← Luxembourg

En bref

Cette loi concerne la rétention des données personnelles et modifie plusieurs codes et lois existants pour encadrer la conservation et l'accès à ces données, principalement pour la recherche et la poursuite d'infractions pénales.

Ce qu'elle réglemente

Qui elle concerne

Points clés

📄 Texte de loi
Projet de loi relative à la rétention des données à caractère personnel et portant modification: 1° du Code de procédure pénale ; 2° de la loi modifiée du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques ; et 3° de la loi modifiée du 5 juillet 2016 portant réorganisation du Service de renseignement de l’Etat I. – Texte du projet de loi Art. 1er. Le Code de procédure pénale est modifié comme suit : 1° A la suite de l’article 24-2 du Code de procédure pénale, il est inséré un article 24-3 nouveau, libellé comme suit : « Art. 24-3. (1) Pour les besoins de la recherche, de la constatation et de la poursuite d’infractions pénales qui emportent une peine criminelle ou une peine correctionnelle dont le maximum est égal ou supérieur à un an d’emprisonnement, et dans le seul but de permettre, en tant que de besoin, la mise à disposition des autorités judiciaires d’informations, le procureur d’État peut, dans l’exercice de ses fonctions, ordonner, par une décision écrite et motivée, le concours des opérateurs de télécommunications ou des fournisseurs d'un service de communications électroniques pour procéder à la conservation des données relatives au trafic et à la localisation, générées ou traitées par eux dans le cadre de la fourniture des services de communications concernés, qu’il juge nécessaires. L’obligation de conserver inclut la conservation des données relatives aux appels téléphoniques infructueux lorsque ces données sont générées ou traitées, en ce qui concerne les données de la téléphonie, ou journalisées, en ce qui concerne les données de l’internet, dans le cadre de la fourniture des services de communications concernés. Un règlement grand-ducal détermine les catégories de données relatives au trafic susceptibles de pouvoir servir à la recherche, à la constatation et à la poursuite d’infractions visées ci-dessus. Ce règlement peut également déterminer les formes et les modalités suivant lesquelles les données visées sont à mettre à la disposition des autorités judiciaires. La décision écrite et motivée mentionne : a) L’infraction qui fait l’objet de l’ordre ; b) L’indication précise d’un ou de plusieurs des éléments suivants : la ou les personnes, les moyens de communication ou les lieux qui font l’objet de la conservation ; c) La durée de conservation des données, qui ne peut excéder six mois. Ce délai peut être prolongé par écrit. En cas d’urgence, la conservation peut être ordonnée verbalement. L’ordre doit être confirmé dans les plus brefs délais dans la forme prévue à l’alinéa 3. 1 (2) Les données sont détruites lorsque la durée de conservation prend fin, à l’exception des données auxquelles on a pu légalement accéder et qui ont été préservées. (3) Toute personne qui, du chef de sa fonction, a connaissance de la mesure ou y prête son concours, est tenue de garder le secret. Toute violation du secret est punie conformément à l’article 458 du Code pénal. Toute personne qui refuse de prêter son concours technique aux réquisitions visées dans cet article, est punie d’une amende de 1.250 à 125.000 euros. » 2° L’article 48-27 du même code est remplacé comme suit : « Art. 48-27. (1) Dans le cadre de l’enquête pour crime ou délit ou de l’instruction préparatoire, le procureur d’État ou le juge d’instruction peut, par une décision motivée et écrite, en requérant au besoin le concours d’un opérateur de télécommunications ou d’un fournisseur d’un service de communications électroniques, procéder ou faire procéder sur la base de toutes données détenues par lui sur base de l’article 10ter, paragraphe 1er, de la loi modifiée du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques à : 1° l’identification de l’abonné ou de l’utilisateur habituel d’un service de communication électronique ou du moyen de communication électronique utilisé ; 2° l’identification des services de communications électroniques auxquels une personne déterminée est abonnée ou qui sont habituellement utilisés par une personne déterminée. La motivation reflète le caractère proportionnel eu égard au respect de la vie privée et subsidiaire à tout autre devoir d’enquête ou d’instruction. (2) Dans le cadre de l’enquête pour crime ou délit ou de l’instruction préparatoire et si les faits emportent une peine criminelle ou une peine correctionnelle dont le maximum est égal ou supérieur à un an d’emprisonnement, le procureur d’État ou le juge d’instruction peut, par une décision motivée et écrite, en requérant au besoin le concours d’un opérateur de télécommunications ou d’un fournisseur d’un service de communications électroniques, procéder ou faire procéder sur la base de toutes données détenues par lui sur base de l’article 10ter, paragraphe 2, de la loi modifiée du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques à l’identification de l'utilisateur d'une adresse IP. (3) Lorsqu’il existe une nécessité urgente de prévenir une atteinte grave à la vie, à la liberté ou à l’intégrité physique d’une personne ou lorsqu’il est impératif que les autorités qui procèdent à l’enquête agissent immédiatement pour éviter de compromettre sérieusement une procédure pénale, les officiers de police judiciaire visés à l’article 10 peuvent, avec l’accord oral et préalable du procureur d’État ou du juge d’instruction, et par une décision motivée et écrite requérir les données visées aux paragraphes 1er et 2. Ils communiquent cette décision motivée et écrite ainsi que les informations recueillies dans les vingtquatre heures au procureur d’État ou au juge d’instruction et motivent par ailleurs l’extrême urgence. (4) Les dispositions des paragraphes 1er à 3 sont à observer à peine de nullité. (5) Chaque opérateur de télécommunications et chaque fournisseur d’un service de communications électroniques communique les informations qui ont été demandées dans les meilleurs délais. 2 Toute personne qui, du chef de sa fonction, a connaissance de la mesure ou y prête son concours, est tenue de garder le secret. Toute violation est punie conformément à l’article 458 du Code pénal. Toute personne qui refuse de prêter son concours technique aux réquisitions visées dans cet article, est punie d’une amende de 1.250 à 125.000 euros. » 3° L’article 67-1 du même code est remplacé comme suit : « Art. 67-1. (1) Lorsque le juge d’instruction estime qu’il existe des circonstances qui rendent le repérage de télécommunications ou des communications électroniques ou la localisation de l’origine ou de la destination de télécommunications ou des communications électroniques nécessaire à la manifestation de la vérité, et si les faits emportent une peine criminelle ou une peine correctionnelle dont le maximum est égal ou supérieur à un an d’emprisonnement, il peut faire procéder, en requérant au besoin le concours technique de l’opérateur de télécommunications et/ou du fournisseur d’un service de communications électroniques: 1. au repérage des données d’appel de moyens de télécommunication ou de communications électroniques à partir desquels ou vers lesquels des appels sont adressés ou ont été adressés, y inclus le repérage des adresses IP; 2. à la localisation de l’origine ou de la destination de télécommunications ou des communications électroniques. Dans les cas visés à l’alinéa 1, pour chaque moyen de télécommunication ou de communication électronique dont les données d’appel sont repérées ou dont l’origine ou la destination de la télécommunication ou de la communication électronique est localisée, le jour, l’heure, la durée et, si nécessaire, le lieu de la télécommunication ou de la communication électronique sont indiqués et consignés dans un procès-verbal. Le juge d’instruction indique les circonstances de fait de la cause qui justifient la mesure dans une ordonnance motivée qu’il communique au procureur d’Etat. Il précise la durée durant laquelle elle pourra s’appliquer, cette durée ne pouvant excéder un mois à dater de l’ordonnance, sans préjudice de renouvellement. (2) Chaque opérateur de télécommunications et chaque fournisseur des services concernés communique les informations qui ont été demandées dans les meilleurs délais. Toute personne qui, du chef de sa fonction, a connaissance de la mesure ou y prête son concours, est tenue de garder le secret. Toute violation du secret est punie conformément à l’article 458 du Code pénal. Toute personne qui refuse de prêter son concours technique aux réquisitions visées dans cet article, est punie d’une amende de 100 à 5.000 euros. (3) La personne dont un moyen de télécommunication ou de communication électronique a fait l’objet de la mesure prévue au paragraphe 1er est informée de la mesure ordonnée au cours même de l’instruction et en tout cas au plus tard dans les 12 mois qui courent à partir de la date de l’ordonnance. Toutefois ce délai de 12 mois ne s’applique pas lorsque la mesure a été ordonnée dans une instruction pour des faits qui se situent dans le cadre ou en relation avec une association ou une organisation criminelle au sens 3 des articles 322 à 324quater du Code pénal, ou qui se situent dans le cadre ou en relation avec le terrorisme au sens des articles 135-1 à 135-6, 135-9 et 135-11 à 135-16 du Code pénal, ou au sens de l’ article 10, alinéa 1 de la loi modifiée du 19 février 1973 concernant la vente de substances médicamenteuses et la lutte contre la toxicomanie. La requête en nullité doit être produite sous peine de forclusion, dans les conditions prévues à l’article 126 du Code de procédure pénale. Lorsque les mesures de repérage de télécommunications ou de communications électroniques ordonnées par le juge d’instruction n’ont donné aucun résultat, les données obtenues seront retirées du dossier de l’instruction et détruites dans la mesure où elles concernent des personnes non inculpées. » Art. 2. La loi modifiée du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques est modifiée comme suit : 1° L’article 2, point (b) de la loi modifiée du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques, est remplacé par le texte suivant : « (b) « consentement »: toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée ou son représentant légal, judiciaire ou statutaire accepte, par une déclaration ou par un acte positif clair, que les données à caractère personnel la concernant fassent l'objet d'un traitement; » 2° L’article 3, paragraphe 1er, alinéa 2 de la même loi, est remplacé comme suit : « Sous réserve des dispositions générales du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, les mesures visées ci-dessus, pour le moins: – – – garantissent que seules des personnes autorisées peuvent avoir accès aux données à caractère personnel à des fins légalement autorisées, protègent les données à caractère personnel stockées ou transmises contre la destruction accidentelle ou illicite, la perte ou l’altération accidentelles et le stockage, le traitement, l’accès et la divulgation non autorisés ou illicites, et assurent la mise en œuvre d’une politique de sécurité relative au traitement des données à caractère personnel. » 3° L’article 5 de la même loi est remplacé comme suit : « Art. 5. Données relatives au trafic (1) Tout fournisseur de services de communications électroniques ou opérateur qui traite des données relatives au trafic concernant les abonnés et les utilisateurs, est tenu de prendre toutes les dispositions nécessaires pour que de telles données soient effacées ou rendues anonymes dès lors qu'elles ne sont plus nécessaires à la transmission d'une communication ou aux traitements prévus par les dispositions des paragraphes 2 et 3, à l'exception des accès qui sont: 4 - ordonnés par les autorités judiciaires et par le comité ministériel du renseignement pour le Service de renseignement de l’Etat agissant dans le cadre des compétences leur attribuées par la loi pour sauvegarder la sécurité nationale, pour la lutte contre la criminalité grave et pour la prévention de menaces graves contre la sécurité publique, ou - demandés par les organes compétents dans le but de régler des litiges notamment en matière d'interconnexion ou de facturation ». (2) Les données relatives au trafic qui sont nécessaires en vue d'établir les factures des abonnés et aux fins des paiements d'interconnexion peuvent être traitées. Un tel traitement n'est possible que jusqu'à la fin de la période au cours de laquelle la facture peut être légalement contestée ou des poursuites engagées pour en obtenir le paiement et ne peut en tout état de cause dépasser 6 mois lorsque la facture a été payée et n'a pas fait l'objet de litige ou de contestation. (3) Les données relatives au trafic peuvent être traitées en vue de commercialiser des services de communications électroniques ou de fournir des services à valeur ajoutée dans la mesure et pour la durée nécessaires à la fourniture ou à la commercialisation de ces services pour autant que le fournisseur d'un service de communications électroniques ou l'opérateur informe préalablement l'abonné ou l'utilisateur concerné des types de données relatives au trafic traitées, de la finalité et de la durée du traitement et que celui-ci ait donné son consentement, nonobstant son droit de s'opposer à tout moment à un tel traitement. (4) Le traitement des données relatives au trafic effectué dans le cas des activités visées aux paragraphes 1er à 3 est restreint aux personnes agissant sous l'autorité du fournisseur de services ou de l'opérateur qui sont chargés d'assurer la facturation ou la gestion du trafic, répondre aux demandes de clientèle, détecter les fraudes, commercialiser les services de communications électroniques ou fournir un service à valeur ajoutée. Le traitement doit se limiter à ce qui est nécessaire à de telles activités. (5) Quiconque contrevient aux dispositions des paragraphes 1er à 4 du présent article est puni d'un emprisonnement de huit jours à un an et d'une amende de 251 à 125.000 euros ou d'une de ces peines seulement. La juridiction saisie peut prononcer la cessation du traitement contraire aux dispositions du présent article sous peine d'astreinte dont le maximum est fixé par ladite juridiction. » 4° A la suite de l’article 5 de la même loi, il est inséré un article 5bis nouveau, libellé comme suit : « Art. 5bis. (1) Pour les besoins de sauvegarde de la sécurité nationale, de la lutte contre la criminalité grave et de la prévention de menaces graves contre la sécurité publique, tout fournisseur d’un service de communications électroniques ou opérateur est tenu de conserver les données relatives au trafic et à la localisation pour les zones géographiques visées au paragraphe 2, pendant six mois à partir de la date de la communication. L'obligation de conserver inclut la conservation des données relatives aux appels téléphoniques infructueux lorsque ces données sont générées ou traitées et stockées, en ce qui concerne les données de la téléphonie, ou journalisées, en ce qui concerne les données de l'internet, dans le cadre de la fourniture des services de communications concernés. Pour l'application du présent paragraphe, une seule information de localisation est requise par communication ou appel. 5 Un règlement grand-ducal détermine les catégories de données relatives au trafic et les données de localisation susceptibles de pouvoir servir à la sauvegarde de la sécurité nationale, à la lutte contre la criminalité grave et à la prévention de menaces graves contre la sécurité publique. (2) Les zones géographiques dans lesquelles sont conservées les données relatives au trafic et à la localisation sont les suivantes: 1° Les zones particulièrement exposées à des menaces pour la sécurité nationale ou à des risques élevés de préparation ou de commission d’actes de criminalité grave, à savoir : a) Les lieux où sont commis, de manière répétée, des crimes ou délits dont les faits emportent une peine criminelle ou une peine correctionnelle dont le maximum est égal ou supérieur à un an d’emprisonnement ; b) Les lieux qui par leur configuration sont de nature à favoriser la commission des crimes ou délits dont les faits emportent une peine criminelle ou une peine correctionnelle dont le maximum est égal ou supérieur à un an d’emprisonnement ; c) Les alentours et abords des infrastructures où sont organisés régulièrement des évènements d’envergure nationale ou internationale ; d) Les lieux qui par leur nature rassemblent un grand nombre de personnes. L’étendue du périmètre de chaque zone géographique fait l’objet d’un arrêté grand-ducal, sur proposition de la commission consultative visée au paragraphe 4 au Haut-Commissariat à la protection nationale. L’arrêté grand-ducal est renouvelé tous les trois ans après évaluation du périmètre des zones géographiques de la commission consultative. 2° Si le niveau de la menace déterminé par le groupe de coordination en matière de lutte contre le terrorisme (GCT) selon l’évaluation visée au plan gouvernemental de vigilance nationale face aux menaces d’actions terroristes (plan "VIGILNAT") est au moins de niveau 3 et couvre l’ensemble du territoire, le Haut-Commissariat à la protection nationale informe immédiatement les opérateurs et fournisseurs de service concernés afin qu’ils procèdent à une conservation générale et indifférenciée des données relatives au trafic et à la localisation, sur l’ensemble du territoire. (3) Les opérateurs conservent les données de trafic pour toutes les communications ou appels infructueux effectués à partir d’une zone géographique visée au paragraphe 2 ou vers une telle zone. Lorsque l’utilisateur final se déplace pendant une communication électronique, l’opérateur ou le fournisseur de services concernés conserve les données relatives au trafic ou à la localisation pour autant que l’utilisateur final se trouve à un moment de la communication dans une zone visée au paragraphe 2. Lorsque la technologie utilisée par l’opérateur ou le fournisseur de services concernés ne permet pas de limiter la conservation de données à une zone visée au paragraphe 2, il conserve les données nécessaires pour couvrir l’entièreté de la zone concernée tout en limitant la conservation de données en dehors de cette zone au strict nécessaire au regard de ses possibilités techniques. (4) Il est créé une commission consultative ayant pour mission de présenter, tous les trois ans, un rapport d’évaluation au Haut-Commissariat à la protection nationale sur la mise en œuvre du présent article. 6 Le Haut-Commissariat à la protection nationale présente le rapport d’évaluation visé à l’alinéa 1er à la Chambre des députés. La composition et les modalités de fonctionnement de la commission consultative sont fixées par règlement grand-ducal. (5) Quiconque contrevient aux dispositions du présent article est puni d'un emprisonnement de huit jours à un an et d'une amende de 251 à 125.000 euros ou d'une de ces peines seulement. La juridiction saisie peut prononcer la cessation du traitement contraire aux dispositions du présent article sous peine d'astreinte dont le maximum est fixé par ladite juridiction. » 5° L’article 5-1 de la même loi, devenant l’article 5ter nouveau, est remplacé comme suit : « Art. 5ter. (1) Les données conservées au titre des articles 5, 5bis et 9 de la présente loi par les autorités compétentes au sens de l’article 1er, paragraphe 1er, de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité nationale sont soumises aux exigences prévues à l’article 28 de cette même loi. (2) Les données sont détruites lorsque la durée de conservation prend fin, à l'exception des données auxquelles on a pu légalement accéder et qui ont été préservées. » 6° L’article 5-2 de la même loi, devenant l’article 5quater nouveau, est remplacé comme suit : « Art. 5quater. (1) La Commission nationale pour la protection des données publie annuellement des statistiques sur la conservation de données au titre des articles 5 et 9. A cet effet les fournisseurs de services de communications électroniques ou opérateurs conservent et continuent à la Commission nationale, sur demande de celle-ci, les informations comprenant notamment: • • • les cas dans lesquels des informations ont été transmises aux autorités compétentes conformément à la législation nationale applicable, le laps de temps écoulé entre la date à partir de laquelle les données ont été conservées et la date à laquelle les autorités compétentes ont demandé leur transmission, les cas dans lesquels des demandes de données n'ont pu être satisfaites. (2) Ces statistiques ne contiennent pas de données à caractère personnel. » 7° L’article 7, paragraphe 5bis, de la même loi est modifié comme suit : « (5bis) En outre, en cas de communication d’urgence, au sens de l’article 2, point 38°, de la loi du 17 décembre 2021 sur les réseaux et les services de communications électroniques, vers le numéro d’urgence unique européen 112 ainsi que vers les numéros d’urgence déterminés par l’Institut luxembourgeois de régulation, les informations relatives à la localisation de l’appelant obtenues à partir de l’appareil mobile, si elles sont disponibles, sont mises à disposition sans tarder après l’établissement de la communication d’urgence au centre de réception des appels d’urgence le plus approprié, même lorsque l’appelant a désactivé la fonction de localisation. Ces informations sont à effacer après un délai de 24 heures au plus. » 7 8° L’article 9 de la même loi est modifié comme suit : « Art. 9. Données de localisation autres que les données relatives au trafic (1) Tout fournisseur de services de communications électroniques ou opérateur qui traite des données de localisation, autres que les données relatives au trafic, concernant les abonnés et les utilisateurs, est tenu de prendre toutes les dispositions nécessaires à ce que de telles données soient effacées ou rendues anonymes dès lors qu’elles ne sont plus nécessaires à la transmission d'une communication ou aux traitements prévus par les dispositions des paragraphes 2 et 3, à l'exception des accès qui sont ordonnés par les autorités judiciaires et par le comité ministériel du renseignement pour le Service de renseignement de l’Etat agissant dans le cadre des compétences leur attribuées par la loi pour sauvegarder la sécurité nationale, pour la lutte contre la criminalité grave et pour la prévention de menaces graves contre la sécurité publique. (2) Tout fournisseur de services concernés ou opérateur ne peut traiter des données de localisation autres que les données relatives au trafic et concernant les abonnés ou les utilisateurs que si celles-ci ont été rendues anonymes ou moyennant le consentement de l'abonné ou de l'utilisateur, dans la mesure et pour la durée nécessaires à la fourniture d'un service à valeur ajoutée et sous réserve des dispositions des paragraphes 1er, 3 et 4. (3) Le fournisseur de services concernés et le cas échéant l'opérateur informe préalablement l'abonné ou l'utilisateur sur les types de données de localisation traitées, autres que les données relatives au trafic, sur la ou les finalité(s) et la durée de ce traitement ainsi que sur la transmission de ces données à des tiers en vue de la fourniture du service à valeur ajoutée. L'abonné ou l'utilisateur a la possibilité de retirer à tout moment son consentement pour le traitement des données de localisation autres que les données relatives au trafic. Lorsque l'abonné ou l'utilisateur a donné son consentement au traitement des données de localisation autres que les données relatives au trafic, il doit garder la possibilité d'interdire temporairement, par un moyen simple et gratuit, le traitement de ces données pour chaque connexion au réseau ou pour chaque transmission de communication. (4) Le traitement effectué des données de localisation, autres que les données relatives au trafic, dans le cas des activités visées aux paragraphes 1er à 3 est restreint aux personnes agissant sous l'autorité du fournisseur de services ou de l'opérateur ou du tiers qui fournit le service à valeur ajoutée. Le traitement doit se limiter à ce qui est nécessaire à de telles activités. (5) Quiconque contrevient aux dispositions du présent article est puni d'un emprisonnement de huit jours à un an et d'une amende de 251 à 125.000 euros ou d'une de ces peines seulement. La juridiction saisie peut prononcer la cessation du traitement contraire aux dispositions du présent article sous peine d'astreinte dont le maximum est fixé par ladite juridiction. » 9° A la suite de l’article 10bis de la même loi, il est inséré un article 10ter nouveau, libellé comme suit : « Art. 10ter. Conservation des données d’identification 8 (1) Tout fournisseur d’un service de communications électroniques ou opérateur est tenu de conserver les données suivantes, pour autant qu’il les traite ou les génère dans le cadre de la fourniture de ses services : 1° les données détenues par lui sur base de l’article 10bis de la loi modifiée du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques ; 2° les données de souscription de l’abonné ainsi que les données d’identification de l’utilisateur final ou le service de communications électroniques employé; 3° les adresses IP ayant servi à la souscription ou à l’activation du service de communication électronique ainsi que le port source de la connexion et l’horodatage; 4° l’identité internationale d’abonné mobile (IMSI); 5° l’identité internationale d’équipement mobile (IMEI). L’opérateur ou le fournisseur des services concernés conserve les données visées à l’alinéa 1er pendant le délai fixé à l’article 10bis, paragraphe 7, alinéa 2. (2) Pour les besoins de sauvegarde de la sécurité nationale, de la lutte contre la criminalité grave et de la prévention de menaces graves contre la sécurité publique, tout opérateur de télécommunications ou fournisseur d’un service de communications électroniques est tenu de conserver l’adresse IP à la source de la connexion, l’horodatage de l’attribution ainsi que, en cas d’utilisation partagée d’une adresse IP de l’utilisateur final, les ports qui lui ont été attribués. L’opérateur ou le fournisseur des services concernés conserve les données visées à l’alinéa 1er pour une durée de six mois après la fin de la session. (3) Quiconque contrevient aux dispositions du présent article est puni d'un emprisonnement de huit jours à un an et d'une amende de 251 à 125.000 euros ou d'une de ces peines seulement. La juridiction saisie peut prononcer la cessation du traitement contraire aux dispositions du présent article sous peine d'astreinte dont le maximum est fixé par ladite juridiction. » 10° L’article 12 de la même loi est modifié comme suit : « Art. 12. Commission nationale pour la protection des données La Commission nationale pour la protection des données instituée par l'article 3 de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données est chargée d'assurer l'application des dispositions de la présente loi et de ses règlements d'exécution sans préjudice de l’application de l’article 5 de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données. » Art. 3. La loi modifiée du 5 juillet 2016 portant réorganisation du Service de renseignement de l’Etat est modifié comme suit : 1° A l’article 7, paragraphe 1er, de la loi modifiée du 5 juillet 2016 portant réorganisation du Service de renseignement de l’Etat, le mot « y » est inséré entre les mots « données relatives au trafic, » et « compris 9 l’identification des correspondants » et le mot « télécommunications » est remplacé par les mots « communications électroniques ». 2° A la suite de l’article 7 de la même loi, il est inséré un article 7-1 nouveau, libellé comme suit : « Art. 7-1. – Injonction de conservation généralisée et indifférenciée des données relatives au trafic et à la localisation (1) Le SRE peut, dans l’intérêt de l’exercice de ses missions et lorsqu’il existe une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, requérir la collaboration ou le concours technique de l’opérateur de télécommunications, du fournisseur d’un service de communications électroniques, pour procéder à la conservation généralisée et indifférenciée des données relatives au trafic y compris l’identification des correspondants et de toutes les formes de communications ou à la localisation de l’origine ou de la destination de ces communications, générées ou traitées par eux dans le cadre de la fourniture des services de communications concernés. (2) L’injonction de conservation visée au paragraphe 1er est ordonnée par le Comité sur demande écrite du directeur du SRE et après l’assentiment de la commission spéciale, selon la procédure inscrite à l’article 7, paragraphe 4. Le SRE est autorisé à accéder aux données conservées conformément à l’article 7, paragraphe 2. (3) L’injonction de conservation, qui mentionne la date à laquelle elle a été ordonnée ainsi que la durée de la conservation, est notifiée aux opérateurs et fournisseurs des services concernés qui font procéder sans retard à leur exécution. (4) La durée de la conservation ne pourra se reporter qu’à une période maximale de six mois suivant la date à laquelle elle a été ordonnée, sans préjudice de la possibilité de prolongation en suivant la même procédure. Le SRE met fin à l’injonction de conservation, lorsque la conservation n’est plus utile pour lutter contre la menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, ou lorsque cette menace a disparu. Lorsqu’il est mis fin avant l’échéance de la période autorisée, les opérateurs et fournisseurs des services concernés sont avertis dans les meilleurs délais. (5) Une fois par mois, le directeur du SRE rapporte par écrit au Comité de l’évolution de la menace. Ce rapport met en évidence les éléments qui justifient soit le maintien de la conservation généralisée et indifférenciée, soit la fin de celle-ci. (6) Toute personne qui, du chef de sa fonction, a connaissance de l’injonction prise en vertu du présent article ou y prête son concours, est tenue de garder le secret. Toute violation est punie conformément à l’article 458 du Code pénal. Toute personne qui refuse de prêter son concours technique à l’injonction visée dans cet article, est punie d’une amende de 1.250 à 125.000 euros. » 10 3° A la suite de l’article 7-1 nouveau de la même loi, il est inséré un article 7-2 nouveau, libellé comme suit : « Art. 7-2. – Injonction de conservation ciblée des données relatives au trafic et à la localisation (1) Pour les besoins de sauvegarde de la sécurité nationale, le SRE peut, dans l’exercice de ses missions, requérir la collaboration ou le concours technique de l’opérateur de télécommunications, du fournisseur d’un service de communications électroniques ou du fournisseur de services de la société de l’information, pour procéder à: 1° la conservation rapide et immédiate des données relatives au trafic, y compris l’identification des correspondants et de toutes les formes de communications ou à la localisation de l’origine ou de la destination de ces communications, qui sont à sa disposition au moment de l’injonction; 2° la conservation de données relatives au trafic, y compris l’identification des correspondants et de toutes les formes de communications ou à la localisation de l’origine ou de la destination de ces communications, qu’il génère et traite à partir de l’injonction. L’injonction de conservation est mise en œuvre sur demande écrite du directeur du SRE, suite à une demande motivée écrite de l'agent du SRE chargé des recherches et sous réserve des conditions et critères prévus à l'article 4. En cas d’urgence, la conservation peut être ordonnée verbalement par le directeur du SRE, à confirmer par écrit dans un délai de quarante-huit heures dans la forme prévue au paragraphe 2. Le SRE est autorisé à accéder aux données conservées conformément à l’article 7, paragraphe 2. (2) L’injonction de conservation est notifiée aux opérateurs et fournisseurs des services concernés qui font procéder sans retard à leur exécution et mentionne: 1° la nature des données de trafic et de localisation à conserver; 2° les personnes ou groupes de personnes, les zones géographiques, les moyens de communication et/ou le mode d’utilisation dont les données doivent être conservées; 3° la durée de conservation des données qui ne peut excéder six mois à compter de la date de l’injonction, sans préjudice de la possibilité de prolongation en suivant la même procédure. (3) Le SRE met fin à l’injonction de conservation, lorsque la conservation n’est plus utile pour la sauvegarde de la sécurité nationale. Lorsqu’il est mis fin avant l’échéance de la période autorisée, les opérateurs et fournisseurs des services concernés sont avertis dans les meilleurs délais. (4) Une fois par mois, le directeur du SRE rapporte par écrit au Comité des injonctions de conservation réalisées par le SRE avec les motifs spécifiques pour lesquels l'exercice des missions a exigé l’injonction. (5) Toute personne qui, du chef de sa fonction, a connaissance de l’injonction prise en vertu du présent article ou y prête son concours, est tenue de garder le secret. Toute violation est punie conformément à l’article 458 du Code pénal. Toute personne qui refuse de prêter son concours technique à l’injonction visée dans cet article, est punie d’une amende de 1.250 à 125.000 euros. » 11 Art. 4. Pour la première application de l’article 2, point 4°, la commission consultative transmet sa proposition de l’étendue du périmètre de chaque zone géographique au Haut-Commissariat à la protection nationale au plus tard le premier jour du troisième mois qui suit la publication de la présente loi au Journal officiel du Grand-Duché de Luxembourg. Art. 5. La référence à la présente loi se fait sous la forme suivante : « Loi du jj.mm.aaaa relative à la rétention des données à caractère personnel. » Art. 6. La présente loi entre en vigueur le quatrième jour de sa publication au Journal officiel du GrandDuché de Luxembourg. Par dérogation au paragraphe 1er, l’article 2, points 3°, 4° et 7°, entrent en vigueur le premier jour du douzième mois qui suit la publication de la présente loi au Journal officiel du Grand-Duché de Luxembourg. 12 II. – EXPOSE DES MOTIFS Le présent projet de loi a pour objet d’adapter le dispositif légal national relatif à la rétention des données dans le secteur des communications électroniques aux exigences des derniers arrêts rendus par la Cour de Justice de l’Union européenne dans la matière, et notamment l’arrêt « Quadrature du Net » du 6 octobre 2020 (affaires C-511/18, C-512/18 et C-520/18 : La Quadrature du Net, French Data Network et Ordre des barreaux francophones et germanophone) ainsi que l’arrêt dans l’affaire C-140/20 « Commissioner of the Garda Síochána e.a. » du 5 avril 2022. 1. CONTEXTE JURIDIQUE a) Cadre juridique européen La directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données oblige les États membres à assurer la protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel, afin d’assurer la libre circulation de ces données dans la Communauté. La directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) traduit les principes définis dans la directive 95/46/CE en règles spécifiques au secteur des communications électroniques. Les articles 5, 6 et 9 de la directive 2002/58/CE définissent les règles applicables au traitement, par les fournisseurs de réseaux et de services, de données relatives au trafic et de données de localisation générées par l’utilisation de services de communications électroniques. Ces données doivent être effacées ou rendues anonymes lorsqu’elles ne sont plus nécessaires à la transmission d’une communication, sauf les données requises pour établir les factures et les paiements pour interconnexion; moyennant l’accord de l’intéressé, certaines données peuvent également être traitées à des fins commerciales ou de fourniture de services à valeur ajoutée. L’article 15, paragraphe 1er, de la directive 2002/58/CE énumère les conditions dans lesquelles les États membres peuvent limiter la portée des droits et des obligations à ladite directive. Toute limitation de ce type doit constituer une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour des raisons spécifiques d’ordre public, à savoir pour sauvegarder la sécurité nationale, la défense et la sécurité publique, ou pour assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées de systèmes de communications électroniques. Suite aux attentats terroristes perpétrés à Madrid le 11 mars 2004 et à Londres le 7 juillet 2005, la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques voit le jour, établissant un socle commun européen relatif à la conservation obligatoire, par les opérateurs, des données de trafic et de localisation, ainsi que les données y relatives, pour les besoins des autorités. 1 L’objectif principal de la Directive 2006/24/CE était d’obliger les opérateurs et fournisseurs de services de communications électroniques accessibles au public ou de réseaux de communications publics à conserver ces données de trafic et de localisation pour une période d’au moins six mois. La conservation de ces données était considérée comme étant nécessaire à l’identification des abonnés ou des utilisateurs et avait pour objectif d’assurer la disponibilité des données à des fins de prévention, d’enquêtes, de détection et de poursuites des infractions pénales, telles que le crime organisé et le terrorisme. b) Cadre juridique national L’obligation de conservation des données de trafic et de localisation relatives aux communications électroniques a été introduite dans la législation luxembourgeoise par la loi du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications (dénommée ci-après la « Loi Telecom ») sur base de l’article 15, paragraphe 1er de la directive 2002/58/CE. Puis, la loi du 27 juillet 2007 portant modification de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel; des articles 4 paragraphe (3) lettre d); 5 paragraphe (1) lettre a); 9 paragraphe (1) lettre a) et 12 de la Loi Telecom et de l’article 23 paragraphe (2) points 1. et 2. de la loi du 8 juin 2004 sur la liberté d’expression dans les médias a ramené à six mois le délai de conservation initialement fixé à douze mois. La directive 2006/24/CE a été transposée au Luxembourg par les dispositions de la loi du 24 juillet 2010 portant modification des articles 5 et 9 de la loi modifiée du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques et de l'article 67-1 du Code d'instruction criminelle, assorties par ailleurs d’un règlement grand-ducal du même jour qui en a réglé les modalités d’application. Les opérateurs nationaux sont donc tenus à conserver les données de trafic et de localisation au sens des articles 5 et 9 de la Loi Telecom et l’accès à ces données est garanti au juge d’instruction moyennant l’article 67-1 du Code de procédure pénale et au Service de renseignement de l’Etat au sens de l’article 7 de la loi modifiée du 5 juillet 2016 portant réorganisation du SRE. 2. EVOLUTION DE LA JURISPRUDENCE EUROPEENNE a) L’arrêt fondamental : « Digital Rights Ireland » du 8 avril 2014 1 Le 8 avril 2014, dans l’arrêt « Digital Rights Ireland », la CJUE a déclaré la Directive 2006/24/EC invalide, au motif que l’ingérence que comporte l’obligation générale de conservation des données relatives au trafic et des données de localisation imposée par celle-ci dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel n’était pas limitée au strict nécessaire. Les points essentiels de l’arrêt concernant l’encadrement manquant peuvent se résumer comme suit : • 1 Limitations quant à la conservation : La directive prévoyait une conservation généralisée et indifférenciée, aucune distinction n’étant faite en fonction de l’existence ou non d’un lien, même indirect ou lointain, avec une infraction, et aucune exception n’étant applicable aux personnes soumises au secret professionnel ; CJUE, 8 avril 2014, Digital Rights Ireland et Seitlinger, affaires jointes C293/12 et C594/12. 2 • Limitations quant à l’accès et l’utilisation ultérieure : La directive ne prévoyait aucun critère objectif permettant de restreindre ces traitements à des fins de prévention, de détection ou de poursuites pénales d’infractions d’un niveau de gravité suffisant, ni les conditions matérielles et procédurales y afférentes ; • Limitations quant à la durée de conservation des données : La période prévue était de minimum six mois et de maximum vingt-quatre mois, sans distinction entre les catégories de données selon leur utilité et sans prévoir la nécessité de critères objectifs garantissant que cette durée soit limitée au strict nécessaire ; • Garanties en termes de sécurité et de protection des données conservées : La directive n’incluait pas de mesures adéquates visant à garantir leur intégrité et leur confidentialité, ainsi que leur conservation sur le territoire de l’Union de manière à assurer un contrôle effectif par une autorité indépendante b) L’arrêt de consécration : « Tele2 et Watson » du 21 décembre 2016 2 L’arrêt de la CJUE rendu le 21 décembre 2016 confirme et consacre sa lecture stricte de l’interdiction de la conservation généralisée et indifférenciée. Néanmoins, si la Cour condamne les législations nationales comme excédant les limites du strict nécessaire, elle laisse la porte ouverte à « une réglementation permettant, à titre préventif, la conservation ciblée des données relatives au trafic et des données de localisation, à des fins de lutte contre la criminalité grave, à condition que la conservation des données soit, en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue, limitée au strict nécessaire » 3. c) L’arrêt d’atténuation : « Quadrature du Net et FDN » et « Privacy International » du 6 octobre 2020 4 Par l’arrêt La Quadrature du Net du 6 octobre 2020 concernant trois affaires jointes 5 dans le cadre de recours en annulation portés à l’encontre de mesures de droit national, la CJUE maintient l'interdiction de principe de l'obligation de conservation généralisée et indifférenciée des données de connexion, toujours sur la base des mêmes arguments. Néanmoins, elle tempère sa condamnation de la conservation généralisée et indifférenciée des données de communications électroniques et y apporte des précisions. Tout d’abord, la CJUE souligne que le principe de garantie de confidentialité des communications et des données y afférentes peut être battu en brèche, dès lors qu’une limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la CJUE, 21 décembre 2016, Tele2 Sverige AB (C‑203/15) et Secretary of State for the Home Department, affaire C‑698/15. 3 Paragraphe 108 de l’arrêt de 2016. 4 CJUE, 6 octobre 2020, Privacy international (affaire C-623/17), et La Quadrature du Net, French Data Network, Ordre des barreaux francophones et germanophone (affaires jointes C-511/18, C-512/18, C-520-18). 5 Les arrêts de la Cour de justice répondent à des questions préjudicielles soulevées respectivement par le tribunal britannique chargé des pouvoirs d’enquête, par le Conseil d’État français et par la Cour constitutionnelle belge. 2 3 sécurité nationale, la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales. Une « pondération équilibrée » doit être ainsi réalisée entre ces derniers et les droits fondamentaux en cause. S’agissant des mesures législatives prévoyant la conservation préventive des données relatives au trafic et des données de localisation aux fins de la sauvegarde de la sécurité nationale, la Cour n’énonce pas de prime abord une interdiction de toute conservation généralisée et indifférenciée desdites données. Bien au contraire, la Cour souligne le caractère supérieur de l’objectif de sauvegarde de la sécurité nationale, estimant que ce dernier est « susceptible de justifier des mesures comportant des ingérences dans les droits fondamentaux plus graves que celles que pourraient justifier [l]es autres objectifs » 6. La conservation généralisée et indifférenciée des données de trafic et de localisation (autres que les données d’identité civile et les adresses IP à la source de la connexion) peut donc être imposée aux opérateurs en cas de menace grave, réelle et actuelle ou prévisible pour la sécurité nationale. S’agissant, ensuite, des mesures législatives prévoyant la conservation préventive des données relatives au trafic et des données de localisation aux fins de la lutte contre la criminalité et de la sauvegarde de la sécurité publique, la CJUE, suivant en cela ses jurisprudences précédentes, estime que seule la lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique sont de nature à justifier des ingérences graves dans les droits fondamentaux. Soulignant ici le caractère sensible des informations concernées, la Cour voit dans leur conservation une ingérence grave, concernant la quasitotalité de la population, sans qu’aucune différenciation, limitation ni exception soient opérées en fonction de l’objectif poursuivi. La Cour ne ferme pas pour autant toutes les portes, puisqu’elle souligne néanmoins qu’une conservation ciblée (ciblant des catégories de personnes ou des lieux) de données relatives au trafic et de données de localisation est possible, afin de répondre aux objectifs de lutte contre la criminalité grave et de prévention d’atteintes graves à la sécurité publique. La CJUE souligne également que des exceptions au principe d’interdiction de tout stockage de masse de façon généralisée et indifférenciée sont possibles. Elle permet ainsi des mesures législatives prévoyant: • la conservation préventive généralisée et indifférenciée des adresses IP aux fins de la lutte contre la criminalité et de la sauvegarde de la sécurité publique. Selon la Cour, les données d’adresses IP, permettant d’identifier la personne physique propriétaire de l’équipement terminal à partir duquel une communication au moyen de l’Internet est effectuée, présentent un « degré de sensibilité moindre que les autres données relatives au trafic », même si elles peuvent permettre le « traçage exhaustif du parcours de navigation d’un internaute » concourant à « établir le profil détaillé de ce dernier » 7. Pour la Cour, une mesure législative prévoyant la conservation généralisée et indifférenciée des seules adresses IP n’apparaît pas, en principe, contraire à l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des article 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte, pourvu que cette possibilité soit soumise au strict respect des conditions matérielles et procédurales devant régir l’utilisation de ces données. La Cour souligne toutefois que seule la lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique sont de nature, à l’instar de la sauvegarde de la sécurité nationale, à justifier cette ingérence. 6 7 Paragraphe 136 de l’arrêt de 2020. Paragraphes 152 et 153 de l’arrêt de 2020. 4 • la conservation préventive généralisée et indifférenciée des données relatives à l’identité civile aux fins de la lutte contre la criminalité et de la sauvegarde de la sécurité publique. La CJUE estime que l’ingérence que comporte une conservation de ces données ne saurait, en principe, être qualifiée de grave. Elle en conclut dès lors que des « mesures législatives visant le traitement de ces données en tant que telles, notamment leur conservation et l’accès à celles-ci à la seule fin de l’identification de l’utilisateur concerné, et sans que lesdites données puissent être associées à des informations relatives aux communications effectuées, sont susceptibles d’être justifiées par l’objectif de prévention, de recherche, de détection et de poursuite d’infractions pénales en général » 8. • la conservation rapide des données relatives au trafic et des données de localisation aux fins de la lutte contre la criminalité grave. Il s’agit ici de conserver les données en question au-delà du délai légal normalement prévu, aux fins de l’élucidation d’infractions pénales graves ou d’atteintes à la sécurité nationale, « et ce tant dans la situation où ces infractions ou ces atteintes ont déjà pu être constatées que dans celle où leur existence peut, au terme d’un examen objectif de l’ensemble des circonstances pertinentes, être raisonnablement soupçonnée » 9. La Cour va reconnaître encore aux autorités nationales la « possibilité, au moyen d’une décision de l’autorité compétente soumise à un contrôle juridictionnel effectif, d’enjoindre aux fournisseurs de services de communications électroniques de procéder, pour une durée déterminée, à la conservation rapide des données relatives au trafic et des données de localisation dont ils disposent » 10. La Cour insiste toutefois sur l’encadrement étroit des modalités d’une telle conservation, qui doit être limitée au strict nécessaire, s’agissant notamment de la durée de conservation. La finalité d’une telle conservation doit en outre être clairement établie et enfin, et surtout, seule la lutte contre la criminalité grave et, a fortiori, la sauvegarde de la sécurité nationale, sont de nature à justifier une telle ingérence. d) L’arrêt de précision : « Commissioner of the Garda Síochána e.a » du 5 avril 2022 11 La grande chambre de la CJUE, dans une décision du 5 avril 2022, confirme sa jurisprudence récente selon laquelle le droit de l'UE s'oppose à une conservation généralisée et indifférenciée des données relatives au trafic et à la localisation afférentes aux communications électroniques afin de lutter contre les infractions graves. Mais, elle apporte en outre de nouvelles précisions sur les conditions dans lesquelles des dérogations à cette règle, strictement encadrées et conformes au principe de proportionnalité, sont possibles. Elle offre ainsi une trame pour un dispositif dérogatoire compatible avec le droit de l'UE et apporte des précisions sur les catégories de mesures envisageables. Paragraphes 157 et 158 de l’arrêt de 2020. Paragraphe 161 de l’arrêt de 2020. 10 Paragraphe 163 de l’arrêt de 2020. 11 CJUE, 5 avril 2022, G.D. contre Commissioner of An Garda Síochána, affaire C‑140/20. 8 9 5 • Une conservation ciblée des données relatives au trafic et à la localisation en fonction de catégories de personnes concernées ou au moyen d'un critère géographique Les autorités nationales peuvent prendre une mesure de conservation fondée sur un critère géographique comme le taux moyen de criminalité dans une zone géographique donnée, sans qu'elles disposent nécessairement d'indices concrets portant sur la préparation ou la commission, dans les zones concernées, d'actes de criminalité grave. Une telle mesure de conservation, qui vise des lieux ou des infrastructures fréquentées régulièrement par un nombre très élevé de personnes ou des lieux stratégiques (aéroports, gares, ports maritimes, zones de péage) est susceptible de permettre aux autorités : - d'obtenir des informations sur la présence, dans ces lieux, des personnes qui y utilisent un moyen de communication électronique ; - d'en tirer les conclusions sur leur présence et leurs activités dans ces lieux afin de lutter contre la criminalité grave. • Une conservation généralisée et indifférenciée des adresses IP attribuées à la source d'une connexion La directive ne s'oppose pas non plus à des mesures législatives qui prévoient, aux mêmes fins, une conservation généralisée et indifférenciée des adresses IP attribuées à la source d'une connexion, pour une période temporellement limitée au strict nécessaire. • Une conservation généralisée et indifférenciée des données relatives à l'identité civile des utilisateurs de moyens de communications électroniques Ni la directive e-privacy ni aucun autre acte de l'Union ne s'opposent à une législation nationale qui a pour objet la lutte contre la criminalité grave et qui subordonne l'acquisition d'un moyen de communication électronique (carte SIM prépayée par exemple) à la vérification de documents d'identité officiels et à l'enregistrement, par le vendeur, des informations qui en résultent. Le vendeur étant, le cas échéant, tenu de donner accès à ces informations aux autorités nationales compétentes. • Une conservation rapide (quick freeze) des données relatives au trafic et à la localisation dont disposent ces fournisseurs de services La Cour juge que les autorités compétentes peuvent ordonner une mesure de conservation rapide dès le premier stade de l'enquête portant sur une menace grave pour la sécurité publique ou sur un éventuel acte de criminalité grave. Une telle mesure, précise la Cour, peut être étendue aux données relatives au trafic et à la localisation afférentes à des personnes autres que celles qui sont soupçonnées d'avoir projeté ou commis une infraction pénale grave ou une atteinte à la sécurité nationale. À la condition cependant que ces données puissent, sur la base d'éléments objectifs et non discriminatoires, contribuer à l'élucidation d'une telle infraction (données de la victime, données de l'entourage social ou professionnel). Cependant, précise la Cour, toutes ces mesures doivent assurer, par des règles claires et précises, que la conservation des données en cause est subordonnée au respect des conditions matérielles et procédurales y afférentes et que les personnes concernées disposent de garanties effectives contre les risques d'abus. 6 Ces différentes mesures peuvent, selon le choix du législateur national et tout en respectant les limites du strict nécessaire, trouver à s'appliquer conjointement. e) Les arrêts de confirmation : «SpaceNet » et « VD » du 20 septembre 2022 12 Dans les deux affaires jointes C‑793/19 et C-794/19 « SpaceNet », deux demandes de décision préjudicielle ont été présentées par le Bundesverwaltungsgericht (Cour administrative fédérale allemande), qui a été saisi d’un recours en « Revision » par la République fédérale d’Allemagne contre deux arrêts ayant accueilli les recours formés par deux sociétés, SpaceNet AG et Telekom Deutschland GmbH, fournissant des services d’accès à Internet. Par ces recours, ces sociétés contestaient l’obligation qu’impose la réglementation allemande de conserver des données relatives au trafic et des données de localisation afférentes aux communications électroniques de leurs clients. Par son arrêt, la CJUE confirme la jurisprudence issue des arrêts du 6 octobre 2020 et du 5 avril 2022. Elle rappelle notamment que la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation afférentes aux communications électroniques n’est pas autorisée, à titre préventif, aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique. En revanche, conformément aux jurisprudences précédentes, la CJUE ne s’oppose pas à une législation nationale qui prévoit les types de conservations généralisées ou ciblées détaillées par l’arrêt du 5 avril 2022. Puis, concernant l’affaire de la CJUE du même jour C-339/20 « VD », des procédures pénales ont été engagées en France contre VD et SR des chefs de délits d’initiés, de recel de délits d’initiés, de complicité, de corruption et de blanchiment. Ces procédures avaient pour origine des données à caractère personnel issues d’appels téléphoniques effectués par VD et SR, générées dans le cadre de la fourniture de services de communications électroniques, qui avaient été communiqués au juge d’instruction par l’Autorité des marchés financiers à la suite d’une enquête diligentée par cette dernière. La CJUE confirme dans le même sens sa jurisprudence selon laquelle le droit de l’Union s’oppose à ce qu’une juridiction nationale limite dans le temps les effets d’une déclaration d’invalidité qui lui incombe, en vertu du droit national, à l’égard d’une législation nationale imposant aux fournisseurs de services de communications électroniques une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, en raison de l’incompatibilité de cette législation avec la directive « vie privée et communications électroniques ». 3. ANTECEDANTS NATIONAUX La directive 2006/24/CE a été invalidée compte tenu de la portée de l’ingérence dans l’exercice des droits fondamentaux que comporte l’obligation faite aux fournisseurs de services de communications électroniques de conserver les données de trafic et de localisation des utilisateurs ainsi que de l’absence de proportionnalité et de règles claires et suffisantes imposant des limites et mesures de sauvegarde. Il convient partant de noter que la CJUE s’est prononcé contre l’obligation de la rétention des données dans les conditions de la directive 2006/24/CE, sans pour autant invalider le principe même d’une conservation de données. CJUE, 20 septembre 2022, SpaceNet, affaires jointes C‑793/19 et C-794/19 ; CJUE, 20 septembre 2022, VD, affaires jointes C-339/20 et C-397/20. 12 7 Cependant, puisque la directive 2006/24/CE est déclarée invalide, le retour au statu quo ante s’impose : les ordres juridiques de l’Union Union et de ses Etats membres en reviennent à la situation antérieure à l’entrée en vigueur de la directive, donc à la situation existante au 31 décembre 2005. Les Etats membres n’ont plus l’obligation mais simplement la possibilité de demander aux opérateurs de téléphonie et aux fournisseurs d’accès de conserver les données de télécommunication électroniques aux fins de recherche, détection et poursuite d’infractions pénales. Afin de répondre aux problèmes soulevés par la CJUE dans son Arrêt « Digital Rights Ireland », le projet de loi n° 6763 portant modification du Code d’instruction criminelle et de la loi modifiée du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques a été déposé à la Chambre des Députés en date du 7 janvier 2015. Ledit projet de loi avait comme objectif d’adapter le dispositif légal relatif à la rétention des données à des fins de poursuites pénales aux exigences de la jurisprudence européenne. Le texte tel que proposé a certes introduit une obl …

🔗 Vers la source officielle

Explication IA à partir du texte officiel de la loi. Indicatif, ne remplace pas un conseil juridique.