Communications électroniques

Points clés

• Des règles spécifiques relatives à la protection des données dans le domaine des télé-communications, eu égard notamment aux services téléphoniques, sont contenues dans la recommandation du CdE de 1995.

• Le traitement de données à caractère personnel relatives à la fourniture de services de communication au niveau européen est réglementé dans la directive vie privée et communications électroniques.

• La confidentialité des communications électroniques porte non seulement sur le contenu d’une communication, mais aussi sur les données relatives au trafic (par exemple qui a communiqué avec qui, quand et pendant combien de temps) et sur les données de lieu (par exemple l’endroit depuis lequel les données ont été communiquées).

Les réseaux de communication ont un plus grand potentiel d’ingérence injustifiée dans la sphère personnelle des utilisateurs, puisqu’ils offrent les moyens techniques d’écouter et d’étudier des communications intervenant sur de tels réseaux. Par conséquent, des règlements spéciaux en matière de protection des données ont été jugés nécessaires pour répondre aux risques particuliers pour les utilisateurs de ser-vices de communication.

En 1995, le CdE a publié une recommandation pour la protection des données dans le domaine des télécommunications, eu égard notamment aux services télépho-niques²⁸⁹. Conformément à cette recommandation, les finalités de la collecte et du traitement de données à caractère personnel dans le contexte des télécommunica-tions devraient être limitées à : la connexion d’un utilisateur au réseau, permettant le service de télécommunication particulier, la facturation, la vérification, la garantie du fonctionnement technique optimal et le développement du réseau et du service.

Une attention particulière a également été accordée à l’utilisation de réseaux de communication pour l’envoi de messages de prospection. De manière générale, aucun message de prospection ne peut être adressé à tout abonné ayant expres-sément demandé à ne pas recevoir de messages publicitaires. Des appareils d’ap-pel automatisés pour la transmission de messages publicitaires préenregistrés ne peuvent être utilisés que si un abonné a donné son consentement exprès. Le droit national doit prévoir des règles détaillées dans ce domaine.

S’agissant du cadre juridique européen, après une première tentative en 1997, la directive sur la vie privée et les communications électroniques (directive vie privée et communications électroniques) a été adoptée en 2002 et amendée en 2009, afin de compléter et préciser les dispositions de la directive relative à la protection des données pour le secteur des télécommunications²⁹⁰. L’application de la directive vie privée et communications électroniques est limitée aux services de communication sur des réseaux électroniques publics.

La directive vie privée et communications électroniques distingue trois catégories principales de données générées lors d’une communication :

289 CdE, Comité des Ministres (1995), recommandation Rec (95) 4 sur la protection des données à caractère personnel dans le domaine des services de télécommunication, eu égard notamment aux services téléphoniques, 7 février 1995.

290 Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, JO 2002 L 201 (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques ; directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et règlement (CE) n° 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs, JO 2009 L 337.

• les données qui constituent le contenu des messages envoyés pendant la com-munication ; ces données sont strictement confidentielles ;

• les données nécessaires à l’établissement et au maintien de la communication, appelées données relatives au trafic, telles que les informations sur les parte-naires de communication, le moment et la durée de la communication ;

• les données relatives au trafic regroupent des données spécifiquement liées à l’emplacement du dispositif de communication, appelées données de locali-sation ; ces données portent également sur l’emplacement des utilisateurs des dispositifs de communication et elles sont particulièrement pertinentes pour les utilisateurs d’appareils mobiles.

Les données relatives au trafic peuvent uniquement être utilisées par le fournisseur de services à des fins de facturation et pour la prestation technique du service. Avec le consentement de la personne concernée, toutefois, ces données peuvent être divulguées à d’autres responsables du traitement offrant des services à valeur ajou-tée, notamment donnant des informations concernant la localisation de l’utilisateur par rapport à la prochaine station de métro ou pharmacie, ou les prévisions météo de l’endroit où il se trouve.

Conformément à l’article 15 de la directive vie privée et communications électro-niques, tout autre accès à des données relatives à des communications sur des réseaux électroniques, tel qu’un accès dans le but d’enquêter sur des crimes, doit satisfaire aux exigences d’ingérence justifiée dans le droit à la protection des don-nées tel qu’il est énoncé à l’article 8, paragraphe 2, de la CEDH et confirmé aux articles 8 et 52 de la Charte.

Les amendements de 2009 à la directive vie privée et communications électro-niques²⁹¹ ont introduit les éléments suivants :

• Les restrictions concernant l’envoi de courriels à des fins de prospection ont été étendues aux services de mini-messagerie, aux services de messagerie

291 Directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) n° 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs, JO 2009 L 337.

multimédia et aux autres types d’applications similaires ; les courriels de pros-pection sont interdits, sauf si un consentement préalable a été obtenu. À défaut d’un tel consentement, seuls des clients antérieurs peuvent être contactés par des courriels de prospection s’ils ont communiqué leur adresse électronique et ne s’y opposent pas.

• Une obligation a été imposée aux États membres d’offrir des recours juridiction-nels contre des violations à l’interdiction de communications non sollicitées²⁹².

• La mise en place de cookies, logiciels contrôlant et enregistrant les actions de l’utilisateur d’un ordinateur, n’est plus permise sans le consentement de l’utili-sateur. La législation nationale doit réglementer plus en détail la façon dont le consentement devrait être exprimé et obtenu pour garantir une protection suffisante²⁹³.

L’autorité de contrôle compétente doit être informée immédiatement de toute vio-lation de données suite à un accès non autorisé, à une perte ou à une destruction de données. Les abonnés doivent être informés chaque fois qu’ils peuvent subir un préjudice en conséquence d’une violation de données²⁹⁴.

La directive relative à la conservation des données²⁹⁵, invalidée le 8 avril 2014, imposait aux prestataires de services de communication de veiller à la disponibilité des données relatives au trafic, en particulier pour lutter contre les formes graves de criminalité, pendant une période comprise entre six mois minimum et 24 mois maximum, que le prestataire ait encore eu besoin de ces données à des fins de fac-turation ou pour la fourniture technique du service ou non.

Les États membres de l’UE désignent des autorités publiques indépendantes char-gées de contrôler la sécurité des données conservées.

292 Voir la directive modifiée, art. 13.

293 Voir ibid., art. 5 ; voir également groupe de travail Article 29 (2012), Avis 04/2012 sur l’exemption de l’obligation de consentement pour certains cookies, WP 194, Bruxelles, 7 juin 2012.

294 Voir également groupe de travail Article 29 (2011), Document de travail 01/2011 concernant le cadre juridique relatif aux violations de données à caractère personnel actuellement en vigueur dans l’UE et présentant des recommandations quant aux actions à entreprendre à l’avenir, WP 184, Bruxelles, 5 avril 2011.

295 Directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE, JO 2006 L 105, invalidée le 8 avril 2014.

La conservation de données relatives à des télécommunications constitue manifes-tement une ingérence dans le droit à la protection des données.²⁹⁶ La question de savoir si cette ingérence est justifiée a été contestée dans le cadre de plusieurs pro-cédures en justice dans des États membres de l’UE.²⁹⁷

Exemple : dans les affaires Digital Rights et Seitlinger et autres²⁹⁸, la CJUE a jugé que la directive relative à la conservation des données était invalide. Selon la Cour, « cette directive comporte une ingérence dans ces droits fondamen-taux d’une vaste ampleur et d’une gravité particulière dans l’ordre juridique de l’Union sans qu’une telle ingérence soit précisément encadrée par des dis-positions permettant de garantir qu’elle est effectivement limitée au strict nécessaire. »

Une question fondamentale dans le contexte des communications électroniques est l’ingérence par les autorités publiques. Les moyens de surveillance ou d’inter-ception des communications, tels que les dispositifs d’écoute, ne sont autorisés que s’ils sont prévus par la loi et s’ils constituent une mesure nécessaire dans une société démocratique, dans l’intérêt : de la protection de la sécurité nationale, de la sûreté publique, des intérêts monétaires de l’État ou de la suppression d’infrac-tions pénales ; ou de la protection de la personne concernée ou des droits et libertés d’autrui.

Exemple : dans l’affaire Malone c. Royaume-Uni²⁹⁹, le requérant avait été inculpé d’un certain nombre d’infractions liées au recel de biens volés. Pendant son procès, il est apparu qu’une conversation téléphonique du requérant avait été interceptée en vertu d’un mandat délivré par le Secrétaire d’État pour le ministère de l’Intérieur.

Même si le mode d’interception de la communication du requérant était légal au regard du droit interne, la CouEDH a retenu qu’il n’existait pas de base légale concer-nant l’étendue et les modalités d’exercice du pouvoir d’appréciation attribué aux

296 CEPD (2011), Avis du 31 mai 2011 sur le rapport d’évaluation de la Commission au Conseil et au Parlement européen concernant la directive sur la conservation des données (directive 2006/24/CE), 31 mai 2011.

297 Allemagne, Tribunal constitutionnel fédéral (Bundesverfassungsgericht), 1 BvR 256/08, 2 mars 2010 ; Roumanie, Cour constitutionnelle fédérale (Curtea Constituțională a României), n° 1258, 8 octobre 2009 ; République tchèque, Cour constitutionnelle (Ústavní soud České republiky), 94/2011 Coll., 22 mars 2011.

298 CJUE, affaires jointes C293/12 et C594/12, Digital Rights Ireland et Seitlinger et autres, 8 avril 2014, para. 65.

299 CouEDH, Malone c. Royaume-Uni, n° 8691/79, 26 avril 1985.

autorités publiques dans ce domaine et que l’ingérence résultant de l’existence de la pratique en question n’était donc pas « prévue par la loi ». La CouEDH a conclu à une violation de l’article 8 de la CEDH.