CJUE : droit de l’Union et accès aux données relatives aux communications électroniques

Une ressortissante estonienne est condamnée à une peine privative de liberté de deux ans pour avoir commis plusieurs vols de biens (d’une valeur allant de 3 à 40 euros) et d’espèces (pour des montants compris entre 5,20 et 2 100 euros), utilisé la carte bancaire d’un tiers, causant à celui-ci un préjudice de 3 941, 82 euros, et exercé des actes de violence à l’égard de personnes participant à une procédure en justice la concernant. Le jugement de condamnation se fonde, entre autres, sur plusieurs procès-verbaux établis à partir de données relatives aux communications électroniques, que l’autorité chargée de l’enquête a recueillies auprès d’un fournisseur de services de télécommunications électroniques au cours de la procédure d’instruction, après avoir obtenu plusieurs autorisations à cet effet du parquet. Ces autorisations portaient sur les données concernant plusieurs numéros de téléphone de l’intéressée et différentes identités internationales d’équipement mobile de celle-ci.

Dans ce contexte, la cour suprême estonienne demande à la CJUE son interprétation de l’article 15, paragraphe 1, de la directive n° 2002/58 du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.

Les données conservées par les fournisseurs de téléphonie permettent, notamment, de retrouver et d’identifier la source et la destination d’une communication à partir du téléphone fixe ou mobile d’une personne, de déterminer la date, l’heure, la durée et la nature de cette communication, d’identifier le matériel de communication utilisé ainsi que de localiser le téléphone mobile sans qu’une communication soit nécessairement acheminée. En outre, elles offrent la possibilité de déterminer la fréquence des communications de l’utilisateur avec certaines personnes pendant une période donnée. Par ailleurs, l’accès auxdites données peut, en matière de lutte contre la criminalité, être sollicité pour tout type d’infraction pénale.

L’accès des autorités publiques à ces données constitue une ingérence grave qui ne peut être justifiée que par l’importance de l’objectif d’intérêt général poursuivi. Seuls les objectifs de lutte contre la criminalité grave ou de prévention de menaces graves pour la sécurité publique sont de nature à justifier cet accès.

Selon la CJUE, le droit de l’Union s’oppose à une réglementation nationale permettant cet accès qui permet de tirer des conclusions précises sur la vie privée, à des fins de prévention, de recherche, de détection et de poursuite d’infractions pénales, sans que cet accès soit circonscrit à des procédures visant à la lutte contre la criminalité grave ou à la prévention de menaces graves contre la sécurité publique, ce indépendamment de la durée de la période pour laquelle l’accès auxdites données est sollicité et de la quantité ou de la nature des données disponibles pour une telle période.

Par ailleurs, l’exigence d’indépendance à laquelle doit satisfaire l’autorité chargée d’exercer le contrôle préalable à cet accès impose que cette autorité ait la qualité de tiers par rapport à celle qui demande l’accès aux données, de sorte que la première soit en mesure d’exercer ce contrôle de manière objective et impartiale à l’abri de toute influence extérieure. En particulier, dans le domaine pénal, l’exigence d’indépendance implique que l’autorité chargée de ce contrôle préalable, d’une part, ne soit pas impliquée dans la conduite de l’enquête pénale en cause et, d’autre part, ait une position de neutralité vis-à-vis des parties à la procédure pénale.

Tel n’est pas le cas d’un ministère public qui dirige la procédure d’enquête et exerce, le cas échéant, l’action publique. En effet, le ministère public a pour mission non pas de trancher en toute indépendance un litige, mais de le soumettre, le cas échéant, à la juridiction compétente, en tant que partie au procès exerçant l’action pénale.
La circonstance que le ministère public soit, conformément aux règles régissant ses compétences et son statut, tenu de vérifier les éléments à charge et à décharge, de garantir la légalité de la procédure d’instruction et d’agir uniquement en vertu de la loi et de sa conviction ne saurait suffire à lui conférer le statut de tiers par rapport aux intérêts en cause.

Il s’ensuit que le droit de l’Union s’oppose à une réglementation nationale donnant compétence au ministère public pour autoriser l’accès d’une autorité publique aux données relatives au trafic et aux données de localisation aux fins d’une instruction pénale.

Sources :

• CJUE, 2 mars 2021, n° C‑746/18