CJUE – Digital Rights Ireland e.a. – C-293/12 et C-594/12

Décision

Autorité:

Cour de Justice de l'UE

Numéro:

C-293/12 et C-594/12

Nom:

Digital Rights Ireland e.a.

Date:

8 avril 2014

Pays:

Autriche

Lien:

Cliquer ici

Contexte

Digital Rights a introduit le 11 août 2006 un recours devant la High Court dans le cadre duquel elle soutient qu’elle est propriétaire d’un téléphone portable qui a été enregistré le 3 juin 2006 et qu’elle utilise celui-ci depuis cette date. Elle met en cause la légalité de mesures législatives et administratives nationales concernant la conservation de données relatives à des communications électroniques et demande, notamment, à la juridiction de renvoi de constater la nullité de la directive 2006/24 et de la septième partie de la loi de 2005 sur la justice pénale (infractions terroristes) [Criminal Justice (Terrorist Offences) Act 2005] prévoyant que les fournisseurs de services de communications téléphoniques doivent conserver les données afférentes à ces dernières relatives au trafic et à la localisation pour une période déterminée par la loi, afin de prévenir et de détecter les infractions, d’enquêter sur celles-ci et de les poursuivre ainsi que de garantir la sécurité de l’État.

Apport(s)
Directive 2006/24 - Absence de proportionnalité des traitements qu'elle engendre (notamment sur les durées et le lieu de conservation) - Conséquence - Invalidité Extrait(s) pertinent(s)67. L’article 7 de la directive 2006/24, lu en combinaison avec les articles 4, paragraphe 1, de la directive 2002/58 et 17, paragraphe 1, second alinéa, de la directive 95/46, ne garantit pas que soit appliqué par lesdits fournisseurs un niveau particulièrement élevé de protection et de sécurité par des mesures techniques et organisationnelles, mais autorise notamment ces fournisseurs à tenir compte de considérations économiques lors de la détermination du niveau de sécurité qu’ils appliquent, en ce qui concerne les coûts de mise en œuvre des mesures de sécurité. En particulier, la directive 2006/24 ne garantit pas la destruction irrémédiable des données au terme de la durée de conservation de celles-ci. 68. En second lieu, il convient d’ajouter que ladite directive n’impose pas que les données en cause soient conservées sur le territoire de l’Union, de sorte qu’il ne saurait être considéré qu’est pleinement garanti le contrôle par une autorité indépendante, explicitement exigé par l’article 8, paragraphe 3, de la Charte, du respect des exigences de protection et de sécurité, telles que visées aux deux points précédents. Or, un tel contrôle, effectué sur la base du droit de l’Union, constitue un élément essentiel du respect de la protection des personnes à l’égard du traitement des données à caractère personnel (voir, en ce sens, arrêt Commission/Autriche, C-614/10, EU:C:2012:631, point 37). 69. Eu égard à l’ensemble des considérations qui précèdent, il convient de considérer que, en adoptant la directive 2006/24, le législateur de l’Union a excédé les limites qu’impose le respect du principe de proportionnalité au regard des articles 7, 8 et 52, paragraphe 1, de la Charte. Article(s) du RGPD Article 5 – Principes relatifs au traitement Fait référence à > CJUE – IPI – C-473/12 > CJUE – Commission / Autriche – C-614/10 > CJUE – Volker und Markus Schecke and Eifert – C-92/09 et C-93/09 > CJUE – Österreichischer Rundfunk e.a. – C-465/00, C-138/01 et C-139/01 Autres informations Article 7 de la directive 2006/24 "Protection et sécurité des données": Sans préjudice des dispositions adoptées en application des directives 95/46/CE et 2002/58/CE, chaque État membre veille à ce que les fournisseurs de services de communications électroniques accessibles au public ou d’un réseau public de communications respectent, au minimum, les principes suivants en matière de sécurité des données, pour ce qui concerne les données conservées conformément à la présente directive: a) les données conservées doivent être de la même qualité et soumises aux mêmes exigences de sécurité et de protection que les données sur le réseau; b) les données font l’objet de mesures techniques et organisationnelles appropriées afin de les protéger contre la destruction accidentelle ou illicite, la perte ou l’altération accidentelle, ou le stockage, le traitement, l’accès ou la divulgation non autorisés ou illicites; c) les données font l’objet de mesures techniques et organisationnelles appropriées afin de garantir que l’accès aux données n’est effectué que par un personnel spécifiquement autorisé; et d) les données sont détruites lorsque leur durée de conservation prend fin, à l’exception des données auxquelles on a pu accéder et qui ont été préservées.

Apport(s)

Directive 2006/24 - Absence de proportionnalité des traitements qu'elle engendre (notamment sur les durées et le lieu de conservation) - Conséquence - Invalidité

Extrait(s) pertinent(s)67. L’article 7 de la directive 2006/24, lu en combinaison avec les articles 4, paragraphe 1, de la directive 2002/58 et 17, paragraphe 1, second alinéa, de la directive 95/46, ne garantit pas que soit appliqué par lesdits fournisseurs un niveau particulièrement élevé de protection et de sécurité par des mesures techniques et organisationnelles, mais autorise notamment ces fournisseurs à tenir compte de considérations économiques lors de la détermination du niveau de sécurité qu’ils appliquent, en ce qui concerne les coûts de mise en œuvre des mesures de sécurité. En particulier, la directive 2006/24 ne garantit pas la destruction irrémédiable des données au terme de la durée de conservation de celles-ci.

68. En second lieu, il convient d’ajouter que ladite directive n’impose pas que les données en cause soient conservées sur le territoire de l’Union, de sorte qu’il ne saurait être considéré qu’est pleinement garanti le contrôle par une autorité indépendante, explicitement exigé par l’article 8, paragraphe 3, de la Charte, du respect des exigences de protection et de sécurité, telles que visées aux deux points précédents. Or, un tel contrôle, effectué sur la base du droit de l’Union, constitue un élément essentiel du respect de la protection des personnes à l’égard du traitement des données à caractère personnel (voir, en ce sens, arrêt Commission/Autriche, C-614/10, EU:C:2012:631, point 37).

69. Eu égard à l’ensemble des considérations qui précèdent, il convient de considérer que, en adoptant la directive 2006/24, le législateur de l’Union a excédé les limites qu’impose le respect du principe de proportionnalité au regard des articles 7, 8 et 52, paragraphe 1, de la Charte.
Article(s) du RGPD Article 5 – Principes relatifs au traitement
Fait référence à > CJUE – IPI – C-473/12
> CJUE – Commission / Autriche – C-614/10
> CJUE – Volker und Markus Schecke and Eifert – C-92/09 et C-93/09
> CJUE – Österreichischer Rundfunk e.a. – C-465/00, C-138/01 et C-139/01
Autres informations Article 7 de la directive 2006/24 "Protection et sécurité des données": Sans préjudice des dispositions adoptées en application des directives 95/46/CE et 2002/58/CE, chaque État membre veille à ce que les fournisseurs de services de communications électroniques accessibles au public ou d’un réseau public de communications respectent, au minimum, les principes suivants en matière de sécurité des données, pour ce qui concerne les données conservées conformément à la présente directive:
a) les données conservées doivent être de la même qualité et soumises aux mêmes exigences de sécurité et de protection que les données sur le réseau;
b) les données font l’objet de mesures techniques et organisationnelles appropriées afin de les protéger contre la destruction accidentelle ou illicite, la perte ou l’altération accidentelle, ou le stockage, le traitement, l’accès ou la divulgation non autorisés ou illicites;
c) les données font l’objet de mesures techniques et organisationnelles appropriées afin de garantir que l’accès aux données n’est effectué que par un personnel spécifiquement autorisé; et
d) les données sont détruites lorsque leur durée de conservation prend fin, à l’exception des données auxquelles on a pu accéder et qui ont été préservées.