— 54 —
Les États membres sont ainsi autorisés, pour des motifs tenant à la sûreté de
l’État ou à la lutte contre les infractions pénales, à déroger, notamment, à
l’obligation de confidentialité des données à caractère personnel, ainsi que de
confidentialité des données relatives au trafic y afférentes, qui découlent de
l’article 5, paragraphe 1, de la directive.
2. Le contrôle exercé par la CJUE sur le respect de cette directive et l’arrêt
Tele2
Cependant dans son arrêt Tele2 Sverige AB c/ Post-och telestyrelsen et
Secretary of State for the Home Department c/ Tom Watson et autres (C-203/15 et
C-698/15), du 21 décembre 2016, la CJUE a estimé qu’il résulte des dispositions de
la directive du 12 juillet 2002 qu’elle « doit être regardée comme régissant les
activités des fournisseurs [de services de communications électroniques] ». Elle a
considéré que les dispositions imposant des obligations à ces fournisseurs, telles que
la conservation généralisée et indifférenciée des données relatives au trafic et des
données de localisation de leurs utilisateurs et abonnés, aux fins mentionnées à
l’article 15, paragraphe 1, de la directive du 12 juillet 2002, parmi lesquelles figure
la sauvegarde de la sécurité nationale, de la défense et de la sécurité publique,
relèvent dès lors du champ d’application de cette directive, dans la mesure où elles
régissent leur activité. Par ailleurs, le fait que de telles obligations n’interviennent
qu’aux seules fins de rendre accessibles aux autorités nationales compétentes les
données personnelles qu’elles concernent, implique que la réglementation nationale
encadrant l’accès et l’utilisation de ces données relève également du champ
d’application de la directive du 12 juillet 2002. En revanche, les dispositions
nationales qui portent sur des techniques de recueil de renseignement directement
mises en œuvre par l’État sans régir les activités des fournisseurs de services de
communications électroniques en leur imposant des obligations spécifiques ne
relèvent pas du champ d’application de cette directive.
Outre la compétence de la CJUE sur les législations nationales en matière
de conservation des données, l’arrêt « Télé2 » affirme que le droit de l’Union
s’oppose à une réglementation nationale prévoyant une conservation généralisée et
indifférenciée des données.
La Cour considère ensuite que, si la directive du 12 juillet 2002 permet aux
États membres de limiter la portée de l’obligation de principe d’assurer la
confidentialité des communications et des données relatives au trafic y afférentes,
elle ne saurait justifier que la dérogation à cette obligation de principe et, en
particulier, à l’interdiction de stocker ces données, prévue par celle-ci, devienne la
règle.
En outre, la Cour rappelle sa jurisprudence constante selon laquelle la
protection du droit fondamental au respect de la vie privée exige que les dérogations
à la protection des données à caractère personnel s’opèrent dans les limites du strict
nécessaire. La Cour applique cette jurisprudence aux règles régissant la
conservation des données et à celles régissant l’accès aux données conservées.