La conservation et l’exploitation de données à caractère personnel par les opérateurs du secteur des communications électroniques

Résumé

• La directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques consacre le principe de la confidentialité des données relatives au trafic et des données de localisation générées par l’utilisation de services de communications électroniques.
• Cette directive crée des obligations pour les opérateurs, comme l’effacement ou l’anonymisation de telles données lorsqu’elles ne sont plus nécessaires à la transmission d’une communication ou encore le recueil du consentement des utilisateurs lorsque leurs données peuvent être traitées à des fins commerciales.
• Cette protection peut toutefois être limitée. L’article 15, paragraphe 1 de la directive 2002/58/CE permet aux États membres d’adopter des mesures législatives restrictives de cette protection, qui prévoient, par exemple, la conservation des données par les opérateurs.
• La limitation doit toutefois constituer « une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l'État - la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d'infractions pénales ou d'utilisations non autorisées du système de communications électroniques (…) ». La mesure de limitation, adoptée dans le respect des principes généraux du droit de l’Union européenne, doit être d’une durée limitée et justifiée par les motifs d’intérêt général mentionnés ci-dessus.
• Dans un contexte de lutte plus accrue contre le terrorisme et la criminalité, les États membres ont été amenés à adopter de telles réglementations. Certaines de ces législations ont donné lieu à une jurisprudence récente et fournie de la Cour de justice de l’Union européenne précisant les exigences auxquelles elles doivent répondre, particulièrement l’exigence de proportionnalité.
• La Cour affirme le principe de l’interdiction de la conservation généralisée indifférenciée et de l’exploitation des données de connexion. Elle apporte des nuances à ce principe, en précisant aux autorités nationales qu’afin que leurs réglementations soient conformes à l’exigence de proportionnalité de l’article 15, paragraphe 1 de la directive, elles doivent mettre en relation le niveau de gravité de l’ingérence avec le niveau de gravité de la menace qui la justifie.
• Cette analyse a ainsi conduit la Cour à admettre, dans des conditions strictement définies, qu’une législation puisse imposer aux opérateurs de communications électroniques une conservation généralisée et indifférenciée des données de connexion lorsqu’elle poursuit des finalités de sécurité publique.
• Les arrêts rendus par la Cour de justice impliquent une lecture renouvelée de l’article 15, paragraphe 1 de la directive 2002/58/CE et exigent, en conséquence, des États membres d’adapter leurs législations afin de se conformer avec les exigences clarifiées. C'est dans ce contexte que s'inscrit le « Projet de loi relative à la rétention des données à caractère personnel et portant modification: 1° du Code de procédure pénale ; 2° de la loi modifiée du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques ; et 3° de la loi modifiée du 5 juillet 2016 portant réorganisation du Service de renseignement de l’État » présenté le 25 janvier 2023 par Madame la Ministre de la Justice.