Le blog Droit administratif

Aller à l'accueil | Aller à la table des matières |
02 05 2022

[Chronique 2022/05] La Cour de justice de l’Union européenne maintient une jurisprudence difficilement conciliable avec la position du Conseil d’État en matière de surveillance numérique

Dans une décision G. D. contre Commissioner of An Garda Síochána du 5 avril 2022[1] la Cour de justice de l’Union européenne (CJUE) revient sur l’encadrement de la surveillance numérique. Si cette affaire ne concerne pas directement la France, impossible de penser que le gouvernement ne s’y est pas intéressé notamment en raison du fait qu’avec onze autres, l’État français a produit des observations au soutien du dispositif irlandais de surveillance numérique prévu par une loi de 2011[2].

Cette loi prévoit une obligation de conservation de données par les fournisseurs de services de communications analogue à celle que l’on trouve en France à l’article L. 34-1 du Code des postes et des communications électroniques. La durée de conservation est différenciée selon la catégorie de données que le fournisseur doit conserver. Il est par suite possible à un officier de police d’un certain grade d’accéder à ces données aux fins de « (a) de prévention, de détection, de recherche ou de poursuite d’une infraction grave, (b) de sauvegarde de la sûreté de l’État, (c) de préservation de la vie humaine. »[3]. Dans cet arrêt la Cour de justice de l’Union Européenne s’intéresse ainsi plus précisément au régime applicable à la conservation et à l’accès des données de connexion en matière de lutte contre la criminalité grave. Les circonstances du contentieux sont en plus très concrètes puisqu’il s’agit d’un renvoi introduit au cours d’un procès pénal en appel dans le cadre duquel des preuves ont été rassemblées au moyen de cette législation dont le requérant conteste la conformité au droit de l’Union européenne.

Trois aspects importants de cet arrêt peuvent être mis en avant : le rappel opéré par la CJUE en matière de conservation générale et indifférenciée des données de connexion, le régime applicable à la procédure d’accès aux données ayant été conservée et enfin l’encadrement de la modulation des effets dans le temps d’une invalidation des dispositions législatives.

La CJUE rappelle que la conservation générale et indifférenciée des données de trafic et de localisation « excède les limites du strict nécessaire et ne saurait être considérée comme étant justifiée dans une société démocratique »[4]. Par la suite et conformément à sa jurisprudence antérieure elle précise qu’en matière de de criminalité grave la conservation ciblée de ces catégories de donnée est possible dès lors que des limites temporelles et géographiques sont fixées. La conservation générale et indifférenciée des données civiles est également estimée conforme au droit de l’Union ainsi que la conservation rapide des données de trafic et de localisation consécutive à une décision de l’autorité compétente soumise à un contrôle juridictionnel effectif.

En ce qui concerne la procédure d’accès aux données, la CJUE invalide le dispositif irlandais qui confie à un policier l’administration de la demande d’accès au motif qu’il ne « revêt pas la qualité de tiers par rapport » au service qui demande l’accès aux données conservées[5]. Le juge de l’Union européenne en profite pour rappeler que le contrôle opéré sur la demande doit être strictement antérieur à l’accès effectif et doit être réalisé au moyen de critères objectifs « définissant précisément les conditions et les circonstances dans lesquelles doit être accordé aux autorités nationales l’accès »[6]. La CJUE constate que ces critères sont absents du dispositifs irlandais. Pour qu’une procédure d’accès aux données de connexion soit conforme au droit de l’Union européenne la Cour suggère que les demandes soient traitées par une juridiction ou entité administrative indépendante[7].

La Cour se montre sévère vis-à-vis de la modulation des effets dans le temps d’une invalidation de dispositions nationales. Le paragraphe 122 est très clair sur ce point puisqu’après avoir refusé de raisonner par analogie avec la jurisprudence en matière d’environnement[8] applicable aux fournisseurs d’électricité la CJUE estime que « le maintien des effets d’une législation nationale telle que la loi de 2011 signifierait que cette législation continue à imposer aux fournisseurs de services de communications électroniques des obligations qui sont contraires au droit de l’Union et qui comportent des ingérences graves dans les droits fondamentaux des personnes dont les données ont été conservées »[9]. Elle laisse cependant les juridictions nationales se prononcer sur l’admission des preuves obtenues grâce à la loi de 2011 offrant subtilement l’opportunité de sauver la procédure.

Dans sa décision French Data Network[10] le Conseil d’État avait admis la conservation générale et indifférenciée des données de trafic et localisation aux fins de lutte contre la criminalité grave « faute de méthodes alternatives susceptibles de s’y substituer »[11]. Le régime juridique prévu par le Code des postes et communications électroniques a évolué peu après cette décision. Il reste donc à suivre le prochain épisode du feuilleton surveillance numérique pour voir selon quelles modalités la conciliation sera opérée soit par la CJUE soit par le Conseil d’État au regard de ce nouvel arrêt important de la Cour.


[1] CJUE, 5 avril 2022, G.D. c/ Commissioner of An Garda Síochána, aff. 140/20.

[2] À noter que ce dispositif avait fait l’objet d’un précédent arrêt de la CJUE : CJUE, 8 avril 2014, Digital rights Ireland c. Minister of communications, aff. C-293/12

[3] CJUE, 5 avril 2022, G.D. c/ Commissioner of An Garda Síochána, aff. 140/20, §17.

[4] CJUE, 5 avril 2022, G.D. c/ Commissioner of An Garda Síochána, aff. 140/20, §65.

[5] CJUE, 5 avril 2022, G.D. c/ Commissioner of An Garda Síochána, aff. 140/20, §111.

[6] Idem, §114.

[7] Idem, §106.

[8] Idem, §121.

[9] Idem, §122.

[10] CE, ass., 21 avril 2021, French data network, n° 393099.

[11] T. Douville, H. Gaudin, « Un arrêt sous le signe de l’exceptionnel », note sous CE, ass., 21 avril 2021, French data network, n° 393099, Dalloz, 2021, p. 1268.

Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.