— 55 —
La Cour constate, s’agissant de la conservation, que les données conservées
prises dans leur ensemble sont susceptibles de permettre de tirer des conclusions
très précises sur la vie privée des personnes dont les données ont été conservées.
Elle en déduit que l’ingérence résultant d’une réglementation nationale
prévoyant la conservation des données relatives au trafic et des données de
localisation doit donc être considérée comme particulièrement grave. Le fait que la
conservation des données est effectuée sans que les utilisateurs des services de
communications électroniques en soient informés est susceptible de générer, dans
l’esprit des personnes concernées, le sentiment que leur vie privée fait l’objet d’une
surveillance constante. Par conséquent, seule la lutte contre la criminalité grave est
susceptible de justifier une telle ingérence.
La Cour relève qu’une réglementation prévoyant une conservation
généralisée et indifférenciée des données ne requiert pas de relation entre les
données dont la conservation est prévue et une menace pour la sécurité publique et
ne se limite notamment pas à prévoir une conservation des données afférentes à une
période temporelle et/ou une zone géographique et/ou un cercle de personnes
susceptibles d’être mêlées à une infraction grave. Une telle réglementation nationale
excède donc les limites du strict nécessaire et ne saurait être considérée comme étant
justifiée dans une société démocratique, ainsi que l’exige la directive lue à la lumière
de la Charte.
En répondant à la question préjudicielle posée par le Conseil d’État en 2018
par l’arrêt La Quadrature du Net du 6 octobre 2020, la CJUE procède à plusieurs
distinctions fondées sur le niveau d’atteinte à la vie privée. Ces distinctions portent
sur les types de données, leurs modalités de traitement, qui comprend les modalités
de conservation et d’accès et fixe les finalités légitimes de conservation. Ce
panorama très exhaustif tend à délimiter la possibilité pour les États de définir des
règles de conservation.
S’agissant des types de données, la Cour distingue données de trafic et données
de localisation, dont la conservation est celle qui risque de porter le plus atteinte à la vie
privée, ainsi que l’adresse IP qui permet de savoir à partir de quel outil la communication
est faite, et l’identité civile de l’utilisateur des services de communication.
La Cour se penche également sur les types de traitement des données en
distinguant la conservation généralisée et indifférenciée et la conservation ciblée,
plus aisément compatible avec les exigences du droit de l’Union, subdivisée entre
le ciblage en fonction de catégories de personnes et le ciblage géographique. Audelà de la conservation, la Cour s’estime compétente pour juger de l’accès aux
données conservées, en distinguant le recueil en temps réel ou différé, ce dernier
étant considéré comme moins attentatoire à la vie privée que le premier. La Cour
fait référence à la possibilité de conservation dite rapide des données, susceptible
d’être utilisée pour la lutte contre la criminalité grave. Enfin, elle mentionne le
traitement sous la forme d’une analyse automatisée des différentes données
disponibles, soit l’algorithme.