tabulati telefonici

Cour de justice: accès aux relevés téléphoniques et infractions (non) graves

Dans l’affaire n°. Dans l’affaire C-178/22, issue d’un renvoi préjudiciel du Tribunale di Bolzano, la Cour de justice a rendu une décision importante concernant l’accès judiciaire aux relevés téléphoniques des fournisseurs de services de communication électronique.

En droit italien, ce type d’accès est limité à des infractions spécifiques – y compris le vol aggravé – à condition d’obtenir l’autorisation d’un juge. La Cour a rappelé que l’accès autorisé ne doit concerner que les personnes soupçonnées d’avoir commis des crimes graves, en précisant que la définition de ce qui constitue un “crime grave” doit être déterminée dans chaque cas par les différents États membres.

Toutefois, la Cour a précisé que la juridiction chargée de l’autorisation doit avoir le pouvoir de refuser ou de restreindre cet accès si elle estime que l’atteinte aux droits fondamentaux d’une personne – protection de la vie privée et protection des données à caractère personnel – est excessive, face à un délit considéré comme manifestement non grave “à la lumière des conditions sociales existant dans l’État membre concerné“.

Les principaux actes

Après deux signalements de vols de téléphones portables, deux procédures pénales ont été enregistrées au bureau du procureur de Bozen/Bolzano pour vol aggravé en vertu des articles 624 et 625 du code pénal. Afin d’identifier les auteurs des vols, le procureur avait demandé au juge des enquêtes préliminaires de Bozen/Bolzano l’autorisation d’acquérir des relevés téléphoniques auprès des fournisseurs de services de télécommunication. Les demandes portaient sur un large éventail de données, notamment les services publics, les codes IMEI, les sites web visités, les heures et la durée des communications, les données de localisation des cellules utilisées et les données personnelles des abonnés des services publics.

L’essentiel de la question soulevée par le juge des enquêtes préliminaires concerne la conformité de l’article 132, paragraphe 3, du Code de la protection de la vie privée.[1] (régissant la conservation des données relatives au trafic pour la détection et la poursuite d’infractions pénales) avec l’article 15, paragraphe 1, de la directive 2002/58/CE, tel qu’interprété par la Cour de justice dans son arrêt du 2 mars 2021, Prokuratuur[2].

La législation italienne, dans le détail, autorise l’accès aux relevés téléphoniques pour poursuivre des infractions passibles d’une peine d’emprisonnement d’au moins trois ans, un critère dont la juridiction de renvoi craignait qu’il puisse également inclure des infractions moins graves, telles que des vols de téléphones portables, qui ne sont certainement pas considérées comme des menaces graves pour la sécurité publique.

Selon l’arrêt Prokuratuur, un tel accès aux données n’est justifiable que s’il vise à lutter contre des infractions graves, telles que des menaces graves pour la sécurité de l’État, et doit être proportionné à la gravité de l’ingérence dans les droits fondamentaux, sur la base des articles 7, 8 et 11 de la Charte des droits fondamentaux de l’Union européenne[3]. Le tribunal de Bolzano avait donc émis des doutes sur la grande marge d’appréciation laissée au législateur italien et sur le risque d’une application trop large de cette règle, en violation du principe de proportionnalité.

Doutes sur la question

Par ailleurs, la Cour s’est prononcée sur la recevabilité de la question, contestée par les gouvernements italien et irlandais. En particulier, ils ont fait valoir que la demande de la Cour était de nature hypothétique et ont également demandé si l’article 15, paragraphe 1, de la directive 2002/58 était également compatible avec d’autres infractions moins graves que celles de l’affaire au principal.

Toutefois, la jurisprudence[4] La Cour européenne a déjà statué que les demandes d’interprétation du droit de l’Union formulées par les juridictions nationales sont généralement considérées comme pertinentes et recevables, à moins qu’il n’apparaisse clairement que la demande n’a aucun lien avec les faits de l’affaire ou l’objet du litige au principal, ou que le problème est purement hypothétique. En outre, la Cour a le devoir de répondre aux questions posées lorsqu’elles concernent l’interprétation du droit de l’Union.

Au contraire, étant donné que le tribunal a reproduit intégralement le libellé de l’article 132, paragraphe 3, du code de la protection de la vie privée dans la question préjudicielle et que celui-ci couvre les infractions pour lesquelles des autorisations d’accès aux données ont été demandées en l’espèce, la Cour a estimé que la question n’était pas hypothétique et qu’elle était donc recevable.

La question préliminaire

La Cour a jugé nécessaire de préciser son pouvoir d’intervention dans les affaires de renvoi préjudiciel dans les considérants. Elle a notamment rappelé qu’elle ne pouvait ni interpréter la législation nationale des différents États membres, ni vérifier sa conformité avec le droit communautaire. En effet, dans le cadre de la procédure de l’article 267, la Cour ne peut interpréter le droit de l’Union que dans les limites de la compétence de cette dernière.

Et même si la question est mal formulée, les juridictions luxembourgeoises ne peuvent qu’identifier les éléments du droit de l’Union européenne qui nécessitent une interprétation sur la base de l’objet du litige, y compris en considérant des règles non prises en compte par la juridiction nationale.

En ce qui concerne la question à l’examen, un élément essentiel de la jurisprudence récente citée dans l’arrêt est la nécessité de limiter la conservation des données et de la différencier en fonction de la gravité des infractions. En effet, l’accès aux données ne doit pas être généralisé ou indifférencié, mais doit être spécifiquement justifié par des objectifs légitimes et sérieux, tels que la lutte contre les formes graves de criminalité ou la prévention des menaces graves pour la sécurité publique.

Un autre aspect important est le contrôle préalable de cet accès. La législation nationale devrait, de l’avis du décideur, prévoir un contrôle judiciaire ou administratif indépendant pour garantir que tout accès aux données est justifié et limité aux cas où il est strictement nécessaire. Ce contrôle est essentiel pour garantir qu’il n’y a pas d’abus et que l’accès aux données n’est effectué que lorsqu’il est réellement justifié par des circonstances qui le rendent proportionnel et nécessaire.

La Cour a également déclaré que la gravité de l’ingérence n’est pas atténuée par la courte durée de la période de collecte des données (deux mois en l’occurrence). En effet, l’ensemble des données collectées est en tout état de cause capable de révéler des détails significatifs sur la vie privée des personnes concernées.

L’arrêt précise ensuite qu’il est indifférent, pour apprécier la gravité de l’ingérence dans les droits fondamentaux, que les données consultées n’appartiennent pas aux propriétaires initiaux des téléphones mais aux personnes qui les ont utilisés après les vols. La directive 2002/58 exige en effet la confidentialité des communications électroniques et des données relatives au trafic, quelle que soit l’identité des utilisateurs ; à cette fin, un “utilisateur” est défini comme toute personne physique qui utilise ces services à des fins privées ou commerciales, qu’elle soit abonnée ou non au service.

Enfin, il s’agit de déterminer quels crimes peuvent être considérés comme suffisamment graves pour justifier une ingérence dans les droits fondamentaux garantis par la Charte. La définition de la “criminalité grave” doit refléter un équilibre entre la nécessité de lutter contre la criminalité et la nécessité de protéger les droits fondamentaux des individus. Les États membres disposent d’une certaine marge de manœuvre dans la définition de ces infractions – en raison également des différences de réalités sociales et de traditions juridiques – mais ils doivent l’exercer dans le respect des principes de proportionnalité et de nécessité, sans étendre exagérément le champ d’application de l’accès aux données à caractère personnel.

Toujours à la lumière de l’arrêt du 5 avril 2022, Commissioner of An Garda Síochána e.a.[5], la Cour critique le choix du législateur italien d’identifier un seuil éditorial particulièrement bas pour les “infractions graves” telles que celles visées à l’article 132, paragraphe 3, du code de la protection de la vie privée.

L’identification de ces infractions dans le droit national permet un accès très intrusif aux communications des individus ; par conséquent, elle ne devrait pas être si large qu’elle fasse de l’accès à ces données la règle plutôt que l’exception. Par conséquent, il ne peut pas couvrir la plupart des infractions du système, ce qui est le cas d’un seuil de peine d’emprisonnement fixé à un niveau excessivement bas – comme le seuil de trois ans dans le cas présent.

En même temps, la lecture de la législation nationale conduit la Cour à considérer que même un seuil aussi bas ne viole pas nécessairement le principe de proportionnalité. En effet, lorsque les données demandées ne permettent pas de tirer des conclusions précises sur la vie des personnes auxquelles elles appartiennent, leur accès peut ne pas constituer une ingérence grave méritant d’être protégée.

Toutefois, dans le même temps, la juridiction nationale doit pouvoir refuser ou limiter l’accès lorsqu’elle considère qu’il y a effectivement une interférence grave avec un crime manifestement non grave.

La décision

Par conséquent, à la lumière de ce raisonnement, la Cour a établi le principe de droit suivant : “[…]L’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009 lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’il ne s’oppose pas à une disposition nationale qui impose à la juridiction nationale – lorsqu’elle agit dans le cadre d’un contrôle préalable à la suite d’une demande motivée d’accès à un ensemble de données relatives au trafic ou de données de localisation – d’effectuer un contrôle de la conformité des données à caractère personnel avec les exigences de la directive et d’en vérifier l’exactitude. susceptibles de permettre de tirer des conclusions précises sur la vie privée de l’utilisateur d’un support de communications électroniques, stockées par des fournisseurs de services de communications électroniques, formulée par une autorité nationale compétente dans le cadre d’une enquête pénale – d’accorder un tel accès lorsqu’il est demandé pour enquêter sur des infractions punies par le droit national d’une peine privative de liberté d’un maximum d’au moins trois ans à condition qu’il existe des indices suffisants de telles infractions et que ces données soient pertinentes pour l’établissement des faits de la cause, à condition toutefois que cette juridiction ait la possibilité de refuser cet accès s’il est demandé dans le cadre d’une enquête portant sur une infraction qui n’est manifestement pas grave, eu égard aux conditions sociales existant dans l’État membre concerné.”

Avv. Antonio Laudisa
Avv. Marco Della Bruna

 

 

Téléchargez l’arrêt de la Cour ici.

Références

[1] D. Lgs. 196 du 30 juin 2003.

[2] Affaire C-746/18.

[3] Article 7 – Respect de la vie privée et familiale
“Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications”.

Article 8 – Protection des données à caractère personnel
“Toute personne a droit à la protection des données à caractère personnel la concernant.
Ces données doivent être traitées dans le respect du principe de loyauté, pour des finalités déterminées et sur la base du consentement de la personne concernée ou d’un autre fondement légitime prévu par la loi. Toute personne dispose d’un droit d’accès et de rectification des données collectées la concernant.
Le respect de ces règles est soumis au contrôle d’une autorité indépendante”.

Article 11 – Liberté d’expression et d’information
“1. Chacun a droit à la liberté d’expression. Ce droit comprend la liberté d’opinion et la liberté de recevoir ou de communiquer des informations ou des idées sans ingérence des autorités publiques et sans limites.
2. La liberté des médias et leur pluralisme sont respectés“.

[4] Arrêt du 21 mars 2023, Groupe Mercedes-Benz (responsabilité des constructeurs de véhicules équipés de dispositifs de manutention), C-100/21, EU:C:2023:229, point 52 et jurisprudence citée.

[5] Affaire C-140/20.

Condividi