RGPD et les PME et TPE

Avec le développement du numérique, les données sont au coeur de la création de valeur. Toutefois, certaines de ces données, parce qu’elle sont qualifiées de données personnelles, peuvent mettre en péril l’entreprise. 

A partir du 28 mai 2018, le RGPD contraint les entreprises à organiser dès la conception de leurs bases de données de tenir compte de la nature des données personnelles qu’elles contiennent et de l’importance quantitative de celles-ci.

La quantité des données conservées et la finalité de leur conservation sont illustrées à l’arrêt de la Cour de justice du 8 avril 2014 qui a annulé la directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications. Cet arrêt de la Cour de justice connu sous le nom de Digital Rights Ireland Ltd est là

1°La question de la compatibilité d’une conservation des données pour un nombre illimité de personnes avec les droits fondamentaux

Cet arrêt de la Cour de justice intervient sur des questions préjudicielles du Verfassungsgerichtshof à l’occasion de contentieux sur l’application de la loi autrichienne de transposition de cette directive qui, selon les requérants, viole le droit fondamental des particuliers à la protection de leurs données.

Principale question : la directive 2006/24 est-elle  compatible avec la Charte en ce qu’elle permet le stockage d’une masse de types de données à l’égard d’un nombre illimité de personnes pour une longue durée ?

Utile précision comme l’indique la Cour : « la conservation des données toucherait presque exclusivement des personnes dont le comportement ne justifie aucunement la conservation des données les concernant. Ces personnes seraient exposées à un risque accru de voir les autorités rechercher leurs données, prendre connaissance de leur contenu, s’informer de leur vie privée et utiliser ces données à de multiples fins, compte tenu, notamment, du nombre incommensurable de personnes ayant accès aux données pendant une période de six mois au minimum ».

 2° Les données à conserver à la directive 2006/24

Les articles 1 à 9, 11 et 13 de la directive 2006/24 disposent

«Article 1

Objet et champ d’application

1. La présente directive a pour objectif d’harmoniser les dispositions des États membres relatives aux obligations des fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications en matière de conservation de certaines données qui sont générées ou traitées par ces fournisseurs, en vue de garantir la disponibilité de ces données à des fins de recherche, de détection et de poursuite d’infractions graves telles qu’elles sont définies par chaque État membre dans son droit interne.
2. La présente directive s’applique aux données relatives au trafic et aux données de localisation concernant tant les entités juridiques que les personnes physiques, ainsi qu’aux données connexes nécessaires pour identifier l’abonné ou l’utilisateur enregistré. Elle ne s’applique pas au contenu des communications électroniques, notamment aux informations consultées en utilisant un réseau de communications électroniques.

Article 2

Définitions

1. Aux fins de la présente directive, les définitions contenues dans la directive 95/46/CE, dans la directive 2002/21/CE du Parlement européen et du Conseil du 7 mars 2002 relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques (directive ‘cadre’) […], ainsi que dans la directive 2002/58/CE s’appliquent.
2. Aux fins de la présente directive, on entend par:
3. a)      ‘données’, les données relatives au trafic et les données de localisation, ainsi que les données connexes nécessaires pour identifier l’abonné ou l’utilisateur;
4. b)      ‘utilisateur’, toute entité juridique ou personne physique qui utilise un service de communications électroniques accessible au public à des fins privées ou professionnelles sans être nécessairement abonnée à ce service;
5. c)      ‘service téléphonique’, les appels téléphoniques (notamment les appels vocaux, la messagerie vocale, la téléconférence et la communication de données), les services supplémentaires (notamment le renvoi et le transfert d’appels), les services de messagerie et multimédias (notamment les services de messages brefs, les services de médias améliorés et les services multimédias);
6. d)      ‘numéro d’identifiant’, le numéro d’identification exclusif attribué aux personnes qui s’abonnent ou s’inscrivent à un service d’accès à l’internet ou à un service de communication par l’internet;
7. e)      ‘identifiant cellulaire’, le numéro d’identification de la cellule où un appel de téléphonie mobile a commencé ou a pris fin;
8. f)      ‘appel téléphonique infructueux’, toute communication au cours de laquelle un appel téléphonique a été transmis mais est resté sans réponse ou a fait l’objet d’une intervention de la part du gestionnaire du réseau.

Article 3

Obligation de conservation de données

1. Par dérogation aux articles 5, 6 et 9 de la directive 2002/58/CE, les États membres prennent les mesures nécessaires pour que les données visées à l’article 5 de la présente directive soient conservées, conformément aux dispositions de cette dernière, dans la mesure où elles sont générées ou traitées dans le cadre de la fourniture des services de communication concernés par des fournisseurs de services de communications électroniques accessibles au public ou d’un réseau public de communications, lorsque ces fournisseurs sont dans leur ressort.
2. L’obligation de conserver les données visées au paragraphe 1 inclut la conservation des données visées à l’article 5 relatives aux appels téléphoniques infructueux, lorsque ces données sont générées ou traitées, et stockées (en ce qui concerne les données de la téléphonie) ou journalisées (en ce qui concerne les données de l’internet), dans le cadre de la fourniture des services de communication concernés, par des fournisseurs de services de communications électroniques accessibles au public ou d’un réseau public de communications, lorsque ces fournisseurs sont dans le ressort de l’État membre concerné. La présente directive n’impose pas la conservation des données relatives aux appels non connectés.

Article 4

Accès aux données

Les États membres prennent les mesures nécessaires pour veiller à ce que les données conservées conformément à la présente directive ne soient transmises qu’aux autorités nationales compétentes, dans des cas précis et conformément au droit interne. La procédure à suivre et les conditions à remplir pour avoir accès aux données conservées dans le respect des exigences de nécessité et de proportionnalité sont arrêtées par chaque État membre dans son droit interne, sous réserve des dispositions du droit de l’Union européenne ou du droit international public applicables en la matière, en particulier la CEDH telle qu’interprétée par la Cour européenne des droits de l’homme.

Article 5

Catégories de données à conserver

1. Les États membres veillent à ce que soient conservées en application de la présente directive les catégories de données suivantes:
2. a)      les données nécessaires pour retrouver et identifier la source d’une communication:

1)      en ce qui concerne la téléphonie fixe en réseau et la téléphonie mobile:

1. i)      le numéro de téléphone de l’appelant;
2. ii)      les nom et adresse de l’abonné ou de l’utilisateur inscrit;

2)      en ce qui concerne l’accès à l’internet, le courrier électronique par l’internet et la téléphonie par l’internet:

1. i)      le(s) numéro(s) d’identifiant attribué(s);
2. ii)      le numéro d’identifiant et le numéro de téléphone attribués à toute communication entrant dans le réseau téléphonique public;

iii)      les nom et adresse de l’abonné ou de l’utilisateur inscrit à qui une adresse IP (protocole internet), un numéro d’identifiant ou un numéro de téléphone a été attribué au moment de la communication;

1. b)      les données nécessaires pour identifier la destination d’une communication:

1)      en ce qui concerne la téléphonie fixe en réseau et la téléphonie mobile:

1. i)      le(s) numéro(s) composé(s) [le(s) numéro(s) de téléphone appelé(s)] et, dans les cas faisant intervenir des services complémentaires tels que le renvoi ou le transfert d’appels, le(s) numéro(s) vers le(s)quel(s) l’appel est réacheminé;
2. ii)      les nom et adresse de l’abonné (des abonnés) ou de l’utilisateur (des utilisateurs) inscrit(s);

2)      en ce qui concerne le courrier électronique par l’internet et la téléphonie par l’internet:

1. i)      le numéro d’identifiant ou le numéro de téléphone du (des) destinataire(s) prévu(s) d’un appel téléphonique par l’internet;
2. ii)      les nom et adresse de l’abonné (des abonnés) ou de l’utilisateur (des utilisateurs) inscrit(s) et le numéro d’identifiant du destinataire prévu de la communication;
3. c)      les données nécessaires pour déterminer la date, l’heure et la durée d’une communication:

1)      en ce qui concerne la téléphonie fixe en réseau et la téléphonie mobile, la date et l’heure de début et de fin de la communication;

2)      en ce qui concerne l’accès à l’internet, le courrier électronique par l’internet et la téléphonie par l’internet:

1. i)      la date et l’heure de l’ouverture et de la fermeture de la session du service d’accès à l’internet dans un fuseau horaire déterminé, ainsi que l’adresse IP (protocole internet), qu’elle soit dynamique ou statique, attribuée à une communication par le fournisseur d’accès à l’internet, ainsi que le numéro d’identifiant de l’abonné ou de l’utilisateur inscrit;
2. ii)      la date et l’heure de l’ouverture et de la fermeture de la session du service de courrier électronique par l’internet ou de téléphonie par l’internet dans un fuseau horaire déterminé;
3. d)      les données nécessaires pour déterminer le type de communication:

1)      en ce qui concerne la téléphonie fixe en réseau et la téléphonie mobile, le service téléphonique utilisé;

2)      en ce qui concerne le courrier électronique par l’internet et la téléphonie par l’internet, le service internet utilisé;

1. e)      les données nécessaires pour identifier le matériel de communication des utilisateurs ou ce qui est censé être leur matériel:

1)      en ce qui concerne la téléphonie fixe en réseau, le numéro de téléphone de l’appelant et le numéro appelé;

2)      en ce qui concerne la téléphonie mobile:

1. i)      le numéro de téléphone de l’appelant et le numéro appelé;
2. ii)      l’identité internationale d’abonné mobile (IMSI) de l’appelant;

iii)      l’identité internationale d’équipement mobile (IMEI) de l’appelant;

1. iv)      l’IMSI de l’appelé;
2. v)      l’IMEI de l’appelé;
3. vi)      dans le cas des services anonymes à prépaiement, la date et l’heure de la première activation du service ainsi que l’identité de localisation (identifiant cellulaire) d’où le service a été activé;

3)      en ce qui concerne l’accès à l’internet, le courrier électronique par l’internet et la téléphonie par l’internet:

1. i)      le numéro de téléphone de l’appelant pour l’accès commuté;
2. ii)      la ligne d’abonné numérique (DSL) ou tout autre point terminal de l’auteur de la communication;
3. f)      les données nécessaires pour localiser le matériel de communication mobile:

1)      l’identité de localisation (identifiant cellulaire) au début de la communication;

2)      les données permettant d’établir la localisation géographique des cellules, en se référant à leur identité de localisation (identifiant cellulaire), pendant la période au cours de laquelle les données de communication sont conservées.

2. Aucune donnée révélant le contenu de la communication ne peut être conservée au titre de la présente directive.

Article 6

Durées de conservation

Les États membres veillent à ce que les catégories de données visées à l’article 5 soient conservées pour une durée minimale de six mois et maximale de deux ans à compter de la date de la communication.

Article 7

Protection et sécurité des données

Sans préjudice des dispositions adoptées en application des directives 95/46/CE et 2002/58/CE, chaque État membre veille à ce que les fournisseurs de services de communications électroniques accessibles au public ou d’un réseau public de communications respectent, au minimum, les principes suivants en matière de sécurité des données, pour ce qui concerne les données conservées conformément à la présente directive:

1. a)      les données conservées doivent être de la même qualité et soumises aux mêmes exigences de sécurité et de protection que les données sur le réseau;
2. b)      les données font l’objet de mesures techniques et organisationnelles appropriées afin de les protéger contre la destruction accidentelle ou illicite, la perte ou l’altération accidentelle, ou le stockage, le traitement, l’accès ou la divulgation non autorisés ou illicites;
3. c)      les données font l’objet de mesures techniques et organisationnelles appropriées afin de garantir que l’accès aux données n’est effectué que par un personnel spécifiquement autorisé;

et

1. d)      les données sont détruites lorsque leur durée de conservation prend fin, à l’exception des données auxquelles on a pu accéder et qui ont été préservées.

Article 8

Conditions à observer pour le stockage des données conservées

Les États membres veillent à ce que les données visées à l’article 5 soient conservées conformément à la présente directive de manière à ce que les données conservées et toute autre information nécessaire concernant ces données puissent, à leur demande, être transmises sans délai aux autorités compétentes.

Article 9

Autorité de contrôle

1. Chaque État membre désigne une ou plusieurs autorités publiques qui sont chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de l’article 7 pour ce qui concerne la sécurité des données conservées. Ces autorités peuvent être les mêmes que celles visées à l’article 28 de la directive 95/46/CE.
2. Les autorités visées au paragraphe 1 exercent en toute indépendance la surveillance visée audit paragraphe.

[…]

Article 11

Modification de la directive 2002/58/CE

À l’article 15 de la directive 2002/58/CE, le paragraphe suivant est inséré:

‘1 bis.      Le paragraphe 1 n’est pas applicable aux données dont la conservation est spécifiquement exigée par la [directive 2006/24] aux fins visées à l’article 1^er, paragraphe 1, de ladite directive.’

[…]

Article 13

Recours, responsabilité et sanctions

1. Chaque État membre prend les mesures nécessaires pour veiller à ce que les mesures nationales mettant en œuvre le chapitre III de la directive 95/46/CE, relatif aux recours juridictionnels, à la responsabilité et aux sanctions, soient intégralement appliquées au traitement des données effectué au titre de la présente directive.

2      Chaque État membre prend, en particulier, les mesures nécessaires pour faire en sorte que l’accès intentionnel aux données conservées conformément à la présente directive ou le transfert de ces données qui ne sont pas autorisés par le droit interne adopté en application de la présente directive soient passibles de sanctions, y compris de sanctions administratives ou pénales, qui sont efficaces, proportionnées et dissuasives.»

3° L’importance quantitative de ces données

26      …. , il convient de relever que les données que doivent conserver les fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications, au titre des articles 3 et 5 de la directive 2006/24, sont, notamment, les données nécessaires pour retrouver et identifier la source d’une communication et la destination de celle-ci, pour déterminer la date, l’heure, la durée et le type d’une communication, le matériel de communication des utilisateurs, ainsi que pour localiser le matériel de communication mobile, données au nombre desquelles figurent, notamment, le nom et l’adresse de l’abonné ou de l’utilisateur inscrit, le numéro de téléphone de l’appelant et le numéro appelé ainsi qu’une adresse IP pour les services Internet. Ces données permettent, notamment, de savoir quelle est la personne avec laquelle un abonné ou un utilisateur inscrit a communiqué et par quel moyen, tout comme de déterminer le temps de la communication ainsi que l’endroit à partir duquel celle-ci a eu lieu. En outre, elles permettent de connaître la fréquence des communications de l’abonné ou de l’utilisateur inscrit avec certaines personnes pendant une période donnée.

27      Ces données, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci.

4° L’impact de la conservation de ces données sur le comportement des personnes

28      Dans de telles circonstances, même si la directive 2006/24 n’autorise pas, ainsi qu’il découle de ses articles 1^er, paragraphe 2, et 5, paragraphe 2, la conservation du contenu de la communication et des informations consultées en utilisant un réseau de communications électroniques, il n’est pas exclu que la conservation des données en cause puisse avoir une incidence sur l’utilisation, par les abonnés ou les utilisateurs inscrits, des moyens de communication visés par cette directive et, en conséquence, sur l’exercice par ces derniers de leur liberté d’expression, garantie par l’article 11 de la Charte.

29      La conservation des données aux fins de leur accès éventuel par les autorités nationales compétentes, telle que prévue par la directive 2006/24, concerne de manière directe et spécifique la vie privée et, ainsi, les droits garantis par l’article 7 de la Charte. En outre, une telle conservation des données relève également de l’article 8 de celle-ci en raison du fait qu’elle constitue un traitement des données à caractère personnel au sens de cet article et doit, ainsi, nécessairement satisfaire aux exigences de protection des données découlant de cet article (arrêt Volker und Markus Schecke et Eifert, C‑92/09 et C‑93/09, EU:C:2010:662, point 47).

 5° L’existence d’une ingérence dans les droits consacrés par les articles 7 et 8 de la Charte

32      En imposant la conservation des données énumérées à l’article 5, paragraphe 1, de la directive 2006/24 et en permettant l’accès des autorités nationales compétentes à celles-ci, cette directive déroge, ainsi que l’a relevé M. l’avocat général notamment aux points 39 et 40 de ses conclusions, au régime de protection du droit au respect de la vie privée, instauré par les directives 95/46 et 2002/58, à l’égard du traitement des données à caractère personnel dans le secteur des communications électroniques, ces dernières directives ayant prévu la confidentialité des communications et des données relatives au trafic ainsi que l’obligation d’effacer ou de rendre anonymes ces données lorsqu’elles ne sont plus nécessaires à la transmission d’une communication, hormis si elles sont nécessaires à la facturation et uniquement tant que cette nécessité perdure.

33      Pour établir l’existence d’une ingérence dans le droit fondamental au respect de la vie privée, il importe peu que les informations relatives à la vie privée concernées présentent ou non un caractère sensible ou que les intéressés aient ou non subi d’éventuels inconvénients en raison de cette ingérence (voir, en ce sens, arrêt Österreichischer Rundfunk e.a., C‑465/00, C‑138/01 et C‑139/01, EU:C:2003:294, point 75).

34      Il en résulte que l’obligation imposée par les articles 3 et 6 de la directive 2006/24 aux fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communication de conserver pendant une certaine durée des données relatives à la vie privée d’une personne et à ses communications, telles que celles visées à l’article 5 de cette directive, constitue en soi une ingérence dans les droits garantis par l’article 7 de la Charte.

35      En outre, l’accès des autorités nationales compétentes aux données constitue une ingérence supplémentaire dans ce droit fondamental (voir, en ce qui concerne l’article 8 de la CEDH, arrêts Cour EDH, Leander c. Suède, 26 mars 1987, série A n^o 116, § 48; Rotaru c. Roumanie [GC], n^o 28341/95, § 46, CEDH 2000‑V, ainsi que Weber et Saravia c. Allemagne (déc.), n^o 54934/00, § 79, CEDH 2006‑XI). Ainsi, les articles 4 et 8 de la directive 2006/24 prévoyant des règles relatives à l’accès des autorités nationales compétentes aux données sont également constitutifs d’une ingérence dans les droits garantis par l’article 7 de la Charte.

36      De même, la directive 2006/24 est constitutive d’une ingérence dans le droit fondamental à la protection des données à caractère personnel garanti par l’article 8 de la Charte puisqu’elle prévoit un traitement des données à caractère personnel.

37      Force est de constater que l’ingérence que comporte la directive 2006/24 dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte s’avère, ainsi que l’a également relevé M. l’avocat général notamment aux points 77 et 80 de ses conclusions, d’une vaste ampleur et qu’elle doit être considérée comme particulièrement grave. En outre, la circonstance que la conservation des données et l’utilisation ultérieure de celles-ci sont effectuées sans que l’abonné ou l’utilisateur inscrit en soient informés est susceptible de générer dans l’esprit des personnes concernées, ainsi que l’a relevé M. l’avocat général aux points 52 et 72 de ses conclusions, le sentiment que leur vie privée fait l’objet d’une surveillance constante.

 6° La lutte contre la criminalité justifie l’ingérence dans les droits garantis par les articles 7 et 8 de la Charte

38      Conformément à l’article 52, paragraphe 1, de la Charte, toute limitation de l’exercice des droits et des libertés consacrés par celle-ci doit être prévue par la loi, respecter leur contenu essentiel et, dans le respect du principe de proportionnalité, des limitations ne peuvent être apportées à ces droits et libertés que si elles sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui.

39      En ce qui concerne le contenu essentiel du droit fondamental au respect de la vie privée et des autres droits consacrés à l’article 7 de la Charte, il convient de constater que, même si la conservation des données imposée par la directive 2006/24 constitue une ingérence particulièrement grave dans ces droits, elle n’est pas de nature à porter atteinte audit contenu étant donné que, ainsi qu’il découle de son article 1^er, paragraphe 2, cette directive ne permet pas de prendre connaissance du contenu des communications électroniques en tant que tel.

40      Cette conservation des données n’est pas non plus de nature à porter atteinte au contenu essentiel du droit fondamental à la protection des données à caractère personnel, consacré à l’article 8 de la Charte, en raison du fait que la directive 2006/24 prévoit, à son article 7, une règle relative à la protection et à la sécurité des données selon laquelle, sans préjudice des dispositions adoptées en application des directives 95/46 et 2002/58, certains principes de protection et de sécurité des données doivent être respectés par les fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications, principes selon lesquels les États membres veillent à l’adoption de mesures techniques et organisationnelles appropriées contre la destruction accidentelle ou illicite, la perte ou l’altération accidentelle des données.

41      Quant à la question de savoir si ladite ingérence répond à un objectif d’intérêt général, il convient de relever que, si la directive 2006/24 est destinée à harmoniser les dispositions des États membres relatives aux obligations desdits fournisseurs en matière de conservation de certaines données qui sont générées ou traitées par ces derniers, l’objectif matériel de cette directive vise, ainsi qu’il découle de son article 1^er, paragraphe 1, à garantir la disponibilité de ces données à des fins de recherche, de détection et de poursuite d’infractions graves telles qu’elles sont définies par chaque État membre dans son droit interne. L’objectif matériel de cette directive est, dès lors, de contribuer à la lutte contre la criminalité grave et ainsi, en fin de compte, à la sécurité publique.

42      Il ressort de la jurisprudence de la Cour que constitue un objectif d’intérêt général de l’Union la lutte contre le terrorisme international en vue du maintien de la paix et de la sécurité internationales (voir, en ce sens, arrêts Kadi et Al Barakaat International Foundation/Conseil et Commission, C‑402/05 P et C‑415/05 P, EU:C:2008:461, point 363, ainsi que Al-Aqsa/Conseil, C‑539/10 P et C‑550/10 P, EU:C:2012:711, point 130). Il en va de même de la lutte contre la criminalité grave afin de garantir la sécurité publique (voir, en ce sens, arrêt Tsakouridis, C‑145/09, EU:C:2010:708, points 46 et 47). Par ailleurs, il convient de relever, à cet égard, que l’article 6 de la Charte énonce le droit de toute personne non seulement à la liberté, mais également à la sûreté.

43      À cet égard, il ressort du considérant 7 de la directive 2006/24 que, en raison de l’accroissement important des possibilités offertes par les communications électroniques, le Conseil «Justice et affaires intérieures» du 19 décembre 2002 a considéré que les données relatives à l’utilisation de celles-ci sont particulièrement importantes et constituent donc un instrument utile dans la prévention des infractions et la lutte contre la criminalité, notamment la criminalité organisée.

44      Force est donc de constater que la conservation des données aux fins de permettre aux autorités nationales compétentes de disposer d’un accès éventuel à celles-ci, telle qu’imposée par la directive 2006/24, répond effectivement à un objectif d’intérêt général.

7° La proportionnalité entre cet impératif d’intérêt général, la lutte contre la criminalité, et l’ingérance dans les droits fondamentaux

7-1 Le législateur communautaire a son pouvoir limité quand il s’agit d’atteintes aux principaux fondamentaux

46      ….., il convient de rappeler que le principe de proportionnalité exige, selon une jurisprudence constante de la Cour, que les actes des institutions de l’Union soient aptes à réaliser les objectifs légitimes poursuivis par la réglementation en cause et ne dépassent pas les limites de ce qui est approprié et nécessaire à la réalisation de ces objectifs (voir, en ce sens, arrêts Afton Chemical, C‑343/09, EU:C:2010:419, point 45; Volker und Markus Schecke et Eifert, EU:C:2010:662, point 74; Nelson e.a., C‑581/10 et C‑629/10, EU:C:2012:657, point 71; Sky Österreich, C‑283/11, EU:C:2013:28, point 50, ainsi que Schaible, C‑101/12, EU:C:2013:661, point 29).

47      En ce qui concerne le contrôle juridictionnel du respect de ces conditions, dès lors que des ingérences dans des droits fondamentaux sont en cause, l’étendue du pouvoir d’appréciation du législateur de l’Union peut s’avérer limitée en fonction d’un certain nombre d’éléments, parmi lesquels figurent, notamment, le domaine concerné, la nature du droit en cause garanti par la Charte, la nature et la gravité de l’ingérence ainsi que la finalité de celle-ci (voir, par analogie, en ce qui concerne l’article 8 de la CEDH, arrêt Cour EDH, S et Marper c. Royaume-Uni [GC], n^os 30562/04 et 30566/04, § 102, CEDH 2008‑V).

48      En l’espèce, compte tenu, d’une part, du rôle important que joue la protection des données à caractère personnel au regard du droit fondamental au respect de la vie privée et, d’autre part, de l’ampleur et de la gravité de l’ingérence dans ce droit que comporte la directive 2006/24, le pouvoir d’appréciation du législateur de l’Union s’avère réduit de sorte qu’il convient de procéder à un contrôle strict.

49      En ce qui concerne la question de savoir si la conservation des données est apte à réaliser l’objectif poursuivi par la directive 2006/24, il convient de constater que, eu égard à l’importance croissante des moyens de communication électronique, les données qui doivent être conservées en application de cette directive permettent aux autorités nationales compétentes en matière de poursuites pénales de disposer de possibilités supplémentaires d’élucidation des infractions graves et, à cet égard, elles constituent donc un instrument utile pour les enquêtes pénales. Ainsi, la conservation de telles données peut être considérée comme apte à réaliser l’objectif poursuivi par ladite directive.

50      Cette appréciation ne saurait être remise en cause par la circonstance, invoquée notamment par MM. Tschohl et Seitlinger ainsi que par le gouvernement portugais dans leurs observations écrites soumises à la Cour, qu’il existe plusieurs modalités de communications électroniques qui ne relèvent pas du champ d’application de la directive 2006/24 ou qui permettent une communication anonyme. Si, certes, cette circonstance est de nature à limiter l’aptitude de la mesure de conservation des données à atteindre l’objectif poursuivi, elle n’est toutefois pas de nature à rendre cette mesure inapte, ainsi que l’a relevé M. l’avocat général au point 137 de ses conclusions.

7-2 La conservation systématique de toutes ces données n’est pas nécessaires pour la lutte contre la criminalité 

51      En ce qui concerne le caractère nécessaire de la conservation des données imposée par la directive 2006/24, il convient de constater que, certes, la lutte contre la criminalité grave, notamment contre la criminalité organisée et le terrorisme, est d’une importance primordiale pour garantir la sécurité publique et son efficacité peut dépendre dans une large mesure de l’utilisation des techniques modernes d’enquête. Toutefois, un tel objectif d’intérêt général, pour fondamental qu’il soit, ne saurait à lui seul justifier qu’une mesure de conservation telle que celle instaurée par la directive 2006/24 soit considérée comme nécessaire aux fins de ladite lutte.

52      S’agissant du droit au respect de la vie privée, la protection de ce droit fondamental exige, selon la jurisprudence constante de la Cour, en tout état de cause, que les dérogations à la protection des données à caractère personnel et les limitations de celle-ci doivent s’opérer dans les limites du strict nécessaire (arrêt IPI, C‑473/12, EU:C:2013:715, point 39 et jurisprudence citée).

53      À cet égard, il convient de rappeler que la protection des données à caractère personnel, résultant de l’obligation explicite prévue à l’article 8, paragraphe 1, de la Charte, revêt une importance particulière pour le droit au respect de la vie privée consacré à l’article 7 de celle-ci.

54      Ainsi, la réglementation de l’Union en cause doit prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant un minimum d’exigences de sorte que les personnes dont les données ont été conservées disposent de garanties suffisantes permettant de protéger efficacement leurs données à caractère personnel contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites de ces données (voir, par analogie, en ce qui concerne l’article 8 de la CEDH, arrêts Cour EDH, Liberty et autres c. Royaume-Uni, n^o 58243/00, § 62 et 63, du 1^er juillet 2008; Rotaru c. Roumanie, précité, § 57 à 59, ainsi que S et Marper c. Royaume-Uni, précité, § 99).

55      La nécessité de disposer de telles garanties est d’autant plus importante lorsque, comme le prévoit la directive 2006/24, les données à caractère personnel sont soumises à un traitement automatique et qu’il existe un risque important d’accès illicite à ces données (voir, par analogie, en ce qui concerne l’article 8 de la CEDH, arrêts Cour EDH, S et Marper c. Royaume-Uni, précité, § 103, ainsi que M. K. c. France, n^o 19522/09, § 35, du 18 avril 2013).

7-3 Des données de toutes la population européenne même sans que ces personnes aient été concernées par une procédure pénale

56      Quant à la question de savoir si l’ingérence que comporte la directive 2006/24 est limitée au strict nécessaire, il convient de relever que cette directive impose, conformément à son article 3 lu en combinaison avec son article 5, paragraphe 1, la conservation de toutes les données relatives au trafic concernant la téléphonie fixe, la téléphonie mobile, l’accès à l’internet, le courrier électronique par Internet ainsi que la téléphonie par l’internet. Ainsi, elle vise tous les moyens de communication électronique dont l’utilisation est très répandue et d’une importance croissante dans la vie quotidienne de chacun. En outre, conformément à son article 3, ladite directive couvre tous les abonnés et utilisateurs inscrits. Elle comporte donc une ingérence dans les droits fondamentaux de la quasi-totalité de la population européenne.

57      À cet égard, il importe de constater, en premier lieu, que la directive 2006/24 couvre de manière généralisée toute personne et tous les moyens de communication électronique ainsi que l’ensemble des données relatives au trafic sans qu’aucune différenciation, limitation ni exception soient opérées en fonction de l’objectif de lutte contre les infractions graves.

58      En effet, d’une part, la directive 2006/24 concerne de manière globale l’ensemble des personnes faisant usage de services de communications électroniques, sans toutefois que les personnes dont les données sont conservées se trouvent, même indirectement, dans une situation susceptible de donner lieu à des poursuites pénales. Elle s’applique donc même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves. En outre, elle ne prévoit aucune exception, de sorte qu’elle s’applique même à des personnes dont les communications sont soumises, selon les règles du droit national, au secret professionnel.

59      D’autre part, tout en visant à contribuer à la lutte contre la criminalité grave, ladite directive ne requiert aucune relation entre les données dont la conservation est prévue et une menace pour la sécurité publique et, notamment, elle n’est pas limitée à une conservation portant soit sur des données afférentes à une période temporelle et/ou une zone géographique déterminée et/ou sur un cercle de personnes données susceptibles d’être mêlées d’une manière ou d’une autre à une infraction grave, soit sur des personnes qui pourraient, pour d’autres motifs, contribuer, par la conservation de leurs données, à la prévention, à la détection ou à la poursuite d’infractions graves.

7-4 L’accès à ces données n’est pas suffisamment conditionné

60      En deuxième lieu, à cette absence générale de limites s’ajoute le fait que la directive 2006/24 ne prévoit aucun critère objectif permettant de délimiter l’accès des autorités nationales compétentes aux données et leur utilisation ultérieure à des fins de prévention, de détection ou de poursuites pénales concernant des infractions pouvant, au regard de l’ampleur et de la gravité de l’ingérence dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte, être considérées comme suffisamment graves pour justifier une telle ingérence. Au contraire, la directive 2006/24 se borne à renvoyer, à son article 1^er, paragraphe 1, de manière générale aux infractions graves telles qu’elles sont définies par chaque État membre dans son droit interne.

61      En outre, quant à l’accès des autorités nationales compétentes aux données et à leur utilisation ultérieure, la directive 2006/24 ne contient pas les conditions matérielles et procédurales y afférentes. L’article 4 de cette directive, qui régit l’accès de ces autorités aux données conservées, ne dispose pas expressément que cet accès et l’utilisation ultérieure des données en cause doivent être strictement restreints à des fins de prévention et de détection d’infractions graves précisément délimitées ou de poursuites pénales afférentes à celles-ci, mais il se borne à prévoir que chaque État membre arrête la procédure à suivre et les conditions à remplir pour avoir accès aux données conservées dans le respect des exigences de nécessité et de proportionnalité.

62      En particulier, la directive 2006/24 ne prévoit aucun critère objectif permettant de limiter le nombre de personnes disposant de l’autorisation d’accès et d’utilisation ultérieure des données conservées au strict nécessaire au regard de l’objectif poursuivi. Surtout, l’accès aux données conservées par les autorités nationales compétentes n’est pas subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante dont la décision vise à limiter l’accès aux données et leur utilisation à ce qui est strictement nécessaire aux fins d’atteindre l’objectif poursuivi et intervient à la suite d’une demande motivée de ces autorités présentée dans le cadre de procédures de prévention, de détection ou de poursuites pénales. Il n’a pas non plus été prévu une obligation précise des États membres visant à établir de telles limitations.

7-5 Des délais de conservations sans nécessité objective

63      En troisième lieu, s’agissant de la durée de conservation des données, la directive 2006/24 impose, à son article 6, la conservation de celles-ci pendant une période d’au moins six mois sans que soit opérée une quelconque distinction entre les catégories de données prévues à l’article 5 de cette directive en fonction de leur utilité éventuelle aux fins de l’objectif poursuivi ou selon les personnes concernées.

64      Cette durée se situe, en outre, entre six mois au minimum et vingt-quatre mois au maximum, sans qu’il soit précisé que la détermination de la durée de conservation doit être fondée sur des critères objectifs afin de garantir que celle-ci est limitée au strict nécessaire.

65      Il résulte de ce qui précède que la directive 2006/24 ne prévoit pas de règles claires et précises régissant la portée de l’ingérence dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte. Force est donc de constater que cette directive comporte une ingérence dans ces droits fondamentaux d’une vaste ampleur et d’une gravité particulière dans l’ordre juridique de l’Union sans qu’une telle ingérence soit précisément encadrée par des dispositions permettant de garantir qu’elle est effectivement limitée au strict nécessaire.

66      De surcroît, en ce qui concerne les règles visant la sécurité et la protection des données conservées par les fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications, il convient de constater que la directive 2006/24 ne prévoit pas des garanties suffisantes, telles que requises par l’article 8 de la Charte, permettant d’assurer une protection efficace des données conservées contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites de ces données. En effet, en premier lieu, l’article 7 de la directive 2006/24 ne prévoit pas de règles spécifiques et adaptées à la vaste quantité des données dont la conservation est imposée par cette directive, au caractère sensible de ces données ainsi qu’au risque d’accès illicite à celles-ci, règles qui seraient destinées notamment à régir de manière claire et stricte la protection et la sécurité des données en cause, afin de garantir leur pleine intégrité et confidentialité. En outre, il n’a pas non plus été prévu une obligation précise des États membres visant à établir de telles règles.

67      L’article 7 de la directive 2006/24, lu en combinaison avec les articles 4, paragraphe 1, de la directive 2002/58 et 17, paragraphe 1, second alinéa, de la directive 95/46, ne garantit pas que soit appliqué par lesdits fournisseurs un niveau particulièrement élevé de protection et de sécurité par des mesures techniques et organisationnelles, mais autorise notamment ces fournisseurs à tenir compte de considérations économiques lors de la détermination du niveau de sécurité qu’ils appliquent, en ce qui concerne les coûts de mise en œuvre des mesures de sécurité. En particulier, la directive 2006/24 ne garantit pas la destruction irrémédiable des données au terme de la durée de conservation de celles-ci.

68      En second lieu, il convient d’ajouter que ladite directive n’impose pas que les données en cause soient conservées sur le territoire de l’Union, de sorte qu’il ne saurait être considéré qu’est pleinement garanti le contrôle par une autorité indépendante, explicitement exigé par l’article 8, paragraphe 3, de la Charte, du respect des exigences de protection et de sécurité, telles que visées aux deux points précédents. Or, un tel contrôle, effectué sur la base du droit de l’Union, constitue un élément essentiel du respect de la protection des personnes à l’égard du traitement des données à caractère personnel (voir, en ce sens, arrêt Commission/Autriche, C‑614/10, EU:C:2012:631, point 37).

69      Eu égard à l’ensemble des considérations qui précèdent, il convient de considérer que, en adoptant la directive 2006/24, le législateur de l’Union a excédé les limites qu’impose le respect du principe de proportionnalité au regard des articles 7, 8 et 52, paragraphe 1, de la Charte.

…..

Par ces motifs, la Cour (grande chambre) dit pour droit:

La directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE, est invalide.