CJUE 4 octobre 2024 | Bezirkshauptmannschaft Landeck | C‑548/21
Dans cette affaire, la CJUE a été saisie par le tribunal administratif régional du Tyrol (Autriche) de questions préjudicielles concernant l’accès des autorités de police aux données stockées dans un téléphone portable saisi dans le cadre d’une enquête pénale.
Un colis contenant 85 grammes de cannabis adressé à C.G. a été intercepté par les douanes. La police a perquisitionné le domicile de C.G. et a saisi son téléphone portable. C.G. ayant refusé de donner le code d’accès de son téléphone, la police a remis par la suite le téléphone à ses services techniques aux fins d’exploitation qui ont tenté sans succès de le déverrouiller et d’accéder à son contenu. Ces tentatives ont été effectuées sans autorisation préalable d’un juge ou du parquet et C.G. n’a pas été informé de ces tentatives d’accès aux données de son téléphone. L’appareil a donc été restitué à C.G. sans que son contenu n’ait pu être exploité.
C.G. a contesté la légalité de la saisie et de la tentative d’accès aux données devant le tribunal administratif régional du Tyrol qui a saisi la CJUE de questions préjudicielles portant sur la compatibilité de certaines mesures nationales avec les exigences du droit de l’Union en matière de protection des données personnelles et de garanties procédurales, concernant notamment: l’accès des autorités publiques aux données stockées dans les téléphones portables, la nécessité d’une autorisation judiciaire ou d’une autorité indépendante pour cet accès, et l’obligation d’informer la personne concernée de l’accès à ses données.
SYNTHESE DES QUESTIONS PREJUDICIELLES
1. L’accès aux données d’un téléphone portable constitue-t-il une ingérence si grave dans les droits fondamentaux qu’il devrait être limité à la lutte contre la criminalité grave ?
2. Le droit de l’UE s’oppose-t-il à une réglementation nationale permettant aux autorités de police d’accéder de leur propre initiative aux données d’un téléphone portable sans autorisation judiciaire préalable ?
3. Le droit à un recours effectif s’oppose-t-il à une réglementation nationale permettant l’exploitation des données d’un téléphone portable sans que la personne concernée n’en soit informée ?
Les principaux points sous-jacents à ces questions préjudicielles étaient les suivants:
– Trouver le juste équilibre entre les besoins de l’enquête pénale et la protection des droits fondamentaux : l’accès aux données d’un téléphone portable constitue, en effet, une ingérence importante dans la vie privée, notamment protégée par les articles 7 et 8 de la Charte des droits fondamentaux de l’UE mais il demeure que ces données peuvent être cruciales pour les enquêtes pénales, notamment dans la lutte contre la criminalité organisée.
– Déterminer le cadre juridique applicable : la directive 2002/58/CE sur la vie privée et les communications électroniques ne semble pas s’appliquer directement au cas d’espèce; la directive Police Justice (UE) 2016/680 relative à la protection des données dans le domaine pénal paraît plus pertinente, mais son application soulève plusieurs questions d’interprétation.
– Définir les conditions d’accès aux données des téléphones portables : Faut-il limiter cet accès uniquement aux cas de criminalité grave ? Une autorisation préalable d’un juge ou d’une autorité indépendante est-elle nécessaire ? Quelles garanties procédurales doivent être mises en place ? Les autorités ont rencontré des obstacles techniques pour déverrouiller le téléphone, ce qui soulève la question de la légitimité et de la proportionnalité des moyens employés pour contourner les mesures de sécurité des appareils
MOTIVATION DE LA CJUE
La Cour a d’abord dû déterminer le cadre juridique applicable; bien que la juridiction de renvoi ait initialement invoqué la directive 2002/58/CE (“directive vie privée et communications électroniques”), la CJUE a estimé que la directive (UE) 2016/680 relative à la protection des données dans le domaine pénal était plus pertinente en l’espèce. En effet, la directive 2002/58/CE concerne principalement les obligations imposées aux fournisseurs de services de communications électroniques, alors que dans cette affaire, c’est la police elle-même qui tente d’accéder directement aux données stockées localement dans un appareil.
Sur la gravité de l’ingérence et la limitation aux infractions graves Concernant la première question, la Cour a considéré que :
— Le traitement de données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales constitue en principe une ingérence dans les droits fondamentaux protégés par les articles 7 et 8 de la Charte des droits fondamentaux de l’UE.
— L’ampleur de cette ingérence dépend de la nature des données concernées et de l’étendue de l’accès demandé. L’accès au contenu intégral d’un téléphone portable peut révéler des aspects très intimes de la vie privée, ce qui implique une ingérence particulièrement grave.
— Cependant, contrairement à la jurisprudence relative à la directive 2002/58/CE, la directive 2016/680 ne limite pas expressément son champ d’application aux seules infractions graves. Le principe de proportionnalité exige néanmoins que plus l’ingérence dans la vie privée est importante, plus la mesure d’enquête doit être sérieusement justifiée.
La Cour a donc conclu que la directive 2016/680 n’impose pas en soi que l’accès aux données d’un téléphone portable soit limité à la lutte contre la criminalité grave. Toutefois, le principe de proportionnalité requiert une évaluation au cas par cas, tenant compte de la gravité de l’infraction poursuivie et de l’ampleur de l’ingérence dans la vie privée.
Sur la nécessité d’une autorisation préalable Concernant la deuxième question, la Cour a jugé que :
— La directive 2016/680 exige que le traitement des données soit “nécessaire à l’exécution d’une mission effectuée par une autorité compétente” et “fondé sur le droit de l’Union ou le droit d’un État membre” (article 8).
— Lorsqu’une mesure intrusive permet de dresser un profil détaillé de la personne, un contrôle préalable exercé par une entité indépendante (judiciaire ou administrative) est indispensable.
— Ce contrôle préalable constitue une garantie essentielle contre les abus, même si la directive 2016/680 ne le prévoit pas explicitement de la même manière que la directive 2002/58/CE.
La Cour a donc considéré que le droit de l’UE s’oppose en principe à une réglementation nationale permettant aux autorités de police d’accéder de leur propre initiative aux données d’un téléphone portable sans autorisation préalable d’une autorité indépendante, en particulier lorsque cet accès est susceptible de révéler des informations sensibles sur la vie privée.
Sur le droit à l’information et au recours effectif Concernant la troisième question, la Cour a estimé que :
— Le droit à un recours effectif, garanti par l’article 47 de la Charte, implique que la personne concernée puisse contester efficacement la légalité de la mesure d’enquête.
— L’absence totale d’information, y compris a posteriori, priverait la personne de la possibilité de contester la mesure et serait contraire à l’essence de l’article 47 de la Charte.
— Si des garanties d’enquête peuvent justifier une discrétion au stade initial, le principe de proportionnalité exige qu’à un moment donné, la personne en cause puisse exercer un recours.
La Cour a donc jugé que le droit de l’UE s’oppose à une réglementation nationale permettant l’exploitation des données d’un téléphone portable sans que la personne concernée n’en soit jamais informée, car cela priverait cette dernière de son droit à un recours effectif.
En conclusion, la CJUE a estimé que l’accès aux données d’un téléphone portable dans le cadre d’une enquête pénale doit respecter le principe de proportionnalité, en tenant compte de la gravité de l’infraction et de l’ampleur de l’ingérence dans la vie privée. Un tel accès doit en principe être soumis à un contrôle préalable par une autorité indépendante, en particulier lorsqu’il est susceptible de révéler des informations sensibles. La personne concernée doit être informée de l’accès à ses données, au moins a posteriori, afin de pouvoir exercer son droit à un recours effectif.
Cet arrêt de la CJUE, dans ses problématiques, n’est pas isolé et vient dans le prolongement d’une jurisprudence que la Cour a élaborée depuis plusieurs années.
I. Jurisprudence relative à l’accès aux données de communication
Arrêt Tele2 Sverige et Watson (C-203/15 et C-698/15, ECLI:EU:C:2016:970)
La Cour a jugé que l’accès des autorités nationales aux données conservées doit être limité aux fins de lutte contre la criminalité grave, être soumis à un contrôle préalable par une juridiction ou une autorité administrative indépendante, et que les personnes concernées doivent être informées dès que cette information n’est plus susceptible de compromettre les enquêtes. Bien que cet arrêt concerne la directive 2002/58/CE, les principes énoncés sont pertinents pour l’interprétation de la directive 2016/680, notamment en ce qui concerne la nécessité d’un contrôle préalable et le droit à l’information.
Arrêt Ministerio Fiscal (C-207/16, ECLI:EU:C:2018:788)
La Cour a précisé que l’accès des autorités publiques à des données permettant d’identifier les titulaires de cartes SIM activées avec un téléphone mobile volé ne constitue pas une ingérence grave dans les droits fondamentaux. Par conséquent, cet accès peut être justifié par l’objectif de prévention, de recherche, de détection et de poursuite d’infractions pénales en général, sans être limité à la lutte contre la criminalité grave. Cette décision est pertinente pour l’affaire C-548/21 car elle établit une distinction entre les différents types de données et l’ampleur de l’ingérence qu’implique leur accès.
II. Jurisprudence relative au contrôle préalable et à l’information des personnes concernées
Arrêt Prokuratuur (C-746/18, ECLI:EU:C:2021:152)
La Cour a jugé que l’accès des autorités publiques aux données relatives au trafic et aux données de localisation doit être soumis à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante. Elle a précisé que le ministère public ne peut pas être considéré comme suffisamment indépendant pour effectuer ce contrôle. Cette décision renforce l’exigence d’un contrôle préalable indépendant, même dans le contexte de la directive 2016/680.
Arrêt Quadrature du Net e.a. (C-511/18, C-512/18 et C-520/18, ECLI:EU:C:2020:791)
La Cour a confirmé que l’information des personnes dont les données ont fait l’objet d’un accès par les autorités publiques n’est requise que lorsque cette information ne risque plus de compromettre les enquêtes. Cette décision est pertinente pour l’interprétation de l’obligation d’information dans le cadre de la directive 2016/680.
Arrêt du 6 octobre 2020, Privacy International, C-623/17 (ECLI:EU:C:2020:790) Date de publication : 6 octobre 2020 Journal officiel : JO C 402 du 30 novembre 2020, p. 4.
S’agissant initialement d’obligations imposées aux fournisseurs, la Cour a toutefois rappelé dans cette affaire les principes essentiels : la collecte doit être limitée au strict nécessaire et faire l’objet de contrôles. Même si l’arrêt visait la directive 2002/58, la CJUE y a souligné l’obligation d’un contrôle indépendant avant l’accès aux données, soit de type juridictionnel, soit émanant d’une autorité administrative indépendante.