Protection des données personnelles et sécurité nationale : les États membres seuls responsables ?
Photo©AdobeStock
Avec l’article 8 de sa Charte des droits fondamentaux (ci-après : « la Charte »), l’Union européenne (ci-après : « l’Union » ou « l’UE ») consacre en tant que droit fondamental le droit à la protection des données personnelles, une préoccupation déjà ancienne du droit dérivé. En effet, depuis la directive 95/46 notamment, l’Union européenne était dotée d’un outil général protégeant les données personnelles. Aujourd’hui, c’est le Règlement Général sur la Protection des Données (ci-après le « RGPD ») qui tient le flambeau. Il est vu comme le résultat d’une ambitieuse entreprise d’unification
La protection des données personnelles qu’offre le droit de l’Union peut être exclue ou limitée. D’un côté, elle peut être exclue puisque, naturellement, elle ne s’applique pas aux domaines qui ne relèvent pas du droit de l’Union. La sécurité nationale, entre autres, fait partie de ces activités, cela est prévu par l’article 4(2) du Traité sur l’Union européenne (ci-après « TUE ») qui prévoit : « En particulier, la sécurité nationale reste de la seule responsabilité de chaque État membre ». Dans le prolongement de cet article, divers actes de droit dérivé vont dans le même sens : l’article 1(3) de la directive 2002/58, l'article 2(2)a du RGPD, et l'article 2(3) de la directive Police-Justice. Ces articles sont des clauses dites « d’exclusion » qui peuvent être définie comme des clauses prévoyant l’inapplicabilité de certains textes à certains domaines. De l’autre côté, cette protection peut être limitée. C’est ce que prévoit la Charte des droits fondamentaux à son article 52(1), ainsi que le droit dérivé
Cela n’est pas exempt de contradiction
L’étude du droit dérivé de l’Union et de la jurisprudence de la Cour ne permet pas de répondre par l’affirmative. L’analyse de cette dernière révèle que les mesures nationales adoptées pour protéger la sécurité des États membres ont largement été source de contentieux, particulièrement lorsqu’elles faisaient obligation aux fournisseurs de services électroniques de conserver de manière générale et indifférenciée les données de leurs usagers. Il pouvait alors s’agir d’états-civils, de données d’identifiant, de données de localisation, d’informations relatives à l’identité des auteurs et des destinataires des communications, ou encore d’informations relatives au type d’appareils utilisés.
Historiquement, le droit l’Union apportait son concours à ce type de traitement. La directive 2006/24/CE les prévoyait même jusqu’à son invalidation par la Cour de Justice dans son arrêt Digital Rights Ireland
Par conséquent, c’est à la question suivante que nous nous proposons de répondre : comment la Cour de Justice interprète-t-elle le motif de sécurité nationale au sein de la multitude de textes du corpus de la protection des données personnelles ?
Pour répondre, les développements à venir se baseront principalement sur l’étude de la jurisprudence de la Cour de Justice. Ils démontreront que la Cour clarifia les conséquences de la prise en compte de la sécurité nationale dans la détermination des champs d’application respectifs des actes de droit dérivés qui protègent les données personnelles. En outre, en reconnaissant la superposition substantielle
Les développements suivants seront donc organisés en deux parties. La première est intitulée « Prendre en compte la sécurité nationale, l’hésitation entre exclusion ou limitation du droit de l’Union » (I), la seconde : « Résoudre le concours entre clause d’exclusion et de limitation, vers une neutralisation des clauses d’exclusion ? » (II).
I.Prendre en compte la sécurité nationale, l’hésitation entre exclusion ou limitation du droit de l’Union
Cette partie analyse la fonction des clauses relatives à la sécurité nationale dans le droit dérivé de l’Union. Ainsi que mentionné auparavant, la responsabilité exclusive des États membres en matière de sécurité nationale peut laisser penser à une autonomie d’action dans ce domaine. Pour autant, l’existence de clause de limitation nuance ce constat — puisque le principe de proportionnalité est par définition un tempérament à la liberté d’action — à l’inverse des clauses d’exclusion qui auraient tendance à le soutenir. Ces clauses se basent toutes sur le motif de sécurité nationale, mais si leur similitude pourrait laisser croire à l’identité de leur champ d’application la jurisprudence de la Cour ne permet pas une conclusion si franche.
Par conséquent, afin d’analyser ces écarts entre clauses d’exclusion d’abord, et entre clauses d’exclusion et de limitation ensuite, les développements suivants s’organiseront en deux parties. Une première est intitulée : « La place de la sécurité de nationale dans le concours des actes de droit dérivé : exclusion globale ou sectorielle ? » (A), la seconde : « La sécurité nationale, un domaine exclu mais pas indépendant du droit de l’Union » (B).
A.La place de la sécurité nationale dans le concours des actes de droit dérivé : exclusion globale ou sectorielle ?
Cette sous partie étudie la manière dont les champs d’application des différents actes de droit dérivé s’accordent entre eux. Plus précisément, elle porte sur l’interprétation faite par la Cour des différentes clauses d’exclusion, notamment celles relatives à la sécurité nationale, et tache de déterminer si, en raison de la proximité de leurs formulations, elles doivent trouver le même champ d’application .
L’article 2, paragraphe 2, du RGPD prévoit l’inapplicabilité du règlement dans plusieurs cas de figure. Il ne s’applique pas aux traitements effectués par des particuliers dans un cadre personnel ou domestique (c), aux traitements réalisés par les États membres dans le cadre de la PESC (b), aux traitements nécessaires à la prévention ou à l’investigation d’acte pénalement répréhensibles (d), ou, d’une manière générale, aux activités qui ne relèvent pas du « champ d’application du droit de l’Union » (a). Ces deux derniers motifs d’exclusion font l’objet des développements suivants.
Premièrement, la clause d’exclusion du RGPD en matière pénale a pour but de permettre l’application d’une lex specialis : la directive 2016/880. La Cour l’affirme au point 71 de l’arrêt Ligue des droits humains
Deuxièmement, la clause prévue au paragraphe (a) exclue l’application du RGPD aux domaines qui ne relèvent pas du champ d’application de l’Union — ce type de clause appelée « clause d’exclusion générale », est prévue également par les directives 2002/58 et 2016/680, respectivement aux articles 1(3) et 2(3)a. Sur cette base, il est possible d’affirmer que les activités de sécurité nationale, étant de la seule responsabilité des États membres, ne doivent pas se voir appliquer le RGPD. Cela est soutenu par le considérant 16 du RGPD : « Le présent règlement ne s'applique pas à des questions de protection des libertés et droits fondamentaux ou de libre flux des données à caractère personnel concernant des activités qui ne relèvent pas du champ d'application du droit de l'Union, telles que les activités relatives à la sécurité nationale ».
En raison de la proximité de la formulation des clauses d’exclusion générale des différents actes de droit dérivé, il est possible de penser que leurs champs d’application doivent être semblables. Autrement dit, que si la clause du RGPD doit être activée, les clauses des autres actes de droit dérivé doivent l’être également par analogie.
Pour autant, la Cour juge autrement. Dans l’affaire Quadrature du net, la Cour, appelée à se prononcer sur le champ d’application de la directive 2002/58, après avoir définie le champ d’application respectif des clauses de limitation et d’exclusion pour motif de sécurité nationale —raisonnement au sujet duquel la seconde partie sera consacrée —, affirme :
« En revanche, lorsque les États membres mettent directement en œuvre des mesures dérogeant à la confidentialité des communications électroniques, sans imposer des obligations de traitement aux fournisseurs de services de telles communications la protection des données des personnes concernées relève non pas de la directive 2002/58, mais du seul droit national, sous réserve de l’application de la directive (UE) 2016/680… » (pt.103).
Ici, la Cour parvient à la conclusion que, si la prise en compte du motif de sécurité nationale peut enclencher l’inapplicabilité de la directive 2002/58, cela n’exclut pas automatiquement la directive 2016/680. D’une pierre, un seul coup, donc. Le sens de ce renvoi interroge car, dans la Quadrature, il est manifeste que la Cour parvient à cette conclusion à propos d’une activité de sécurité nationale, activité que la directive 2016/680 compte parmi les activités qui « ne relève pas du champ d’application du droit de l’Union »
Au-delà de l’aménagement du concours entre actes de droit dérivé au sujet duquel l’European Data Protection Board a spécialement dédié des lignes directrices
B.La sécurité nationale, un domaine exclu mais pas indépendant du droit de l’Union
Ces clauses de limitation nous semblent être en contradiction avec la logique qui voudrait que les États membres soient les seuls responsables dans le domaine de la protection leur sécurité nationale ; c’est le fondement même d’un régime de limitation qui interroge puisqu’il restreint directement la marge de manœuvre des États dans ce domaine.
Au-delà de ce régime que nous aborderons sous peu, il est important de mentionner que les États membres sont limités de manière générale par une exigence inhérente du droit de l’Union : le monopole interprétatif de la Cour de justice. Étant maîtresse de son lexique, la Cour contrôle l’usage de la notion d’activité de sécurité nationale : elle définit là où commence et là où s’arrête son usage. Cela, d’autant plus que cette notion n’est pas définie par les textes. C’est la Cour qui en apporte une définition dans sa décision Quadrature du Net : les activités de sécurité nationale sont celles dont « l'intérêt premier [est] de protéger les fonctions essentielles de l'État et les intérêts fondamentaux de la société et englobe la prévention et la répression des activités susceptibles de déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d'un pays et, en particulier, de menacer directement la société, la population ou l'État lui-même, telles que les activités terroristes » (pt.135). Sur cette base, les États membres ne peuvent revendiquer arbitrairement, pour échapper à l’application du droit de l’Union par exemple, qu’ils agissent pour la sécurité nationale ; ils doivent se conformer à cette définition.
Ainsi, la certitude qu’une activité donnée rentre bien dans le domaine de la sécurité nationale devrait emporter deux conséquences. Premièrement, en tant qu’activité pour laquelle ils sont exclusivement responsables, les États membres devraient être libres de leurs moyens, du moins, ils ne devraient pas être contraints par le droit de l’Union. Cela ressort clairement du lien entre l’article 4(2) TUE et les clauses d’exclusion dans les cas du RGPD et de la Directive police justice. Les considérants de ces actes, respectivement 16 et 14, appellent à l’exclusion de leur application quand il s’agit de sécurité nationale. Dans la directive 2002/58, point de tel considérant, mais sa clause d’exclusion est plus précise : son article 1(3) affirme que sont exclus de son champ d’application les « activités concernant la sécurité publique, la défense, la sûreté de l'État (y compris la prospérité économique de l'État lorsqu'il s'agit d'activités liées à la sûreté de l'État) ou [les] activités de l'État dans des domaines relevant du droit pénal ».
Mais si ces combinaisons de clauses et de considérants semblent disposer de manière suffisamment claire l’inapplicabilité du droit de l’Union au domaine de la sécurité nationale, la présence de clauses de limitation pour ce même domaine brouille le tableau. Le cas de la directive 2002/58 est représentatif, une lecture combinée de la clause d’exclusion reproduite plus haut, et de la clause de limitation reproduite ci-dessous, particulièrement des passages mis en évidence, l’illustre bien : « Les États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus […] lorsqu'une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d'une société démocratique, pour sauvegarder la sécurité nationale - c'est-à-dire la sûreté de l'État - la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d'infractions pénales… »
Cette partie aura tâché de démontrer que si la prise en compte de la sécurité nationale appelle a priori à rendre inapplicable le droit de l’Union de la protection des données personnelles, il n’en demeure pas moins que le respect de ce droit fondamental limite les États lorsqu’ils tachent d’assurer leur sécurité nationale. Ils sont alors sous le coup de clauses de limitation et soumit au respect du principe de proportionnalité. De cela née une incertitude dans le droit de l’Union et pose sur la question de savoir quel régime adopter en présence du motif de sécurité nationale : la limitation ou l’exclusion ? Répondre à cette question implique de résoudre le concours entre ces deux clauses. C’est ce que nous proposons d’étudier dans la seconde partie.
II.Résoudre le concours entre clause d’exclusion et de limitation, vers une neutralisation des clauses d’exclusion ?
Quel contrôle de légalité mener sur les atteintes à la protection des données personnelles causées par des mesures visant à protéger la sécurité nationale ? Devons-nous exclure l’application du droit de l’Union et par là refuser tout contrôle sous l’angle du droit de l’Union, ou faut-il appliquer ce dernier et limiter la protection qu’il offre par l’exercice d’un contrôle de proportionnalité ? La différence est drastique alors que le recoupement substantiel
Pour analyser la réponse de la Cour, une première partie sera consacrée au critère subjectif qu’elle retient dans l’interprétation de la clause d’exclusion de la directive 2002/58. Une seconde partie étudiera la portée de ce critère qui, selon nous, tend à restreindre drastiquement le champ d’application des clauses d’exclusion dans leur ensemble.
À titre préliminaire, il faut mentionner que la Cour rappelle l’interprétation restrictive qui doit être faite des clauses d’exclusion : « S’agissant du droit au respect de la vie privée, la protection de ce droit fondamental exige, selon la jurisprudence constante de la Cour, en tout état de cause, que les dérogations à la protection des données à caractère personnel et les limitations de celle-ci doivent s’opérer dans les limites du strict nécessaire » (pt.52)
Les développements suivants se dérouleront donc en deux parties. La première est intitulée : « Reconnaitre une activité propre à la sécurité nationale, l’introduction d’un critère subjectif » (A), la seconde : « La portée du critère subjectif à la reconnaissance d’une activité de sécurité nationale du droit de l’Union, vers une application permanente du droit de l’Union ? » (B).
A.Reconnaitre une activité propre à la sécurité nationale, l’introduction d’un critère subjectif
Le régime actuel découle de l’affaire Quadrature du Net. Dans cet arrêt en continuité avec la jurisprudence Tele2 Sverige, la Cour présente un premier argument fondé sur l'effet utile du droit de l'UE. Par définition, l’argument de l’effet utile est celui « qui consiste à remettre en question une lecture de la loi qui ferait d’une partie de celle-ci quelque chose d’inutile ou dépourvu de sens »
La Cour statue ainsi : « une interprétation de cette directive selon laquelle les mesures législatives visées à son article 15, paragraphe 1, seraient exclues du champ d’application de ladite directive du fait que les finalités auxquelles de telles mesures doivent répondre recoupent substantiellement les finalités poursuivies par les activités visées à l’article 1er, paragraphe 3, de la même directive, priverait cet article 15, paragraphe 1, de tout effet utile » (pt.97)
Ce raisonnement, cohérent avec la méthode d’interprétation téléologique de la Cour, peut sembler, au premier abord, limité. En effet, d’aucuns pourraient affirmer que sa réciproque est vraie : utiliser la clause de limitation en lieu et place de la clause d’exclusion priverait aussi cette dernière de toute utilité. Toutefois, une telle approche néglige une nuance : la clause de limitation ne s’applique que pour les « mesures législatives visant à limiter la portée des droits et des obligations [de cette directive] pour sauvegarder la sécurité nationale ». Ainsi, la clause de limitation a un champ d’application plus réduit que celui de la clause d’exclusion : les « mesures législatives », à l’exclusion des mesures infra-législatives. Une interprétation affirmant que peuvent bénéficier de la clause d’exclusion les mesures non-législatives tenant à la sécurité nationale nous semble plus juste dans la mesure où elle préserve l’effet utile de ces deux dispositions.
Cependant, la Cour de Justice ne penche pas en ce sens et ne s’attarde pas sur l’argument de l’effet utile. À la différence de Tele2 Sverige, les États membres ont présenté avec efficacité une observation tenant à ce que soit pris en compte un arrêt Parlement contre Conseil de 2006
Avec insistance, donc, la Cour de Justice distinguait la collecte des données à des fins commerciales et leur transfert, réalisé dans un objectif de sécurité nationale. Par analogie, l’affaire Quadrature du Net semblait faite pour cette jurisprudence. Comment ne pas y voir un « cadre établi par les pouvoirs publics visant la sécurité publique », qui exige des entités fournissant de services de communications électroniques, en sus de leurs opérations commerciales, de conserver des données à des fins de sécurité nationale ? La Cour, néanmoins, est claire : elle affirme « que cette jurisprudence n’est pas transposable à l’interprétation de l’article 1er, paragraphe 3, de la directive 2002/58 » (pt.101)
Par le premier, la CJ rappelle que dans la mesure où sont prévues, en sus de la clause d’exclusion, des clauses permettant de limiter législativement la protection de la directive, c’est bien que le législateur de l’Union souhaite protéger les communications électroniques des traitements conduits pour défendre la sécurité nationale. Ainsi, sont exclues du bénéfice de l’exclusion prévue par l’article 1(3) les mesures législatives tenant à protéger la sécurité nationale. En soi, la directive 95/46 prévoyait également des limitations par des mesures législatives, mais cela ne fut pas d’une quelconque difficulté dans l’affaire de 2006 car, ce recours en annulation était dirigé à l’encontre d’un acte de droit dérivé : une décision d’adéquation.
Par le second argument, la Cour affirme que, puisque « de telles mesures législatives impliquent obligatoirement un traitement, par lesdits fournisseurs, desdites données [, ces mesures] ne sauraient, en ce qu’elles régissent les activités de ces mêmes fournisseurs, être assimilées à des activités propres aux États, visées » par la clause d’exclusion. Ici, la Cour de Justice créé un critère subjectif afin de définir ce que sont les mesures de sécurité nationale qui peuvent bénéficier de la clause d’exclusion, elle prend en compte : « l’auteur du traitement de données concerné » (pt.96)
Pour la Cour, la nécessité de ce critère subjectif découle donc de la formulation plus étroite de la clause d’exclusion de la directive 2002/58. Pourtant, une lecture comparée des deux articles n’appelle pas selon nous, à une conclusion si tranchée. L’article 1(3) de la directive 2002/58 affirme d’un côté,
"La présente directive ne s'applique pas aux activités qui ne relèvent pas du traité instituant la Communauté européenne, telles que celles visées dans les titres V et VI du traité sur l'Union européenne, et, en tout état de cause, aux activités concernant la sécurité publique, la défense, la sûreté de l'État (y compris la prospérité économique de l'État lorsqu'il s'agit d'activités liées à la sûreté de l'État) ou aux activités de l'État dans des domaines relevant du droit pénal » ;
de l’autre, l’article 3(2), premier tiret de la directive 95/56 affirme :
« La présente directive ne s'applique pas au traitement de données à caractère personnel mis en œuvre pour l'exercice d'activités qui ne relèvent pas du champ d'application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l'Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l'État (y compris le bien-être économique de l'État lorsque ces traitements sont liés à des questions de sûreté de l'État) et les activités de l'État relatives à des domaines du droit pénal ».
On peine ici à trouver, dans les passages mis en évidence, un changement de formulation qui conférerait au premier un champ d’application plus restreint. Ainsi, il nous semble que dans le raisonnement de la Cour, cette prémisse est erronée, et que l’introduction du critère subjectif n’était pas nécessaire, ou du moins pas pour cette raison.
Il n’empêche que cette solution restreint très largement le champ d’application de l’exception de sécurité nationale et pourrait, in fine, la priver de tout effet utile.
B.La portée du critère subjectif à la reconnaissance d’une activité de sécurité nationale du droit de l’Union, vers une application permanente du droit de l’Union ?
Avec une telle interprétation de la clause d’exclusion de la directive 2002/58, il est possible de se demander dans quelle mesure les États membres peuvent-ils défendre leur sécurité nationale sans être sous le coup du droit de l’Union de la protection des données personnelles ? En effet, avec un tel critère subjectif, il faut, pour bénéficier de cette clause d’exclusion, avoir une entité de droit public qui opère sur ces réseaux. C’est ce que la Cour affirme : « lorsque les États membres mettent directement en œuvre des mesures dérogeant à la confidentialité des communications électroniques, sans imposer des obligations de traitement aux fournisseurs de services de telles communications, la protection des données des personnes concernées relève non pas de la directive 2002/58, mais du seul droit national, sous réserve de l’application de la directive (UE) 2016/680 » (pt. 103)
Pour autant, au-delà du débat juridique sur les limites de l’application du droit de l’Union, il est vrai qu’avoir une application permanente du droit de l’Union n’est pas un problème en soi. Ce qui importe vraiment, c’est de savoir si l’exclusion de l’application du droit de l’Union est nécessaire pour défendre efficacement la sécurité nationale. La réponse à cette question dépend de la vision que l’on a de l’efficacité des législations qui, tenant à protéger la sécurité nationale, doivent proportionner leurs atteintes à la protection des données personnelles. Autrement dit, le respect du principe de proportionnalité est-il un obstacle dirimant à la protection de la sécurité nationale ? À ce sujet, le Conseil d’État, dans son arrêt French Data Network, affirme que le droit de l’Union n’offre pas une protection de la sécurité nationale équivalente à celle que requiert la Constitution
En outre, et de manière générale, sur le continent européen il y aura toujours une protection des données personnelles. En effet, le Conseil de l’Europe, à travers la Convention Européenne des Droits de l’Homme et la Convention 108 protège ces dernières. La jurisprudence de la Cour Européenne des Droits de l’Homme est particulièrement féconde en matière de sécurité nationale et de protection des données personnelles, et influence le régime adopté par la CJUE, particulièrement en matière de surveillance de masse
Finalement, ce régime questionne la fonction de l’article 4(2) TUE : « la sécurité nationale reste de la seule responsabilité de chaque État membre ». Alors qu’être responsable désigne communément « l’obligation d’une personne de répondre de ses actes », compte tenu de l’interprétation faite par la Cour des clauses d’exclusion, il nous semble nécessaire de s’interroger, sinon sur la justesse d’une telle interprétation, du moins sur la pertinence de l’exclusivité de la responsabilité étatique affirmée par l’article 4(2) TUE
Notes
- 1. MICHÉA (Frédérique) « L'articulation du RGPD avec le corpus du droit dérivé de l'Union relatif à la protection des données personnelles : un tableau clair-obscur », in dir. BENSAMOUN (Alexandra) et BRUNESSEN (Bertrand) Le règlement général sur la protection des données personnelles. Aspects institutionnels et matériels, Rennes, mare&martin, p.57.
- 2. Terme disputé par certains auteurs qui conviennent que, s’il est d’application large, le RGPD ne constitue pas pour autant une lex generalis. Voir Douville (Thibault) Droit des données à caractère personnel. Précis Domat Droit Privé-Public, Paris, 2023, p.137.
- 3. MICHÉA (Frédérique) « L'articulation du RGPD avec le corpus du droit dérivé de l'Union relatif à la protection des données personnelles : un tableau clair-obscur », in dir. BENSAMOUN (Alexandra) et BRUNESSEN (Bertrand) Le règlement général sur la protection des données personnelles. Aspects institutionnels et matériels, Rennes, mare&martin, p.53.
- 4. DOUVILLE (Thibault) Droit des données à caractère personnel. Précis Domat Droit Privé-Public, Paris, 2023, p.23.
- 5. TINIÈRE (Romain). “Article 8 – Le Droit à La Protection Des Données à Caractère Personnel.” In Charte Des Droits Fondamentaux de L'Union Européenne - Commentaire Article Par Article, 185–204. Collection Droit de L'Union Européenne. Bruylant, 2019. P.218.
- 6. CJUE, 8 avril 2014, Digital rights Ireland Ltd contre Minister form Communications, Marine and Natural Resources ea et Kärtner Landesregierung ea, Aff. Jointes C-293/12 et C-594/12.
- 7. TINIÈRE (Romain). “Article 8 – Le Droit à La Protection Des Données à Caractère Personnel.” In Charte Des Droits Fondamentaux de L'Union Européenne - Commentaire Article Par Article, 185–204. Collection Droit de L'Union Européenne. Bruylant, 2019. P.218.
- 8. CJUE, 6 octobre 2020, La Quadrature du Net c/ Premier ministre, Aff. jointes C-511/18, C-512/18, C-520/18. Pt.97.
- 9. Ibid.
- 10. KRZYSTROF (Garstka), “Between Security and Data Protection: Searching for a Model of a Legal Big Data Surveillance Scheme within the European Union Data Protection Framework (2018) HRBDT Occasional Paper Series”, 2018.
- 11. Directive 2016/680, considérant 14 : « Étant donné que la présente directive ne devrait pas s'appliquer au traitement de données à caractère personnel effectué dans le cadre d'une activité ne relevant pas du champ d'application du droit de l'Union, il convient que les activités relatives à la sécurité nationale ne soient pas considérées comme des activités relevant du champ d'application de la présente directive »
- 12. European Data Protection Board, Avis 5/2019 relatif aux interactions entre la directive « vie privée et communications électroniques» et le RGPD, en particulier en ce qui concerne la compétence, les missions et les pouvoirs des autorités de protection des données.
- 13. Directive 2002/58, article 15(1).
- 14. CJUE, 6 octobre 2020, La Quadrature du Net, préc.
- 15. CJUE, 8 avril 2014, Digital Rights Ireland Ltd, préc.
- 16. VENTURA (Daniel), « L’acquisition de données de communications électroniques par les autorités de renseignement à l’épreuve de la directive ‘e-privacy’ 2002/58/CE », RDLF 2020, chron. N°22.
- 17. GOLTZBERG (Stefan), L’argumentation juridique, Dalloz, Paris, 2021, 5e édition, p.40.
- 18. CJUE, 6 octobre 2020, La Quadrature du Net, préc.
- 19. CJCE, 30 mai 2006, Parlement contre Conseil et Commission, Aff. jointes C-317/04 et C-318/04.
- 20. Ibid.
- 21. Ibid.
- 22. CJUE, 6 octobre 2020, La Quadrature du Net, préc.
- 23. Ibid.
- 24. TZANOU (Maria) et SPYRIDOULA (Karyda). « Privacy International and Quadrature Du Net: One Step Forward Two Steps Back in the Data Retention Saga? », EUROPEAN PUBLIC LAW, s. d.
- 25. CJUE, 6 octobre 2020, La Quadrature du Net, préc.
- 26. Ibid.
- 27. Voir supra
- 28. CE, Assemblée, 21/04/2021, French data network, n°393099, Publié au recueil Lebon. cons.10
- 29. Ibid. cons. 45
- 30. DOUVILLE (Thibault) Droit des données à caractère personnel. Précis Domat Droit Privé-Public, Paris, 2023. p.25 et 26. AILINCIA (Mihaela Anca). « Différents standards européens de protection des données ? : à propos du droit de l'Union européenne et du droit du conseil de l'Europe », in dir. BENSAMOUN (Alexandra) et BRUNESSEN (Bertrand), Le règlement général sur la protection des données : aspects institutionnels et matériels, mare & martin, 2020,
- 31. « The Future of Data Retention Regimes and National Security in the EU after the Quadrature Du Net and Privacy International Judgments | ASIL ». Consulté le 13 avril 2024. Voir aussi, Ventura (Daniel), « L’acquisition de données de communications électroniques par les autorités de renseignement à l’épreuve de la directive ‘e-privacy’ 2002/58/CE », RDLF 2020, chron. N°22.
- 32. CE, Assemblée, 21/04/2021, French data network, préc.
- 33. CJUE, Communiqué de presse, n° 58/20, 8 mai 2020
- 34. CE, Assemblée, 08/02/2007, Société Arcelor Atlantique, n° 287110, Publié au recueil Lebon. V. aussi son commentaire in LONG (Marceau), GENEVOIS (Bruno), DELVOLVÉ (Pierre), WEIL (Prosper) et Braibant (Guy), Les grands arrêts de la jurisprudence administrative, 24e édition, 2023, Paris, Dalloz, p.803
- 35. AZOULAI (Loïc) et RITLENG (Dominique), « ‘L’État, c’est moi’. Le Conseil d’État, la sécurité et la conservation des données » RTD Eur. 2021, p. 349 et note 14.
- 36. Conclusions du 28/09/2023 sur « La Quadrature du Net e.a. (Données personnelles et lutte contre la contrefaçon) » affaire n°C-470/21 : « La multiplication des demandes de décisions préjudicielles ayant pour objet l’interprétation de l’article 15, paragraphe 1, de la directive 2002/58 peut également indiquer une certaine forme de réticence de la part des juridictions nationales à appliquer les principes dégagés par la Cour à des situations légèrement différentes, en raison des spécificités des ordres juiques nationaux » (note e bas de page n°38). Conclusions mentionnées dans RITLENG (Dominique), DUBOUT (Édouard) et AZOULAI (Loïc), « Une affaire de bon sens ? La quadrature du net ii (aff. C-470/21) devant l’assemblée plénière de la cour de justice de l’union européenne », RDLF, 2023, chron. n°45.