This document is an excerpt from the EUR-Lex website
Document 62021CJ0350
Judgment of the Court (Sixth Chamber) of 17 November 2022.#Proceedings brought by Spetsializirana prokuratura.#Request for a preliminary ruling from the Spetsializiran nakazatelen sad.#Reference for a preliminary ruling – Processing of personal data in the electronic communication sector – Confidentiality of communications – Providers of electronic communications services – General and indiscriminate retention of traffic and location data for a period of six months – Combatting serious crime – Access to the retained data – Informing data subjects – Right to bring an action – Directive 2002/58/EC – Article 15(1) and (2) – Directive (EU) 2016/680 – Articles 13 and 54 – Charter of Fundamental Rights of the European Union – Articles 7, 8, 11 and 47 and Article 52(1).#Case C-350/21.
Rozsudek Soudního dvora (šestého senátu) ze dne 17. listopadu 2022.
Řízení zahájené Spetsializirana prokuratura.
Žádost o rozhodnutí o předběžné otázce podaná Spetsializiran nakazatelen sad.
Řízení o předběžné otázce – Zpracování osobních údajů v odvětví elektronických komunikací – Důvěrnost elektronické komunikace – Poskytovatelé služeb elektronických komunikací – Plošné a nerozlišující uchovávání provozních a lokalizačních údajů po dobu šesti měsíců – Boj proti závažné trestné činnosti – Přístup k uchovávaným údajům – Informování subjektů údajů – Právo na podání žaloby – Směrnice 2002/58/ES – Článek 15 odst. 1 a 2 – Směrnice (EU) 2016/680 – Články 13 a 54 – Listina základních práv Evropské unie – Články 7, 8, 11 a 47, jakož i čl. 52 odst. 1.
Věc C-350/21.
Rozsudek Soudního dvora (šestého senátu) ze dne 17. listopadu 2022.
Řízení zahájené Spetsializirana prokuratura.
Žádost o rozhodnutí o předběžné otázce podaná Spetsializiran nakazatelen sad.
Řízení o předběžné otázce – Zpracování osobních údajů v odvětví elektronických komunikací – Důvěrnost elektronické komunikace – Poskytovatelé služeb elektronických komunikací – Plošné a nerozlišující uchovávání provozních a lokalizačních údajů po dobu šesti měsíců – Boj proti závažné trestné činnosti – Přístup k uchovávaným údajům – Informování subjektů údajů – Právo na podání žaloby – Směrnice 2002/58/ES – Článek 15 odst. 1 a 2 – Směrnice (EU) 2016/680 – Články 13 a 54 – Listina základních práv Evropské unie – Články 7, 8, 11 a 47, jakož i čl. 52 odst. 1.
Věc C-350/21.
ECLI identifier: ECLI:EU:C:2022:896
ARRÊT DE LA COUR (sixième chambre)
17 novembre 2022 (*)
« Renvoi préjudiciel – Traitement des données à caractère personnel dans le secteur des communications électroniques – Confidentialité des communications – Fournisseurs de services de communications électroniques – Conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation pendant une période de six mois – Lutte contre la criminalité grave – Accès aux données conservées – Information des personnes concernées – Droit de recours – Directive 2002/58/CE – Article 15, paragraphes 1 et 2 – Directive (UE) 2016/680 – Articles 13 et 54 – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8, 11 et 47 ainsi que article 52, paragraphe 1 »
Dans l’affaire C‑350/21,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Spetsializiran nakazatelen sad (tribunal pénal spécialisé, Bulgarie), par décision du 3 juin 2021, parvenue à la Cour le 4 juin 2021, dans la procédure pénale engagée par
Spetsializirana prokuratura,
LA COUR (sixième chambre),
composée de M. P. G. Xuereb (rapporteur), président de chambre, M. A. Kumin et Mme I. Ziemele, juges,
avocat général : M. M. Campos Sánchez-Bordona,
greffier : M. A. Calot Escobar,
vu la procédure écrite,
considérant les observations présentées :
– pour le gouvernement danois, par Mmes V. Pasternak Jørgensen et M. Søndahl Wolff, en qualité d’agents,
– pour le gouvernement estonien, par Mme M. Kriisa, en qualité d’agent,
– pour le gouvernement irlandais, par Mme M. Browne, MM. D. Fennelly, A. Joyce et Mme M. Lane, en qualité d’agents,
– pour le gouvernement espagnol, par M. L. Aguilera Ruiz, en qualité d’agent,
– pour le gouvernement chypriote, par Mme I. Neophytou, en qualité d’agent,
– pour le gouvernement hongrois, par M. M. Z. Fehér et Mme R. Kissné Berta, en qualité d’agents,
– pour le gouvernement polonais, par M. B. Majczyna, en qualité d’agent,
– pour la Commission européenne, par Mme C. Georgieva, MM. H. Kranenborg, P.-J. Loewenthal et F. Wilman, en qualité d’agents,
vu la décision prise, l’avocat général entendu, de juger l’affaire sans conclusions,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009 (JO 2009, L 337, p. 11) (ci-après la « directive 2002/58 »), ainsi que des articles 13 et 54 de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO 2016, L 119 p. 89).
2 Cette demande a été présentée dans le cadre d’une procédure pénale engagée par la Spetsializirana prokuratura (parquet spécialisé, Bulgarie) aux fins de l’accès aux données relatives aux communications par téléphone passées par cinq personnes.
Le cadre juridique
Le droit de l’Union
La directive 2002/58
3 Le considérant 11 de la directive 2002/58 énonce :
« À l’instar de la directive 95/46/CE [du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31)], la présente directive ne traite pas des questions de protection des droits et libertés fondamentaux liées à des activités qui ne sont pas régies par le droit communautaire. Elle ne modifie donc pas l’équilibre existant entre le droit des personnes à une vie privée et la possibilité dont disposent les États membres de prendre des mesures telles que celles visées à l’article 15, paragraphe 1, de la présente directive, nécessaires pour la protection de la sécurité publique, de la défense, de la sûreté de l’État (y compris la prospérité économique de l’État lorsqu’il s’agit d’activités liées à la sûreté de l’État) et de l’application du droit pénal. Par conséquent, la présente directive ne porte pas atteinte à la faculté des États membres de procéder aux interceptions légales des communications électroniques ou d’arrêter d’autres mesures si cela s’avère nécessaire pour atteindre l’un quelconque des buts précités, dans le respect de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, telle qu’interprétée par la Cour européenne des droits de l’homme dans ses arrêts. Lesdites mesures doivent être appropriées, rigoureusement proportionnées au but poursuivi et nécessaires dans une société démocratique. Elles devraient également être subordonnées à des garanties appropriées, dans le respect de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. »
4 L’article 4, paragraphes 1 et 1 bis, de la directive 2002/58, intitulé « Sécurité du traitement », dispose :
« 1. Le fournisseur d’un service de communications électroniques accessible au public prend les mesures d’ordre technique et organisationnel appropriées afin de garantir la sécurité de ses services, le cas échéant conjointement avec le fournisseur du réseau public de communications en ce qui concerne la sécurité du réseau. Compte tenu des possibilités techniques les plus récentes et du coût de leur mise en œuvre, ces mesures garantissent un degré de sécurité adapté au risque existant.
1 bis. Sans préjudice des dispositions de la directive [95/46], les mesures visées au paragraphe 1, pour le moins :
– garantissent que seules des personnes autorisées peuvent avoir accès aux données à caractère personnel à des fins légalement autorisées,
– protègent les données à caractère personnel stockées ou transmises contre la destruction accidentelle ou illicite, la perte ou l’altération accidentelles et le stockage, le traitement, l’accès et la divulgation non autorisés ou illicites, et
– assurent la mise en œuvre d’une politique de sécurité relative au traitement des données à caractère personnel.
Les autorités nationales compétentes en la matière sont habilitées à vérifier les mesures prises par les fournisseurs de services de communications électroniques accessibles au public, ainsi qu’à émettre des recommandations sur les meilleures pratiques concernant le degré de sécurité que ces mesures devraient atteindre. »
5 L’article 5 de la directive 2002/58, intitulé « Confidentialité des communications », prévoit, à son paragraphe 1 :
« Les États membres garantissent, par la législation nationale, la confidentialité des communications effectuées au moyen d’un réseau public de communications et de services de communications électroniques accessibles au public, ainsi que la confidentialité des données relatives au trafic y afférentes. En particulier, ils interdisent à toute autre personne que les utilisateurs d’écouter, d’intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d’interception ou de surveillance, sans le consentement des utilisateurs concernés sauf lorsque cette personne y est légalement autorisée, conformément à l’article 15, paragraphe 1. Le présent paragraphe n’empêche pas le stockage technique nécessaire à l’acheminement d’une communication, sans préjudice du principe de confidentialité. »
6 L’article 15 de cette directive, intitulé « Application de certaines dispositions de la directive [95/46] », énonce, à ses paragraphes 1 et 2 :
« 1. Les États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l’article 8, paragraphes 1, 2, 3 et 4, et à l’article 9 de la présente directive lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la directive [95/46]. À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe. Toutes les mesures visées dans le présent paragraphe sont prises dans le respect des principes généraux du droit [de l’Union], y compris ceux visés à l’article 6, paragraphes 1 et 2, du traité sur l’Union européenne.
[...]
2. Les dispositions du chapitre III de la directive [95/46] relatif aux recours juridictionnels, à la responsabilité et aux sanctions sont applicables aux dispositions nationales adoptées en application de la présente directive ainsi qu’aux droits individuels résultant de la présente directive. »
La directive 95/46
7 La directive 95/46 a été abrogée, avec effet au 25 mai 2018, par le règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 (JO 2016, L 119, p. 1). L’article 3, paragraphe 2, de la directive 95/46 disposait :
« La présente directive ne s’applique pas au traitement de données à caractère personnel :
– mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal,
[...] »
8 L’article 22 de la directive 95/46, figurant au chapitre III de celle-ci, intitulé « Recours juridictionnels, responsabilité et sanctions », était libellé comme suit :
« Sans préjudice du recours administratif qui peut être organisé, notamment devant l’autorité de contrôle visée à l’article 28, antérieurement à la saisine de l’autorité judiciaire, les États membres prévoient que toute personne dispose d’un recours juridictionnel en cas de violation des droits qui lui sont garantis par les dispositions nationales applicables au traitement en question. »
Le règlement 2016/679
9 Conformément à son article 1er, paragraphe 1, le règlement 2016/679 « établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données ».
10 Aux termes de son article 2, paragraphe 2, sous d), ce règlement ne s’applique pas au traitement de données à caractère personnel effectué par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales. Toutefois, il ressort de l’article 23, paragraphe 1, sous d) et h), dudit règlement que les traitements de données à caractère personnel effectués à ces mêmes fins par des particuliers relèvent du champ d’application de celui-ci.
11 L’article 79 de ce règlement, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », est ainsi libellé :
« 1. Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement.
2. Toute action contre un responsable du traitement ou un sous-traitant est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement. Une telle action peut aussi être intentée devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le sous-traitant est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique. »
La directive 2016/680
12 Aux termes de son article 1er, paragraphe 1, la directive 2016/680 « établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ».
13 Selon son article 2, paragraphe 1, cette directive s’applique au traitement de données à caractère personnel effectué par les autorités compétentes aux fins énoncées à son article 1er, paragraphe 1, la notion d’« autorité compétente » couvrant, ainsi que le prévoit l’article 3, point 7, sous a), de ladite directive, notamment, « toute autorité publique compétente pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ».
14 L’article 13 de la directive 2016/680, intitulé « Informations à mettre à la disposition de la personne concernée ou à lui fournir », dispose :
« 1. Les États membres prévoient que le responsable du traitement met à la disposition de la personne concernée au moins les informations suivantes :
a) l’identité et les coordonnées du responsable du traitement ;
b) le cas échéant, les coordonnées du délégué à la protection des données ;
c) les finalités du traitement auquel sont destinées les données à caractère personnel ;
d) le droit d’introduire une réclamation auprès d’une autorité de contrôle et les coordonnées de ladite autorité ;
e) l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, leur rectification ou leur effacement, et la limitation du traitement des données à caractère personnel relatives à une personne concernée.
2. En plus des informations visées au paragraphe 1, les États membres prévoient, par la loi, que le responsable du traitement fournit à la personne concernée, dans des cas particuliers, les informations additionnelles suivantes afin de lui permettre d’exercer ses droits :
a) la base juridique du traitement,
b) la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
c) le cas échéant, les catégories de destinataires des données à caractère personnel, y compris dans les pays tiers ou au sein d’organisations internationales ;
d) au besoin, des informations complémentaires, en particulier lorsque les données à caractère personnel sont collectées à l’insu de la personne concernée.
3. Les États membres peuvent adopter des mesures législatives visant à retarder ou limiter la fourniture des informations à la personne concernée en application du paragraphe 2, ou à ne pas fournir ces informations, dès lors et aussi longtemps qu’une mesure de cette nature constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée pour :
a) éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires ;
b) éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales ;
c) protéger la sécurité publique ;
d) protéger la sécurité nationale ;
e) protéger les droits et libertés d’autrui.
4. Les États membres peuvent adopter des mesures législatives afin de déterminer des catégories de traitements susceptibles de relever, dans leur intégralité ou en partie, d’un quelconque des points énumérés au paragraphe 3. »
15 L’article 54 de cette directive, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », prévoit :
« Les États membres prévoient que, sans préjudice de tout recours administratif ou extrajudiciaire qui leur est ouvert, notamment le droit d’introduire une réclamation auprès d’une autorité de contrôle en vertu de l’article 52, une personne concernée a droit à un recours juridictionnel effectif lorsqu’elle considère que ses droits prévus dans les dispositions adoptées en vertu de la présente directive ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation desdites dispositions. »
Le droit bulgare
Le ZES
16 Une loi adoptée au cours de l’année 2010 a inséré dans le Zakon za elektronnite saobshteniya (loi sur les communications électroniques, DV no 41, du 22 mai 2007, ci après le « ZES ») les articles 250a à 251a, en transposant dans l’ordre juridique bulgare la directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE (JO 2006, L 105, p. 54). Les articles 250a à 251a du ZES prévoyaient une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation pour une période de douze mois aux fins de la lutte contre la criminalité grave ainsi que des délits informatiques et aux fins de la recherche de personnes.
17 Par arrêt du 8 avril 2014, Digital Rights Ireland e.a. (C‑293/12 et C‑594/12, EU:C:2014:238), la Cour a déclaré invalide la directive 2006/24.
18 Par son arrêt no 2/15, le Konstitutsionen sad (Cour constitutionnelle, Bulgarie) a déclaré inconstitutionnelles les dispositions du ZES issues de la loi adoptée au cours de l’année 2010 au motif, d’une part, qu’elles prévoyaient une conservation des données en cause aux fins de la lutte contre des délits ne revêtant pas une nature grave et aux fins de la recherche de personnes et, d’autre part, que la période de conservation était excessive. Le Konstitutsionen sad (Cour constitutionnelle) a néanmoins jugé que la Constitution bulgare ne s’opposait pas, en principe, à une conservation généralisée et indifférenciée des données aux fins de la lutte contre la criminalité grave, à condition que la période de conservation ne soit pas excessive, ce qui lui paraissait être le cas en ce qui concerne une période de six mois. Plus particulièrement, tout en reconnaissant qu’une telle conservation généralisée et indifférenciée visait toutes les personnes et non pas seulement des suspects ou des auteurs d’infractions graves, cette juridiction a considéré qu’il n’y avait pratiquement aucun autre moyen qui permettait d’obtenir des renseignements suffisants aux fins de la lutte contre la criminalité grave, en ce qui concerne la période précédant l’acte pénalement répréhensible.
19 À la suite de cet arrêt, une loi adoptée au cours de l’année 2015 a inséré dans le ZES les articles 251b et suivants, applicables à la procédure au principal.
20 L’article 251b, paragraphe 1, du ZES dispose :
« Les entreprises fournissant des réseaux et/ou des services publics de communications électroniques conservent pendant 6 mois les données générées ou traitées dans le cadre de leur activité et nécessaires pour :
1. suivre et identifier la source d’une communication ;
2. identifier la destination d’une communication ;
3. identifier la date, l’heure et la durée de la communication ;
4. identifier la nature de la communication ;
5. identifier la nature du terminal de communication électronique de l’utilisateur ou de ce qui apparaît être son terminal de communication ;
6. établir les identifiants des cellules [de téléphonie] utilisées. »
21 Conformément à l’article 251b, paragraphe 2, du ZES, les données sont conservées à des fins diverses, y compris pour les besoins de prévention, de détection et d’enquête concernant les infractions graves.
22 Selon l’article 251c, paragraphe 8, du ZES, les données peuvent être fournies aux autorités chargées de la phase préliminaire de la procédure pénale en application du Nakazatelno-protsesualen kodeks (code de procédure pénale, ci-après le « NPK »).
23 Conformément à l’article 251d, paragraphe 7, du ZES, les autorisations ou les refus d’accès aux données sont inscrits dans des registres spécifiques au sein des juridictions qui ont ordonné ces autorisations ou ces refus. L’accès à ceux-ci n’est pas public. Si ce relevé est établi dans le cadre d’une procédure pénale, il fait partie du dossier de celle-ci et chaque partie à la procédure y a accès.
24 Selon l’article 251g, paragraphe 1, du ZES, à l’issue de la période de six mois et en l’absence de demande d’accès, les données sont détruites. Un procès-verbal est établi et transmis à la Komisiata za zashtita na litshni danni (commission pour la protection des données à caractère personnel, Bulgarie) (ci-après la « CPDP »), laquelle, conformément à l’article 261a du ZES, exerce une surveillance concernant la conservation des données en cause, garantissant en particulier la protection et la sécurité de ces données.
25 Aux termes de l’article 261b du ZES, un tel contrôle est également effectué par une commission du Narodno sabranie na Republika Bulgaria (Assemblée nationale de la République de Bulgarie).
Le code de procédure pénale
26 L’article 159a du NPK, intitulé « Fourniture de données par des entreprises fournissant des réseaux et/ou des services publics de communications électroniques », prévoit :
« (1) Lorsque le tribunal le requiert au cours de l’instance pénale ou en vertu d’une ordonnance motivée du juge du tribunal de première instance compétent, rendue à la demande du procureur chargé de l’enquête lors de la phase préliminaire de la procédure, les entreprises opérateurs de réseaux et/ou services publics de communications électroniques transmettent les données générées au cours de l’exercice de leur activité et qui sont nécessaires pour :
1. suivre et identifier la source de la connexion ;
2. identifier le tournant de la connexion ;
3. identifier la date, l’heure et la durée de la connexion ;
4. identifier le type de connexion ;
5. identifier la nature du terminal de communication électronique de l’utilisateur ou de ce qui apparaît être son terminal de communication ;
6. constater l’identificateur des cellules de données utilisées.
(2) Les données visées au paragraphe 1 sont collectées si cela est nécessaire pour les enquêtes concernant les infractions graves commises intentionnellement.
(3) La demande, visée au paragraphe 1, que présente le procureur chargé de l’enquête doit être motivée et doit impérativement comporter :
1. des informations sur l’infraction dont la poursuite nécessite l’utilisation des données relatives au trafic ;
2. un exposé des faits sur lesquels la demande se fonde ;
3. des informations sur les personnes au sujet desquelles des données relatives au trafic sont demandées ;
4. l’intervalle de temps raisonnable que doit couvrir le relevé ;
5. le service d’enquête auquel les données doivent être transmises.
(4) Dans la décision visée au paragraphe 1, le tribunal indique :
1. les données qui doivent figurer dans le relevé ;
2. l’intervalle de temps raisonnable que doit couvrir le relevé ;
3. le service d’enquête auquel les données doivent être transmises.
(5) L’intervalle de temps pour lequel la transmission de données peut être demandée et ordonnée conformément au paragraphe 1 ne peut excéder six mois.
(6) Lorsque le rapport contient des informations qui ne sont pas liées aux circonstances de l’affaire et qui ne contribuent pas à leur clarification, le juge qui a délivré la décision d’enquête doit ordonner leur destruction sur proposition écrite motivée du procureur chargé de la surveillance. La destruction sera effectuée selon une procédure établie par le procureur en chef. Dans un délai de sept jours à compter de la réception de l’ordonnance, les entreprises visées au paragraphe 1 et le procureur chargé de la surveillance doivent remettre au juge qui l’a délivrée les rapports de destruction des données. »
Le code pénal
27 Conformément à l’article 11, paragraphe 2, du Nakazatelen kodeks (code pénal), sont commises de manière intentionnelle les infractions pour lesquelles l’auteur a eu conscience du caractère socialement dangereux de l’acte, en prévoyait les conséquences pour la société et a voulu ou permis leur réalisation.
28 Aux termes de l’article 93, point 7, du code pénal, une infraction grave est une infraction pour laquelle est prévue une peine de « privation de liberté » de plus de 5 ans ou une peine d’emprisonnement « à perpétuité ».
La procédure au principal et les questions préjudicielles
29 Le parquet spécialisé a demandé au Spetsializiran nakazatelen sad (tribunal pénal spécialisé, Bulgarie), la juridiction de renvoi, d’adopter, sur le fondement de l’article 159a du NPK, une ordonnance lui donnant accès aux données relatives au trafic et aux données de localisation concernant les appels par téléphones mobiles de cinq personnes impliquées, selon lui, dans une activité criminelle de distribution de cigarettes sans timbres fiscaux. Le parquet spécialisé a précisé que les données auxquelles il souhaitait avoir accès seraient utilisées aux fins de poursuites pénales contre lesdites personnes.
30 La juridiction de renvoi relève qu’elle a constaté, après examen des pièces du dossier, que les cinq personnes visées par la demande du parquet spécialisé étaient susceptibles d’être impliquées dans l’activité criminelle en cause, que cette activité constituait une infraction grave commise intentionnellement et que des éléments du dossier mettaient en évidence que les numéros de téléphone mentionnés dans cette demande avaient pu être utilisés lors de l’exercice de cette activité. Partant, conformément au droit national, ladite demande devrait être accueillie.
31 Toutefois, la juridiction de renvoi s’interroge sur la conformité avec le droit de l’Union d’une décision qui ferait droit à la demande du parquet spécialisé.
32 En effet, d’une part, la Cour aurait déjà jugé qu’une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, aux fins de la lutte contre la criminalité grave, n’est pas compatible avec le droit de l’Union.
33 Cependant, d’autre part, le Konstitutsionen sad (Cour constitutionnelle) aurait, explicitement dans son arrêt no 2/15 puis implicitement dans son arrêt no 15 du 17 novembre 2020, jugé que la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, telle que prévue par la réglementation bulgare en cause au principal, est conforme à la Constitution bulgare, et ce sur la base d’arguments qui n’auraient pas encore été examinés par la Cour. En outre, cette réglementation contiendrait des garanties supplémentaires constituant, le cas échéant, un facteur d’équilibre effectif et susceptibles de justifier une telle conservation généralisée des données. Ces garanties n’auraient pas non plus encore été examinées par la Cour.
34 Ainsi, premièrement, la réglementation nationale en cause au principal prévoirait que la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation est limitée à une période de six mois.
35 Deuxièmement, l’accès aux données ainsi conservées ne serait autorisé qu’aux fins des enquêtes concernant une infraction grave commise intentionnellement, c’est-à-dire une infraction punie d’une peine de privation de liberté supérieure à cinq ans et qui a été commise de manière intentionnelle.
36 Troisièmement, bien que, selon la juridiction de renvoi, la réglementation nationale en cause au principal ne soit pas conforme, à certains égards, aux exigences du droit de l’Union relatives à la conservation et à l’utilisation des données relatives au trafic et des données de localisation, elle satisferait néanmoins à ces exigences à d’autres égards et offrirait même un niveau de protection plus élevé. En effet, la conservation généralisée et indifférenciée des données prévue par cette réglementation nationale ainsi que l’accès à ces données seraient fondés sur des règles claires et précises. Un accès généralisé à toutes les données conservées serait exclu et l’accès à de telles données ne serait prévu qu’à l’égard de personnes soupçonnées d’avoir commis une infraction pénale. L’accès se ferait à la suite d’un contrôle juridictionnel préalable fondé sur une demande motivée émanant des autorités pénales. Enfin, la réglementation nationale en cause au principal prévoirait que les fournisseurs de services de communications électroniques doivent prendre les mesures techniques et organisationnelles appropriées pour exclure tout abus ou accès illégal aux données conservées, et ces mesures seraient renforcées par l’intervention de la CPDP et de la commission compétente de l’Assemblée nationale.
37 La juridiction de renvoi relève en outre que, contrairement à ce que le droit de l’Union prescrit, la réglementation nationale en cause au principal ne contient pas de règle explicite destinée à assurer que l’accès aux données conservées est limité au strict nécessaire au regard de l’objectif poursuivi. Toutefois, la jurisprudence bulgare exigerait qu’un tel accès ne soit octroyé que s’il existe des soupçons raisonnables que la personne concernée ait participé à une activité criminelle. En outre, la réglementation nationale en cause au principal subordonnerait l’autorisation d’un tel accès à la condition que celui-ci ne concerne qu’un intervalle de temps raisonnable ne dépassant pas six mois.
38 Ainsi, la question se poserait de savoir si ces exigences sont suffisantes pour considérer que cette réglementation garantit que l’accès est limité au « strict nécessaire ».
39 Enfin, la juridiction de renvoi fait observer que, conformément à ce qu’exige la jurisprudence de la Cour, le droit des États membres doit établir des exigences minimales afin que les personnes dont les données à caractère personnel sont conservées disposent d’une protection efficace contre les abus et les utilisations illicites de ces données. Or, la réglementation nationale en cause au principal ne prévoirait ni le droit pour les personnes intéressées d’être informées du fait que l’accès aux données relatives au trafic et aux données de localisation les concernant a été autorisé ni le droit de contester la légalité d’une telle autorisation. La juridiction de renvoi se demande néanmoins si l’exigence posée par la jurisprudence de la Cour s’applique également dans le cas où l’autorisation n’est octroyée par un juge que sur simple demande du ministère public, et en l’absence de toute implication de la personne concernée.
40 Dans ces conditions, le Spetsializiran nakazatelen sad (tribunal pénal spécialisé) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« (1) Une loi nationale (l’article 251b, paragraphe 1, du [ZES]) prévoyant la conservation généralisée et indifférenciée de toutes les données relatives au trafic (données relatives au trafic et à la localisation des utilisateurs de moyens de communications électroniques) pendant six mois, afin de lutter contre les formes graves de criminalité, est-elle conforme aux dispositions combinées de l’article 15, paragraphe 1, de l’article 5, paragraphe 1, et du considérant 11 de la directive [2002/58], dès lors que la loi nationale prévoit certaines garanties ?
(2) Une loi nationale (l’article 159a du [NPK]) qui ne restreint pas l’accès aux données relatives au trafic aux seuls cas dans lesquels celui-ci est strictement nécessaire et qui ne prévoit pas à l’égard des personnes dont les données relatives au trafic ont été consultées par les autorités chargées de la procédure pénale, le droit d’en être informées lorsque cette information ne fait pas obstacle à la procédure pénale, ou ne prévoit pas, à leur profit, de voie de recours à l’encontre d’un accès illégal, est-elle conforme aux dispositions combinées de l’article 15, paragraphe 1, de l’article 5, paragraphe 1, et du considérant 11 de la directive 2002/58 ? »
41 Par lettre du 5 août 2022, le Sofiyski gradski sad (tribunal de la ville de Sofia, Bulgarie) a informé la Cour que, à la suite d’une modification législative entrée en vigueur le 27 juillet 2022, le Spetsializiran nakazatelen sad (tribunal pénal spécialisé) a été dissous et que certaines affaires pénales portées devant cette dernière juridiction, y compris l’affaire au principal, ont été transférées à compter de cette date au Sofiyski gradski sad (tribunal de la ville de Sofia).
Sur les questions préjudicielles
Observations liminaires
42 En premier lieu, il est constant que, avant même l’introduction de la présente demande de décision préjudicielle, la Cour a déjà jugé, notamment dans son arrêt du 6 octobre 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, points 141 et 168), que le droit de l’Union, et plus particulièrement l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »), s’oppose à des mesures législatives prévoyant, à titre préventif, aux fins de la lutte contre la criminalité grave, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation.
43 À la suite d’un examen détaillé des différents intérêts légitimes et droits en cause, cette jurisprudence a été confirmée par l’arrêt du 5 avril 2022, Commissioner of An Garda Síochána e.a. (C‑140/20, EU:C:2022:258). En particulier, la Cour a examiné et rejeté, aux points 68 à 101 dudit arrêt, l’argument selon lequel seule une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation permettrait de lutter, de manière effective, contre la criminalité grave.
44 Ce constat ne saurait être remis en cause par les arguments avancés dans la présente procédure devant la Cour, selon lesquels, d’une part, la conservation généralisée serait, en vertu du règlement 2016/679, admise et autorisée dans plusieurs secteurs, tels que la surveillance par caméras, et, d’autre part, la possibilité de procéder à une conservation ciblée, telle que préconisée dans la jurisprudence de la Cour, présupposerait qu’il soit possible d’effectuer une sélection parmi les délinquants potentiels ou parmi les victimes potentielles, portant ainsi atteinte à la présomption d’innocence et méconnaissant, en ce qui concerne les victimes potentielles, le principe d’égalité de traitement.
45 En effet, le fait qu’une conservation de données à caractère personnel au moyen d’une surveillance par caméras puisse être conforme au droit de l’Union n’a pas d’incidence sur le constat selon lequel une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation ne l’est pas, compte tenu des différences de nature et d’étendue entre ces deux formes de surveillance.
46 En outre, il y a lieu de rappeler que la Cour a souligné, aux points 78 et 101 de l’arrêt du 5 avril 2022, Commissioner of An Garda Síochána e.a. (C‑140/20, EU:C:2022:258), que, pour être conforme au droit de l’Union, une conservation ciblée en fonction de catégories de personnes doit être fondée sur des « éléments objectifs et non-discriminatoires », de sorte qu’elle ne saurait, par nature, présenter un caractère discriminatoire à l’égard des personnes qu’elle concerne. De même, cette conservation ciblée ne saurait porter atteinte à la présomption d’innocence, étant donné qu’elle ne constitue qu’un instrument d’enquête dont disposent les autorités compétentes aux fins d’établir si une infraction au droit pénal a été commise.
47 En second lieu, la Cour a déjà jugé que, lorsque des données relatives au trafic et des données de localisation ont exceptionnellement été conservées de manière généralisée et indifférenciée à des fins de sauvegarde de la sécurité nationale contre une menace qui s’avère réelle et actuelle ou prévisible, les autorités nationales compétentes en matière d’enquêtes pénales ne sauraient accéder auxdites données dans le cadre de poursuites pénales, sous peine de priver de tout effet utile l’interdiction de procéder à une telle conservation aux fins de la lutte contre la criminalité grave (arrêt du 5 avril 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, point 100).
Sur la première question
48 Par sa première question, la juridiction de renvoi demande, en substance, si l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale prévoyant, à titre préventif, aux fins de la lutte contre la criminalité grave, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation dans le cas où, d’une part, ladite réglementation limite cette conservation généralisée et indifférenciée à une période de six mois et où, d’autre part, elle prévoit un certain nombre de garanties en matière de conservation et d’accès aux données en cause.
49 S’agissant, en premier lieu, de l’existence d’une limitation de la période de conservation, il ressort de la jurisprudence de la Cour que la conservation des données relatives au trafic ou des données de localisation, susceptibles de fournir des informations sur les communications effectuées par un utilisateur d’un moyen de communication électronique ou sur la localisation des équipements terminaux qu’il utilise, présente en tout état de cause un caractère grave indépendamment de la durée de la période de conservation, de la quantité ou de la nature des données conservées, lorsque ledit ensemble de données est susceptible de permettre de tirer des conclusions très précises concernant la vie privée de la ou des personnes concernées (arrêt du 20 septembre 2022, SpaceNet et Telekom Deutschland, C‑793/19 et C‑794/19, EU:C:2022:702, point 88).
50 À cet égard, même la conservation d’une quantité limitée de données relatives au trafic ou de données de localisation ou la conservation de ces données sur une courte période sont susceptibles de fournir des informations très précises sur la vie privée d’un utilisateur d’un moyen de communication électronique. En outre, la quantité des données disponibles et les informations très précises sur la vie privée de la personne concernée en découlant ne peuvent être appréciées qu’après la consultation desdites données. Or, l’ingérence résultant de la conservation desdites données intervient nécessairement avant que les données et les informations en découlant puissent être consultées. Ainsi, l’appréciation de la gravité de l’ingérence que constitue la conservation s’effectue nécessairement en fonction du risque généralement afférent à la catégorie de données conservées pour la vie privée des personnes concernées, sans qu’il importe, par ailleurs, de savoir si les informations relatives à la vie privée en découlant présentent ou non, concrètement, un caractère sensible (arrêt du 20 septembre 2022, SpaceNet et Telekom Deutschland, C‑793/19 et C‑794/19, EU:C:2022:702, point 89).
51 Ainsi, dans l’affaire ayant donné lieu à l’arrêt du 20 septembre 2022, C‑793/19 et C‑794/19 (SpaceNet, EU:C:2022:702), la Cour a jugé qu’un ensemble de données relatives au trafic et de données de localisation conservées pendant les périodes en cause dans cette affaire, à savoir respectivement dix semaines et quatre semaines, pouvait permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données sont conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci, et, ainsi, d’établir un profil desdites personnes (voir, en ce sens, arrêt du 20 septembre 2022, SpaceNet et Telekom Deutschland, C‑793/19 et C‑794/19, EU:C:2022:702, point 90).
52 Il en va a fortiori de même pour une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation pour une durée plus longue, telle une période de six mois en cause au principal.
53 En deuxième lieu, s’agissant de l’existence de garanties en matière de conservation et d’accès aux données en cause, la juridiction de renvoi relève, tout d’abord, que la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation prévue par la réglementation nationale en cause au principal est fondée sur des règles claires et précises régissant la portée et l’application de cette mesure.
54 Ensuite, la juridiction de renvoi fait observer que la réglementation nationale en cause au principal prévoit que les fournisseurs de services de communications électroniques doivent prendre les mesures techniques et organisationnelles appropriées pour exclure tout abus ou accès illégal aux données conservées.
55 Enfin, l’accès aux données conservées serait soumis à des règles claires et précises qui excluraient un accès généralisé à celles-ci.
56 Or, d’une part, la circonstance que la conservation des données relatives au trafic et des données de localisation prévue par la réglementation nationale en cause au principal est fondée sur des règles claires et précises régissant la portée et l’application de cette mesure ne modifie pas le constat selon lequel cette réglementation prévoit une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation.
57 D’autre part, la Cour a, certes, jugé que l’article 15, paragraphe 1, de la directive 2002/58 ne permet pas aux États membres de déroger à l’article 4, paragraphe 1, ainsi qu’à l’article 4, paragraphe 1 bis, de celle-ci, qui exigent que les fournisseurs de services de communications électroniques prennent les mesures d’ordre technique et organisationnel appropriées permettant d’assurer une protection efficace des données conservées contre les risques d’abus ainsi que contre tout accès illicite à ces données (arrêt du 21 décembre 2016, Tele2 Sverige et Watson e.a., C‑203/15 et C‑698/15, EU:C:2016:970 point 122).
58 Toutefois, la conservation des données et l’accès à celles-ci constituent des ingérences distinctes dans les droits fondamentaux garantis aux articles 7 et 11 de la Charte, nécessitant une justification distincte, au titre de l’article 52, paragraphe 1, de celle-ci. Il en découle que l’existence des obligations à la charge des fournisseurs de services de communications électroniques visant à assurer la sécurité et la protection des données conservées par ceux-ci ne saurait, à l’instar d’une législation nationale assurant le plein respect des conditions résultant de la jurisprudence ayant interprété la directive 2002/58 en matière d’accès aux données conservées, par nature, être susceptible ni de limiter ni même de remédier à l’ingérence grave, qui résulterait de la conservation généralisée de ces données prévue par cette législation nationale, dans les droits garantis aux articles 5 et 6 de cette directive ainsi que par les droits fondamentaux dont ces articles constituent la concrétisation (voir, par analogie, arrêt du 5 avril 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, point 47, et du 20 septembre 2022, SpaceNet et Telekom Deutschland, C‑793/19 et C‑794/19, EU:C:2022:702, point 91).
59 Il en va de même de la surveillance de cette conservation par des organes tels que la CPDP et la commission compétente de l’Assemblée nationale, auxquelles la juridiction de renvoi fait référence, étant donné que, si une telle surveillance est susceptible de réduire les risques d’une divulgation illégale des données conservées, elle n’est pas en mesure d’éliminer les risques, visés au point 50 du présent arrêt, qu’une telle conservation comporte.
60 Eu égard à l’ensemble des considérations qui précèdent, il convient de répondre à la première question préjudicielle que l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il s’oppose à une législation nationale prévoyant, à titre préventif, aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, même si ladite législation limite cette conservation généralisée et indifférenciée à une période de six mois et prévoit un certain nombre de garanties en matière de conservation et d’accès aux données en cause.
Sur la seconde question
61 Par sa seconde question, la juridiction demande, en substance, si l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il s’oppose à une législation nationale relative à la conservation de données à caractère personnel et à l’accès à ces données qui, d’une part, ne prévoit pas explicitement que l’accès aux données conservées est limité à ce qui est strictement nécessaire pour atteindre l’objectif poursuivi par cette conservation et, d’autre part, n’accorde pas aux personnes dont les données ont fait l’objet d’un tel accès le droit d’en être informées, y compris lorsque cette information ne fait pas obstacle à la procédure pénale, et de disposer d’une voie de recours à l’encontre d’un accès illégal.
62 D’emblée, il convient de rappeler qu’il est loisible aux États membres de prévoir dans leur législation qu’un accès à des données relatives au trafic et à des données de localisation peut avoir lieu à des fins de lutte contre la criminalité grave ou de sauvegarde de la sécurité nationale lorsque lesdites données sont conservées par un fournisseur d’une manière conforme aux articles 5, 6 et 9 ou encore à l’article 15, paragraphe 1, de la directive 2002/58 (voir, en ce sens, arrêt du 6 octobre 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 167).
Sur la première partie de la seconde question
63 S’agissant du point de savoir si la législation nationale concernée doit prévoir, de manière claire et précise, que l’accès aux données conservées est limité à ce qui est strictement nécessaire pour atteindre l’objectif poursuivi par cette conservation, il ressort de la jurisprudence que, pour satisfaire à l’exigence de proportionnalité, selon laquelle les dérogations à la protection des données à caractère personnel et les limitations de celle-ci doivent s’opérer dans les limites du strict nécessaire, il appartient aux autorités nationales compétentes d’assurer, dans chaque cas d’espèce, que tant la ou les catégories de données visées que la durée pour laquelle l’accès à celles-ci est sollicité soient, en fonction des circonstances de l’espèce, limitées à ce qui est strictement nécessaire aux fins de l’enquête en cause [arrêt du 2 mars 2021, Prokuratuur (Conditions d’accès aux données relatives aux communications électroniques), C‑746/18, EU:C:2021:152, point 38 et jurisprudence citée].
64 En outre, s’il appartient au droit national de déterminer les conditions dans lesquelles un tel accès doit être accordé, une législation nationale doit, pour satisfaire à l’exigence de proportionnalité, prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant des exigences minimales, de telle sorte que les personnes dont les données à caractère personnel sont concernées disposent de garanties suffisantes permettant de protéger efficacement ces données contre les risques d’abus. En particulier, une législation nationale régissant l’accès des autorités compétentes à des données relatives au trafic et à des données de localisation conservées, adoptée au titre de l’article 15, paragraphe 1, de la directive 2002/58, ne saurait se limiter à exiger que l’accès des autorités aux données réponde à la finalité poursuivie par cette législation, mais elle doit également prévoir les conditions matérielles et procédurales régissant cette utilisation (voir, en ce sens, arrêt du 5 avril 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, points 103 et 104 ainsi que jurisprudence citée).
65 Il s’ensuit qu’une législation nationale relative à la conservation de données à caractère personnel et à l’accès à ces données doit prévoir des dispositions faisant ressortir, de manière claire et précise, que l’accès aux données conservées doit être limité à ce qui est strictement nécessaire pour atteindre l’objectif poursuivi par cette conservation.
66 Il appartient à la juridiction de renvoi de vérifier si la législation nationale en cause au principal respecte cette exigence, en prenant en compte, notamment, le fait que cette législation semble se limiter, s’agissant de l’étendue de l’accès à octroyer, à exiger que celui-ci ne concerne qu’un intervalle de temps raisonnable ne dépassant pas six mois.
67 Au vu de ce qui précède, il y a lieu de répondre à la première partie de la deuxième question que l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il s’oppose à une législation nationale ne prévoyant pas, de manière claire et précise, que l’accès aux données conservées est limité à ce qui est strictement nécessaire pour atteindre l’objectif poursuivi par cette conservation.
Sur la seconde partie de la seconde question
68 S’agissant du point de savoir si la législation nationale concernée doit prévoir que les personnes dont les données ont fait l’objet d’un accès en soient informées lorsque cette information ne fait pas obstacle à la procédure pénale et disposent d’une voie de recours à l’encontre d’un accès illégal, il convient de relever que l’autorisation d’accès aux données relatives au trafic et aux données de localisation ayant fait l’objet d’une conservation, telle que celle prévue par la législation nationale en cause au principal, porte nécessairement sur deux types de traitement de données à caractère personnel, à savoir, d’une part, la mise à disposition de ces données par les fournisseurs de services de télécommunications ayant conservé lesdites données et, d’autre part, l’utilisation des données ainsi mises à disposition par les autorités nationales compétentes en matière d’enquêtes pénales.
69 Ce dernier traitement, qui est seul visé par la seconde question préjudicielle, relève du champ d’application de la directive 2016/680, ainsi qu’il ressort de l’article 1er, paragraphe 1, et de l’article 2, paragraphe 1, de cette directive. Il s’ensuit que, pour répondre à cet aspect de la seconde question, les dispositions pertinentes de ladite directive doivent être prises en compte.
70 S’agissant, premièrement, de la question relative au droit de la personne en cause d’être informée du traitement des données à caractère personnel la concernant par les autorités nationales compétentes en matière d’enquêtes pénales, la Cour a jugé, s’agissant d’une situation de fait antérieure à l’entrée en vigueur de la directive 2016/680, qu’il importe que les autorités nationales compétentes auxquelles l’accès aux données conservées a été accordé en informent les personnes concernées, dans le cadre des procédures nationales applicables, dès le moment où cette communication n’est pas susceptible de compromettre les enquêtes menées par ces autorités, dès lors que cette information est, de fait, nécessaire pour permettre à celles-ci d’exercer, notamment, le droit de recours, explicitement prévu à l’article 15, paragraphe 2, de la directive 2002/58, lu en combinaison avec l’article 22 de la directive 95/46, en cas de violation de leurs droits (voir, en ce sens, arrêt du 21 décembre 2016, Tele2 Sverige et Watson e.a., C‑203/15 et C‑698/15, EU:C:2016:970, point 121).
71 Or, cette obligation d’information de la personne concernée a été confirmée à l’article 13 de la directive 2016/680, dont il ressort que, si les États membres peuvent adopter des mesures législatives visant à retarder, à limiter ou même à supprimer la fourniture des informations à la personne concernée, pour autant qu’une telle mesure soit conforme aux exigences énoncées au paragraphe 3 de cet article, une réglementation nationale qui exclurait, de manière générale, tout droit à l’information ne serait pas conforme au droit de l’Union.
72 S’agissant, deuxièmement, de la question portant sur le droit de recours de la personne en cause, il convient de relever d’emblée qu’un tel droit est explicitement garanti à l’article 15, paragraphe 2, de la directive 2002/58, lu en combinaison avec l’article 79 du règlement 2016/679 (voir, par analogie, en ce qui concerne l’article 22 de la directive 95/46, arrêt du 21 décembre 2016, Tele2 Sverige et Watson e.a., C‑203/15 et C‑698/15, EU:C:2016:970, point 121 ; voir, en ce sens, arrêt du 6 octobre 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 190).
73 Pour ce qui est des traitements de données à caractère personnel relevant du champ d’application de la directive 2016/680, l’article 54 de celle-ci énonce qu’une personne a le droit à un recours juridictionnel effectif lorsqu’elle considère que ses droits prévus dans les dispositions adoptées en vertu de ladite directive ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation desdites dispositions.
74 À cet égard, il est de jurisprudence constante que, en l’absence de règles de l’Union en la matière, il appartient à l’ordre juridique interne de chaque État membre, en vertu du principe d’autonomie procédurale, de régler les modalités procédurales des recours en justice destinés à assurer la sauvegarde des droits que les justiciables tirent du droit de l’Union, à condition toutefois qu’elles ne soient pas moins favorables que celles régissant des situations similaires soumises au droit interne (principe d’équivalence) et qu’elles ne rendent pas impossible en pratique ou excessivement difficile l’exercice des droits conférés par le droit de l’Union (principe d’effectivité) [arrêts du 6 octobre 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 223 ainsi que jurisprudence citée, ainsi que du 2 mars 2021, Prokuratuur (Conditions d’accès aux données relatives aux communications électroniques), C‑746/18, EU:C:2021:152, point 42].
75 Or, dans le cas où l’accès aux données conservées requiert une autorisation délivrée par une juridiction nationale, le principe d’effectivité ne semble pas être respecté. En effet, contrairement à ce que le gouvernement chypriote a fait valoir dans ses observations écrites, une telle autorisation ne suffit pas, en tant que telle, à assurer la protection effective des personnes concernées contre les risques d’abus et d’accès illicite aux données qui les concernent lorsque, comme en l’occurrence, la réglementation nationale en cause prévoit que cette autorisation est octroyée sur le seul fondement d’une demande formée par les autorités nationales compétentes en matière d’enquêtes pénales, sans que les personnes concernées aient été entendues et, partant, sans que la juridiction compétente pour délivrer une telle autorisation ait été en mesure de prendre en compte les possibles objections de ces personnes.
76 Au vu de ce qui précède, il y a lieu de répondre à la seconde partie de la seconde question préjudicielle que l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte, ainsi que les articles 13 et 54 de la directive 2016/680 doivent être interprétés en ce sens qu’ils s’opposent à une législation nationale prévoyant l’accès, par les autorités nationales compétentes en matière d’enquêtes pénales, à des données relatives au trafic et à des données de localisation, conservées de manière licite, sans garantir que les personnes dont les données ont fait l’objet d’un accès par ces autorités nationales en soient informées dans la mesure prévue par le droit de l’Union et sans qu’elles disposent d’une voie de recours à l’encontre d’un accès illégal à ces données.
Sur les dépens
77 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (sixième chambre) dit pour droit :
1) L’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne,
doit être interprété en ce sens qu’il s’oppose :
– à une législation nationale prévoyant, à titre préventif, aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, même si ladite législation limite cette conservation généralisée et indifférenciée à une période de six mois et prévoit un certain nombre de garanties en matière de conservation et d’accès aux données en cause ;
– à une législation nationale ne prévoyant pas, de manière claire et précise, que l’accès aux données conservées est limité à ce qui est strictement nécessaire pour atteindre l’objectif poursuivi par cette conservation.
2) L’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux, ainsi que les articles 13 et 54 de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil,
doivent être interprétés en ce sens que :
ils s’opposent à une législation nationale prévoyant l’accès, par les autorités nationales compétentes en matière d’enquêtes pénales, à des données relatives au trafic et à des données de localisation, conservées de manière licite, sans garantir que les personnes dont les données ont fait l’objet d’un accès par ces autorités nationales en soient informées dans la mesure prévue par le droit de l’Union, et sans qu’elles disposent d’une voie de recours à l’encontre d’un accès illégal à ces données.
Signatures
* Langue de procédure : le bulgare.