Actualité 
Le texte invalidé par la CJUE encadrait, au niveau européen, la collecte des données privées des utilisateurs d’Internet et du téléphone par les opérateurs de télécommunications, afin de permettre aux autorités nationales des Etats membres d’utiliser ces données pour lutter contre la criminalité organisée et le terrorisme.
Selon la directive, les fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communication devaient conserver :
- les données relatives au trafic ;
- les données de localisation ;
- les données connexes nécessaires pour identifier l’abonné ou l’utilisateur.
En revanche, elle interdisait de conserver le contenu de la communication et des informations consultées.
Ainsi, précise la Cour dans son arrêt, l’accès à ces données permet de connaître :
- les personnes et les moyens par lesquels un abonné ou un utilisateur inscrit a communiqué ;
- le temps et le lieu d’origine de la communication ;
- la fréquence des communications de l’abonné ou de l’utilisateur inscrit avec certaines personnes pendant une période donnée.
Par conséquent, elles peuvent donner des indications très précises sur “les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales et les milieux sociaux fréquentés” .
Tout en affirmant que la conservation de données qu’impose la directive n’est pas “de nature à porter atteinte au contenu essentiel des droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel” , et tout en reconnaissant qu’elle permet de lutter contre la criminalité grave afin de garantir la sécurité publique, l’arrêt remet en cause le caractère disproportionné de ce qu’impose et permet la directive, par rapport à l’objectif visé. Rien ne garantit, selon la Cour, que “l’ingérence vaste et particulièrement grave de cette directive dans les droits fondamentaux” soit “effectivement limitée au strict nécessaire” .
Tout d’abord, “la directive couvre de manière généralisée l’ensemble des individus, des moyens de communication électronique et des données relatives au trafic sans qu’aucune différenciation, limitation ou exception soit opérée en fonction de l’objectif de lutte contre les infractions graves” .
Ensuite, elle ne définit pas les critères objectifs qui permettent aux autorités nationales compétentes de n’avoir accès et de n’utiliser ces données que pour prévenir, détecter ou poursuivre pénalement des infractions suffisamment graves.
Enfin, elle ne précise pas les critères qui doivent déterminer la durée de conservation de ces données par les fournisseurs de services (entre 6 et 24 mois), et ne fait pas de “distinction entre les catégories de données en fonction des personnes concernées ou de l’utilité éventuelle des données par rapport à l’objectif poursuivi” .
Par ailleurs, la Cour souligne que la directive ne prévoit pas non plus “de garanties suffisantes permettant d’assurer une protection efficace des données contre les risques d’abus ainsi que contre l’accès et l’utilisation illicites des données” .
L’arrêt oblige la Commission européenne à proposer une modification de la directive en cause. Don son côté, le Parlement européen a adopté en mars 2014 deux textes visant à une réforme globale de la protection des données en Europe, réforme jusqu’alors bloquée par le Conseil.
Revue de presse 
Infographies 
Podcasts 
Cartes et comparatifs 
Questions-Réponses 
Synthèse