Précisions sur l’accès aux données de trafic et de localisation lors d’une procédure pénale

Dans un arrêt du 2 mars 2021, la Cour de justice de l’UE apporte des précisions importantes en matière de conservation des données de trafic et de localisation par les fournisseurs de services de communications électroniques, ainsi que de leur accès par les autorités nationales à des fins de lutte contre la criminalité, dans le cadre d’une instruction pénale. Elle se prononce sur la portée de l’article 15, § 1 de la directive « vie privée et communications électroniques », qui permet aux États membres de limiter la portée des droits des personnes sous réserve que la mesure soit « nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques ». Dans cet arrêt, elle juge donc que la directive, lue à la lumière de la Charte, s’oppose à une réglementation nationale permettant l’accès des autorités publiques à des données relatives au trafic ou à des données de localisation, susceptibles de fournir des informations sur les communications effectuées par un utilisateur d’un moyen de communication électronique ou sur la localisation des équipements terminaux qu’il utilise et de permettre de tirer des conclusions précises sur sa vie privée, à des fins de prévention, de recherche, de détection et de poursuite d’infractions pénales, sans que cet accès soit limité à des procédures visant à la lutte contre la criminalité grave ou à la prévention de menaces graves contre la sécurité publique. Selon la Cour, la durée de la période pour laquelle l’accès à ces données est sollicité et la quantité ou la nature des données disponibles pour une telle période n’ont pas d’incidence à cet égard. A cet effet, la Cour précise qu’en vertu de cette directive, des mesures législatives ne peuvent imposer aux fournisseurs de services de communications électroniques, à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation. En conséquence, seuls les objectifs de lutte contre la criminalité grave ou de prévention de menaces graves pour la sécurité publique sont de nature à justifier l’accès des autorités publiques à un ensemble de données relatives au trafic ou de données de localisation, de nature à tirer des conclusions précises sur la vie privée des personnes concernées, sans que d’autres facteurs tenant à la proportionnalité d’une demande d’accès, tels que la durée de la période pour laquelle l’accès est sollicité à de telles données, puissent avoir pour effet que l’objectif de prévention, de recherche, de détection et de poursuite d’infractions pénales en général soit susceptible de justifier un tel accès. Par ailleurs, la Cour a considéré que cette même directive s’oppose à une réglementation nationale donnant compétence au ministère public pour autoriser l’accès d’une autorité publique aux données relatives au trafic et aux données de localisation afin de mener une instruction pénale. Pour satisfaire à l’exigence de proportionnalité, une telle réglementation devrait prévoir des règles claires et précises sur la portée et l’application de la mesure en cause et imposant des exigences minimales. Ainsi les personnes concernées pourraient isposer de garanties suffisantes permettant de protéger efficacement ces données contre les risques d’abus.