GER-2010-1-005
a)  Allemagne / b)  Cour constitutionnelle fédérale / c)  Premier Sénat / d)  02-03-2010 / e)  1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 / f)  Conservation des données / g) / h)  Neue Juristische Wochenschrift 2010, 833-856; Wertpapier-Mitteilungen 2010, 569-586; Europäische Grundrechte-Zeitschrift 2010, 85-121; Deutsches Verwaltungsblatt 2010, 503-509; Kommunikation und Recht 2010, 248-254; CODICES (anglais, allemand).
 
Mots-clés du thésaurus systématique:
 
 
Sources - Catégories - Règles écrites - Droit de l’Union européenne.
Principes généraux - Mise en balance des intérêts.
Droits fondamentaux - Droits civils et politiques - Inviolabilité des communications - Communications téléphoniques.
 
Mots-clés de l'index alphabétique:
 
Donnée, conservation / Médias, données, trafic des télécommunications, stockage / Médias, données, télécommunications, extraction et utilisation / Médias, service de télécommunications, fournisseurs, stockage, obligation / Médias, données, trafic des télécommunications, sécurité.
 
Sommaire (points de droit):
 
1. La conservation des données de trafic des télécommunications par les fournisseurs de services privés sans motif particulier, simplement par précaution, pendant plus de six mois, conformément à la directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 (JO L 105 du 13 avril 2006, p. 54), n'est pas en elle-même incompatible avec l'article 10 de la Loi fondamentale. La primauté éventuelle de la directive n'entre donc pas en ligne de compte à cet égard.
 
2. Le principe de proportionnalité veut que, dans l'énoncé de la législation relative à la conservation/au stockage des données, il soit dûment tenu compte de l'importance de l'atteinte ainsi portée aux droits fondamentaux. La sécurité et l'utilisation des données, la transparence et la protection juridique doivent faire l'objet de dispositions suffisamment claires et précises.
 
3. Garantir la sécurité des données et limiter, dans des dispositions claires et précises, les buts pour lesquels elles peuvent être utilisées sont des fonctions qui relèvent, conformément à l'article 73.1.7 de la Loi fondamentale, de la compétence du législateur car il s'agit d'éléments indissociables de toute législation qui crée une obligation de conservation de données. En revanche, la compétence pour élaborer les dispositions relatives à l'extraction des données, à la transparence et à la protection juridique est fonction de la répartition des compétences normatives dans le domaine dont il s'agit.
 
4. S'agissant de la sécurité des données, la législation doit contenir des dispositions claires, précises et juridiquement contraignantes établissant un niveau de sécurité particulièrement élevé. Elle doit aussi garantir, en toutes circonstances, que ce niveau soit en permanence réactualisé pour tenir compte des plus récentes discussions entre spécialistes, connaissances et avancées en la matière et qu'il ne soit pas, au gré des intéressés, mis en balance avec des considérations économiques générales.
 
5. Pour satisfaire au principe de proportionnalité, l'extraction et l'utilisation directe de données doivent concourir à l'exécution de tâches impérieuses liées à la protection d'intérêts juridiques. En matière pénale, cela suppose que les soupçons relatifs à une infraction pénale grave qui aurait été commise se fondent sur des faits précis. L'extraction et l'utilisation directe de données pour permettre aux services de renseignements de s'acquitter de leurs missions ou pour prévenir un danger ne sont légitimes qu'à condition qu'il existe des preuves concrètes indiquant que la vie, l'intégrité corporelle ou la liberté d'un individu, l'existence ou la sécurité de la Fédération ou d'un Land (état fédéré) ou la sécurité publique sont effectivement menacées.
 
6. Les fournisseurs de services de télécommunications sont autorisés à faire un usage simplement indirect des données dont ils disposent afin de communiquer des informations relatives aux titulaires d'adresses de protocole internet (adresses IP) à des tiers pour l'exercice de poursuites pénales, pour prévenir un danger ou pour permettre aux services de renseignements de s'acquitter de leurs missions, même indépendamment de listes limitatives d'intérêts juridiques ou d'infractions pénales. En cas de poursuites d'auteurs d'infractions administratives, ces informations ne peuvent être communiquées que dans des cas revêtant une importance particulière et expressément prévus par le législateur.
 
Résumé:
 
Les recours constitutionnels sont dirigés contre l'article 113a et 113b de la loi relative aux télécommunications (Telekommunikationsgesetz, ci-après, "la loi") et l'article 100g du Code de procédure pénale (Strafprozessordnung) pour autant que ce dernier permet de recueillir des données stockées en vertu de l'article 113a de la loi.
 
L'article 113a de la loi oblige les fournisseurs de services de télécommunications accessibles au public à stocker, sans motif particulier, simplement par précaution, presque toutes les données de trafic des services téléphoniques, des services de courrier électronique et des services internet. Cette obligation de stockage concerne essentiellement toutes les informations qui sont nécessaires pour retrouver qui a communiqué ou tenté de communiquer avec qui, quand, combien de temps et d'où. Elle ne porte pas sur le contenu des communications et, par voie de conséquence, sur les détails des pages internet que les utilisateurs ont visitées. Les données doivent être stockées pendant six mois, à l'issue desquels elles doivent être effacées dans le délai d'un mois.
 
L'article 113b de la loi régit les buts pour lesquels ces données peuvent être utilisées. Ladite disposition indique dans les grandes lignes les buts pour lesquels les données peuvent en général être utilisées, à charge pour le Gouvernement fédéral et les Länder (états fédérés) de les préciser dans des dispositions édictées à cet effet. Les buts pour lesquels les données peuvent être utilisées directement sont énumérés dans la première partie de la première phrase de l'article 113b de la loi. Ces buts sont: l'exercice de poursuites pénales, la prévention de dangers importants pour la sécurité publique et l'accomplissement de missions de renseignements. La deuxième partie de la première phrase de l'article 113b de la loi autorise l'utilisation indirecte des données aux fins de communication d'informations conformément à l'article 113.1 de la loi afin de pouvoir demander aux fournisseurs de services de donner sur les titulaires d'adresses IP des renseignements permettant de les identifier. Selon cette disposition, les autorités sont autorisées, lorsque elles ont connaissance d'une adresse IP, à demander des informations sur l'utilisateur auquel cette adresse a été attribuée. Le législateur les y autorise, sans autre précision, aux fins de poursuivre les auteurs d'infractions pénales ou administratives, d'une part, et d'éviter un danger, d'autre part. Il n'y a ni intervention d'une autorité judiciaire ni obligation de notification.
 
L'article 100g du Code de procédure pénale qui définit la première partie de la première phrase de l'article 113b de la loi régit l'utilisation directe, aux fins de l'exercice de poursuites pénales, des données stockées par mesure de précaution. La disposition régit tous les accès aux données de trafic des télécommunications. Elle permet aussi l'accès à des données de connexion que les fournisseurs de services conservent pour d'autres motifs (pour effectuer des transactions commerciales, par exemple). Le législateur n'opère aucune distinction à cet égard entre les données qui sont conservées par précaution au titre de l'article 113a de la loi et les autres données de trafic. Il permet même d'utiliser, pour poursuivre les auteurs d'infractions pénales d'une certaine gravité, les données conservées qui ne figurent pas sur une liste exhaustive d'infractions pénales. Les données peuvent être utilisées de manière générale pour poursuivre les auteurs d'infractions pénales commises au moyen de télécommunications sous réserve d'un juste rapport de proportionnalité avec les faits de la cause. Une décision judiciaire préalable est nécessaire à cet effet. Le Code de procédure pénale prévoit aussi une obligation de notification et de réparation judiciaire a posteriori en la matière.
 
Les dispositions litigieuses mettent en œuvre la directive 2006/24/CE du Parlement européen et du Conseil, de l'année 2006, relative à la conservation des données. Selon cette directive, les États membres doivent soumettre les fournisseurs de services de télécommunications à l'obligation de conserver les données mentionnées à l'article 113a de la loi pendant une durée comprise entre six mois au minimum et deux ans au maximum et de les tenir à disposition pour l'exercice de poursuites pénales contre les auteurs d'infractions graves. La directive ne contient aucune disposition plus détaillée sur l'utilisation des données. Les mesures relatives à la protection des données relèvent pour l'essentiel des États membres.
 
II. Les dispositions de la loi et du Code de procédure pénale relatives à la conservation des données sont incompatibles avec l'article 10.1 de la Loi fondamentale (protection du secret des télécommunications).
 
Les dispositions litigieuses ne satisfont pas aux exigences énoncées dans le sommaire de la décision. L'article 113a de la loi n'est pas inconstitutionnel du seul fait que la portée de l'obligation de conservation des données serait a priori disproportionnée. En revanche, les dispositions relatives à la sécurité des données, aux buts et à la transparence de l'utilisation des données ainsi que celles relatives à la protection juridique ne satisfont pas aux exigences constitutionnelles. En conséquence, la loi dans son ensemble n'a pas une structure conforme au principe de proportionnalité.
 
Même l'indispensable garantie d'un niveau de sécurité des données particulièrement élevé fait défaut. La loi se contente, pour l'essentiel, de mentionner la vigilance nécessaire en général dans le domaine des télécommunications, laissant à chaque fournisseur de services de télécommunications le soin de préciser les mesures concrètes. Les personnes sur lesquelles pèse l'obligation de conserver les données ne sont pas tenues, sous peine d'exécution forcée, d'utiliser des instruments garantissant la sécurité des données. Un niveau comparable de sécurité n'est pas davantage assuré par d'autres voies. Il n'y a pas non plus un système de sanctions équilibré qui accorderait plus d'importance aux violations de la sécurité des données qu'aux violations de l'obligation de conservation.
 
Les dispositions relatives à l'utilisation de données aux fins de l'exercice de poursuites pénales sont également incompatibles avec les normes découlant du principe de proportionnalité. L'alternative no 1 de la première phrase de l'article 100g.1 du Code de procédure pénale ne garantit, ni en général ni dans les cas particuliers, que seules les infractions pénales graves puissent donner lieu à la collecte de données pertinentes.
 
L'article 100g du Code de procédure pénale ne satisfait pas davantage aux exigences constitutionnelles dans la mesure où l'extraction de données n'est pas seulement autorisée dans un cas particulier, sur requête du juge, mais de manière générale, voire à l'insu de l'intéressé.
 
La structure même des alternatives nos 2 et 3 de la première phrase de l'article 113b et 113b de la loi ne satisfait pas à l'exigence d'une limitation suffisante des buts pour lesquels les données sont utilisées. Le législateur fédéral s'est contenté de définir de manière générale les domaines d'activité dans lesquels des données peuvent être obtenues en application d'une législation adoptée ultérieurement, en particulier par les Länder. Ce faisant, il ne s'est pas acquitté de son obligation de limiter, comme l'exige la Loi fondamentale, les buts pour lesquels les données peuvent être utilisées.
 
La façon dont est conçue l'utilisation des données stockées au titre de l'article 113a de la loi est également disproportionnée, aucune protection des relations de confiance n'étant prévue dans le cadre de la transmission. Or, cette protection est un impératif fondamental, au moins pour une catégorie étroitement définie de liaisons de télécommunications pour lesquelles la confidentialité est essentielle.
 
La deuxième partie de la première phrase de l'article 113b de la loi ne satisfait pas aux exigences constitutionnelles dans la mesure où, d'une part, elle permet, sans autre limitation, de communiquer des informations sur les données pour la poursuite, en général, des auteurs d'infractions administratives et où, d'autre part, elle ne prévoit aucune obligation de notification à la suite de la communication de ces informations.
 
La violation du droit fondamental à la protection du secret des télécommunications garanti par l'article 10.1 de la Loi fondamentale conduit à la nullité de l'article 113a et 113b de la loi ainsi qu'à celle de la première phrase de l'article 100g.1 du Code de procédure pénale pour autant qu'il permet de recueillir des données de trafic au titre de l'article 113a de la loi. Force est, dans ces conditions, de conclure à la nullité des dispositions litigieuses, la violation, par ces dernières, des droits fondamentaux étant dûment établie.
 
La décision a été adoptée par sept voix contre une en ce qui concerne le constat d'inconstitutionnalité de l'article 113a et 113b de la loi, et par six voix contre deux en ce qui concerne les autres questions de droit matériel, ainsi qu'il appert des deux opinions dissidentes jointes à l'arrêt de la Cour constitutionnelle fédérale.
 
Le Sénat a estimé, par quatre voix contre quatre, que les dispositions litigieuses devaient être déclarées nulles et non avenues, et non pas simplement inconstitutionnelles.
 
Langues:
 
Allemand, anglais (sur le site de la Cour).