CJUE : le droit de l’Union s’oppose à une réglementation nationale imposant à un fournisseur de services de communications électroniques, la transmission ou la conservation généralisée et indifférenciée de données relatives au trafic et à la localisation

Par deux arrêts prononcés en grande chambre, le 6 octobre 2020 (1 et 2) la Cour de justice de l’Union européenne (CJUE) est venue préciser sa jurisprudence en matière d’obligation de transmission ou de conservation de données relatives au trafic et à la localisation pour les fournisseurs de services de communications électroniques en raison d’une réglementation nationale.

Saisie par l’Investigatory Powers Tribunal (tribunal chargé des pouvoirs d’enquête au Royaume-Uni) (Privacy International, C-623/17), le Conseil d’État (France) (La Quadrature du Net e.a., affaires jointes C-511/18 et C-512/18) ainsi que la Cour constitutionnelle (Belgique) (Ordre des barreaux francophones et germanophone e.a., C-520/18) de plusieurs questions préjudicielles, la CJUE juge tout d’abord que la directive « vie privée et communications électroniques »(3) s’applique à des réglementations nationales imposant aux fournisseurs de services de communications électroniques de procéder, aux fins de la sauvegarde de la sécurité nationale et de la lutte contre la criminalité, à des traitements de données à caractère personnel, tels que leur transmission à des autorités publiques ou leur conservation.

Tout en confirmant sa jurisprudence issue de l’arrêt Tele2 Sverige et Watson e.a.(4), sur le caractère disproportionné d’une conservation généralisée et indifférenciée des données relatives au trafic et à la localisation, la Cour apporte des précisions, notamment, quant à l’étendue des pouvoirs que reconnaît cette directive aux États membres en matière de conservation de telles données aux fins précitées.

La Cour indique que la directive précitée n’autorise les États membres à adopter, notamment à des fins de sécurité nationale, des mesures législatives visant à limiter la portée des droits et des obligations prévus par cette directive que dans le respect des principes généraux du droit de l’Union, parmi lesquels figure le principe de proportionnalité, et des droits fondamentaux garantis par la Charte.

Dans ce cadre, la Cour considère, d’une part, dans l’affaire Privacy International, que la directive « vie privée et communications électroniques », lue à la lumière de la Charte, s’oppose à une réglementation nationale, imposant aux fournisseurs de services de communications électroniques, en vue de la sauvegarde de la sécurité nationale, la transmission généralisée et indifférenciée aux services de sécurité et de renseignement des données relatives au trafic et à la localisation.

D’autre part, dans les affaires jointes La Quadrature du Net e.a., ainsi que dans l’affaire Ordre des barreaux francophones et germanophone e.a., la Cour estime que la directive précitée s’oppose à des mesures législatives imposant aux fournisseurs de services de communications électroniques, à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et à la localisation.

En revanche, la Cour estime que, dans des situations où l’État membre concerné fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, la directive « vie privée et communications électroniques », lue à la lumière de la Charte, ne s’oppose pas au fait d’enjoindre aux fournisseurs de services de communications électroniques de conserver de manière généralisée et indifférenciée des données relatives au trafic et à la localisation. Elle précise que la décision prévoyant cette injonction, pour une période temporellement limitée au strict nécessaire, doit faire l’objet d’un contrôle effectif, soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, afin de vérifier l’existence d’une de ces situations ainsi que le respect des conditions et des garanties prévues. Dans ces mêmes conditions, ladite directive ne s’oppose pas non plus à l’analyse automatisée des données, notamment celles relatives au trafic et à la localisation, de l’ensemble des utilisateurs de moyens de communications électroniques.

La Cour ajoute que la directive « vie privée et communications électroniques », lue à la lumière de la Charte, ne s’oppose pas à des mesures législatives permettant le recours à une conservation ciblée, temporellement limitée au strict nécessaire, des données relatives au trafic et à la localisation, qui soit délimitée, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique.

La conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une communication, est permise par la directive à condition que la durée de conservation soit limitée au strict nécessaire. La conservation des données relatives à l’identité civile des utilisateurs des moyens de communications électroniques est permise sans condition de durée.

Une mesure législative permettant le recours à une conservation rapide des données dont disposent les fournisseurs de services est permise en cas de nécessité de conserver lesdites données au-delà des délais légaux aux fins de l’élucidation d’infractions pénales graves ou d’atteintes à la sécurité nationale, lorsque ces infractions ou atteintes ont déjà été constatées ou lorsque leur existence peut être raisonnablement soupçonnée.

N’est pas contraire à la directive précitée, une réglementation nationale imposant aux fournisseurs de services de communications électroniques de recourir au recueil en temps réel, notamment, des données relatives au trafic et à la localisation, lorsque ce recueil est limité aux personnes à l’égard desquelles il existe une raison valable de soupçonner qu’elles sont impliquées, d’une manière ou d’une autre, dans des activités de terrorisme et est soumis à un contrôle préalable, effectué soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, s’assurant qu’un tel recueil en temps réel n’est autorisé que dans la limite de ce qui est strictement nécessaire. En cas d’urgence, le contrôle doit intervenir dans de brefs délais.

Enfin, la Cour rappelle que l’admissibilité et l’appréciation d’éléments de preuve qui ont été obtenus par une conservation de données contraire au droit de l’Union, dans le cadre d’une procédure pénale ouverte à l’encontre de personnes soupçonnées d’actes de criminalité grave, relève, en l’état actuel du droit de l’Union, du seul droit national. Toutefois, elle précise que la directive « vie privée et communications électroniques », interprétée à la lumière du principe d’effectivité, exige que le juge pénal national écarte des éléments de preuve qui ont été obtenus par une conservation généralisée et indifférenciée des données relatives au trafic et à la localisation incompatible avec le droit de l’Union, dans le cadre d’une telle procédure pénale, si les personnes soupçonnées d’actes de criminalité ne sont pas en mesure de prendre efficacement position sur ces éléments de preuve.
 

Statuant en urgence, le Conseil d’Etat n’ordonne pas la suspension de la Plateforme Health Data Hub, mais impose de prendre des précautions particulières pour protéger les données personnelles de santé qu’elle héberge, sous le contrôle de la CNIL

La Plateforme des données de santé, organisme public également appelé « Health Data Hub », a été créée en novembre 2019, pour faciliter le partage des données de santé afin de favoriser la recherche, notamment sur le virus covid-19. La Plateforme a signé, le 15 avril 2020, un contrat avec une filiale irlandaise de la société américaine Microsoft pour l’hébergement des données et l’utilisation de logiciels nécessaires à leur traitement.

Par une requête, du 28 septembre 2020, le Conseil d’Etat est saisi en urgence par des associations et syndicats d’une demande de suspension de la centralisation et du traitement des données en lien avec l’épidémie de covid-19 sur la plateforme Health Data Hub.

Ils soutiennent notamment qu’une atteinte grave et manifestement illégale risque d’être portée au droit au respect de la vie privée et au droit à la protection des données personnelles, eu égard à la soumission au droit américain de la société choisie pour assurer la solution technique de la Plateforme des données de santé, sans garanties suffisantes au regard des risques qu’emportent, d’une part, le transfert de données vers les Etats-Unis, mis en évidence par l’arrêt de la Cour de justice de l’Union européenne du 16 juillet 2020(1), et, d’autre part, l’application extraterritoriale du droit américain.

Invitée par le Conseil d’Etat à produire des observations sur ce recours, la CNIL(2) a estimé que le choix d’un hébergeur soumis au droit américain semblait incompatible avec les exigences de la CJUE en matière de protection de la vie privée. Elle a, d’une part, invité le juge à vérifier que les engagements de l’hébergeur à supprimer les transferts de données personnelles hors UE couvraient bien l’ensemble du Health Data Hub. D’autre part, elle a estimé que l’hébergement de la plateforme par une société de droit états-unien, pouvant être amenée à répondre à des demandes de communication de données, même pseudonymisées, était en soi problématique et devait conduire à changer d’opérateur ou à apporter des garanties spécifiques. Elle a recommandé l’aménagement d’une période de transition pour atteindre cet objectif.

Par une ordonnance du 13 octobre 2020(3), le juge des référés du Conseil d’Etat ne relève pas d’illégalité grave et manifeste qui justifierait la suspension immédiate du traitement des données par cette plateforme au motif notamment qu’il existe un intérêt public important à permettre la poursuite de l’utilisation des données de santé pour les besoins de l’épidémie de covid-19 grâce aux moyens techniques dont dispose la Plateforme. Il souligne toutefois que le recours à plateforme et le stockage des données doivent être proportionnés « aux risques sanitaires encourus et appropriée aux circonstances de temps et de lieu, compte tenu, tout à la fois, de l’urgence s’attachant à sa conduite et de l’absence de solution technique alternative satisfaisante permettant d’y procéder dans les délais utiles ».

La haute juridiction relève que « Eu égard à la sensibilité particulière des données de santé, les autorités publiques ont fait part de leur volonté d’adopter, dans les délais les plus brefs possibles, des mesures propres à éliminer tout risque, telles que le choix d’un nouveau sous-traitant, évoqué publiquement par le secrétaire d’Etat chargé de la transition numérique et des communications électroniques, ou le recours à un accord de licence, suggéré par la Commission nationale de l’informatique et des libertés dans ses observations ».

Elle précise que « dans l’intervalle, il appartient à la Plateforme des données de santé de continuer de rechercher, en vertu de l’article 28 du règlement général sur la protection des données, la mise en oeuvre par Microsoft des mesures techniques et organisationnelles appropriées pour garantir au mieux la protection des droits des personnes concernées. A cet égard, la société doit d’ailleurs,(…) mettre à sa disposition toutes les informations nécessaires pour démontrer le respect des obligations prévues à cet article 28 et permettre la réalisation d’audits ».

Il appartient en outre « à la Commission nationale de l’informatique et des libertés, lorsqu’elle autorise, conformément aux articles 66 et 76 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, des projets appelés à traiter les données rassemblées par la Plateforme des données de santé, de vérifier qu’ils poursuivent une finalité d’intérêt public en lien avec l’épidémie de covid-19 et que le recours à la Plateforme remplit les conditions mentionnées [ci-avant]».
 
Informations légales | Données personnelles