CJUE – La Quadrature du Net e.a. – C-511/18, C-512/18 et C-520/18

Décision

🏷️ Nom:

La Quadrature du Net e.a.

🔢 Numéro:

C-511/18, C-512/18 et C-520/18

📅 Date:

6 octobre 2020

⚖️ Autorité:

Cour de Justice de l'UE

🌍 Pays:

France

🔗 Lien:

Contexte

Par des requêtes introduites les 30 novembre 2015 et 16 mars 2016, jointes dans la procédure au principal, la Quadrature du Net, French Data Network et la Fédération des fournisseurs d’accès à Internet associatifs ainsi que Igwan.net ont saisi le Conseil d’État (France) de recours tendant à l’annulation des décrets nos 2015-1185, 2015-1211, 2015-1639 et 2016-67, au motif, notamment, qu’ils méconnaîtraient la Constitution française, la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales (ci-après la « CEDH ») ainsi que les directives 2000/31 et 2002/58, lues à la lumière des articles 7, 8 et 47 de la Charte.

Apport(s)
Directive ePrivacy - Législation nationale prévoyant à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation - Inconventionnalité - Exceptions Extrait(s) pertinent(s)168. Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre aux premières questions dans les affaires C-511/18 et C-512/18 ainsi qu’aux première et deuxième questions dans l’affaire C-520/18 que l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il s’oppose à des mesures législatives prévoyant, aux fins prévues à cet article 15, paragraphe 1, à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation. En revanche, ledit article 15, paragraphe 1, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte, ne s’oppose pas à des mesures législatives – permettant, aux fins de la sauvegarde de la sécurité nationale, le recours à une injonction faite aux fournisseurs de services de communications électroniques de procéder à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, dans des situations où l’État membre concerné fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, la décision prévoyant cette injonction pouvant faire l’objet d’un contrôle effectif soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, visant à vérifier l’existence d’une de ces situations ainsi que le respect des conditions et des garanties devant être prévues, et ladite injonction ne pouvant être émise que pour une période temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de cette menace; – prévoyant, aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation ciblée des données relatives au trafic et des données de localisation qui soit délimitée, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique, pour une période temporellement limitée au strict nécessaire, mais renouvelable ; – prévoyant, aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion, pour une période temporellement limitée au strict nécessaire ; – prévoyant, aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité et de la sauvegarde de la sécurité publique, une conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs de moyens de communications électroniques, et – permettant, aux fins de la lutte contre la criminalité grave et, a fortiori, de la sauvegarde de la sécurité nationale, le recours à une injonction faite aux fournisseurs de services de communications électroniques, au moyen d’une décision de l’autorité compétente soumise à un contrôle juridictionnel effectif, de procéder, pour une durée déterminée, à la conservation rapide des données relatives au trafic et des données de localisation dont disposent ces fournisseurs de services, dès lors que ces mesures assurent, par des règles claires et précises, que la conservation des données en cause est subordonnée au respect des conditions matérielles et procédurales y afférentes et que les personnes concernées disposent de garanties effectives contre les risques d’abus. Article(s) du RGPD Article 5 – Principes relatifs au traitement Thème(s)Minimisation Conservation limitée Fait référence à > CJUE – A e.a. – C-70/18 > CJUE – Tele2 Sverige et Watson e.a. – C-203/15 et C-698/15 > CJUE – Commission / Hongrie (Transparence associative) – C-78/18 > CJUE – Ministerio Fiscal – C-207/16 > CJUE – Accord PNR UE-Canada – Avis 1/15 > CJUE – Digital Rights Ireland e.a. – C-293/12 et C-594/12 > CJUE – Volker und Markus Schecke and Eifert – C-92/09 et C-93/09 > CJUE – Schrems II (Facebook Ireland et Schrems) – C-311/18 > CJUE – Satakunnan Markkinapörssi et Satamedia – C-73/07 > CJUE – Parlement / Conseil et Commission – C-317/04 et C-318/04 Autres informations
Directive ePrivacy - Réglementation nationale imposant aux fournisseurs de services de communications électroniques de recourir à l’analyse automatisée ainsi qu’au recueil en temps réel des données relatives au trafic et des données de localisation - Conventionnalité sous conditions Extrait(s) pertinent(s)192. Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre aux deuxième et troisième questions dans l’affaire C-511/18 que l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale imposant aux fournisseurs de services de communications électroniques de recourir, d’une part, à l’analyse automatisée ainsi qu’au recueil en temps réel, notamment, des données relatives au trafic et des données de localisation et, d’autre part, au recueil en temps réel des données techniques relatives à la localisation des équipements terminaux utilisés, lorsque – le recours à l’analyse automatisée est limité à des situations dans lesquelles un État membre se trouve confronté à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, le recours à cette analyse pouvant faire l’objet d’un contrôle effectif, soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, visant à vérifier l’existence d’une situation justifiant ladite mesure ainsi que le respect des conditions et des garanties devant être prévues, et que – le recours à un recueil en temps réel des données relatives au trafic et des données de localisation est limité aux personnes à l’égard desquelles il existe une raison valable de soupçonner qu’elles sont impliquées d’une manière ou d’une autre dans des activités de terrorisme et est soumis à un contrôle préalable, effectué, soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, afin de s’assurer qu’un tel recueil en temps réel n’est autorisé que dans la limite de ce qui est strictement nécessaire. En cas d’urgence dûment justifiée, le contrôle doit intervenir dans de brefs délais. Article(s) du RGPD Article 6 – Licéité du traitement Thème(s)Licéité Fait référence à > CJUE – Schrems II (Facebook Ireland et Schrems) – C-311/18 > CJUE – Accord PNR UE-Canada – Avis 1/15 > CJUE – Tele2 Sverige et Watson e.a. – C-203/15 et C-698/15 Autres informations
Limitation des droits des personnes - Règlementation nationale imposant aux fournisseurs d’accès à des services de communication au public en ligne et aux fournisseurs de services d’hébergement la conservation généralisée et indifférenciée - Inconventionnalité Extrait(s) pertinent(s)212. Au regard des considérations qui précèdent, il convient de répondre à la seconde question dans l’affaire C-512/18 que la directive 2000/31 doit être interprétée en ce sens qu’elle n’est pas applicable en matière de protection de la confidentialité des communications et des personnes physiques à l’égard du traitement des données à caractère personnel dans le cadre des services de la société de l’information, cette protection étant, selon le cas, régie par la directive 2002/58 ou par le règlement 2016/679. L’article 23, paragraphe 1, du règlement 2016/679, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale imposant aux fournisseurs d’accès à des services de communication au public en ligne et aux fournisseurs de services d’hébergement la conservation généralisée et indifférenciée, notamment, des données à caractère personnel afférentes à ces services. Article(s) du RGPD Article 23 – Limitations Thème(s)Droits des personnes Limitation des droits A classer Fait référence à > CJUE – Schrems II (Facebook Ireland et Schrems) – C-311/18 > CJUE – IPI – C-473/12 > CJUE – Worten – C-342/12 > CJUE – Scarlet Extended – C-70/10 > CJUE – Promusicae – C-275/06 > CJUE – Österreichischer Rundfunk e.a. – C-465/00, C-138/01 et C-139/01 > CJUE – SABAM – C-360/10 Autres informations
Directive ePrivacy - 1) Possibilité pour une juridiction nationale de limiter les effets dans le temps d'une déclaration d'illégalité du traitement (de conservation généralisée) prévu par une législation nationale - Absence - 2) Nécessité d'écarter les éléments de preuves obtenus de cette manière Extrait(s) pertinent(s)228. Eu égard aux considérations qui précèdent, il y a lieu de répondre à la troisième question dans l’affaire C-520/18 qu’une juridiction nationale ne peut faire application d’une disposition de son droit national qui l’habilite à limiter dans le temps les effets d’une déclaration d’illégalité lui incombant, en vertu de ce droit, à l’égard d’une législation nationale imposant aux fournisseurs de services de communications électroniques, en vue, notamment, de la sauvegarde de la sécurité nationale et de la lutte contre la criminalité, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation incompatible avec l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte. Cet article 15, paragraphe 1, interprété à la lumière du principe d’effectivité, impose au juge pénal national d’écarter des informations et des éléments de preuve qui ont été obtenus par une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation incompatible avec le droit de l’Union, dans le cadre d’une procédure pénale ouverte à l’encontre de personnes soupçonnées d’actes de criminalité, si ces personnes ne sont pas en mesure de commenter efficacement ces informations et ces éléments de preuve, provenant d’un domaine échappant à la connaissance des juges et qui sont susceptibles d’influencer de manière prépondérante l’appréciation des faits. Article(s) du RGPD Article 5 – Principes relatifs au traitement Thème(s)Minimisation Fait référence à Autres informations