Les fournisseurs de services de communications électroniques doivent-ils se faire auxiliaires de police ?

Ces dernières années, la Cour de justice de l’Union Européenne (CJUE)  s’est prononcée, dans plusieurs arrêts, sur la conservation et l’accès aux données à caractère personnel dans le domaine des communications électroniques.

Se pose en effet la question notamment des modalités et des durées de conservation des données en matière notamment de trafic, pour ces fournisseurs d’accès (notamment les fournisseurs d’accès à Internet — FAI). 

Source : CJUE, 8 avril 2014, Digital Rights Ireland e.a (C-293/12 et C-594/12, EU:C:2014:238 ; CJUE, 21 décembre 2016, Tele2 Sverige et Watson e.a. (C-203/15 et C-698/15, EU:C:2016:970 ; CJUE, 2 octobre 2018, Ministerio Fiscal (C-207/16, EU:C:2018:788)…

Par des décisions rendues ce jour, la Cour de justice de l’Union Européenne (CJUE) :

• confirme que le droit de l’Union s’oppose à une réglementation nationale imposant à un fournisseur de services de communications électroniques, à des fins de lutte contre les infractions en général ou de sauvegarde de la sécurité nationale, la transmission ou la conservation généralisée et indifférenciée de données relatives au trafic et à la localisation

• nuance cependant cette jurisprudence en posant qu’en revanche, dans des situations dans lesquelles un État membre fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, celui-ci peut déroger à l’obligation d’assurer la confidentialité des données afférentes aux communications électroniques en imposant, par des mesures législatives, une conservation généralisée et indifférenciée de ces données pour une durée temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace.
S’agissant de la lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique, un État membre peut également prévoir la conservation ciblée desdites données ainsi que leur conservation rapide.
Une telle ingérence dans les droits fondamentaux doit être assortie de garanties effectives et contrôlée par un juge ou une autorité administrative indépendante. De même, il est loisible à un État membre de procéder à une conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une communication dès lors que la durée de conservation est limitée au strict nécessaire ou encore de procéder à une conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs des moyens de communications électroniques, sans que cela soit dans ce dernier cas limité à un délai particulier.

Nb : ce qui précède reprend pour partie certains éléments du communiqué de la Cour. 

 

Voir ces arrêts, CJUE, 6 octobre 2020, (C-623/17, C-511/18, C-512/18 et C-520/18).

Voir les dossiers sur Curia :