliser ultérieurement.
L‘accès aux données n’est notamment pas subordonné au contrôle préalable d’une juridiction ou d’une entité administrative indépendante.
Troisièmement, s’agissant de la durée de conservation des données, la directive impose une durée d’au moins six mois sans opérer une quelconque distinction entre les catégories de données en fonction des personnes concernées ou de l’utilité éventuelle des données par rapport à l’objectif poursuivi.
En outre, cette durée se situe entre 6 mois au minimum et 24 mois au maximum, sans que la directive ne précise les critères objectifs sur la base desquels la durée de conservation doit être déterminée afin de garantir sa limitation au strict nécessaire.
La Cour constate par ailleurs que la directive ne prévoit pas de garanties suffisantes permettant d’assurer une protection efficace des données contre les risques d’abus ainsi que contre l’accès et l’utilisation illicites des données.
Elle relève, entre autres, que la directive autorise les fournisseurs de services à tenir compte de considérations économiques lors de la détermination du niveau de sécurité qu’ils appliquent (notamment en ce qui concerne les coûts de mise en œuvre des mesures de sécurité) et qu’elle ne garantit pas la destruction irrémédiable des données au terme de leur durée de conservation.
La Cour critique enfin le fait que la directive n’impose pas une conservation des données sur le territoire de l’Union.
Ainsi, la directive ne garantit pas pleinement le contrôle du respect des exigences de protection et de sécurité par une autorité indépendante, comme cela est pourtant explicitement exigé par la charte.
Or, un tel contrôle, effectué sur la base du droit de l’Union, constitue un élément essentiel du respect de la protection des personnes à l’égard du traitement des données à caractère personnel.
Le 13 mai 2014, la Cour de justice de l’Union européenne a jugé que Google est responsable de la suppression, de l’effacement et du déréférencement dans ses résultats de recherche des données des personnes et même si celles-ci sont licites et apparaissent sur des pages web publiées par des tiers (CJUE, 13 mai 2014, Google Spain SL, Google Inc. / Agencia Española de Protección de Datos, Mario Costeja González, C-131/12)
Je suis à votre disposition pour toute action ou information (en cliquant ici).
PS : Pour une recherche facile et rapide des articles rédigés sur ces thèmes, vous pouvez taper vos "mots clés" dans la barre de recherche du blog en haut à droite, au dessus de la photographie.
Anthony Bem
Avocat à la Cour
27 bd Malesherbes - 75008 Paris
01 40 26 25 01
abem@cabinetbem.com
