Texte
La Cour de justice et la protection des données personnelles
Progressivement, la Cour de justice apporte des lumières sur la protection des données personnelles et la Cour de justice est fréquemment amenée à arbitrer en des droits fondamentaux qu’il s’agisse des rapports entre la liberté d’entreprendre et la protection de la propriété intellectuelle, la liberté d’information et la même protection ou encore qu’il s’agisse de définir les limites d’une surveillance généralisée au regard de la vie privée. Au delà des cas d’espèce, la Cour construit progressivement une vision de ce que peut être l’essence d’un droit laquelle est intangible selon l’article 52, paragraphe 1, de la Charte des droits fondamentaux de l’Union et établit ainsi une hiérarchisation des droits fondamentaux en fonction des intérêts qu’il protègent.
Dans l’affaire C-314/12[1], la société UPC était un fournisseur qui donnait accès à un site internet lequel permettait à ces utilisateurs de visionner ou de télécharger illégalement des oeuvres protégées par un droit voisin du droit d’auteur. Elle avait fait l’objet d’une injonction lui enjoignant des bloquer l’accès au site internet concerné. La question était celle de la compatibilité de l’injonction avec la liberté d’entreprendre étant entendu que les moyens de mise en œuvre de celle-ci n’étaient pas précisés et que le fournisseur pouvait échapper aux sanctions pour violation de l’injonction en établissant qu’il avait pris toutes les mesures raisonnables. La Cour renvoie la question de l’arbitrage entre deux droits protégés par la Charte (liberté d’entreprendre et protection de la propriété intellectuelle) aux autorités nationales dès lors qu’elles ont correctement transposé les directives applicables, mais elles trace des lignes directrices pour les aider dans cette tâche. Tout d’abord une telle injonction a certes des conséquences sur la liberté d’entreprendre puisqu’elle impose au fournisseur de prendre des mesures coûteuses et techniquement complexe, mais elle ne porte pas atteinte à l’essence même du droit dans la mesure où elle laisse la liberté de choisir les solutions les plus adaptées et lui permet de s’exempter de sa responsabilité s’il établit le caractère raisonnable de celles-ci. Mais les mesures doivent être ciblées de telle sorte qu’elles n’empêchent pas l’accès licite des internautes à un site et ces derniers doivent disposer d’une voie de recours judiciaire pour faire valoir leurs droits si tel était le cas. Quant au fait que les mesures raisonnables pourraient être contournées ce qui constituerait une atteinte à la propriété intellectuelle, la Cour précise que le droit à la propriété intellectuelle n’est pas intangible et n’implique que l’accès aux films protégé soit absolument impossible. Il s’agit donc d’un équilibre raisonnable entre deux droits qui ne sont pas absolus. Comme l’indique la Cour : « … bien que les mesures prises en exécution d’une injonction … ne soient pas susceptibles d’aboutir, le cas échéant, à un arrêt total des atteintes portées au droit de propriété intellectuelle, elles ne sauraient être considérées pour autant comme incompatibles avec l’exigence d’un juste équilibre à trouver, conformément à l’article 52, paragraphe 1, in fine, de la Charte, entre tous les droits fondamentaux applicables, à condition cependant que, d’une part, elles ne privent pas inutilement les utilisateurs d’Internet de la possibilité d’accéder de façon licite aux informations disponibles et, d’autre part, qu’elles aient pour effet d’empêcher ou, au moins, de rendre difficilement réalisables les consultations non autorisées des objets protégés … »[2]. Dans cette affaire, la Cour adopte une démarche réaliste qui concilie les intérêts en présence en tenant compte des réalités techniques et économiques.
L’affaire Google qui porte notamment sur le droit à l’oubli a eu les honneurs de la presse. Un particulier peut-il obtenir la suppression d’une information, légalement publiée il y a 16 ans, relative à la mise en vente d’une de ses propriétés pour le non-paiement de ses cotisations sociales. Pour l’autorité espagnole de protection des données, l’information avait été publiée dans un quotidien espagnol à la demande des autorités, raison pour laquelle elle devait demeurer sur le site du journal. Par contre, l’autorité demandait à Google de supprimer le lien avec le journal. En effet, comme le constate la Cour, l’existence d’un lien sur Google donne à une information une portée universelle. En obtenant toutes les informations sur une personne par un recherche sur son nom, il est donné naissance à une ingérence considérable dans la vie privée « dès lors que ledit traitement permet à tout internaute d’obtenir par la liste de résultats un aperçu structuré des informations relatives à cette personne trouvables sur Internet, qui touchent potentiellement à une multitude d’aspects de sa vie privée et qui, sans ledit moteur de recherche, n’auraient pas ou seulement que très difficilement pu être interconnectées, et ainsi d’établir un profil plus ou moins détaillé de celle-ci. En outre, l’effet de l’ingérence dans lesdits droits de la personne concernée se trouve démultiplié en raison du rôle important que jouent Internet et les moteurs de recherche dans la société moderne, lesquels confèrent aux informations contenues dans une telle liste de résultats un caractère ubiquitaire »[3]. Dans ces conditions, l’intérêt économique de l’activité de Google ne peut prévaloir sur la protection de la vie privée. Par contre, il doit être établi un équilibre entre cette dernière et le droit à l’information qui comporte la liberté de recevoir ou de communiquer des informations. Certes la Cour ne fait pas une référence explicite à ce droit, mais elle utilise la notion d’intérêt du public à disposer d’une information. L’intéressé peut obtenir la suppression d’informations relatives à sa vie privée, même lorsqu’elles restent disponibles sur le site d’origine, dès lors qu’elles paraissent au regard du traitement effectué par Google « inadéquates, qu’elles ne sont pas ou plus pertinentes ou sont excessives au regard de ces finalités et du temps qui s’est écoulé »[4]. Ce droit ne présuppose pas en tant que tel l’existence d’un préjudice. L’équilibre est réalisé au détriment de la liberté d’entreprendre. En ce qui concerne la liberté d’information, il convient de concilier le respect de la vie privée avec l’intérêt du public ce qui peut impliquer le maintien d’une information dans des cas spécifiques, notamment lorsque la personne concernée a ou a eu une activité publique. Cet équilibre entre les libertés est à la charge du responsable du traitement. Google a immédiatement donné suite à l’arrêt de la Cour en mettant en ligne les informations qui permettent d’obtenir la suppression de l’indexation d’une information. L’arrêt de la Cour marque l’importance fondamentale que celle-ci attribue à la vie privée et à la protection des données personnelles. Il se situe dans la ligne de sa jurisprudence antérieure, notamment Volker Markus Schecke[5].
Cette importance est magnifiée par l’arrêt Digital Rights Ireland and Seitlinger and others[6]. Cet arrêt revêt une importance fondamentale parce qu’il traite de la question dite des big data, c’est-à-dire du recueil et de la conservation de toutes les données relatives aux communications téléphoniques ou électroniques, question politique sensible après la révélation des activités de la NSA. Cette importance est confirmée par le fait que l’annulation de la directive 2006/24 sur la conservation des données est prononcée sans que la Cour n’accepte de maintenir les effets du texte annulé ce qui crée une situation délicate pour les Etats membres[7]. Il est rare que la Cour annule une législation de l’Union sur des motifs substantiels et il est encore plus rare qu’elle refuse d’en maintenir les effets. La directive avait été rendue dans un contexte particulier marqué par les attentats de Londres et de Madrid. L’arrêt est rendu dans un contexte tout aussi particulier, non seulement en raison des révélations sur la NSA mentionnées plus haut, mais parce que les textes de transposition avaient fait l’objet de jugements défavorables devant la Cour constitutionnelle allemande, la Cour administrative de Bulgarie, le Conseil constitutionnel de Roumanie et la Cour suprême de Chypre. Ces juridictions avaient d’ailleurs évité de mettre en cause la directive elle-même, limitant leur examen aux législations nationales. Plusieurs procédures d’infraction étaient en cours et l’une d’entre elles avait d’ailleurs aboutit à la condamnation de la Suède[8].
Le cœur du raisonnement de la Cour porte sur le régime des limitations aux droits garantis par la Charte. Le fait que la directive instituait une ingérence dans la vie privée n’était guère contestable et le problème était de savoir si cette limitation était justifiée. Il est intéressant de noter que, dans la mesure où le droit concerné, la protection de la vie privée, était identique à un droit protégé par la Convention européenne, l’examen de la limitation aurait dû se faire par rapport à l’article 8 de la Convention. Or il n’en est rien. Sans ignorer la jurisprudence de Strasbourg[9], la Cour se réfère exclusivement à l’article 52 de la Charte. La première limite posée par l’article 52 est celle de la protection du contenu « essentiel » du droit. Pour la Cour la directive respecterait cette prescription parce que le contrôle ne porte que sur l’existence des communications, la date, le lieu de celle-ci ainsi que l’identité des interlocuteurs, mais il n’est pas pris connaissance de leur contenu et l’accès aux données est entouré de garanties. Dès lors que la restriction poursuit un but légitime, la lutte contre la criminalité grave, elle ne peut être légitime, conformément à l’article 52 que si elle respecte le principe de proportionnalité. Le contrôle exercé par la Cour est un contrôle strict compte tenu copte tenu de l’importance attachée au respect de la vie privée, ce qui implique que pour d’autres droits le contrôle ne devrait pas nécessairement revêtir le même caractère. Si la conservation des données peut paraître nécessaire au regard de l’objectif poursuivi, le régime institué par la directive va, selon la Cour, au delà de ce qui est nécessaire. Sont contestées l’ampleur de la collecte sans distinction par rapport au caractère de gravité des infractions, le fait qu’il s’agit d’une conservation généralisée sur tout le territoire et pour toutes les communications même en dehors de toute suspicion de l’existence d’une infraction, l’absence de garanties procédurales quant à l’utilisation des données, la durée de la période de conservation, l’absence de mesures relatives à la protection des données conservées et leur protection contre tout usage illicite, le fait de ne pas imposer que les données soient conservées sur le territoire de l’Union[10]. Toutes ces raisons conduisent la Cour à constater une violation du principe de proportionnalité.
L’analyse en elle-même est classique, mais elle suscite plusieurs remarques. Telle qu’elle était conçue, la directive confiait aux Etats membres le soin de prendre les mesures évoquées dans l’arrêt de la Cour. Cette démarche n’étant pas acceptée par le juge, il en résulte que tout acte de l’Union qui limite un droit garanti par la Charte doit contenir les garanties exigées par l’article 52. Aussi, bien que l’Union ne dispose pas d’une compétence générale pour adopter des mesures relatives au droits fondamentaux, elle se trouve dans l’obligation de le faire dès leur que le texte en cause touche à ceux-ci. Il s’agit d’une compétence impliquée de l’Union. De plus, en explicitant en l’espèce les violations du principe de proportionnalité la Cour crée un cadre juridique qui s’impose au législateur. L’arrêt contient en fait le contenu de la directive qui viendra remplacer le texte annulé. La Cour légifère donc indirectement. Sur un plan pratique, la logique du système en place est condamnée. Elle consistait à retenir toutes les données, mais à n’en permettre l’accès qu’en cas de suspicion d’infractions. Désormais, la conservation ne pourra avoir lieu qu’après l’existence d’une suspicion ce qui limite considérablement l’intérêt du système puisque, dans ce cas, le régime des écoutes judiciaires peut être utilisé.
L’annulation posera également un problème pour les Etats membres. Les législations adoptées sur la base de la directive annulée peuvent-elles subsister alors qu’elles sont contraires à la directive 95/46 sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel à laquelle le texte annulé dérogeait ? Maintenir le régime de conservation pourrait être jugé contraire à l’article 13.1 de la directive de 1995 qui autorise des dérogations pour la lutte contre le crime, mais dans le respect des principes généraux du droit et de l’article 6 TUE[11]. Si la directive « rétention » violait les droits fondamentaux, il semble bien que les mesures nationales d’application les violent aussi et, en application de la jurisprudence ERT[12], sont contraires au droit de l’Union. On est donc en présence d’un risque de fragilisation des poursuites engagées sur la base de preuves obtenues au moyen de la rétention des données et l’adoption d’une nouvelle directive s’impose d’urgence[13].
Toutes ces affaires illustrent la place prise par la Charte des droits fondamentaux dans le droit de l’Union et dans la jurisprudence de la Cour. Par sa démarche casuistique, la Cour précise progressivement la portée de la Charte, mais surtout indique les équilibres à établir en cas de conflits entre droits fondamentaux et dans l’analyse des restrictions. Tous les droits fondamentaux ne le sont pas également et la protection de la vie privée se situe parmi les droits qui font l’objet du contrôle le plus strict. Ce faisant, la Cour rejoint la position de la Cour européenne des droits de l’homme et prouve, avant même l’adhésion, son attachement aux valeurs communes.
Jean Paul Jacqué
[1] UPC Kabel Wien GmbH, C-314/12, arrêt du 27 mars 2014
[2] point 63
[3] Point 80
[4] Point 83
[5] Arrêt du 9 novembre 2010, C-92 et 93/09
[6] Arrêt du 8 avril 2014, C-293 et 594/12
[7] Voir les premiers commentaires de l’arrêt : A. Spina, Risk Regulation of Big Data : Has the Time Arrived for a Paradigm Shift in EU Data Protection Law, European Journal of Risk Regulation, 2014, p. 138, M.L. Basilien-Gainche, Une prohibition européenne claire de la surveillance électronique de masse, La Revue des droits de l’homme, revue en ligne, mai 2014, H. Labayle, La Cour de justice et la protection des données : quand le juge européen prend ses responsabilités, ELS, en ligne, 8 avril 2014 ; Steve Peers, Data Retention : A Landmark Court of Justice’s Ruling, EU Analysis Blog,en ligne, 8 avril 2004
[8] Commission/Suéde, C-270/11, arrêt du 30 mai 2013
[9] Il semble d’ailleurs que la Cour devienne de plus en plus parcimonieuse dans ses références à la jurisprudence de Strasbourg. Alors qu’avant l’entrée en vigueur du traité de Lisbonne, celles-ci étaient exhaustives, elle se limite aujourd’hui à l’indispensable
[10] Allusion sans doute à l’accord PNR
[11] Voir aussi l’article 15.1 de la directive 2002/58
[12] Arrêt du 18 juin 1991, affaire C-260/91
[13] Il sera intéressant de voir quelle sera la base juridique choisie. La Cour avait validé la base juridique « marché intérieur » pour la directive dans son arrêt du Irlande c. Parlement et Conseil, C-301/06, mais les analyses menées dans la présente affaire semblent montrer que le point d’équilibre de la directive se situe plutôt du côté de l’espace de liberté, de sécurité et de justice, ce qui poserait alors le problème des opt out britanniques, irlandais et danois
Derniers commentaires
🎁 SUPER PRIZE ➡️ https://www.evernote.com/shard/s680/sh/b1323103-eb69-bc13-8137-c65e5ebccb4f/89989659d0af6bff4791297bf1cd6364
Jean Paul Jacqué est un excellent praticien. A suivre
http://lionelscotto.bravesites.com/blog
Un grand merci, Monsieur le Professeur, pour les deux analyses lucides et stimulantes, et en pleine connaissance de cause, de l'avis 2/13.
Excellent commentaire. Invite à une réflexion approfondie de la place et de l'impact d'une telle position de la CJUE sur la société européenne et sur l’État de droit lui-même.