1)      L’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale permettant l’accès d’autorités publiques à un ensemble de données relatives au trafic ou de données de localisation, susceptibles de fournir des informations sur les communications effectuées par un utilisateur d’un moyen de communication électronique ou sur la localisation des équipements terminaux qu’il utilise et de permettre de tirer des conclusions précises sur sa vie privée, à des fins de prévention, de recherche, de détection et de poursuite d’infractions pénales, sans que cet accès soit circonscrit à des procédures visant à la lutte contre la criminalité grave ou à la prévention de menaces graves contre la sécurité publique, ce indépendamment de la durée de la période pour laquelle l’accès auxdites données est sollicité et de la quantité ou de la nature des données disponibles pour une telle période.

2)      L’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale donnant compétence au ministère public, dont la mission est de diriger la procédure d’instruction pénale et d’exercer, le cas échéant, l’action publique lors d’une procédure ultérieure, pour autoriser l’accès d’une autorité publique aux données relatives au trafic et aux données de localisation aux fins d’une instruction pénale.

Le 5 avril 2022, la Grande Chambre de la Cour de Justice se prononce sur l’effet dans le temps d’une loi nationale non-conforme au droit de l’Union. Il s’agit dans cette affaire de la loi irlandaise de 2011 confrontée aux dispositions des deux directives de 2002 et de 2009. L’arrêt du 5 avril 2022.

3) Le droit de l’Union doit être interprété en ce sens qu’il s’oppose à ce qu’une juridiction nationale limite dans le temps les effets d’une déclaration d’invalidité qui lui incombe, en vertu du droit national, à l’égard d’une législation nationale imposant aux fournisseurs de services de communications électroniques une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, en raison de l’incompatibilité de cette législation avec l’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière de la charte des droits fondamentaux. L’admissibilité des éléments de preuve obtenus au moyen d’une telle conservation relève, conformément au principe d’autonomie procédurale des États membres, du droit national, sous réserve du respect, notamment, des principes d’équivalence et d’effectivité.

 Sur cette question, le Conseil Constitutionnel s’est exprimé,par exemple, à sa décision du 3 décembre 2021.

Est à noter que cet arrêt réaffirme la nécessité d’une autorisation préalable à l’accès par un fonctionnaire  de police auxdites données,

2)      L’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière des articles 7, 8, 11 et de l’article 52, paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens qu’il s’oppose à une législation nationale en vertu de laquelle le traitement centralisé des demandes d’accès à des données conservées par les fournisseurs de services de communications électroniques, émanant de la police dans le cadre de la recherche et de la poursuite d’infractions pénales graves, incombe à un fonctionnaire de police, assisté par une unité instituée au sein de la police jouissant d’un certain degré d’autonomie dans l’exercice de sa mission et dont les décisions peuvent faire ultérieurement l’objet d’un contrôle juridictionnel.

Ce principe a conduit le Conseil d’Etat à interroger la Cour de justice à propos de l’accès par les agents de l’HADOPI aux données fournies par les opérateurs de communications électroniques, c’est là.

 Toutefois, au-delà des actes de terrorisme, cet arrêt précise la catégories et l’étendue des mesures de conservation de ces données dans le cas des actes de criminalité grave ( les faits à l’origine de la saisine de la Cour étaient une condamnation pour meurtre ).   

1)      L’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’il s’oppose à des mesures législatives prévoyant, à titre préventif, aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation. En revanche, ledit article 15, paragraphe 1, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux, ne s’oppose pas à des mesures législatives prévoyant, aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique,

–        une conservation ciblée des données relatives au trafic et des données de localisation qui soit délimitée, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique, pour une période temporellement limitée au strict nécessaire, mais renouvelable ;

–        une conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion, pour une période temporellement limitée au strict nécessaire ;

–        une conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs de moyens de communications électroniques, et

–        le recours à une injonction faite aux fournisseurs de services de communications électroniques, au moyen d’une décision de l’autorité compétente soumise à un contrôle juridictionnel effectif, de procéder, pour une durée déterminée, à la conservation rapide des données relatives au trafic et des données de localisation dont disposent ces fournisseurs de services,

dès lors que ces mesures assurent, par des règles claires et précises, que la conservation des données en cause est subordonnée au respect des conditions matérielles et procédurales y afférentes et que les personnes concernées disposent de garanties effectives contre les risques d’abus.

L’article Données personnelles. Leurs collectes et conservations de manière généralisée et indifférenciée, les précisions apportées par la Cour de Justice le 5 avril 2022. est apparu en premier sur Philippe Schmitt Avocats.

La question de la collecte des données nominatives lors de mesure d’enquête administrative ou d’enquête préliminaire a déjà été signalée ici à propos de l’HADOPI et de la collecte massive et préalable de données auprès des opérateurs de téléphonies.

La Cour de justice s’est également prononcée sur cette question plus récemment par une décision du 5 avril 2022.

Les dispositions contestées de la loi française: 

2. L’article 77-1-1 du code de procédure pénale, dans sa rédaction résultant de la loi 24 décembre 2020, prévoit :
   « Le procureur de la République ou, sur autorisation de celui-ci, l’officier ou l’agent de police judiciaire, peut, par tout moyen, requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute administration publique qui sont susceptibles de détenir des informations intéressant l’enquête, y compris celles issues d’un système informatique ou d’un traitement de données nominatives, de lui remettre ces informations, notamment sous forme numérique, le cas échéant selon des normes fixées par voie réglementaire, sans que puisse lui être opposée, sans motif légitime, l’obligation au secret professionnel. Lorsque les réquisitions concernent des personnes mentionnées aux articles 56-1 à 56-5, la remise des informations ne peut intervenir qu’avec leur accord.
   « En cas d’absence de réponse de la personne aux réquisitions, les dispositions du second alinéa de l’article 60-1 sont applicables.
   « Le dernier alinéa de l’article 60-1 est également applicable.
   « Le procureur de la République peut, par la voie d’instructions générales prises en application de l’article 39-3, autoriser les officiers ou agents de police judiciaire, pour des catégories d’infractions qu’il détermine, à requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute administration publique, de leur remettre des informations intéressant l’enquête qui sont issues d’un système de vidéoprotection. Le procureur est avisé sans délai de ces réquisitions. Ces instructions générales ont une durée qui ne peut excéder six mois. Elles peuvent être renouvelées ».
3. L’article 77-1-2 du même code, dans sa rédaction résultant de la loi du 23 mars 2019, prévoit :
   « Sur autorisation du procureur de la République, l’officier ou l’agent de police judiciaire peut procéder aux réquisitions prévues par le premier alinéa de l’article 60-2.
   « Sur autorisation du juge des libertés et de la détention saisi à cette fin par le procureur de la République, l’officier ou l’agent de police peut procéder aux réquisitions prévues par le deuxième alinéa de l’article 60-2.
   « Les organismes ou personnes concernés mettent à disposition les informations requises par voie télématique ou informatique dans les meilleurs délais.
   « Le fait de refuser de répondre sans motif légitime à ces réquisitions est puni conformément aux dispositions du quatrième alinéa de l’article 60-2 ».

Le 3 décembre 2021, le Conseil constitutionnel s’est prononcé sur la compatibilité de ces dispositions :

• Qui permettent « au procureur de la République d’autoriser, sans contrôle préalable d’une juridiction indépendante, la réquisition d’informations issues d’un système informatique ou d’un traitement de données nominatives, qui comprennent les données de connexion. »
• Au regard du droit de l’Union européenne et, d’autre part, du droit au respect de la vie privée, ainsi que des droits de la défense et du droit à un recours juridictionnel effectif.

Ce que dit le Conseil Constitutionnel.

• Sur le droit de l’Union invoqué :

….sans qu’il soit besoin de se prononcer ni sur le grief tiré de la méconnaissance du droit de l’Union européenne qu’il n’appartient pas, au demeurant, au Conseil constitutionnel d’examiner..

• Au regard des dispositions nationales :

D’une part, les données de connexion comportent notamment les données relatives à l’identification des personnes, à leur localisation et à leurs contacts téléphoniques et numériques ainsi qu’aux services de communication au public en ligne qu’elles consultent. Compte tenu de leur nature, de leur diversité et des traitements dont elles peuvent faire l’objet, les données de connexion fournissent sur les personnes en cause ainsi que, le cas échéant, sur des tiers, des informations nombreuses et précises, particulièrement attentatoires à leur vie privée.

D’autre part, en application des dispositions contestées, la réquisition de ces données est autorisée dans le cadre d’une enquête préliminaire qui peut porter sur tout type d’infraction et qui n’est pas justifiée par l’urgence ni limitée dans le temps.

Si ces réquisitions sont soumises à l’autorisation du procureur de la République, magistrat de l’ordre judiciaire auquel il revient, en application de l’article 39-3 du code de procédure pénale, de contrôler la légalité des moyens mis en œuvre par les enquêteurs et la proportionnalité des actes d’investigation au regard de la nature et de la gravité des faits, le législateur n’a assorti le recours aux réquisitions de données de connexion d’aucune autre garantie.

Les termes visés par la décision d’inconstitutionnalité.

 Article 1^er. – Les mots «, y compris celles issues d’un système informatique ou d’un traitement de données nominatives, » figurant à la première phrase du premier alinéa de l’article 77-1-1 du code de procédure pénale, dans sa rédaction résultant de la loi n° 2020-1672 du 24 décembre 2020 relative au Parquet européen, à la justice environnementale et à la justice pénale spécialisée, et « aux réquisitions prévues par le premier alinéa de l’article 60-2 » figurant au premier alinéa de l’article 77-1-2 du même code, dans sa rédaction résultant de la loi n° 2019-222 du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice, sont contraires à la Constitution.

Article 2. – La déclaration d’inconstitutionnalité de l’article 1^er prend effet dans les conditions fixées au paragraphe 17 de cette décision. [31 décembre 2022]

L’article Données personnelles : à propos des réquisitions des données de connexion et autres données informatique portant sur des données nominatives. est apparu en premier sur Philippe Schmitt Avocats.