La directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant
le traitement des données à caractère personnel et la protection de la vie privée dans le secteur
des télécommunications est venue prévoir, à son article 6 § 1 que « les données relatives au
trafic concernant les abonnés et les utilisateurs traitées en vue d'établir des communications et
stockées par le fournisseur d'un réseau public de télécommunications et/ou d'un service de
télécommunications accessible au public doivent être effacées ou rendues anonymes dès que la
communication est terminée », ce principe étant assorti d’une exception, prévue au § 2 du même
article, liée aux besoins de la facturation.
Les obligations découlant de cette directive ont été reprises par la directive 2002/58/CE du 12
juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie
privée dans le secteur des communications électroniques (dite « e-privacy »), notamment
l’obligation d’effacement ou d’anonymisation des données « relatives au trafic », reprise à
l’article 6 de cette directive.
Cette directive prévoit néanmoins, à son article 1er § 3 (« champs d’application ») qu’elle « ne
s'applique pas aux activités qui ne relèvent pas du traité instituant la Communauté européenne,
telles que celles visées dans les titres V et VI du traité sur l'Union européenne, et, en tout état
de cause, aux activités concernant la sécurité publique, la défense, la sûreté de l'État (y compris
la prospérité économique de l'État lorsqu'il s'agit d'activités liées à la sûreté de l'État) ou aux
activités de l'État dans des domaines relevant du droit pénal ».
En outre, son article 15 § 1 permet aux Etats membres d’adopter des mesures législatives visant
à limiter, notamment, l’obligation d’effacement ou d’anonymisation, « lorsqu'une telle
limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d'une société
démocratique, pour sauvegarder la sécurité nationale - c'est-à-dire la sûreté de l'État - la
défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la
poursuite d'infractions pénales ou d'utilisations non autorisées du système de communications
électroniques ».
Si, dans les premières années d’application de cette directive, la jurisprudence de la Cour de
justice de l’Union européenne semblait admettre la possibilité d’une conservation généralisée
et indifférenciée pour les besoins des services d’enquête, elle a néanmoins, par trois principaux
arrêts (CJUE, 21 déc. 2016, Télé2 Sverige AB, n° C-203/15 et C-698/15 ; CJUE 2 oct. 2018,
Ministerio fiscal, n° C-207/16 et CJUE 6 oct. 2020, La Quadrature du Net et a., n° C-511/18,
C-512/18 et C-520/18), adopté une lecture différente des textes européens applicables à la
conservation des données de connexion et aux modalités d’accès des autorités publiques à ces
données.
A rebours de nombreux Etats membres, la Cour a tout d’abord, dans son arrêt Télé2, considéré
que la directive e-privacy trouvait à s’appliquer aux mesures nationales qui prévoient tant
l'obligation des fournisseurs de conserver les données de connexion que l'accès des autorités
nationales à ces données, à des fins de lutte contre la criminalité. Sur l’autorisation, prévue à
l’article 15 § 1 de la directive, donnée aux Etats de limiter, notamment, l’obligation
d’effacement ou d’anonymisation, pour des finalités de protection de la sécurité et de répression
203