EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62012CC0293

Conclusions de l'avocat général Cruz Villalón présentées le 12 décembre 2013.
Digital Rights Ireland Ltd (C-293/12) contre Minister for Communications, Marine and Natural Resources et autres et Kärntner Landesregierung (C-594/12) et autres.
Demandes de décision préjudicielle: High Court - Irlande, Verfassungsgerichtshof - Autriche.
Communications électroniques - Directive 2006/24/CE - Services de communications électroniques accessibles au public ou de réseaux publics de communications - Conservation de données générées ou traitées dans le cadre de la fourniture de tels services - Validité - Articles 7, 8 et 11 de la charte des droits fondamentaux de l’Union européenne.
Affaires jointes C-293/12 et C-594/12.

Digital reports (Court Reports - general)

ECLI identifier: ECLI:EU:C:2013:845

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. PEDRO CRUZ VILLALÓN

présentées le 12 décembre 2013 ( 1 )

Affaire C‑293/12

Digital Rights Ireland Ltd

contre

Minister for Communications, Marine and Natural Resources

Minister for Justice, Equality and Law Reform

Commissioner of the Garda Síochána

Irlande

et

The Attorney General

[demande de décision préjudicielle formée par la High Court of Ireland (Irlande)]

et

Affaire C‑594/12

Kärntner Landesregierung

Michael Seitlinger

et

Christof Tschohl

Andreas Krisch

Albert Steinhauser

Jana Herwig

Sigrid Maurer

Erich Schweighofer

Hannes Tretter

Scheucher Rechtsanwalt GmbH

Maria Wittmann-Tiwald

Philipp Schmuck

Stefan Prochaska

e.a.

[demande de décision préjudicielle formée par le Verfassungsgerichtshof (Autriche)]

«Communications électroniques — Directive 2006/24/CE — Conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques — Validité — Article 5, paragraphe 4, TUE — Proportionnalité de l’action de l’Union — Charte des droits fondamentaux — Article 7 — Respect de la vie privée — Article 8 — Protection des données à caractère personnel — Article 52, paragraphe 1 — Ingérence — Qualité de la loi — Proportionnalité des limites de l’exercice des droits fondamentaux»

1. 

La Cour est, dans les présentes affaires, saisie d’une double question préjudicielle en appréciation de validité de la directive 2006/24/CE ( 2 ) lui offrant l’opportunité de se prononcer sur les conditions dans lesquelles il est constitutionnellement possible pour l’Union européenne d’établir une limitation de l’exercice des droits fondamentaux au sens particulier de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne ( 3 ), au moyen d’une directive et de ses mesures nationales de transposition ( 4 ). La limitation en cause prend la forme d’une obligation imposant à des opérateurs économiques la collecte et la conservation, pendant un temps déterminé, d’un nombre considérable de données générées ou traitées dans le cadre des communications électroniques effectuées par les citoyens sur l’ensemble du territoire de l’Union, dans l’objectif de garantir la disponibilité desdites données aux fins de la recherche et des poursuites des activités criminelles graves et d’assurer le bon fonctionnement du marché intérieur. Je me propose d’apporter une réponse à cette interrogation articulée en trois parties.

2. 

Dans une première partie, j’aborderai la question de la proportionnalité de la directive 2006/24 au sens de l’article 5, paragraphe 4, TUE. Dans une deuxième partie, je vérifierai si la condition, prévue à l’article 52, paragraphe 1, de la Charte, selon laquelle toute limitation de l’exercice des droits fondamentaux doit être «prévue par la loi», peut être considérée comme remplie. Enfin, dans une troisième partie, j’examinerai si la directive 2006/24 respecte le principe de proportionnalité, au sens toujours de l’article 52, paragraphe 1, de la Charte.

3. 

Toutefois, avant d’entamer l’examen de ces trois problématiques, j’aborderai une série de trois questions qui me paraissent indispensables à la bonne compréhension des problèmes suscités par les questions préjudicielles en appréciation de validité posées par la High Court (Irlande) et le Verfassungsgerichtshof (Autriche).

I – Le cadre juridique

A – Le droit de l’Union

4.

Les principales dispositions du droit de l’Union pertinentes pour l’examen des questions préjudicielles posés à la Cour dans les présentes affaires sont, en dehors de celles de la directive 2006/24 dont la validité est mise en cause dans les deux affaires et de celles de la Charte, celles de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ( 5 ), et de la directive 2002/58/CE du Parlement européen et du Conseil, du12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) ( 6 ). Ces directives ainsi que leurs principales dispositions seront présentées dans le cours des développements qui suivent, au fur et à mesure des besoins de l’exposé.

B – Les droits nationaux

1. Le droit irlandais (affaire C‑293/12)

5.

L’article 29, paragraphe 4, point 6, de la Constitution de l’Irlande prévoit qu’aucune disposition de la Constitution n’invalide les lois, actes ou mesures adoptés par l’État que requièrent les obligations découlant de l’appartenance à l’Union européenne ou aux Communautés, ou n’empêche les lois, actes ou mesures adoptés par l’Union européenne ou les Communautés, leurs institutions ou les organes compétents en vertu des traités d’avoir force de loi.

6.

La septième partie de la loi de 2005 sur la justice pénale (infraction terroriste) [Criminal Justice (Terrorist Offences) Act 2005] ( 7 ), à présent abrogée, comportait des dispositions sur la conservation des données relatives aux communications téléphoniques. Elle imposait aux fournisseurs de services de communications téléphoniques de conserver les données de trafic et de localisation pour une période déterminée par la loi afin de prévenir et de détecter les infractions, enquêter sur celles-ci et les poursuivre et de garantir la sécurité de l’État. À ces fins, la loi de 2005 sur la justice pénale permettait aux autorités compétentes de l’État, notamment le Commissioner of the Garda Síochána, de demander la divulgation de ces données en suivant une procédure déterminée et établissait des garanties par une procédure de réclamation, présidée par une entité quasi juridictionnelle indépendante.

7.

La loi de 2011 sur les communications (conservation des données) [the Communications (Retention of Data) Act 2011], adoptée en vue de transposer la directive 2006/24, a abrogé la septième partie de la loi de 2005 sur la justice pénale et institué un nouveau régime de conservation des données.

2. Le droit autrichien (affaire C‑594/12)

8.

L’article 1er de la loi fédérale sur la protection des données à caractère personnel ( 8 ), qui a valeur constitutionnelle, prévoit un droit fondamental à la protection des données.

9.

La directive 2006/24 a été transposée en droit autrichien par une loi fédérale ( 9 ) introduisant un nouvel article 102 bis à la loi sur les télécommunications de 2003 ( 10 ), qui impose aux fournisseurs de services de communication accessibles au public la conservation des données qu’il énumère ( 11 ).

II – Les faits à l’origine des litiges au principal

A – L’affaire C‑293/12, Digital Rights Ireland

10.

La partie requérante au principal, Digital Rights Ireland Ltd ( 12 ), est une société à responsabilité limitée ayant pour objet statutaire la promotion et la protection des droits civiques et des droits de l’homme, en particulier dans l’univers des technologies de communication modernes.

11.

DRI, qui déclare être propriétaire d’un téléphone portable, enregistré le 3 juin 2006, qu’elle utilise depuis cette date, a introduit un recours dirigé contre deux ministres du gouvernement irlandais, The Minister for Communications, Marine and Natural Resources et The Minister for Justice, Equality and Law Reform, le chef de la police irlandaise (The Commissioner of the Garda Síochána), l’Irlande ainsi que l’Attorney General de l’État irlandais, dans le cadre duquel elle fait, en substance, valoir que les autorités irlandaises ont illégalement traité, conservé et contrôlé les données afférentes à ses communications.

12.

En conséquence, elle demande, d’une part, l’annulation des différents actes de droit interne habilitant les autorités irlandaises à adopter des mesures imposant aux fournisseurs de services de télécommunication la conservation de données de télécommunication, les estimant incompatibles avec la Constitution irlandaise et le droit de l’Union. D’autre part, elle met en cause la validité de la directive 2006/24 au regard de la Charte et/ou de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales ( 13 ) et invite la juridiction de renvoi à saisir la Cour de plusieurs questions préjudicielles en appréciation de validité de ladite directive.

B – L’affaire C‑594/12, Seitlinger e.a.

13.

Le 6 avril 2012, le Kärntner Landesregierung a, sur le fondement de l’article 140, paragraphe 1, de la loi constitutionnelle fédérale autrichienne (Bundes-Verfassungsgesetz) ( 14 ), saisi le Verfassungsgerichtshof d’un recours en annulation de plusieurs dispositions du TKG 2003, en particulier de son article 102 bis, dans sa rédaction issue de la transposition de la directive 2006/24, entrée en vigueur le 1er avril 2012.

14.

Le 25 mai 2012, M. Michael Seitlinger a saisi le Verfassungsgerichtshof d’un recours sur le fondement de l’article 140, paragraphe 1, du B‑VG prétendant à l’inconstitutionnalité de l’article 102 bis du TKG 2003 en tant qu’il affectait ses droits. Il estime que cette dernière disposition, qui prévoit l’obligation pour son opérateur de réseau de communication de conserver des données sans raison, sans nécessités techniques ni buts de facturation et contre sa volonté constitue, notamment, une atteinte à l’article 8 de la Charte.

15.

Enfin, le 15 juin 2012, le Verfassungsgerichtshof a été saisi d’un autre recours sur le fondement de l’article 140 du B‑VG, formé par 11130 requérants faisant valoir que l’inconstitutionnalité de l’obligation de conserver des données établie à l’article 102 bis du TKG 2003 portait atteinte à leurs droits, et notamment à l’article 8 de la Charte.

III – Les questions préjudicielles et la procédure devant la Cour

A – Dans l’affaire C‑293/12, Digital Rights Ireland

16.

Dans l’affaire C‑293/12, la High Court pose à la Cour les questions préjudicielles suivantes:

«1)

La restriction faite aux droits de la partie requérante [au principal] en matière d’utilisation de téléphonie mobile qui découle des exigences des articles 3, 4 et 6 de la directive 2006/24/CE est-elle incompatible avec l’article 5, paragraphe 4, TUE, en ce qu’elle est disproportionnée, et qu’elle n’est pas nécessaire ou qu’elle est inappropriée pour atteindre les objectifs légitimes tenant à:

a)

permettre que certaines données soient disponibles aux fins des enquêtes sur les infractions graves et aux fins de la détection et de la poursuite de ces dernières

et/ou

b)

garantir le bon fonctionnement du marché intérieur de l’Union européenne?

2)

En particulier:

i)

La directive 2006/24/CE est-elle compatible avec le droit des citoyens à circuler et à résider librement sur le territoire des États membres, consacré à l’article 21 TFUE?

ii)

La directive 2006/24/CE est-elle compatible avec le droit au respect de la vie privée consacré par l’article 7 de la [Charte] et par l’article 8 de la [CEDH]?

iii)

La directive 2006/24/CE est-elle compatible avec le droit à la protection des données à caractère personnel qui figure à l’article 8 de la Charte?

iv)

La directive 2006/24/CE est-elle compatible avec le droit à la liberté d’expression consacré par l’article 11 de la Charte et par l’article 10 de la CEDH?

v)

La directive 2006/24/CE est-elle compatible avec le droit à une bonne administration consacré par l’article 41 de la Charte?

3)

Dans quelle mesure les traités, et en particulier le principe de coopération loyale consacré à l’article 4, paragraphe 3, TUE, exigent-ils qu’une juridiction nationale examine et évalue la compatibilité des mesures nationales transposant la directive 2006/24/CE avec les garanties prévues par la Charte, y compris son article 7 (tel que repris de l’article 8 de la CEDH)?»

B – Dans l’affaire C‑594/12, Seitlinger e.a.

17.

Dans l’affaire C‑594/12, le Verfassungsgerichtshof pose à la Cour les questions préjudicielles suivantes:

«1)

Sur la validité d’actes d’institutions de l’Union:

Les articles 3 à 9 de la directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE, sont-ils compatibles avec les articles 7, 8 et 11 de la [Charte]?

2)

Sur l’interprétation des traités:

2.1

Au vu des explications sur l’article 8 de la Charte, lesquelles ont été élaborées, aux termes de l’article 52, paragraphe 7, de la Charte, en vue de guider l’interprétation de la Charte et sont dûment prises en considération par le Verfassungsgerichtshof, la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et le règlement (CE) no 45/2001 du Parlement européen et du Conseil, du 18 décembre 2000, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données [JO 2001, L 8, p. 1], doivent-ils être considérés au même titre que les conditions fixées à l’article 8, paragraphe 2, et à l’article 52, paragraphe 1, de la Charte pour apprécier la licéité d’empiètements?

2.2

Dans quel rapport se trouve le ‘droit de l’Union’ visé à l’article 52, paragraphe 3, dernière phrase, de la Charte, et les directives en matière de droit à la protection des données?

2.3

Au vu des conditions et restrictions apportées par la directive 95/46/CE et le règlement (CE) no 45/2001 dans la sauvegarde du droit fondamental à la protection des données inscrit dans la Charte, faut-il prendre en considération dans l’interprétation de l’article 8 de la Charte des changements découlant du droit dérivé ultérieur?

2.4

Compte tenu de l’article 52, paragraphe 4, de la Charte, le principe de la prévalence du niveau supérieur de protection inscrit à l’article 53 de la Charte a‑t‑il pour conséquence que les limites assignées par la Charte aux restrictions que peut valablement apporter le droit dérivé doivent être tracées plus étroitement?

2.5

Au regard de l’article 52, paragraphe 3, de la Charte, du cinquième alinéa du préambule et des explications sur l’article 7 de la Charte, indiquant que les droits garantis à l’article 7 correspondent à ceux qui sont garantis par l’article 8 de la CEDH, la jurisprudence que la Cour européenne des droits de l’homme a consacrée à l’article 8 de la CEDH peut-elle donner des indications dans l’interprétation de l’article 8 de la Charte qui rejaillissent sur l’interprétation de ce dernier article?»

C – La procédure devant la Cour

18.

Ont présenté des observations écrites dans l’affaire C‑293/12, la Irish Human Rights Commission ( 15 ), les gouvernements irlandais, français, italien, polonais et du Royaume-Uni, ainsi que le Parlement européen, le Conseil de l’Union européenne et la Commission européenne.

19.

Ont présenté des observations écrites dans l’affaire C‑594/12, MM. Seitlinger et Tschohl, les gouvernements espagnol, français, autrichien et portugais, ainsi que le Parlement, le Conseil et la Commission.

20.

Les deux affaires ont été jointes aux fins de la procédure orale et de l’arrêt par décision du président de la Cour du 6 juin 2013.

21.

Dans la perspective de la tenue d’une audience conjointe dans les deux affaires, la Cour a, en application de l’article 61 de son règlement de procédure, invité les parties souhaitant comparaître à se concerter sur leurs positions respectives, à concentrer leurs plaidoiries sur la compatibilité de la directive 2006/24 avec les articles 7 et 8 de la Charte et à répondre à certaines questions. Elle a, par ailleurs, invité le contrôleur européen à la protection des données ( 16 ) à fournir des renseignements, en application de l’article 24, deuxième alinéa, du statut de la Cour de justice.

22.

DRI et l’IHRC (affaire C‑293/12), MM. Seitlinger et Tschohl (affaire C‑594/12), de même que les gouvernements irlandais, espagnol, italien, autrichien, du Royaume-Uni ainsi que le Parlement, le Conseil, la Commission et le CEPD ont présenté leurs observations orales au cours de l’audience publique conjointe qui s’est tenue le 9 juillet 2013.

IV – Sur la recevabilité

23.

Dans leurs observations écrites dans l’affaire C‑293/12, le Parlement, le Conseil et la Commission font en substance valoir que la High Court n’a pas suffisamment exposé les raisons la conduisant à s’interroger sur la validité de la directive 2006/24, en particulier au regard de l’article 21 TFUE et des articles 11 et 41 de la Charte. Les imprécisions de la demande préjudicielle de la High Court ainsi relevées ne sauraient toutefois conduire la Cour à rejeter celle-ci comme irrecevable.

V – Sur le fond

24.

Les différentes demandes préjudicielles formées par la High Court dans l’affaire C‑293/12 et le Verfassungsgerichtshof dans l’affaire C‑594/12 soulèvent quatre séries d’interrogations.

25.

La première série, constituée de la première question dans l’affaire C‑293/12, porte sur la validité de la directive 2006/24 au regard de l’article 5, paragraphe 4, TUE. La High Court se demande, en effet, très précisément si la directive 2006/24 est, de façon générale, proportionnée au sens de cette disposition, c’est-à-dire si elle est nécessaire et appropriée pour atteindre les objectifs qu’elle poursuit, ces derniers étant de permettre que certaines données soient disponibles aux fins des enquêtes sur les infractions graves et aux fins de la détection et de la poursuite de ces dernières et/ou de garantir le bon fonctionnement du marché intérieur.

26.

La deuxième série, qui se compose de la deuxième question dans l’affaire C‑293/12 et de la première question dans l’affaire C‑594/12, porte sur la compatibilité de plusieurs dispositions de la directive 2006/24 avec plusieurs dispositions de la Charte, principalement son article 7, sur le droit au respect de la vie privée, et son article 8 sur le droit à la protection des données personnelles et, plus largement, sur la proportionnalité des mesures qu’elle impose, au sens de l’article 52, paragraphe 1, de la Charte. Cette question de validité se situe incontestablement au centre des problèmes soulevés par ces affaires.

27.

La seconde question posée par le Verfassungsgerichtshof dans l’affaire C‑594/12 soulève une troisième série d’interrogations portant sur l’interprétation des dispositions générales de la Charte régissant son interprétation et son application, en l’occurrence celles de ses articles 52, paragraphes 3, 4 et 7, et 53. Le Verfassungsgerichtshof s’interroge plus précisément, en substance, sur les relations qui s’établissent entre, d’un côté, l’article 8 de la Charte, consacrant le droit à la protection des données personnelles, et, de l’autre côté, premièrement, les dispositions de la directive 95/46 et du règlement no 45/2001, en relation avec l’article 52, paragraphes 1 et 3, de la Charte (questions 2.1, 2.2 et 2.3), deuxièmement les traditions constitutionnelles des États membres (question 2.4), en relation avec l’article 52, paragraphe 4, de la Charte, et, troisièmement, le droit de la CEDH et en particulier son article 8, en relation avec l’article 52, paragraphe 3, de la Charte (question 2.5).

28.

Enfin, par sa troisième question préjudicielle, dans l’affaire C‑293/12, qui compose la quatrième et dernière série d’interrogations, la High Court interroge la Cour sur l’interprétation de l’article 4, paragraphe 3, TUE, et plus précisément sur la question de savoir si les juridictions nationales sont tenues, au titre du devoir de coopération loyale, d’examiner et d’évaluer la compatibilité avec les dispositions de la Charte, notamment son article 7, des dispositions nationales de transposition de la directive 2006/24.

29.

Précisons d’emblée que l’essentiel de notre examen portera sur les deux premières séries de questions et que, eu égard à la réponse qui leur sera apportée, il ne sera pas nécessaire d’apporter des réponses spécifiques aux deux dernières séries de questions. Avant d’aborder ces questions, il faut toutefois commencer par apporter un certain nombre de précisions liminaires.

A – Observations liminaires

30.

Afin d’être en mesure de répondre pleinement aux différentes interrogations soulevées par les juridictions de renvoi, il importe d’attirer l’attention sur trois éléments qui contribuent de façon déterminante à dresser le profil des présentes affaires, à savoir, en premier lieu, la spécificité fonctionnelle de la directive 2006/24, en deuxième lieu, la qualification de l’ingérence dans les droits fondamentaux en cause et enfin, en troisième lieu, l’incidence sur les présentes affaires de l’arrêt du 10 février 2009, Irlande/Parlement et Conseil ( 17 ), par lequel la Cour a rejeté le recours en annulation pour base juridique erronée introduit contre ladite directive.

1. Sur la «dualité fonctionnelle» de la directive 2006/24 et son rapport avec la directive 95/46 et la directive 2002/58

31.

Il convient de commencer par replacer la directive 2006/24 dans son contexte, en rappelant brièvement le cadre législatif dans lequel elle s’inscrit, principalement constitué de la directive 95/46, d’une part, et de la directive 2002/58, d’autre part.

32.

L’objet de la directive 95/46, qui est tout comme la directive 2006/24 fondée sur l’article 114 TFUE, est d’imposer aux États membres l’obligation de garantir le droit à la vie privée des personnes physiques à l’égard du traitement de leurs données à caractère personnel ( 18 ), en vue de permettre la libre circulation de ces données entre les États membres ( 19 ). Elle pose, à cet effet, notamment, toute une série de règles définissant les conditions de licéité des traitements de données à caractère personnel, précisant les droits des personnes dont les données sont collectées et traitées, en particulier le droit à l’information ( 20 ), le droit d’accès ( 21 ), le droit d’opposition ( 22 ) et le droit de recours ( 23 ), et garantissant la confidentialité et la sécurité des traitements.

33.

Le régime de protection établi par la directive 95/46 est assorti d’exceptions et de limitations définies à son article 13. La portée des droits et des obligations qu’elle prévoit en ce qui concerne la qualité des données (article 6, paragraphe 1), la transparence des traitements (articles 10 et 11, paragraphe 1), les droits d’accès des personnes dont les données sont traitées (article 12) et la publicité des traitements (article 21) peut faire l’objet de mesures législatives de limitations lorsque cela est nécessaire pour sauvegarder, notamment, la sûreté de l’État, la défense, la sécurité publique ou la prévention, la recherche, la détection et la poursuite d’infractions pénales.

34.

La directive 2002/58, qui abroge et remplace la directive 97/66/CE ( 24 ), précise et complète ( 25 ) le régime de protection des données personnelles établi par la directive 95/46 par des règles spécifiques applicables au secteur des communications électroniques ( 26 ). Elle comporte en particulier des règles imposant aux États membres de garantir, sauf exception ( 27 ), la confidentialité non seulement des communications, mais également des données relatives au trafic des abonnés et des utilisateurs de services de communications électroniques ( 28 ). Son article 6 prévoit l’obligation pour les fournisseurs des services de communications d’effacer ou d’anonymiser les données relatives au trafic de leurs abonnés et utilisateurs qu’ils traitent et stockent.

35.

Particulièrement important pour les développements à venir, l’article 15, paragraphe 1, de la directive 2002/58 prévoit également que les États membres peuvent ( 29 ) adopter des mesures législatives visant à limiter la portée des droits et des obligations qu’elle prévoit en ce qui concerne, notamment, la confidentialité des communications (article 5) et l’effacement des données de trafic (article 6) dans les mêmes termes que ceux de l’article 13, paragraphe 1, de la directive 95/46, auquel elle renvoie. Il précise que les États membres sont habilités, à cette fin, à adopter entre autres des mesures législatives prévoyant la conservation de données pendant une durée limitée pour l’un des motifs énoncés, dans le respect des droits fondamentaux.

36.

La directive 2006/24 opère, en réalité, une modification profonde de l’état du droit applicable aux données afférentes aux communications électroniques résultant des directives 95/46 et 2002/58 ( 30 ) en prévoyant l’établissement par les États membres d’une obligation de collecte et de conservation des données de trafic et de localisation qui s’inscrit dans le cadre des limites au droit à la protection des données personnelles prévues aux articles 13, paragraphe 1, de la directive 95/46 et 15, paragraphe 1, de la directive 2002/58.

37.

La directive 2006/24 se caractérise tout d’abord par son objectif d’harmonisation, en l’occurrence des réglementations des États membres concernant la conservation des données de trafic et de localisation afférentes aux communications électroniques. Or, eu égard à la matière à harmoniser et à la situation, cet objectif requiert simultanément l’imposition, aux États membres qui ne disposeraient pas d’une telle réglementation, d’une obligation de collecte et de conservation desdites données. Il en découle que la directive 2006/24 présente une dualité fonctionnelle qu’il est essentiel de prendre en considération afin d’aborder correctement le problème soulevé par les présentes demandes préjudicielles.

38.

En effet, la directive 2006/24 a pour premier objectif celui d’harmoniser les réglementations nationales qui imposeraient déjà aux fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications ( 31 ) des obligations de conservation des données de trafic et de localisation qu’elle définit, en vue de garantir leur disponibilité «aux fins de la recherche, de la détection et de la poursuite d’infractions graves telles que définies par chaque État membre dans son droit interne» ( 32 ). Ce faisant, la directive 2006/24 harmonise donc en partie les réglementations adoptées par certains États membres sur la base de la possibilité offerte par l’article 15, paragraphe 1, de la directive 2002/58 ( 33 ).

39.

La directive 2006/24 instaure ainsi un régime dérogatoire ( 34 ) aux principes établis par la directive 95/46 et la directive 2002/58. Elle déroge, pour être parfaitement exact, aux règles dérogatoires établies par l’article 15, paragraphe 1, de la directive 2002/58 et régissant la faculté pour les États membres de limiter, pour les motifs prévus à l’article 13, paragraphe 1, de la directive 95/46, la portée du droit à la protection des données personnelles et, plus largement, du droit au respect de la vie privée dans le cadre spécifique de la fourniture de services de communications électroniques ou de réseaux publics de communications.

40.

L’article 11 de la directive 2006/24 insère d’ailleurs de manière significative un paragraphe 1 bis à l’article 15 de la directive 2002/58, qui précise que le paragraphe 1 de cette dernière disposition n’est pas applicable aux données dont la conservation est spécifiquement exigée par la directive 2006/24.

41.

Ainsi que la Cour l’a relevé dans son arrêt Irlande/Parlement et Conseil, la directive 2006/24 vise pour l’essentiel les activités des fournisseurs de services de communications électroniques ( 35 ), en harmonisant les réglementations nationales par des dispositions essentiellement limitées ( 36 ) à la conservation des données, aux catégories de données à conserver, à la durée de conservation, à la protection et à la sécurité de données ainsi qu’à leur stockage ( 37 ).

42.

C’est précisément à raison de cette fonction d’harmonisation limitée, et comme on le verra par la suite, que la Cour a pu juger, dans son arrêt Irlande/Parlement et Conseil, que la directive 2006/24 pouvait être adoptée sur le fondement de l’article 95 CE. Il s’agissait, dans l’objectif de protéger le bon fonctionnement du marché intérieur ( 38 ), de mettre un terme à l’évolution hétérogène des réglementations existantes ( 39 ) tout en y faisant obstacle pour le futur ( 40 ).

43.

Or, l’harmonisation prévue par la directive 2006/24 a, en l’occurrence, été réalisée, nécessairement, sur la base de l’insertion d’une obligation de collecte et de conservation des données pesant sur les fournisseurs de services de communications électroniques, à tout le moins pour les États membres qui ne disposaient d’aucune réglementation à cet égard, obligation imposant notamment la durée minimale et maximale pendant laquelle les données doivent être conservées.

44.

Il peut, à cet égard, être souligné que le fait qu’un certain nombre d’États membres ne s’étaient pas encore dotés d’une réglementation sur la conservation des données constituait précisément l’un des principaux éléments justifiant l’adoption de la directive 2006/24 sur le fondement de l’article 95 CE ( 41 ).

45.

En conséquence, la directive 2006/24 établit, dans le cadre de son objectif d’harmonisation, l’obligation pour les États membres soit de mettre en conformité le régime existant avec les dispositions de la directive 2006/24, soit de mettre en place, à terme, le régime de collecte et de conservation prévu par la directive 2006/24 ainsi que, en tout état de cause, l’obligation de veiller au respect des dispositions de cette même directive, en particulier celles régissant les conditions et modalités d’accès aux données conservées.

46.

En résumé, la directive 2006/24 se caractérise par sa dualité fonctionnelle. C’est, d’une part, une directive tout à fait classique qui s’efforce d’harmoniser ( 42 ) des législations nationales disparates ( 43 ) ou susceptibles de le devenir, adoptée dans l’intérêt du fonctionnement du marché intérieur et précisément calibrée pour cette fin, ainsi que la Cour l’a jugé dans son arrêt Irlande/Parlement et Conseil. Mais c’est également, d’autre part, une directive qui, même dans sa fonction harmonisatrice, cherche à établir ( 44 ), le cas échéant, des obligations, de conservation de données notamment, qui s’analysent, comme je le montrerai par la suite, comme des ingérences caractérisées dans la jouissance des droits fondamentaux garantis aux citoyens européens par la Charte, tout particulièrement le droit au respect de la vie privée et le droit à la protection des données personnelles.

47.

Enfin, il est évident que les réponses aux présentes questions préjudicielles doivent particulièrement tenir compte de cette «seconde fonction», c’est-à-dire ce que je qualifierais d’effet «constitutif» de l’obligation de conservation des données, sans que, pour autant, il faille ignorer son effet spécifiquement harmonisateur des réglementations nationales existantes en la matière.

2. Sur le droit fondamental essentiellement concerné et sur la qualification de l’ingérence

48.

Il importe, en second lieu, d’aborder déjà à ce stade la question de la qualification de l’ingérence dans l’exercice des droits fondamentaux qui découle de la collecte et de la conservation des données prévues par la directive 2006/24, une fois admis que l’existence même de cette ingérence n’est l’objet d’aucune discussion. J’identifierai tout d’abord le droit fondamental principalement affecté par la directive 2006/24, puis je procéderai à la qualification de l’ingérence dans l’exercice dudit droit qu’elle constitue.

a) Sur les droits fondamentaux affectés

i) La pluralité des droits fondamentaux invoqués

49.

La High Court, dans l’affaire C‑293/12, tout comme le Verfassungsgerichtshof, dans l’affaire C‑594/12, interrogent la Cour sur la compatibilité de la directive 2006/24 avec une pluralité de droits fondamentaux, tout d’abord le droit au respect de la vie privée, garanti par l’article 7 de la Charte, et le droit à la protection des données personnelles, garanti par l’article 8 de la Charte, mais également le droit à la liberté d’expression, garanti par l’article 11 de la Charte.

50.

La High Court interroge en outre la Cour sur la compatibilité de la directive 2006/24 avec l’article 21 TFUE, sur le droit de circulation et de séjour des citoyens européens et avec l’article 41 de la Charte, consacrant le droit à une bonne administration.

51.

Il est, à cet égard, possible de procéder à une première opération de simplification.

52.

Tout d’abord, il ne saurait, certes, être négligé que le sentiment diffus de surveillance ( 45 ) que la mise en œuvre de la directive 2006/24 peut engendrer est susceptible d’exercer une influence décisive sur l’exercice par les citoyens européens de leur liberté d’expression et d’information et que l’existence d’une ingérence dans le droit garanti par l’article 11 de la Charte doive, par conséquent, également être constatée ( 46 ). Il peut toutefois être observé que, outre que la Cour ne dispose pas d’éléments suffisants lui permettant de se prononcer à cet égard, cet effet ne constituerait qu’une conséquence collatérale d’une ingérence dans le droit au respect de la vie privée qui fait ci-dessous l’objet d’un examen très attentif et circonstancié.

53.

Par ailleurs, la High Court ne fournit pas la moindre explication sur les raisons pour lesquelles elle estime pertinent le choix de l’article 21 TFUE (droit de séjour et de circulation des citoyens européens) et de l’article 41 de la Charte (droit à une bonne administration) aux fins de l’appréciation de la validité de la directive 2006/24, ni même la moindre indication sur l’incidence que ladite directive pourrait avoir sur la libre circulation des citoyens ou le principe de bonne administration, contrairement aux exigences désormais prévues à l’article 94 du règlement de procédure de la Cour. La Cour ne dispose donc pas non plus des éléments lui permettant de se prononcer à cet égard.

54.

C’est donc principalement au regard des articles 7 et 8 de la Charte que la compatibilité de la directive 2006/24 devrait, en principe, être examinée.

ii) Le couple formé par le droit au respect de la vie privée et le droit à la protection des données personnelles

55.

L’article 8 de la Charte consacre le droit à la protection des données personnelles comme un droit distinct du droit au respect de la vie privée. Si la protection des données tend à assurer le respect de la vie privée, elle est, surtout, soumise à un régime autonome, principalement défini par la directive 95/46, la directive 2002/58, le règlement no 45/2001 et la directive 2006/24, ainsi que, dans le domaine relevant de la coopération policière et judiciaire en matière pénale, par la décision-cadre 2008/977/JAI ( 47 ).

56.

La directive 2006/24 affecte sensiblement le droit à la protection des données personnelles, dans la mesure où son article 5 établit l’obligation pour les États membres de veiller à ce que soient conservées des données qui permettent ou peuvent permettre l’identification d’une personne ( 48 ), à la source comme à la destination d’une communication, ainsi que sa situation dans l’espace et le temps, que ce soit par référence à son numéro de téléphone pour la téléphonie ou à son numéro d’identification ou à tout autre élément qui lui soit propre tel qu’une adresse IP pour les services Internet.

57.

L’article 1er, paragraphe 2, de la directive 2006/24 indique d’ailleurs expressément qu’elle s’applique, notamment, aux données nécessaires pour identifier les abonnés ou les utilisateurs enregistrés des services de communications électroniques accessibles au public ou de réseaux publics de communications. Ces données relèvent ainsi de celles dont la divulgation est subordonnée à l’autorisation expresse de chaque individu, de leur «droit à l’autodétermination informationnelle» ( 49 ).

58.

La directive 2006/24 se montre à première vue comme une ingérence dans le droit à la protection des données personnelles, en s’inscrivant clairement dans les prévisions de l’article 8, paragraphes 2 et 3, de la Charte. Elle précise, en effet, que sont pleinement applicables aux données conservées conformément à ses dispositions tant la directive 95/46 et la directive 2002/58 ( 50 ) que la convention du Conseil de l’Europe de 1981 sur la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ( 51 ).

59.

Ce n’est toutefois pas le traitement des données conservées, qu’il s’agisse des modalités de collecte des données par les fournisseurs de services de communications électroniques ou des modalités d’exploitation des données par les autorités compétentes habilitées par les États membres, qui appelle la plus grande vigilance, mais la collecte des données en cause et leur conservation elles-mêmes, ainsi que leur impact sur le droit au respect de la vie privée, pour les raisons que je vais maintenant exposer.

60.

Tout d’abord, la circonstance que la directive 2006/24 puisse parfaitement répondre aux exigences de l’article 8, paragraphes 2 et 3, de la Charte et qu’il puisse être considéré qu’elle n’est pas incompatible avec l’article 8 de la Charte n’implique cependant nullement qu’elle soit parfaitement compatible avec les exigences découlant du droit au respect de la vie privée garanti par l’article 7 de la Charte.

61.

En effet, la «sphère du privé» constituant le noyau de la «sphère du personnel», il ne saurait être exclu qu’une réglementation restreignant le droit à la protection des données personnelles en conformité avec l’article 8 de la Charte puisse néanmoins être considérée comme portant une atteinte disproportionnée à l’article 7 de la Charte.

62.

Certes, le droit à la protection des données à caractère personnel repose sur le droit fondamental au respect de la vie privée ( 52 ), de sorte que, comme la Cour a eu l’occasion de le souligner ( 53 ), les articles 7 et 8 de la Charte sont étroitement liés ( 54 ), au point de pouvoir être considérés comme établissant un «droit à la vie privée à l’égard du traitement des données à caractère personnel» ( 55 ).

63.

Il ne saurait pourtant en aller systématiquement ainsi. Le lien unissant ces deux droits dépend essentiellement de la nature des données concernées, quand bien même elles seraient toujours personnelles, c’est-à-dire se rapporteraient à la personne, à l’individu.

64.

Il est, en effet, des données qui sont personnelles en tant que telles, c’est-à-dire en ce qu’elles individualisent une personne, comme peuvent l’être celles qui, par le passé, pouvaient figurer sur un sauf-conduit, pour donner un exemple quelconque. Ce sont des données fréquemment dotées d’une certaine permanence et fréquemment aussi d’une certaine neutralité. Elles sont personnelles sans plus et l’on pourrait dire, d’une manière générale, que ce sont celles à l’égard desquelles la structure et les garanties de l’article 8 de la Charte sont les mieux adaptées.

65.

Il est cependant des données qui sont en quelque sorte plus que personnelles. Ce sont les données qui, qualitativement, se rapportent essentiellement à la vie privée, au secret de la vie privée, en ce compris l’intimité. Dans ces cas, en effet, le problème soulevé par les données personnelles commence, pour ainsi dire, déjà «en amont». Le problème qui alors se pose n’est pas encore celui des garanties afférentes au traitement des données, mais, plus en amont, celui des données en tant que telles, c’est-à-dire le fait que les circonstances de la vie privée d’une personne aient pu se cristalliser sous la forme de données, données susceptibles en conséquence d’être soumises à des traitements informatiques.

66.

C’est en ce sens qu’il est possible de soutenir que, lorsque de telles données sont en cause, elles soulèvent un problème qui est essentiellement préalable à celui de leur traitement, relevant prioritairement de la vie privée garantie par l’article 7 de la Charte et seulement secondairement des garanties qui se rapportent au traitement des données personnelles visées à l’article 8 de la Charte.

67.

Ainsi qu’il ressort des développements qui précèdent, procédant au correct «positionnement» des droits fondamentaux formant le couple constitué du droit au respect de la vie privée (article 7 de la Charte) et du droit à la protection des données à caractère personnel (article 8 de la Charte), c’est principalement sous l’angle de l’ingérence dans le droit au respect de la vie privée que la validité de la directive 2006/24 doit être appréciée.

b) Une ingérence particulièrement caractérisée dans le droit au respect de la vie privée

68.

Pour commencer, il ne fait guère de doute que la directive 2006/24 constitue en elle-même une «ingérence» dans le droit au respect de la vie privée ( 56 ). Elle le constate elle-même en se définissant comme un «instrument relatif à la conservation des données» constituant une «mesure nécessaire au regard des exigences de l’article 8 de la CEDH» ( 57 ), ou de l’article 7 de la Charte. La Cour, du reste, emploie ce terme à l’égard de cette directive ( 58 ).

69.

La Cour européenne des droits de l’homme a pour sa part itérativement jugé que la mémorisation par une autorité publique de données relatives à la vie privée d’un individu constituait une ingérence dans le droit au respect de sa vie privée garanti par l’article 8, paragraphe 1, de la CEDH ( 59 ), étant précisé que l’utilisation qui en est faite importait peu ( 60 ).

70.

Ce dont il est ici question, c’est d’essayer de qualifier cette ingérence. En ce sens, et comme je le montrerai de façon plus détaillée par la suite, il est possible d’avancer que la directive 2006/24 constitue une ingérence particulièrement caractérisée ( 61 ) dans le droit au respect de la vie privée.

71.

Certes, la directive 2006/24 exclut de son champ d’application, de manière aussi expresse qu’insistante ( 62 ), le contenu des communications téléphoniques ou électroniques, les informations communiquées elles-mêmes.

72.

Il n’en demeure cependant pas moins que la collecte ( 63 ) et, surtout, la conservation ( 64 ), dans de gigantesques bases de données, des multiples données générées ou traitées dans le cadre de la plus grande partie des communications électroniques courantes des citoyens de l’Union ( 65 ) constituent une ingérence caractérisée dans leur vie privée, quand bien même elles ne feraient que créer les conditions de possibilité d’un contrôle rétrospectif de leurs activités tant personnelles que professionnelles. La collecte de ces données crée les conditions d’une surveillance qui, pour ne s’exercer que rétrospectivement à l’occasion de leur exploitation, menace néanmoins de manière permanente, pendant toute la durée de leur conservation, le droit des citoyens de l’Union au secret de leur vie privée. Le sentiment diffus de surveillance ( 66 ) généré pose de manière particulièrement aiguë la question de la durée de conservation des données.

73.

Il doit à cet égard être tout d’abord tenu compte du fait que les effets de cette ingérence se trouvent démultipliés par l’importance acquise par les moyens de communications électroniques dans les sociétés modernes, qu’il s’agisse des réseaux mobiles numériques ou d’Internet, et leur utilisation massive et intensive par une fraction très importante des citoyens européens dans tous les champs de leurs activités privées ou professionnelles ( 67 ).

74.

Les données en question, il importe également d’insister encore une fois à cet égard, ne sont pas des données personnelles au sens classique du terme, se rapportant à des informations ponctuelles sur l’identité des personnes, mais des données personnelles pour ainsi dire qualifiées, dont l’exploitation peut permettre l’établissement d’une cartographie aussi fidèle qu’exhaustive d’une fraction importante des comportements d’une personne relevant strictement de sa vie privée, voire d’un portrait complet et précis de son identité privée.

75.

L’intensité de cette ingérence se trouve accentuée par des éléments aggravant le risque que, nonobstant les obligations imposées par la directive 2006/24 tant aux États membres eux-mêmes qu’aux fournisseurs de services de communications électroniques, les données conservées ne soient utilisées à des fins illicites, potentiellement attentatoires à la vie privée ou, plus largement, frauduleuses, voire malveillantes.

76.

En effet, les données ne sont pas conservées par les autorités publiques elles-mêmes, ni même sous leur contrôle direct, mais par les fournisseurs de services de communications électroniques eux-mêmes ( 68 ) sur lesquels pèsent l’essentiel des obligations garantissant leur protection et leur sécurité.

77.

La directive 2006/24 impose ( 69 ), certes, aux États membres de veiller à ce que les données soient conservées conformément à ladite directive. Il est cependant intéressant de constater que c’est seulement de manière à ce que lesdites données et toute autre information nécessaire les concernant «puissent, à leur demande, être transmises sans délai aux autorités compétentes». La directive 2006/24, prévoit, par ailleurs, que les États membres doivent veiller à ce que les fournisseurs de services de communications électroniques respectent un minimum de principes concernant la protection et la sécurité des données conservées.

78.

Aucune disposition de la directive 2006/24 ne prévoit, cependant, l’obligation pour lesdits fournisseurs de services de stocker eux-mêmes les données à conserver sur le territoire d’un État membre, relevant de la juridiction d’un État membre, ce qui aggrave considérablement le risque qu’elles puissent être accessibles ou divulguées en méconnaissance de cette réglementation.

79.

Cette «externalisation» de la conservation des données permet, certes, d’éloigner les données conservées des pouvoirs publics des États membres, et donc de les soustraire de leur emprise directe et hors de tout contrôle ( 70 ), mais par cela même elle aggrave simultanément le risque d’une exploitation non conforme aux exigences découlant du droit au respect de la vie privée.

80.

La directive 2006/24 constitue donc, ainsi qu’il ressort des développements qui précèdent, une ingérence particulièrement caractérisée dans le droit au respect de la vie privée et c’est au regard des exigences découlant de ce droit fondamental que sa validité et tout particulièrement sa proportionnalité doivent principalement être examinées.

3. Sur la portée de l’arrêt Irlande/Parlement et Conseil sur l’appréciation de la validité de la directive 2006/24

81.

Parvenu à ce stade des présents développements préalables, il reste encore à s’interroger sur l’incidence de l’arrêt Irlande/Parlement et Conseil sur la double demande d’appréciation de validité de la directive 2006/24 adressée à la Cour.

82.

Il doit, à cet égard, être rappelé que la Cour était, dans cette affaire, saisie d’un recours direct en annulation de la directive 2006/24, dans le cadre duquel il était exclusivement fait valoir qu’elle était fondée sur une base juridique erronée. La Cour a, en conséquence, expressément indiqué, au point 57 de son arrêt, que «le recours formé par l’Irlande port[ait] uniquement sur le choix de la base juridique et non pas sur une éventuelle violation des droits fondamentaux découlant des ingérences dans l’exercice du droit au respect de la vie privée que la directive 2006/24 comporte».

83.

Or, les demandes préjudicielles formulées dans les deux affaires soulevant la question de la proportionnalité des dispositions de la directive 2006/24, au sens de l’article 5, paragraphe 4, TUE (première question dans l’affaire C‑293/12), d’une part, et au sens de l’article 52, paragraphe 1, de la Charte (deuxième question dans l’affaire C‑293/12 et première question dans l’affaire C‑594/12), d’autre part, il est possible d’interpréter la réserve ainsi posée par la Cour, en deux sens qui peuvent se révéler complémentaires.

84.

La première interprétation possible, celle qui en fin de compte s’impose en tout état de cause, est de considérer que la Cour, tenue par les conclusions en annulation très ciblées de l’Irlande, n’était pas appelée à examiner la compatibilité de la directive 2006/24 avec les droits fondamentaux garantis par la Charte, essentiellement le droit au respect de la vie privée garanti par l’article 7 de la Charte. La Cour a elle-même tenu à le préciser au point 57 de son arrêt: elle n’avait donc pas à examiner cette question de compatibilité au regard des exigences posées par l’article 52, paragraphe 1, de la Charte, en particulier celles tenant à la qualité de la loi et à la proportionnalité.

85.

Le second sens qu’il est possible d’attribuer à cette réserve, qu’il est beaucoup plus délicat d’explorer, serait de considérer que, nonobstant la validation de la base juridique de la directive 2006/24 par l’arrêt Irlande/Parlement et Conseil, la Cour n’a pas examiné la proportionnalité, au sens de l’article 5, paragraphe 4, TUE, de ladite directive et cela par rapport à l’ingérence aux droits fondamentaux, ainsi que le demande formellement la High Court dans sa première question dans l’affaire C‑293/12. Il s’agirait, en substance, d’examiner si, étant tenu compte de sa base juridique, l’ingérence dans le droit au respect de la vie privée que la directive 2006/24 constitue demeure dans un rapport raisonnable de proportionnalité, au sens de cette disposition, avec les objectifs qu’elle affiche poursuivre.

86.

Je commencerai par dégager la problématique dérivée du principe de proportionnalité au sens de l’article 5, paragraphe 4, TUE, ce qui requiert, comme indiqué, l’exploration des possibilités ouvertes par cette seconde interprétation possible du point 57 de l’arrêt Irlande/Parlement et Conseil. Je passerai ensuite, sur la base de la première interprétation – non problématique – dudit point, à l’examen du cœur des questions soulevées par les deux juridictions de renvoi, relatives aux conditions des limites de l’exercice des droits fondamentaux.

B – Sur la proportionnalité, au sens de l’article 5, paragraphe 4, TUE, de l’adoption de la directive 2006/24 (première question dans l’affaire C‑293/12)

87.

Par sa première question dans l’affaire C‑293/12, la High Court interroge la Cour sur la question de savoir si, eu égard à l’article 5, paragraphe 4, TUE, la directive 2006/24 est proportionnée aux objectifs qu’elle poursuit, soit celui de garantir la disponibilité des données conservées aux fins de la détection et de la poursuite des infractions graves, soit celui de garantir le bon fonctionnement du marché intérieur, soit les deux.

88.

Une réponse à cette interrogation ne s’impose que pour autant qu’il puisse être admis que la Cour ne s’est, dans son arrêt Irlande/Parlement et Conseil, prononcée que sur la validité du choix de l’article 95 CE comme base juridique de la directive 2006/24 tout en laissant intacte la question de la proportionnalité de ladite directive elle-même au regard des objectifs qu’elle peut poursuivre sur le fondement de ladite base juridique. Les développements qui suivent doivent donc être compris comme étant conditionnés par une interprétation de l’arrêt Irlande/Parlement et Conseil qui, tout de même, pourrait prêter à discussion.

89.

Dans la mesure où la demande préjudicielle de la High Court pose tant la question de la proportionnalité de la directive 2006/24, de l’acte de l’Union lui-même, au sens de l’article 5, paragraphe 4, TUE, que celle de la proportionnalité des limitations de l’exercice des droits fondamentaux au sens de l’article 52, paragraphe 1, de la Charte, il faut conserver à l’esprit que les contrôles effectués au titre de ces deux dispositions sont de nature différente ( 71 ). La proportionnalité au sens de l’article 5, paragraphe 4, TUE est, en conjonction avec le principe de subsidiarité, un principe général régissant l’action de l’Union et conditionnant l’adoption de tous les actes des institutions. Elle a plus particulièrement vocation à canaliser l’intervention de l’Union dans le respect des compétences des États membres. La proportionnalité au sens de l’article 52, paragraphe 1, de la Charte est une condition de légitimité de toute limitation de l’exercice des droits fondamentaux. Si les contrôles opérés au titre des deux dispositions peuvent suivre le même parcours, ils ne s’exercent pas, en revanche, avec les mêmes rigueurs.

90.

Cela précisé, il importe de rappeler que, dans un domaine de compétence partagée, tel que celui du marché intérieur ( 72 ), il incombe au législateur de l’Union de déterminer les mesures qu’il estime nécessaires pour atteindre les objectifs visés, tout en respectant les principes de subsidiarité et de proportionnalité consacrés à l’article 5 TUE ( 73 ).

91.

En l’occurrence, conformément à l’article 5 du protocole sur l’application des principes de subsidiarité et de proportionnalité, la Commission a motivé l’adoption de la directive 2006/24 au regard du principe de proportionnalité, ainsi qu’il ressort de sa proposition du 21 septembre 2005 ( 74 ).

92.

La question qui est posée par la High Court n’est, toutefois, pas celle de savoir si la Commission a, en l’espèce, rempli ses obligations, mais si la directive 2006/24 elle-même est conforme aux exigences de l’article 5, paragraphe 4, TUE.

93.

Conformément à une jurisprudence itérative de la Cour, un acte de l’Union ne peut être considéré comme proportionné que pour autant que les moyens qu’il met en œuvre soient aptes à réaliser les objectifs qu’il poursuit et n’aillent pas au-delà de ce qui est nécessaire pour atteindre ces objectifs ( 75 ).

94.

La question préjudicielle de la High Court soulève à cet égard une difficulté toute particulière. La question qui se pose est, en l’occurrence, celle de savoir si la proportionnalité, au sens de l’article 5, paragraphe 4, TUE, des mesures adoptées par la directive 2006/24 doit s’apprécier au regard des deux objectifs qu’elle déclare poursuivre, l’harmonisation des réglementations nationales aux fins du bon fonctionnement du marché intérieur et la garantie de la disponibilité des données aux fins de la répression pénale ou bien, au contraire, au regard du seul objectif en relation directe avec la base juridique sur le fondement de laquelle elle a été adoptée.

95.

En ce sens, il convient de procéder à une distinction entre l’objectif prépondérant qui est le sien ( 76 ), à savoir le fonctionnement du marché intérieur, et les fins ultimes qu’elle poursuit, que l’on peut qualifier d’une manière ou d’une autre, mais qui ne sont en tout cas pas prépondérantes. Plus précisément, il faut, dans un premier temps, examiner la proportionnalité de la directive 2006/24, en tant qu’elle impose aux fournisseurs de services de communications électroniques des obligations de collecte, de conservation et de mise à disponibilité des données ayant un effet «constitutif», par rapport aux besoins d’harmonisation desdites obligations.

96.

À cet égard, il doit être rappelé, tout d’abord, que l’intensité du contrôle juridictionnel que la Cour exerce sur le caractère approprié d’une mesure adoptée par le législateur de l’Union est directement liée au pouvoir d’appréciation dont il dispose ( 77 ). La Cour a itérativement jugé que, dans les domaines où son action implique des choix de nature politique, économique ou sociale et appelant des appréciations et des évaluations complexes, comme dans les domaines de la politique agricole commune ( 78 ) ou de la politique commerciale commune ( 79 ), le législateur de l’Union dispose d’un large pouvoir d’appréciation ( 80 ) et le contrôle du juge est restreint en conséquence. Il ne lui appartient pas de déterminer si la mesure adoptée était la seule ou la meilleure possible, mais de vérifier qu’elle repose sur des éléments objectifs ( 81 ) et n’est pas manifestement inappropriée par rapport à l’objectif poursuivi ( 82 ).

97.

Il n’est, à cet égard, pas contesté que la directive 2006/24 constitue un moyen apte à réaliser le premier objectif, formel, qu’elle poursuit, à savoir garantir le bon fonctionnement du marché intérieur. Elle est incontestablement calibrée pour éliminer les disparités législatives et techniques ( 83 ), présentes et futures, des réglementations nationales imposant aux fournisseurs de services de communications électroniques des obligations de conservation des données.

98.

Il peut, par ailleurs, être admis, eu égard au pouvoir d’appréciation des institutions, que l’harmonisation réalisée par la directive 2006/24 était bien nécessaire aux fins de réduire les disparités, législatives et techniques, entre les exigences imposées aux fournisseurs de services de communications électroniques concernant les types de données à conserver, la durée et les conditions de conservation ( 84 ).

99.

Il reste, enfin, à examiner si la directive 2006/24 peut être considérée comme proportionnée au sens strict du terme.

100.

Parvenu à ce dernier stade de l’examen de la proportionnalité de la directive 2006/24 au sens de l’article 5, paragraphe 4, TUE, force est de constater qu’il existe une disproportion manifeste entre l’intensité de l’intervention dans le domaine de la régulation des droits fondamentaux, que représente l’ingérence dans le droit au respect de la vie privée qui, à travers la mise en œuvre de la directive 2006/24, s’impose aux États membres, et l’objectif tenant à la nécessité de garantir le fonctionnement du marché intérieur qu’elle poursuit de façon prépondérante ( 85 ) et qui justifiait son adoption sur le fondement de l’article 95 CE. L’incidence que la directive 2006/24 a, de par sa portée constitutive, sur les compétences de régulation et de garantie du contenu des droits fondamentaux des États membres ne saurait, à cet égard, être sous-estimée.

101.

La directive 2006/24 a, comme je l’ai montré ci-dessus, établi une obligation de collecte et de conservation de données s’imposant aux fournisseurs de services de communications électroniques qui, en dérogeant aux principes établis par la directive 95/46 et la directive 2002/58, constitue une ingérence caractérisée dans le droit au respect de la vie privée, notamment, tout en abandonnant aux États membres le soin de garantir effectivement le respect des droits fondamentaux.

102.

L’ingérence caractérisée dans le droit au respect de la vie privée que, comme conséquence de l’effet constitutif de la directive 2006/24, les États membres sont censés incorporer à leur propre ordre juridique, apparaît ainsi hors de proportion avec la seule nécessité de garantir le fonctionnement du marché intérieur, quand bien même il doit, par ailleurs, être considéré que cette collecte et cette conservation constituent des moyens adéquats et même nécessaires à la réalisation de l’objectif ultime poursuivi par ladite directive et visant à garantir les disponibilité desdites données aux fins de la recherche et de la poursuite d’infractions criminelles graves. En résumé, la directive 2006/24 ne parviendrait pas à surmonter le test de proportionnalité pour les raisons mêmes qui justifiaient sa base juridique. Les motifs de son salut au regard de la base juridique seraient, paradoxalement, les motifs de sa perte au regard de la proportionnalité.

103.

La question n’est pourtant pas si simple dès lors qu’il faut tenir compte du fait qu’un objectif «prépondérant» n’équivaut pas à un objectif «exclusif», quand bien même ledit objectif prépondérant aurait joué un rôle déterminant dans l’identification de la correcte base juridique. On doit, de ce point de vue, reconnaître qu’il existe bien un espace impliquant que, dans le cadre de l’examen de la proportionnalité de la directive 2006/24 au sens de l’article 5, paragraphe 4, TUE, soit pris en considération l’objectif ultime de répression des activités criminelles graves qu’elle poursuit. Dans cette optique, il pourrait sans difficulté être admis que la directive 2006/24 pourrait passer, en tant qu’acte de l’Union et en prenant soin de laisser de côté l’examen de la proportionnalité au sens de l’article 52, paragraphe 1, de la Charte, le test de proportionnalité au sens précis de l’article 5, paragraphe 4, TUE et être reconnue comme adéquate, nécessaire et même proportionnée au sens strict.

104.

La question qui, en définitive, se pose est celle de savoir si les problèmes de proportionnalité au sens strict qu’un acte de l’Union présente eu égard à l’objectif prépondérant qu’il poursuit peuvent être réparés par la prise en considération d’un objectif qui se situe à l’«arrière-plan». Cette question est d’autant plus difficile à trancher qu’elle se présente dans un contexte dans lequel la base juridique de l’acte en cause a été précisément validée en considération de son objectif prépondérant.

105.

Cependant, dans la mesure où la directive 2006/24 doit encore, en sa qualité d’acte limitant l’exercice des droits fondamentaux, être soumise à un examen de proportionnalité au titre de l’article 52, paragraphe 1, de la Charte, j’estime qu’il n’est pas nécessaire de trancher définitivement cette question dans le cadre des présentes affaires.

C – Sur les exigences dérivées de l’article 52, paragraphe 1, de la Charte (deuxième question dans l’affaire C‑293/12 et première question dans l’affaire C‑594/12)

106.

Ainsi que je l’ai déjà souligné ci-dessus, la directive 2006/24, qui harmonise les réglementations adoptées par les États membres dans le cadre de ce qui apparaît une possibilité prévue à l’article 15, paragraphe 1, de la directive 2002/58, instaure un régime partiellement dérogatoire aux principes établis par cette dernière et par la directive 95/46 et garantissant le droit à la protection des données personnelles et, plus largement, le droit au respect de la vie privée.

107.

Plus largement, l’ingérence dans le droit au respect de la vie privée que constitue la directive 2006/24 n’est admissible que pour autant qu’elle réponde aux conditions fixées par l’article 52, paragraphe 1, de la Charte, à condition donc d’être «prévue par la loi» et, plus précisément, de répondre aux exigences de la qualité de la loi, de respecter le contenu essentiel dudit droit et d’être proportionnée, c’est-à-dire d’être nécessaire et de répondre effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et des libertés d’autrui.

1. Sur la qualité de la loi

108.

Il est, en l’occurrence, à peine utile de préciser que, dès lors que la collecte et la conservation des données aux fins de leur disponibilité est prévue par la directive 2006/24, l’ingérence dans le droit au respect de la vie privée qu’elle constitue doit être considérée comme étant formellement prévue par la loi, au sens de l’article 52, paragraphe 1, de la Charte.

109.

Cela précisé, la conception de la condition d’être «prévue par la loi» de la Cour doit, compte tenu des dispositions de l’article 52, paragraphe 3, de la Charte, être proche de celle défendue par la Cour européenne des droits de l’homme, c’est-à-dire être une condition devant aller au-delà d’une exigence purement formelle pour appréhender le défaut de précision de la loi («qualité de la loi») ( 86 ), pour l’exprimer dans les termes les plus simples possible ( 87 ).

110.

Il est vrai qu’un tel examen pourrait tout autant trouver sa place dans le cadre d’une analyse circonstanciée de la proportionnalité de la limitation ( 88 ). Cependant, par souci de fidélité à l’approche de la jurisprudence de la Cour européenne des droits de l’homme, si d’autres raisons n’y suffisaient, j’estime devoir privilégier la première option.

111.

Suivant une compréhension plus que formelle de l’exigence selon laquelle toute limitation doit être prévue par la loi, la question qui se pose est celle de savoir si les limitations à l’exercice des droits fondamentaux que la directive 2006/24 comporte s’accompagnent de l’indispensable degré de détail que doivent présenter les garanties dont de telles limitations doivent être assorties.

112.

L’article 4 de la directive 2006/24 prévoit que c’est aux États membres qu’il incombe de prendre les mesures nécessaires pour veiller à ce que les données conservées ne soient transmises qu’aux autorités nationales compétentes, dans des cas précis et conformément au droit interne. La seconde phrase précise que «la procédure à suivre et les conditions à remplir pour avoir accès aux données conservées dans le respect des exigences de nécessité et de proportionnalité sont arrêtées par chaque État membre dans son droit interne, sous réserve des dispositions du droit de l’Union européenne ou du droit international public applicables en la matière, en particulier la CEDH telle qu’interprétée par la Cour européenne des droits de l’homme».

113.

La difficulté à laquelle nous confronte la directive 2006/24, qu’il me soit encore permis de le répéter, c’est qu’il s’agit d’une directive qui ne cherche qu’à mettre sur pied une obligation pesant sur les fournisseurs de services de communications électroniques de collecter et de conserver les données de trafic et de localisation des communications électroniques, et non les garanties qui doivent régir l’accès auxdites données conservées et leur exploitation. La directive 2006/24 s’en remet, à cet égard, comme nous l’avons vu, de façon générique aux États membres ( 89 ).

114.

Ainsi présentée, la question qui se pose n’est autre que celle de savoir si l’exigence que toute limitation des droits fondamentaux soit «prévue par la loi» peut se contenter d’un tel renvoi général, fût-il accompagné d’une référence expresse aux droits garantis par la directive 95/46 et la directive 2002/58.

115.

Il importe, à cet égard, de préciser tout d’abord qu’une situation dans laquelle l’Union se borne à adopter une législation procédant à l’harmonisation de dispositions invariablement adoptées par la généralité des États membres n’est pas comparable à une situation dans laquelle l’Union décide, de façon additionnelle, de la généralisation d’une telle législation.

116.

Dans le premier cas, l’Union peut procéder comme elle l’a fait avec la directive 2002/58, c’est-à-dire en laissant essentiellement aux législateurs nationaux la tâche de veiller à ce que la législation adoptée de leur propre initiative et impliquant une limitation des droits fondamentaux comporte toutes les garanties nécessaires pour que ces limitations et leur application («accès») répondent à toutes les exigences de la qualité de la loi et du principe de proportionnalité.

117.

Dans le second cas, au contraire, lorsque la limitation des droits fondamentaux procède de la législation de l’Union elle-même, et qu’elle lui est partant imputable, la part de responsabilité incombant au législateur de l’Union est tout autre. Dans le cas d’une directive, il est clair que ce sera aux États membres qu’il incombera de détailler les garanties appelées à encadrer la limitation des droits fondamentaux dans un cas comme celui qui nous occupe. Cependant, il apparaît également que le législateur de l’Union doit jouer un rôle directeur dans la définition même desdites garanties. C’est de cette perspective qu’il convient d’examiner le respect de l’exigence tenant à la qualité de la loi.

118.

En d’autres termes, la transition d’un régime facultatif, tel que celui susceptible d’être mis en place sur le fondement de l’article 15 de la directive 2002/58, à un régime prescriptif à l’échéance, tel que celui établi par la directive 2006/24, aurait dû s’accompagner d’une évolution parallèle en ce qui concerne les garanties et donc conduire le législateur de l’Union à encadrer de façon principielle la très large délégation accordée aux États membres en ce qui concerne l’accès aux données et leur exploitation par l’adoption de spécifications sous la forme de principes.

119.

En effet, il importe, à cet égard, de relever tout d’abord que tant la directive 95/46 que la directive 2002/58 précisent que les mesures de limitation des droits garantis que les États membres sont autorisés à adopter doivent être de nature législative ( 90 ). Or, la directive 2006/24 ne fait plus que marginalement mention de cette exigence formelle ( 91 ), affaiblissant ainsi le niveau des garanties établies par les directives auxquelles elle déroge ( 92 ).

120.

Le législateur de l’Union ne saurait, en effet, lorsqu’il adopte un acte imposant des obligations constitutives d’ingérences caractérisées dans les droits fondamentaux des citoyens de l’Union, totalement abandonner aux États membres le soin de définir les garanties de nature à les justifier. Il ne saurait se contenter ni de renvoyer aux autorités législatives et/ou administratives compétentes des États membres appelées, s’il échet, à adopter des mesures nationales d’exécution d’un tel acte le soin de définir et d’établir ces garanties, ni de s’en remettre intégralement aux autorités judiciaires chargées de contrôler son application concrète. Il doit, sous peine de vider de leur sens les dispositions de l’article 51, paragraphe 1, de la Charte, pleinement assumer sa part de responsabilité en définissant à tout le moins les principes devant présider à la définition, à l’établissement, à l’application et au contrôle du respect de ces garanties.

121.

Il a été dit et répété que la directive 2006/24, comme l’indique son article 4 ( 93 ), ne réglementait pas l’accès ( 94 ) aux données collectées et conservées ni leur exploitation, étant par ailleurs entendu qu’elle ne le pouvait pas eu égard à la répartition des compétences entre les États membres et l’Union ( 95 ). Mais la question qui se pose maintenant est précisément celle de savoir si l’Union peut ( 96 ) établir une mesure telle que l’obligation de collecte et de conservation des données en cause dans la durée sans en même temps l’encadrer avec des garanties sur les conditions auxquelles leur accès et leur exploitation seront subordonnés, à tout le moins sous forme de principes. C’est très précisément cet encadrement des conditions d’accès et d’exploitation des données collectées et conservées qui permet d’apprécier la portée de ce que cette ingérence implique concrètement et qui peut donc rendre cette dernière constitutionnellement supportable ou pas.

122.

Il existe, en effet, un rapport intime entre la configuration concrète de l’obligation de collecte et de conservation des données et les conditions dans lesquelles ces dernières sont, le cas échéant, mises à la disposition des autorités nationales compétentes et exploitées par celles-ci. Il y a même lieu de considérer que, sans la conscience de la façon dont cet accès et cette exploitation peuvent intervenir, il n’est pas vraiment possible de porter un jugement fondé sur l’ingérence que la collecte et la conservation en cause induisent.

123.

Tout en prenant en considération le fait que la base juridique de la directive 2006/24 était celle permettant d’assurer le bon fonctionnement du marché intérieur et que l’ensemble des modalités d’accès aux données et de leur exploitation ne pouvait être incorporé dans ses dispositions, l’effet constitutif de l’obligation de collecte et de conservation qu’elle comporte impliquait qu’elle s’accompagnât d’une série de garanties principielles, à titre de complément nécessaire et indispensable. À cet effet, le renvoi général aux États membres est insuffisant et le régime protecteur établi par la directive 95/46 ( 97 ) ou encore la décision-cadre 2008/977 ( 98 ) ne permet pas d’y remédier faute de trouver à s’appliquer.

124.

Même en acceptant la division évoquée par l’avocat général Bot dans ses conclusions dans l’affaire Irlande/Parlement et Conseil, précitée, et tout en partageant son point de vue selon lequel il était, à l’époque tout au moins, difficile d’incorporer les garanties concernant l’accès aux données conservées, rien ne s’opposait à ce que le législateur de l’Union, en définissant l’obligation de collecte et de conservation des données, accompagne celle-ci d’une série de garanties sous la forme à tout le moins de principes, à développer par les États membres, tendant à encadrer leur exploitation et, par cela même, à définir la mesure exacte et le profil complet de l’ingérence qu’elle comporte.

125.

Ainsi, et en l’absence de tout souci d’exhaustivité, il appartenait au législateur de l’Union de définir les principes fondamentaux qui devaient régir la définition des garanties minimales encadrant l’accès aux données collectées et conservées et leur exploitation, parmi lesquelles peuvent être citées les suivantes.

126.

Il lui appartenait d’orienter, eu égard à l’intensité de l’ingérence, la description des activités criminelles susceptibles de justifier l’accès des autorités nationales compétentes aux données collectées et conservées incorporant un degré de précision allant au-delà de celle d’«infractions graves» ( 99 ).

127.

Il aurait été nécessaire qu’il orientât la réglementation par les États membres de l’autorisation d’accès aux données collectées et conservées, en limitant celui-ci si ce n’est aux seules autorités judiciaires ( 100 ), à tout le moins à des autorités indépendantes, ou encore, à défaut, en soumettant toute demande d’accès au contrôle des autorités judiciaires ou d’autorités indépendantes et qu’il imposât un examen au cas par cas des demandes d’accès aux fins de limiter les données communiquées au strict nécessaire.

128.

Il pouvait, de même, être attendu qu’il posât comme principe la possibilité pour les États membres de prévoir des exceptions à l’accès aux données conservées dans certaines circonstances exceptionnelles, voire les conditions renforcées d’accès dans les hypothèses dans lesquelles un tel accès est susceptible de porter atteinte à des droits fondamentaux garantis par la Charte, comme dans le contexte du droit au secret médical.

129.

Le législateur de l’Union aurait dû poser le principe de l’obligation, pour les autorités autorisées à accéder aux données, d’une part, de les effacer une fois leur utilité épuisée et, d’autre part, d’informer les personnes concernées dudit accès, à tout le moins a posteriori, une fois écarté tout risque que cette information puisse porter atteinte à l’efficacité des mesures justifiant l’exploitation desdites données.

130.

La nécessité des différentes garanties ainsi énumérées, sans exhaustivité, se trouve confortée par la circonstance que le législateur de l’Union a lui-même, postérieurement à l’adoption de la directive 2006/24, adopté la décision-cadre 2008/977, qui garantit la protection des données personnelles traitées dans le cadre de la coopération policière et judiciaire en matière pénale, en prévoyant précisément des garanties de cette nature, ne serait-ce que dans le cadre des transmissions de données entre États membres. La décision-cadre 2008/977 exclut, en effet, de son champ d’application ce qui ne relève pas des échanges entre États membres, ainsi qu’il ressort notamment du considérant 9 de la décision-cadre 2008/977 ( 101 ).

131.

En conclusion, la directive 2006/24 est dans son ensemble incompatible avec l’article 52, paragraphe 1, de la Charte, dans la mesure où les limitations à l’exercice des droits fondamentaux qu’elle comporte, du fait de l’obligation de conservation des données qu’elle impose, ne s’accompagnent pas des principes indispensables appelés à régir les garanties nécessaires à l’encadrement de l’accès auxdites données et de leur exploitation.

132.

Il importe encore de faire observer à cet égard que le fait que les États membres aient fréquemment, de leur propre initiative et au titre des exigences propres à leur ordre juridique interne, mis en place les garanties que la directive 2006/24 ne s’emploie pas elle-même à esquisser ( 102 ) est, certes, une circonstance qui sera prise en considération, comme nous le verrons ci-dessous, mais elle ne saurait de toute évidence exonérer le législateur de l’Union.

2. Sur la proportionnalité au sens de l’article 52, paragraphe 1, de la Charte

133.

L’article 52, paragraphe 1, de la Charte exige non seulement que toute limitation de l’exercice des droits fondamentaux soit «prévue par la loi», mais aussi qu’elle intervienne dans le respect, strict, du principe de proportionnalité. Cette exigence de proportionnalité, comme déjà souligné, acquiert, dans le contexte de la Charte, une force particulière, qu’elle n’a pas dans le cadre de l’article 5, paragraphe 4, TUE. En effet, ce qui est ici postulé, ce n’est pas la proportionnalité comme principe général de l’action de l’Union mais, bien plus spécifiquement, la proportionnalité en tant que condition constitutive de toute limitation des droits fondamentaux.

134.

Dans cette perspective, la poursuite par les institutions de l’Union de l’objectif affiché par la directive 2006/24, à savoir garantir la disponibilité des données conservées aux fins de la poursuite des infractions criminelles graves, ne saurait être admise qu’à la condition de se concilier avec, notamment, le droit au respect de la vie privée ( 103 ).

135.

Il faut ici pourtant consigner que, eu égard aux exigences, examinées ci-dessus, imposant que la «loi» encadre, à tout le moins sous la forme de principes, de garanties suffisantes l’accès aux données collectées et conservées par les fournisseurs de services de communications électroniques et leur exploitation, la proportionnalité de la conservation même des données imposée par la directive 2006/24 n’appelle plus, à une exception près, un examen particulièrement détaillé au-delà de ce qui suit.

136.

La directive 2006/24, en effet, poursuit une fin parfaitement légitime, à savoir garantir la disponibilité des données collectées et conservées aux fins de la recherche, de la détection et de la poursuite d’infractions graves, et peut être considérée, compte tenu du contrôle limité que la Cour peut exercer à cet égard, comme adéquate et même, sous réserve des garanties dont elle devrait être assortie, comme nécessaire à la réalisation de cet objectif ultime ( 104 ). Ce sont ces garanties qui, en particulier, peuvent justifier la liste de catégories de données à conserver, prévue à l’article 5 de la directive 2006/24, certainement très longue.

137.

La circonstance qu’il soit possible d’échapper à l’emprise de la directive 2006/24 par l’utilisation de certains modes de communication est, certes, incontestablement de nature à considérablement relativiser l’efficacité même du régime de collecte des données de trafic et de localisation qu’elle impose, en particulier en ce qui concerne la criminalité organisée et le terrorisme. Elle ne saurait, pour autant, permettre de considérer que la collecte et la conservation des données sont en soi totalement inaptes à la réalisation des objectifs poursuivis. Elle ne saurait, pas plus, permettre à la Cour de conclure que la collecte et la conservation des données afférentes aux communications électroniques courantes sont manifestement totalement dénuées de toute utilité.

138.

Il importe cependant, sous la perspective de la nécessité de la mesure, d’insister ici sur l’importance des dispositions de l’article 14 de la directive 2006/24, qui prévoit l’obligation pour la Commission d’établir un ( 105 ) rapport ( 106 ) sur son application, sur la base notamment des statistiques à établir par les États membres en vertu de son article 10, et de proposer sur cette base les modifications qui s’imposent le cas échéant, notamment en ce qui concerne la liste des catégories de données à collecter et à conserver et la durée de conservation.

139.

En ce sens, et étant donné que la directive 2006/24 ne comporte aucune disposition prévoyant sa caducité («sunset clause»), il est du devoir du législateur de l’Union de procéder à une réévaluation périodique des circonstances justifiant la limitation caractérisée de l’exercice du droit au respect de la vie privée qu’elle comporte, lui permettant ainsi d’examiner la pérennité desdites circonstances et de moduler, voire d’abroger en conséquence, ladite limitation.

140.

Cela précisé, l’exception que je viens d’évoquer concerne la proportionnalité de l’article 6 de la directive 2006/24, définissant la durée de conservation des données collectées.

141.

L’article 6 de la directive 2006/24 fixe l’un des éléments fondamentaux de la conservation des données qu’elle harmonise ou, le cas échéant, met en place, à savoir sa portée limitée dans le temps. Toutes les données conservées, en effet, sont en principe appelées à disparaître avec le temps, étant précisé qu’il ne saurait en aller autrement. Cependant, à la différence du principe établi par la directive 2002/58, dont l’article 6, paragraphe 1, prévoit l’effacement ou l’anonymisation des données de trafic traitées et stockées dès qu’elles cessent d’être nécessaires à la transmission d’une communication ( 107 ), l’obligation d’assurer la disparition de ces données ne s’impose pas de façon quasi immédiate, mais au terme de l’écoulement d’un certain laps de temps seulement. Les États membres sont tenus de garantir la conservation des données collectées pendant une durée qui ne peut en aucun cas être inférieure à six mois et qui, sous réserve de la dérogation prévue à l’article 12 de la directive 2006/24, ne peut être supérieure à deux années, la fixation concrète de cette durée incombant aux législateurs nationaux.

142.

Par cette prévision, la conservation des données («data retention») qui nous occupe acquiert une dimension de continuité temporelle qui contribue de manière décisive à la caractérisation de l’ingérence dans le droit au respect de la vie privée que comporte la directive 2006/24, en particulier par opposition à l’ingérence que produirait la conservation des données a posteriori («data preservation»), ce qu’il est convenu d’appeler le «quick freeze» ( 108 ). L’idée selon laquelle l’accumulation des données en cause ne puisse se perdre pendant un certain temps est l’un des aspects clés d’une mesure dont l’ambition est de fournir aux pouvoirs publics une capacité de réaction supérieure à l’égard de certaines formes graves de criminalité. La question est, cependant, celle de savoir si les termes dans lesquels l’article 6 de la directive 2006/24 dispose, en la forme d’un plancher de six mois et d’un plafond de deux ans, répondent de manière adéquate aux exigences du principe de proportionnalité.

143.

En ce sens, une fois qu’il peut être considéré comme acquis que la mesure est en elle-même légitime et adéquate, il reste à apprécier sa nécessité et, concrètement, à vérifier si une mesure moins perturbatrice pour la jouissance des droits fondamentaux en cause ne pourrait permettre d’atteindre l’objectif poursuivi. De ce point de vue, qu’il me soit permis de préciser que l’on ne saurait se contenter de considérer que ce sont les États membres qui assument seuls la responsabilité de la fixation éventuelle d’un délai de conservation atteignant les deux ans. À partir du moment où la directive 2006/24, dans sa fonction harmonisatrice, porte la limite supérieure de conservation des données à deux années, cette prévision doit elle-même être soumise au contrôle de proportionnalité. Il est, sur ce point, à peine nécessaire de rappeler que la question n’est pas celle de savoir si, du point de vue de la répression des activités criminelles graves, une période plus longue de conservation et de mise à disposition est préférable à une période plus brève, mais si, dans le cadre d’un examen de sa proportionnalité, elle est spécifiquement nécessaire.

144.

Il convient, à cet égard, de rappeler en premier lieu qu’une accumulation de données dans des lieux indéterminés du cyberespace comme celle en cause, concernant toujours des personnes concrètes et déterminées, tend, quelle que soit sa durée, à être perçue comme une anomalie. En principe, un tel état de «rétention» de données afférentes à la vie privée, quand bien il ne demeurerait que cela, ne devrait jamais exister et, s’il existe, ne le devrait qu’en considération d’autres impératifs de la vie sociale. Une telle situation ne peut être qu’exceptionnelle et, en ce sens, ne saurait se prolonger dans le temps au-delà de ce qui est indispensable.

145.

La durée de conservation susceptible d’être considérée comme admissible au regard du principe de proportionnalité ne saurait être déterminée sans que soit reconnue au législateur une marge certaine d’appréciation. Cela n’implique cependant pas que tout contrôle, même délicat, de proportionnalité soit exclu sur ce point.

146.

À cet égard, il me paraît utile de rappeler que l’être humain mène son existence dans un temps par définition limité où convergent tant le passé, sa propre histoire et en définitive sa mémoire, que le présent, le vécu plus ou moins immédiat, la conscience de ce qu’il est en train de vivre ( 109 ). Même si elle est difficile à définir, une ligne sépare le passé du présent, assurément différente pour chacun ou chacune. Ce qui apparaît peu discutable, c’est la possibilité de faire la différence entre la perception du temps présent et la perception du temps passé. Dans chacune de ces perceptions, la conscience de sa propre vie, la «vie privée» singulièrement, comme vie «enregistrée» peut jouer. Et il y a une différence selon que cette «vie enregistrée» est celle que l’on perçoit comme présente et celle que l’on vit comme sa propre histoire.

147.

J’estime que ces considérations peuvent se projeter sur l’analyse de la proportionnalité de l’article 6 de la directive 2006/24. Dès lors que le principe de la conservation de toute cette documentation personnelle durant un certain temps est considéré comme légitime, il reste à se demander s’il est inévitable, c’est-à-dire nécessaire, de l’imposer aux particuliers sur une durée qui s’étend non seulement au «temps présent», mais également au «temps historique».

148.

En ce sens, et avec toute la conscience de la subjectivité que cela engage, il peut être considéré qu’une durée de conservation de données personnelles «qui se mesure en mois» est à bien différencier d’une durée «qui se mesure en années». La première correspondrait à celle qui se situe dans la vie qui se perçoit comme présente et la seconde à celle qui se situe dans la vie qui se perçoit comme mémoire. L’ingérence dans le droit au respect de la vie privée est, dans cette perspective, chaque fois différente et la nécessité de chacune de ces ingérences doit pouvoir être justifiée.

149.

Or, si la nécessité de l’ingérence dans la dimension du temps présent apparaît comme suffisamment justifiée, je n’ai trouvé aucune justification à une ingérence devant s’étendre dans le temps historique. Exprimé plus directement, et sans nier qu’il y ait des activités criminelles qui se préparent longtemps à l’avance, je n’ai trouvé, dans les différentes prises de position défendant la proportionnalité de l’article 6 de la directive 2006/24, aucune justification suffisante pour que la durée de conservation des données à établir par les États membres doive ne pas demeurer dans une limite inférieure à une année. Autrement dit, et avec toute la prudence que cette dimension du contrôle de proportionnalité requiert toujours, aucun argument n’est parvenu à me convaincre de la nécessité de prolonger la conservation des données au-delà d’une année.

150.

Enfin, il doit également être souligné que la directive 2006/24 offre elle-même un argument supplémentaire avec le système de prorogation de la durée maximale de conservation des données qu’elle comporte. L’article 12 de ladite directive offre, en effet, la possibilité aux États membres confrontés à des circonstances particulières, en l’occurrence non définies, de prolonger la période de conservation maximale arrêtée en application de son article 6. Une telle prolongation n’est toutefois possible que pour une période limitée, doit être motivée et notifiée à la Commission qui dispose d’un délai de six mois pour statuer sur les mesures envisagées, c’est-à-dire vérifier si elles représentent un moyen de discrimination arbitraire ou une restriction déguisée aux échanges entre États membres et si elles constituent une entrave au fonctionnement du marché intérieur.

151.

Quand bien même la Commission ne pourrait, conformément à l’article 12, paragraphe 2, de la directive 2006/24, rejeter ces mesures que pour des motifs limités, l’existence de ce système de prorogation me conforte dans l’idée que la fixation, par l’article 6 de ladite directive, d’une durée maximale de conservation des données pouvant aller jusqu’à deux ans en l’absence de circonstances exceptionnelles n’est pas nécessaire et qu’elle doit être considérée comme incompatible avec les exigences découlant des articles 7 et 52, paragraphe 1, de la Charte.

152.

Il s’ensuit que l’article 6 de la directive 2006/24 est incompatible avec les articles 7 et 52, paragraphe 1, de la Charte dans la mesure où il impose aux États membres de garantir que les données visées à son article 5 soient conservées pendant une durée pouvant atteindre deux ans.

D – Sur la troisième question dans l’affaire C‑293/12

153.

Compte tenu des réponses apportées aux deux premières séries de questions des juridictions de renvoi concernant la validité de la directive 2006/24, il ne paraît pas nécessaire d’apporter une réponse à la troisième question préjudicielle posée par la High Court dans l’affaire C‑293/12, sur les obligations d’examen et d’évaluation des mesures nationales de transposition d’une directive avec les garanties prévues par la Charte pesant sur les juridictions nationales. Néanmoins, et à toutes fins utiles, il me semble que, comme l’ont souligné l’ensemble des parties ayant présenté des observations sur ce point, cette question appelle de toute évidence, eu égard aux dispositions et dans le cadre de l’article 51, paragraphe 1, de la Charte, une réponse positive ( 110 ).

VI – Sur les effets dans le temps de l’invalidité constatée

154.

Eu égard aux conclusions auxquelles me mènent les développements qui précèdent, il me reste à examiner les conséquences de la déclaration d’invalidité de la directive 2006/24 dans le temps.

155.

Il doit, à cet égard, être rappelé que, lorsque la Cour constate, dans le cadre d’une procédure initiée en vertu de l’article 267 TFUE, l’invalidité d’un acte adopté par les institutions de l’Union, sa décision a comme conséquence juridique de leur imposer de prendre les mesures nécessaires pour remédier à l’illégalité constatée, l’obligation établie à l’article 266 TFUE en cas d’arrêt d’annulation s’appliquant en pareil cas par analogie ( 111 ).

156.

Toutefois, lorsque des considérations impérieuses de sécurité juridique le justifient, la Cour bénéficie, en vertu de l’article 264, second alinéa, TFUE, applicable par analogie dans le cadre d’un renvoi préjudiciel en appréciation de validité des actes de l’Union au titre de l’article 267 TFUE, d’un pouvoir d’appréciation pour indiquer, dans chaque cas particulier, ceux des effets de l’acte concerné qui doivent être considérés comme définitifs ( 112 ).

157.

Dans les cas de figure dans lesquels la constatation d’invalidité d’un acte de l’Union trouve son fondement dans une atteinte aux droits fondamentaux, la mise en balance des différents intérêts en présence doit faire l’objet d’une pondération très attentive. En l’occurrence, la pertinence et même l’urgence des fins ultimes de la restriction des droits fondamentaux en cause n’est, d’un côté, pas douteuse. Les invalidités constatées sont, d’un autre côté, d’une nature singulière. D’une part, la directive 2006/24 est invalide du fait de l’absence d’encadrement suffisant des garanties régissant l’accès aux données collectées et conservées et leur exploitation (qualité de la loi), laquelle peut toutefois avoir trouvé correction dans le cadre des mesures de transposition adoptées par les États membres. D’autre part, les États membres ont, de façon générale, ainsi qu’il ressort des éléments fournis à la Cour, exercé leurs compétences avec modération pour ce qui est de la durée maximale de conservation des données.

158.

Il y a lieu, dans ces conditions, de tenir en suspens les effets du constat d’invalidité de la directive 2006/24, le temps que le législateur de l’Union prennent les mesures nécessaires pour remédier à l’invalidité constatée, étant précisé que ces mesures doivent intervenir dans un délai raisonnable.

VII – Conclusion

159.

À la lumière des développements qui précèdent, je propose à la Cour de répondre aux questions préjudicielles posées par la High Court dans l’affaire C‑293/12 et par le Verfassungsgerichtshof dans l’affaire C‑594/12 dans les termes suivants:

«1)

La directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE, est dans son ensemble incompatible avec l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, dans la mesure où les limitations à l’exercice des droits fondamentaux qu’elle comporte, du fait de l’obligation de conservation des données qu’elle impose, ne s’accompagnent pas des principes indispensables appelés à régir les garanties nécessaires à l’encadrement de l’accès auxdites données et de leur exploitation.

2)

L’article 6 de la directive 2006/24 est incompatible avec les articles 7 et 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne en ce qu’il impose aux États membres de garantir que les données visées à son article 5 soient conservées pendant une durée dont la limite supérieure est fixée à deux ans.»


( 1 ) Langue originale: le français.

( 2 ) Il s’agit, en l’occurrence, de la directive du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE (JO L 105, p. 54).

( 3 ) Ci-après la «Charte».

( 4 ) Il doit être observé que la transposition de la directive 2006/24 a suscité plusieurs recours en constatation de manquement et qu’un recours fondé sur l’article 260, paragraphe 3, TFUE est toujours pendant (affaire Commission/Allemagne, C‑329/12).

( 5 ) JO L 281, p. 31. Sur le contentieux suscité par la transposition de cette directive, voir arrêts du 9 mars 2010, Commission/Allemagne (C-518/07, Rec. p. I-1885); du 16 octobre 2012, Commission/Autriche (C‑614/10); voir également, plus largement, arrêts du 20 mai 2003, Österreichischer Rundfunk e.a. (C-465/00, C-138/01 et C-139/01, Rec. p. I-4989); du 6 novembre 2003, Lindqvist (C-101/01, Rec. p. I-12971); du 16 décembre 2008, Huber (C-524/06, Rec. p. I-9705) et Satakunnan Markkinapörssi et Satamedia (C-73/07, Rec. p. I-9831); du 7 mai 2009, Rijkeboer (C-553/07, Rec. p. I-3889); du 9 novembre 2010, Volker und Markus Schecke et Eifert (C-92/09 et C-93/09, Rec. p. I-11063); du 24 novembre 2011, Scarlet Extended (C-70/10, Rec. p. I-11959) et ASNEF et FECEMD (C-468/10 et C-469/10, Rec. p. I-12181), ainsi que du 30 mai 2013, Worten (C‑342/12).

( 6 ) JO L 201, p. 37. Sur le contentieux suscité par la transposition de cette directive, voir arrêts du 28 avril 2005, Commission/Luxembourg (C‑375/04) et Commission/Belgique (C‑376/04), ainsi que du 1er juin 2006, Commission/Grèce (C‑475/04); voir également, plus largement, arrêt du 29 janvier 2008, Promusicae (C-275/06, Rec. p. I-271); ordonnance du 19 février 2009, LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten (C-557/07, Rec. p. I-1227); arrêts du 5 mai 2011, Deutsche Telekom (C-543/09, Rec. p. I-3441); Scarlet Extended, précité; du 19 avril 2012, Bonnier Audio e.a. (C‑461/10), et du 22 novembre 2012, Probst (C‑119/12).

( 7 ) Ci-après la «loi de 2005 sur la justice pénale».

( 8 ) Datenschutzgesetz 2000, BGBl. I, 165/1999, dans la version publiée au BGBl. I, 112/2011, ci-après le «DSG».

( 9 ) Bundesgesetz, mit dem das Telekommunikationsgesetz 2003 – TKG 2003 geändert wird, BGBl. I, 27/2011.

( 10 ) Telekommunikationsgesetz 2003, ci-après le «TKG 2003».

( 11 ) Voir, quant au libellé de cet article, l’annexe I, sous III.2.

( 12 ) Ci-après «DRI».

( 13 ) Ci-après la «CEDH».

( 14 ) Ci-après le «B‑VG».

( 15 ) Ci-après l’«IHRC».

( 16 ) Ci-après le «CEPD».

( 17 ) C-301/06, Rec. p. I-593.

( 18 ) Voir article 1er, paragraphe 1, de la directive 95/46.

( 19 ) Voir article 1er, paragraphe 2, de la directive 95/46.

( 20 ) Voir articles 10 et 11 de la directive 95/46.

( 21 ) Voir article 12 de la directive 95/46.

( 22 ) Voir article 14 de la directive 95/46.

( 23 ) Voir article 22 de la directive 95/46.

( 24 ) Directive du Parlement européen et du Conseil, du 15 décembre 1997, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications (JO 1998, L 24, p. 1).

( 25 ) Suivant les termes mêmes de l’article 1er, paragraphe 2, de la directive 2002/58.

( 26 ) Voir article 1er, paragraphe 1, de la directive 2002/58.

( 27 ) Voir, en particulier, outre l’article 5, paragraphe 2, l’article 15, paragraphe 1, de la directive 2002/58.

( 28 ) Voir article 5, paragraphe 1, de la directive 2002/58.

( 29 ) C’est moi qui souligne.

( 30 ) Voir, notamment, six premiers considérants de la directive 2006/24.

( 31 ) Par commodité de langage, je me réfère simplement, dans la suite des développements, aux «fournisseurs de services de communications électroniques».

( 32 ) Voir considérant 21 et article 1er, paragraphe 1, de la directive 2006/24.

( 33 ) Voir considérants 4 et 5 de la directive 2006/24.

( 34 ) L’article 3, paragraphe 1, de la directive 2006/24 précise que l’obligation de conservation des données qu’il prévoit l’est par dérogation aux articles 5, 6 et 9 de la directive 2002/58.

( 35 ) Voir point 84.

( 36 ) Suivant l’expression employée par la Cour au point 80 de son arrêt Irlande/Parlement et Conseil.

( 37 ) Voir points 80 et 81.

( 38 ) Voir point 72.

( 39 ) Voir points 63, 65 à 69.

( 40 ) Voir points 64 et 70.

( 41 ) Il s’agissait, en l’occurrence, d’éviter que les divergences entre les différentes réglementations nationales ne s’accentuent; voir arrêt Irlande/Parlement et Conseil, précité (points 64 et 70).

( 42 ) C’est moi qui souligne.

( 43 ) Le considérant 5 de la directive 2006/24 indique que les législations nationales «varient considérablement».

( 44 ) C’est moi qui souligne.

( 45 ) Voir, ci-dessous, point 72, les développements que je consacre à ce sentiment.

( 46 ) Suivant la doctrine dite du «chilling effect» (effet dissuasif). US Supreme Court, Wiemann v. Updegraff, 344 US 183 (1952); Cour eur. D. H., arrêt Altuğ Taner Akçam c. Turquie du 25 octobre 2011, requête no 27520/07, § 81; voir, notamment, «The Chilling Effect in Constitutional Law», Columbia Law Review, 1969, volume 69, no 5, p. 808.

( 47 ) Décision-cadre du Conseil, du 27 novembre 2008, relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (JO L 350, p. 60).

( 48 ) Ainsi que j’ai déjà eu l’occasion de l’exposer aux points 74 à 80 de nos conclusions dans l’affaire ayant donné lieu à l’arrêt Scarlet Extended, précité.

( 49 ) Sur cette notion, voir notamment Hoffmann-Riem, W., «Informationelle Selbstbestimmung in der Informationsgesellschaft – auf dem Wege zu einem neuen Konzept des Datenschutzes», Archiv des öffentlichen Rechts, 1998, volume 123, p. 513, ainsi que Poullet, Y., et Rouvroy, A., «Le droit à l’autodétermination informationnelle et la valeur du développement personnel. Une réévaluation de l’importance de la vie privée pour la démocratie», dans État de droit et virtualité, Benyekhlef, K., et Trudel, P., éd., Thémis, Montréal, 2009, p. 158.

( 50 ) Voir considérant 15 de la directive 2006/24.

( 51 ) Voir considérant 20 de la directive 2006/24.

( 52 ) En ce sens, point 51 des conclusions de l’avocat général Kokott dans l’affaire ayant donné lieu à l’arrêt Promusicae, précité.

( 53 ) Arrêt Volker und Markus Schecke et Eifert, précité. Ce lien est également explicitement établi dans les explications relatives à la Charte; Voir explication ad article 8 – protection des données à caractère personnel, qui précise que l’article 8 de la Charte est notamment fondé sur l’article 8 de la CEDH, consacrant le droit à la vie privée.

( 54 ) Ce lien implique notamment que la jurisprudence de la Cour européenne des droits de l’homme sur l’interprétation de l’article 8 de la CEDH, consacrant le droit au respect de la vie privée et familiale, relative à la protection des données personnelles conserve, conformément à l’article 52, paragraphe 3, de la Charte, toute sa pertinence pour l’interprétation de l’article 8 de la Charte.

( 55 ) Arrêt Volker und Markus Schecke et Eifert, précité (point 52).

( 56 ) La Cour européenne des droits de l’homme a itérativement jugé qu’il ne lui était «ni possible ni nécessaire de chercher à définir de manière exhaustive la notion de ‘vie privée’»; voir notamment arrêt Niemietz c. Allemagne du 16 décembre 1992, requête no 13710/88, série A no 251-B, § 29. Il s’agit, en tout état de cause, d’une notion «large»; voir arrêt Pretty c. Royaume-Uni du 19 avril 2002. Sur la notion de vie privée, voir notamment Rubenfeld, J., «The Right of Privacy», Harvard Law Review, 1989, volume 102, p. 737; De Schutter, O., «La vie privée entre droit de la personnalité et liberté», Revue trimestrielle des droits de l’homme, 1999, p. 827; Wachsmann, P., «Le droit au secret de la vie privée», dans Sudre, F., Le droit au respect de la vie privée au sens de la Convention européenne des droits de l’homme, Bruylant, 2005, p. 119, et Rigaux, F., «La protection de la vie privée en Europe», dans Le droit commun de l’Europe et l’avenir de l’enseignement juridique, de Witte, B., et Forder, C., éd., Metro, Kluwer, 1992, p. 185.

( 57 ) Voir considérant 9 de la directive 2006/24.

( 58 ) Voir arrêt Irlande/Parlement et Conseil, précité (point 57) ainsi que les développements que je lui consacre ci-dessous.

( 59 ) Voir, notamment, arrêt Leander c. Suède du 26 mars 1987, série A no 116, p. 22, § 48.

( 60 ) Voir, notamment, arrêt Amann c. Suisse du 16 février 2000, no 27798/95, CEDH 2000‑II, § 65, 69 et 80.

( 61 ) C’est moi qui souligne.

( 62 ) Voir considérant 13, articles 1er, paragraphe 2, et 5, paragraphe 2.

( 63 ) En ce sens, voir Nettesheim, M., Grundrechtsschutz der Privatheit, dans Der Schutzauftrag des Rechts, Veröffentlichungen der Vereinigung der Deutschen Staatsrechtslehrer, 2011, volume 70, p. 7.

( 64 ) Sur l’ingérence résultant de la seule détention d’informations, par ailleurs collectées avant l’entrée en vigueur de la convention européenne des droits de l’homme, voir Cour eur. D. H., arrêt Rotaru c. Roumanie du 4 mai 2000, requête no 28341/95, CEDH 2000‑V, § 46.

( 65 ) Le considérant 13 de la directive 2006/24 précise que l’obligation de conservation ne concerne que les «données qui sont accessibles», ce qui implique que, pour les données afférentes au courrier électronique par l’internet et à la téléphonie par l’internet, elle ne peut s’appliquer «qu’à l’égard des données émanant des propres services des opérateurs ou des fournisseurs de réseau».

( 66 ) Pour reprendre l’expression employée par le Bundesverfassungsgericht dans sa décision du 2 mars 2010, 1 BvR 256/08, 1 BvR 263/08 et 1 BvR 586/08, http://www.bundesverfassungsgericht.de/entscheidungen/rs20100302_1bvr025608.html.

( 67 ) Sur la prise en compte de l’effet démultiplicateur des technologies modernes d’information, et notamment d’Internet, voir en particulier Cour eur. D. H., arrêts Mouvement raëlien suisse c. Suisse du 13 janvier 2011, requête no 16354/06, § 54 et suiv.; Akdaş c. Turquie du 16 février 2010, requête no 41056/04, § 28, et Willem c. France du 16 juillet 2009, requête no 10883/05, § 36 et 38.

( 68 ) Voir article 3, paragraphe 1, de la directive 2006/24, qui définit l’obligation de conservation.

( 69 ) Voir article 8 de la directive 2006/24, intitulé «Conditions à observer pour le stockage des données conservées».

( 70 ) Ce qu’a relevé le Bundesverfassungsgericht dans sa décision du 2 mars 2010, précitée (§ 214).

( 71 ) En ce sens, Bast, J., et von Bogdandy, A., dans Grabitz, Hilf et Nettesheim, Das Recht der Europäischen Union, Beck, 50. Lieferung 2013, Artikel 5, et Streinz, R., dans Streinz, R., éd., EUV/AEUV, Beck, 2e éd. 2012, Artikel 5.

( 72 ) Voir article 4, paragraphe 2, sous a), TFUE.

( 73 ) Voir arrêts du 29 mars 2012, Commission/Pologne (C‑504/09 P, point 79) et Commission/Estonie (C‑505/09 P, point 81).

( 74 ) Proposition de directive du Parlement européen et du Conseil sur la conservation de données traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public, et modifiant la directive 2002/58 [COM(2005) 438 final].

( 75 ) Voir, notamment, arrêts du 6 décembre 2005, ABNA e.a. (C-453/03, C-11/04, C-12/04 et C-194/04, Rec. p. I-10423, point 68); du 8 juin 2010, Vodafone e.a. (C-58/08, Rec. p. I-4999, point 51), et Volker und Markus Schecke et Eifert, précité (point 74).

( 76 ) Qualification retenue par la Cour dans son arrêt Irlande/Parlement et Conseil, précité (point 85)

( 77 ) Voir, en particulier, arrêt du 14 mai 2009, Azienda Agricola Disarò Antonio e.a. (C-34/08, Rec. p. I-4023, points 76 à 83).

( 78 ) Ibidem (point 76 et jurisprudence citée).

( 79 ) Voir, en particulier, arrêt du 19 novembre 1998, Royaume-Uni/Conseil (C-150/94, Rec. p. I-7235).

( 80 ) Voir, notamment, arrêts du 1er février 2007, Sison/Conseil (C-266/05 P, Rec. p. I-1233, points 32 à 34); du 16 décembre 2008, Arcelor Atlantique et Lorraine e.a. (C-127/07, Rec. p. I-9895, point 57), et Vodafone e.a., précité (point 52).

( 81 ) Voir arrêt Vodafone e.a., précité (point 53).

( 82 ) Voir, notamment, arrêts du 12 juillet 2001, Jippes e.a. (C-189/01, Rec. p. I-5689, points 82 et 83); du 10 décembre 2002, British American Tobacco (Investments) et Imperial Tobacco (C-491/01, Rec. p. I-11453, point 123); du 12 juillet 2005, Alliance for Natural Health e.a. (C-154/04 et C-155/04, Rec. p. I-6451, point 52), et du 28 juillet 2011, Agrana Zucker (C-309/10, Rec. p. I-7333, point 84).

( 83 ) Voir considérant 6 de la directive 2006/24.

( 84 ) Voir considérant 6 de la directive 2006/24. Voir, également, rapport d’évaluation concernant la directive sur la conservation des données (directive 2006/24/CE) remis par la Commission au Parlement européen et au Conseil, du 18 avril 2011, [COM(2011) 225 final, point 3.2, ci-après, le «rapport d’évaluation de la directive 2006/24»].

( 85 ) Voir arrêt Irlande/Parlement et Conseil, précité (point 85).

( 86 ) La Cour, cela doit être souligné, n’a jusqu’à présent pas eu l’occasion de se prononcer sur le contenu des exigences minimales de la «qualité de la loi», ni sur les obligations pesant respectivement sur les institutions et les États membres de l’Union à cet égard.

( 87 ) Voir, à cet égard, points 88 à 100 de mes conclusions dans l’affaire Scarlet Extended.

( 88 ) Comme l’a fait le Bundesverfassungsgericht dans sa décision du 2 mars 2010, précitée, § 197 à 203.

( 89 ) En ce sens, voir également arrêt Irlande/Parlement et Conseil, précité.

( 90 ) Voir considérant 54 et article 13, paragraphes 1 et 2, de la directive 95/46 et article 15, paragraphe 1, de la directive 2002/58.

( 91 ) La seule référence à cette exigence faite par la directive 2006/24 se trouve dans son considérant 17, qui précise qu’il est fondamental que les États membres prennent des mesures législatives pour faire en sorte que les données conservées ne soient transmises qu’aux autorités nationales compétentes conformément à la législation nationale et dans le respect total des droits fondamentaux des personnes concernées. Cette précision ne figure toutefois pas dans les dispositions de l’article 4 de la directive 2006/24 correspondant.

( 92 ) Il doit ici être rappelé que, comme la Cour l’a relevé, il ressort notamment du considérant 10 et de l’article 1er de la directive 95/46 que celle-ci vise également à ne pas affaiblir la protection qu’assurent les règles nationales existantes, mais au contraire à garantir, dans l’Union, un niveau élevé de protection des libertés et des droits fondamentaux à l’égard du traitement de données à caractère personnel; voir arrêt du 9 mars 2010, Commission/Allemagne, précité (point 22).

( 93 ) L’article 4 de la directive 2006/24 précise que c’est aux États membres qu’il incombe de veiller à ce que les données conservées «ne soient transmises qu’aux autorités nationales compétentes, dans des cas précis et conformément au droit interne» et, plus précisément, d’arrêter dans leur droit interne «la procédure à suivre et les conditions à remplir pour avoir accès aux données conservées».

( 94 ) C’est moi qui souligne.

( 95 ) Sur ce point, voir points 122 et suiv. des conclusions de l’avocat général Bot dans l’affaire Irlande/Parlement et Conseil, précitée. Voir, également article 3, paragraphe 2, premier tiret, de la directive 95/46, ainsi que décision-cadre 2008/977.

( 96 ) C’est moi qui souligne.

( 97 ) Sur le traitement des données personnelles ayant pour objet les activités de l’État relatives à des domaines du droit pénal, la sécurité publique ou la sûreté de l’État, voir article 3, paragraphe 2, premier tiret, de la directive 95/46.

( 98 ) Voir article 1er, paragraphe 2, et considérants 7 et 9 de ladite décision-cadre.

( 99 ) Voir considérant 21 et article 1er, paragraphe 1, de la directive 2006/24.

( 100 ) L’article 4 de la directive 2006/24 réserve l’accès aux données conservées aux autorités nationales compétentes, ce qui implique que ledit accès n’est pas nécessairement réservé aux autorités judiciaires.

( 101 ) Voir également article 1er, paragraphe 2, et considérant 7 de ladite décision-cadre.

( 102 ) Il doit, à cet égard, être souligné que la transposition de la directive 2006/24 dans les différents États membres n’a pas été sans difficultés et continue à susciter des difficultés de différents ordres, comme en témoignent les décisions rendues par la Curtea Constituțională (Cour constitutionnelle roumaine, voir décision du 8 octobre 2009, no 1.258; pour une traduction en anglais, voir <http://www.ccr.ro/files/products/D1258_091.pdf>), par le Bundesverfassungsgericht (Cour constitutionnelle fédérale allemande, voir décision du 2 mars 2010, précitée), par l’Ústavní Soud (Cour constitutionnelle tchèque, voir arrêt du 22 mars 2011, Pl. ÚS 24/10; pour une traduction en anglais, voir <http://www.usoud.cz/en/decisions/?tx_ttnews%5Btt_news%5D=40&cHash=bbaa1c5b1a7d6704af6370fdfce5d34c>), par le Varhoven administrativen sad (Cour administrative suprême bulgare, décision du 11 décembre 2008, no 13627) ou encore par l’Anotato Dikastirio tis Kypriakis Dimokratias [Cour suprême chypriote, décision du 1er février 2011, no 183(Ι)/2007]. Un recours aurait été introduit devant la Alkotmánybíróság (Cour constitutionnelle hongroise, voir «Hungarian Data Retention Law – Challenged at the Constitutional Court», EDRI-Gram no 6.11, 4 juin 2008) et un autre serait pendant devant l’Ustavno sodišče (Cour constitutionnelle slovène, voir «Slovenia: Information Commissioner challenges the Data Retention Law», EDRI-Gram no 11.6, 27 March, 2013).

( 103 ) Voir, arrêt Volker und Markus Schecke et Eifert, précité (point 76).

( 104 ) Le considérant 9 de la directive 2006/24 précise, à cet égard, qu’elle constitue un «outil d’investigation nécessaire et efficace pour les enquêtes menées par les services répressifs dans plusieurs États membres et, en particulier, relativement aux affaires graves telles que celles liées à la criminalité organisée et au terrorisme». Sur ce point, voir rapport d’évaluation de la directive 2006/24.

( 105 ) C’est moi qui souligne.

( 106 ) La Commission a rempli son obligation à cet égard avec la publication du rapport d’évaluation de la directive 2006/24.

( 107 ) Sur l’omniprésence du principe de l’effacement dans la directive 2002/58, voir plus largement ses considérants 22, 23, 26, 27 et 28.

( 108 ) C’est cette conservation a posteriori que prévoit notamment l’article 16 de la convention du Conseil de l’Europe sur la cybercriminalité, signée à Budapest le 23 novembre 2001. Sur ce concept, voir le rapport d’évaluation de la directive 2006/24.

( 109 ) Elias, N., Du temps, Fayard, 1998, et Rosa, H., Accélération. Une critique sociale du temps, La Découverte, 2013.

( 110 ) Voir, notamment, arrêts du 23 novembre 2010, Tsakouridis (C-145/09, Rec. p. I-11979, points 50 à 52); du 21 février 2013, Banif Plus Bank (C‑472/11, point 29), et du 26 février 2013, Åkerberg Fransson (C‑617/10, points 21 et 25 à 30).

( 111 ) Voir, notamment, arrêt du 9 septembre 2008, FIAMM e.a./Conseil et Commission (C-120/06 P et C-121/06 P, Rec. p. I-6513, point 123).

( 112 ) Voir, notamment, arrêts du 8 novembre 2001, Silos (C-228/99, Rec. p. I-8401, point 35), et du 22 décembre 2008, Regie Networks (C-333/07, Rec. p. I-10807, point 121).

Top