— 153 —
B. LA JURISPRUDENCE TELE2 SVERIGE AB DE LA CJUE : UNE ÉPÉE DE
DAMOCLÈS POUR LES SERVICES DE RENSEIGNEMENT
1. L’arrêt Tele2 Sverige AB : une remise en cause de l’obligation de
conservation généralisée et indifférenciée des données relatives au trafic
et des données de localisation des utilisateurs d’un réseau de
communication
a. Le contexte
La directive 2002/58 du 12 juillet 2002, concernant le traitement des
données à caractère personnel et la protection de la vie privée dans le secteur
des communications, régit les activités des fournisseurs de services de
communications électroniques au public. Cette directive prévoit plusieurs
garanties au bénéfice des utilisateurs desdits services. Elle dispose, en particulier,
à son article 5, que les États membres doivent garantir la confidentialité des
données, à son article 6, que les données concernant les abonnés et les utilisateurs
doivent être effacées ou rendues anonymes dès qu’elles ne sont plus
techniquement nécessaires pour assurer la bonne communication des données ou
pour assurer la facturation des services et, à son article 9, que les données de
localisation ne peuvent être utilisées sans avoir été anonymisées à moins de
disposer du consentement du titulaire de ces données.
Cependant, l’article 15, paragraphe 1, de cette directive autorise les États
membres à adopter des mesures législatives dérogeant aux garanties précitées pour
sauvegarder la sécurité publique et pour assurer la prévention, la recherche, la
détection et la poursuite d’infractions pénales ou d’utilisations non autorisées des
systèmes de communication électronique. Cette disposition précise que les États
membres peuvent, notamment, imposer aux fournisseurs de conserver les
données de connexion pendant une durée limitée.
Cette habilitation faite aux États membres d’introduire une mesure
imposant aux fournisseurs de conserver les données de connexion pendant une
durée limitée a été transformée en une obligation pour les États membres par la
directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006,
sur la conservation de données générées ou traitées dans le cadre de la fourniture
de services de communications électroniques accessibles au public ou de réseaux
publics de communication.
Cependant, dans son arrêt du 8 avril 2014, Digital Rights Ireland et
Seitlinger, la Cour de justice de l’Union européenne a déclaré que la
directive 2006/24 était invalide au motif que l’obligation de conservation des
données portait une atteinte disproportionnée aux articles 7 et 8 de la Charte des
droits fondamentaux de l’Union européenne. Dans cet arrêt, la Cour a jugé qu’une
telle obligation poursuivait un objectif légitime, à savoir la lutte contre la
criminalité grave et la protection de la sécurité publique, mais que l’atteinte aux
droits fondamentaux qu’elle imposait était disproportionnée à ce qui est nécessaire
pour poursuivre ces objectifs.