Sylvie Peyrou-Bartoll, Maître de conférences HDR, CDRE Bayonne
Cinq ans jour pour jour après le célèbre arrêt Schrems (6 octobre 2015, aff. C-362/14) ayant invalidé le Safe Harbor et confirmé l’interdiction, par le droit de l’Union, du stockage de masse de façon généralisée et indifférenciée de données à caractère personnel, la Cour de Justice de l’Union européenne (CJUE), par deux arrêts en date du 6 octobre 2020 apporte une nouvelle pierre, substantielle, à l’édifice de la protection des données en Europe… si ce n’est la clef de voûte, parachevant la construction de ce droit fondamental, proclamé et garanti par la Charte des droits fondamentaux de l’UE, mais largement mis à mal par les politiques des Etats membres en matière de lutte contre la criminalité et le terrorisme.
Ces arrêts fleuves (presque 80 pages pour le second), foisonnants et extrêmement complexes, prennent un peu plus de relief et de sens à la lumière des conclusions de l’Avocat général Sanchez-Bordona du 15 janvier 2020 (voir par exemple : « Renseignement et terrorisme : quand le code de la sécurité intérieure se trouve dans le viseur du juge européen », Conclusions Avocat Général Campos Sanchez-Bordona, 15 janvier 2020, Pierre Berthelet & Sylvie Peyrou, CREOGN N° 47, avril 2020).
La première idée majeure qui ressort ici des deux arrêts est la condamnation réitérée du stockage de masse des données à caractère personnel, de façon généralisée et indifférenciée, dans le droit fil des jurisprudences Digital Rights Ireland (CJUE 8 avril 2014, aff. jointes C-293/12, C-594/12) et Tele2 Sverige (21 décembre 2016, Tele2 Sverige AB, aff. C‑203/15 et Secretary of State for the Home Department, aff. C‑698/15). Une telle condamnation, si elle est clairement affirmée, n’en est pas pour autant absolue, laissant place en effet à des tempéraments qui viennent en atténuer la portée (I). Le principe de l’interdiction est ensuite largement nuancé – sinon écorné ? – par la formulation de multiples exceptions, certes limitées et encadrées mais néanmoins nombreuses (II), esquissant une sorte de protection dégressive suivant des cercles concentriques s’éloignant peu à peu du noyau dur du droit fondamental à la protection des données.
Lire la suite