et indifférenciée des données, y compris celles qui apportent les informations les plus précises
sur la personne à laquelle elles se rapportent, mais dans la limite et le délai circonscrit par la
réalité de la menace qui pèse sur la sécurité nationale.
Par ailleurs, la Cour établit une gradation entre les catégories de données de connexion
susceptibles d’être conservées et distingue entre :
-
-
-
les données relatives à l’identité civile de l’utilisateur qui, eu égard à leur faible
sensibilité, peuvent être conservées de manière généralisée et indifférenciée, quel que
soit l’objectif poursuivi ;
les adresses IP, qui présentent davantage de sensibilité, et qui ne peuvent donc être
conservées de manière généralisée et indifférenciée que pour lutter contre la criminalité
grave et pour sauvegarder la sécurité nationale ;
et enfin les autres données de connexion, dont la conservation est réservée aux objectifs
les plus graves, et selon deux modalités différentes en fonction de l’objectif poursuivi.
S’agissant de la lutte contre la criminalité grave et de la prévention des atteintes à la
sécurité publique, la CJUE admet seulement la possibilité d’adopter une réglementation
permettant, à titre préventif, une conservation ciblée des données relatives au trafic et des
données de localisation afin de lutter contre la criminalité grave à condition qu’une telle
conservation soit, en ce qui concerne les catégories de données à conserver, les moyens de
communication visés, les personnes concernées ainsi que la durée de conservation retenue,
limitée au strict nécessaire. La Cour propose deux exemples : ciblage de personnes (notamment
celles ayant été préalablement identifiées, dans le cadre des procédures nationales applicables
et celles présentant sur la base d’éléments objectifs une menace pour la sécurité publique ou la
sécurité nationale) et/ou de lieux (lieux particulièrement exposés à la commission d’actes de
criminalité grave, tels que des lieux ou infrastructures fréquentés régulièrement par un nombre
très élevé de personnes, ou encore des lieux stratégiques, tels que des aéroports, des gares ou
des zones de péages).
En outre, pour cet objectif, la Cour juge possible une « conservation rapide » des données,
conformément à l’article 16 de la convention du Budapest sur la cybercriminalité du 23
novembre 2001. Une telle conservation rapide, à des fins de la lutte contre la criminalité grave
et de la prévention des atteintes à la sécurité publique, ne pourra concerner que les données
susceptibles de contribuer à la prévention ou à la répression d’une infraction déterminée, étant
précisé qu’elle pourra concerner les personnes de l’entourage de la personne soupçonnée
(victime ou complice potentiel par exemple).
S’agissant de la sécurité nationale, le législateur peut adopter une mesure de conservation
généralisée et indifférenciée pour une période limitée au strict nécessaire, dès lors qu’il existe
des circonstances suffisamment concrètes permettant de considérer que l’État membre concerné
fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou
prévisible. Cette injonction de conservation doit être soumise à un examen régulier de sa
nécessité (et donc à une réévaluation périodique de l’état de la menace) et soumise au contrôle
205