Invalidation de la directive sur la conservation des données : arrêt Digital Rights Ireland de la CJUE (C-293/12)

ArrĂȘt de la Cour (grande chambre)

This page uses fragmentions JS. Link to any bit of this document by appending to the URI: ##any bit of this doc.

Example

8 avril 2014 (1)

« Communications Ă©lectroniques – directive 2006/24/CE – Services de communications Ă©lectroniques accessibles au public ou de rĂ©seaux publics de communications – Conservation de donnĂ©es gĂ©nĂ©rĂ©es ou traitĂ©es dans le cadre de la fourniture de tels services – ValiditĂ© – Articles 7, 8 et 11 de la charte des droits fondamentaux de l’Union europĂ©enne »

Dans les affaires jointes C‑293/12 et C‑594/12,

ayant pour objet des demandes de dĂ©cision prĂ©judicielle au titre de l’article 267 TFUE, introduites par la High Court (Irlande) et le Verfassungsgerichtshof (Autriche), par dĂ©cisions, respectivement, des 27 janvier et 28 novembre 2012, parvenues Ă  la Cour les 11 juin et 19 dĂ©cembre 2012, dans les procĂ©dures

Digital Rights Ireland Ltd (C-293/12)

contre

Minister for Communications, Marine and Natural Resources,

Minister for Justice, Equality and Law Reform,

Commissioner of the Garda SĂ­ochĂĄna,

Irlande,

The Attorney General,

en présence de :

Irish Human Rights Commission,

et

KĂ€rntner Landesregierung (C-594/12),

Michael Seitlinger,

Christof Tschohl e.a., 

LA COUR (grande chambre),

composĂ©e de M. V. Skouris, prĂ©sident, M. K. Lenaerts, vice-prĂ©sident, M. A. Tizzano, Mme R. Silva de Lapuerta, MM. T. von Danwitz (rapporteur), E. JuhĂĄsz, A. Borg Barthet, C. G. Fernlund et J. L. da Cruz Vilaça, prĂ©sidents de chambre, MM. A. Rosas, G. Arestis, J.‑C. Bonichot, A. Arabadjiev, Mme C. Toader et M. C. Vajda juges,

avocat général : M. P. Cruz Villalón,

greffier : M. K. Malacek, administrateur,

vu la procĂ©dure Ă©crite et Ă  la suite de l’audience du 9 juillet 2013,

considérant les observations présentées :

–  pour Digital Rights Ireland Ltd, par MM. F. Callanan, SC, et F. Crehan, BL, mandatĂ©s par M. S. McGarr, solicitor,

–  pour M. Seitlinger, par Me G. Otto, Rechtsanwalt,

–  pour M. Tschohl e.a., par Me E. Scheucher, Rechtsanwalt,

–  pour l’Irish Human Rights Commission, par M. P. Dillon Malone, BL, mandatĂ© par Mme S. Lucey, solicitor,

–  pour l’Irlande, par Mme E. Creedon et M. D. McGuinness, en qualitĂ© d’agents, assistĂ©s de MM. E. Regan, SC, et D. Fennelly, JC,

–  pour le gouvernement autrichien, par MM. G. Hesse et G. Kunnert, en qualitĂ© d’agents, 

–  pour le gouvernement espagnol, par Mme N. DĂ­az Abad, en qualitĂ© d’agent,

–  pour le gouvernement français, par MM. G. de Bergues et D. Colas ainsi que par Mme B. BeaupĂšre-Manokha, en qualitĂ© d’agents,

–  pour le gouvernement italien, par Mme G. Palmieri, en qualitĂ© d’agent, assistĂ©e de M. A. De Stefano, avvocato dello Stato,

–  pour le gouvernement polonais, par MM. B. Majczyna et M. Szpunar, en qualitĂ© d’agents,

–  pour le gouvernement portugais, par M. L. Inez Fernandes et Mme C. Vieira Guerra, en qualitĂ© d’agents,

–  pour le gouvernement du Royaume-Uni, par M. L. Christie, en qualitĂ© d’agent, assistĂ© de Mme S. Lee, barrister,

–  pour le Parlement europĂ©en, par MM. U. Rösslein et A. Caiola ainsi que par Mme K. ZejdovĂĄ, en qualitĂ© d’agents,

–  pour le Conseil de l’Union europĂ©enne, par MM. J. Monteiro et E. Sitbon ainsi que par Mme I. Ć ulce, en qualitĂ© d’agents,

–  pour la Commission europĂ©enne, par Mme D. Maidani ainsi que par MM. B. Martenczuk et M. Wilderspin, en qualitĂ© d’agents,

ayant entendu l’avocat gĂ©nĂ©ral en ses conclusions Ă  l’audience du 12 dĂ©cembre 2013,

rend le présent

ArrĂȘt

1.        Les demandes de décision préjudicielle portent sur la validité de la directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE (JO L 105, p. 54).

2.        La demande prĂ©sentĂ©e par la High Court (affaire C‑293/12) concerne un litige opposant Digital Rights Ireland Ltd (ci-aprĂšs « Digital Rights ») au Minister for Communications, Marine and Natural Resources, au Minister for Justice, Equality and Law Reform, au Commissioner of the Garda SĂ­ochĂĄna, Ă  l’Irlande ainsi qu’à l’Attorney General au sujet de la lĂ©galitĂ© de mesures lĂ©gislatives et administratives nationales concernant la conservation de donnĂ©es relatives Ă  des communications Ă©lectroniques.

3.        La demande prĂ©sentĂ©e par le Verfassungsgerichtshof (affaire C‑594/12) est relative Ă  des recours en matiĂšre constitutionnelle introduits devant cette juridiction respectivement par la KĂ€rntner Landesregierung (gouvernement du Land de Carinthie) ainsi que par MM. Seitlinger, Tschohl et 11 128 autres requĂ©rants au sujet de la compatibilitĂ© de la loi transposant la directive 2006/24 dans le droit interne autrichien avec la loi constitutionnelle fĂ©dĂ©rale (Bundes-Verfassungsgesetz).

Le cadre juridique

La directive 95/46/CE

4.        La directive 95/46/CE du Parlement europĂ©en et du Conseil, du 24 octobre 1995, relative Ă  la protection des personnes physiques Ă  l’égard du traitement des donnĂ©es Ă  caractĂšre personnel et Ă  la libre circulation de ces donnĂ©es (JO L 281, p. 31), a, conformĂ©ment Ă  son article 1er, paragraphe 1, pour objet d’assurer la protection des libertĂ©s et des droits fondamentaux des personnes physiques, notamment de leur vie privĂ©e, Ă  l’égard du traitement des donnĂ©es Ă  caractĂšre personnel.

5.        Quant Ă  la sĂ©curitĂ© des traitements de telles donnĂ©es, l’article 17, paragraphe 1, de ladite directive dispose :

« Les États membres prĂ©voient que le responsable du traitement doit mettre en Ɠuvre les mesures techniques et d’organisation appropriĂ©es pour protĂ©ger les donnĂ©es Ă  caractĂšre personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altĂ©ration, la diffusion ou l’accĂšs non autorisĂ©s, notamment lorsque le traitement comporte des transmissions de donnĂ©es dans un rĂ©seau, ainsi que contre toute autre forme de traitement illicite.

Ces mesures doivent assurer, compte tenu de l’état de l’art et des coĂ»ts liĂ©s Ă  leur mise en Ɠuvre, un niveau de sĂ©curitĂ© appropriĂ© au regard des risques prĂ©sentĂ©s par le traitement et de la nature des donnĂ©es Ă  protĂ©ger. »

La directive 2002/58/CE

6.        La directive 2002/58/CE du Parlement europĂ©en et du Conseil, du 12 juillet 2002, concernant le traitement des donnĂ©es Ă  caractĂšre personnel et la protection de la vie privĂ©e dans le secteur des communications Ă©lectroniques (directive vie privĂ©e et communications Ă©lectroniques) (JO L 201, p. 37), telle que modifiĂ©e par la directive 2009/136/CE du Parlement europĂ©en et du Conseil, du 25 novembre 2009 (JO L 337, p. 11, ci-aprĂšs la « directive 2002/58 »), a pour objectif, conformĂ©ment Ă  son article 1er, paragraphe 1, d’harmoniser les dispositions des États membres nĂ©cessaires pour assurer un niveau Ă©quivalent de protection des droits et des libertĂ©s fondamentaux, et en particulier du droit Ă  la vie privĂ©e et Ă  la confidentialitĂ©, en ce qui concerne le traitement des donnĂ©es Ă  caractĂšre personnel dans le secteur des communications Ă©lectroniques, ainsi que la libre circulation de ces donnĂ©es et des Ă©quipements et des services de communications Ă©lectroniques dans l’Union europĂ©enne. En vertu du paragraphe 2 du mĂȘme article, les dispositions de cette directive prĂ©cisent et complĂštent la directive 95/46 aux fins Ă©noncĂ©es au paragraphe 1 susmentionnĂ©.

7.        En ce qui concerne la sĂ©curitĂ© du traitement des donnĂ©es, l’article 4 de la directive 2002/58 prĂ©voit:

« 1.      Le fournisseur d’un service de communications Ă©lectroniques accessible au public prend les mesures d’ordre technique et organisationnel appropriĂ©es afin de garantir la sĂ©curitĂ© de ses services, le cas Ă©chĂ©ant conjointement avec le fournisseur du rĂ©seau public de communications en ce qui concerne la sĂ©curitĂ© du rĂ©seau. Compte tenu des possibilitĂ©s techniques les plus rĂ©centes et du coĂ»t de leur mise en Ɠuvre, ces mesures garantissent un degrĂ© de sĂ©curitĂ© adaptĂ© au risque existant.

1 bis. Sans préjudice des dispositions de la directive 95/46/CE, les mesures visées au paragraphe 1, pour le moins :

–        garantissent que seules des personnes autorisĂ©es peuvent avoir accĂšs aux donnĂ©es Ă  caractĂšre personnel Ă  des fins lĂ©galement autorisĂ©es,

–        protĂšgent les donnĂ©es Ă  caractĂšre personnel stockĂ©es ou transmises contre la destruction accidentelle ou illicite, la perte ou l’altĂ©ration accidentelles et le stockage, le traitement, l’accĂšs et la divulgation non autorisĂ©s ou illicites, et

–        assurent la mise en Ɠuvre d’une politique de sĂ©curitĂ© relative au traitement des donnĂ©es Ă  caractĂšre personnel.

Les autoritĂ©s nationales compĂ©tentes en la matiĂšre sont habilitĂ©es Ă  vĂ©rifier les mesures prises par les fournisseurs de services de communications Ă©lectroniques accessibles au public, ainsi qu’à Ă©mettre des recommandations sur les meilleures pratiques concernant le degrĂ© de sĂ©curitĂ© que ces mesures devraient atteindre.

2.      Lorsqu’il existe un risque particulier de violation de la sĂ©curitĂ© du rĂ©seau, le fournisseur d’un service de communications Ă©lectroniques accessible au public informe les abonnĂ©s de ce risque et, si les mesures que peut prendre le fournisseur du service ne permettent pas de l’écarter, de tout moyen Ă©ventuel d’y remĂ©dier, y compris en en indiquant le coĂ»t probable. »

8.        Quant Ă  la confidentialitĂ© des communications et des donnĂ©es relatives au trafic, l’article 5, paragraphes 1 et 3, de ladite directive dispose :

« 1.      Les États membres garantissent, par la lĂ©gislation nationale, la confidentialitĂ© des communications effectuĂ©es au moyen d’un rĂ©seau public de communications et de services de communications Ă©lectroniques accessibles au public, ainsi que la confidentialitĂ© des donnĂ©es relatives au trafic y affĂ©rentes. En particulier, ils interdisent Ă  toute autre personne que les utilisateurs d’écouter, d’intercepter, de stocker les communications et les donnĂ©es relatives au trafic y affĂ©rentes, ou de les soumettre Ă  tout autre moyen d’interception ou de surveillance, sans le consentement des utilisateurs concernĂ©s sauf lorsque cette personne y est lĂ©galement autorisĂ©e, conformĂ©ment Ă  l’article 15, paragraphe 1. Le prĂ©sent paragraphe n’empĂȘche pas le stockage technique nĂ©cessaire Ă  l’acheminement d’une communication, sans prĂ©judice du principe de confidentialitĂ©.

[
]

3.      Les États membres garantissent que le stockage d’informations, ou l’obtention de l’accĂšs Ă  des informations dĂ©jĂ  stockĂ©es, dans l’équipement terminal d’un abonnĂ© ou d’un utilisateur n’est permis qu’à condition que l’abonnĂ© ou l’utilisateur ait donnĂ© son accord, aprĂšs avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complĂšte, entre autres sur les finalitĂ©s du traitement. Cette disposition ne fait pas obstacle Ă  un stockage ou Ă  un accĂšs techniques visant exclusivement Ă  effectuer la transmission d’une communication par la voie d’un rĂ©seau de communications Ă©lectroniques, ou strictement nĂ©cessaires au fournisseur pour la fourniture d’un service de la sociĂ©tĂ© de l’information expressĂ©ment demandĂ© par l’abonnĂ© ou l’utilisateur. »

9.        Aux termes de l’article 6, paragraphe 1, de la directive 2002/58:

« Les donnĂ©es relatives au trafic concernant les abonnĂ©s et les utilisateurs traitĂ©es et stockĂ©es par le fournisseur d’un rĂ©seau public de communications ou d’un service de communications Ă©lectroniques accessibles au public doivent ĂȘtre effacĂ©es ou rendues anonymes lorsqu’elles ne sont plus nĂ©cessaires Ă  la transmission d’une communication sans prĂ©judice des paragraphes 2, 3 et 5 du prĂ©sent article ainsi que de l’article 15, paragraphe 1. »

10.      L’article 15 de la directive 2002/58 dispose à son paragraphe 1 :

« Les États membres peuvent adopter des mesures lĂ©gislatives visant Ă  limiter la portĂ©e des droits et des obligations prĂ©vus aux articles 5 et 6, Ă  l’article 8, paragraphes 1, 2, 3 et 4, et Ă  l’article 9 de la prĂ©sente directive lorsqu’une telle limitation constitue une mesure nĂ©cessaire, appropriĂ©e et proportionnĂ©e, au sein d’une sociĂ©tĂ© dĂ©mocratique, pour sauvegarder la sĂ©curitĂ© nationale – c’est-Ă -dire la sĂ»retĂ© de l’État – la dĂ©fense et la sĂ©curitĂ© publique, ou assurer la prĂ©vention, la recherche, la dĂ©tection et la poursuite d’infractions pĂ©nales ou d’utilisations non autorisĂ©es du systĂšme de communications Ă©lectroniques, comme le prĂ©voit l’article 13, paragraphe 1, de la directive 95/46/CE. À cette fin, les États membres peuvent, entre autres, adopter des mesures lĂ©gislatives prĂ©voyant la conservation de donnĂ©es pendant une durĂ©e limitĂ©e lorsque cela est justifiĂ© par un des motifs Ă©noncĂ©s dans le prĂ©sent paragraphe. Toutes les mesures visĂ©es dans le prĂ©sent paragraphe sont prises dans le respect des principes gĂ©nĂ©raux du droit communautaire, y compris ceux visĂ©s Ă  l’article 6, paragraphes 1 et 2, du traitĂ© sur l’Union europĂ©enne. »

La directive 2006/24

11.      AprĂšs avoir lancĂ© une consultation auprĂšs des reprĂ©sentants des services rĂ©pressifs, du secteur des communications Ă©lectroniques et des experts en matiĂšre de protection des donnĂ©es, la Commission a prĂ©sentĂ©, le 21 septembre 2005, une analyse d’impact des options politiques relatives Ă  des rĂšgles concernant la conservation des donnĂ©es relatives au trafic (ci-aprĂšs l’« analyse d’impact »). Cette analyse a servi de base Ă  l’élaboration de la proposition de directive du Parlement europĂ©en et du Conseil sur la conservation de donnĂ©es traitĂ©es dans le cadre de la fourniture de services de communications Ă©lectroniques accessibles au public, et modifiant la directive 2002/58/CE [COM(2005) 438 final, ci-aprĂšs la « proposition de directive »], prĂ©sentĂ©e le mĂȘme jour, qui a abouti Ă  l’adoption de la directive 2006/24 sur le fondement de l’article 95 CE.

12.      Le considérant 4 de la directive 2006/24 énonce :

« L’article 15, paragraphe 1, de la directive 2002/58/CE Ă©numĂšre les conditions dans lesquelles les États membres peuvent limiter la portĂ©e des droits et des obligations prĂ©vus aux articles 5 et 6, Ă  l’article 8, paragraphes 1, 2, 3 et 4, et Ă  l’article 9 de ladite directive. Toute limitation de ce type doit constituer une mesure nĂ©cessaire, appropriĂ©e et proportionnĂ©e, au sein d’une sociĂ©tĂ© dĂ©mocratique, pour des raisons spĂ©cifiques d’ordre public, Ă  savoir pour sauvegarder la sĂ©curitĂ© nationale (c’est-Ă -dire la sĂ»retĂ© de l’État), la dĂ©fense et la sĂ©curitĂ© publique, ou pour assurer la prĂ©vention, la recherche, la dĂ©tection et la poursuite d’infractions pĂ©nales ou d’utilisations non autorisĂ©es de systĂšmes de communications Ă©lectroniques. »

13.      Selon la premiĂšre phrase du considĂ©rant 5 de la directive 2006/24, « [p]lusieurs États membres ont lĂ©gifĂ©rĂ© sur la conservation de donnĂ©es par les fournisseurs de services en vue de la prĂ©vention, de la recherche, de la dĂ©tection et de la poursuite d’infractions pĂ©nales ».

14.      Les considérants 7 à 11 de la directive 2006/24 sont libellés comme suit :

« (7)      Dans ses conclusions, le Conseil ‘Justice et affaires intĂ©rieures’ du 19 dĂ©cembre 2002 souligne qu’en raison de l’accroissement important des possibilitĂ©s qu’offrent les communications Ă©lectroniques, les donnĂ©es relatives Ă  l’utilisation de celles-ci sont particuliĂšrement importantes et constituent donc un instrument utile pour la prĂ©vention, la recherche, la dĂ©tection et la poursuite d’infractions pĂ©nales, notamment de la criminalitĂ© organisĂ©e.

(8)      Dans sa dĂ©claration du 25 mars 2004 sur la lutte contre le terrorisme, le Conseil europĂ©en a chargĂ© le Conseil d’envisager des propositions en vue de l’établissement de rĂšgles relatives Ă  la conservation, par les fournisseurs de services, des donnĂ©es relatives au trafic des communications.

(9)      En vertu de l’article 8 de la convention europĂ©enne de sauvegarde des droits de l’homme et des libertĂ©s fondamentales (CEDH) [signĂ©e Ă  Rome le 4 novembre 1950], toute personne a droit au respect de sa vie privĂ©e et de sa correspondance. Il ne peut y avoir ingĂ©rence d’une autoritĂ© publique dans l’exercice de ce droit que pour autant que cette ingĂ©rence est prĂ©vue par la loi et qu’elle constitue une mesure qui, dans une sociĂ©tĂ© dĂ©mocratique, est nĂ©cessaire, entre autres, Ă  la sĂ©curitĂ© nationale, Ă  la sĂ»retĂ© publique, Ă  la dĂ©fense de l’ordre et Ă  la prĂ©vention des infractions pĂ©nales, ou Ă  la protection des droits et des libertĂ©s d’autrui. Étant donnĂ© que la conservation des donnĂ©es s’est rĂ©vĂ©lĂ©e ĂȘtre un outil d’investigation nĂ©cessaire et efficace pour les enquĂȘtes menĂ©es par les services rĂ©pressifs dans plusieurs États membres et, en particulier, relativement aux affaires graves telles que celles liĂ©es Ă  la criminalitĂ© organisĂ©e et au terrorisme, il convient de veiller Ă  ce que les donnĂ©es conservĂ©es soient accessibles aux services rĂ©pressifs pendant un certain dĂ©lai, dans les conditions prĂ©vues par la prĂ©sente directive. [
]

(10)      Le 13 juillet 2005, le Conseil a rĂ©affirmĂ©, dans sa dĂ©claration condamnant les attentats terroristes de Londres, la nĂ©cessitĂ© d’adopter dans les meilleurs dĂ©lais des mesures communes relatives Ă  la conservation de donnĂ©es concernant les tĂ©lĂ©communications.

(11)      Eu Ă©gard Ă  l’importance des donnĂ©es relatives au trafic et des donnĂ©es de localisation pour la recherche, la dĂ©tection et la poursuite d’infractions pĂ©nales, il est nĂ©cessaire, comme les travaux de recherche et l’expĂ©rience pratique de plusieurs États membres le dĂ©montrent, de garantir au niveau europĂ©en la conservation pendant un certain dĂ©lai, dans les conditions prĂ©vues par la prĂ©sente directive, des donnĂ©es traitĂ©es par les fournisseurs de communications Ă©lectroniques dans le cadre de la fourniture de services de communications Ă©lectroniques accessibles au public ou d’un rĂ©seau public de communications. »

15.      Les considérants 16, 21 et 22 de ladite directive précisent :

« (16)          Les obligations incombant aux prestataires de services concernant les mesures visant Ă  garantir la qualitĂ© des donnĂ©es, qui rĂ©sultent de l’article 6 de la directive 95/46/CE, tout comme leurs obligations concernant les mesures visant Ă  garantir la confidentialitĂ© et la sĂ©curitĂ© du traitement des donnĂ©es, qui rĂ©sultent des articles 16 et 17 de ladite directive, sont pleinement applicables aux donnĂ©es qui sont conservĂ©es au sens de la prĂ©sente directive.

(21) Étant donnĂ© que les objectifs de la prĂ©sente directive, Ă  savoir l’harmonisation des obligations incombant aux fournisseurs de conserver certaines donnĂ©es et de faire en sorte que ces donnĂ©es soient disponibles aux fins de la recherche, de la dĂ©tection et de la poursuite d’infractions graves telles que dĂ©finies par chaque État membre dans son droit interne, ne peuvent pas ĂȘtre rĂ©alisĂ©s de maniĂšre suffisante par les États membres et peuvent donc, en raison des dimensions ou des effets de la prĂ©sente directive, ĂȘtre mieux rĂ©alisĂ©s au niveau communautaire, la CommunautĂ© peut prendre des mesures conformĂ©ment au principe de subsidiaritĂ© consacrĂ© Ă  l’article 5 du traitĂ©. ConformĂ©ment au principe de proportionnalitĂ©, tel qu’énoncĂ© audit article, la prĂ©sente directive n’excĂšde pas ce qui est nĂ©cessaire pour atteindre ces objectifs.

(22) La prĂ©sente directive respecte les droits fondamentaux et observe les principes reconnus, notamment, par la charte des droits fondamentaux de l’Union europĂ©enne. La prĂ©sente directive ainsi que la directive 2002/58/CE visent notamment Ă  veiller Ă  ce que les droits fondamentaux liĂ©s au respect de la vie privĂ©e et des communications des citoyens et Ă  la protection des donnĂ©es Ă  caractĂšre personnel, tels que consacrĂ©s aux articles 7 et 8 de la charte, soient pleinement respectĂ©s. »

16.      La directive 2006/24 prĂ©voit l’obligation des fournisseurs de services de communications Ă©lectroniques accessibles au public ou des rĂ©seaux publics de communications de conserver certaines donnĂ©es qui sont gĂ©nĂ©rĂ©es ou traitĂ©es par ces fournisseurs. À cet Ă©gard, les articles 1er Ă  9, 11 et 13 de cette directive disposent:

« Article premier

Objet et champ d’application

1.      La prĂ©sente directive a pour objectif d’harmoniser les dispositions des États membres relatives aux obligations des fournisseurs de services de communications Ă©lectroniques accessibles au public ou de rĂ©seaux publics de communications en matiĂšre de conservation de certaines donnĂ©es qui sont gĂ©nĂ©rĂ©es ou traitĂ©es par ces fournisseurs, en vue de garantir la disponibilitĂ© de ces donnĂ©es Ă  des fins de recherche, de dĂ©tection et de poursuite d’infractions graves telles qu’elles sont dĂ©finies par chaque État membre dans son droit interne.

2.      La prĂ©sente directive s’applique aux donnĂ©es relatives au trafic et aux donnĂ©es de localisation concernant tant les entitĂ©s juridiques que les personnes physiques, ainsi qu’aux donnĂ©es connexes nĂ©cessaires pour identifier l’abonnĂ© ou l’utilisateur enregistrĂ©. Elle ne s’applique pas au contenu des communications Ă©lectroniques, notamment aux informations consultĂ©es en utilisant un rĂ©seau de communications Ă©lectroniques.

Article 2

DĂ©finitions

1.      Aux fins de la prĂ©sente directive, les dĂ©finitions contenues dans la directive 95/46/CE, dans la directive 2002/21/CE du Parlement europĂ©en et du Conseil du 7 mars 2002 relative Ă  un cadre rĂ©glementaire commun pour les rĂ©seaux et services de communications Ă©lectroniques (directive ‘cadre’) [
], ainsi que dans la directive 2002/58/CE s’appliquent.

2.      Aux fins de la présente directive, on entend par:

a)      ‘donnĂ©es’, les donnĂ©es relatives au trafic et les donnĂ©es de localisation, ainsi que les donnĂ©es connexes nĂ©cessaires pour identifier l’abonnĂ© ou l’utilisateur;

b)      ‘utilisateur’, toute entitĂ© juridique ou personne physique qui utilise un service de communications Ă©lectroniques accessible au public Ă  des fins privĂ©es ou professionnelles sans ĂȘtre nĂ©cessairement abonnĂ©e Ă  ce service;

c)      ‘service tĂ©lĂ©phonique’, les appels tĂ©lĂ©phoniques (notamment les appels vocaux, la messagerie vocale, la tĂ©lĂ©confĂ©rence et la communication de donnĂ©es), les services supplĂ©mentaires (notamment le renvoi et le transfert d’appels), les services de messagerie et multimĂ©dias (notamment les services de messages brefs, les services de mĂ©dias amĂ©liorĂ©s et les services multimĂ©dias);

d)      ‘numĂ©ro d’identifiant’, le numĂ©ro d’identification exclusif attribuĂ© aux personnes qui s’abonnent ou s’inscrivent Ă  un service d’accĂšs Ă  l’internet ou Ă  un service de communication par l’internet;

e)      ‘identifiant cellulaire’, le numĂ©ro d’identification de la cellule oĂč un appel de tĂ©lĂ©phonie mobile a commencĂ© ou a pris fin;

f)      ‘appel tĂ©lĂ©phonique infructueux’, toute communication au cours de laquelle un appel tĂ©lĂ©phonique a Ă©tĂ© transmis mais est restĂ© sans rĂ©ponse ou a fait l’objet d’une intervention de la part du gestionnaire du rĂ©seau.

Article 3

Obligation de conservation de données

1.      Par dĂ©rogation aux articles 5, 6 et 9 de la directive 2002/58/CE, les États membres prennent les mesures nĂ©cessaires pour que les donnĂ©es visĂ©es Ă  l’article 5 de la prĂ©sente directive soient conservĂ©es, conformĂ©ment aux dispositions de cette derniĂšre, dans la mesure oĂč elles sont gĂ©nĂ©rĂ©es ou traitĂ©es dans le cadre de la fourniture des services de communication concernĂ©s par des fournisseurs de services de communications Ă©lectroniques accessibles au public ou d’un rĂ©seau public de communications, lorsque ces fournisseurs sont dans leur ressort.

2.      L’obligation de conserver les donnĂ©es visĂ©es au paragraphe 1 inclut la conservation des donnĂ©es visĂ©es Ă  l’article 5 relatives aux appels tĂ©lĂ©phoniques infructueux, lorsque ces donnĂ©es sont gĂ©nĂ©rĂ©es ou traitĂ©es, et stockĂ©es (en ce qui concerne les donnĂ©es de la tĂ©lĂ©phonie) ou journalisĂ©es (en ce qui concerne les donnĂ©es de l’internet), dans le cadre de la fourniture des services de communication concernĂ©s, par des fournisseurs de services de communications Ă©lectroniques accessibles au public ou d’un rĂ©seau public de communications, lorsque ces fournisseurs sont dans le ressort de l’État membre concernĂ©. La prĂ©sente directive n’impose pas la conservation des donnĂ©es relatives aux appels non connectĂ©s.

Article 4

AccÚs aux données

Les États membres prennent les mesures nĂ©cessaires pour veiller Ă  ce que les donnĂ©es conservĂ©es conformĂ©ment Ă  la prĂ©sente directive ne soient transmises qu’aux autoritĂ©s nationales compĂ©tentes, dans des cas prĂ©cis et conformĂ©ment au droit interne. La procĂ©dure Ă  suivre et les conditions Ă  remplir pour avoir accĂšs aux donnĂ©es conservĂ©es dans le respect des exigences de nĂ©cessitĂ© et de proportionnalitĂ© sont arrĂȘtĂ©es par chaque État membre dans son droit interne, sous rĂ©serve des dispositions du droit de l’Union europĂ©enne ou du droit international public applicables en la matiĂšre, en particulier la CEDH telle qu’interprĂ©tĂ©e par la Cour europĂ©enne des droits de l’homme.

Article 5

Catégories de données à conserver

1.      Les États membres veillent Ă  ce que soient conservĂ©es en application de la prĂ©sente directive les catĂ©gories de donnĂ©es suivantes:

a)      les donnĂ©es nĂ©cessaires pour retrouver et identifier la source d’une communication:

1)      en ce qui concerne la téléphonie fixe en réseau et la téléphonie mobile:

i)      le numĂ©ro de tĂ©lĂ©phone de l’appelant;

ii)      les nom et adresse de l’abonnĂ© ou de l’utilisateur inscrit;

2)      en ce qui concerne l’accĂšs Ă  l’internet, le courrier Ă©lectronique par l’internet et la tĂ©lĂ©phonie par l’internet:

i)      le(s) numĂ©ro(s) d’identifiant attribuĂ©(s);

ii)      le numĂ©ro d’identifiant et le numĂ©ro de tĂ©lĂ©phone attribuĂ©s Ă  toute communication entrant dans le rĂ©seau tĂ©lĂ©phonique public;

iii)      les nom et adresse de l’abonnĂ© ou de l’utilisateur inscrit Ă  qui une adresse IP (protocole internet), un numĂ©ro d’identifiant ou un numĂ©ro de tĂ©lĂ©phone a Ă©tĂ© attribuĂ© au moment de la communication;

b)      les donnĂ©es nĂ©cessaires pour identifier la destination d’une communication:

1)      en ce qui concerne la téléphonie fixe en réseau et la téléphonie mobile:

i)      le(s) numĂ©ro(s) composĂ©(s) [le(s) numĂ©ro(s) de tĂ©lĂ©phone appelĂ©(s)] et, dans les cas faisant intervenir des services complĂ©mentaires tels que le renvoi ou le transfert d’appels, le(s) numĂ©ro(s) vers le(s)quel(s) l’appel est rĂ©acheminĂ©;

ii)      les nom et adresse de l’abonnĂ© (des abonnĂ©s) ou de l’utilisateur (des utilisateurs) inscrit(s);

2)      en ce qui concerne le courrier Ă©lectronique par l’internet et la tĂ©lĂ©phonie par l’internet:

i)      le numĂ©ro d’identifiant ou le numĂ©ro de tĂ©lĂ©phone du (des) destinataire(s) prĂ©vu(s) d’un appel tĂ©lĂ©phonique par l’internet;

ii)      les nom et adresse de l’abonnĂ© (des abonnĂ©s) ou de l’utilisateur (des utilisateurs) inscrit(s) et le numĂ©ro d’identifiant du destinataire prĂ©vu de la communication;

c)      les donnĂ©es nĂ©cessaires pour dĂ©terminer la date, l’heure et la durĂ©e d’une communication:

1)      en ce qui concerne la tĂ©lĂ©phonie fixe en rĂ©seau et la tĂ©lĂ©phonie mobile, la date et l’heure de dĂ©but et de fin de la communication;

2)      en ce qui concerne l’accĂšs Ă  l’internet, le courrier Ă©lectronique par l’internet et la tĂ©lĂ©phonie par l’internet:

i)      la date et l’heure de l’ouverture et de la fermeture de la session du service d’accĂšs Ă  l’internet dans un fuseau horaire dĂ©terminĂ©, ainsi que l’adresse IP (protocole internet), qu’elle soit dynamique ou statique, attribuĂ©e Ă  une communication par le fournisseur d’accĂšs Ă  l’internet, ainsi que le numĂ©ro d’identifiant de l’abonnĂ© ou de l’utilisateur inscrit;

ii)      la date et l’heure de l’ouverture et de la fermeture de la session du service de courrier Ă©lectronique par l’internet ou de tĂ©lĂ©phonie par l’internet dans un fuseau horaire dĂ©terminĂ©;

d)      les données nécessaires pour déterminer le type de communication:

1)      en ce qui concerne la téléphonie fixe en réseau et la téléphonie mobile, le service téléphonique utilisé;

2)      en ce qui concerne le courrier Ă©lectronique par l’internet et la tĂ©lĂ©phonie par l’internet, le service internet utilisĂ©;

e)      les donnĂ©es nĂ©cessaires pour identifier le matĂ©riel de communication des utilisateurs ou ce qui est censĂ© ĂȘtre leur matĂ©riel:

1)      en ce qui concerne la tĂ©lĂ©phonie fixe en rĂ©seau, le numĂ©ro de tĂ©lĂ©phone de l’appelant et le numĂ©ro appelĂ©;

2)      en ce qui concerne la téléphonie mobile:

i)      le numĂ©ro de tĂ©lĂ©phone de l’appelant et le numĂ©ro appelĂ©;

ii)      l’identitĂ© internationale d’abonnĂ© mobile (IMSI) de l’appelant;

iii)      l’identitĂ© internationale d’équipement mobile (IMEI) de l’appelant;

iv)      l’IMSI de l’appelĂ©;

v)      l’IMEI de l’appelĂ©;

vi)      dans le cas des services anonymes Ă  prĂ©paiement, la date et l’heure de la premiĂšre activation du service ainsi que l’identitĂ© de localisation (identifiant cellulaire) d’oĂč le service a Ă©tĂ© activĂ©;

3)      en ce qui concerne l’accĂšs Ă  l’internet, le courrier Ă©lectronique par l’internet et la tĂ©lĂ©phonie par l’internet:

i)      le numĂ©ro de tĂ©lĂ©phone de l’appelant pour l’accĂšs commutĂ©;

ii)      la ligne d’abonnĂ© numĂ©rique (DSL) ou tout autre point terminal de l’auteur de la communication;

f)      les données nécessaires pour localiser le matériel de communication mobile:

1)      l’identitĂ© de localisation (identifiant cellulaire) au dĂ©but de la communication;

2)      les donnĂ©es permettant d’établir la localisation gĂ©ographique des cellules, en se rĂ©fĂ©rant Ă  leur identitĂ© de localisation (identifiant cellulaire), pendant la pĂ©riode au cours de laquelle les donnĂ©es de communication sont conservĂ©es.

2.      Aucune donnĂ©e rĂ©vĂ©lant le contenu de la communication ne peut ĂȘtre conservĂ©e au titre de la prĂ©sente directive.

Article 6

Durées de conservation

Les États membres veillent Ă  ce que les catĂ©gories de donnĂ©es visĂ©es Ă  l’article 5 soient conservĂ©es pour une durĂ©e minimale de six mois et maximale de deux ans Ă  compter de la date de la communication.

Article 7

Protection et sécurité des données

Sans prĂ©judice des dispositions adoptĂ©es en application des directives 95/46/CE et 2002/58/CE, chaque État membre veille Ă  ce que les fournisseurs de services de communications Ă©lectroniques accessibles au public ou d’un rĂ©seau public de communications respectent, au minimum, les principes suivants en matiĂšre de sĂ©curitĂ© des donnĂ©es, pour ce qui concerne les donnĂ©es conservĂ©es conformĂ©ment Ă  la prĂ©sente directive:

a)      les donnĂ©es conservĂ©es doivent ĂȘtre de la mĂȘme qualitĂ© et soumises aux mĂȘmes exigences de sĂ©curitĂ© et de protection que les donnĂ©es sur le rĂ©seau;

b)      les donnĂ©es font l’objet de mesures techniques et organisationnelles appropriĂ©es afin de les protĂ©ger contre la destruction accidentelle ou illicite, la perte ou l’altĂ©ration accidentelle, ou le stockage, le traitement, l’accĂšs ou la divulgation non autorisĂ©s ou illicites;

c)      les donnĂ©es font l’objet de mesures techniques et organisationnelles appropriĂ©es afin de garantir que l’accĂšs aux donnĂ©es n’est effectuĂ© que par un personnel spĂ©cifiquement autorisĂ©;

et

d)      les donnĂ©es sont dĂ©truites lorsque leur durĂ©e de conservation prend fin, Ă  l’exception des donnĂ©es auxquelles on a pu accĂ©der et qui ont Ă©tĂ© prĂ©servĂ©es.

Article 8

Conditions à observer pour le stockage des données conservées

Les États membres veillent Ă  ce que les donnĂ©es visĂ©es Ă  l’article 5 soient conservĂ©es conformĂ©ment Ă  la prĂ©sente directive de maniĂšre Ă  ce que les donnĂ©es conservĂ©es et toute autre information nĂ©cessaire concernant ces donnĂ©es puissent, Ă  leur demande, ĂȘtre transmises sans dĂ©lai aux autoritĂ©s compĂ©tentes.

Article 9

Autorité de contrÎle

1.      Chaque État membre dĂ©signe une ou plusieurs autoritĂ©s publiques qui sont chargĂ©es de surveiller l’application, sur son territoire, des dispositions adoptĂ©es par les États membres en application de l’article 7 pour ce qui concerne la sĂ©curitĂ© des donnĂ©es conservĂ©es. Ces autoritĂ©s peuvent ĂȘtre les mĂȘmes que celles visĂ©es Ă  l’article 28 de la directive 95/46/CE.

2.      Les autorités visées au paragraphe 1 exercent en toute indépendance la surveillance visée audit paragraphe.

[
]

Article 11

Modification de la directive 2002/58/CE

À l’article 15 de la directive 2002/58/CE, le paragraphe suivant est insĂ©rĂ©:

‘1 bis.      Le paragraphe 1 n’est pas applicable aux donnĂ©es dont la conservation est spĂ©cifiquement exigĂ©e par la [directive 2006/24] aux fins visĂ©es Ă  l’article 1er, paragraphe 1, de ladite directive.’

[
]’

Article 13

Recours, responsabilité et sanctions

1.      Chaque État membre prend les mesures nĂ©cessaires pour veiller Ă  ce que les mesures nationales mettant en Ɠuvre le chapitre III de la directive 95/46/CE, relatif aux recours juridictionnels, Ă  la responsabilitĂ© et aux sanctions, soient intĂ©gralement appliquĂ©es au traitement des donnĂ©es effectuĂ© au titre de la prĂ©sente directive.

2      Chaque État membre prend, en particulier, les mesures nĂ©cessaires pour faire en sorte que l’accĂšs intentionnel aux donnĂ©es conservĂ©es conformĂ©ment Ă  la prĂ©sente directive ou le transfert de ces donnĂ©es qui ne sont pas autorisĂ©s par le droit interne adoptĂ© en application de la prĂ©sente directive soient passibles de sanctions, y compris de sanctions administratives ou pĂ©nales, qui sont efficaces, proportionnĂ©es et dissuasives. »

 Les litiges au principal et les questions préjudicielles

 L’affaire C-293/12

17.      Digital Rights a introduit le 11 aoĂ»t 2006 un recours devant la High Court dans le cadre duquel elle soutient qu’elle est propriĂ©taire d’un tĂ©lĂ©phone portable qui a Ă©tĂ© enregistrĂ© le 3 juin 2006 et qu’elle utilise celui-ci depuis cette date. Elle met en cause la lĂ©galitĂ© de mesures lĂ©gislatives et administratives nationales concernant la conservation de donnĂ©es relatives Ă  des communications Ă©lectroniques et demande, notamment, Ă  la juridiction de renvoi de constater la nullitĂ© de la directive 2006/24 et de la septiĂšme partie de la loi de 2005 sur la justice pĂ©nale (infractions terroristes) [Criminal Justice (Terrorist Offences) Act 2005] prĂ©voyant que les fournisseurs de services de communications tĂ©lĂ©phoniques doivent conserver les donnĂ©es affĂ©rentes Ă  ces derniĂšres relatives au trafic et Ă  la localisation pour une pĂ©riode dĂ©terminĂ©e par la loi, afin de prĂ©venir et de dĂ©tecter les infractions, d’enquĂȘter sur celles-ci et de les poursuivre ainsi que de garantir la sĂ©curitĂ© de l’État.

18.      La High Court, considĂ©rant qu’elle n’est pas en mesure de trancher les questions relatives au droit national dont elle est saisie sans que la validitĂ© de la directive 2006/24 ait Ă©tĂ© examinĂ©e a dĂ©cidĂ© de surseoir Ă  statuer et de poser Ă  la Cour les questions prĂ©judicielles suivantes :

« 1)      La restriction faite aux droits de la partie requĂ©rante en matiĂšre d’utilisation de tĂ©lĂ©phonie mobile qui dĂ©coule des exigences des articles 3, 4 et 6 de la directive 2006/24 est-elle incompatible avec l’article 5, paragraphe 4, TUE, en ce qu’elle est disproportionnĂ©e et qu’elle n’est pas nĂ©cessaire ou qu’elle est inappropriĂ©e pour atteindre les objectifs lĂ©gitimes tels que :

a)      permettre que certaines donnĂ©es soient disponibles aux fins des enquĂȘtes sur les infractions graves et aux fins de la dĂ©tection et de la poursuite de ces derniĂšres,

et/ou

b)      garantir le bon fonctionnement du marchĂ© intĂ©rieur de l’Union europĂ©enne ?

2)      En particulier,

a)      La directive 2006/24 est-elle compatible avec le droit des citoyens Ă  circuler et Ă  rĂ©sider librement sur le territoire des États membres, consacrĂ© Ă  l’article 21 TFUE ?

b)      La directive 2006/24 est-elle compatible avec le droit au respect de la vie privĂ©e consacrĂ© par l’article 7 de la [charte des droits fondamentaux de l’Union europĂ©enne (ci-aprĂšs la «Charte»)] et par l’article 8 de la [CEDH] ?

c)      La directive 2006/24 est-elle compatible avec le droit Ă  la protection des donnĂ©es Ă  caractĂšre personnel qui figure Ă  l’article 8 de la Charte ?

d)      La directive 2006/24 est-elle compatible avec le droit Ă  la libertĂ© d’expression consacrĂ© par l’article 11 de la Charte et par l’article 10 de la [CEDH] ?

e)      La directive 2006/24 est-elle compatible avec le droit Ă  une bonne administration consacrĂ© par l’article 41 de la Charte ?

3)      Dans quelle mesure les traitĂ©s, et en particulier le principe de coopĂ©ration loyale consacrĂ© Ă  l’article 4, paragraphe 3, TUE, exigent-ils qu’une juridiction nationale examine et Ă©value la compatibilitĂ© des mesures nationales transposant la directive 2006/24 avec les garanties prĂ©vues par la [Charte], y compris son article 7 (tel que repris de l’article 8 de la [CEDH]) ? »

L’affaire C‑594/12

19.      À l’origine de la demande de dĂ©cision prĂ©judicielle dans l’affaire C‑594/12 se trouvent plusieurs recours introduits devant le Verfassungsgerichtshof, formĂ©s respectivement par la KĂ€rntner Landesregierung ainsi que par MM. Seitlinger, Tschohl et 11 128 autres requĂ©rants demandant l’annulation de l’article 102 bis de la loi de 2003 sur les tĂ©lĂ©communications (Telekommunikationsgesetz 2003), qui a Ă©tĂ© introduit dans cette loi par la loi fĂ©dĂ©rale modifiant celle-ci (Bundesgesetz, mit dem das Telekommunikationsgesetz 2003 – TKG 2003 geĂ€ndert wird, BGBl. I, 27/2011) aux fins de la transposition de la directive 2006/24 dans le droit interne autrichien. Ces parties considĂšrent, notamment, que cet article 102 bis viole le droit fondamental des particuliers Ă  la protection de leurs donnĂ©es.

20.      Le Verfassungsgerichtshof se demande, notamment, si la directive 2006/24 est compatible avec la Charte en ce qu’elle permet le stockage d’une masse de types de donnĂ©es Ă  l’égard d’un nombre illimitĂ© de personnes pour une longue durĂ©e. La conservation des donnĂ©es toucherait presque exclusivement des personnes dont le comportement ne justifie aucunement la conservation des donnĂ©es les concernant. Ces personnes seraient exposĂ©es Ă  un risque accru de voir les autoritĂ©s rechercher leurs donnĂ©es, prendre connaissance de leur contenu, s’informer de leur vie privĂ©e et utiliser ces donnĂ©es Ă  de multiples fins, compte tenu, notamment, du nombre incommensurable de personnes ayant accĂšs aux donnĂ©es pendant une pĂ©riode de six mois au minimum. Selon la juridiction de renvoi, il existe des doutes, d’une part, quant au fait que cette directive serait en mesure d’atteindre les objectifs qu’elle poursuit et, d’autre part, quant au caractĂšre proportionnĂ© de l’ingĂ©rence dans les droits fondamentaux concernĂ©s.

21.      C’est dans ces conditions que le Verfassungsgerichtshof a dĂ©cidĂ© de surseoir Ă  statuer et de poser Ă  la Cour les questions prĂ©judicielles suivantes :

« 1)      Sur la validitĂ© d’actes d’institutions de l’Union:

Les articles 3 à 9 de la directive 2006/24 sont-ils compatibles avec les articles 7, 8 et 11 de la [Charte] ?

2)      Sur l’interprĂ©tation des traitĂ©s :

a)      Au vu des explications sur l’article 8 de la Charte, lesquelles ont Ă©tĂ© Ă©laborĂ©es, aux termes de l’article 52, paragraphe 7, de la Charte, en vue de guider l’interprĂ©tation de [celle-ci] et sont dĂ»ment prises en considĂ©ration par le Verfassungsgerichtshof, la directive 95/46 et le rĂšglement (CE) n° 45/2001 du Parlement europĂ©en et du Conseil, du 18 dĂ©cembre 2000, relatif Ă  la protection des personnes physiques Ă  l’égard du traitement des donnĂ©es Ă  caractĂšre personnel par les institutions et organes communautaires et Ă  la libre circulation de ces donnĂ©es [(JO 2001, L 8, p. 1),] doivent-ils ĂȘtre considĂ©rĂ©s au mĂȘme titre que les conditions fixĂ©es Ă  l’article 8, paragraphe 2, et Ă  l’article 52, paragraphe 1, de la Charte pour apprĂ©cier la licĂ©itĂ© d’empiĂštements ?

b)      Dans quel rapport se trouvent le ‘droit de l’Union’ visĂ© Ă  l’article 52, paragraphe 3, derniĂšre phrase, de la Charte et les directives en matiĂšre de droit Ă  la protection des donnĂ©es ?

c)      Au vu des conditions et restrictions apportĂ©es par la directive 95/46 et le rĂšglement [
] n° 45/2001 Ă  la sauvegarde du droit fondamental Ă  la protection des donnĂ©es inscrit dans la Charte, faut-il prendre en considĂ©ration, dans l’interprĂ©tation de l’article 8 de [celle-ci], des changements dĂ©coulant du droit dĂ©rivĂ© ultĂ©rieur ?

d)      Compte tenu de l’article 52, paragraphe 4, de la Charte, le principe de la prĂ©valence du niveau supĂ©rieur de protection inscrit Ă  l’article 53 de la Charte a-t-il pour consĂ©quence que les limites assignĂ©es par [cette derniĂšre] aux restrictions que peut valablement apporter le droit dĂ©rivĂ© doivent ĂȘtre tracĂ©es plus Ă©troitement ?

e)      Au regard de l’article 52, paragraphe 3, de la Charte, du cinquiĂšme alinĂ©a du prĂ©ambule et des explications sur l’article 7 de [celle-ci], indiquant que les droits garantis Ă  l’article 7 correspondent Ă  ceux qui sont garantis par l’article 8 de la CEDH, la jurisprudence que la Cour europĂ©enne des droits de l’homme a consacrĂ©e Ă  l’article 8 de la CEDH peut-elle donner des indications dans l’interprĂ©tation de l’article 8 de la Charte qui rejaillissent sur l’interprĂ©tation de ce dernier article ? »

22.      Par dĂ©cision du prĂ©sident de la Cour du 11 juin 2013, les affaires C‑293/12 et C‑594/12 ont Ă©tĂ© jointes aux fins de la procĂ©dure orale et de l’arrĂȘt.

Sur les questions préjudicielles

Sur la deuxiùme question, sous b) à d), dans l’affaire C-293/12 et la premiùre question dans l’affaire C-594/12

23.      Par la deuxiĂšme question, sous b) Ă  d), dans l’affaire C‑293/12 et la premiĂšre question dans l’affaire C‑594/12, qu’il convient d’examiner ensemble, les juridictions de renvoi demandent en substance Ă  la Cour d’examiner la validitĂ© de la directive 2006/24 Ă  la lumiĂšre des articles 7, 8 et 11 de la Charte.

Sur la pertinence des articles 7, 8 et 11 de la Charte au regard de la question de la validité de la directive 2006/24

24.      Il rĂ©sulte de l’article 1er ainsi que des considĂ©rants 4, 5, 7 Ă  11, 21 et 22 de la directive 2006/24 que celle-ci a pour objectif principal d’harmoniser les dispositions des États membres relatives Ă  la conservation, par les fournisseurs de services de communications Ă©lectroniques accessibles au public ou de rĂ©seaux publics de communication, de certaines donnĂ©es gĂ©nĂ©rĂ©es ou traitĂ©es par ces fournisseurs en vue de garantir la disponibilitĂ© de ces donnĂ©es Ă  des fins de prĂ©vention, de recherche, de dĂ©tection et de poursuite des infractions graves, telles que celles liĂ©es Ă  la criminalitĂ© organisĂ©e et au terrorisme, dans le respect des droits consacrĂ©s aux articles 7 et 8 de la Charte.

25.      L’obligation des fournisseurs de services de communications Ă©lectroniques accessibles au public ou de rĂ©seaux publics de communications, prĂ©vue Ă  l’article 3 de la directive 2006/24, de conserver les donnĂ©es Ă©numĂ©rĂ©es Ă  l’article 5 de celle-ci aux fins de les rendre, le cas Ă©chĂ©ant, accessibles aux autoritĂ©s nationales compĂ©tentes soulĂšve des questions relatives Ă  la protection tant de la vie privĂ©e que des communications consacrĂ©e Ă  l’article 7 de la Charte Ă  la protection des donnĂ©es Ă  caractĂšre personnel prĂ©vue Ă  l’article 8 de celle-ci ainsi qu’au respect de la libertĂ© d’expression garantie par l’article 11 de la Charte.

26.      À cet Ă©gard, il convient de relever que les donnĂ©es que doivent conserver les fournisseurs de services de communications Ă©lectroniques accessibles au public ou de rĂ©seaux publics de communications, au titre des articles 3 et 5 de la directive 2006/24, sont, notamment, les donnĂ©es nĂ©cessaires pour retrouver et identifier la source d’une communication et la destination de celle-ci, pour dĂ©terminer la date, l’heure, la durĂ©e et le type d’une communication, le matĂ©riel de communication des utilisateurs, ainsi que pour localiser le matĂ©riel de communication mobile, donnĂ©es au nombre desquelles figurent, notamment, le nom et l’adresse de l’abonnĂ© ou de l’utilisateur inscrit, le numĂ©ro de tĂ©lĂ©phone de l’appelant et le numĂ©ro appelĂ© ainsi qu’une adresse IP pour les services Internet. Ces donnĂ©es permettent, notamment, de savoir quelle est la personne avec laquelle un abonnĂ© ou un utilisateur inscrit a communiquĂ© et par quel moyen, tout comme de dĂ©terminer le temps de la communication ainsi que l’endroit Ă  partir duquel celle-ci a eu lieu. En outre, elles permettent de connaĂźtre la frĂ©quence des communications de l’abonnĂ© ou de l’utilisateur inscrit avec certaines personnes pendant une pĂ©riode donnĂ©e.

27.      Ces données, prises dans leur ensemble, sont susceptibles de permettre de tirer des conclusions trÚs précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci.

28.      Dans de telles circonstances, mĂȘme si la directive 2006/24 n’autorise pas, ainsi qu’il dĂ©coule de ses articles 1er, paragraphe 2, et 5, paragraphe 2, la conservation du contenu de la communication et des informations consultĂ©es en utilisant un rĂ©seau de communications Ă©lectroniques, il n’est pas exclu que la conservation des donnĂ©es en cause puisse avoir une incidence sur l’utilisation, par les abonnĂ©s ou les utilisateurs inscrits, des moyens de communication visĂ©s par cette directive et, en consĂ©quence, sur l’exercice par ces derniers de leur libertĂ© d’expression, garantie par l’article 11 de la Charte.

29.      La conservation des donnĂ©es aux fins de leur accĂšs Ă©ventuel par les autoritĂ©s nationales compĂ©tentes, telle que prĂ©vue par la directive 2006/24, concerne de maniĂšre directe et spĂ©cifique la vie privĂ©e et, ainsi, les droits garantis par l’article 7 de la Charte. En outre, une telle conservation des donnĂ©es relĂšve Ă©galement de l’article 8 de celle-ci en raison du fait qu’elle constitue un traitement des donnĂ©es Ă  caractĂšre personnel au sens de cet article et doit, ainsi, nĂ©cessairement satisfaire aux exigences de protection des donnĂ©es dĂ©coulant de cet article (arrĂȘt Volker und Markus Schecke et Eifert, C-92/09 et C-93/09, EU:C:2010:662, point 47).

30.      Si les renvois prĂ©judiciels dans les prĂ©sentes affaires soulĂšvent notamment la question de principe de savoir si les donnĂ©es des abonnĂ©s et des utilisateurs inscrits peuvent ou non, au regard de l’article 7 de la Charte, ĂȘtre conservĂ©es, ils concernent Ă©galement celle de savoir si la directive 2006/24 rĂ©pond aux exigences de protection des donnĂ©es Ă  caractĂšre personnel dĂ©coulant de l’article 8 de la Charte.

31.      Eu Ă©gard aux considĂ©rations qui prĂ©cĂšdent, il convient, aux fins de rĂ©pondre Ă  la deuxiĂšme question, sous b) Ă  d), dans l’affaire C‑293/12 et Ă  la premiĂšre question dans l’affaire C‑594/12, d’examiner la validitĂ© de la directive au regard des articles 7 et 8 de la Charte.

Sur l’existence d’une ingĂ©rence dans les droits consacrĂ©s par les articles 7 et 8 de la Charte

32.      En imposant la conservation des donnĂ©es Ă©numĂ©rĂ©es Ă  l’article 5, paragraphe 1, de la directive 2006/24 et en permettant l’accĂšs des autoritĂ©s nationales compĂ©tentes Ă  celles-ci, cette directive dĂ©roge, ainsi que l’a relevĂ© M. l’avocat gĂ©nĂ©ral notamment aux points 39 et 40 de ses conclusions, au rĂ©gime de protection du droit au respect de la vie privĂ©e, instaurĂ© par les directives 95/46 et 2002/58, Ă  l’égard du traitement des donnĂ©es Ă  caractĂšre personnel dans le secteur des communications Ă©lectroniques, ces derniĂšres directives ayant prĂ©vu la confidentialitĂ© des communications et des donnĂ©es relatives au trafic ainsi que l’obligation d’effacer ou de rendre anonymes ces donnĂ©es lorsqu’elles ne sont plus nĂ©cessaires Ă  la transmission d’une communication, hormis si elles sont nĂ©cessaires Ă  la facturation et uniquement tant que cette nĂ©cessitĂ© perdure.

33.      Pour Ă©tablir l’existence d’une ingĂ©rence dans le droit fondamental au respect de la vie privĂ©e, il importe peu que les informations relatives Ă  la vie privĂ©e concernĂ©es prĂ©sentent ou non un caractĂšre sensible ou que les intĂ©ressĂ©s aient ou non subi d’éventuels inconvĂ©nients en raison de cette ingĂ©rence (voir, en ce sens, arrĂȘt Österreichischer Rundfunk e.a., C-465/00, C-138/01 et C-139/01, EU:C:2003:294, point 75).

34.      Il en rĂ©sulte que l’obligation imposĂ©e par les articles 3 et 6 de la directive 2006/24 aux fournisseurs de services de communications Ă©lectroniques accessibles au public ou de rĂ©seaux publics de communication de conserver pendant une certaine durĂ©e des donnĂ©es relatives Ă  la vie privĂ©e d’une personne et Ă  ses communications, telles que celles visĂ©es Ă  l’article 5 de cette directive, constitue en soi une ingĂ©rence dans les droits garantis par l’article 7 de la Charte.

35.      En outre, l’accĂšs des autoritĂ©s nationales compĂ©tentes aux donnĂ©es constitue une ingĂ©rence supplĂ©mentaire dans ce droit fondamental (voir, en ce qui concerne l’article 8 de la CEDH, arrĂȘts Cour EDH, Leander c. SuĂšde, 26 mars 1987, sĂ©rie A n°116, § 48; Rotaru c. Roumanie [GC], n° 28341/95, § 46, CEDH 2000-V, ainsi que Weber et Saravia c. Allemagne (dĂ©c.), n° 54934/00, § 79, CEDH 2006-XI). Ainsi, les articles 4 et 8 de la directive 2006/24 prĂ©voyant des rĂšgles relatives Ă  l’accĂšs des autoritĂ©s nationales compĂ©tentes aux donnĂ©es sont Ă©galement constitutifs d’une ingĂ©rence dans les droits garantis par l’article 7 de la Charte.

36.      De mĂȘme, la directive 2006/24 est constitutive d’une ingĂ©rence dans le droit fondamental Ă  la protection des donnĂ©es Ă  caractĂšre personnel garanti par l’article 8 de la Charte puisqu’elle prĂ©voit un traitement des donnĂ©es Ă  caractĂšre personnel.

37.      Force est de constater que l’ingĂ©rence que comporte la directive 2006/24 dans les droits fondamentaux consacrĂ©s aux articles 7 et 8 de la Charte s’avĂšre, ainsi que l’a Ă©galement relevĂ© M. l’avocat gĂ©nĂ©ral notamment aux points 77 et 80 de ses conclusions, d’une vaste ampleur et qu’elle doit ĂȘtre considĂ©rĂ©e comme particuliĂšrement grave. En outre, la circonstance que la conservation des donnĂ©es et l’utilisation ultĂ©rieure de celles-ci sont effectuĂ©es sans que l’abonnĂ© ou l’utilisateur inscrit en soient informĂ©s est susceptible de gĂ©nĂ©rer dans l’esprit des personnes concernĂ©es, ainsi que l’a relevĂ© M. l’avocat gĂ©nĂ©ral aux points 52 et 72 de ses conclusions, le sentiment que leur vie privĂ©e fait l’objet d’une surveillance constante.

Sur la justification de l’ingĂ©rence dans les droits garantis par les articles 7 et 8 de la Charte

38.      ConformĂ©ment Ă  l’article 52, paragraphe 1, de la Charte, toute limitation de l’exercice des droits et des libertĂ©s consacrĂ©s par celle-ci doit ĂȘtre prĂ©vue par la loi, respecter leur contenu essentiel et, dans le respect du principe de proportionnalitĂ©, des limitations ne peuvent ĂȘtre apportĂ©es Ă  ces droits et libertĂ©s que si elles sont nĂ©cessaires et rĂ©pondent effectivement Ă  des objectifs d’intĂ©rĂȘt gĂ©nĂ©ral reconnus par l’Union ou au besoin de protection des droits et libertĂ©s d’autrui.

39.      En ce qui concerne le contenu essentiel du droit fondamental au respect de la vie privĂ©e et des autres droits consacrĂ©s Ă  l’article 7 de la Charte, il convient de constater que, mĂȘme si la conservation des donnĂ©es imposĂ©e par la directive 2006/24 constitue une ingĂ©rence particuliĂšrement grave dans ces droits, elle n’est pas de nature Ă  porter atteinte audit contenu Ă©tant donnĂ© que, ainsi qu’il dĂ©coule de son article 1er, paragraphe 2, cette directive ne permet pas de prendre connaissance du contenu des communications Ă©lectroniques en tant que tel.

40.      Cette conservation des donnĂ©es n’est pas non plus de nature Ă  porter atteinte au contenu essentiel du droit fondamental Ă  la protection des donnĂ©es Ă  caractĂšre personnel, consacrĂ© Ă  l’article 8 de la Charte, en raison du fait que la directive 2006/24 prĂ©voit, Ă  son article 7, une rĂšgle relative Ă  la protection et Ă  la sĂ©curitĂ© des donnĂ©es selon laquelle, sans prĂ©judice des dispositions adoptĂ©es en application des directives 95/46 et 2002/58, certains principes de protection et de sĂ©curitĂ© des donnĂ©es doivent ĂȘtre respectĂ©s par les fournisseurs de services de communications Ă©lectroniques accessibles au public ou de rĂ©seaux publics de communications, principes selon lesquels les États membres veillent Ă  l’adoption de mesures techniques et organisationnelles appropriĂ©es contre la destruction accidentelle ou illicite, la perte ou l’altĂ©ration accidentelle des donnĂ©es.

41.      Quant Ă  la question de savoir si ladite ingĂ©rence rĂ©pond Ă  un objectif d’intĂ©rĂȘt gĂ©nĂ©ral, il convient de relever que, si la directive 2006/24 est destinĂ©e Ă  harmoniser les dispositions des États membres relatives aux obligations desdits fournisseurs en matiĂšre de conservation de certaines donnĂ©es qui sont gĂ©nĂ©rĂ©es ou traitĂ©es par ces derniers, l’objectif matĂ©riel de cette directive vise, ainsi qu’il dĂ©coule de son article 1er, paragraphe 1, Ă  garantir la disponibilitĂ© de ces donnĂ©es Ă  des fins de recherche, de dĂ©tection et de poursuite d’infractions graves telles qu’elles sont dĂ©finies par chaque État membre dans son droit interne. L’objectif matĂ©riel de cette directive est, dĂšs lors, de contribuer Ă  la lutte contre la criminalitĂ© grave et ainsi, en fin de compte, Ă  la sĂ©curitĂ© publique.

42.      Il ressort de la jurisprudence de la Cour que constitue un objectif d’intĂ©rĂȘt gĂ©nĂ©ral de l’Union la lutte contre le terrorisme international en vue du maintien de la paix et de la sĂ©curitĂ© internationales (voir, en ce sens, arrĂȘts Kadi et Al Barakaat International Foundation/Conseil et Commission, C-402/05 P et C-415/05 P, EU:C:2008:461, point 363, ainsi que Al-Aqsa/Conseil, C-539/10 P et C-550/10 P, EU:C:2012:711, point 130). Il en va de mĂȘme de la lutte contre la criminalitĂ© grave afin de garantir la sĂ©curitĂ© publique (voir, en ce sens, arrĂȘt Tsakouridis, C‑145/09, EU:C:2010:708, points 46 et 47). Par ailleurs, il convient de relever, Ă  cet Ă©gard, que l’article 6 de la Charte Ă©nonce le droit de toute personne non seulement Ă  la libertĂ©, mais Ă©galement Ă  la sĂ»retĂ©.

43.      À cet Ă©gard, il ressort du considĂ©rant 7 de la directive 2006/24 que, en raison de l’accroissement important des possibilitĂ©s offertes par les communications Ă©lectroniques, le Conseil « Justice et affaires intĂ©rieures » du 19 dĂ©cembre 2002 a considĂ©rĂ© que les donnĂ©es relatives Ă  l’utilisation de celles-ci sont particuliĂšrement importantes et constituent donc un instrument utile dans la prĂ©vention des infractions et la lutte contre la criminalitĂ©, notamment la criminalitĂ© organisĂ©e.

44.      Force est donc de constater que la conservation des donnĂ©es aux fins de permettre aux autoritĂ©s nationales compĂ©tentes de disposer d’un accĂšs Ă©ventuel Ă  celles-ci, telle qu’imposĂ©e par la directive 2006/24, rĂ©pond effectivement Ă  un objectif d’intĂ©rĂȘt gĂ©nĂ©ral.

45.      Dans ces conditions, il y a lieu de vĂ©rifier la proportionnalitĂ© de l’ingĂ©rence constatĂ©e.

46.      À cet Ă©gard, il convient de rappeler que le principe de proportionnalitĂ© exige, selon une jurisprudence constante de la Cour, que les actes des institutions de l’Union soient aptes Ă  rĂ©aliser les objectifs lĂ©gitimes poursuivis par la rĂ©glementation en cause et ne dĂ©passent pas les limites de ce qui est appropriĂ© et nĂ©cessaire Ă  la rĂ©alisation de ces objectifs (voir, en ce sens, arrĂȘts Afton Chemical, C‑343/09, EU:C:2010:419, point 45; Volker und Markus Schecke et Eifert, EU:C:2010:662, point 74; Nelson e.a., C‑581/10 et C‑629/10, EU:C:2012:657, point 71; Sky Österreich, C‑283/11, EU:C:2013:28, point 50, ainsi que Schaible, C‑101/12, EU:C:2013:661, point 29).

47.      En ce qui concerne le contrĂŽle juridictionnel du respect de ces conditions, dĂšs lors que des ingĂ©rences dans des droits fondamentaux sont en cause, l’étendue du pouvoir d’apprĂ©ciation du lĂ©gislateur de l’Union peut s’avĂ©rer limitĂ©e en fonction d’un certain nombre d’élĂ©ments, parmi lesquels figurent, notamment, le domaine concernĂ©, la nature du droit en cause garanti par la Charte, la nature et la gravitĂ© de l’ingĂ©rence ainsi que la finalitĂ© de celle-ci (voir, par analogie, en ce qui concerne l’article 8 de la CEDH, arrĂȘt Cour EDH, S et Marper c. Royaume-Uni [GC], nos 30562/04 et 30566/04, § 102, CEDH 2008-V).

48.      En l’espĂšce, compte tenu, d’une part, du rĂŽle important que joue la protection des donnĂ©es Ă  caractĂšre personnel au regard du droit fondamental au respect de la vie privĂ©e et, d’autre part, de l’ampleur et de la gravitĂ© de l’ingĂ©rence dans ce droit que comporte la directive 2006/24, le pouvoir d’apprĂ©ciation du lĂ©gislateur de l’Union s’avĂšre rĂ©duit de sorte qu’il convient de procĂ©der Ă  un contrĂŽle strict.

49.      En ce qui concerne la question de savoir si la conservation des donnĂ©es est apte Ă  rĂ©aliser l’objectif poursuivi par la directive 2006/24, il convient de constater que, eu Ă©gard Ă  l’importance croissante des moyens de communication Ă©lectronique, les donnĂ©es qui doivent ĂȘtre conservĂ©es en application de cette directive permettent aux autoritĂ©s nationales compĂ©tentes en matiĂšre de poursuites pĂ©nales de disposer de possibilitĂ©s supplĂ©mentaires d’élucidation des infractions graves et, Ă  cet Ă©gard, elles constituent donc un instrument utile pour les enquĂȘtes pĂ©nales. Ainsi, la conservation de telles donnĂ©es peut ĂȘtre considĂ©rĂ©e comme apte Ă  rĂ©aliser l’objectif poursuivi par ladite directive.

50.      Cette apprĂ©ciation ne saurait ĂȘtre remise en cause par la circonstance, invoquĂ©e notamment par MM. Tschohl et Seitlinger ainsi que par le gouvernement portugais dans leurs observations Ă©crites soumises Ă  la Cour, qu’il existe plusieurs modalitĂ©s de communications Ă©lectroniques qui ne relĂšvent pas du champ d’application de la directive 2006/24 ou qui permettent une communication anonyme. Si, certes, cette circonstance est de nature Ă  limiter l’aptitude de la mesure de conservation des donnĂ©es Ă  atteindre l’objectif poursuivi, elle n’est toutefois pas de nature Ă  rendre cette mesure inapte, ainsi que l’a relevĂ© M. l’avocat gĂ©nĂ©ral au point 137 de ses conclusions.

51.      En ce qui concerne le caractĂšre nĂ©cessaire de la conservation des donnĂ©es imposĂ©e par la directive 2006/24, il convient de constater que, certes, la lutte contre la criminalitĂ© grave, notamment contre la criminalitĂ© organisĂ©e et le terrorisme, est d’une importance primordiale pour garantir la sĂ©curitĂ© publique et son efficacitĂ© peut dĂ©pendre dans une large mesure de l’utilisation des techniques modernes d’enquĂȘte. Toutefois, un tel objectif d’intĂ©rĂȘt gĂ©nĂ©ral, pour fondamental qu’il soit, ne saurait Ă  lui seul justifier qu’une mesure de conservation telle que celle instaurĂ©e par la directive 2006/24 soit considĂ©rĂ©e comme nĂ©cessaire aux fins de ladite lutte.

52.      S’agissant du droit au respect de la vie privĂ©e, la protection de ce droit fondamental exige, selon la jurisprudence constante de la Cour, en tout Ă©tat de cause, que les dĂ©rogations Ă  la protection des donnĂ©es Ă  caractĂšre personnel et les limitations de celle-ci doivent s’opĂ©rer dans les limites du strict nĂ©cessaire (arrĂȘt IPI, C‑473/12, EU:C:2013:715, point 39 et jurisprudence citĂ©e).

53.      À cet Ă©gard, il convient de rappeler que la protection des donnĂ©es Ă  caractĂšre personnel, rĂ©sultant de l’obligation explicite prĂ©vue Ă  l’article 8, paragraphe 1, de la Charte, revĂȘt une importance particuliĂšre pour le droit au respect de la vie privĂ©e consacrĂ© Ă  l’article 7 de celle-ci.

54.      Ainsi, la rĂ©glementation de l’Union en cause doit prĂ©voir des rĂšgles claires et prĂ©cises rĂ©gissant la portĂ©e et l’application de la mesure en cause et imposant un minimum d’exigences de sorte que les personnes dont les donnĂ©es ont Ă©tĂ© conservĂ©es disposent de garanties suffisantes permettant de protĂ©ger efficacement leurs donnĂ©es Ă  caractĂšre personnel contre les risques d’abus ainsi que contre tout accĂšs et toute utilisation illicites de ces donnĂ©es (voir, par analogie, en ce qui concerne l’article 8 de la CEDH, arrĂȘts Cour EDH, Liberty et autres c. Royaume-Uni, n° 58243/00, § 62 et 63, du 1er juillet 2008; Rotaru c. Roumanie, prĂ©citĂ©, § 57 Ă  59, ainsi que S et Marper c. Royaume-Uni, prĂ©citĂ©, § 99).

55.      La nĂ©cessitĂ© de disposer de telles garanties est d’autant plus importante lorsque, comme le prĂ©voit la directive 2006/24, les donnĂ©es Ă  caractĂšre personnel sont soumises Ă  un traitement automatique et qu’il existe un risque important d’accĂšs illicite Ă  ces donnĂ©es (voir, par analogie, en ce qui concerne l’article 8 de la CEDH, arrĂȘts Cour EDH, S et Marper c. Royaume-Uni, prĂ©citĂ©, § 103, ainsi que M. K. c. France, n° 19522/09, § 35, du 18 avril 2013).

56.      Quant Ă  la question de savoir si l’ingĂ©rence que comporte la directive 2006/24 est limitĂ©e au strict nĂ©cessaire, il convient de relever que cette directive impose, conformĂ©ment Ă  son article 3 lu en combinaison avec son article 5, paragraphe 1, la conservation de toutes les donnĂ©es relatives au trafic concernant la tĂ©lĂ©phonie fixe, la tĂ©lĂ©phonie mobile, l’accĂšs Ă  l’internet, le courrier Ă©lectronique par Internet ainsi que la tĂ©lĂ©phonie par l’internet. Ainsi, elle vise tous les moyens de communication Ă©lectronique dont l’utilisation est trĂšs rĂ©pandue et d’une importance croissante dans la vie quotidienne de chacun. En outre, conformĂ©ment Ă  son article 3, ladite directive couvre tous les abonnĂ©s et utilisateurs inscrits. Elle comporte donc une ingĂ©rence dans les droits fondamentaux de la quasi-totalitĂ© de la population europĂ©enne.

57.      À cet Ă©gard, il importe de constater, en premier lieu, que la directive 2006/24 couvre de maniĂšre gĂ©nĂ©ralisĂ©e toute personne et tous les moyens de communication Ă©lectronique ainsi que l’ensemble des donnĂ©es relatives au trafic sans qu’aucune diffĂ©renciation, limitation ni exception soient opĂ©rĂ©es en fonction de l’objectif de lutte contre les infractions graves.

58.      En effet, d’une part, la directive 2006/24 concerne de maniĂšre globale l’ensemble des personnes faisant usage de services de communications Ă©lectroniques, sans toutefois que les personnes dont les donnĂ©es sont conservĂ©es se trouvent, mĂȘme indirectement, dans une situation susceptible de donner lieu Ă  des poursuites pĂ©nales. Elle s’applique donc mĂȘme Ă  des personnes pour lesquelles il n’existe aucun indice de nature Ă  laisser croire que leur comportement puisse avoir un lien, mĂȘme indirect ou lointain, avec des infractions graves. En outre, elle ne prĂ©voit aucune exception, de sorte qu’elle s’applique mĂȘme Ă  des personnes dont les communications sont soumises, selon les rĂšgles du droit national, au secret professionnel.

59.      D’autre part, tout en visant Ă  contribuer Ă  la lutte contre la criminalitĂ© grave, ladite directive ne requiert aucune relation entre les donnĂ©es dont la conservation est prĂ©vue et une menace pour la sĂ©curitĂ© publique et, notamment, elle n’est pas limitĂ©e Ă  une conservation portant soit sur des donnĂ©es affĂ©rentes Ă  une pĂ©riode temporelle et/ou une zone gĂ©ographique dĂ©terminĂ©e et/ou sur un cercle de personnes donnĂ©es susceptibles d’ĂȘtre mĂȘlĂ©es d’une maniĂšre ou d’une autre Ă  une infraction grave, soit sur des personnes qui pourraient, pour d’autres motifs, contribuer, par la conservation de leurs donnĂ©es, Ă  la prĂ©vention, Ă  la dĂ©tection ou Ă  la poursuite d’infractions graves.

60.      En deuxiĂšme lieu, Ă  cette absence gĂ©nĂ©rale de limites s’ajoute le fait que la directive 2006/24 ne prĂ©voit aucun critĂšre objectif permettant de dĂ©limiter l’accĂšs des autoritĂ©s nationales compĂ©tentes aux donnĂ©es et leur utilisation ultĂ©rieure Ă  des fins de prĂ©vention, de dĂ©tection ou de poursuites pĂ©nales concernant des infractions pouvant, au regard de l’ampleur et de la gravitĂ© de l’ingĂ©rence dans les droits fondamentaux consacrĂ©s aux articles 7 et 8 de la Charte, ĂȘtre considĂ©rĂ©es comme suffisamment graves pour justifier une telle ingĂ©rence. Au contraire, la directive 2006/24 se borne Ă  renvoyer, Ă  son article 1er, paragraphe 1, de maniĂšre gĂ©nĂ©rale aux infractions graves telles qu’elles sont dĂ©finies par chaque État membre dans son droit interne.

61.      En outre, quant Ă  l’accĂšs des autoritĂ©s nationales compĂ©tentes aux donnĂ©es et Ă  leur utilisation ultĂ©rieure, la directive 2006/24 ne contient pas les conditions matĂ©rielles et procĂ©durales y affĂ©rentes. L’article 4 de cette directive, qui rĂ©git l’accĂšs de ces autoritĂ©s aux donnĂ©es conservĂ©es, ne dispose pas expressĂ©ment que cet accĂšs et l’utilisation ultĂ©rieure des donnĂ©es en cause doivent ĂȘtre strictement restreints Ă  des fins de prĂ©vention et de dĂ©tection d’infractions graves prĂ©cisĂ©ment dĂ©limitĂ©es ou de poursuites pĂ©nales affĂ©rentes Ă  celles-ci, mais il se borne Ă  prĂ©voir que chaque État membre arrĂȘte la procĂ©dure Ă  suivre et les conditions Ă  remplir pour avoir accĂšs aux donnĂ©es conservĂ©es dans le respect des exigences de nĂ©cessitĂ© et de proportionnalitĂ©.

62.      En particulier, la directive 2006/24 ne prĂ©voit aucun critĂšre objectif permettant de limiter le nombre de personnes disposant de l’autorisation d’accĂšs et d’utilisation ultĂ©rieure des donnĂ©es conservĂ©es au strict nĂ©cessaire au regard de l’objectif poursuivi. Surtout, l’accĂšs aux donnĂ©es conservĂ©es par les autoritĂ©s nationales compĂ©tentes n’est pas subordonnĂ© Ă  un contrĂŽle prĂ©alable effectuĂ© soit par une juridiction, soit par une entitĂ© administrative indĂ©pendante dont la dĂ©cision vise Ă  limiter l’accĂšs aux donnĂ©es et leur utilisation Ă  ce qui est strictement nĂ©cessaire aux fins d’atteindre l’objectif poursuivi et intervient Ă  la suite d’une demande motivĂ©e de ces autoritĂ©s prĂ©sentĂ©e dans le cadre de procĂ©dures de prĂ©vention, de dĂ©tection ou de poursuites pĂ©nales. Il n’a pas non plus Ă©tĂ© prĂ©vu une obligation prĂ©cise des États membres visant Ă  Ă©tablir de telles limitations.

63.      En troisiĂšme lieu, s’agissant de la durĂ©e de conservation des donnĂ©es, la directive 2006/24 impose, Ă  son article 6, la conservation de celles-ci pendant une pĂ©riode d’au moins six mois sans que soit opĂ©rĂ©e une quelconque distinction entre les catĂ©gories de donnĂ©es prĂ©vues Ă  l’article 5 de cette directive en fonction de leur utilitĂ© Ă©ventuelle aux fins de l’objectif poursuivi ou selon les personnes concernĂ©es.

64.      Cette durĂ©e se situe, en outre, entre six mois au minimum et vingt-quatre mois au maximum, sans qu’il soit prĂ©cisĂ© que la dĂ©termination de la durĂ©e de conservation doit ĂȘtre fondĂ©e sur des critĂšres objectifs afin de garantir que celle-ci est limitĂ©e au strict nĂ©cessaire.

65.      Il rĂ©sulte de ce qui prĂ©cĂšde que la directive 2006/24 ne prĂ©voit pas de rĂšgles claires et prĂ©cises rĂ©gissant la portĂ©e de l’ingĂ©rence dans les droits fondamentaux consacrĂ©s aux articles 7 et 8 de la Charte. Force est donc de constater que cette directive comporte une ingĂ©rence dans ces droits fondamentaux d’une vaste ampleur et d’une gravitĂ© particuliĂšre dans l’ordre juridique de l’Union sans qu’une telle ingĂ©rence soit prĂ©cisĂ©ment encadrĂ©e par des dispositions permettant de garantir qu’elle est effectivement limitĂ©e au strict nĂ©cessaire.

66.      De surcroĂźt, en ce qui concerne les rĂšgles visant la sĂ©curitĂ© et la protection des donnĂ©es conservĂ©es par les fournisseurs de services de communications Ă©lectroniques accessibles au public ou de rĂ©seaux publics de communications, il convient de constater que la directive 2006/24 ne prĂ©voit pas des garanties suffisantes, telles que requises par l’article 8 de la Charte, permettant d’assurer une protection efficace des donnĂ©es conservĂ©es contre les risques d’abus ainsi que contre tout accĂšs et toute utilisation illicites de ces donnĂ©es. En effet, en premier lieu, l’article 7 de la directive 2006/24 ne prĂ©voit pas de rĂšgles spĂ©cifiques et adaptĂ©es Ă  la vaste quantitĂ© des donnĂ©es dont la conservation est imposĂ©e par cette directive, au caractĂšre sensible de ces donnĂ©es ainsi qu’au risque d’accĂšs illicite Ă  celles-ci, rĂšgles qui seraient destinĂ©es notamment Ă  rĂ©gir de maniĂšre claire et stricte la protection et la sĂ©curitĂ© des donnĂ©es en cause, afin de garantir leur pleine intĂ©gritĂ© et confidentialitĂ©. En outre, il n’a pas non plus Ă©tĂ© prĂ©vu une obligation prĂ©cise des États membres visant Ă  Ă©tablir de telles rĂšgles.

67.      L’article 7 de la directive 2006/24, lu en combinaison avec les articles 4, paragraphe 1, de la directive 2002/58 et 17, paragraphe 1, second alinĂ©a, de la directive 95/46, ne garantit pas que soit appliquĂ© par lesdits fournisseurs un niveau particuliĂšrement Ă©levĂ© de protection et de sĂ©curitĂ© par des mesures techniques et organisationnelles, mais autorise notamment ces fournisseurs Ă  tenir compte de considĂ©rations Ă©conomiques lors de la dĂ©termination du niveau de sĂ©curitĂ© qu’ils appliquent, en ce qui concerne les coĂ»ts de mise en Ɠuvre des mesures de sĂ©curitĂ©. En particulier, la directive 2006/24 ne garantit pas la destruction irrĂ©mĂ©diable des donnĂ©es au terme de la durĂ©e de conservation de celles-ci.

68.      En second lieu, il convient d’ajouter que ladite directive n’impose pas que les donnĂ©es en cause soient conservĂ©es sur le territoire de l’Union, de sorte qu’il ne saurait ĂȘtre considĂ©rĂ© qu’est pleinement garanti le contrĂŽle par une autoritĂ© indĂ©pendante, explicitement exigĂ© par l’article 8, paragraphe 3, de la Charte, du respect des exigences de protection et de sĂ©curitĂ©, telles que visĂ©es aux deux points prĂ©cĂ©dents. Or, un tel contrĂŽle, effectuĂ© sur la base du droit de l’Union, constitue un Ă©lĂ©ment essentiel du respect de la protection des personnes Ă  l’égard du traitement des donnĂ©es Ă  caractĂšre personnel (voir, en ce sens, arrĂȘt Commission/Autriche, C‑614/10, EU:C:2012:631, point 37).

69.      Eu Ă©gard Ă  l’ensemble des considĂ©rations qui prĂ©cĂšdent, il convient de considĂ©rer que, en adoptant la directive 2006/24, le lĂ©gislateur de l’Union a excĂ©dĂ© les limites qu’impose le respect du principe de proportionnalitĂ© au regard des articles 7, 8 et 52, paragraphe 1, de la Charte.

70.      Dans ces conditions, il n’y a pas lieu d’examiner la validitĂ© de la directive 2006/24 au regard de l’article 11 de la Charte.

71.      En consĂ©quence, il y a lieu de rĂ©pondre Ă  la deuxiĂšme question, sous b) Ă  d), dans l’affaire C‑293/12 et Ă  la premiĂšre question dans l’affaire C‑594/12 que la directive 2006/24 est invalide.

Sur la premiùre question et la deuxiùme question, sous a) et e), ainsi que sur la troisiùme question dans l’affaire C-293/12 et sur la seconde question dans l’affaire C-594/12

72.      Il rĂ©sulte de ce qui a Ă©tĂ© jugĂ© au point prĂ©cĂ©dent qu’il n’y a pas lieu de rĂ©pondre Ă  la premiĂšre question, Ă  la deuxiĂšme question, sous a) et e), et Ă  la troisiĂšme question dans l’affaire C‑293/12 non plus qu’à la deuxiĂšme question dans l’affaire C‑594/12.

Sur les dépens

73.      La procĂ©dure revĂȘtant, Ă  l’égard des parties au principal, le caractĂšre d’un incident soulevĂ© devant les juridictions de renvoi, il appartient Ă  celles-ci de statuer sur les dĂ©pens. Les frais exposĂ©s pour soumettre des observations Ă  la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (grande chambre) dit pour droit:

La directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE, est invalide.


  1. Langues de procĂ©dure : l’anglais et l’allemand. ↩