Accueil /

Média /

Veille réglementaire

La CJUE précise les conditions d'accès aux métadonnées dans le cadre d'enquêtes pénales / Editions Législatives

La Cour de justice de l’Union européenne est venue préciser les contours de l’accès à des fins pénales aux données de communications électroniques relatives à la localisation et au trafic (« métadonnées »).

Dans la lignée des arrêts rendus sur la conservation de données par les fournisseurs de services de communication (Digital Rights, Télé 2, La Quadrature du Net), la CJUE complète sa jurisprudence en matière d’accès à des fins pénales aux données de communications électroniques relatives à la localisation (CJUE, aff. C-746/18, 2 m&rs 2021).

Le débat porte sur l’interprétation de la directive « ePrivacy », qui interdit par principe la conservation des données de communications électroniques relatives au trafic et à la localisation sans le consentement de l’utilisateur et qui autorise, par exception, la conservation de ces données à condition que la mesure soit « nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale — c’est-à-dire la sûreté de l’État — la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques», la question portant sur l’étendue du pouvoir des États membres à limiter les droits des personnes concernées.

Interrogée sur ce sujet, la CJUE dans le cadre de son contrôle de proportionnalité, a considéré que l’accès, dans le cadre d’une procédure pénale, aux métadonnées qui permettent de tirer des conclusions précises sur la vie privée devait être limité aux enquêtes concernant la lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique.
La CJUE a retenu cette solution dans le contexte d’une procédure pénale engagée en Estonie dans laquelle les services d’enquête se sont appuyés sur des données à caractère personnel « générées dans le cadre de la fourniture de services de communications électroniques » pour identifier une personne reconnue coupable des chefs de vol, d’utilisation de la carte bancaire d’un tiers et de violence à l’égard de personnes participant à une procédure en justice.

Le gouvernement français suit de près ces décisions, qui remettent en question la capacité des autorités à obtenir des informations sur les utilisateurs de services de communications électroniques. D’après le magazine Nextinpact, le gouvernement français aurait immédiatement réagi en demandant au Conseil d’État que les décisions de la CJUE ne s’appliquent pas au droit français, arguant que ces dernières portent atteinte à l’identité constitutionnelle de la France (Nextinpact, « Conservation des données : le gouvernement demande au Conseil d’État d’ignorer la justice européenne », 3 mars 2021).

En France, c’est l’article L. 34-1 du code des postes et des communications électroniques qui prévoit le régime applicable aux métadonnées. Par principe, cet article prévoit une suppression ou anonymisation immédiate des métadonnées par les opérateurs de communications électroniques sous réserve d’une myriade d’exceptions qui, en pratique, impose la conservation de ces données.

L’article L. 34-1, III prévoit ainsi que les autorités judiciaires peuvent, notamment, avoir accès aux données de communications électroniques « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ou d’un manquement à l'obligation définie à l'article L. 336-3 du code de la propriété intellectuelle.

Or, la décision de la Cour du 2 mars 2021 tend à significativement limiter les types d’infractions pour lesquels ces données peuvent être obtenues par les autorités. Dans son raisonnement, la Cour indique notamment que :

  • La directive n° 2002/58 « ePrivacy » s’oppose à « à des mesures législatives imposant aux fournisseurs de services de communications électroniques, à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation » (§30) ;
  • « seuls les objectifs de lutte contre la criminalité grave ou de prévention de menaces graves pour la sécurité publique sont de nature à justifier l’accès des autorités publiques à un ensemble de données relatives au trafic ou de données de localisation, susceptibles de permettre de tirer des conclusions précises sur la vie privée des personnes concernées » (§35) ;
  • « l’accès aux données doit être soumis au contrôle préalable d’une juridiction ou d’une entité administrative indépendante dont la décision de cette juridiction ou de cette entité doit intervenir à la suite d’une demande motivée de ces autorités présentée » (§51) ;
  • « Elle précise à ce propos que le ministère public n’est pas considéré comme une autorité indépendante ayant le pouvoir d’autoriser l’accès d’une autorité publique aux données relatives au trafic et aux données de localisation dans le cadre d’une instruction pénale. » (§55 à 57).

Au regard de cette décision, les autorités compétentes des États membres ne devraient donc plus pouvoir accéder aux métadonnées de communications électroniques dans le cadre d’investigations portant sur des infractions, hormis celles relatives à la criminalité grave ou la prévention des menaces graves contre la sécurité publique.
Désormais, la question pendante est de savoir si le Conseil d’État accueillera favorablement les doléances du gouvernement sur cette question.

Cabinet Vigo, Cabinet d'avocats au Barreau de Paris

Tous les jours, GRACES.community sélectionne, gratuitement, pour vous le ou les articles importants pour votre prochaine veille réglementaire.

A propos de GRACES.community : pionner et leader des recrutements en Compliance, Ethiques, Gouvernance, Risques !

Proposer une offre de job : https://graces.community/recruteur/

Consulter les offres qui vous correspondent : https://app.graces.community/register/

Articles similaires

S’inscrire à la newsletter

Merci pour votre inscription
Oops! Une erreur s'est produite lors de la soumission du formulaire.