Par Kate Jarrard et Noa Setti
A propos de l’arrêt dans l’affaire C-746/18 H.K. / Prokuratuur
Par un arrêt du 2 mars 2021, la CJUE[1] s’est prononcée sur les conditions d’accès par les autorités nationales, à des fins de lutte contre la criminalité et dans le cadre d’une procédure pénale, aux données de trafic et de localisation conservées par les fournisseurs de services de communications électroniques.
1. Faits à l’origine de l’affaire H.K. / Prokuratuur
En l’espèce, un tribunal estonien avait condamné H.K. à deux ans de prison pour vol, utilisation de la carte bancaire d’un tiers et violences.
Afin de confirmer cette décision, la cour d’appel s’est appuyée sur des procès-verbaux établis sur la base de données recueillies auprès du fournisseur de services de télécommunications de H.K., au cours de la procédure d’instruction et sur autorisation du parquet.
Or, les données concernées pouvaient permettre d’identifier la source et la destination d’une communication téléphonique faite à partir du téléphone, de déterminer la date, l’heure, la durée et la nature de cette communication, d’identifier le matériel utilisé, et de localiser le téléphone mobile sans qu’une communication soit nécessairement acheminée.
Elles permettaient également de déterminer la fréquence des communications de l’utilisateur avec certaines personnes pendant une période donnée.
Un pourvoi en cassation a alors été formé par H.K., qui contestait la recevabilité des procès-verbaux et la conformité d’un tel traitement de données avec le droit communautaire, et plus particulièrement avec la directive vie privée et communications électroniques.
En effet, selon l’article 15 de cette directive, le consentement de la personne concernée est nécessaire pour conserver des données de trafic et de localisation.
Or, les Etats membres peuvent limiter certaines obligations des fournisseurs de services de communications électroniques (comme la confidentialité des communications) ou les droits des personnes, si cette limitation est « nécessaire, appropriée et proportionnée (…) pour assurer la prévention, la recherche, la détection et la poursuite d'infractions pénales ».
La Cour suprême estonienne s’est alors interrogée sur deux points, qui ont fait l’objet de plusieurs questions préjudicielles posées à la CJUE :
- La durée d’accès aux données par les autorités nationales est-elle un critère permettant d’évaluer la gravité de cette ingérence dans les droits fondamentaux ?
- Le ministère public estonien peut-il être considéré comme une autorité administrative « indépendante » au sens du droit de l’UE, susceptible d’autoriser l’accès de l’autorité chargée de l’enquête aux données en cause[2]?
2. Réponse de la Cour européenne de justice
Selon la CJUE, l’accès aux données de communications électroniques relatives au trafic ou à la localisation à des fins pénales n’est possible que s’il est :
- limité à la lutte contre la criminalité grave ou la prévention de menaces graves contre la sécurité publique, et ce indépendamment de la durée de l’accès, de la quantité ou de la nature des données ;
- soumis à un contrôle préalable d’une autorité publique indépendante et impartiale, différente du ministère public[3].
A) Un l’accès limité aux infractions les plus graves
Dans le prolongement des arrêts Privacy International et La Quadrature du Net[4], la CJUE rappelle que l’obligation de conservation généralisée et indifférenciée des données relatives au trafic et de localisation constitue une ingérence qui n’est pas justifiée par l’objectif de prévention, recherche, détection et poursuite d’infractions.
La cour avait déjà conclu que la conservation généralisée et indifférenciée d’adresses IP n’était possible qu’en cas de criminalité grave ou de prévention des menaces graves contre la sécurité publique[5].
Or, ici, la CJUE précise que l’accès à l’ensemble des données en cause, fussent-elles limitées dans le temps ou en quantité, sensibles ou non, présente un caractère grave et est « susceptible de permettre de tirer des conclusions précises, voire très précises, concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci » (cf. point 36).
Et la cour de conclure que, dans le cadre d’une enquête pénale, « seule la lutte contre la criminalité grave et la prévention de menaces graves contre la sécurité publique sont de nature à justifier des ingérences graves dans les droits fondamentaux (…) telles que celles qu’implique la conservation des données relatives au trafic et des données de localisation, qu’elle soit généralisée et indifférenciée ou ciblée ».
B) Un contrôle préalable excluant la magistrature debout
La CJUE considère que la directive susvisée s’oppose à une réglementation nationale donnant compétence au ministère public pour autoriser l’accès d’une autorité publique aux données de trafic et de localisation afin de mener une instruction pénale.
Pour la Cour, s’il appartient aux Etats de déterminer les conditions dans lesquelles les fournisseurs de services de communications électroniques doivent accorder aux autorités l’accès aux données dont ils disposent, une telle réglementation doit prévoir des règles claires et précises et garantir que l’ingérence est limitée au strict nécessaire afin de protéger efficacement les données concernées contre les risques d’abus.
Dès lors qu’un accès général à toutes les données conservées, sans lien avec le but poursuivi, n'est pas limité au strict nécessaire, la réglementation nationale doit se fonder sur des critères objectifs pour définir les conditions de l’accès par les autorités compétentes.
Il est donc essentiel que cet accès soit subordonné à un contrôle préalable effectué par une juridiction ou une entité administrative indépendante, et que la décision de cette juridiction ou entité intervienne à la suite d’une demande motivée de ces autorités.
L’exigence d’indépendance impose que l’autorité chargée du contrôle préalable ait la qualité de tiers par rapport à celle qui demande l’accès aux données, afin qu’elle puisse exercer ce contrôle de manière objective et impartiale, à l’abri de toute influence extérieure.
La Cour précise qu’en matière pénale, cette exigence implique que l’autorité chargée de ce contrôle préalable ne soit pas impliquée dans la conduite de l’enquête en cause et ait une position de neutralité vis-à-vis des parties à la procédure.
Or, « [t]el n’est pas le cas d’un ministère public qui dirige la procédure d’enquête et exerce, le cas échéant, l’action publique ».
Dès lors, celui-ci n’est pas en mesure d’effectuer le contrôle en question.
En France, l’article 60-2 du code de procédure pénale pourrait ainsi se heurter à cette décision en ce qu’il autorise les officiers de police judiciaire à demander aux organismes publics et entreprises, dans le cadre d’enquêtes, la mise à disposition des informations contenues dans les systèmes informatiques ou traitements de données nominatives qu'ils administrent.
***
Le Cabinet est naturellement à votre entière écoute pour toutes problématiques que vous pourriez rencontrer.
Pour plus d’informations ou des demandes de rendez-vous, contactez-nous ici.
***
[1] Cour de Justice de l’Union Européenne
[2] Au sens de l’arrêt Tele2, aff. C-203/15 et C-698/15, 21 décembre 2016, cf. point 120.
[3] CJUE, communiqué de presse n°29/21 du 2 mars 2021.
[4] Aff. C-623/17 et C-511/18, C512/18, C-520-18) du 6 octobre 2020
[5] cf. point 56, aff. C-511/18.