Entre liberté et sécurité : le tournant de l’invalidation de la directive 2006/24 sur la conservation des données relatives aux communications sur le fondement de la Charte européenne des droits fondamentaux par la Cour de Justice de l’Union européenne

Liberté et sécurité semblent de prime abord s’inscrire en opposition, opposition inhérente aux fonctions respectives qu’elles assurent. Les droits et libertés fondamentaux sont traditionnellement conçus comme constituant une protection de l’individu contre l’arbitraire étatique. La sécurité quant à elle compte au nombre des missions régaliennes de l’Etat. L’évocation d’un droit, et a fortiori un droit fondamental à sécurité [1] se heurte dès lors à une difficulté en apparence irrémédiable dans la mesure où un tel droit serait susceptible de justifier des atteintes  sérieuses aux libertés fondamentales de la part de l’Etat en élargissant son champ d’action.

Les attentats terroristes de ces dernières années ont relancé le débat sur cette opposition conceptuelle qui a dû toutefois intégrer une problématique particulière : le droit au respect de la vie privée. La nécessité primordiale de garantir la sécurité des individus a conduit à une évolution paradigmatique significative. L’adoption le 15 mars 2006 de la directive européenne sur la conservation des données de communication[2] en est un parfait exemple. Elle substitue à la faculté de conservation des Etats une obligation sans possibilité de dérogations et bouleverse en conséquence la conception  de la protection des données qui prévalait alors: autrefois une exception, la conservation des données de communication devient la règle. La question de la compatibilité d’une telle disposition avec les libertés et droits fondamentaux garantis au niveau de l’Union s’est de ce fait posée, et fut l’objet d’un renvoi préjudiciel par les cours irlandaise et autrichienne à la Cour de Justice de l’Union européenne (CJUE). Les questions principales (faisant l’objet du présent développement car s’agissant de celles que la Cour a décidé de traiter) qui furent posées sont les suivantes : la directive européenne de 2006 portant obligation pour les Etats-membres de conserver les données relatives aux communications est-elle conforme, premièrement, à l’article 7 de la Charte des droits fondamentaux de l’Union européenne (CDF) garantissant aux individus le respect de leur vie privée ? Est-elle constitutive d’une violation du droit à la protection des données personnelles garanti par l’article 8 de la Charte ainsi que d'une violation du droit à la liberté d’expression issu de l’article 11 CDF ?

La Cour, dans l’arrêt dont il est ici question, envisage certes une « incidence » possible de la norme litigieuse sur l’exercice par les individus de leur droit garanti par l’article 11 de la Charte (§28), mais s’attache particulièrement à contrôler sa conformité avec les articles 7 et 8 CDF.

Il s’agira donc d’analyser dans un premier temps la réponse apportée le 8 avril 2014 par la CJUE à ces questions, réponse qui lui permet de se positionner dans le débat sur la relation qu’entretiennent liberté et sécurité (I), puis d’envisager la façon dont elle appréhende son rôle de garant des droits fondamentaux (II).

 

I. Droit à la liberté et droit à la sécurité : un rapport de complémentarité

 

A. De l’objectif légitime de la directive : d’un droit fondamental à la sûreté à un droit fondamental à la sécurité ?

 

La Cour dans son arrêt du 8 avril 2014 s’attache en tout premier lieu à observer que la directive constitue en soi une ingérence dans les droits fondamentaux garantis aux articles 7 et 8 CDF (§§ 33 - 36 de la décision). Son champ matériel comprenant les données afférentes à toutes les communications, l’ingérence de la norme en question dans la vie privée des individus est indéniable. Elle représente par ailleurs une ingérence dans le champ de l’article 8 garantissant la protection des données personnelles par son objet même  « puisqu’elle prévoit un traitement des données à caractère personnel » (§ 36). La Haute juridiction se livre par la suite, à un contrôle du respect des conditions posées à l’article 52 alinéa 1 CDF. La loi doit, tout en se conformant au contenu essentiel des droits fondamentaux en cause, avoir été adoptée afin de protéger l’intérêt général. Les juges excluent une atteinte au fondement des droits au cœur du litige en raison, d’une part de l’exclusion du contenu des communications du domaine d’application de la directive et, d’autre part, du respect de principes de protection et de sécurité des données qu’elle prescrit. La directive de 2006 vise de surcroît, selon son premier article, à contribuer à la lutte contre la criminalité grave, et partant, à garantir la sécurité publique donc l’intérêt général conformément à la jurisprudence de la CJUE (§42).

Une précision apportée par la Cour mérite cependant qu’attention lui soit portée. L’article 6 CDF garantissant le droit à la liberté et à la sûreté est mentionné de la manière suivante : « l’article 6 de la Charte énonce le droit de toute personne non seulement à la liberté, mais également à la sûreté ». La sémantique de cette phrase n’est pas sans retentissements considérables. Le juge européen donne ici une lecture inédite du droit à la sûreté. En l’appréhendant dans un rapport de dualité, elle s’éloigne de la conception traditionnelle de ce droit et notamment de celle adoptée par la Cour européenne des droits de l’Homme[3] qui appréhendait le droit à la sûreté comme corollaire du droit à la liberté en tant que protection de l’individu contre la privation arbitraire de liberté. A la lumière de son développement sur l’objectif de la directive, la juridiction suprême européenne envisagerait de ce fait le droit à la sûreté comme étant en réalité un droit à la sécurité publique. La question de la nature de ce droit reste néanmoins ouverte : s’agit-il d’un droit créance de l’individu ? Une majeure partie de la doctrine allemande préfère aborder le problème sous un autre angle, en énonçant une obligation de protection à la charge de l’Etat.

 

B.  Un contrôle strict de proportionnalité

 

Au vu de la « vaste ampleur »[4] de l’ingérence que constitue la directive et de la nature des droits en cause, la Cour entend exercer un contrôle strict de cet  « acte législatif » européen (§48). Ce dernier est jugé apte à réaliser l’objectif poursuivi par la réglementation en ce sens qu’en permettant l’accès des autorités nationales compétentes en matière pénale aux données collectées, dans un contexte où les modes de communication électroniques prennent une place grandissante, elle permet à ces autorités de disposer d’un « instrument utile » dans le cadre des enquêtes pénales (§49).

Le caractère nécessaire de la mesure est en revanche plus discutable. La Cour ne saurait le déduire du seul objectif d’intérêt général, aussi impérieux soit-il, poursuivi par la directive (§51). Les juges abordent cette condition de nécessité de manière stricte dans le cadre des ingérences dans le droit au respect de la vie privée : les limitations apportées à ce droit, ainsi qu’à la garantie de la protection des données personnelles (celle-ci constituant un volet du premier droit fondamental, les deux questions sont traitées de manière conjointe, cf. §53 de la décision) « doivent s’opérer dans les limites du strict nécessaire ». Ceci implique la mise en place de « garanties suffisantes afin de protéger efficacement les données » notamment contre une éventuelle utilisation abusive. Un examen du champ d’application de la directive est opéré à ce titre. L’acte prévoit une conservation des données concernant tous les individus, sans requérir un quelconque risque de commission de la part de ces derniers d’une infraction pénale (§§57, 58). Cette obligation générale et absolue de conservation des données soulève un problème ainsi que le fait remarquer l’avocat général dans ses conclusions : celui du secret professionnel. Outre l’absence de limites concernant son champ d’application, la Cour note que le texte ne circonscrit aucune période temporelle ni de zone géographique susceptible de représenter une menace pour la sécurité publique (§59). Les juges critiquent également le manque de définition par le législateur européen des infractions devant être considérées comme suffisamment graves pour justifier la collecte des données et leur utilisation par les autorités nationales compétentes en matière pénale. S’ajoutent à ce manque de précision les lacunes de la directive quant à l’accès des autorités aux données conservées. Aucune modalité contrôle n’est en effet prévue à cet égard (§62); la fixation du délai de conservation (obligatoirement compris entre six et vingt-quatre mois)  ne repose de l’avis de la Cour sur aucun fondement objectif.

Autre point inquiétant méritant d’être évoqué : la directive n’impose aucune obligation de conserver les données sur le territoire de l’Union.

 

L’ensemble de ces manquements à l’obligation de garantie dégagée à l’occasion de cet arrêt conduit à une censure de la directive. Les conséquences de l’évocation implicite d’un droit à la sécurité sont donc tirées par la Haute juridiction. Si un acte européen visant à lutter contre la criminalité grave par le biais d’une ingérence à la vie privée des individus, en prévoyant une conservation des données de communication relative au trafic, ne constitue pas per se une atteinte aux droits fondamentaux issus des articles 7 et 8 CDF, une telle immixtion doit toutefois s’accompagner de garanties élevées. Liberté et sécurité ne sont donc pas deux notions antinomiques et peuvent être définies comme étant des « missions fondamentales complémentaires » de l’Etat[5].

 

II. La garantie des droits fondamentaux de la Charte : une tardive opposabilité de la Charte à l’action du «législateur » européen

 

A.    Une harmonisation à la hausse du standard de protection

 

L’arrêt de la CJUE revêt une portée majeure et ce à double titre. Il convient dans un premier temps de mentionner son caractère inédit : il s’agit de la première décision de la Cour qui censure un acte de l’Union sur le fondement d’une violation de la Charte[6]. Le pouvoir  juridictionnel européen a non seulement affirmé son indépendance face au pouvoir législatif mais s’est avant toute chose affranchi du politique afin d’assurer son rôle de garant des libertés fondamentales. Il est en effet aisé de concevoir la dimension politique des actes adoptés par l’Union européenne, en particulier dans des domaines tels que celui de la lutte contre le terrorisme. Après avoir accordé un effet direct horizontal à la Charte[7], les juges luxembourgeois  ont apporté une pierre supplémentaire à l’édifice communautaire que constitue la protection des libertés et droits fondamentaux de l’individu. Ils lui donnent à vrai dire un socle solide.

Par sa nature supranationale et  contraignante, la jurisprudence de la Cour contribue à l’établissement d’un standard européen en matière de droits fondamentaux, qui peut aller au-delà du standard des juridictions nationales. La position française sur les questions posées dans le cas d’espèce peut être citée à titre d’exemple. L’arsenal législatif français comportait dès 2001 des dispositions relatives à la conservation des données[8] qui fut modifié ultérieurement pour le mettre en conformité avec la directive de 2006. Attaquée dans le cadre d’un recours constitutionnel, la loi « anti-terrorisme » de 2005, donc antérieure à la directive, prévoyait en son article 6 la possibilité pour les services de police de réquisitionner les données de communication relatives au trafic conservées dans le but de réprimer les infractions pénales (conformément à l’article L-34-1 du code des postes et communications électroniques en vigueur à la date de l’arrêt), sans qu’il soit toutefois apporté de précisions supplémentaires sur la gravité que devaient revêtir ces infractions. La procédure de réquisition est en outre étendue aux fournisseurs d’accès internet. Les députés à l’origine de la saisine ont invoqué une violation du droit à la liberté et du respect de la vie privée, tenant non pas à une éventuelle disproportion de la loi mais à un non respect de la séparation des pouvoirs au vu de la nature administrative de la procédure de réquisition des données. Le Conseil constitutionnel  répond en rappelant  la mission qui incombe au législateur de concilier la préservation de l’ordre public et partant des droits fondamentaux avec le respect des libertés et de la vie privée garanties par la Déclaration des droits de l’Homme et du citoyen de 1789 (DDHC)[9]. Puis se satisfaisant de l’existence d’une procédure de contrôle ainsi que « des garanties juridictionnelles de droit commun dont sont assorties les mesures de police administrative », le Conseil rejette la violation alléguée des droits fondamentaux.

A l’instar de la CJUE, une mise en balance des intérêts en cause est effectuée sans pour autant que le contrôle juridictionnel ait été opéré dans une étendue similaire.

 

B.    Une avancée en demi-teinte

 

La Cour de Justice avait déjà cependant eu l’occasion de se prononcer sur la validité de la directive relative à la conservation des données de communication, en 2009, à l’occasion d’une action en nullité engagée par l’Irlande, soutenue par la Slovaquie[10]. La Slovaquie avait allégué que la directive constituait une ingérence dans le droit au respect de la vie privée garanti à l’article 8 de la Convention européenne de sauvegarde des droits de l’Homme (CESDH)[11] mais n’avait pas considéré pour autant qu’elle emportait violation de ce droit fondamental. La Cour n’étant tenue de ne répondre qu’aux conclusions des parties principales (§37 de la décision), elle n’a soulevé d’office aucun motif d’annulation tiré d’une violation éventuelle d’un droit fondamental. Cette conception stricte des règles procédurales encadrant les actions devant la CJUE avait fait l’objet de critiques de la part de la doctrine, notamment allemande[12], qui y a vu une volonté des juges de contourner le problème, ou plus exactement de ne pas se mettre en porte-à-faux par rapport aux considérations politiques du législateur européen, la Cour s’étant déjà réservé le droit de soulever certains moyens de nullité qui ne relevait pas de son office[13]. L’arrêt de la CJUE fut d’autant plus critiqué que la question de la violation des droits fondamentaux se posait de manière évidente au regard de l’ampleur de l’ingérence que constituait la directive.

La Cour constitutionnelle fédérale allemande (le Bundesverfassungsgericht) s’est d'ailleurs par la suite prononcée en 2010[14] contre les lois transposition la directive de 2006 dans l’ordre juridique allemand. Bien qu’elle reconnaisse  que la question de l’applicabilité du droit européen se posait en l’espèce, elle a tout de même entrepris de se prononcer sur la validité desdites lois à la lumière de la Loi fondamentale allemande. Ce faisant, elle est  revenue sur sa jurisprudence issue de sa décision « Solange-II » aux termes de laquelle elle avait reconnu une équivalence du niveau de protection des droits fondamentaux au sein de l’Union européenne par rapport au droit interne et renonçait alors à exercer sa juridiction aussi longtemps qu’une telle équivalence de protection existerait. En se saisissant  de la directive et des lois la transposant, la juridiction suprême allemande a conduit à douter de la persistance d’une telle présomption d’équivalence. Le Bundesverfassungsgericht avait en effet la possibilité, voire l’obligation, d’effectuer un renvoi préjudiciel à la suite duquel la CJUE aurait été amenée à se prononcer sur la conformité de la directive par rapport à la Charte. Mais peut-être avait-il craint une décision insatisfaisante en termes de garanties des droits fondamentaux.

 

L’issue de l’arrêt du 8 avril 2014 de la Cour de Justice de l’Union européenne était donc attendue, tant sur le plan des rapports entre les systèmes juridiques que pour les conséquences sur la prévisibilité des mesures de surveillance des individus.

 

 

Bibliographie

 

Ouvrages

 

Comans, Ein ,modernes ‘ europäisches Datenschutzrecht, Peter Lang, 2011, pp. 56-57

Szuba, Vorratsdatenspeicherung, Nomos, 2011, pp. 107-115, 267-270

Zimmer, Schriften zum Medien-, Urheber- und Wirtschaftsrecht, Peter Lang, 2012, pp. 43-45

 

Documents électroniques

 

Granger, « Existe-t-il un droit fondamental à la sécurité ? », disponible sur : http://www.droitconstitutionnel.org/congresParis/comC8/GrangerTXT.pdf

 

Giegerich, « Spät kommt Ihr, doch Ihr kommt », Zeus 2014 Heft 1 disponible sur : http://www.zeus.nomos.de/fileadmin/zeus/doc/Aufsatz_ZEuS_14_01.pdf

 

 


[1] Article 1 al. 1 de la loi du 18 mars 2003 pour la sécurité intérieure

[2] Directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques

[3]Macovei, Liberté et Sûreté, Un guide sur la mise en œuvre de l’article 5 de la Convention européenne des Droits de l’Homme, p.6 disponible sur : http://www.coe.int/t/dgi/publications/hrhandbooks/HRHAND-05(2003)_fr.pdf

[4] §37 de la décision commentée

[5] Di Fabio, Risikoentscheidungen im Rechsstaat, Tübingen 1994, S.37

[6] Mayer, EuR 2009/Beiheft 1, 87 (97) ; Rusteberg, VBIBW 2007, 171 (177)

[7] Arrêts Mangold et Kücükdevici

[8] Art. 29 de la loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne

[9] Décision n° 2005-532 DC du 19 janvier 2006

[10]CJCE, arrêt Irlande c/ Parlement Européen du 10 février 2009, C‑301/06

[11] La CDF n’étant pas en vigueur à l’époque, la CJUE s’inspirait de la jurisprudence de la CEDH, Simon, Des influences réciproques entre CJCE et CEDH : "je t’aime, moi non plus" ?, Pouvoir n°96, Les cours européennes. Luxembourg et Strasbourg - janvier 2001 - p.31-49

[12] Voir Szuba, Vorratsdatenspeicherung, Nomos, 2011, p.215, Giegerich, « Spät kommt Ihr, doch Ihr kommt », Zeus 2014 Heft 1 disponible sur : http://www.zeus.nomos.de/fileadmin/zeus/doc/Aufsatz_ZEuS_14_01.pdf

[13] Pechstein, EU-Prozessrecht, 4. Auflage 2011, Rdnr. 524

[14] BVerfG, 1 BvR 256/08 vom 2.3.2010