de la criminalité, la Cour considère qu’une telle autorisation, sauf à la priver de tout effet utile,
« présuppose nécessairement que les mesures nationales qui y sont visées, telles que celles
relatives à la conservation de données à des fins de lutte contre la criminalité, relèvent du
champ d'application de cette même directive, puisque cette dernière n'autorise expressément
les États membres à les adopter que dans le respect des conditions qu'elle prévoit ».
Cette applicabilité de la directive e-privacy a conduit la Cour à une condamnation du principe
de conservation généralisée et indifférenciée des données, au regard des articles 7 et 8 de la
Charte des droits fondamentaux de l’Union européenne, qui garantissent respectivement le droit
à la vie privée et le droit à la protection des données personnelles, comme de l'article 11 de la
Charte qui garantit la liberté d'expression.
Aussi, selon la Cour, la conservation généralisée des données de connexion constitue-t-elle une
ingérence « particulièrement grave » excédant « les limites du strict nécessaire et ne [pouvant]
être considérée comme étant justifiée, dans une société démocratique, ainsi que l'exige l'article
15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de
l'article 52, paragraphe 1, de la Charte » CJUE, 21 déc. 2016, Télé2 Sverige AB, n° C-203/15
et C-698/15).
Dans son dernier arrêt, La Quadrature du Net (CJUE 6 oct. 2020, n° C-511/18, C-512/18 et C520/18), la Cour, se prononçant sur la possibilité d’une conservation généralisée des données
de connexion lorsqu’est en cause la sécurité nationale, a rappelé que des limitations à l’exercice
du droit à la vie privée étaient possibles, pour autant que ces limitations soient prévues par la
loi, qu’elles respectent le contenu essentiel desdits droits et que, dans le respect du principe de
proportionnalité, elles soient nécessaires et répondent effectivement à des objectifs d’intérêt
général reconnus par l’Union ou au besoin de protection des droits et des libertés d’autrui. La
Cour énonce que l’objectif de sauvegarde de la sécurité nationale est susceptible de justifier des
mesures comportant des ingérences dans les droits fondamentaux plus graves que celles que
pourraient justifier les autres objectifs visés à l’article 15 de la directive e-privacy.
Elle a ainsi jugé que, si une conservation systématiquement générale et indifférenciée des
données n’est pas possible, le législateur peut adopter une mesure de conservation pour une
période limitée au strict nécessaire, dès lors qu’il existe des circonstances suffisamment
concrètes permettant de considérer que l’État membre concerné fait face à une menace grave
pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible. Cette injonction de
conservation doit pouvoir faire l’objet d’un contrôle effectif soit par une juridiction, soit par
une entité administrative indépendante, dont la décision est dotée d’un effet contraignant.
De l’ensemble de ces arrêts, il ressort que la Cour identifie trois objectifs dont la « gravité »
justifie une conservation plus importante de données dont la « sensibilité » augmente
parallèlement : la « lutte contre la criminalité et la prévention des menaces contre la
sécurité publique », la « lutte contre la criminalité grave et prévention des menaces graves
pour la sécurité publique » et la « sauvegarde de la sécurité nationale ». Le premier peut justifier
la conservation des données les moins révélatrices de la vie privée des personnes, le deuxième
la conservation ciblée de données plus vastes et, enfin, le troisième la conservation généralisée
204