B. UNE JURISPRUDENCE À L'ASSISE CONTESTABLE
Les arrêts de la Cour ont fait l'objet de commentaires abondants de la doctrine et des juridictions nationales au vu :
- en premier lieu, de leur fondement juridique ;
- en deuxième lieu, de l'immixtion qu'ils peuvent impliquer dans une compétence qui est celle des États ;
- en dernier lieu, de la philosophie qui sous-tend les positions des juges de Luxembourg.
S'agissant du premier point, l'un des éléments saillants de la jurisprudence de la CJUE est qu'elle se fonde sur la Charte des droits fondamentaux de l'Union européenne, et plus particulièrement sur ses articles 7, 8 et 11 qui protègent respectivement le droit au respect de la vie privée et familiale, les données à caractère personnel et la liberté d'expression. En d'autres termes, à l'inverse d'une écrasante majorité de décisions dans lesquelles la Cour apprécie la conformité d'une règle nationale à un texte de droit dérivé, elle examine en matière de données de connexion le bon respect de la Charte par des textes dont l'origine est indifféremment européenne ou nationale.
Plus encore, et comme l'observait le rapporteur public Alexandre Lallet dans ses conclusions sur la décision du Conseil d'État French data network de 2021 (voir ci-après), les exigences issues de la Charte sont interprétées par la Cour comme des impératifs absolus, qu'elle ne juge pas devoir concilier avec d'autres impératifs de même niveau comme le ferait le Conseil constitutionnel français ou comme le fait la CEDH : il souligne ainsi que la Cour « ne s'embarrasse pas d'une analyse des garanties pourtant sérieuses dont [la] conservation [des données de connexion] doit être entourée » et que, tout en admettant l'importance des objectifs de protection de la sécurité nationale et de lutte contre la criminalité grave, elle les estime dérogatoires aux principes de la Charte et en promeut une interprétation stricte qui offre un contraste singulier avec la portée prétorienne qu'elle a souhaité accorder à la protection des données personnelles40(*).
Sur le second sujet, un nombre conséquent de juristes s'est interrogé sur la signification et la pertinence d'une jurisprudence qui semble aller au-delà du périmètre des compétences confiées à l'Union par les traités et toucher au coeur d'une prérogative nationale, à savoir la sécurité publique et la sûreté de l'État. Certes, la directive « vie privée et communications électroniques » de 2002 est susceptible d'avoir un impact sur la conservation des métadonnées en raison du régime de conservation choisi par les autorités publiques : parce que cette conservation est confiée aux opérateurs, et donc à des acteurs économiques privés, elle relève au moins pour partie du marché intérieur41(*) ce qui peut, sans épuiser le sujet, expliquer l'intervention en la matière de la CJUE. Pour autant, ses décisions marquent un véritable renversement puisque la même directive excluait d'elle-même son application dans le domaine régalien : son article 1er, paragraphe 3, dispose ainsi que « la présente directive ne s'applique pas aux activités qui ne relèvent pas du traité instituant la Communauté européenne, telles que celles visées dans les titres V et VI du traité sur l'Union européenne, et, en tout état de cause, aux activités concernant la sécurité publique, la défense, la sûreté de l'État (y compris la prospérité économique de l'État lorsqu'il s'agit d'activités liées à la sûreté de l'État) ou aux activités de l'État dans des domaines relevant du droit pénal »42(*).
Certains auteurs ont, dès lors, évoqué un « glissement jurisprudentiel » constituant une « expansion des compétences de l'Union »43(*) et se sont interrogés sur « la légitimité du juge européen à fixer unilatéralement une répartition des compétences entre l'Union et ses États membres »44(*). Ces questionnements sont partagés par les cours suprêmes françaises, comme en témoignent les conclusions précitées d'Alexandre Lallet qui consacrent de longs développements à la possibilité d'invoquer l'identité constitutionnelle de la France pour rejeter l'application de la jurisprudence européenne : si cette idée a été finalement écartée par le Conseil d'État dans sa décision, le simple fait qu'elle ait été mise sur la table est loin d'être anodin et constitue de toute évidence un message envoyé aux juges de Luxembourg.
La troisième question porte sur la philosophie sous-jacente aux décisions de la Cour et sur les objectifs qu'elle a entendu poursuivre en limitant drastiquement les possibilités d'action des États dans un domaine où l'intérêt intégratif d'une harmonisation totale à l'échelle de l'Union n'apparaît pas avec clarté.
Certaines des personnes auditionnées par les rapporteurs ont estimé que ses arrêts, bien qu'applicables sans distinction, visaient certains États et faisaient écho aux craintes qui voient le jour face à la montée des démocraties illibérales à l'est de l'Europe. D'autres y ont vu, cumulativement ou alternativement avec ce qui précède, la marque d'une « logique de méfiance à l'égard des autorités publiques, qu'il faut se garder de soumettre à la tentation, à défaut de les délivrer d'un mal qui sommeille en chacune d'elles : c'est le spectre de la surveillance de masse et de l'intrusion permanente dans la `vie des autres', dont l'histoire a livré des manifestations durablement traumatisantes dans une partie au moins de l'Europe »45(*).
Sans pouvoir trancher ce débat, les rapporteurs s'étonnent du paradoxe qui consiste à restreindre avec autant de force l'accès des autorités publiques aux métadonnées pour lutter contre la criminalité, tout en laissant de vastes marges de manoeuvres aux acteurs privés pour traiter les mêmes données à des fins purement commerciales, notamment par le biais d'un profilage dont l'existence même suppose une connaissance fine de la vie privée des utilisateurs.
* 40 Le texte des conclusions précitées est consultable sur le site du Conseil d'État.
* 41 Ce qui pose la question, à titre subsidiaire, d'un sort juridique d'une conservation qui serait assurée directement par les États.
* 42 Le texte de la directive est consultatble sur le site suivant : https://eur-lex.europa.eu.
* 43 François-Xavier Millet, « Le glissement jurisprudentiel en matière de données de connexion : l'expansion des compétences de l'Union et sa réception dans les États membres », RFDA 2023, p. 606.
* 44 Brunessen Bertrand, « La Cour de justice et les données de connexion : vers un European Data Network ? », RFDA 2023, p. 615.
* 45 Conclusions précitées d'Alexandre Lallet.