Cette affaire s’inscrit dans le cadre d’une enquête préliminaire italienne concernant deux vols de téléphones portables avec circonstances aggravantes. Le débat porte sur la compatibilité de l’article 132, paragraphe 3, du décret législatif italien n° 196/2003 (modifié en 2021) avec l’article 15, paragraphe 1, de la directive 2002/58/CE (directive “vie privée et communications électroniques”), interprété à la lumière de la Charte des droits fondamentaux de l’Union européenne (articles 7, 8, 11 et 52).
la problématique principale est la suivante, à savoir si la législation italienne —- qui permet au Ministère Public solliciter du “juge des enquêtes préliminaires” l’autorisation de recueillir auprès de toutes les compagnies téléphoniques les données détaillées (comprenant les métadonnées) des relevés téléphoniques des téléphones volés, en cas de préventions d’infractions punies d’au moins trois ans d’emprisonnement — est compatible avec l’exigence de proportionnalité imposée par le droit de l’Union européenne?
Etant ajouté que ces demandes de “relevés téléphoniques” peuvent viser « toutes les données [en la possession des compagnies téléphoniques], suivant une méthode de traçage et de localisation (plus particulièrement les abonnés et le cas échéant les codes [relatifs à l’identité internationale d’équipement mobile (IMEI) des appareils] appelés ou appelants, les sites visités et atteints, le moment et la durée de l’appel ou de la connexion et l’indication des parties de réseaux ou répétiteurs concernés, les abonnés et les codes IMEI [des appareils] expéditeurs et destinataires des SMS ou MMS et, si possible, les données d’identité des titulaires respectifs) des conversations et communications téléphoniques et des connexions effectuées, y compris en itinérance, entrantes ou sortantes même si les appels ne sont pas facturés (simple sonnerie sans réponse) depuis la date du vol jusqu’à la date de rédaction de la demande ».
Le tribunal italien de Bolzano a donc décidé de soumettre une question préjudicielle à la CJUE en exprimant des doutes sur la pertinence d’une utilisation massive, générale et quasi-systématique d’un accès aux données de communications électroniques pour poursuivre des infractions qui ne causent qu’un trouble social limité et qui ne sont punies que sur plainte d’un particulier, notamment les vols de faible valeur comme les vols de téléphone mobile ou de bicyclette?
Pour ce faire, il a rappelé que les dispositions de l’article 132, paragraphe 3, du décret législatif italien n°196/2003, (modifié en 2021) prévoient la possibilité d’obtenir l’accès aux données d’un téléphone pour établir la commission d’infractions punies “simplement” d’un minimum de 3 ans d’emprisonnement et que la législation italienne actuel limite cette marge de contrôle, dès lors que la réunion de critères formels est établie, rendant de fait l’autorisation quasi-automatique.
° Atteinte disproportionnée aux droits protégés
Le juge s’interroge sur la compatibilité de cet article 132, paragraphe 3, avec le principe de proportionnalité visé à l’article 15 du RGPD et à l’article 52 de la Charte des droits fondamentaux de l’UE, dans la mesure où l’accès aux relevés téléphoniques constitue une atteinte à la vie privée et à la protection des données personnelles et ne saurait être
justifiable qu’en cas d’infractions suffisamment graves. Or, avec un seuil aussi bas que trois ans d’emprisonnement encourus, toutes les infractions “de base” des procédures de droit commun du “quotidien pénal” des parquets (vol d’un téléphone, violations de domicile, etc.) entrent dans le périmètre de cette mesure de “perquisition numérique”.
° Déconnexion entre gravité de l’infraction et gravité de l’ingérence
Le juge souligne que l’accès aux relevés téléphoniques (y compris localisation, IMEI, fréquence et durée des appels) permet de reconstituer des aspects sensibles de la vie privée d’un individu (habitudes, relations personnelles); une telle mesure ne devrait être autorisée que pour des infractions graves (criminalité organisée, terrorisme, etc.), et non pour des infractions de faible enjeu social; les métadonnées des communications (lieu, durée, récurrence des appels) peuvent révéler des aspects très intimes de la vie privée.
°Précédents jurisprudentiels
Le juge s’appuie notamment sur l’arrêt Prokuratuur (C-746/18, CJUE, 2 mars 2021) pour rappeler que l’accès aux données constitue une ingérence grave nécessitant une justification rigoureuse et qu’une mesure de cette nature peut être autorisée uniquement pour des infractions graves; la directive 2002/58 ne fournissant pas, en effet, de définition précise de la notion de “criminalité grave”; cette notion devant être interprétée à la lumière des droits protégés par la Charte des droits de l’Union et du RGPD.
La question préjudicielle soumise à la CJUE illustre la tension considérable existant entre d’une part, l’objectif légitime de lutte contre les infractions et d’établissement de la preuve dans les enquêtes pénales et d’autre part, la nécessité de protéger les droits fondamentaux de tout individu, notamment en évitant des ingérences disproportionnées dans la vie privée.
QUESTION(S) PREJUDICIELLE(S)
« L’article 15, paragraphe 1, de la directive [2002/58] s’oppose-t-il à la législation nationale figurant à l’article 132[, paragraphe 3,] du décret législatif [no 196/2003], […] qui […] dispose ce qui suit :
“3. Dans le délai de conservation imposé par la loi, s’il existe des indices suffisants d’infractions pour lesquelles la loi prévoit la peine de détention à perpétuité ou de détention pour une durée maximale d’au moins trois ans, déterminée conformément à l’article 4 du code de procédure pénale, et d’infractions de menace et de harcèlement ou nuisance contre les personnes par téléphone, lorsque la menace, le harcèlement et la nuisance sont graves, si elles sont pertinentes pour constater les faits, les données sont recueillies sur autorisation préalable délivrée par le juge par un décret motivé, sur réquisition du ministère public ou à la demande de la défense du prévenu, de la personne faisant l’objet de l’enquête, de la victime et des autres parties privées” ? »
CONCLUSIONS DE L’AVOCAT GENERAL
1. Qualification de la gravité des infractions
L’avocat général souligne que la directive 2002/58 ne définit pas ce qu’est une « infraction pénale grave », ni ne dresse de liste limitative. Elle ne renvoie pas non plus expressément au droit national pour la définition des infractions concernées. Cependant, la Cour a déjà précisé que, malgré le fait que l’article 15, paragraphe 1, relève du champ d’application de la directive 2002/58, chacun des États membres demeure compétent pour déterminer, dans son ordre juridique, ce qui relève d’une « criminalité grave ». Cette liberté nationale n’est toutefois pas absolue : le seuil retenu par la législation interne doit respecter le principe de proportionnalité (article 52 de la Charte) et rendre effectif l’objectif de lutte contre les infractions pénales suffisamment sérieuses.
2. Examen du seuil italien de “3 ans de détention maximale”
– L’avocat général constate que la loi italienne a opté pour un critère juridique (peine maximale de trois ans minimum), sans distinguer davantage la gravité concrète de l’infraction.
– Il souligne qu’il n’existe pas de contradiction de principe entre ce seuil et l’article 15, paragraphe 1, de la directive 2002/58. En effet, la Cour a déjà validé l’idée qu’il appartenait aux législateurs nationaux de fixer leur définition des infractions graves, pour autant que l’on ménage un contrôle individuel a posteriori.
– Toutefois, l’avocat général insiste sur la nécessité d’un contrôle préalable (judiciaire ou équivalent), qui doit vérifier, dans chaque cas, si l’accès réclamé est proportionné au regard de la gravité concrète de l’infraction et des faits. Il ne suffit pas qu’une infraction ait formellement une peine maximale d’au moins trois ans pour justifier automatiquement un accès large aux données. Il faut vérifier si l’ingérence dans les droits fondamentaux (articles 7 et 8 de la Charte) est réellement proportionnée.
3. Proportionnalité et “contrôle préalable”
L’avocat général rappelle la jurisprudence ; selon la Cour, lorsqu’il s’agit d’une ingérence grave (les relevés téléphoniques et de localisation permettent de dresser un tableau précis des habitudes de vie des individus ou d’identifier des aspects très sensibles de leur vie privée), il ne peut y avoir accès qu’en présence d’« infractions graves » ou de menaces graves à la sécurité publique. De plus, cet accès doit être autorisé par un juge ou une autorité indépendante, sur la base d’une appréciation in concreto des circonstances.
Pour l’avocat général, l’article 132, paragraphe 3, du décret législatif n° 196/2003, tel qu’appliqué, semble ne prévoir qu’un contrôle relativement formel du juge si la peine maximale encourue atteint le seuil de trois ans : le juge ne pourrait guère refuser d’autoriser l’accès. L’avocat général souligne qu’il appartenait à la juridiction italienne de vérifier si, en réalité, le juge dispose d’une marge d’appréciation suffisante pour évaluer la proportionnalité au cas par cas.
L’avocat général propose à la Cour de répondre que l’article 15, paragraphe 1, de la directive 2002/58 et les articles 7, 8, 11 et 52 de la Charte ne s’opposent pas à ce qu’un État membre fixe un seuil légal (par exemple trois ans de peine maximale) pour définir la “criminalité grave” justifiant l’accès aux données de trafic, pourvu :
1) qu’un contrôle préalable effectif soit exercé par une juridiction ou une autorité indépendante ;
2) que cette autorité (ici, le juge) puisse vérifier concrètement la proportionnalité dans l’espèce et s’assurer que l’accès aux données demeure nécessaire et adapté à la gravité réelle des faits.
Autrement dit, le système italien n’est pas de plein droit contraire au droit de l’Union. Il doit toutefois permettre un contrôle juridictionnel individuel.
MOTIVATION DE LA COUR
La Cour reprend, dans son dispositif et ses motifs essentiels, l’analyse qui figure dans les conclusions de l’avocat général, et valide l’idée selon laquelle l’article 15, paragraphe 1, de la directive 2002/58 n’impose pas une liste uniforme d’infractions pénales graves, et admet que chaque État membre puisse fixer le seuil pertinent, ici la peine maximale de trois ans; l’ingérence doit rester « grave » et, dès lors, être réservée à la poursuite d’infractions pénales suffisamment sérieuses, sous un contrôle juridictionnel préalable qui apprécie concrètement la proportionnalité.
1. Compétence des États membres pour définir la gravité de l’infraction
La Cour réaffirme que, sous réserve du respect du principe de proportionnalité et du contenu essentiel des droits fondamentaux, il revient aux États membres de définir ce qui constitue une infraction pénale grave.
2. Critère d’une peine maximale d’au moins trois ans
La Cour note que ce critère n’est pas excessivement bas et peut être justifié. Il n’évacue pas la nécessité d’un examen individuel.
3. Nécessité d’un “contrôle préalable” effectif
La Cour insiste, comme l’avocat général, sur l’obligation d’un contrôle ex ante par une autorité judiciaire ou indépendante, qui doit s’assurer, au vu des circonstances particulières, qu’il s’agit bien d’une infraction justifiant une telle intrusion dans la vie privée et que la demande est proportionnée.
La Cour retient que l’article 15, paragraphe 1, de la directive 2002/58 ne s’oppose pas à la loi italienne, à condition que le juge puisse, dans chaque cas, procéder à l’examen de la proportionnalité et refuser l’accès s’il estime que l’atteinte portée aux droits fondamentaux n’est pas justifiée par les faits.
PRECEDENTS JURISPRUDENTIELS D’INTERET
Pour replacer cette affaire dans la jurisprudence plus large de la CJUE, on poura se référer aux décisions suivantes:
– Digital Rights Ireland (arrêt du 8 avril 2014, C-293/12 et C-594/12) ;
– Tele2 Sverige & Watson (arrêts du 21 décembre 2016, C-203/15 et C-698/15) ;
– Ministerio Fiscal (arrêt du 2 octobre 2018, C-207/16) ;
– La Quadrature du Net (arrêts du 6 octobre 2020, C-511/18, C-512/18 et C-520/18) ;
– Prokuratuur (arrêt du 2 mars 2021, C-746/18) ;
– Commissioner of An Garda Síochána (arrêt du 5 avril 2022, C-140/20) ;
– Ligue des droits humains (C-817/19, arrêt du 21 juin 2022), sur l’interprétation stricte du champ d’application et de la proportionnalité des mesures d’accès aux données PNR.
Dans toutes ces décisions, la Cour a systématiquement mis l’accent sur la distinction entre “criminalité ordinaire” et “criminalité grave”, seule cette dernière justifiant des ingérences sérieuses ; l’obligation d’un contrôle par un juge ou une autorité indépendante avant l’accès aux données ; et la stricte proportionnalité de l’ingérence au regard de l’objectif poursuivi.