La CNPD a rendu un avis sur le projet de loi n°8148 relative à la rétention des données à caractère personnel et portant modification : 1° du Code de procédure pénale ; 2° de la loi modifiée du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques ; et 3° de la loi modifiée du 5 juillet 2016 portant réorganisation du Service de renseignement de l'État (ci-après le « projet de loi »).
Le projet de loi a comme objectif de rendre conforme le cadre légal luxembourgeois en matière de conservation de données à caractère personnel par les opérateurs du secteur des communications électroniques et l’exploitation correspondante des données par les autorités compétentes à la jurisprudence extensive de la Cour de Justice de l’Union européenne.
La conservation des données de trafic et de localisation est une exception au principe de confidentialité des communications consacré par la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (ci-après la « directive de 2002 »).
Ce principe implique que les utilisateurs peuvent s’attendre à ce que tant le contenu de leurs communications que les données de trafic y afférentes restent confidentielles. S’il n’est pas difficile à appréhender ce que le contenu d’une communication peut viser, il en est différent des données de trafic. Le Contrôleur européen de la protection des données fournit la définition suivante :
« Les données relatives au trafic sont les données traitées en vue de l'acheminement d'une communication par un réseau de communications électroniques.
Les données nécessaires pour transmettre la communication varieront selon les moyens de communication utilisés, mais elles comprennent généralement les coordonnées, la date, l'heure et les données de localisation.
Bien qu'il convienne de distinguer les données relatives au trafic des données relatives au contenu, ces deux catégories de données sont très sensibles, puisqu'elles fournissent des informations sur des communications confidentielles. (…)»
Il existe plusieurs catégories de données de trafic et de localisation. Ainsi, la localisation des équipements terminaux utilisés par les utilisateurs constitue par exemple une telle donnée. La collecte continue et l’analyse consécutive de ces données permettent de tracer le parcours d’une personne et de connaître au moins dans les grands traits où elle s’est déplacée. La conservation et l’accès à de telles données, ou encore l’interconnexion entre ces différentes catégories de données, représentent donc une ingérence considérable dans la vie privée des personnes concernées.
Afin de protéger la vie privée des utilisateurs, il est dès lors en principe interdit à toute autre personne que les utilisateurs d'écouter, d'intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d'interception ou de surveillance, sans le consentement des utilisateurs concernés.
Il existe cependant des exceptions à ce principe. Ainsi, le stockage technique nécessaire à l'acheminement d'une communication est par exemple admis. La directive précitée permet par son article 15 aux États membres de prévoir encore d’autres dérogations dans certaines conditions.
L’article 15 de la directive de 2002 exige notamment qu’une telle dérogation doit figurer dans un texte législatif et constituer « une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l'État - la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d'infractions pénales ou d'utilisations non autorisées du système de communications électroniques (…) »[1].
Se rendant néanmoins compte de l’utilité des données de trafic pour la prévention, la recherche, la détection et la poursuite d’infractions pénales, le législateur européen a décidé d’amender la directive de 2002 par la directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE (ci-après la « directive de 2006 »), obligeant ainsi les États membres à mettre en œuvre une telle dérogation.
L’objectif de la directive de 2006 était d’introduire dans toutes les législations des États membres une dérogation au principe de confidentialité en imposant une conservation obligatoire aux fournisseurs et opérateurs de communications électroniques des données de trafic et de localisation générées ou traitées, afin de les mettre à disposition des autorités compétentes dans le cadre la prévention, la recherche, la détection et la poursuite d’infractions pénales. La dérogation introduite par cette directive de 2006 est celle qui est à la base de la vaste jurisprudence de la CJUE en matière de rétention des données.
La directive de 2006 n’opérant pas de distinction quant aux personnes dont les données sont conservées, ni aux catégories de données qui seront conservées ou aux zones endéans desquelles les données seront conservées, la conservation qu’elle impose doit être qualifiée de généralisée et indifférenciée car elle couvre la quasi-totalité de la population sur l’intégralité du territoire. De plus, l’accès des autorités compétentes n’est pas délimité, que ce soit par rapport aux personnes disposant d’un accès, aux objectifs justifiant l’accès, à la réutilisation de ces données ou encore à l’existence d’un contrôle préalable. Enfin, la directive prévoit une durée de conservation générale de 6 mois, sans opérer de distinction par rapport aux catégories de données conservées ou encore par rapport à la finalité pour laquelle elles ont été conservées.
Ces raisons ont amené la Cour de Justice de l’Union européenne par l’arrêt Digital Rights Ireland et Seitlinger e.a. rendu le 8 avril 2014 à annuler la directive de 2006, jugeant que ladite directive ne respectait pas le principe de proportionnalité.
Les conséquences de cet arrêt ont varié en fonction des États membres. De manière générale, il s’est avéré au cours des années qui ont suivi cet arrêt que les États membres ont eu des difficultés à concilier le principe de proportionnalité avec la conservation des données de trafic et de localisation. Il en résulte que la Cour a dû se pencher sur cette matière à plusieurs reprises[2], créant ainsi une jurisprudence extensive avec de plus en plus de précisions quant aux exigences qui devraient entourer la rétention des données.
En ce qui concerne le Luxembourg, il a fallu attendre le dépôt du projet de loi avisé pour voir une tentative de mise en conformité de la législation nationale avec la jurisprudence de la Cour de Justice de l’Union européenne.
La CNPD a avisé le projet de loi à la lumière de la jurisprudence de la Cour de Justice de l’Union européenne. À cette fin, elle a comparé chaque mesure de conservation et d’accès envisagée par les auteurs du projet de loi aux exigences de la Cour, y compris en ce qui concerne les durées de conservation choisies. De plus, elle a vérifié si l’encadrement de la conservation proprement dite auprès des opérateurs et fournisseurs de services de communications électroniques répond aux exigences de la Cour. Elle a également pu commenter les propositions de garanties pour les personnes concernées qui accompagnent les différentes mesures envisagées. Enfin, elle a encore saisi l’occasion pour soulever une incohérence concernant ses pouvoirs de supervision des traitements dans le secteur des communications électroniques. La CNPD a ainsi rendu un avis extensif sur ce projet de loi, qui peut être consulté sur son site.
[1] Article 15(1) de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques
[2] Arrêt du 21 décembre 2016, Tele2 Sverige et Watson e.a., C-203/15 et C-698/15, EU:C:2016:970 ;
arrêt du 2 octobre 2018, Ministerio Fiscal C-207/16, EU:C:2018:788 ;
arrêt du 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C-520/18, EU:C:2020:791 ;
arrêt du 6 octobre 2020, Privacy International, C-623/17, EU:C:2020:790 ;
arrêt du 2 mars 2021, Prokuratuur, C-746/18, EU:C:2021:152 ;
arrêt du 5 avril 2022, Commissioner of An Garda Síochána e.a., C-140/20, EU:C:2022:258 ;
arrêt du 20 septembre 2022, SpaceNet et Telekom Deutschland C-793/19 et c-794/19, EU:C:2022:702 ;
arrêt du 17 novembre 2022, Spetsializirana prokuratura C-350/21, EU:C:2022:896 ;
arrêt du 30 avril 2024, Procura della Repubblica presso il Tribunale di Bolzano, C-178/22, EU:C:2024:371 ;
arrêt du 30 avril 2024, La Quadrature du Net e.a. (Données personnelles et lutte contre la contrefaçon), C-470/21, EU:C:2024:370.