Par un important arrêt du 8 avril 2014, la Cour de Justice de l’Union Européenne a invalidé la directive sur la conservation des données de connexion (directive 2006/24/CE), communément dite "data retention".
Réuni à Bruxelles, le G29 a fait référence à cette décision dans son communiqué de presse dédié à l’avis sur la surveillance qu’elle a adopté le même jour. Pour mémoire, dans deux avis de 2002 et 2005, le groupe avait exprimé de nombreuses réserves à l’encontre de la directive 2006/24/CE, comme à l’encontre de la directive 2002/58/CE qu’elle était venue modifier.
Source : Actualité de la Cnil en date du 18 avril dernier.
Un coup de tonnerre dans l’édifice juridique de l’Union européenne
Nous avons évoqué par deux fois cette décision de justice importante (nos actualités du 25 février et du 10 avril.
La position réservée du G29
Dans un court article, la CNIL rend compte de l’évolution de la situation depuis la publication de cet arrêt le 8 avril dernier. Elle rappelle, on l'a vu, quelles ont été les réserves du groupe de l’article 29 (Cnil européennes) quant à la directive de 2002 révisée en 2006.
La position, tant de la Cnil que du G29, semble être une reconnaissance de la licéité des législations nationales prises en application de cette directive pourtant non-conforme à la Charte des droits fondamentaux.
Des conditions de conformité supplémentaires ?
De notre point de vue, il est possible de le penser, dans la mesure seulement où ces législations seraient parfaitement conformes aux critères supplémentaires de licéité exigés par la Cour de justice, à savoir (nous reprenons a contrario les griefs retenus par l’avocat général et la Cour de justice elle-même à l'encontre de la directive) :
- L’obligation de conservation ne couvre pas de manière généralisée toute personne, tous les moyens de communication électronique et l’ensemble des données relatives au trafic, sans différenciation, limitation ou exception opérées en fonction de l’objectif de lutte contre les infractions graves ;
- L’accès aux données collectées est strictement limité et encadré de manière suffisante ;
- Cet accès fait l’objet d’un contrôle préalable par une juridiction ou une autorité indépendante ;
- Des durées de conservation précises sont imposées aux États, dans une fourchette de 6 mois à 2 ans, selon les personnes et les infractions concernées.
Une grande fragilisation des législations des États membres
Il n’est pas certain que les lois des États membres aient ainsi été plus vertueuses que la directive à transposer...
Et à défaut, nous voyons difficilement comment une législation pourrait continuer de s'imposer en n’étant pas conforme aux règles édictées non seulement par la Charte des droits fondamentaux, mais en en outre, depuis le 8 avril, par la Cour de justice de l'Union européenne.
Rappelons — de manière synthétique — qu’une décision de la CJUE s’impose aux ordres juridiques des États-membres, se situant à un niveau supérieur dans la hiérarchie des normes, en vertu du principe de primauté du droit de l’Union sur le droit des États membres.
À supposer que les législations demeurent en place, dans tout contentieux survenant dans un des États de l’Union, l’une des parties pourra invoquer la non-conformité de la loi au droit européen, provoquer un renvoi préjudiciel et faire suspendre l’application de cette loi. On voit combien les législations des États membres pourraient être fragilisées, en attendant une révision de la directive de 2006 et de ces lois elles-mêmes.
La Commission et le Parlement européens peuvent bien clamer que la décision de la CJUE "n’affecte pas les législations européennes", il est permis d’en douter... Et de prendre ces déclarations pour des contre-feux politiques pour conjurer un séisme juridique de grand ampleur.
Affaire à suivre, donc...
En savoir plus
L’actualité complète du 18 avril sur le site de la Cnil :
http://www.cnil.fr/nc/linstitution/actualite/article/article/la-directive-200624ce-contraire-aux-articles-7-et-8-de-la-charte-des-droits-fondamentaux-de-lun/
L’avis 04/2014 du G29 en date du 10 avril dernier (en anglais, pdf, 335 Ko) :
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp215_en.pdf