— 154 —
Compte tenu des termes de l’arrêt Digital Rights Ireland, il existait une
incertitude sur le point de savoir si le principe même d’une conservation
généralisée des données était en soi une atteinte excessive aux droits
fondamentaux, ou si une telle conservation généralisée des données pouvait être
maintenue, à condition de prévoir un encadrement très strict de l’accès à ces
données, une durée de conservation réduite et des modalités renforcées de
protection des données conservées.
L’arrêt Digital Rights Ireland, prémisse de l’affaire Tele2 Sverige
Dans l’arrêt Digital Rights Ireland du 8 avril 2014, la CJUE, saisie à titre
préjudiciel par des juridictions irlandaise et autrichienne, invalide la directive 2006/24/CE (1)
du 15 mars 2006. Cette directive obligeait les fournisseurs de communications électroniques
à conserver, pendant six mois à deux ans, les données nécessaires pour retrouver et identifier
la source et le destinataire d’une communication et permettre aux autorités nationales
d’accéder à ces données. Cette directive instaurait un dispositif de conservation de données
de trafic et de localisation par les fournisseurs d’accès à internet et les opérateurs de
télécommunications pour en permettre l’utilisation dans le cadre de la lutte contre la
criminalité et le terrorisme.
Selon la CJUE, ce texte portait une atteinte disproportionnée au droit au respect de
la vie privée et au droit à la protection des données à caractère personnel, garantis par les
articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne. Selon la CJUE,
le législateur de l’Union européenne avait « excédé les limites qu’impose le respect du
principe de proportionnalité au regard des articles 7 (2), 8 (3) et 52, paragraphe 1, de la
Charte ». Parce qu’elle « couvre de manière généralisée toute personne et tous les moyens
de communication électronique ainsi que l’ensemble des données relatives au trafic sans
qu’aucune différenciation, limitation ni exception soient opérées en fonction de l’objectif de
lutte contre les infractions graves », parce qu’elle « comporte une ingérence dans les droits
fondamentaux d’une vaste ampleur et d’une gravité particulière dans l’ordre juridique de
l’Union sans qu’une telle ingérence soit précisément encadrée par des dispositions
permettant de garantir qu’elle est effectivement limitée au strict nécessaire », la
directive 2006/24/CE a été jugée par la CJUE contraire aux principes énoncés dans la Charte
des droits fondamentaux. La CJUE a donc invalidé la directive dans toutes ses dispositions.
Fallait-il conclure de cette décision de la CJUE que les États membres de l’Union
européenne ne pouvaient pas, eux non plus, instaurer de telles obligations de conservation en
droit national ? De fait, six juridictions nationales, dont cinq de dernière instance, ont
annulé leurs dispositifs nationaux de conservation des données à la suite de cette
jurisprudence – mais ni la Suède ni le Royaume-Uni. La Suède avait déjà transposé la
directive 2006/24 et le Royaume-Uni avait quant à lui déjà adopté des dispositions nationales
avant que la directive soit adoptée. La conformité de ces dispositions nationales fut contestée
devant la Cour administrative d’appel de Stockholm et la Cour d’appel d’Angleterre et du
Pays-de-Galles qui saisirent alors la CJUE, dans ce qui allait devenir l’affaire Tele2 Sverige
AB.
(1) Directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de
données générées ou traitées dans le cadre de la fourniture de services de communications électroniques
accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE.
(2) Sur le respect de la vie privée.
(3) Sur la protection des données à caractère personnel.