CNCIS – 22e rapport d’activité 2013-2014
ou de poursuites pénales afférentes à celles-ci, mais il se borne à prévoir
que chaque État membre arrête la procédure à suivre et les conditions
à remplir pour avoir accès aux données conservées dans le respect des
exigences de nécessité et de proportionnalité.
62. En particulier, la directive 2006/24 ne prévoit aucun critère
objectif permettant de limiter le nombre de personnes disposant de
l’autorisation d’accès et d’utilisation ultérieure des données conservées
au strict nécessaire au regard de l’objectif poursuivi. Surtout, l’accès
aux données conservées par les autorités nationales compétentes n’est
pas subordonné à un contrôle préalable effectué soit par une juridiction,
soit par une entité administrative indépendante dont la décision vise à
limiter l’accès aux données et leur utilisation à ce qui est strictement
nécessaire aux fins d’atteindre l’objectif poursuivi et intervient à la suite
d’une demande motivée de ces autorités présentée dans le cadre de
procédures de prévention, de détection ou de poursuites pénales. Il n’a
pas non plus été prévu une obligation précise des États membres visant
à établir de telles limitations.
63. En troisième lieu, s’agissant de la durée de conservation des
données, la directive 2006/24 impose, à son article 6, la conservation de
celles-ci pendant une période d’au moins six mois sans que soit opérée
une quelconque distinction entre les catégories de données prévues à
l’article 5 de cette directive en fonction de leur utilité éventuelle aux fins
de l’objectif poursuivi ou selon les personnes concernées.
64. Cette durée se situe, en outre, entre six mois au minimum et
vingt-quatre mois au maximum, sans qu’il soit précisé que la détermination de la durée de conservation doit être fondée sur des critères objectifs afin de garantir que celle-ci est limitée au strict nécessaire.
65. Il résulte de ce qui précède que la directive 2006/24 ne prévoit
pas de règles claires et précises régissant la portée de l’ingérence dans
les droits fondamentaux consacrés aux articles 7 et 8 de la Charte. Force
est donc de constater que cette directive comporte une ingérence dans
ces droits fondamentaux d’une vaste ampleur et d’une gravité particulière dans l’ordre juridique de l’Union sans qu’une telle ingérence soit
précisément encadrée par des dispositions permettant de garantir qu’elle
est effectivement limitée au strict nécessaire.
66. De surcroît, en ce qui concerne les règles visant la sécurité et
la protection des données conservées par les fournisseurs de services
de communications électroniques accessibles au public ou de réseaux
publics de communications, il convient de constater que la directive
2006/24 ne prévoit pas des garanties suffisantes, telles que requises
par l’article 8 de la Charte, permettant d’assurer une protection efficace
des données conservées contre les risques d’abus ainsi que contre tout
accès et toute utilisation illicites de ces données. En effet, en premier
lieu, l’article 7 de la directive 2006/24 ne prévoit pas de règles spécifiques et adaptées à la vaste quantité des données dont la conservation
234
CNCIS-22e rapport d'activité 2014-(MP3).indd 234
03/02/2015 15:56:26