— 163 —
rapport (1), la DPR estimant qu’il importait « de clarifier la portée de [l’] arrêt
[Tele2] au regard de l’article 4-2 du TFUE selon lequel " la sécurité nationale
reste de la seule responsabilité de chaque État membre ". Dans ces conditions, et
pour protéger l’action des services de renseignement, le projet de règlement
ePrivacy en cours de négociation devrait exclure le traitement de données visant
exclusivement la sécurité publique, la défense et la sûreté de l’État. »
L’article 2, paragraphe 2, du TFUE stipule que lorsque les traités
attribuent à l’Union une compétence partagée avec les États membres dans un
domaine déterminé, l’Union et les États membres peuvent légiférer et adopter des
actes juridiquement contraignants dans ce domaine. Les États membres exercent
leur compétence dans la mesure où l’Union n’a pas exercé la sienne. Les États
membres exercent à nouveau leur compétence dans la mesure où l’Union a décidé
de cesser d’exercer la sienne.
Or, pour juger que le droit de l’Union interdit toute forme de conservation
généralisée des données, la Cour s’est fondée sur l’existence d’une compétence de
l’Union qui est, selon elle, consacrée par l’article 15, paragraphe 1, de la
directive 2002/58.
Par conséquent, la DAJ-MEAE a suggéré à la mission de s’interroger
quant à la possibilité de supprimer l’article 15, paragraphe 1, de la
directive 2002/58, à l’occasion de la refonte en cours de cette directive, et de
préciser que « la présente directive est sans préjudice du droit des États membres
de prévoir une obligation faite aux opérateurs de conserver les données
nécessaires aux fins de protection de la sécurité publique ou de lutte contre la
criminalité grave, qui relève de la compétence des États membres ». Une telle
évolution ne ferait sortir du droit de l’Union que l’obligation de conservation
généralisée des données et l’accès aux données conservées par les services
concernés, et non le traitement de ces données par les fournisseurs et par les
services concernés, une fois cet accès réalisé, qui resterait régi par le droit de
l’Union. Cependant, comme le soulignent les services de la DAJ-MEAE, à
supposer que le Parlement européen soit prêt à envisager une telle solution, ce qui
n’apparaît pas probable au vu des positions qu’il soutient sur d’autres questions
connexes (2), il ne peut être certain que la Cour se contenterait d’une telle
évolution, même si elle constituerait un signal fort, pour se déclarer incompétente.
Selon les informations fournies par la direction des affaires juridiques du
ministère de l’Europe et des affaires étrangères, d’une part, la directive 2002/58
régit de manière exhaustive les obligations susceptibles d’être imposées aux
opérateurs de services de communication électronique. Par conséquent, il
conviendrait de préciser, après chaque disposition de la directive 2002/58 portant
sur la protection de la confidentialité des données relatives au trafic et à la
(1) Rapport n° 1869 relatif à l’activité de la délégation parlementaire au renseignement pour l’année 2018,
tome 1, p. 77.
(2) Le Parlement a notamment demandé à la CJUE de rendre un avis sur l’accord conclu entre l’Union et le
Canada concernant le PNR.