Le 6 octobre 2019, la Cour de justice a rendu deux arrêts sur la collecte massive des données, l’un dit la Quarature du Net est là, le second dans un litige opposant « Privacy International au Secretary of State for Foreign and Commonwealth Affairs (ministre des Affaires étrangères et du Commonwealth, Royaume-Uni), au Secretary of State for the Home Departement (ministre de l’Intérieur, Royaume-Uni), au Government Communications Headquarters (quartier général des communications, Royaume-Uni) (ci-après le « GCHQ »), au Security Service (service de sécurité, Royaume-Uni, ci-après le « MI5 ») et au Secret Intelligence Service (service secret de renseignement, Royaume-Uni, ci-après le « MI6 »), au sujet de la légalité d’une législation autorisant l’acquisition et l’utilisation par les services de sécurité et de renseignement de données relatives à des communications en masse (bulk communications data) ».
Il est opportun de rappeler l’interdit posé par la Cour de justice par deux arrêts le même jour.
80 Dès lors que la transmission des données relatives au trafic et des données de localisation a lieu de manière généralisée et indifférenciée, elle concerne de manière globale l’ensemble des personnes faisant usage de services de communications électroniques. Elle s’applique donc même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement pourrait avoir un lien, même indirect ou lointain, avec l’objectif de sauvegarde de la sécurité nationale et, en particulier, sans que soit établie une relation entre les données dont la transmission est prévue et une menace pour la sécurité nationale …… Eu égard au fait que la transmission de telles données aux autorités publiques équivaut, conformément à ce qui a été constaté au point 79 du présent arrêt, à un accès, il convient de considérer qu’une réglementation permettant une transmission généralisée et indifférenciée des données aux autorités publiques, implique un accès général.
81 Il en résulte qu’une réglementation nationale imposant aux fournisseurs de services de communications électroniques de procéder à la communication par transmission généralisée et indifférenciée des données relatives au trafic et des données de localisation aux services de sécurité et de renseignement, excède les limites du strict nécessaire et ne saurait être considérée comme étant justifiée, dans une société démocratique, ainsi que l’exige l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière de l’article 4, paragraphe 2, TUE ainsi que des articles 7, 8 et 11 et de l’article 52, paragraphe 1, de la Charte.
Le droit dit par la Cour de justice.
1) L’article 1er, paragraphe 3, l’article 3 et l’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lus à la lumière de l’article 4, paragraphe 2, TUE, doivent être interprétés en ce sens que relève du champ d’application de cette directive une réglementation nationale permettant à une autorité étatique d’imposer aux fournisseurs de services de communications électroniques de transmettre aux services de sécurité et de renseignement des données relatives au trafic et des données de localisation aux fins de la sauvegarde de la sécurité nationale.
2) L’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière de l’article 4, paragraphe 2, TUE ainsi que des articles 7, 8 et 11 et de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale permettant à une autorité étatique d’imposer, aux fins de la sauvegarde de la sécurité nationale, aux fournisseurs de services de communications électroniques la transmission généralisée et indifférenciée des données relatives au trafic et des données de localisation aux services de sécurité et de renseignement.