• exigence de motivation
• transparence

CJUE16 février 2023CJUE, 16 février 2023, HYA e.a., C‑349/21(source)

Directive 2002/58/CE – Article 15, paragraphe 1 - Faculté pour les États membres de limiter la portée de certains droits et obligations – Décision judiciaire autorisant l'interception, l'enregistrement et le stockage des conversations téléphoniques de personnes suspectées d'avoir commis une infraction pénale – Exigence de motivation – Portée

L'Directive 2002/58/CE, Article 15, paragraphe 1, lu à la lumière de l'article 47, deuxième alinéa, de la charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens qu'il ne s'oppose pas à une pratique nationale en vertu de laquelle les décisions judiciaires autorisant le recours à des techniques spéciales de renseignement à la suite d'une demande motivée et circonstanciée des autorités pénales sont rédigées au moyen d'un texte préétabli et dépourvu de motifs individualisés, mais se limitant à indiquer, outre la durée de validité de l'autorisation, que les exigences prévues par la législation dont ces décisions font mention, sont respectées, à condition que les raisons précises pour lesquelles le juge compétent a considéré que les exigences légales étaient respectées au regard des éléments factuels et juridiques caractérisant le cas d'espèce puissent être inférées aisément et sans ambiguïté d'une lecture croisée de la décision et de la demande d'autorisation, cette dernière devant être rendue accessible, postérieurement à l'autorisation donnée, à la personne contre laquelle le recours à des techniques spéciales de renseignement a été autorisé. Faculté pour les États membres de limiter la portée de certains droits et obligations – Exigence de motivation – Portée

• contrôle préalable du juge
• données de connexion
• autorité nationale compétente
• enquête pénale
• infraction grave
• proportionnalité

CJUE30 avril 2021CJUE, grande chambre, 30 avril 2021, Procura della Repubblica presso il Tribunale di Bolzano, C-178/22(source)

A ccès à des données de connexion demandé par une autorité nationale compétente à des fins de poursuites d'infractions de vols avec circonstances aggravantes – Notion d’“infraction grave” - Définition – Compétence des États membres – Principe de proportionnalité – Étendue du contrôle préalable du juge sur les demandes d'accès aux données conservées par les fournisseurs de services de communications électroniques

L'article 15, paragraphe 1, de la directive vie privée et communications électroniques (2002/58/CE) modifiée, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens qu’il ne s’oppose pas à une disposition nationale qui impose au juge national, intervenant dans le cadre d’un contrôle préalable du juge effectué à la suite d’une demande motivée d’accès à un ensemble de données relatives au trafic ou de données de localisation, susceptibles de permettre de tirer des conclusions précises sur la vie privée d'un utilisateur d'un moyen de communication électronique, conservées par les fournisseurs de services de communications électroniques, présentée par une autorité nationale compétente dans le cadre d'une enquête pénale, d'autoriser cet accès si celui‑ci est demandé aux fins de la recherche d'infractions pénales punies, par le droit national, d’une peine de réclusion maximale d’au moins trois ans, sous réserve qu’il existe des indices suffisants de telles infractions et que ces données soient pertinentes pour constater les faits, à condition toutefois que ce juge soit habilité à refuser ledit accès si celui‑ci est sollicité dans le cadre d'une enquête portant sur une infraction qui n’est manifestement pas grave, au regard des conditions sociétales prévalant dans l'État membre concerné.

• données de trafic
• données de localisation
• prévention recherche détection poursuite d'infractions pénales

CJUE2 mars 2021CJUE, grande chambre, 2 mars 2021, Prokuratuur, C-746/18(source)

Article 15, paragraphe 1, directive 2002/58/CE – 1) Législation permettant l'accès d'autorités publiques aux données de trafic et de localisation – Prévention, recherche, détection, poursuite d'infractions pénales – Illicéité en l'absence de limitation à certaines procédures – 2) Réglementation donnant compétence au ministère public pour autoriser l'accès d'une autorité publique aux données de trafic et de localisation – Illicéité

L'article Article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002 (directive vie privée et communications électroniques), lu à la lumière des articles 7, 8 et 11 ainsi que de l'article 52, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens:

1) qu'il s'oppose à une réglementation nationale permettant l'accès d'autorités publiques à un ensemble de données de trafic ou de données de localisation, susceptibles de fournir des informations sur les communications effectuées par un utilisateur d'un moyen de communication électronique ou sur la localisation des équipements terminaux qu'il utilise et de permettre de tirer des conclusions précises sur sa vie privée, à des fins de prévention, recherche, détection et poursuite d'infractions pénales, sans que cet accès soit circonscrit à des procédures visant à la lutte contre la criminalité grave ou à la prévention de menaces graves contre la sécurité publique, indépendamment de la durée de la période pour laquelle l'accès auxdites données est sollicité et de la quantité ou de la nature des données disponibles pour une telle période;

2) qu'il s'oppose à une réglementation nationale donnant compétence au ministère public, dont la mission est de diriger la procédure d'instruction pénale et d'exercer, le cas échéant, l'action publique lors d'une procédure ultérieure, pour autoriser l'accès d'une autorité publique aux données relatives au trafic et aux données de localisation aux fins d'une instruction pénale.

• données de trafic
• données de localisation
• sécurité nationale

CJUE6 octobre 2020CJUE, grande chambre, 6 octobre 2020, Privacy International, C‑623/17(source)

1) Directive 2002/58 – Champ d'application – Réglementation nationale imposant aux fournisseurs de services de communications électroniques de transmettre des données relatives au trafic et à la localisation aux services de sécurité et de renseignement – Objectif de protection de la sécurité nationale – Inclusion – 2) Faculté pour les États membres de limiter la portée de certains droits et obligations – Réglementation nationale imposant aux fournisseurs de services de communications électroniques la transmission généralisée et indifférenciée des données relatives au trafic et à la localisation aux services de sécurité et de renseignement – Objectif de protection de la sécurité nationale – Exclusion

1) L'article 1er, paragraphe 3, l'article 3 et l'article 15, paragraphe 1, de la Directive 2002/58 du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lus à la lumière de l'article 4, paragraphe 2, TUE, doivent être interprétés en ce sens que relève du Champ d'application de cette directive une Réglementation nationale permettant à une autorité étatique d'imposer aux fournisseurs de services de communications électroniques de transmettre aux services de sécurité et de renseignement des données relatives au trafic et des données de localisation aux fins de la sauvegarde de la sécurité nationale.

2) L'article 15, paragraphe 1, de la Directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière de l'article 4, paragraphe 2, TUE ainsi que des articles 7, 8 et 11 et de l'article 52, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens qu'il s'oppose à une Réglementation nationale permettant à une autorité étatique d'imposer, aux fins de la sauvegarde de la sécurité nationale, aux fournisseurs de services de communications électroniques la transmission généralisée et indifférenciée des données relatives au trafic et des données de localisation aux services de sécurité et de renseignement.

CJUE2 octobre 2018CJUE, grande chambre, 2 octobre 2018, Ministerio Fiscal, C-207/16(source)

Accès des autorités publiques aux données visant à l'identification des titulaires des cartes SIM activées avec un téléphone mobile volé – Ingérence dans les droits fondamentaux desdits titulaires – Limitation à la lutte contre la criminalité grave – Absence

L'article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002 (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lu à la lumière des articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens que l'accès d'autorités publiques aux données visant à l'identification des titulaires des cartes SIM activées avec un téléphone mobile volé, telles que le nom, le prénom et, le cas échéant, l'adresse de ces titulaires, constitue une ingérence dans les droits fondamentaux de ces derniers qui ne présente pas une gravité telle que cet accès devrait être limité, en matière de prévention, de recherche, de détection et de poursuite d'infractions pénales, à la lutte contre la criminalité grave.

• durée de conservation
• contrôle des accès
• transferts hors UE
• données de connexion

CJUE21 décembre 2016CJUE, grande chambre, 21 décembre 2016, Tele2 Sverige, C-203/15, C-698/15(source)

Conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation – 1) Incompatibilité avec le droit de l'Union – 2) Accès des autorités nationales – Absence de contrôle préalable par une juridiction ou une autorité administrative indépendante – Absence d'exigence de conservation au sein de l'Union – Incompatibilité avec le droit de l'Union

1) L'article 15, paragraphe 1, de la directive 2002/58/CE du 12 juillet 2002 s'oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l'ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique.

2) L'article 15, paragraphe 1, de la directive 2002/58/CE du 12 juillet 2002 s'oppose à une réglementation nationale régissant la protection et la sécurité des données relatives au trafic et des données de localisation, en particulier l'accès des autorités nationales compétentes aux données conservées, sans limiter, dans le cadre de la lutte contre la criminalité, cet accès aux seules fins de lutte contre la criminalité grave, sans soumettre ledit accès à un contrôle préalable par une juridiction ou une autorité administrative indépendante, et sans exiger que les données en cause soient conservées sur le territoire de l'Union.

• données de connexion
• conservation générale
• non-conformité

CC25 février 2022CC, 2021-976/977 QPC, 25 février 2022, M. Habib A. et autre, points 11-13(source)

Conservation des données à caractère personnel pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales – Conservation générale et indifférenciée – Non-conformité

Compte tenu de leur nature, de leur diversité et des traitements dont elles peuvent faire l'objet, les données de connexion fournissent sur les utilisateurs de services de communication électronique ainsi que, le cas échéant, sur des tiers, des informations nombreuses et précises, particulièrement attentatoires à leur vie privée.

Des dispositions législatives autorisant, dans le but de permettre la mise à disposition de l'autorité judiciaire, la conservation générale et indifférenciée des données de connexion, applicable de façon générale à tous les utilisateurs des services de communications électroniques et indifféremment sur toutes les données de connexion relatives à ces personnes, quelle qu'en soit la sensibilité et sans considération de la nature et de la gravité des infractions susceptibles d'être recherchées, portent une atteinte disproportionnée au droit au respect de la vie privée et doivent être déclarées contraires à la Constitution.

• conservation généralisée
• durée de conservation
• conservation rapide

CE21 avril 2021CE, Assemblée, 21 avril 2021, French Data Network et autres, n° 393099, Rec., points 35, 37-41, 55, 38(source)

Dérogation à l'obligation de confidentialité des données à caractère personnel et des données relatives au trafic – Conservation généralisée et indifférenciée – 1) Données relatives à l'identité civile, aux paiements effectués en ligne – Conditions – 2) Adresses IP – Conditions – 3) Données de trafic et de localisation autres que les adresses IP – Exclusion en principe – Conditions le cas échéant – 4) Conservation rapide des données de trafic et de localisation imposée par les autorités – Conditions

Les États membres de l'UE sont autorisés, pour des motifs tenant à la sauvegarde de la sécurité nationale, à la sûreté de l'État ou à la lutte contre les infractions pénales, à prévoir une dérogation à l'obligation de confidentialité des données à caractère personnel et à celle de confidentialité des données relatives au trafic y afférentes, qui découlent de l'article 5, paragraphe 1, de la directive 2002/58/CE du 12 juillet 2002 et des articles 12 à 22 du RGPD.

1) Les données relatives à l'identité civile des utilisateurs de moyens de communications électroniques ainsi que les informations fournies lors de la souscription d'un contrat ou lors de la création d'un compte par un utilisateur et celles relatives aux paiements effectués en ligne listées aux 3° et 4° de l'article 1er du décret n° 2011‑219 du 25 février 2011 peuvent faire l'objet, sans limitation de durée, d'une conservation généralisée et indifférenciée pour les besoins de toute procédure pénale, de la prévention de toute menace contre la sécurité publique et de la sauvegarde de la sécurité nationale.

2) Les adresses IP attribuées à la source d'une connexion peuvent faire l'objet d'une obligation de conservation généralisée et indifférenciée à des fins de lutte contre la criminalité grave ou de prévention des menaces graves contre la sécurité publique, pour une période temporellement limitée au strict nécessaire. Cette durée a pu être légalement fixée à un an.

3) Les données de trafic et de localisation autres que les adresses IP ne peuvent pas faire l'objet d'une obligation de conservation généralisée et indifférenciée aux fins de lutte contre la criminalité, même grave. En revanche, une telle obligation peut être définie, sous réserve qu'une décision soumise à un contrôle effectif constate l'existence d'une menace grave pour la sécurité nationale qui s'avère réelle et actuelle ou prévisible. La durée de cette conservation doit être limitée au strict nécessaire mais est renouvelable en cas de persistance de la menace. Dès lors que la France fait face, à la date de la décision, à une telle menace au regard de l'ensemble des intérêts fondamentaux de la Nation listés à l'article L. 811‑3 du code de la sécurité intérieure, une telle obligation de conservation pouvait légalement être édictée. En revanche, l'évaluation de la menace doit faire l'objet d'un réexamen périodique, qui ne saurait excéder un an.

4) Les autorités peuvent en revanche imposer aux opérateurs de communications électroniques et aux fournisseurs d'accès à internet de procéder, aux fins de lutte contre la criminalité grave, à la conservation rapide des données de trafic et de localisation qu'ils détiennent, soit pour leurs besoins propres, soit au titre d'une obligation de conservation imposée aux fins de sauvegarde de la sécurité nationale. Les données ayant fait l'objet d'une conservation rapide peuvent non seulement appartenir aux personnes soupçonnées d'avoir commis ou projeté une infraction pénale ou une atteinte à la sécurité nationale, mais également à d'autres personnes, pour autant qu'elles puissent, sur la base d'éléments objectifs et non discriminatoires, contribuer à l'élucidation de cette infraction ou de cette atteinte à la sécurité nationale. La durée de conservation de ces données doit être limitée au strict nécessaire, dans une limite maximale de quatre‑vingt‑dix jours, renouvelable le cas échéant.

La gravité des infractions susceptibles de justifier la conservation généralisée et indifférenciée des adresses IP et la conservation rapide des données de trafic et de localisation a vocation à s'apprécier de façon concrète, sous le contrôle du juge pénal, au regard de la nature de l'infraction commise et de l'ensemble des faits de l'espèce, dans le respect du principe de proportionnalité rappelé à l'article préliminaire du code de procédure pénale. Elle ne saurait se rattacher à une liste exhaustive d'infractions prédéfinies en droit pénal.