Saisie de 2 renvois préjudiciels par le Kammarrätten i Stockholm (Suède) et la Court of Appeal (Royaume-Uni), la Cour de justice de l’Union européenne a interprété, le 21 décembre 2016, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, lue à la lumière de la Charte des droits fondamentaux de l’Union européenne (Tele2 Sverige AB et Tom Watson e.a., aff. jointes C-203/15 et C-698/15). Dans les affaires au principal, les législations suédoise et britannique sur la conservation des données en matière de communications électroniques ont été contestées à la suite de l’invalidation par la Cour, le 8 avril 2014, de la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications (Digital Rights Ireland, aff. jointes C-293/12 et C-594/12). Saisies dans ce contexte, les juridictions de renvoi ont interrogé la Cour sur le point de savoir si le droit de l’Union s’oppose à une réglementation nationale prévoyant, d’une part, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs de moyens de communication électronique et régissant, d’autre part, la protection et la sécurité de ces données, en particulier l’accès des autorités nationales compétentes, sans limiter cet accès aux seules fins de lutte contre la criminalité grave, sans le soumettre à un contrôle préalable, et sans exiger la conservation des données sur le territoire de l’Union. S’agissant de la conservation des données, la Cour relève que les données conservées permettent d’obtenir des informations très précises sur la vie des personnes concernées et qu’une telle conservation constitue une ingérence particulièrement grave ne pouvant être justifiée que par la lutte contre la criminalité grave. Elle estime qu’une conservation généralisée et indifférenciée des données excède les limites du strict nécessaire et n’est pas justifiée au regard du droit de l’Union. Toutefois, la Cour précise que ce droit ne s’oppose pas à une conservation ciblée des données justifiée par la lutte contre la criminalité grave et limitée au strict nécessaire, prévue par une réglementation claire et précise établissant des garanties suffisantes. S’agissant de l’accès des autorités aux données conservées, la Cour considère que des critères objectifs doivent être prévus pour définir les circonstances et les conditions de cet accès et que, sauf en cas urgence, ce dernier doit être subordonné à un contrôle préalable d’une juridiction ou d’une entité indépendante. De plus, les données en cause doivent être conservées sur le territoire de l’Union et être détruites au terme de la durée de conservation. La Cour conclut que le droit de l’Union s’oppose à une réglementation nationale qui ne respecte pas ces garanties. (MS)
