II – La directive 2006/24 invalidée par la CJUE
La High Court of Ireland et la Cour constitutionnelle autrichienne avaient adressées à la CJUE des questions préjudicielles portant sur la validité de la Directive 2006/24 en raison des risques d’atteinte à la vie privée des personnes, dont la protection est garantie par la Charte des droits fondamentaux de l’Union européenne (article 7 : droit au respect de la vie privée ; article 8 : droit à la protection des données à caractère personnel). Les questions préjudicielles étaient donc avant tout une affaire d’équilibre et de proportionnalité entre les droits fondamentaux précités et les mesures prescrites par la Directive 2006/24.
Conformément aux conclusions de l’avocat général, la CJUE confirme que si la lutte contre le terrorisme et la criminalité grave constitue une finalité légitime en assurant la sécurité publique, la Directive 2006/24 porte bien une atteinte disproportionnée aux droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel.En effet pour la CJUE, l’atteinte aux droits fondamentaux est bien réelle puisque les données conservées sont « susceptibles de fournir des indications très précises sur la vie privée des personnes, comme les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers, les activités exercées, les relations sociales et les milieux sociaux fréquentés ». Pour autant selon la CJUE, la Directive 2006/24 ne comporte pas de garanties suffisantes permettant de limiter cette ingérence aux mesures strictement nécessaire pour atteindre la finalité de protection de la sécurité publique.
D’une part, l’obligation de conservation des données s’applique de manière générale à tous types de personnes, de moyens de communication électronique et de données sans qu’aucune limitation ne soit opérée selon la gravité des infractions poursuivies. Or pour la Cour la finalité de la Directive 2006/24, qui est seulement de lutter contre les "infractions graves", impose de faire varier les mesures de conservation des données selon la gravité de l’infraction : ainsi selon cette logique, les personnes n’étant pas soupçonnées ne peuvent nécessairement pas être soumises aux mêmes règles que celles ayant commis certaines infractions pénales et/ou faisant l’objet d’enquêtes. En outre, la durée de conservation des données (entre six et vingt-quatre mois) est perçue comme injustement générale puisqu’elle ne prend pas non plus en compte les catégories de données, les personnes concernées et la pertinence des données conservées.
D’autre part, la Cour considère que les conditions d’accès aux données collectées sont définies de manière trop large et sans mesures véritablement protectrices des droits des personnes. La CJUE dénonce notamment l’absence de garanties permettant de s’assurer que les données sont effectivement utilisées par les autorités nationales compétentes dans le respect des finalités de la directive. À ce titre, l’absence d’obligation faite aux États membres d’instaurer une juridiction ou une entité administrative indépendante ayant la charge de contrôler préalablement les conditions de divulgation des données s’avère très préjudiciable à la validité de la directive 2006/24. En outre, la sécurité des données est aussi jugée insuffisante dès lors qu’elles peuvent être conservées en dehors de l’Union Européenne et que leur destruction en fin de leur période de conservation n’est pas envisagée.
