SECȚIUNEA 5 CAUZA BREYER c. GERMANIA (solicitarea nr. 50001/12) HOTĂRÂREA Art 8 • Respectarea vieții private • Obligația legală a furnizorilor de servicii de a păstra datele cu caracter personal ale utilizatorilor cartelelor SIM preplătite pentru telefoane mobile și de a le pune la dispoziția autorităților la cerere • Ingerința privind un set limitat de date • Recuperarea datelor de către autorități cu garanții adecvate • Conservarea în litigiu proporțională cu scopurile legitime ale protecției securității naționale și prevenirii infracțiunilor STRASBURG 30 ianuarie 2020 DEFINITIVF 07/09/2020 Această hotărâre a devenit definitivă în temeiul articolului 44 alineatul (2) din convenție. Poate fi supus unor modificări de formă. În cazul Breyer C. Germania, Curtea Europeană a Drepturilor Omului (secțiunea a cincea), care se află într-o cameră compusă din: Yonko Grozev, președinte, Angelika Nußberger, Síofra o La originea cauzei se află o cerere (nr. 50001/12) îndreptată împotriva Republicii Federale Germania, dintre care doi sunt resortisanți ai acestui stat, dnii. La 27 iulie 2012, Patrick Breyer și Jonas Breyer au sesizat Curtea în temeiul articolului 34 din Convenția pentru apărarea drepturilor omului și a libertăților fundamentale ( Conducătorul german a fost reprezentat de agenții săi, M. H.J. Behrens și M. K. Behr, Ministerul Federal al Justiției și Protecției Consumatorilor. Invocând articolele 8 și 10, reclamanții s-au plâns că, în calitate de utilizatori ai cardurilor SIM preplătite pentru telefon mobil, anumite date cu caracter personal care le privesc fuseseră stocate de furnizorii lor de servicii respectivi în temeiul obligației legale prevăzute la art. 111 din Legea privind telecomunicațiile. Cererea a fost comunicată guvernului la 21 martie 2016. S-au primit observații scrise din partea organizațiilor Privacy International și din art. 19, pe care vicepreședintele le-a autorizat să intervină în procedură în calitate de părți terțe [art. 36 alineatul (2) din convenție și art. 44 alineatul (2) din Regulamentul de procedură al Curții]. DE FAPT. CIRCUMSTANȚELE LÂNGII A. Generarea cazului 6. Reclamanții s-au născut în 1977 și, respectiv, 1982 și locuiesc în Wald-Michelbach. Amândoi lucrau în cadrul unei organizații de apărare a libertăților civile, care a acționat împotriva conservării generalizate a datelor de telecomunicații. În acest context, ei organizau proteste publice și publicau articole în care denunțau o supraveghere de stat. Primul reclamant a fost, de asemenea, deputat în Parlamentul Schleswig-Holstein. În iunie 2004, Legea privind telecomunicațiile (Telekommunikations.) a fost modificată cu efect de a impune furnizorilor de servicii de telecomunicații obligația de a păstra date cu caracter personal referitoare la toți clienții lor, inclusiv cele pentru care astfel de date nu erau necesare în scopuri de facturare sau în alte scopuri contractuale (carduri SIM preplătite - as-you-go mai) pentru telefoane mobile). Până la intrarea în vigoare a acestor modificări legislative, furnizorii de servicii de telecomunicații puteau colecta și păstra numai datele necesare pentru relația lor contractuală și se considera că păstrarea unor astfel de date nu era necesară în cazul cardurilor SIM preplătite pentru telefonul mobil. Modificările legislative în cauză au făcut parte dintr-o reformare a legii în domeniul telecomunicațiilor, reformată pe care autoritățile au considerat necesară ulterior adoptării, la 7 martie și 12 iulie 2002, a cinci directive europene care trebuiau transpuse în legislația germană înainte de iulie și octombrie 2003. Cei doi solicitanți utilizează cartele SIM preplătite pentru telefoane mobile. În momentul activării acestor carduri, aceștia au fost obligați în temeiul articolului 111 din Legea privind telecomunicațiile (punctul 27 de mai jos) să înregistreze anumite informații cu caracter personal de la furnizorii lor de servicii respectivi. Procedura în fața Curții Constituționale Federale 9. La 13 iulie 2005, reclamanții au introdus o acțiune constituțională pentru a se plânge, printre altele, de articolele 111, 112 și 113 din Legea privind telecomunicațiile. art. 111 introducea obligația de a colecta și de a păstra numerele de telefon, numele, adresa și data nașterii fiecărui abonat și data intrării în vigoare a contractului (punctele 27-28 de mai jos). În ceea ce privește articolele 112 și 113, acestea au stabilit proceduri automatizate și manuale de acces la datele păstrate în temeiul articolului 111 (punctele 29 și 31 de mai jos). Reclamanții au susținut că articolele în cauză au încălcat dreptul lor la confidențialitate a corespondenței și a comunicațiilor poștale și telefonice, precum și dreptul lor la autodeterminare informațională (Recht auf informalle Selbstbest g 10. La art. 111 din Legea privind telecomunicațiile a fost modificată prin Legea din 21 decembrie 2007: obligația de a păstra datele referitoare la abonați a fost extinsă la alți identificatori de conexiune, iar lista datelor care trebuie păstrate a fost extinsă pentru a include, în cazurile în care un dispozitiv de comunicare mobilă a fost pus la dispoziție în același timp cu conectarea la rețeaua mobilă, numărul dispozitivului în cauză. 11. Reclamanții au modificat acțiunea constituțională pe care au formulat-o și care a fost în timpul acesteia pentru a include versiunea modificată a Legii privind telecomunicațiile. În consecință, Curtea Constituțională Federală a examinat în hotărârea sa Legea privind telecomunicațiile astfel cum era în vigoare la 1 ianuarie 2008. Decizia Curții Constituționale Federale (nr. 1 BvR 1299/05) 12. La 24 ianuarie 2012, Curtea Constituțională Federală a declarat, în măsura relevantă în speță, că articolele 111 și 112 din Legea privind telecomunicațiile erau compatibile cu Legea fundamentală (Crund Electrolux ), că prima teză a articolului 113 alineatul (1) era compatibilă cu Legea fundamentală atunci când era interpretată în conformitate cu Legea privind telecomunicațiile și că articolele 112 și 113 impuneau o lege care permitea recuperarea datelor de către autoritățile desemnate sau menționate în articolele în cauză (punctele 29 și 31 de mai jos). În ceea ce privește părțile acțiunii constituționale a reclamanților care nu sunt în cauză în prezenta procedură, Comisia concluzionează că procedura manuală prevăzută la art. 113 alineatul (1) nu putea fi utilizată pentru atribuirea adreselor IP dinamice și că autoritățile de securitate nu puteau solicita informații cu privire la codurile de acces prevăzute la art. 113 alineatul (1) decât în cazul în care condițiile prevăzute de legea privind utilizarea acestora erau îndeplinite. 13. Curtea Constituțională Federală a menționat, de asemenea, că, potrivit guvernului federal, procedura automatizată prevăzută la art. 112 din Legea telecomunicațiilor era de o importanță capitală. Potrivit acesteia, experiența a arătat că numărul de recuperări de date efectuate prin intermediul procedurii manuale în temeiul articolului 113 din Legea privind telecomunicațiile a reprezentat între 3 % și 5 % din numărul de cereri depuse în conformitate cu procedura automatizată în temeiul articolului 112 din legea privind telecomunicațiile. 14. În ceea ce privește părțile relevante ale acțiunii constituționale introduse de solicitanți, Curtea Constituțională Federală afirmă în primul rând că dispozițiile contestate au dus la o încălcare a dreptului la autodeterminare informațională. Aceasta a adăugat următoarele (traducere prin grefă; trimiterile la jurisprudența acestei instanțe au fost omise în pasajele menționate mai jos): (a) Dreptul la autodeterminare informațională ține seama de amenințările și efectele asupra personalității care, având în vedere situația actuală în materie de prelucrare a datelor, rezultă din măsuri legate de informare. Libera dezvoltare a personalității presupune ca persoana respectivă să fie protejată împotriva colectării, conservării, utilizării și transmiterii fără restricții a datelor cu caracter personal care îl privesc. Prin urmare, această protecție este garantată prin dreptul fundamental pe care îl consacră art. 2 alineatul (1) coroborat cu art. 1 alineatul (1) din Legea fundamentală. În această privință, dreptul fundamental garantează în mod individual competența de a decide el însuși cu privire la divulgarea și utilizarea datelor cu caracter personal care îl privesc. Garanția oferită de dreptul fundamental produce efecte în special atunci când autoritățile pun în pericol dezvoltarea personalității prin utilizarea și asocierea informațiilor cu caracter personal într-o măsură pe care persoana vizată nu o poate înțelege sau controla pe deplin. Domeniul protecției dreptului la autodeterminare informațională nu se limitează la informațiile care, prin natura lor, sunt sensibile și care, din acest motiv, sunt protejate prin Constituție. Având în vedere posibilitățile existente în materie de prelucrare și de asociere a datelor, nu există date cu caracter personal care să fie, prin natura lor, nesemnificative, indiferent de contextul în care este utilizată. În special, informațiile cu caracter personal referitoare la modalitățile de furnizare a serviciilor de telecomunicații sunt, de asemenea, legate de protecția autodeterminării informaționale. 123. Dispozițiile care conferă autorităților competența de a prelucra date cu caracter personal prevăd, în general, mai multe tipuri de ingerințe distincte, dar interdependente. În acest sens, ar trebui să se facă o distincție între colectarea, conservarea și utilizarea datelor. Cu toate acestea, în cazul în care legislatorul legiferează asupra schimbului de date în scopul îndeplinirii funcțiilor lor de către autoritățile publice, acesta trebuie, de asemenea, să facă o distincție între transmiterea datelor de către partea care furnizează informațiile și recuperarea datelor de către organismul care le solicită. Un schimb de date se traduce prin două ingerințe care se potrivesc și care se bazează pe un temei juridic independent. Cu alte cuvinte, legiuitorul trebuie să deschidă ușa nu numai pentru transmiterea datelor, ci și pentru recuperarea acestora. În ansamblu, aceste două baze juridice, care trebuie să funcționeze ca o ușă dublă, deschid calea pentru schimbul de date cu caracter personal, ceea ce nu înseamnă că, sub rezerva sistemului de competențe și a cerințelor de claritate editorială, cele două baze legale pot fi incluse în aceeași dispoziție. 124. (b) Dispozițiile contestate aduc atingere dreptului fundamental al reclamanților la autodeterminare informațională. În primul rând, obligația de colectare și conservare prevăzută de [art. 111 din Legea privind telecomunicațiile] constituie o încălcare a acestui drept. Alte încălcări ale drepturilor fundamentale rezultă, pe de o parte, din obligația impusă [prin art. 112 alineatul (1) din Legea telecomunicațiilor] furnizorilor de servicii de a face disponibile datele clienților lor sub forma unor fișiere clienți care pot fi consultate prin intermediul unei proceduri automatizate și, pe de altă parte, din competența Agenției Federale a Rețelelor de a recupera datele în cauză și de a le transmite autorităților în cauză ([art. 112 alineatul (4) din Legea privind telecomunicațiile]). În mod similar, [prima și a doua teză de la art. 113 alineatul (1) din Legea privind telecomunicațiile] încalcă drepturile fundamentale prin faptul că impun furnizorilor de servicii de telecomunicații obligația de a furniza, la cerere, informații cu privire la datele pe care le păstrează. 125. În sfârșit, o altă încălcare, distinctă și autonomă, constă în faptul că autoritățile abilitate pot [în temeiul articolelor 112 și 113 din Legea privind telecomunicațiile] să solicite [art. 112 alineatul (1), (2) și (4) ] sau să solicite informații [art. 113 alineatul (1) ] acestora. Cu toate acestea, având în vedere abordarea normativă a legiuitorului, această atingere necesită un temei juridic suplimentar, care, în funcție de domeniu, trebuie să se afle în legislația federală sau în legislația Landului . Dispozițiile [articolele 112 și 113 din Legea privind telecomunicațiile] trebuie să fie înțelese numai ca bază legală pentru transmiterea datelor, în conformitate cu distincția dintre colectarea și transmiterea datelor în tipologia legilor privind protecția datelor. Acestea presupun că autoritățile abilitate să primească informații au competențe independente în colectarea datelor (...). mai puțin de 15 minute. În ceea ce privește art. 111 din Legea privind telecomunicațiile, Curtea Constituțională Federală consideră că obligația de a menține o bază de date care conține informații cu privire la abonați a urmărit în special scopul legitim al urmăririi penale. Aceasta admitea că baza de date constituia o măsură de colectare și de conservare a unui număr mare de date ca măsură de precauție și că persoanele fizice ar avea întotdeauna posibilitatea de a eluda această dispoziție prin utilizarea anonimă a serviciilor de telecomunicații, sub un nume fals sau prin intermediul cardurilor SIM achiziționate de la terți, dar a considerat că dreptul la autodeterminare informațională era în cele din urmă justificat, având în vedere caracterul relativ limitat al informațiilor păstrate. 16. În ceea ce privește proporționalitatea măsurii, Curtea Constituțională Federală a declarat, printre altele, următoarele: [art. 111 din Legea privind telecomunicațiile] nu încalcă în mod strict cerințele de proporționalitate. Chiar dacă dispoziția de a comanda o gamă largă de date de telecomunicații sunt colectate și păstrate ca măsură de precauție, fără motiv special, aceaceasta este o atingere de o greutate limitată, ținând cont de valoarea informațională relativ limitată a datelor în cauză. 137. Totuși, această chestiune nu este neglijabilă. Aceasta are greutate în faptul că [art. 111 din Legea privind telecomunicațiile] permite asocierea unui număr de telecomunicații cu fiecare abonat pentru aproape toate serviciile de telecomunicații și că, în acest scop, datele individualizate precum adresa și data nașterii abonatului sau data de efect a contractului sunt înregistrate și păstrate la dispoziția statului. Aceste date constituie o bază generală de informații și îndeplinesc funcția de registru al numerelor de telecomunicații. În general, acestea permit să se obțină toate numerele de telecomunicații ale unui individ; în schimb, aproape toate telecomunicațiile pentru care este determinat un număr de telecomunicații pot fi atribuite unei conexiuni și, prin urmare, unui abonat. Având în vedere că acestea se referă la elementele fundamentale ale operațiunilor de telecomunicații, datele în cauză sunt în cadrul unor relații de informare deosebit de protejate, a căror confidențialitate este esențială pentru o societate bazată pe libertate. În plus, datele corespunzătoare sunt colectate și păstrate ca măsură de precauție fără un motiv valabil pentru a fi puse la dispoziție în scopul exercitării de către statul membru în care își desfășoară activitatea. 138. Totuși, această problemă nu are o greutate foarte mare. În special, faptul că datele sunt colectate ca măsură de precauție nu conferă procedurii o greutate foarte mare. Într-adevăr, chiar dacă [art. 111 din Legea privind telecomunicațiile] are un domeniu de aplicare extins, statul în cauză se limitează în fapt la date strict limitate care, în sine, nu permit să se cunoască activitățile specifice ale indivizilor și a căror utilizare a fost redusă de către legiuitor în scopuri precise. În astfel de cazuri, faptul că datele sunt păstrate fără motiv nu înseamnă că datele sunt deosebit de grave, chiar dacă datele sunt păstrate ca măsură de precauție. Desigur, păstrarea datelor ca măsură de precauție trebuie să rămână întotdeauna excepțională și justificată. Cu toate acestea, după cum reiese din registrul de stare civilă sau, în domeniul de activitate al vehiculului, din registrul central al vehiculelor (...) și din registrul central al permiselor de conducere, nu este exclus din aceasta faptul că colectarea de date ca măsură de precauție poate fi justificată de necesitatea ca statul membru să își îndeplinească funcțiile (...) 139. Datele menționate la [art. 111 din Legea privind telecomunicațiile] au o valoare informativă limitată. Acestea permit doar conectarea unui număr de telefon la un anumit abonat și, prin urmare, la utilizatorul său potențial (și de obicei). Acestea nu conțin informații private mai detaliate. În plus, acestea nu conțin informații cu caracter foarte personal, nici nu pot fi utilizate pentru a crea profiluri de personalitate sau pentru a monitoriza deplasările utilizatorilor: prin urmare, păstrarea lor ca măsură de precauție diferă fundamental de conservarea ca măsură de precauție a datelor referitoare la traficul de telecomunicații. (...) 140. Pe de altă parte, faptul că datele vizate de [art. 111 din Legea privind telecomunicațiile], luate în contextul lor, permit unui anumit individ să efectueze o anumită operațiune de telecomunicații cunoscută autorităților și, prin urmare, în anumite cazuri, să cunoască în mod individual circumstanțele care au înconjurat operațiunea sau conținutul acesteia nu conferă o greutate specială pentru telecomunicații în cauză. Într-adevăr, este posibil să se investigheze evenimente date, în cadrul unui caz specific. În astfel de cazuri, autoritățile cunosc deja circumstanțele sau conținutul operațiunii de telecomunicații pe care încearcă să o identifice autorul prin intermediul datelor prevăzute de [art. 111 din Legea privind telecomunicațiile] , pe care le-au descoperit fie prin încălcarea secretului telecomunicațiilor, în cadrul unei anchete care intră în competența lor, pe baza, de exemplu, a articolului 100g din Codul de procedură penală (...) Pe de altă parte, faptul că recuperarea unui număr de telecomunicații poate fi urmată de alte măsuri care, în anumite cazuri, ar putea duce la încălcări grave ale anumitor drepturi și ale secretului telecomunicațiilor, în special, nu conferă o greutate particulară în raport cu aceste drepturi. Într-adevăr, astfel de daune nu pot fi permise decât pe baza unui temei juridic independent, ținând cont în mod necesar de gravitatea acestei probleme. 141. Posibilitatea de a utiliza datele colectate în temeiul [art. 111 din Legea privind telecomunicațiile] permite autorităților desemnate în dispozițiile privind utilizarea acestor date de securitate să își îndeplinească în mod eficient sarcinile. Aceaceasta este justificată din punct de vedere constituțional prin faptul că autoritățile pot avea un interes legitim în efectuarea unei anchete asupra unor operațiuni de telecomunicații specifice în anumite cazuri, iar acest interes pe care autoritățile îl pot avea ca mijloace de a-și îndeplini funcțiile poate avea o greutate considerabilă sau chiar mai mare în anumite cazuri. Acest argument nu se poate opune celui care constă în faptul că comunicarea directă fără mijloace de telecomunicații nu face obiectul unor acorduri comparabile. Într-adevăr, situația este diferită în astfel de cazuri. Deoarece comunicarea directă nu utilizează mijloace tehnice de comunicare care permit schimbul în timp real pe orice distanță, în afara privirilor, cele două moduri de comunicare nu sunt comparabile și nici nu este necesar să se dispună de acest mod de comunicare a unui registru care îi identifică pe utilizatori. Pentru a rezolva cazuri, mijloacele tradiționale de investigare, cum ar fi audierea martorilor sau confiscarea documentelor, sunt în cazul unei comunicări directe mai eficiente decât sunt atunci când sunt utilizate mijloace electronice. Este adevărat că nici chiar posibilitățile oferite de mijloacele moderne de telecomunicații nu justifică înregistrarea tuturor activităților cetățenilor ca măsură de precauție atunci când acest lucru este posibil, iar astfel se permite reconstrucția acestora. Cu toate acestea, crearea unui registru al numerelor de telecomunicații nu ridică probleme de acest fel, chiar și atunci când ia în considerare faptul că registrul în cauză poate fi combinat cu alte date disponibile. mai puțin de 17 ani. În ceea ce privește art. 112 din Legea privind telecomunicațiile, Curtea Constituțională Federală a precizat (punctul 144) următoarele: [această dispoziție] reglementează utilizarea datelor stocate în conformitate cu [art. 111 din Legea privind telecomunicațiile] prin prevederea unei proceduri automatizate în cadrul căreia Agenția Federală a Rețelelor [ Bundesnetzagentor] trebuie să transmită datele în cauză autorităților desemnate la [art. 112] 2 din Legea privind telecomunicațiile], care solicită acest lucru. Aceasta servește drept bază legală pentru ca datele să devină disponibile sub formă de fișiere cliente, precum și pentru accesul la aceste date și transmiterea acestora, dar nu pentru recuperarea acestor date în temeiul unei cereri de informații din partea autorităților abilitate să primească datele în cauză. Cu toate acestea, Curtea Constituțională Federală consideră că dreptul general de a colecta date ar putea fi suficient pentru o cerere din partea autorităților competente. În această privință, Comisia a invocat o ușă dublă (punctul 123 din hotărârea citată la punctul 14 de mai sus), declarând că, în cazul în care art. 112 din Legea privind telecomunicațiile deschidea ușa pentru transmiterea datelor, acesta nu deschidea ușa pentru colectarea datelor de către autoritățile specializate. 18. Cu toate acestea, Curtea Constituțională Federală a considerat că, din mai multe motive, art. 112 din Legea privind telecomunicațiile avea o greutate considerabilă: Cu toate acestea, faptul că [art. 111 din Legea privind telecomunicațiile] simplifică în mod considerabil recuperarea datelor conferă o greutate considerabilă acestei dispoziții. Această procedură, care este centralizată și automatizată, permite eliminarea în mare măsură a dificultăților practice legate de colectarea datelor și punerea la dispoziție a datelor persoanelor vizate, fără a cauza întârzieri sau dificultăți practice în ceea ce privește cerințele de control. În plus, datele sunt comunicate fără știrea întreprinderilor de telecomunicații sau a altor terțe părți. Desigur, faptul că societatea de telecomunicații nu observă că informațiile sunt comunicate oferă persoanelor vizate un anumit grad de discreție; totuși, rezultă că aceste prejudicii nu sunt temperate de efectele moderației și controlului pe care le provoacă o terță parte. În plus, Agenția Federală a Rețelelor, care transmite datele, nu mai are control juridic decât dacă o circumstanță specifică justifică acest lucru [art. 112 alineatul (4) a doua teză din Legea privind telecomunicațiile]). Cu toate acestea, având în vedere că autoritatea care solicită datele în cauză nu își motivează cererea, este puțin probabil ca o astfel de situație să apară. 157. Greutatea acestei atingeri rezultă, de asemenea, din ceea ce legiuitorul a definit într-un mod foarte larg obiectivele pentru care pot fi utilizate datele. În general, datele pot fi transmise autorităților desemnate [art. 112 alineatul (2) din Legea privind telecomunicațiile] în scopul îndeplinirii obligațiilor lor legale. Restricțiile se aplică numai autorităților responsabile cu aplicarea legii menționate la [art. 112 alineatul (2) din Legea privind telecomunicațiile] și autorităților vamale desemnate la [art. 112 alineatul (2) din Legea privind telecomunicațiile 3 și 7 din Legea privind telecomunicațiile]. Cu toate acestea, este important să se clarifice faptul că, în temeiul [art. 112 din Legea privind telecomunicațiile], datele pot fi comunicate autorităților de aplicare a legii numai pentru a exclude amenințările, ceea ce exclude posibilitatea ca datele să fie comunicate doar ca măsură de precauție. În ceea ce privește obligațiile respective ale autorităților abilitate să obțină informații, puține restricții limitează obligațiile de informare ale Agenției federale a rețelelor. În mod special, legea nu introduce niciun prag strict: dimpotrivă, sfera de aplicare a obligației de informare depinde exclusiv de competența autorităților în cauză. Cu toate acestea, faptul că datele nu pot fi comunicate decât în măsura necesară exercitării de către autoritatea competentă a funcțiilor sale are ca efect crearea unei restricții de fapt. Astfel, recuperarea datelor poate fi permisă nu cu ușurință, cu scopul simplu de a obține informații în avans, ci atunci când informațiile efectiv necesare pentru exercitarea de către autoritatea funcțională nu pot fi obținute într-un mod mai simplu, dar la fel de eficient. (...) 163. Cu toate acestea, în practică [art. 112 din Legea privind telecomunicațiile] nu limitează recuperarea automată a datelor numai la cazurile în care o astfel de măsură ar fi legalizată printr-o bază juridică specifică; de asemenea, permite depunerea de cereri bazate pe simple competențe de colectare a datelor. Prin urmare, la nivelul legii specifice, nu este necesar să se identifice în mod expres autoritățile abilitate menționate [art. 112 alineatul (2) din Legea privind telecomunicațiile] sau să se definească alte condiții care trebuie îndeplinite în vederea recuperării datelor. (...) □ 19. Cu toate acestea, Curtea Constituțională Federală concluzionează că art. 112 din Legea privind telecomunicațiile era proporțional: [art. 112 din Legea privind telecomunicațiile] îndeplinește cerințele principiului proporționalității. Această dispoziție este utilizată pentru a spori eficiența autorităților menționate la [art. 112 alineatul (2) din Legea telecomunicațiilor] în exercitarea funcțiilor lor și este adecvată și necesară în acest scop. Aceaceasta este, de asemenea, proporțională în sensul îngust al termenului. (...) 158. În pofida greutății considerabile a lacului care rezultă din aceasta, această dispoziție este proporțională. Cel puțin un număr limitat de organisme sunt autorizate să recupereze date. Scopul pentru care sunt furnizate informații acestor organisme în temeiul [art. 112 alineatul (2) din Legea privind telecomunicațiile] se încadrează în funcții centrale legate de garantarea securității. Având în vedere importanța tot mai mare a mijloacelor electronice de comunicare și a schimbărilor comportamentale care decurg din acestea în materie de comunicare în toate domeniile vieții, autoritățile depind în mare măsură de o soluție simplă care le permite să asocieze un nume cu fiecare număr de telecomunicații. În acest sens, nu poate fi contestată din punct de vedere constituțional decizia legiuitorului de a autoriza transmiterea acestor date în scopul investigării infracțiunilor și amenințărilor sau de supraveghere de natură să pună în pericol Constituția, informarea autorităților publice și a publicului sau asistența în situații de urgență. Întrucât aceste anchete trebuie să se desfășoare adesea rapid și fără știrea persoanelor vizate, o procedură automatizată de acces la date este deosebit de importantă pentru autorități. Această dispoziție contribuie, de asemenea, la îmbunătățirea eficienței activității Curților și tribunalelor. 159. Faptul că datele în cauză au o valoare informațională limitată este esențial pentru echilibrarea intereselor implicate. Într-adevăr, aceste date oferă doar informații cu privire la atribuirea numerelor de telecomunicații abonaților. Chiar dacă, în anumite cazuri specifice de colectare a datelor, acestea ar putea duce la obținerea de informații sensibile, conținutul lor informativ ca atare rămâne limitat și depinde de măsuri suplimentare de investigație a căror legalitate trebuie să fie reținută de alte dispoziții. (...) 163. (...) Având în vedere că este vorba aici despre transmiterea de date de către o autoritate și că condițiile materiale ale acestei proceduri sunt expuse în mod exhaustiv și suficient de clar în [art. 112 din Legea privind telecomunicațiile], inclusiv în ceea ce privește persoanele vizate, această dispoziție, având în vedere, de asemenea, greutatea limitată a laturii care rezultă din aceasta, este compatibilă cu principiul proporționalității și corespunde structurii dispozițiilor privind recuperarea automatizată a datelor referitoare la vehicule și la proprietarii acestora care figurează în registrul înmatriculărilor ( ...) și structurii dispoziției privind transmiterea de date care figurează în legea privind înregistrarea rezidenților (...). Desigur, acest lucru nu schimbă responsabilitatea legiuitorului În plus, Curtea Constituțională a subliniat că a fost de competența autorităților publice să aplice aceste dispoziții astfel încât să se țină seama în mod specific, pe de o parte, de cerințele art. 112 alin. (1) și (2) din Legea telecomunicațiilor, în special de cerința conform căreia colectarea ar trebui să fie necesară chiar și într-un anumit caz și, pe de altă parte, de celelalte cerințe impuse de principiul proporționalității. 20. În ceea ce privește art. 113 din Legea privind telecomunicațiile, Curtea Constituțională a declarat că această dispoziție nu poate fi interpretată decât ca o dispoziție referitoare la comunicarea de date și că era necesară o bază juridică suplimentară pentru recuperarea datelor de către autorități. De asemenea, aceasta a considerat că autoritatea la locul de origine a unei cereri de informații nu era supusă nici unei restricții, cu excepția faptului că funcțiile sale erau legate de aceasta și că scopurile pentru a justifica recuperarea datelor au fost enunțate în termeni generali. Cu toate acestea, Comisia concluzionează că, ținând cont de faptul că informațiile obținute din datele în cauză erau în sine limitate și de importanța pe care o aveau pentru exercitarea eficientă a funcțiilor lor de către autorități, domeniul de aplicare al acestei dispoziții nu putea fi criticat din punct de vedere constituțional. 21. Curtea Constituțională Federală a declarat, printre altele, următoarele: Cu toate acestea, [prima teză din art. 113 alineatul (1) din Legea privind telecomunicațiile] deschide procedura manuală în mare măsură. Aceasta permite recuperarea de informații în scopul prevenirii amenințărilor, al urmăririi penale sau de reglementare și al executării de informații. În acest sens, dispoziția în cauză nu prevede nici un prag special care să precizeze domeniul de aplicare al acesteia. Pe de altă parte, aceasta permite întotdeauna recuperarea informațiilor de la caz la caz, dacă aceaceasta este necesară pentru exercitarea funcțiilor menționate anterior. 177. Cu toate acestea, având în vedere valoarea informațională limitată în sine a datelor în cauză și importanța acestora în scopul exercitării de către autoritățile funcțiilor lor, domeniul de aplicare al acestei dispoziții nu este critic din punct de vedere constituțional. În acest sens, trebuie să se țină seama de faptul că această dispoziție nu permite în nici un fel transmiterea sistematică a datelor. Dimpotrivă, faptul că informațiile menționate la [prima teză de la art. 113 alineatul (1) din Legea privind telecomunicațiile] trebuie solicitate de la caz la caz și trebuie să fie necesare îi conferă un efect restrictiv. În ceea ce privește scopul prevenirii amenințărilor, în care legiuitorul nu a inclus prevenirea riscurilor, o interpretare prudentă indică faptul că o amenințare concretă a amenințării este necesară pentru a permite recuperarea unor astfel de informații în sensul clauzelor generale [Generalklauseln] din dreptul poliției. Este adevărat că acest prag este scăzut și acoperă și cazurile în care autoritățile bănuiesc că există o amenințare. De asemenea, dispoziția în cauză nu dispune de faptul că nu pot fi comunicate decât datele referitoare la persoanele care pun în pericol siguranța publică în sensul dreptului general al poliției și al dreptului de reglementare. Cu toate acestea, având în vedere greutatea redusă a lacului care decurge din această dispoziție, nu rezultă că restricțiile pe care le implică sunt atât de scăzute încât fac disproporționată măsura prevăzută de această dispoziție. În special, dispoziția în cauză nu face din recuperarea datelor un mijloc general de executare administrativă legală; aceasta impune, în fiecare caz, ca funcția în scopul exercitării căreia sunt solicitate datele să fie legată de aspecte de securitate. Este adevărat că, în ceea ce privește serviciile de informații, care acționează în general în amonte, nu există niciun prag comparabil, indiferent dacă există sau nu o amenințare concretă. Cu toate acestea, această situație este justificată în ceea ce privește sfera limitată a funcțiilor exercitate de serviciile de informații, care nu iau în mod direct măsuri de poliție, ci au numai rolul de a raporta organelor de stat care sunt responsabile din punct de vedere politic sau public. În plus, din cerința de necesitate, evaluată de la caz la caz, rezultă, de asemenea, că informațiile menționate la [prima teză de la art. 113 alineatul (1) din Legea privind telecomunicațiile] trebuie să fie necesare pentru buna desfășurare a unei anchete asupra unor acte sau grupuri speciale care necesită supravegherea de către autoritățile de securitate. În cazul în care datele sunt solicitate în cadrul urmăririi penale și de reglementare, cerința de necesitate înseamnă că, în fiecare caz, trebuie să existe cel puțin o suspiciune inițială. 178. Prinse împreună, aceste praguri nu sunt ridicate, dar sunt acceptabile din punct de vedere constituțional. În această privință, trebuie să se țină seama, în comparație cu [art. 112 din Legea privind telecomunicațiile], de faptul că o procedură manuală implică anumite eforturi procedurale din partea autorității care dorește să obțină informații, ceea ce ar putea determina autoritatea în cauză să caute informații numai atunci când aceasta are într-adevăr nevoie de informații. mai puțin de 22 de ani. În ceea ce privește căile de atac împotriva cererilor de informații depuse în temeiul articolelor 112 și 113 din Legea privind telecomunicațiile, Curtea Constituțională Federală a declarat următoarele: [...] De asemenea, nu este necesar să criticăm faptul că, având în vedere gravitatea redusă a bolii, nu este prevăzută nicio cale de atac specifică pentru a se plânge de transmiterea de informații în temeiul [articolele 112 și 113 din Legea privind telecomunicațiile]. Protecția juridică poate fi căutată în acest sens în normele generale în special în mod incidental în contextul acțiunilor în justiție împotriva deciziilor definitive ale autorităților. 187. Cerințele principiului proporționalității nu impun o obligație generală de a informa persoanele vizate cu privire la comunicarea datelor cu caracter personal care le privesc în temeiul [articolele 112 și 113 din Legea privind telecomunicațiile] (...) În decizia sa, Curtea Constituțională Federală a declarat că 26,6 milioane de date fie identitatea abonatului, fie numărul de telefon au fost solicitate în temeiul articolului 112 din Legea privind telecomunicațiile în 2008. Aceasta nu a făcut nicio distincție între datele referitoare la utilizatorii cartelelor SIM preplătite și alți clienți. II. DREPTURILE ȘI PRACTICILE INTERNE PERTINENTE A. Legea de bază 24. Legea fundamentală se citește după cum urmează în părțile sale relevante în speță: art. 1 Demnitatea ființei umane este intangibilă. Toate autoritățile publice au obligația de a o respecta și de a o proteja. (...) □ art. 2 □ 1. Fiecare dintre noi are dreptul la libera dezvoltare a personalității sale, cu condiția să nu violeze drepturile da . Nici nu încalcă ordinea constituțională sau legea morală. (...) □ art. 10 □ 1. Secretul corespondenței, al poștei și al telecomunicațiilor este inviolabil. Acest drept poate fi restricționat numai pe baza unei legi. În cazul în care o restricție urmărește să apere ordinea fundamentală liberală și democratică, sau existența sau securitatea Federației sau a unui Land, legea poate dispune ca persoana în cauză să nu fie informată și că posibilitatea de a introduce o cale de atac în justiție va înlocui un control efectuat de organisme și organisme auxiliare desemnate de legiuitor. mai puțin de 25 de ani. În hotărârea sa din 15 decembrie 1983 (n os 1 BvR 209, 269, 362, 420, 440, 484/83), Curtea Constituțională Federală stabilește dreptul la autodeterminare informațională și spune următoarele: Acest drept fundamental garantează în acest sens capacitatea persoanei fizice de a decide în principiu cu privire la divulgarea și utilizarea datelor cu caracter personal care îl privesc. mai mult decât atât. În hotărârea sa din 2 martie 2010 (noss 1 BvR 256, 586, 263/08), Curtea Constituțională Federală s-a pronunțat cu privire la constituționalitatea dispozițiilor care transpuneau în dreptul german (articolele 113a și 113b din Legea privind telecomunicațiile și 100g din Codul de procedură penală) Directiva 2006/24/CE a Uniunii Europene (punctele 49-50 de mai jos), dispoziții care impuneau furnizorilor de servicii să păstreze pe o perioadă limitată (șase luni) toate datele referitoare la trafic generate în cadrul furnizării de servicii telefonice și care: utilizarea acestor date în cadrul urmăririi penale. Întrucât art. 113a din Legea privind telecomunicațiile (obligația de a păstra) încalcă dreptul la protecția secretului telecomunicațiilor, aceasta a declarat că este neconstituțional și nul. Aceasta afirmă că o obligație de conservare a unei asemenea dimensiuni nu era neconstituțională automat, ci că obligația în cauză nu era structurată astfel încât să fie conformă cu principiul proporționalității. Aceasta a adăugat că dispozițiile în litigiu, pe de o parte, nu garantează nici condiții adecvate de securitate a datelor, nici restricții suficiente privind utilizarea datelor și, pe de altă parte, nu erau în toate privințele conforme cu cerințele constituționale de transparență și de protecție juridică. Legea Telecomunicațiilor 27. La art. 111 din Legea privind telecomunicațiile obligă furnizorii de servicii să colecteze și să păstreze anumite date cu caracter personal referitoare la clienții lor. Astfel, acesta constituie baza cererilor de informații depuse în temeiul articolelor 112 și 113 din Legea privind telecomunicațiile. Părțile sale relevante au fost astfel formulate la momentul respectiv în fapte: numerele de telefon și alte identificatori de conexiune aferente fiecărui abonament, 2. numele și adresa fiecărui abonat, 3. data de naștere a unui sigilabil și a unui șir de caractere este o persoană fizică , 4. pentru liniile fixe, adresa liniei , 5. în cazul în care un dispozitiv de comunicare mobilă este furnizat împreună cu linia de comunicare mobilă, numărul de identificare al dispozitivului în cauză și 6. data de efect a contractului, chiar și în cazurile în care aceste date nu sunt necesare în scopuri operaționale; dacă este cunoscută, data de reziliere a contractului trebuie, de asemenea, păstrată. Prima teză din prezenta dispoziție rămâne aplicabilă în cazurile în care datele în cauză nu sunt incluse într-un anuar. (...) Orice persoană supusă obligațiilor în temeiul primei sau celei de-a treia teze a prezentei dispoziții trebuie să corecteze fără întârziere datele în cauză; în acest sens, orice persoană care face obiectul obligațiilor în temeiul primei teze a prezentei dispoziții trebuie să colecteze și să stocheze datele care nu au fost încă înregistrate, dacă colectarea datelor în cauză nu necesită un efort special. Alegerea modului de păstrare a datelor care pot fi recuperate prin procedura prevăzută la art. 113 este liberă. 2) în cazul în care un furnizor de servicii menționat în prima sau a treia teză din primul alineat al prezentei dispoziții lucrează împreună cu un partener comercial, acesta din urmă este cel care colectează datele menționate în prima și a treia teză din primul alineat al prezentei dispoziții, în conformitate cu condițiile stabilite în aceasta, și care transmite fără întârziere aceste date și alte date colectate în temeiul art. 95 furnizorului de servicii; a doua teză din primul alineat al prezentei dispoziții se aplică în consecință. Prima teză se aplică, de asemenea, datelor privind modificările, în cazul în care partenerul comercial este informat cu privire la aceste date în cadrul normal al activității sale. 3. În ceea ce privește relațiile contractuale deja existente la data intrării în vigoare a prezentei dispoziții, colectarea ulterioară a datelor menționate în prima sau a treia teză a primului alineat nu este necesară decât în cazurile prevăzute în a patra teză a alineatului menționat anterior. 4) Datele sunt șterse la sfârșitul anului calendaristic care urmează anului în care se încheie relația contractuală. (...) mai mult sau mai puțin În iulie 2016, art. 111 din Legea privind telecomunicațiile a fost modificat și a fost introdusă o obligație de verificare prealabilă a datelor cu caracter personal ale fiecărui utilizator de telefonie mobilă pentru furnizorii de servicii. A devenit obligatoriu să se prezinte un act de identitate, un pașaport sau orice alt document oficial de identitate în momentul înregistrării inițiale a datelor. Această modificare a fost considerată necesară pentru a limita în continuare posibilitățile de eludare a obligațiilor prevăzute la art. 111 din Legea privind telecomunicațiile. Potrivit lucrărilor pregătitoare care au fost efectuate înainte de această modificare (Publicarea Parlamentului Federal ( Bundestagsdrucksache) nr. 18/8702, p. 22), o cantitate considerabilă de date false au fost descoperite în bazele de date ale furnizorilor de servicii de telecomunicații, astfel încât situația a ajuns să constituie un fenomen de masă și, prin urmare, autoritățile competente au eșuat în cadrul unui număr mare de proceduri de obținere a informațiilor utile ca răspuns la cererile pe care le-au introdus în temeiul art. 112 și 113 din Legea privind telecomunicațiile. În prezent, în fața Curții Constituționale federale (nr. 1 BvR 1713/17) este în curs de contestare compatibilitatea acestei modificări cu legea fundamentală. 29. La art. 112 din Legea privind telecomunicațiile instituie o procedură automatizată pentru datele păstrate în temeiul articolului 111 din Legea privind telecomunicațiile. Conform acestei proceduri, furnizorii de servicii de telecomunicații trebuie să pună la dispoziție datele astfel încât Agenția Federală a Rețelelor să le poată recupera fără știrea lor. În plus, statele membre trebuie să propună un sistem de recuperare a datelor care să permită efectuarea de căutări fie prin date incomplete, fie prin analogie. Părțile relevante din speță la art. 112 din Legea privind telecomunicațiile se citeau astfel la momentul respectiv: Orice persoană care face obiectul prezentei obligații trebuie să se asigure că: 1. Agenția federală a rețelelor fie în orice moment în măsură să recupereze automat, din Germania, datele conținute în fișierele clienților , 2. datele pot fi recuperate prin intermediul unui sistem care permite căutarea prin date incomplete sau analogice. Persoanele care fac obiectul prezentei obligații și agenții acestora trebuie să se asigure, prin măsuri tehnice și organizatorice, că nu pot fi aduse la cunoștință nici o recuperare de date. Agenția Federală a Rețelelor poate recupera date din fișierele clienților numai dacă datele în cauză îi sunt necesare: 1. pentru a urmări încălcări administrative reprimate de prezenta lege sau de Legea privind concurența neloială [Gesetz gegen den unlauteren Wettbewerb] 2. pentru prelucrarea cererilor de informații depuse de organismele menționate la alineatul (2) de mai jos. La cererea de informații se verifică fără întârziere în ce măsură are nevoie de date transmise ca răspuns la cererea sa și șterge fără întârziere toate datele care nu îi sunt necesare; prezenta obligație se aplică, de asemenea, Agenției Federale a Rețelelor atunci când aceasta efectuează recuperarea datelor în conformitate cu a șaptea teză din primul alineat al prezentei dispoziții. 2. Datele din fișierele clienților menționate în alin. (1) se comunică: Curților și tribunalelor, precum și autorităților de urmărire penală , 2. serviciilor responsabile cu aplicarea legii la nivel federal și landurilor , în scopul prevenirii amenințărilor , 3. în cadrul Oficiului pentru anchete penale vamale [Zollkriminalamt] și în cadrul oficiilor pentru investigații vamale [Zollfahndungsämter] în scopul desfășurării de proceduri penale și în cadrul Oficiului pentru anchete penale vamale în scopul pregătirii și executării măsurilor prevăzute la art. 23a din Legea privind serviciul de investigații vamale [Zollfahndungsdienst...], 4. serviciilor de la nivel federal și landurilor de protecție a Constituției, oficiilor federale de contrainformații militare și Serviciului Federal de Informații , 5. serviciilor de urgență care intră sub incidența art. 108 și centrului de apel al numărului de urgență de urgență al serviciilor de urgență mobile pe mare, Autoritatea federală de supraveghere financiară și 7. Autoritățile vamale, în scopurile enumerate la art. 2 alineatul (1) din Legea privind munca nedeclarată [Schwarzarbeitsbekämpfuns...] , prin intermediul birourilor centrale de anchetă, în conformitate cu dispozițiile alineatului (4) de mai jos, în orice moment, în cazul în care datele în cauză sunt necesare pentru îndeplinirea funcțiilor lor juridice și în cazul în care cererile sunt depuse la Agenția Federală pentru Rețele prin proceduri automatizate. (...) 4) în cazul în care una dintre autoritățile menționate la alin. (2) îi solicită acest lucru, Agenția Federală a Rețelelor recuperează din fișierele clienților datele relevante menționate la alin. (1) și le transmite acesteia. Aceasta examinează admisibilitatea cererilor de transmitere a datelor numai în cazurile în care un motiv special justifică acest lucru. Este responsabilitatea admisibilității cererilor de transmitere a datelor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Agenția Federală de Rețele, în cazurile care intră sub incidența pct. 1 din a șaptea teză de la alin. (1) și (2). organe enumerate la alineatul (2) în cazurile care intră sub incidența punctului 2 din a șaptea teză de la alineatul (1). În scopul controlului protecției datelor de către organismul competent, Agenția Federală a Rețelelor înregistrează pentru fiecare recuperare de date data recuperării, datele utilizate în acest cadru, datele recuperate, informațiile care permit identificarea fără echivoc a persoanei care a efectuat recuperarea datelor, precum și numele autorității care a furnizat cererea, numărul de referință și informațiile care permit identificarea fără echivoc a persoanei care a depus cererea. Utilizarea în orice alt scop a datelor înregistrate este interzisă. Datele înregistrate sunt șterse după un an. (...) □ 30. În iunie 2017, a fost adoptat un decret privind procedura automatizată prevăzută la art. 112 din Legea privind telecomunicațiile. Acest decret privind datele cu caracter personal ale clienților (Kundendatenauskunftsverordnung) descrie mai detaliat cazurile în care cererile de informații pot fi depuse de la adresa, numele sau numărul de telefon al unui abonat și precizează informațiile care trebuie furnizate pentru fiecare tip de cerere. Acesta reglementează, de asemenea, cercetările efectuate cu date incomplete și căutările prin analogie. Decretul a fost însoțit de o directivă tehnică în care au fost stabilite standardele tehnice pentru cercetarea și comunicarea între Agenția Federală pentru Rețele, autoritățile care au solicitat informații și furnizorii de servicii de telecomunicații. 31. La art. 113 din Legea privind telecomunicațiile instituie procedura manuală de solicitare de acces la datele păstrate în temeiul articolului 111 din Legea privind telecomunicațiile. Spre deosebire de procedura automatizată, această procedură impune furnizorilor de servicii înșiși obligația de a comunica autorităților competente datele solicitate. Ca și în cazul procedurii automatizate, confidențialitatea cererilor de informații trebuie păstrată față de persoanele la care se referă datele. La art. 113 nu conține o listă exhaustivă a organismelor autorizate să primească date în conformitate cu această procedură. Cererile de informații sunt autorizate atunci când sunt necesare pentru urmărirea penală și de reglementare, pentru prevenirea amenințărilor (Gefahrenabwer) și pentru desfășurarea de misiuni de informații. art. 113 din Legea privind telecomunicațiile a fost astfel formulat în părțile sale relevante la momentul respectiv al faptelor: mai puțin (1) Oricine furnizează cu titlu comercial servicii de telecomunicații sau asistență în scopul furnizării unor astfel de servicii poate, sub rezerva dispozițiilor alineatului (2), să utilizeze în conformitate cu prezenta dispoziție datele colectate în conformitate cu articolele 95 și 111, pentru a-și îndeplini obligația de a furniza informații organismelor menționate la alineatul (3). (...) 2) Informațiile pot fi comunicate numai în cazul în care unul dintre organele menționate la alin. (3) solicită acest lucru, în scris și într-un caz dat, în scopul urmăririi penale sau administrative a unei amenințări la adresa securității publice sau a ordinii publice sau al executării funcțiilor juridice ale organelor menționate la alin. (3) din alin. (3), citând o dispoziție legală care permite colectarea datelor menționate la alin. (1); nici o informație menționată la alin. (1) nu poate fi transmisă unui alt organism, public sau nu. În cazul unui pericol iminent, informațiile pot fi comunicate, de asemenea, chiar dacă cererea nu este scrisă în scris. În acest caz, cererea trebuie să fie confirmată în scris fără întârziere. Admisibilitatea cererii de informații este responsabilitatea organismelor menționate la alineatul (3). 3) Sunt considerate organe mai mici decât cele menționate în alin. (1): 1. autoritățile responsabile de urmărirea penală a infracțiunilor sau a infracțiunilor administrative, 2. autoritățile responsabile cu prevenirea amenințărilor la adresa securității publice sau a ordinii publice, 3. serviciile de la nivel federal și landurile de protecție a Constituției, Oficiul Federal pentru Contrainformații Militare și Serviciul Federal de Informații . 4. Oricine furnizează cu titlu comercial servicii de telecomunicații sau asistență în scopul furnizării unor astfel de servicii trebuie să comunice fără întârziere toate informațiile solicitate. Părțile care fac obiectul obligației de a furniza informații sunt obligate să păstreze confidențialitatea cererilor de informații și a informațiilor comunicate, atât în ceea ce privește părțile interesate, cât și în ceea ce privește părțile terțe. (...) □ C. Temeiul juridic al cererilor de informații depuse prin intermediul procedurii automatizate menționate la art. 112 din Legea privind telecomunicațiile 32. Cererile de informații pe care Parchetul și Poliția le introduc în cadrul anchetelor penale prin intermediul procedurii automatizate menționate la art. 112 din Legea privind telecomunicațiile sunt reglementate de Codul de procedură penală (Strafprozessordnung), ale cărui articole relevante se citeau după cum urmează la momentul faptelor: art. 160: 1. Imediat ce acesta ia cunoștință, prin intermediul unei plângeri penale sau prin orice alt mijloc, de o suspiciune de încălcare a dreptului penal, Parchetul deschide o anchetă privind faptele pentru a determina dacă este necesar să se inițieze acțiunea publică. Parchetul trebuie să investigheze nu numai pe suport de hârtie, ci și pe suport de hârtie și să se asigure că sunt colectate dovezile care riscă să dispară. În cazul în care un stat membru consideră că o astfel de măsură nu poate fi considerată compatibilă cu piața internă, statul membru în cauză trebuie să stabilească dacă o măsură constituie ajutor de stat în sensul articolului 107 alineatul (3) litera (c) din TFUE. În acest scop, Parchetul poate apela la serviciile organismului de asistență juridică . În sensul articolului 160 alineatele (1) - (3) [din Codul de procedură penală], procurorul poate solicita informații de la toate autoritățile și poate solicita informații de la toate tipurile de autorități, fie direct, fie prin intermediul autorităților și al reprezentanților forțelor de ordine, cu condiția ca: nicio altă dispoziție legală să nu reglementeze în mod specific competențele acestora. Autoritățile și reprezentanții forțelor de ordine sunt obligați să respecte orice cerere sau ordonanță a Parchetului și, în acest caz, pot depune cereri de informații la toate autoritățile. mai mult decât atât, autoritățile și reprezentanții forțelor de ordine investighează infracțiunile și, pentru a evita ascunderea faptelor, iau orice măsură care nu poate fi amânată. În acest scop, statele membre pot solicita și, în caz de urgență, pot solicita informații de la toate autoritățile și pot efectua anchete de orice natură, cu condiția ca orice alte dispoziții legale să nu își reglementeze în mod specific competențele. (...) mai mult sau mai puțin În scopul prevenirii infracțiunilor, Oficiul Federal al Poliției Judiciare ( Bundeskriminalamt) și poliția federală ( Bundespolizei) pot, în conformitate cu următoarele dispoziții, să solicite informații la fața locului, prin intermediul procedurii automatizate prevăzute la art. 112 din Legea privind telecomunicațiile: art. 2 din Legea privind Biroul Federal al Poliției Judiciare ( Bundeskriminalamt) 2) În scopul îndeplinirii acestei misiuni, Biroul Federal al Poliției Judiciare: 1. colectarea și analizarea tuturor datelor necesare în acest scop; (...) mai mult, art. 7 din Legea privind Oficiul Federal al Poliției Judiciare 2) În măsura în care este necesar pentru îndeplinirea misiunii sale din oficiu central în temeiul articolului 2 alineatul (2) litera (n), Oficiul Federal al Poliției Judiciare poate, pentru a completa informațiile aflate deja în posesia sa sau în alte scopuri de analiză, să colecteze date prin introducerea pe lângă entitățile publice și nepublice a cererilor de informații sau de informații (...) 2. În scopul prevenirii infracțiunilor, colectarea de date cu caracter personal este permisă în cazul în care faptele susțin că: 1. o persoană va comite o infracțiune gravă în sensul articolului 12 alineatul (1) și informațiile solicitate sunt necesare pentru prevenirea actului respectiv; sau o persoană este sau va intra în contact cu o persoană menționată la punctul 1, în cazul în care măsura în cauză ar trebui să permită prevenirea unei infracțiuni menționate la punctul 1 și în cazul în care prevenirea unui astfel de act ar fi imposibilă sau puternic împiedicată. mai puțin de 34 de ani. Dispozițiile similare cu cele prevăzute la art. 21 din Legea federală privind poliția există pentru forțele de poliție din landuri, care sunt autorizate, de asemenea, să colecteze date cu caracter personal în măsura necesară pentru prevenirea amenințărilor și pentru protecția drepturilor persoanelor. 35. În temeiul articolelor 7 și 27 din Legea privind serviciul german de investigații vamale, oficiul însărcinat cu investigațiile vamale și oficiile responsabile cu investigațiile vamale sunt autorizate să colecteze date cu caracter personal în măsura în care este necesar pentru îndeplinirea sarcinilor lor. În plus, serviciile vamale pot colecta informații în conformitate cu art. 163 din Codul de procedură penală (punctul 32 de mai sus) atunci când investighează fapte de muncă nedeclarate. 36. Oficiile însărcinate la nivelul landurilor și la nivel federal de protecție a Constituției pot solicita obținerea de date păstrate în conformitate cu art. 111 din Legea privind telecomunicațiile, în măsura în care datele în cauză sunt necesare pentru îndeplinirea sarcinilor lor și în care colectarea lor nu este interzisă prin Legea federală privind protecția datelor. 37. În temeiul articolului 4 din Legea privind contraspionajul militar, Oficiul pentru contraspionaj militar poate colecta informațiile necesare pentru îndeplinirea sarcinilor sale, cu excepția cazului în care se dorește să se acorde atenție securității birourilor și instalațiilor din cadrul administrației Ministerului Apărării, a forțelor aliate sau a cartierelor militare internaționale. 38. În cazul în care sunt necesare date stocate în temeiul articolului 111 din Legea privind telecomunicațiile și în cazul în care comunicarea acestora nu este interzisă prin Legea federală privind protecția datelor, Serviciul Federal al Informațiilor poate, în temeiul articolului 2 alineatul (1) din Legea privind Serviciul Federal de Informații, să solicite să obțină datele în cauză pentru: Temeiul juridic al cererilor de informații introduse prin procedura manuală menționată la art. 113 din Legea privind telecomunicațiile 39. Din cauza criticilor formulate de Curtea Constituțională Federală cu privire la art. 113 alineatul (1) din Legea privind telecomunicațiile (punctele 12 și 20-21 de mai sus), mai multe dispoziții noi de reglementare a recuperării datelor de către autorități în cadrul procedurii manuale prevăzute la art. 113 au fost introduse în iunie 2013, după introducerea prezentei cereri. 40. Cererile de informații depuse de Parchet și de poliție s-au referit apoi la art. 100j din Codul de procedură penală, care se citește astfel în părțile sale relevante în speță: În măsura în care este necesar pentru stabilirea faptelor sau pentru localizarea unui inculpat, informațiile privind datele colectate în temeiul articolelor 95 și 111 din Legea privind telecomunicațiile pot fi solicitate oricărei persoane care furnizează cu titlu comercial servicii de telecomunicații sau asistență în scopul furnizării unor astfel de servicii [art. 113 alineatul (1) teza 1 din Legea privind telecomunicațiile]. (...) 5. Se introduce o cerere de informații în temeiul alineatului (1) sau (2), orice persoană care furnizează cu titlu comercial servicii de telecomunicații sau asistență în scopul furnizării unor astfel de servicii transmite fără întârziere datele necesare pentru furnizarea informațiilor. (...) □ Au fost adoptate dispoziții similare pentru poliția federală, Biroul Federal al Poliției Judiciare și Serviciul de Investigații Vamale. 41. În conformitate cu art. 8d din Legea federală privind protecția Constituției ( Bundesverfassungsschutz (...) mai multe dispoziții similare au fost introduse pentru serviciile de protecție a Constituției la nivel de landuri. În plus, baza legală a cererilor de informații depuse în conformitate cu procedura manuală de către Oficiul pentru Contraspionaj Militar și Serviciul Federal al Informațiilor face trimitere la art. 8d din Legea federală privind protecția Constituției. Controlul jurisdicțional al măsurilor de anchetă 42. În temeiul articolului 98 alineatul (2) din Codul de procedură penală, o persoană care a fost sesizată fără intervenție judiciară poate solicita în orice moment o hotărâre. 43. În conformitate cu jurisprudența constantă a Curții federale de Justiție (a se vedea, de exemplu, cauza nr. 5 ARs (VS)1/97, 5 august 1998), o aplicare similară a articolului 98 alineatul (2) din Codul de procedură penală oferă posibilitatea unui control jurisdicțional al oricărei măsuri luate de un procuror în măsura în care măsura în cauză constituie o încălcare gravă a drepturilor fundamentale ale persoanei vizate. Legea privind protecția datelor 44. Astfel, părțile relevante în speță din Legea federală privind protecția datelor ( Bundesdatenschutz 2. Prezenta lege se aplică colectării, prelucrării și utilizării datelor cu caracter personal de către: 1. organele publice ale Federației, 2. organele publice ale landurilor , în cazul în care protecția datelor nu este reglementată de legislația în materie de date și în cazul în care landurile (a) îndeplinesc legea federală , sau (b) acționează în calitate de organisme judiciare, în lipsa unor considerente de ordin administrativ, (...) 3) atunci când alte legi federale se aplică datelor cu caracter personal și publicării acestora, ele acordă prioritate dispozițiilor prezentei legi. Obligația de a respecta obligațiile legale de confidențialitate, de secret profesional sau de secret al funcțiilor care nu se bazează pe lege nu este afectată. a se vedea, de asemenea, art. 2 alineatul (2) litera (b) din Regulamentul (UE) nr. (...) mai exact, art. 3a: Reducerea și economisirea datelor □ Datele cu caracter personal sunt colectate, prelucrate și utilizate, precum și sistemele de prelucrare a datelor alese și organizate, cu respectarea obiectivului de a limita la minimum colectarea, prelucrarea și utilizarea datelor cu caracter personal. În mod special, datele cu caracter personal sunt anonimizate sau numele lacunei se înlocuiește cu un alias, în cazul în care scopurile pentru care datele sunt colectate și/sau prelucrate ulterior permit acest lucru și în cazul în care efortul necesar nu este disproporționat în scopul protecției căutate. În cazul în care datele cu caracter personal sunt colectate, prelucrate și utilizate de către persoane fizice sau juridice, datele cu caracter personal sunt colectate, prelucrate și utilizate de către persoane fizice sau de către persoane fizice sau juridice sau de către persoane fizice sau juridice, datele cu caracter personal sunt prelucrate de către persoane fizice sau juridice. 2) Datele cu caracter personal se colectează de la persoana vizată. Acestea pot fi colectate fără participarea persoanei vizate numai în următoarele cazuri: 1. colectarea lor este autorizată sau impusă prin lege sau 2. (a) trebuie să fie colectate de la alte persoane sau organe din cauza naturii sarcinii administrative care trebuie îndeplinită sau a scopului comercial vizat sau (b) colectarea lor de la persoana vizată ar necesita eforturi disproporționate și nimic nu indică faptul că interesele legitime ale persoanei vizate ar fi afectate. În cazul în care datele cu caracter personal sunt prelucrate în conformitate cu art. 13 alineatul (1) litera (a) din Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului [6], datele cu caracter personal sunt colectate în conformitate cu art. 13 alineatul (1) din Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului [6], iar datele cu caracter personal sunt prelucrate în conformitate cu art. 13 alineatul (1) din Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului. 1a) În cazul în care datele cu caracter personal sunt colectate de la un organism privat mai degrabă decât de la persoana vizată, organismul respectiv este informat cu privire la dispoziția legală în temeiul căreia se solicită comunicarea de informații sau cu privire la caracterul voluntar al acestui demers. mai mult decât atât, persoana vizată trebuie să primească informații cu privire la: 1. datele înregistrate cu privire la aceasta, inclusiv informații privind sursa datelor, 2. destinatarii sau categoriile de destinatari cărora li se transmit datele și 3. scopul înregistrării datelor. Cererea trebuie să precizeze tipul de date cu caracter personal pentru care trebuie furnizate informațiile. În cazul în care datele cu caracter personal nu sunt înregistrate nici într-un sistem automatizat, nici într-un sistem de clasificare neautomat, aceste informații se comunică numai în cazul în care persoana vizată furnizează elemente care permit localizarea datelor în cauză și în cazul în care efortul necesar nu este disproporționat în raport cu interesul persoanei vizate de a cunoaște informațiile în cauză. Operatorul stabilește, cu toată discreția necesară, modalitățile de transmitere a acestor informații, în special forma în care acestea sunt comunicate. 2) Alineatul (1) nu se aplică datelor cu caracter personal care sunt înregistrate doar pentru că nu pot fi șterse din cauza dispozițiilor legale, de reglementare sau contractuale privind păstrarea datelor sau numai în scopul controlului protecției datelor sau al protejării datelor, în cazul în care furnizarea informațiilor în cauză ar necesita un efort disproporționat. 3) În cazul în care o cerere de informații se referă la transferul de date cu caracter personal către autoritățile de protecție a Constituției, Serviciului Federal de Informații, Serviciului de Contraspionaj Militar și, în cazul în care securitatea Federației este în joc, la alte servicii ale Ministerului Federal al Apărării, comunicarea de informații în acest cadru nu este legală decât dacă este făcută cu acordul organismelor respective. 4. Informațiile solicitate nu sunt furnizate în următoarele cazuri: 1. comunicarea lor ar compromite îndeplinirea corespunzătoare a sarcinilor operatorului, 2. comunicarea lor ar pune în pericol securitatea publică sau ordinea publică sau ar aduce prejudicii în orice alt mod Federației sau Landului , o u 3. datele sau înregistrarea acestora, în special având în vedere interesele legitime superioare ale unei părți terțe, trebuie să rămână secrete în temeiul legii sau al naturii datelor, iar interesul persoanei vizate de a obține informații în cauză nu trebuie, prin urmare, să fie prioritar. 5) Nu este necesar să se motiveze un refuz de a furniza informații în cazul în care faptul de a indica motivele concrete și legale ale acestui refuz riscă să compromită scopul pentru care cererea este refuzată. În astfel de cazuri, persoana vizată trebuie informată cu privire la posibilitatea de a contacta comisarul federal pentru protecția datelor și dreptul la informare. 6) În cazul în care nu sunt comunicate persoanei vizate și dacă persoana în cauză solicită acest lucru, informațiile solicitate sunt comunicate comisarului federal pentru protecția datelor și dreptul la informare, cu excepția cazului în care autoritatea federală supremă competentă constată numai în cazul în care această măsură ar pune în pericol securitatea Federației sau a unui Land. Informațiile furnizate de comisarul federal persoanei vizate nu pot oferi nicio indicație cu privire la elementele aflate la dispoziția operatorului, cu excepția cazului în care acesta a consimțit. 7. Informațiile sunt furnizate gratuit. În cazul în care datele sunt colectate de la persoana vizată, persoana vizată este informată cu privire la această colectare, la identitatea operatorului și la scopurile de colectare, prelucrare sau utilizare a datelor. Persoana vizată este, de asemenea, informată cu privire la destinatari sau la categoriile de destinatari, cu excepția cazurilor în care aceasta trebuie să se aștepte la un transfer către destinatarii în cauză. În cazul în care este prevăzut un transfer, persoana vizată este informată în acest sens cel târziu în momentul primului transfer. 2) Persoana vizată nu trebuie notificată în următoarele cazuri: 1. dispune deja de informațiile în cauză, 2. Informare ar necesita un efort disproporționat , sau 3. (a) înregistrarea sau transferul de date cu caracter personal este prevăzut în mod expres de lege. Operatorul precizează în scris condițiile în care notificarea nu trebuie efectuată în conformitate cu punctele 2 sau 3 de mai sus. 3) La art. 19 alineatele (2) - (4) se aplică în consecință. mai mult decât atât, Comisia poate sesiza comisarul federal pentru protecția datelor și dreptul la informare. Această dispoziție se aplică colectării, prelucrării sau utilizării datelor cu caracter personal de către instanțe federale numai în cazurile în care instanțele în cauză se referă la afaceri care intră în domeniul administrativ. a) Comisarul federal pentru protecția datelor și dreptul la informare controlează respectarea de către organele publice ale Federației a dispozițiilor prezentei legi și a altor dispoziții privind protecția datelor. 2) Controlul exercitat de comisarul federal este, de asemenea, extins: 1. datele cu caracter personal obținute de organele publice ale Federației cu privire la conținutul de comunicații poștale și de telecomunicații, precum și circumstanțele speciale care au înconjurat comunicările în cauză și 2. datele cu caracter personal care intră sub incidența secretului profesional sau a secretului funcției, în special a secretului fiscal în temeiul articolului 30 din Codul fiscal german. (...) □ 45. În landuri existau dispoziții similare. În plus, aceștia dispun de propriul lor comisar pentru protecția datelor, a cărui misiune este de a monitoriza respectarea de către autoritățile landurilor a legilor privind protecția datelor. III. DREPTUL ȘI PRACTICA UNIUNII EUROPENE A. Carta drepturilor fundamentale a Uniunii Europene 46. Articolele 7 și 8 din Cartă sunt astfel formulate: art. 7 mai mult decât atât, în cazul în care datele cu caracter personal nu pot fi accesate prin mijloace electronice sau prin mijloace electronice, datele cu caracter personal pot fi accesate prin mijloace electronice sau prin mijloace electronice. Orice persoană are dreptul la protecția datelor cu caracter personal care o privesc. Aceste date trebuie prelucrate în mod corect, în scopuri determinate și pe baza consimțământului persoanei vizate sau în temeiul unui alt temei legitim prevăzut de lege. Orice persoană are dreptul de a accesa datele colectate și de a obține rectificarea acestora. Respectarea acestor norme este supusă controlului unei autorități independente. □ B. normele UE privind protecția datelor 47. Directiva privind confidențialitatea și comunicațiile electronice (Directiva 2002/58/CE a Parlamentului European și a Consiliului privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice) adoptată la 12 iulie 2002 este astfel formulată în considerentele 2 și 11 ale acesteia: În special, aceasta urmărește să asigure respectarea deplină a drepturilor prevăzute la articolele 7 și 8 din cartă. (...) 11) Pe lângă Directiva 95/46/CE, prezenta directivă nu abordează aspecte legate de protecția drepturilor și libertăților fundamentale legate de activitățile care nu sunt reglementate de dreptul comunitar. Prin urmare, aceasta nu modifică echilibrul existent între dreptul persoanelor la o viață privată și posibilitatea statelor membre de a lua măsuri precum cele menționate la art. 15 alineatul (1) din prezenta directivă, necesare pentru protecția securității publice, a apărării, a securității statului (inclusiv prosperitatea economică a statului atunci când este vorba despre activități legate de securitatea statului) și aplicarea dreptului penal. Prin urmare, prezenta directivă nu aduce atingere dreptului statelor membre de a intercepta în mod legal comunicațiile electronice sau de a adopta alte măsuri, dacă acest lucru este necesar pentru atingerea oricăruia dintre obiectivele menționate anterior, cu respectarea Convenției europene pentru apărarea drepturilor omului și a libertăților fundamentale, astfel cum a fost interpretată de Curtea Europeană a Drepturilor Omului în hotărârile sale. Aceste măsuri trebuie să fie adecvate, proporționale cu scopul urmărit și necesare într-o societate democratică. Acestea ar trebui, de asemenea, să fie condiționate de garanții adecvate, în conformitate cu Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale. mai puțin de 48 de ore. Dispozițiile relevante ale acestei directive se citesc, de asemenea, după cum urmează: art. 1 Prezenta directivă armonizează dispozițiile statelor membre necesare pentru a asigura un nivel echivalent de protecție a drepturilor și libertăților fundamentale, în special dreptul la confidențialitate, în ceea ce privește prelucrarea datelor cu caracter personal în sectorul comunicațiilor electronice, precum și libera circulație a acestor date și a echipamentelor și serviciilor de comunicații electronice în Comunitate. Dispozițiile prezentei directive precizează și completează Directiva 95/46/CE în scopurile prevăzute la alineatul (1). În plus, acestea prevăd protecția intereselor legitime ale abonaților care sunt persoane juridice. Prezenta directivă nu se aplică activităților care nu intră sub incidența Tratatului de instituire a Comunității Europene, cum ar fi cele menționate în titlurile V și VI din Tratatul privind Uniunea Europeană și, în orice caz, activităților legate de siguranța publică, apărare, siguranța statului (inclusiv prosperitatea economică a statului atunci când este vorba despre activități legate de securitatea statului) sau activitățile statului în domenii reglementate de dreptul penal. mai mult de un an de la data intrării în vigoare a Directivei 95/46/CE a Parlamentului European și a Consiliului și de la data intrării în vigoare a Directivei 95/46/CE a Parlamentului European și a Consiliului și de la data intrării în vigoare a Directivei 95/46/CE a Parlamentului European și a Consiliului și de la data intrării în vigoare a Directivei 95/46/CE a Parlamentului European și a Consiliului și de la data intrării în vigoare a Directivei 95/46/CE a Parlamentului European și a Consiliului și de la data publicării în Jurnalul Oficial al Uniunii Europene a Parlamentului European și a Consiliului și de la data publicării în Jurnalul Oficial al Uniunii Europene sau de la data intrării în vigoare a Directivei 95/46/CE a Parlamentului European și a Consiliului și de la data publicării în Jurnalul Oficial al Uniunii Europene a Parlamentului European și a Consiliului și de la data publicării în Jurnalul Oficial al Uniunii Europene sau de la data publicării în Jurnalul Oficial al Uniunii Europene a Jurnalului Oficial al Uniunii Europene al Uniunii Europene sau de la data publicării în Jurnalul Oficial al Uniunii Europene, Statele membre pot adopta măsuri legislative pentru a limita domeniul de aplicare a drepturilor și obligațiilor prevăzute la articolele 5 și 6, la art. 8 alineatele (1), (2), (3) și (4) și la art. 9 din prezenta directivă atunci când o astfel de limitare constituie o măsură necesară, adecvată și proporțională, în cadrul unei societăți democratice, pentru a proteja securitatea națională În acest scop, statele membre pot adopta, printre altele, măsuri legislative care prevăd păstrarea datelor pentru o perioadă limitată de timp, în cazul în care acest lucru este justificat de unul dintre motivele prevăzute în prezentul alineat. Toate măsurile menționate în prezentul alineat se iau în conformitate cu principiile generale ale dreptului comunitar, inclusiv cele menționate la art. 6 alineatele (1) și (2) din Tratatul privind Uniunea Europeană. mai puțin de 49 de ani. La 15 martie 2006, a fost adoptată Directiva privind păstrarea datelor (Directiva 2006/24/CE a Parlamentului European și a Consiliului privind păstrarea datelor generate sau prelucrate în cadrul furnizării de servicii de comunicații electronice accesibile publicului sau de rețele publice de comunicații și de modificare a Directivei 2002/58/CE). În pasajele sale relevante, aceaceasta a fost formulată astfel: art. 1 - Obiect și domeniu de aplicare Scopul prezentei directive este de a armoniza dispozițiile statelor membre privind obligațiile furnizorilor de servicii de comunicații electronice accesibile publicului sau ale rețelelor publice de comunicații în ceea ce privește păstrarea anumitor date care sunt generate sau prelucrate de acești furnizori, pentru a asigura disponibilitatea acestor date în scopuri de cercetare, detectare și urmărire a persoanelor fizice, astfel cum sunt definite de fiecare stat membru în dreptul său intern. Prezenta directivă se aplică datelor privind traficul și datele de localizare referitoare atât la entitățile juridice, cât și la persoanele fizice, precum și la datele conexe necesare pentru identificarea abonatului sau a utilizatorului înregistrat. Aceasta nu se aplică conținutului comunicațiilor electronice, în special informațiilor consultate prin intermediul unei rețele de comunicații electronice. Prin derogare de la articolele 5, 6 și 9 din Directiva 2002/58/CE, statele membre iau măsurile necesare pentru a se asigura că datele menționate la art. 5 din prezenta directivă sunt păstrate, în conformitate cu dispozițiile acesteia din urmă, în măsura în care sunt generate sau prelucrate în cadrul furnizării serviciilor de comunicații vizate de furnizorii de servicii de comunicații electronice accesibile publicului sau unei rețele publice de comunicații, în cazul în care furnizorii respectivi sunt în jurisdicția lor. 50. În esență, directiva a stabilit pentru furnizorii de servicii de comunicații electronice accesibile publicului sau de rețele publice de comunicații legale obligația de a păstra toate datele privind traficul și datele de localizare pentru o perioadă cuprinsă între șase luni și doi ani, pentru a se asigura că aceste date sunt disponibile în scopul cercetării, detectării și urmăririi penale grave, astfel cum sunt definite de fiecare stat membru în dreptul său intern. În conformitate cu această obligație, statele membre trebuiau, în special, să se asigure că sunt păstrate datele necesare pentru a găsi și identifica sursa și destinația unei comunicări, adică numărul de telefon al persoanei care solicită, precum și numele și adresa abonatului sau a utilizatorului înregistrat [art. 5 alineatul (1) litera (a) și (b) ]. Jurisprudența relevantă a Curții a Uniunii Europene 51. În hotărârea pe care a adoptat-o la 8 aprilie 2014 în cauza Digital Rights Ireland și Seitlinger și altele (cauza conexate C-233/12 și C-594/12, EU:C:2014:238), Curtea a Uniunii Europene ( 52. CJUE și-a dezvoltat jurisprudența privind drepturile digitale în cauza Tele2 Sverige și Tom Watson și altele (hotărârea din 21 decembrie 2016, cauzele conexate C-203/15 și C-698/15, EU:C:2016:970). În special, aceasta a menționat următoarele (referințele la alte hotărâri ale CJUE au fost omise în citatul de mai jos): (...) dacă eficiența luptei împotriva criminalității grave, în special împotriva criminalității organizate și a terorismului, poate depinde într-o mare măsură de utilizarea tehnicilor moderne de investigație, un astfel de obiectiv de interes general, în sensul fundamental, fie că, nu poate fi el însuși să justifice faptul că o reglementare națională care prevede conservarea generalizată și nediferențiată a tuturor datelor privind traficul și datele de localizare este considerată necesară în scopul luptei respective (...) 104. În această privință, pe de o parte, o astfel de reglementare are ca efect, având în vedere caracteristicile sale descrise la punctul 97 din prezenta hotărâre, conservarea datelor privind traficul și a datelor de localizare este regula, în timp ce sistemul instituit prin Directiva 2002/58/CE impune ca această conservare a datelor să fie o excepție. 105. Pe de altă parte, o reglementare națională precum cea în cauză în acțiunea principală, care acoperă în general toți abonații și utilizatorii înregistrați și vizează toate mijloacele electronice de comunicare, precum și ansamblul datelor privind traficul, nu prevede nici o diferențiere, limitare sau excepție în funcție de obiectivul urmărit. Aceasta se referă în mod global la toate persoanele care utilizează servicii de comunicații electronice, fără ca aceste persoane să se afle, chiar și indirect, într-o situație care ar putea duce la urmărirea penală. Prin urmare, aceasta se aplică chiar și persoanelor pentru care nu există indicii care să sugereze că comportamentul lor ar putea avea o legătură, chiar indirectă sau îndepărtată, cu infracțiuni grave. În plus, aceasta nu prevede nici o excepție, astfel încât să se aplice nici chiar persoanelor ale căror comunicări sunt supuse, conform legislației naționale, secretului profesional (...). 106. O astfel de reglementare nu necesită nicio relație între datele a căror conservare este prevăzută și o amenințare la adresa siguranței publice. În special, aceasta nu se limitează la o conservare a datelor referitoare fie la o perioadă de timp și/sau la o zonă geografică și/sau la un cerc de persoane care ar putea fi implicate într-un mod sau altul într-o infracțiune gravă, fie la persoane care, din alte motive, ar putea contribui, prin conservarea datelor lor, la combaterea criminalității (...). 107. Prin urmare, o reglementare națională precum cea în cauză în acțiunea principală depășește limitele strictului necesar și nu poate fi considerată justificată, într-o societate democratică, astfel cum se prevede la art. 15 alineatul (1) din Directiva 2002/58/CE, citită în lumina articolelor 7, 8 și 11 și a articolului 52 alineatul (1) din Cartă. 108. În schimb, art. 15 alineatul (1) din Directiva 2002/58/CE, citit în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din Cartă, nu se referă la faptul că un stat membru adoptă o reglementare care permite, ca măsură de precauție, păstrarea specifică a datelor privind traficul și a datelor de localizare, în scopul combaterii criminalității grave, cu condiția ca, în ceea ce privește categoriile de date care trebuie păstrate, păstrarea datelor să fie mijloacele de comunicare vizate, persoanele vizate, precum și durata de conservare reținută, limitată la strictul necesar. 109. Pentru a îndeplini cerințele prevăzute la punctul precedent al prezentei hotărâri, această reglementare națională trebuie, în primul rând, să prevadă norme clare și precise care să reglementeze domeniul de aplicare și aplicarea unei astfel de măsuri de conservare a datelor și care să impună un minimum de responsabilitate, astfel încât persoanele ale căror date au fost păstrate să dispună de garanții suficiente pentru a-și proteja în mod eficient datele cu caracter personal împotriva riscurilor de abuz. Aceasta trebuie să indice în special în ce împrejurări și în ce condiții poate fi luată o măsură de conservare a datelor, ca măsură preventivă, care să garanteze astfel că o astfel de măsură este limitată la strictul necesar (...). 110. În al doilea rând, în ceea ce privește condițiile materiale pe care trebuie să le îndeplinească o reglementare națională care să permită, în cadrul luptei împotriva criminalității, păstrarea, ca măsură preventivă, a datelor referitoare la trafic și a datelor de localizare, pentru a garanta că aceaceasta este limitată la strictul necesar, trebuie subliniat faptul că, în cazul în care aceste condiții pot varia în funcție de măsurile luate în scopul prevenirii, cercetării, detectării și urmăririi infracțiunilor grave, păstrarea datelor nu trebuie să îndeplinească întotdeauna criterii obiective, stabilind un raport între datele care trebuie păstrate și obiectivul urmărit. În special, astfel de condiții trebuie, în practică, să fie de natură să delimiteze efectiv amploarea măsurii și, în consecință, publicul în cauză. 111. În ceea ce privește delimitarea unei astfel de măsuri în ceea ce privește publicul și situațiile potențial afectate, reglementarea națională trebuie să se bazeze pe elemente obiective care să permită țintirea unui public ale cărui date pot dezvălui cel puțin o legătură indirectă cu infracțiunile grave, să contribuie într-un fel sau altul la combaterea criminalității grave sau să prevină un risc grav pentru siguranța publică. (...) mai puțin de 53 de ani. În urma acestei hotărâri, instanțele naționale din mai multe state membre au solicitat CJUE să emită o decizie preliminară pentru a clarifica domeniul de aplicare și efectele hotărârii Tele2 Sverige. Două dintre aceste cazuri sunt încă în curs de desfășurare (Privacy International , C-623/17, și Ordinul Barourilor francofone și germanofon, Academia Fiscale ASBL, UA, Liga voor Mensenrechten ASBL, Liga Drepturilor de la Õ ASBL, VZ, WY, XX, C - 520/18). 54. Într-o a treia cauză, Ministerio Fiscal (hotărârea din 2 octombrie 2018, C- 207/16, EU:C:2018:788), CJUE a fost interogat dacă art. 15 alineatul (1) din Directiva privind păstrarea datelor, citit în lumina articolelor 7 și 8 din Carta drepturilor fundamentale, ar trebui interpretat în sensul că accesul de către autoritățile publice la datele care vizează identificarea titularilor de carduri SIM activate cu un telefon mobil furat, cum ar fi numele, prenumele și, dacă este cazul, adresa acestor titulari, include o interferență în drepturile fundamentale ale acestora din urmă, consacrate acestor articole din cartă, care prezintă o gravitație astfel încât acest acces să fie limitat, în materie de prevenire, cercetare, detectare și urmărire penală, la lupta împotriva criminalității grave și, în cazul în care ar trebui, la un anumit nivel, la ce criterii ar trebui să fie afectată gravitatea infracțiunii în cauză. 55. În hotărârea sa din 2 octombrie 2018, CJUE și-a exprimat punctul de vedere (referințele la alte hotărâri ale CJUE au fost omise în citatul de mai jos) : În ceea ce privește existența unei ingerințe în aceste drepturi fundamentale, trebuie reamintit faptul că, așa cum a arătat M. la punctele 76 și 77 din concluziile sale, accesul autorităților publice la astfel de date este o interferență în dreptul fundamental al respectării vieții private, consacrat la art. 7 din cartă, chiar și în absența unor circumstanțe care să permită calificarea acestei ingerințe ca fiind gravă și fără a pune la îndoială importanța ca informațiile referitoare la viața privată în cauză să aibă sau să nu aibă un caracter sensibil sau ca persoanele interesate să fi suferit sau să nu fi suferit vreun inconvenient din cauza acestei ingerințe. Un astfel de acces constituie, de asemenea, o interferență în dreptul fundamental la protecia datelor cu caracter personal garantat la art. 8 din Cartă, pe care îl constituie prelucrarea datelor cu caracter personal. (...) 56. Într-adevăr, în conformitate cu principiul proporționalității, o ingerință gravă în materie de prevenire, cercetare, detectare și urmărire penală poate fi justificată numai printr-un obiectiv de combatere a criminalității care trebuie, de asemenea, să fie calificat drept 57. În schimb, în cazul în care un astfel de acces nu este grav, accesul respectiv poate fi justificat printr-un obiectiv de prevenire, cercetare, detectare și urmărire penală a persoanelor fizice, în general. 58. Prin urmare, în primul rând, este necesar să se stabilească dacă, în acest caz, în funcție de circumstanțele din speță, ingerința în drepturile fundamentale consacrate la articolele 7 și 8 din cartă că un acces al poliției judiciare la datele în cauză în acțiunea principală ar trebui să fie considerată ca fiind 59. În această privință, cererea în cauză din acțiunea principală prin care poliția judiciară solicită, în scopul unei anchete penale, autorizarea judiciară de a accesa date cu caracter personal stocate de furnizorii de servicii de comunicații electronice are ca obiect unic de identificare a titularilor de carduri SIM activate, pe o perioadă de douăsprezece zile, cu codul IMEI al telefonului mobil furat. Astfel cum s-a menționat la punctul 40 din prezenta hotărâre, această cerere vizează accesul la numai numerele de telefon corespunzătoare acestor carduri SIM, precum și la datele privind identitatea civilă a titularilor de astfel de carduri, cum ar fi numele, prenumele și, dacă este cazul, adresa. Pe de altă parte, aceste date nu se referă, după cum au confirmat atât guvernul spaniol, cât și procurorul public în timpul luării în custodie publică, la comunicațiile efectuate cu telefonul mobil furat sau la localizarea acestuia. 60. Prin urmare, se pare că datele vizate de cererea de acces în cauză în acțiunea principală permit doar conectarea, pe o perioadă determinată, a cardului (cardurilor) SIM activat (e) cu telefonul mobil furat cu identitatea civilă a titularilor de astfel de carduri SIM. Fără o corelare cu datele referitoare la comunicațiile efectuate cu cartelele SIM respective și cu datele de localizare, aceste date nu permit să se cunoască nici data, ora, durata și destinatarii comunicărilor efectuate cu cartela SIM în cauză, nici locurile în care au avut loc aceste comunicări sau frecvența acestora cu anumite persoane într-o anumită perioadă de timp. Prin urmare, aceste date nu permit să se tragă concluzii precise cu privire la viața privată a persoanelor ale căror date sunt vizate. 61. În aceste condiții, accesul la singurele date vizate de cererea în cauză în acțiunea principală nu poate fi calificat drept ingerință mai ales în drepturile fundamentale ale persoanelor ale căror date sunt vizate. mai mult de o dată pe an. DREPTUL ȘI PRACTICA INTERNAȚIONALĂ X 56. În raportul pe care l-a prezentat Consiliului privind drepturile omului și care se referea la utilizarea cifrului și în limba engleză în scopul exercitării dreptului la libertatea de exprimare și la libertatea de exprimare în limba digitală, Raportorul special privind promovarea și protecția dreptului la libertatea de exprimare și de exprimare, David Kaye, a formulat următoarele recomandări (A/HRC/29/32, 22 May 2015, Õ 60): □ Statele nu ar trebui să impună restricții privind criptarea și anonimatul, care să faciliteze și, adesea, să facă posibilă exercitarea drepturilor la libertatea de exprimare și la libertatea de exprimare. Interdicțiile generalizate nu sunt nici necesare, nici proporționale. [...] [Statele membre ar trebui să evite accesul la comunicațiile digitale și la serviciile online de identificare a utilizatorilor și să solicite utilizatorilor de telefoane mobile să înregistreze cartelele SIM. mai puțin de 57. Convenția Consiliului Europei din 1981 privind protecția persoanelor în ceea ce privește prelucrarea automată a datelor cu caracter personal (Convenția privind protecția datelor), care a fost ratificată de toate statele membre ale Consiliului Europei și a intrat în vigoare în Germania la 1 octombrie 1985, formulează mai multe principii fundamentale privind colectarea și prelucrarea datelor cu caracter personal. În conformitate cu art. 1 din regulamentul respectiv, scopul acesteia este de a garanta oricărei persoane fizice respectarea drepturilor și libertăților sale fundamentale, în special a dreptului la viață privată, în ceea ce privește prelucrarea automată a datelor cu caracter personal care o privesc. Aceasta cuprinde următoarele principii fundamentale: art. 2 □ art. 7 mai mare siguranță a datelor mai mare sau egală cu măsurile adecvate de securitate sunt luate pentru protecția datelor cu caracter personal înregistrate în fișiere automatizate împotriva distrugerii accidentale sau neautorizate sau a pierderii accidentale, precum și împotriva accesului, modificării sau difuzării neautorizate . a cunoaște existența unui fișier automatizat de date cu caracter personal, a principalelor sale scopuri, precum și identitatea și reședința obișnuită sau sediul principal al proprietarului de fișiere; b a obține la intervale rezonabile și fără întârzieri nejustificate sau cheltuieli excesive confirmarea existenței sau a existenței în fișierul automatizat, a datelor cu caracter personal care o privesc, precum și comunicarea acestor date într-o formă inteligibilă; c a obține, în cazul în care este scris
CINQUIÈME SECTION
AFFAIRE BREYER c. ALLEMAGNE
(Requête n
o
50001/12)
ARRÊT
Art 8
•
Respect de la vie privée
•
Obligation légale pour les fournisseurs de services de conserver les données à caractère personnel des utilisateurs de cartes SIM prépayées pour téléphone mobile et de les mettre à la disposition des autorités sur demande
•
Ingérence concernant un ensemble limité de données
•
Récupération de données par les autorités accompagnée de garanties adéquates
•
Conservation litigieuse proportionnée aux buts légitimes que sont la protection de la sécurité nationale et la prévention des infractions
pénales
30 janvier 2020
07/09/2020
Cet arrêt est devenu définitif en vertu de l’article 44 § 2 de la Convention.
Il peut subir des retouches de forme.
En l’affaire Breyer c. Allemagne,
La Cour européenne des droits de l’homme (cinquième section), siégeant en une chambre composée de
:
Yonko Grozev,
président,
Angelika Nußberger,
Síofra O’Leary,
Carlo Ranzoni,
Mārtiņš Mits,
Lәtif Hüseynov,
Lado Chanturia,
juges
,
et de Claudia Westerdiek,
greffière de section
,
Après en avoir délibéré en chambre du conseil le 3 décembre 2019,
Rend l’arrêt que voici, adopté à cette date
:
1.
À l’origine de l’affaire se trouve une requête (n
o
50001/12) dirigée contre la République fédérale d’Allemagne et dont deux ressortissants de cet État, MM. Patrick Breyer et Jonas Breyer («
les requérants
»), ont saisi la Cour le 27 juillet 2012 en vertu de l’article 34 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales («
la Convention
»).
2.
Le gouvernent allemand («
le Gouvernement
») a été représenté par ses agents, M. H.-J.
Behrens et M
me
K.
Behr, du ministère fédéral de la Justice et de la Protection des consommateurs.
3.
Invoquant les articles 8 et 10, les requérants se plaignaient de ce que, en tant qu’utilisateurs de cartes SIM prépayées pour téléphone mobile, certaines données à caractère personnel les concernant avaient été stockées par leurs fournisseurs de services respectifs en application de l’obligation légale prévue à l’article 111 de la loi sur les télécommunications.
4.
La requête a été communiquée au Gouvernement le 21 mars 2016.
5.
Des observations écrites ont été reçues des organisations Privacy International et ARTICLE 19, que le vice-président avait autorisées à intervenir dans la procédure en qualité de tierces parties (articles 36 § 2 de la Convention et 44 § 2 du règlement de la Cour).
I.
A.
La genèse de l’affaire
6.
Les requérants sont nés respectivement en 1977 et 1982, et ils résident à Wald-Michelbach.
Tous deux œuvraient au sein d’une organisation de défense des libertés civiles qui militait contre la conservation généralisée des données de télécommunication.
Dans ce cadre, ils organisaient des protestations publiques et publiaient des articles dans lesquels ils dénonçaient une surveillance par l’État.
Le premier requérant était également député au Parlement de Schleswig-Holstein.
7.
En juin 2004, la loi sur les télécommunications (
Telekommunikationsgesetz
) fut modifiée à l’effet d’imposer aux fournisseurs de services de télécommunications l’obligation de conserver des données à caractère personnel concernant tous leurs clients, y compris ceux dont pareilles données n’étaient pas nécessaires à des fins de facturation ou à d’autres fins contractuelles (cartes SIM prépayées («
pay
‑
as-you-go
») pour téléphone mobile).
Jusqu’à l’entrée en vigueur de ces modifications législatives, les fournisseurs de services de télécommunications pouvaient ne recueillir et conserver que les données nécessaires aux fins de leur relation contractuelle
, et il était considéré que la conservation de telles données n’était pas nécessaire dans le cas des cartes SIM prépayées pour téléphone mobile.
Les modifications législatives en question s’inscrivaient dans le cadre d’une refonte de la loi sur les télécommunications, refonte que les autorités avaient jugée nécessaire consécutivement à l’adoption les 7 mars et 12 juillet 2002 de cinq directives européennes qui devaient être transposées dans le droit allemand avant juillet et octobre 2003.
8.
Les deux requérants utilisent des cartes SIM prépayées pour téléphone mobile. Lors de l’activation de ces cartes, ils se sont trouvés contraints en vertu de l’article 111 de la loi sur les télécommunications (paragraphe 27 ci
‑
dessous)
d’enregistrer certaines informations à caractère personnel auprès de leurs fournisseurs de services respectifs.
B.
La procédure devant la Cour constitutionnelle fédérale
9.
Le 13 juillet 2005, les requérants introduisirent un recours constitutionnel pour se plaindre, entre autres, des articles 111, 112 et 113 de la loi sur les télécommunications.
L’article 111 introduisait l’obligation de collecter et conserver les numéro de téléphone, nom, adresse et date de naissance de chaque abonné et la date d’entrée en vigueur du contrat (paragraphes 27-28 ci-dessous).
Les articles 112 et 113, quant à eux, fixaient des procédures automatisée et manuelle d’accès aux données conservées en application de l’article 111 (paragraphes 29 et 31 ci-dessous).
Les requérants alléguaient que les articles en question portaient atteinte à leur droit à la confidentialité de la correspondance et des communications postales et téléphoniques, ainsi qu’à leur droit à l’autodétermination informationnelle (
Recht auf informationelle Selbstbestimmung
– paragraphe
25 ci-dessous).
10.
L’article 111 de la loi sur les télécommunications fut modifié par la loi du 21 décembre 2007
: l’obligation de conserver les données relatives aux abonnés fut étendue à d’autres identifiants de connexion, et la liste des données devant être conservées fut étoffée pour inclure, dans les cas où un dispositif de communication mobile était mis à disposition en même temps que le raccordement au réseau mobile, le numéro du dispositif en question.
11.
Les requérants modifièrent le recours constitutionnel qu’ils avaient formé et qui était pendant afin d’y inclure la version modifiée de la loi sur les télécommunications.
En conséquence, la Cour constitutionnelle fédérale examina dans son arrêt la loi sur les télécommunications telle qu’elle était en vigueur au 1
er
janvier 2008.
C.
La décision de la Cour constitutionnelle fédérale (n
o
1 BvR 1299/05)
12.
Le 24 janvier 2012, la Cour constitutionnelle fédérale dit, dans la mesure pertinente en l’espèce, que les articles 111 et 112 de la loi sur les télécommunications étaient compatibles avec la Loi fondamentale (
Grundgesetz
), que la première phrase de l’article 113 § 1 était compatible avec la Loi fondamentale lorsqu’elle était interprétée conformément à celle
‑
ci, et que les articles 112 et 113 exigeaient une loi habilitante indépendante aux fins de la récupération de données par les autorités désignées ou mentionnées dans les articles en question (paragraphes
29 et 31 ci-dessous).
Sur les parties du recours constitutionnel des requérants qui ne sont pas en cause dans la présente procédure, elle conclut que la procédure manuelle qui était prévue à l’article
113 §
1 ne pouvait pas être utilisée pour l’attribution d’adresses IP dynamiques, et que les autorités de sûreté ne pouvaient demander des informations concernant des codes d’accès en vertu de l’article 113 § 1 que si les conditions prévues par la loi concernant leur utilisation étaient remplies.
13.
La Cour constitutionnelle fédérale nota également que selon le gouvernement fédéral, la procédure automatisée qui était prévue par l’article
112 de la loi sur les télécommunications revêtait une importance capitale.
D’après elle, l’expérience avait montré que le nombre de récupérations de données réalisées au moyen de la procédure manuelle en application de l’article 113 de la loi sur les télécommunications représentait entre 3
% et 5
% du nombre de demandes introduites suivant la procédure automatisée en vertu de l’article 112 de cette loi.
14.
Concernant les parties pertinentes du recours constitutionnel introduit par les requérants, la Cour constitutionnelle fédérale dit tout d’abord que les dispositions contestées s’analysaient en une atteinte au droit à l’autodétermination informationnelle.
Elle ajouta ce qui suit (traduction par le greffe
; les références à la jurisprudence de cette juridiction ont été omises dans les passages cités ci-dessous)
:
«
122.
a)
Le droit à l’autodétermination informationnelle tient compte des menaces et atteintes à la personnalité qui, eu égard à la situation actuelle en matière de traitement des données, résultent de mesures en rapport avec l’information.
Le libre épanouissement de la personnalité présuppose que l’individu soit protégé contre la collecte, la conservation, l’utilisation et la transmission sans restriction des données à caractère personnel le concernant.
Cette protection est donc garantie par le droit fondamental que consacre l’article 2 § 1 combiné avec l’article 1 § 1 de la Loi fondamentale.
À cet égard, le droit fondamental garantit à l’individu le pouvoir de décider lui-même de la divulgation et de l’utilisation des données à caractère personnel le concernant.
La garantie offerte par le droit fondamental prend effet en particulier lorsque les autorités mettent en péril l’épanouissement de la personnalité en utilisant et en associant des informations à caractère personnel dans une mesure que l’individu concerné ne peut pleinement appréhender ou contrôler.
L’étendue de la protection du droit à l’autodétermination informationnelle ne se limite pas aux informations qui, par leur nature même, sont sensibles et qui, pour cette seule raison, sont protégées par la Constitution.
Compte tenu des possibilités qui existent en matière de traitement et d’association des données, il n’existe aucune donnée à caractère personnel qui soit par nature, quel que soit le contexte dans lequel elle est utilisée, insignifiante.
En particulier, les informations à caractère personnel relatives aux modalités de fourniture de services de télécommunications relèvent également de la protection de l’autodétermination informationnelle.
123.
Les dispositions qui confèrent aux autorités le pouvoir de traiter des données à caractère personnel prévoient en règle générale plusieurs types d’ingérences distinctes mais interdépendantes.
À cet égard, il convient en particulier d’établir une distinction entre la collecte, la conservation et l’utilisation des données.
Toutefois, lorsqu’il légifère sur l’échange de données aux fins de l’accomplissement de leurs fonctions par les pouvoirs publics, le législateur doit aussi établir une distinction entre la transmission de données par la partie qui fournit les informations et la récupération de données par l’organe qui les demande.
Un échange de données se traduit par deux ingérences qui se correspondent et qui sont chacune fondées sur une base légale indépendante. Autrement dit, le législateur doit ouvrir la porte non seulement à la transmission des données, mais aussi à leur récupération.
Ce n’est qu’ensemble que ces deux bases légales, qui doivent fonctionner comme une double porte, ouvrent la voie à l’échange de données à caractère personnel, ce qui
n’exclut pas, sous réserve du système de compétences et des exigences de clarté rédactionnelle, la possibilité que les deux bases légales puissent figurer dans une même disposition.
124.
b)
Les dispositions contestées portent atteinte au droit fondamental des requérants à l’autodétermination informationnelle.
En premier lieu, l’obligation de collecte et de conservation prévue par [l’article 111 de la loi sur les télécommunications] constitue une atteinte à ce droit.
D’autres atteintes aux droits fondamentaux résultent, d’une part, de l’obligation faite [par l’article 112 § 1 de la loi sur les télécommunications] aux fournisseurs de services de rendre les données de leurs clients disponibles sous la forme de fichiers clients pouvant être consultés par le biais d’une procédure automatisée, et, d’autre part, du pouvoir de l’Agence fédérale des réseaux de récupérer les données en question et de les transmettre aux autorités concernées ([article 112 § 4 de la loi sur les télécommunications]).
De la même manière, [les première et deuxième phrases de l’article 113 § 1 de la loi sur les télécommunications] portent atteinte aux droits fondamentaux en ce qu’elles imposent aux fournisseurs de services de télécommunications l’obligation de fournir, sur demande, des informations sur les données qu’ils conservent.
125.
Enfin, une autre atteinte, distincte et autonome, réside dans le fait que les autorités habilitées peuvent [en vertu des articles 112 et 113 de la loi sur les télécommunications] demander ([article 112 §§ 1, 2 et 4]) ou exiger ([article 113 § 1]) que des données leur soient communiquées.
Toutefois, eu égard à l’approche réglementaire du législateur, cette atteinte nécessite une base légale supplémentaire, qui, en fonction du domaine, doit se trouver dans la législation fédérale ou dans la législation du
Land
.
Les dispositions des [articles 112 et 113 de la loi sur les télécommunications] doivent être comprises uniquement comme base légale de la transmission de données – conformément à la distinction qui est opérée entre collecte et transmission de données dans la typologie des lois sur la protection des données.
Elles présupposent que les autorités habilitées à recevoir des informations jouissent de pouvoirs indépendants en matière de collecte des données (...).
»
15.
Concernant l’article 111 de la loi sur les télécommunications, la Cour constitutionnelle fédérale estima que l’obligation de tenir à jour une base de données contenant des informations sur les abonnés poursuivait en particulier le but légitime que constitue la poursuite des infractions pénales.
Elle admettait que la base de données constituait une mesure de collecte et de conservation d’un grand nombre de données à titre de précaution, et que les auteurs d’infractions pénales auraient toujours la possibilité de contourner cette disposition en utilisant les services de télécommunications de manière anonyme, sous un faux nom ou au moyen de cartes SIM acquises auprès de tiers, mais elle considérait que l’atteinte au droit à l’autodétermination informationnelle était en définitive justifiée compte tenu du caractère relativement limité des informations conservées.
16.
Sur la question de la proportionnalité de la mesure, la Cour constitutionnelle fédérale déclara notamment ce qui suit
:
«
136.
[L’article 111 de la loi sur les télécommunications] ne viole pas les exigences de proportionnalité au sens strict. Même si la disposition commande qu’un large éventail de données de télécommunication soient collectées et conservées par mesure de précaution, sans motif particulier, il s’agit là d’une atteinte d’un poids limité compte tenu de la valeur informative relativement restreinte des données
concernées.
137.
Cependant, l’atteinte en cause n’est pas négligeable.
Elle a du poids en ce que [l’article 111 de la loi sur les télécommunications] permet d’associer un numéro de télécommunication à chaque abonné pour la quasi-totalité des services de télécommunications, et en ce que, à cette fin, des données individualisées telles l’adresse et la date de naissance de l’abonné, ou encore la date d’effet du contrat, sont enregistrées et gardées à la disposition de l’État.
Ces données constituent une base générale d’information et remplissent la fonction de registre des numéros de télécommunication.
Elle permettent en règle générale d’obtenir tous les numéros de télécommunication d’un individu
; à l’inverse, la quasi-totalité des télécommunications pour lesquelles un numéro de télécommunication est déterminé peuvent être attribuées à un raccordement, et donc à un abonné.
Étant donné qu’elles se rapportent aux éléments fondamentaux des opérations de télécommunication, les données en question s’inscrivent dans le cadre de relations d’information particulièrement protégées dont la confidentialité est essentielle à une société fondée sur la liberté. En outre, les données correspondantes sont collectées et conservées par mesure de précaution sans motif valable de manière à être mises à disposition aux fins de l’exercice par l’État de ses fonctions.
138.
Néanmoins, l’atteinte en cause n’a pas un poids très important.
En particulier, le fait que les données soient collectées par mesure de précaution ne confère pas à la procédure un poids très important.
En effet, même si [l’article 111 de la loi sur les télécommunications] a une portée étendue, l’atteinte en cause se borne dans les faits à des données strictement limitées qui, en elles-mêmes, ne permettent pas de connaître les activités spécifiques des individus, et dont le législateur a restreint l’utilisation à des fins précises.
En pareils cas, le seul fait que des données soient conservées sans motif ne signifie pas que l’atteinte soit particulièrement grave, même si les données sont conservées par mesure de précaution.
Certes, la conservation de données par mesure de précaution doit toujours rester exceptionnelle et être justifiée.
Néanmoins, comme le montrent le registre d’état civil ou, dans le domaine de l’automobile, le registre central des véhicules (...) et le fichier central des permis de conduire, il n’est pas exclu d’emblée que la collecte de données par mesure de précaution puisse être justifiée par la nécessité pour l’État de s’acquitter de ses fonctions
(...)
139.
Les données visées par [l’article 111 de la loi sur les télécommunications] ont une valeur informative limitée. Elles permettent uniquement d’associer un numéro de téléphone à un abonné donné et donc à son utilisateur potentiel (et habituel).
Elles ne contiennent pas d’informations privées plus détaillées.
De plus, elles ne renferment pas des informations à caractère hautement personnel, pas plus qu’elles ne peuvent être utilisées pour créer des profils de personnalité ou suivre les déplacements des utilisateurs
: leur conservation par mesure de précaution diffère donc fondamentalement de la conservation par mesure de précaution de données relatives au trafic en matière de télécommunications.
(...)
140.
Par ailleurs, le fait que les données visées par [l’article 111 de la loi sur les télécommunications], prises dans leur contexte, permettent d’attribuer à un individu donné une opération de télécommunication connue des autorités et donc, dans certains cas, de connaître de manière individualisée les circonstances ayant entouré l’opération ou sa teneur ne confère pas un poids particulier à l’atteinte en cause. Il n’est en effet possible que d’enquêter sur des événements donnés, dans le cadre d’une affaire spécifique.
En pareil cas, les autorités connaissent déjà les circonstances ou la teneur de l’opération de télécommunication dont elles cherchent à identifier l’auteur au moyen des données visées par [l’article 111 de la loi sur les télécommunications]
, qu’elles aient découvert cette opération soit en portant atteinte au secret des télécommunications, dans le cadre d’une enquête relevant de leur compétence – sur le fondement, par exemple, de l’article 100g du code procédure pénale (...) –, soit sans y porter atteinte, grâce à leur propres observations ou à des informations émanant de tiers
.
Inversement, le fait que la récupération d’un numéro de télécommunication puisse être suivie d’autres mesures qui, dans certains cas, pourraient donner lieu à des atteintes graves à certains droits, et au secret des télécommunications notamment, ne confère pas un poids particulier à l’atteinte en cause.
En effet, pareilles atteintes ne peuvent être autorisées que sur le fondement d’une base légale indépendante, en tenant nécessairement compte de la gravité de l’atteinte en cause.
141.
La possibilité d’attribuer les données recueillies en vertu de [l’article 111 de la loi sur les télécommunications] permet aux autorités désignées dans les dispositions relatives à l’utilisation de ces données de s’acquitter efficacement de leurs tâches.
Elle est justifiée du point de vue constitutionnel par le fait que les autorités puissent avoir un intérêt légitime à mener à bien une enquête sur des opérations de télécommunication spécifiques dans certains cas, et cet intérêt qu’il y a à ce que les autorités puissent avoir les moyens de s’acquitter de leurs fonctions peut avoir un poids considérable, voire prépondérant dans certains cas.
On ne saurait opposer à cet argument celui consistant à dire que la communication directe sans moyens de télécommunication ne fait pas l’objet d’atteintes comparables.
En effet, la situation est différente en pareil cas
.
Comme la communication directe ne recourt pas à des moyens techniques de communication qui permettent d’échanger en temps réel sur n’importe quelle distance, à l’abri des regards, les deux modes de communication ne sont pas comparables, et il n’est pas nécessaire non plus de disposer concernant ce mode de communication d’un registre recensant les utilisateurs.
Pour élucider des affaires, les moyens d’enquête traditionnels, comme l’audition de témoins ou la saisie de documents, sont en cas de communication directe plus utiles qu’ils ne le sont lorsque des moyens électroniques sont utilisés.
Il est vrai que même les possibilités offertes par les moyens de télécommunication modernes ne justifient pas que l’on enregistre toutes les activités des citoyens par mesure de précaution lorsque cela s’avère possible, et que l’on permette ainsi leur reconstruction.
Toutefois, la création d’un registre des numéros de télécommunication ne soulève aucune question de cette nature, même lorsque l’on tient compte de ce que le registre en question peut être combiné avec d’autres données disponibles
.
»
17.
Concernant l’article 112 de la loi sur les télécommunications, la Cour constitutionnelle fédérale précisa (paragraphe 144)
ce qui suit
:
«
[cette disposition] réglemente l’utilisation des données conservées conformément à [l’article
111 de la loi sur les télécommunications] en prévoyant une procédure automatisée dans le cadre de laquelle l’Agence fédérale des réseaux [
Bundesnetzagentur
] doit transmettre les données en question aux autorités, désignées à [l’article 112 § 2 de la loi sur les télécommunications], qui en font la demande.
Elle sert de base légale à l’obligation de rendre les données disponibles sous la forme de fichiers clients, ainsi qu’à l’accès à ces données et à leur transmission, mais pas à la récupération de ces données en vertu d’une demande d’informations introduite par des autorités habilitées à recevoir les données en question.
»
La Cour constitutionnelle fédérale estima toutefois qu’un droit général de collecter des données pouvait suffire pour une demande des autorités compétentes.
À cet égard, elle convoqua l’image d’une double porte (paragraphe 123 de l’arrêt, cité au paragraphe 14 ci-dessus), déclarant que, si l’article 112 de la loi sur les télécommunications ouvrait la porte à la transmission des données, il n’ouvrait pas la porte à la collecte de données par les autorités spécialisées.
18.
La Cour constitutionnelle fédérale estima néanmoins que, pour plusieurs raisons, l’atteinte prévue par l’article 112 de la loi sur les télécommunications revêtait un poids considérable
:
«
156.
Toutefois, le fait que [l’article 111 de la loi sur les télécommunications] simplifie considérablement la récupération de données confère à l’atteinte prévue par cette disposition un poids considérable.
Cette procédure, qui est centralisée et automatisée, permet d’éliminer dans une large mesure les difficultés pratiques liées à la collecte de données et de rendre les données des personnes concernées disponibles sans que des exigences de contrôle ne causent de retard ou de difficultés pratiques.
En outre, les données sont communiquées à l’insu des entreprises de télécommunications ou d’autres tiers.
Certes, le fait que l’entreprise de télécommunications ne remarque pas que des informations sont communiquées offre aux personnes concernées un certain degré de discrétion
; cependant, il en découle que les atteintes en question ne sont pas tempérées par les effets de modération et de contrôle que le regard d’un tiers provoque.
En outre, l’Agence fédérale des réseaux, qui transmet les données, n’exerce un contrôle juridique que si une circonstance particulière le justifie ([article 112 §
4, deuxième phrase, de la loi sur les télécommunications]).
Or, étant donné que l’autorité sollicitant les données en question n’a pas à motiver sa demande, il est peu probable que pareille situation se présente.
157.
Le poids de cette atteinte découle aussi de ce que le législateur a défini de manière très large les buts pour lesquels les données peuvent être utilisées.
Les données peuvent généralement être transmises aux autorités désignées [dans l’article
112 § 2 de la loi sur les télécommunications] aux fins de l’accomplissement de leurs obligations légales.
Des restrictions s’appliquent uniquement pour les autorités chargées de l’application de la loi visées à [l’article 112 § 2 n
o
2 de la loi sur les télécommunications] et pour les autorités douanières désignées à [l’article 112 §
2 n
os
3 et 7 de la loi sur les télécommunications
].
Toutefois, il est important à cet égard de préciser qu’en vertu de [l’article 112 de la loi sur les télécommunications], les données ne peuvent être communiquées aux autorités chargées de l’application de la loi que pour écarter des menaces, ce qui exclut la possibilité que les données soient communiquées simplement par mesure de précaution.
En ce qui concerne les obligations respectives des autorités habilitées à obtenir des informations, peu de restrictions viennent limiter les obligations d’information de l’Agence fédérale des réseaux.
En particulier, la loi n’instaure aucun seuil strict: au contraire, l’étendue de l’obligation d’information est exclusivement fonction de la compétence des autorités concernées.
Toutefois, le fait que des données ne puissent être communiquées que dans la mesure nécessaire à l’exercice par l’autorité concernée de ses fonctions a pour effet de créer une restriction de fait.
Ainsi, la récupération de données peut être autorisée non pas à la légère, dans le simple but d’obtenir en amont des indications, mais lorsque les informations effectivement nécessaires à l’exercice par l’autorité de ses fonctions ne peuvent être obtenues d’une manière plus simple mais tout aussi efficace.
(...)
163.
Dans la pratique, toutefois, [l’article 112 de la loi sur les télécommunications] ne limite pas la récupération automatisée de données aux seuls cas où pareille mesure serait légitimée par une base légale spécifique
; il autorise aussi l’introduction de demandes fondées sur de simples pouvoirs de collecte de données.
Par conséquent, au niveau de la loi spécifique, il n’est pas nécessaire d’identifier expressément les autorités habilitées visées [à l’article 112 § 2 de la loi sur les télécommunications] ou de définir d’autres conditions devant être satisfaites en vue de la récupération de données.
(...)
»
19.
La Cour constitutionnelle fédérale conclut pourtant que l’article
112 de la loi sur les télécommunications était proportionné
:
«
155.
[L’article 112 de la loi sur les télécommunications] satisfait aux exigences du principe de proportionnalité.
Cette disposition sert à accroître l’efficacité des autorités visées à [l’article 112 § 2 de la loi sur les télécommunications] dans l’exercice de leurs fonctions, et elle est appropriée et nécessaire à cet effet. Elle est également proportionnée au sens étroit du terme.
(...)
158
.
En dépit du poids considérable de l’atteinte qui en découle, cette disposition est proportionnée. Au moins, seul un nombre limité d’organes sont habilités à récupérer des données. Les buts pour lesquels des informations sont fournies à ces organes en vertu de [l’article 112 § 2 de la loi sur les télécommunications] relèvent de fonctions centrales liées à la garantie de la sécurité.
Compte tenu de l’importance croissante des moyens électroniques de communication et des changements comportementaux qui en découlent en matière de communication dans tous les domaines de la vie, les autorités sont largement tributaires d’une solution des plus simples qui leur permette d’associer un nom à chaque numéro de télécommunication.
À cet égard, ne peut être contestée d’un point de vue constitutionnel la décision du législateur d’autoriser la transmission de ces données à des fins d’enquête sur des infractions pénales et des menaces, ou encore de surveillance d’actes de nature à mettre en péril la Constitution, d’information des pouvoirs publics et du public, ou d’assistance en situation d’urgence.
Étant donné que ces enquêtes doivent souvent être menées rapidement et à l’insu des personnes concernées, une procédure automatisée d’accès aux données revêt une importance particulière pour les autorités.
Cette disposition contribue également à renforcer l’efficacité du travail des cours et tribunaux.
159
.
Le fait que les données en question aient une valeur informative limitée est crucial aux fins de la mise en balance des intérêts en jeu. En effet, ces données renseignent uniquement sur l’attribution de numéros de télécommunication à des abonnés.
Même si, dans certains cas spécifiques de collecte de données, elles pourraient donner lieu à l’obtention d’informations sensibles, leur teneur informative en tant que telle reste limitée et dépend de mesures d’enquête supplémentaires dont la légalité doit être appréciée à l’aune d’autres dispositions.
(...)
163.
(...) Étant donné qu’il est question ici de la transmission de données par une autorité et que les conditions matérielles de
cette procédure sont exposées de manière exhaustive et suffisamment claire dans [l’article 112 de la loi sur les télécommunications], y compris vis-à-vis des personnes concernées, cette disposition, eu égard également au poids limité de l’atteinte qui en découle, est compatible avec le principe de proportionnalité et correspond à la structure des dispositions relatives à la récupération automatisée des données sur les véhicules et leurs propriétaires qui figurent sur le fichier des immatriculations
(
...) et à la structure de la disposition relative à la transmission de données qui figure dans la loi sur l’enregistrement des résidents
(...).
Certes, cela ne change rien à la responsabilité du législateur – et à cet égard, le cas échéant, des
Länder
– en ce qui concerne l’élaboration, dans le respect de la Constitution, des dispositions relatives à la collecte de données, lesquelles ne font pas elles-mêmes l’objet de la présente procédure.
(...)
»
En outre, la Cour constitutionnelle souligna qu’il incombait aux autorités publiques d’appliquer ces dispositions de manière à ce qu’il fût spécifiquement tenu compte, d’une part, des exigences de l’article 112 §§
1 et 2 de la loi sur les télécommunications, et en particulier de l’exigence selon laquelle la collecte devait être nécessaire même dans un cas donné, et, d’autre part, des autres exigences imposées par le principe de proportionnalité.
20.
Concernant l’article 113 de la loi sur les télécommunications, la Cour constitutionnelle déclara que cette disposition ne pouvait être interprétée que comme une disposition relative à la communication de données et qu’une base légale supplémentaire était nécessaire pour permettre la récupération des données par les autorités. Elle releva également que l’autorité à l’origine d’une demande d’informations n’était soumise à aucune limitation – sauf en lien avec ses fonctions – et que les buts propres à justifier la récupération de données étaient énoncés en termes généraux.
Elle conclut néanmoins que, compte tenu de ce que les informations tirées des données en question étaient en elles-mêmes limitées, et de ce qu’elles revêtaient une grande importance aux fins de l’exercice efficace de leurs fonctions par les autorités, la portée de cette disposition ne pouvait être critiquée du point de vue constitutionnel.
21.
La Cour constitutionnelle fédérale déclara notamment ce qui suit
:
«
176.
Toutefois, [la première phrase de l’article 113 § 1 de la loi sur les télécommunications] ouvre très largement la procédure manuelle.
Elle autorise la récupération d’informations aux fins de la prévention des menaces, de la poursuite d’infractions pénales ou réglementaires et de l’exécution d’actes relevant du renseignement.
À cet égard, la disposition en question ne prévoit pas non plus de seuil particulier qui préciserait la portée de l’atteinte.
À l’inverse, elle autorise toujours la récupération d’informations au cas par cas dès lors que celle-ci est nécessaire à l’exercice des fonctions susmentionnées.
177.
Toutefois, eu égard à la valeur informative, limitée en soi, des données en question, et à leur grande importance aux fins de l’exercice par les autorités de leurs fonctions, la portée de cette disposition ne prête pas à la critique du point de vue constitutionnel.
À cet égard, il faut tenir compte de ce que cette disposition n’autorise en aucune façon la transmission systématique de données.
Au contraire, le fait que des informations visées à [la première phrase de l’article 113 § 1 de la loi sur les télécommunications doivent] être demandées au cas par cas et être nécessaires lui confère un effet restrictif.
En ce qui concerne le but que constitue la prévention des menaces, dans lequel le législateur n’a pas inclus la prévention des risques, une interprétation prudente révèle qu’une «
menace concrète
» au sens des «
clauses générales
» [
Generalklauseln
] du droit de la police est nécessaire pour que la récupération de telles informations puisse être autorisée.
Certes, ce seuil est bas et couvre également les cas où les autorités soupçonnent l’existence d’une menace.
De même, la disposition en question ne dispose pas d’emblée que ne peuvent être communiquées que les données relatives aux personnes qui mettent en péril la sécurité publique au sens du droit général de la police et du droit réglementaire.
Pourtant, compte tenu du faible poids de l’atteinte qui découle de cette disposition, il n’en résulte pas que les restrictions qu’elle renferme sont si faibles qu’elles rendent disproportionnée la mesure prévue par cette disposition.
En particulier, la disposition en question ne fait pas de la récupération de données un moyen général d’exécution administrative légale
; elle impose dans chaque cas donné que la fonction aux fins de l’exercice de laquelle les données sont sollicitées relève de questions de sécurité.
Il est vrai qu’en ce qui concerne les services de renseignement, qui agissent généralement en amont, il n’existe aucun seuil comparable, qu’il y ait une menace concrète ou non.
Pareille situation est toutefois justifiée au regard de l’étendue limitée des fonctions exercées par les services de renseignement, qui ne prennent pas directement de mesures de police mais ont pour seule fonction de rendre compte aux organes de l’État qui sont politiquement responsables ou au public.
Par ailleurs, il découle également de l’exigence de nécessité, appréciée au cas par cas, que les informations visées à [la première phrase de l’article 113 § 1de la loi sur les télécommunications] doivent être nécessaires à la bonne conduite d’une enquête sur des actes ou un groupe particuliers nécessitant une surveillance par les autorités de sûreté.
Dès lors que les données sont sollicitées dans le cadre de la poursuite d’infractions pénales et réglementaires, l’exigence de nécessité signifie que dans chaque cas, il doit y avoir au moins
un soupçon initial.
178.
Pris ensemble, ces seuils ne sont pas élevés, mais ils sont constitutionnellement acceptables. À cet égard, il faut tenir compte, en comparaison avec [l’article 112 de la loi sur les télécommunications], de ce qu’une procédure manuelle implique certains efforts procéduraux de la part de l’autorité souhaitant obtenir des informations, ce qui pourrait inciter l’autorité concernée à ne chercher à obtenir des informations que lorsqu’elle en a vraiment besoin.
»
22.
Concernant les voies de recours contre les demandes d’informations introduites en application des articles 112 et 113 de la loi sur les télécommunications, la Cour constitutionnelle fédérale déclara ce qui suit
:
«
186.
(...) Il n’y a pas non plus lieu de critiquer le fait que, compte tenu de la faible gravité de l’atteinte, aucune voie de recours spécifique ne soit prévue pour se plaindre de la transmission d’informations en application [des articles 112 et 113 de la loi sur les télécommunications]. La protection juridique peut être recherchée à cet égard dans les règles général
es – en particulier de manière incidente dans le contexte de recours en justice contre des décisions définitives des autorités.
187
.
Les exigences du principe de proportionnalité n’imposent pas une obligation générale d’informer les personnes concernées de la communication de données à caractère personnel les concernant en vertu des [articles 112 et 113 de la loi sur les télécommunications] (...)
»
23.
Dans sa décision, la Cour constitutionnelle fédérale disait que 26,6
millions de données – soit l’identité de l’abonné, soit le numéro de téléphone – avaient été demandées en vertu de l’article 112 de la loi sur les télécommunications en 2008. Elle n’opérait pas de distinction entre les données relatives aux utilisateurs de cartes SIM prépayées et les autres clients.
II.
A.
La Loi fondamentale
24.
La loi fondamentale se lit comme suit en ses parties pertinentes en l’espèce
:
Article 1
«
1.
La dignité de l’être humain est intangible. Tous les pouvoirs publics ont l’obligation de la respecter et de la protéger.
(...)
»
Article 2
«
1.
Chacun a droit au libre épanouissement de sa personnalité pourvu qu’il ne viole pas les droits d’autrui ni n’enfreigne l’ordre constitutionnel ou la loi morale.
(...)
»
Article 10
«
1.
Le secret de la correspondance, de la poste et des télécommunications est inviolable.
2.
Des restrictions ne peuvent être apportées à ce droit que sur le fondement d’une loi. Si une restriction vise à défendre l’ordre fondamental libéral et démocratique, ou l’existence ou la sécurité de la Fédération ou d’un
Land
, la loi peut disposer que l’intéressé n’en sera pas informé et qu’à la possibilité d’introduire un recours en justice se substituera un contrôle mené par des organes et organes auxiliaires désignés par le législateur.
»
25.
Dans son arrêt du 15 décembre 1983 (n
os
1 BvR 209, 269, 362, 420, 440, 484/83), la Cour constitutionnelle fédérale établit le droit à l’autodétermination informationnelle et dit ce qui suit
:
«
Dans le cadre du traitement moderne des données, la protection de l’individu contre la collecte, la conservation, l’utilisation et la divulgation illimitées des données à caractère personnel le concernant relève du droit à la protection de la personnalité garanti par l’article 2 § 1 combiné avec l’article 1 de la Loi fondamentale. Ce droit fondamental garantit à cet égard la capacité de l’individu de décider en principe de la divulgation et de l’utilisation des données à caractère personnel le concernant.
»
26.
Dans son arrêt du 2 mars 2010 (n
os
1 BvR 256, 586, 263/08), la Cour constitutionnelle fédérale se prononça sur la constitutionnalité des dispositions qui transposaient en droit allemand (articles 113a et 113b de la loi sur les télécommunications et 100g du code de procédure pénale) la directive 2006/24/CE de l’Union européenne (paragraphes 49-50 ci
‑
dessous), dispositions qui imposaient aux fournisseurs de services de conserver pendant une durée limitée (six mois) toutes les données relatives au trafic générées dans le cadre de la fourniture de services téléphoniques, et qui permettaient l’utilisation de ces données dans le cadre de poursuites pénales.
Considérant que l’article 113a de la loi sur les télécommunications (obligation de conservation) emportait violation du droit à la protection du secret des télécommunications, elle le déclara inconstitutionnel et nul.
Elle dit qu’une obligation de conservation d’une telle ampleur n’était pas d’emblée inconstitutionnelle
de manière automatique, mais que l’obligation en cause n’était pas structurée de manière à être conforme au principe de proportionnalité.
Elle ajouta que les dispositions litigieuses, d’une part, ne garantissaient ni des conditions adéquates de sécurité des données ni des restrictions suffisantes
quant à l’utilisation des données, et, d’autre part,
n’étaient pas en tous points conformes aux exigences constitutionnelles de transparence et de protection juridique.
B.
La loi sur les télécommunications
27.
L’article 111 de la loi sur les télécommunications oblige les fournisseurs de services à collecter et conserver certaines données à caractère personnel concernant leurs clients. Il constitue ainsi le fondement des demandes d’informations introduites en vertu des articles 112 et 113 de la loi sur les télécommunications. Ses parties pertinentes étaient ainsi libellées à l’époque des faits
:
«
1)
Quiconque fournit à titre commercial des services de télécommunications ou une assistance aux fins de la fourniture de pareils services et, ce faisant, attribue des numéros de téléphone ou fournit un raccordement au réseau de télécommunication pour des numéros de téléphone attribués par des tiers ou d’autres identifiants de connexion doit, aux fins des procédures d’information prévues aux articles 112 et 113, collecter avant activation du service, et enregistrer sans délai
:
1.
les numéros de téléphone et autres identifiants
de connexion afférents à chaque abonnement,
2.
les nom et adresse de chaque
abonné,
3.
la date de naissance de l’abonné s’il s’agit d’une personne physique
,
4.
pour les lignes fixes, l’adresse de la ligne
,
5.
dans les cas où un dispositif de communication mobile est fourni avec la ligne de communication mobile, le numéro d’identification du dispositif en question, et
6.
la date d’effet du contrat
,
même dans les cas où ces données ne sont pas nécessaires à des fins opérationnelles
; si elle est connue, la date de résiliation du contrat doit également être conservée. La première phrase de la présente disposition reste applicable dans les cas où les données en question ne figurent pas dans un annuaire. (...) Toute personne soumise à des obligations en vertu de la première ou troisième phrase de la présente disposition est tenue, dès lors qu’elle est informée d’une modification, de corriger sans délai les données concernées
; à cet égard, toute personne soumise à des obligations en vertu de la première phrase de la présente disposition devra ensuite collecter et stocker les données n’ayant pas encore été enregistrées dès lors que la collecte des données en question ne requiert pas un effort particulier. Le choix du mode de conservation des données pouvant être récupérées par le biais de la procédure prévue à l’article 113 est libre.
2)
Lorsqu’un fournisseur de services visé à la première ou troisième phrase du premier paragraphe de la présente disposition travaille de concert avec un partenaire commercial, c’est ce dernier qui collecte les données visées aux première et troisième phrases du premier paragraphe de la présente disposition, conformément aux conditions qui y sont énoncées, et qui transmet sans délai ces données et d’autres données collectées en vertu de l’article 95 au fournisseur de services
; la deuxième phrase du premier paragraphe de la présente disposition s’applique en conséquence. La première phrase s’applique également aux données relatives à des modifications, dès lors que le partenaire commercial est informé de ces données dans le cadre normal de son activité.
3)
En ce qui concerne les relations contractuelles déjà existantes à la date d’entrée en vigueur de la présente disposition, la collecte
a posteriori
des données visées à la première ou troisième phrase du premier paragraphe n’est requise que dans les cas énoncés dans la quatrième phrase dudit paragraphe.
4)
Les données sont effacées à l’issue de l’année civile qui suit l’année au cours de laquelle la relation contractuelle prend fin.
(...)
»
28.
En juillet 2016, l’article 111 de la loi sur les télécommunications fut modifié et une obligation de vérification préalable des données à caractère personnel de chaque utilisateur de téléphonie mobile fut introduite pour les fournisseurs de services.
Il devint obligatoire de présenter une carte d’identité, un passeport ou tout autre document d’identité officiel lors de l’enregistrement initial des données.
Cette modification avait été jugée nécessaire pour restreindre davantage les possibilités de contournement des obligations énoncées à l’article 111 de la loi sur les télécommunications.
Selon les travaux préparatoires qui avaient été réalisés en amont de cette modification (Publication du Parlement fédéral (
Bundestagsdrucksache
) n
o
18/8702, p. 22), une quantité considérable de données fausses avaient été découvertes dans les bases de données des fournisseurs de services de télécommunications, au point que la situation en était venue à constituer un phénomène de masse, et que, par conséquent, les autorités compétentes avaient échoué dans le cadre d’un grand nombre de procédures à obtenir des informations utiles en réponse aux demandes qu’elles avaient introduites en application des articles 112 et 113 de la loi sur les télécommunications
.
Un recours constitutionnel visant à contester la compatibilité de cette modification avec la loi fondamentale est actuellement pendant devant la Cour constitutionnelle fédérale (n
o
1 BvR 1713/17).
29.
L’article 112 de la loi sur les télécommunications établit une procédure automatisée pour les données conservées en application de l’article 111 de la loi sur les télécommunications
. Selon cette procédure, les fournisseurs de services de télécommunications doivent mettre les données à disposition de sorte que l’Agence fédérale des réseaux puisse les récupérer à leur insu. Ils doivent en outre proposer un système de récupération des données permettant d’effectuer soit des recherches au moyen de données incomplètes, soit des recherches par analogie
.
Les parties pertinentes en l’espèce de l’article
112 de la loi sur les télécommunications se lisaient ainsi à l’époque des faits
:
«
1)
Toute personne fournissant des services de télécommunications accessibles au public enregistre sans délai dans des fichiers clients les données collectées en vertu de l’article
111 §§ 1, phrases 1, 3 et 4, et 2 (...). Toute personne soumise à la présente obligation est tenue de veiller à ce que
:
1.
l’Agence fédérale des réseaux soit à tout moment en mesure de récupérer de manière automatisée, depuis l’Allemagne, des données contenues dans les fichiers clients
,
2.
les données puissent être récupérées au moyen d’un système permettant les recherches au moyen de données incomplètes ou par analogie.
Les personnes soumises à la présente obligation et leurs agents doivent veiller, par des mesures techniques et organisationnelles, à ce qu’aucune récupération de données ne puissent être portée à leur connaissance.
L’Agence fédérale des réseaux ne peut récupérer des données des fichiers clients que si les données en question lui sont nécessaires
:
1.
pour poursuivre des infractions administratives réprimées par la présente loi ou la loi sur la concurrence déloyale [
Gesetz gegen den unlauteren Wettbewerb
];
2.
pour traiter des demandes d’informations introduites par les organes désignés au paragraphe 2) ci-dessous.
L’organe à l’origine de la demande d’informations vérifie sans délai dans quelle mesure il a besoin des données transmises en réponse à sa demande, et il efface sans délai toutes les données qui ne lui sont pas nécessaires
; la présente obligation s’applique également à l’Agence fédérale des réseaux lorsqu’elle procède à la récupération des données conformément à la septième phrase du premier paragraphe de la présente disposition.
2)
Les données des fichiers clients visées au paragraphe 1 sont communiquées
:
1.
aux cours et tribunaux ainsi qu’aux autorités de poursuites pénales
,
2.
aux services chargés de l’application de la loi aux niveaux fédéral et des
Länder
, à des fins de prévention des menaces
,
3.
à l’office chargé des enquêtes pénales douanières [
Zollkriminalamt
] et aux offices chargés des enquêtes douanières [
Zollfahndungsämter
] aux fins de la conduite de procédures pénales, et à l’office chargé des enquêtes pénales douanières aux fins de la préparation et de l’exécution de mesures visées par l’article 23a de la loi sur le service des enquêtes douanières [
Zollfahndungsdienstgesetz
]
,
4.
aux services chargés aux niveaux fédéral et des
Länder
de la protection de la Constitution, à l’office fédéral du contre-renseignement militaire et au service fédéral du renseignement
,
5.
aux services d’urgences relevant de l’article 108 et au centre d’appel du numéro d’urgence des secours mobiles en mer, le «
124
124
»,
6.
à l’autorité fédérale de surveillance financière
, et
7.
aux autorités de l’administration des douanes, aux fins énumérées à l’article 2 §
1 de la loi sur le travail non déclaré [
Schwarzarbeitsbekämpfungsgesetz
]
, par l’intermédiaires de bureaux d’enquête centralisés,
conformément aux dispositions du paragraphe 4 ci-après, à tout moment, dès lors que les données en question leur sont nécessaires à l’exécution de leurs fonctions juridiques et que les demandes sont soumises à l’Agence fédérale des réseaux au moyen de procédures automatisées.
(...)
4)
Lorsqu’une des autorités visées au paragraphe 2 lui en fait la demande, l’Agence fédérale des réseaux récupère des fichiers clients les données pertinentes visées au paragraphe 1 et les lui transmet. Elle n’examine la recevabilité des demandes de transmission de données que dans les cas où un motif particulier le justifie. La recevabilité des demandes de transmission de données relève de la responsabilité
:
1.
de l’Agence fédérale des réseaux, dans les cas relevant du point 1 de la septième phrase du paragraphe 1,
et
2.
des organes énumérés au paragraphe 2 dans les cas relevant du point 2 de la septième phrase du paragraphe 1.
À des fins de contrôle de la protection des données par l’organe compétent, l’Agence fédérale des réseaux enregistre pour chaque récupération de données la date de la récupération, les données utilisées dans ce cadre, les données récupérées, des informations permettant d’identifier sans équivoque la personne ayant procédé à la récupération des données, ainsi que le nom de l’autorité à l’origine de la demande, son numéro de référence et des informations permettant d’identifier sans équivoque la personne ayant introduit la demande.
L’utilisation à toute autre fin des données enregistrées est interdite.
Les données enregistrées sont effacées au bout d’un an.
(...)
»
30.
En juin 2017, un décret relatif à la procédure automatisée prévue à l’article 112 de la loi sur les télécommunications a été adopté.
Ce décret relatif aux données à caractère personnel des clients (
Kundendatenauskunftsverordnung
) décrit de manière plus détaillée dans quels cas des demandes d’informations peuvent être introduites à partir de l’adresse, du nom ou du numéro de téléphone d’un abonné, et il précise les informations qui doivent être fournies pour chaque type de demande.
Il réglemente en outre les recherches effectuées au moyen de données incomplètes et les recherches par analogie.
Le décret était accompagné d’une directive technique dans laquelle étaient énoncées les normes techniques applicables aux recherches et aux communications entre l’Agence fédérale des réseaux, les autorités à l’origine de demandes d’informations et les fournisseurs de services de télécommunications.
31.
L’article 113 de la loi sur les télécommunications établit la procédure manuelle de demande d’accès aux données conservées en application de l’article 111 de la loi sur les télécommunications.
Contrairement à la procédure automatisée, cette procédure impose aux fournisseurs de services eux-mêmes l’obligation de communiquer aux autorités compétentes les données demandées.
Comme pour la procédure automatisée, la confidentialité des demandes d’informations doit être préservée à l’égard des personnes auxquelles les données renvoient.
L’article 113 ne renferme pas une liste exhaustive des organes autorisés à recevoir des données en application de cette procédure.
Les demandes d’informations sont autorisées dès lors qu’elles sont nécessaires pour poursuivre les infractions pénales et réglementaires, prévenir des menaces (
Gefahrenabwehr
) et mener des missions de renseignement.
L’article 113 de la loi sur les télécommunications était ainsi libellé en ses parties pertinentes à l’époque des faits
:
«
1)
Quiconque fournit à titre commercial des services de télécommunications ou une assistance aux fins de la fourniture de pareils services peut, sous réserve des dispositions du paragraphe 2, utiliser conformément à la présente disposition les données collectées en application des articles 95 et 111, en vue de s’acquitter de son obligation de fournir des informations aux organes visés au paragraphe 3.
(...)
2)
Les informations peuvent être communiquées uniquement dans le cas où l’un des organes visés au paragraphe 3 en fait la demande, par écrit et pour un cas donné, aux fins de la poursuite d’infractions pénales ou administratives, de la prévention d’une menace à la sûreté publique ou à l’ordre public, ou de l’exécution des fonctions juridiques des organes visés au point 3 du paragraphe 3, en citant une disposition légale l’autorisant à collecter les données visées au paragraphe 1
; aucune donnée visée au paragraphe 1 ne peut être transmise à un autre organe, public ou non.
En cas de danger imminent, les informations peuvent également être communiquées même si la demande n’est pas formulée par écrit.
En pareil cas, la demande devra ensuite être confirmée sans délai par écrit.
La recevabilité de la demande d’informations relève de la responsabilité des organes visés au paragraphe 3.
3)
Sont considérés comme des «
organes
» au sens du paragraphe 1
:
1.
les autorités chargées de la poursuite des infractions pénales ou administratives
,
2.
les autorités chargées de la prévention des menaces à la sûreté publique ou à l’ordre public
,
3.
les services chargés aux niveaux fédéral et des
Länder
de la protection de la Constitution, l’office fédéral du contre-renseignement militaire et le service fédéral du renseignement
.
4)
Quiconque fournit à titre commercial des services de télécommunications ou une assistance aux fins de la fourniture de pareils services doit communiquer sans délai la totalité des informations demandées.
Les parties soumises à l’obligation de communiquer des informations sont tenues de préserver la confidentialité des demandes d’informations et des informations communiquées, tant à l’égard des parties concernées qu’à l’égard de tiers.
(...)
»
C.
Base légale des demandes d’informations
introduites par le biais de la procédure automatisée visée à l’article 112 de la loi sur les télécommunications
32.
Les demandes d’informations que le parquet et la police introduisent dans le cadre d’enquêtes pénales par le biais de la procédure automatisée visée à l’article 112 de la loi sur les télécommunications sont régies par le code de procédure pénale (
Strafprozessordnung
), dont les articles pertinents se lisaient comme suit à l’époque des faits
:
Article 160
«
1.
Dès qu’il prend connaissance, par le biais d’une plainte pénale ou par tout autre moyen, d’un soupçon d’infraction pénale, le parquet ouvre une enquête sur les faits afin de déterminer s’il y a lieu d’engager l’action publique.
2.
Le parquet doit enquêter non seulement à charge mais aussi à décharge, et veiller à ce que soient recueillis les éléments de preuve qui risquent de disparaître.
3.
L’enquête du parquet s’étend également aux circonstances qui sont importantes aux fins de la détermination des conséquences juridiques de l’acte.
À cette fin, le parquet peut
faire appel aux services de l’organe d’assistance judiciaire
.
»
Article 161 § 1
«
Aux fins énoncées à l’article 160 §§ 1 à 3 [du code de procédure pénale], le parquet peut demander des informations à toutes les autorités et se livrer à tous types d’investigations, soit directement, soit par l’intermédiaire des autorités et représentants des forces de l’ordre, sous réserve qu’aucune autre disposition légale ne réglemente spécifiquement leurs pouvoirs.
Les autorités et représentants des forces de l’ordre sont tenus de se conformer à toute demande ou ordonnance du parquet et peuvent en pareil cas introduire des demandes d’informations auprès de toutes les autorités.
»
Article 163 § 1
«
Les autorités et représentants des forces de l’ordre enquêtent sur les infractions pénales et, afin d’éviter la dissimulation de faits, prennent toute mesure ne pouvant être différée.
À cette fin, ils peuvent demander et, en cas d’urgence, exiger des informations de toutes les autorités, et mener des enquêtes de toute nature, sous réserve qu’aucune autre disposition légale ne réglemente spécifiquement leurs pouvoirs.
(...)
»
33.
Aux fins de la prévention des infractions pénales, l’Office fédéral de la police judiciaire (
Bundeskriminalamt
) et la police fédérale (
Bundespolizei
) peuvent, conformément aux dispositions suivantes, qui se lisaient comme suit à l’époque des faits, demander des informations par le biais de la procédure automatisée prévue à l’article 112 de la loi sur les télécommunications
:
Article 2 de la loi sur l’Office fédéral de la police judiciaire (
Bundeskriminalamtgesetz
)
«
1)
En sa qualité d’office central du système d’information et de renseignement de la police, l’Office fédéral de la police judiciaire soutient les forces de police au niveau des
Länder
et au niveau fédéral aux fins de la prévention et de la recherche des infractions commises dans plusieurs
Länder
ou revêtant un caractère international ou une ampleur considérable
.
2)
Aux fins de l’accomplissement de cette mission, l’Office fédéral de la police judiciaire
:
1.
collecte et analyse toutes les données nécessaires à cette fin
;
(...)
»
Article 7 de la loi sur l’Office fédéral de la police judiciaire
«
1)
L’Office fédéral de la police judiciaire peut conserver, modifier ou utiliser des données à caractère personnel dans la mesure nécessaire à l’accomplissement de sa mission d’office central.
2)
Dans la mesure nécessaire à l’accomplissement de sa mission d’office central en vertu de l’article 2 § 2 n
o
1, l’Office fédéral de la police judiciaire peut, pour compléter des informations déjà en sa possession ou à d’autres fins d’analyse, collecter des données en introduisant auprès d’entités publiques et non publiques des demandes d’informations ou de renseignements
(...)
»
Article 21 de la loi sur la police fédérale (
Bundespolizeigesetz
)
«
1)
La police fédérale peut, sauf disposition contraire visée au présent chapitre, collecter des données à caractère personnel dans la mesure nécessaire à l’accomplissement de ses tâches.
2)
Aux fins de la prévention des infractions pénales, la collecte de données à caractère personnel est autorisée dès lors que les faits étayent l’hypothèse selon laquelle
:
1.
une personne va commettre une infraction pénale grave au sens de l’article 12 §
1 et les informations demandées sont nécessaires à la prévention de l’acte en question
; ou
2.
une personne est ou sera en contact avec une personne visée au point 1, dès lors que la mesure en question devrait permettre de prévenir la commission d’une infraction pénale visée au point 1 et que la prévention de pareil acte d’une autre manière serait impossible ou fortement entravée.
»
34.
Des dispositions similaires à l’article 21 de la loi fédérale sur la police existent pour les forces de police des
Länder
, lesquelles sont en outre autorisées à collecter des données à caractère personnel dans la mesure nécessaire à la prévention des menaces et à la protection des droits d’autrui.
35.
En vertu des articles 7 et 27 de la loi sur le service allemand des enquêtes douanières, l’office chargé des enquêtes pénales douanières et les offices chargés des enquêtes douanières sont autorisés à collecter des données à caractère personnel dans la mesure nécessaire à l’accomplissement de leurs tâches. En outre, les services des douanes peuvent collecter des informations en application de l’article 163 du code de procédure pénale (paragraphe 32 ci-dessus) lorsqu’ils enquêtent sur des faits de travail non déclaré.
36.
Les offices chargés au niveau des
Länder
et au niveau fédéral de la protection de la Constitution peuvent demander à obtenir des données conservées en application de l’article 111 de la loi sur les télécommunications dans la mesure où les données en question sont nécessaires à l’accomplissement de leurs tâches et où leur collecte n’est pas interdite par la loi fédérale sur la protection des données.
37.
En vertu de l’article 4 de la loi sur l’Office du contre-espionnage militaire, l’Office du contre-espionnage militaire peut collecter les informations nécessaires à l’accomplissement de ses tâches, sauf aux fins de l’appréciation de la sécurité des bureaux et installations relevant de l’administration du ministère de la Défense, des forces alliées ou des quartiers généraux militaires internationaux.
38.
Dès lors que des données conservées en application de l’article 111 de la loi sur les télécommunications lui sont nécessaires et que leur communication n’est pas interdite par la loi fédérale sur la protection des données, le Service fédéral du renseignement peut, en vertu de l’article 2 §
1 de la loi sur le Service fédéral du renseignement, demander à obtenir les données en question afin
:
–
de protéger son personnel, ses installations et ses sources contre les menaces pour la sécurité et les activités des services secrets
;
–
d’habiliter ses agents en poste ou ses futurs agents
;
–
de vérifier les informations entrantes nécessaires à l’accomplissement de ses tâches.
D.
Base légale des demandes d’informations introduites par le biais de la procédure manuelle visée à l’article 113 de la loi sur les télécommunications
39.
En raison des critiques formulées par la Cour constitutionnelle fédérale à l’égard de l’article 113 § 1 de la loi sur les télécommunications (paragraphes 12 et 20-21 ci-dessus), plusieurs nouvelles dispositions réglementant la récupération de données par les autorités dans le cadre de la procédure manuelle prévue à l’article 113 furent introduites en juin 2013, postérieurement à l’introduction de la présente requête.
40.
Les demandes d’informations introduites par le parquet et la police relevèrent alors de l’article 100j du code de procédure pénale, qui se lit ainsi en ses parties pertinentes en l’espèce
:
«
1.
Dans la mesure nécessaire à l’établissement des faits ou à la localisation d’un accusé, des informations sur les données collectées en vertu des articles 95 et 111 de la loi sur les télécommunications peuvent être demandées à toute personne fournissant à titre commercial des services de télécommunications ou une assistance aux fins de la fourniture de pareils services (article 113 § 1, phrase 1, de la loi sur les télécommunications).
(...)
5.
Saisie d’une demande d’informations en application du paragraphe 1 ou 2, toute personne fournissant à titre commercial des services de télécommunications ou une assistance aux fins de la fourniture de pareils services transmet sans délai les données requises aux fins de la fourniture des informations. (...)
»
Des dispositions analogues furent adoptées pour la police fédérale, l’Office fédéral de la police judiciaire et le Service des enquêtes douanières.
41.
En vertu de l’article 8d de la loi fédérale sur la protection de la Constitution (
Bundesverfassungsschutzgesetz
), qui se lit comme suit en ses parties pertinentes, l’Office fédéral de protection de la Constitution est autorisé à demander aux fournisseurs de services les données collectées en application de l’article 111 de la loi sur les télécommunications
:
«
Dans la mesure nécessaire à l’accomplissement de ses tâches, l’Office fédéral de protection de la Constitution peut demander des informations sur les données collectées en vertu des articles 95 et 111 de la loi sur les télécommunications à toute personne fournissant à titre commercial des services de télécommunications ou une assistance aux fins de la fourniture de pareils services (article 113 § 1, phrase 1, de la loi sur les télécommunications). (...).
»
Des dispositions similaires furent introduites pour les offices de protection de la Constitution au niveau des
Länder
. De plus, la base légale des demandes d’informations introduites en application de la procédure manuelle par l’Office du contre-espionnage militaire et le Service fédéral du renseignement renvoie à l’article 8d de la loi fédérale sur la protection de la Constitution.
E.
Contrôle
juridictionnel des mesures d’enquête
42.
En vertu de l’article 98 § 2 du code de procédure pénale, une personne ayant fait l’objet d’une saisie sans intervention judiciaire peut à tout moment solliciter une décision judiciaire.
43.
Conformément à la jurisprudence constante de la Cour fédérale de justice (voir, par exemple, l’affaire n
o
5 ARs (VS) 1/97, 5 août 1998), une application analogue de l’article 98 § 2 du code de procédure pénale offre la possibilité d’un contrôle juridictionnel de toute mesure d’instruction prise par un procureur dès lors que la mesure en question constitue une atteinte grave aux droits fondamentaux de la personne concernée.
F.
La loi sur la protection
des données
44.
Les parties pertinentes en l’espèce de la loi fédérale sur la protection des données (
Bundesdatenschutzgesetz
), telle qu’en vigueur jusqu’au 24
mai 2018, sont ainsi libellées
:
Article 1 –
Objet et champ d’application
«
1)
La présente loi a pour objet de protéger les individus contre les atteintes à leur droit à la vie privée qui résultent du traitement de données à caractère personnel les concernant.
2)
La présente loi s’applique à la collecte, au traitement et à l’utilisation de données à caractère personnel par
:
1.
les organes publics de la Fédération,
2.
les organes publics des
Länder
, lorsque la protection des données n’est pas couverte par la législation des
Länder
et lorsque les
Länder
a)
exécutent la loi fédérale
, ou
b)
agissent en tant qu’organes judiciaires, en l’absence de considérations d’ordre administratif,
(...)
3)
Lorsque d’autres lois fédérales s’appliquent aux données à caractère personnel et à leur publication, elles priment les dispositions de la présente loi. L’obligation de respecter les obligations légales de confidentialité, de secret professionnel ou de secret de fonction non fondées sur la loi n’est pas affectée
.
»
Article 2 – Organes publics et privés
«
1)
On entend par «
organes publics de la Fédération
» les autorités, organes judiciaires et autres institutions de droit public de la Fédération, les sociétés, institutions et fondations fédérales directes de droit public, ainsi que leurs associations, indépendamment de leur forme juridique. (...)
»
Article 3a –
Réduction et économie de données
«
Les données à caractère personnel sont collectées, traitées et utilisées, et les systèmes de traitement des données choisis et organisés, dans le respect de l’objectif visant à limiter au maximum la collecte, le traitement et l’utilisation de données à caractère personnel. En particulier, les données à caractère personnel sont anonymisées ou le nom de l’intéressé est remplacé par un alias, si les finalités pour lesquelles les données sont collectées et/ou traitées ultérieurement le permettent, et si l’effort requis n’est pas disproportionné au but de protection recherché.
»
Article 4 –
Licéité de la collecte, du traitement et de l’utilisation des données
«
1)
La collecte, le traitement et l’utilisation de données à caractère personnel ne sont licites que si la présente loi ou une autre loi permet ou exige pareille mesure, ou si la personne concernée y a consenti.
2)
Les données à caractère personnel sont collectées auprès de la personne concernée. Elles ne peuvent être collectées sans la participation de la personne concernée que
dans les cas suivants
:
1.
leur collecte est autorisée ou requise par la loi,
ou
2.
a)
elles doivent être collectées auprès d’autres personnes ou organes en raison de la nature de la tâche administrative à accomplir ou du but commercial visé,
ou
b)
leur collecte auprès de la personne concernée nécessiterait des efforts disproportionnés et rien n’indique que des intérêts légitimes prépondérants de la personne concernée seraient lésés.
»
Article 13 – Collecte de données
«
1)
La collecte de données à caractère personnel est licite dès lors que le responsable du traitement de ces données a besoin de connaître lesdites données aux fins de l’exercice de ses fonctions.
1a)
Si des données à caractère personnel sont collectées auprès d’un organisme privé plutôt qu’auprès de la personne concernée, cet organisme est informé de la disposition légale en vertu de laquelle la communication d’informations est exigée ou du caractère volontaire de cette démarche.
»
Article 19 – Accès aux données
«
1)
Sur demande, toute personne concernée reçoit des informations sur
:
1.
les données enregistrées la concernant, notamment des informations relatives à la source des données,
2.
les destinataires ou catégories de destinataires auxquels les données sont transmises, et
3.
la finalité de l’enregistrement des données.
La demande doit préciser le type de données à caractère personnel à propos desquelles les informations doivent être fournies.
Si les données à caractère personnel ne sont enregistrées ni dans un système automatisé, ni dans un système de classement non automatisé, ces informations ne sont communiquées que si la personne concernée fournit des éléments permettant de localiser les données en question et si l’effort requis n’est pas disproportionné par rapport à l’intérêt qu’a la personne concernée à connaître les informations en question.
Le responsable du traitement détermine avec toute la discrétion requise les modalités de communication de ces informations, et notamment la forme sous laquelle elles sont communiquées.
2)
Le paragraphe 1 ne s’applique pas aux données à caractère personnel qui sont enregistrées uniquement parce qu’elles ne peuvent pas être effacées en raison de dispositions légales, réglementaires ou contractuelles relatives à la conservation des données, ou uniquement à des fins de contrôle de la protection des données ou de sauvegarde des données, dès lors que communiquer les informations en question nécessiterait un effort disproportionné.
3)
Si une demande d’informations concerne le transfert de données à caractère personnel à des autorités chargées de la protection de la Constitution, au Service fédéral du renseignement, au Service du contre-espionnage militaire et, dès lors que la sécurité de la Fédération est en jeu, à d’autres services du ministère fédéral de la Défense, la communication d’informations dans ce cadre n’est licite que si elle est faite avec l’accord des organes concernés.
4)
Les informations demandées ne sont pas fournies dans les cas suivants
:
1.
leur communication compromettrait la bonne exécution des tâches incombant au responsable du traitement,
2.
leur communication menacerait la sécurité publique ou l’ordre public, ou porterait préjudice de toute autre manière à la Fédération ou à un
Land
, o
u
3.
les données ou leur enregistrement, notamment eu égard aux intérêts légitimes supérieurs d’un tiers, doivent rester secrets en vertu de la loi ou du fait de la nature des données, et l’intérêt de la personne concernée à obtenir des informations en question ne doit donc pas primer.
5)
Il n’est pas nécessaire de motiver un refus de fournir des informations si le fait d’indiquer les motifs concrets et légaux de ce refus risque de compromettre la finalité pour laquelle la demande est refusée. En pareil cas, la personne concernée doit être informée de la possibilité qui lui est offerte de prendre contact avec le Commissaire fédéral à la protection des données et au droit à l’information.
6)
Si elles ne sont pas communiquées à la personne concernée, et si la personne concernée en fait la demande, les informations demandées sont communiquées au Commissaire fédéral à la protection des données et au droit à l’information, à moins que l’autorité fédérale suprême compétente ne constate que dans le cas en question, pareille mesure menacerait la sécurité de la Fédération ou d’un
Land
. Les informations fournies par le Commissaire fédéral à la personne concernée ne peuvent donner aucune indication quant aux éléments à la disposition du responsable du traitement, à moins que celui-ci n’y ait consenti
.
7)
Les informations sont fournies gratuitement.
»
Article 19a – Notification
«
1)
Si des données sont collectées à l’insu de la personne concernée, celle-ci est informée de cette collecte, de l’identité du responsable du traitement et des buts visés par la collecte, le traitement ou l’utilisation des données. La personne concernée est également informée des destinataires ou des catégories de destinataires, sauf dans les cas où elle doit s’attendre à un transfert aux destinataires en question. Si un transfert est prévu, la personne concernée en est informée au plus tard au moment du premier transfert.
2)
La personne concernée n’a pas à être notifiée dans les cas suivants
:
1.
elle dispose déjà des informations en question,
2.
l’informer nécessiterait un effort disproportionné
, ou
3.
l’enregistrement ou le transfert de données à caractère personnel sont expressément prévus par la loi.
Le responsable du traitement précise par écrit les conditions en vertu desquelles la notification n’a pas à être effectuée conformément aux points 2 ou 3 ci-dessus
.
3)
L’article 19 §§ 2 à 4 s’applique en conséquence.
»
Article 21 – Recours auprès du Commissaire fédéral à la protection des
données et au droit à l’information
«
Quiconque s’estime victime d’une atteinte à ses droits du fait de la collecte, du traitement ou de l’utilisation de données à caractère personnel le concernant par des organes publics de la Fédération peut saisir le Commissaire fédéral chargé de la protection des données et de la liberté d’information.
La présente disposition s’applique à la collecte, au traitement ou à l’utilisation de données à caractère personnel par des juridictions fédérales dans les seuls cas où les juridictions en question traitent d’affaires relevant du domaine administratif
.
»
Article 24 – Contrôle par le
Commissaire fédéral à la protection des
données et au droit à l’information
«
1)
Le Commissaire fédéral à la protection des données et au droit à l’information contrôle le respect par les organes publics de la Fédération des dispositions de la présente loi et des autres dispositions relatives à la protection des données.
2)
Le contrôle exercé par le Commissaire fédéral s’étend également
:
1.
aux données à caractère personnel obtenues par des organes publics de la Fédération concernant la teneur de communications postales et de télécommunications, ainsi que les circonstances particulières ayant entouré les communications en question,
et
2.
les données à caractère personnel relevant du secret professionnel ou du secret de fonction, notamment du secret fiscal en vertu de l’article 30 du code fiscal allemand. (...)
»
45.
Des dispositions similaires existaient dans les
Länder.
Ceux-ci disposent en outre de leur propre commissaire à la protection des données, dont la mission est de contrôler le respect par les autorités des
Länder
des lois sur la protection des données.
III.
A.
La Charte des droits fondamentaux de l’Union européenne
46.
Les articles 7 et 8 de la Charte sont ainsi libellés
:
Article 7 – Respect de la vie privée et familiale
«
Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications.
»
Article 8 – Protection des données à caractère personnel
«
1.
Toute personne a droit à la protection des données à caractère personnel la concernant.
2.
Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi.
Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.
3.
Le respect de ces règles est soumis au contrôle d’une autorité indépendante.
»
B.
la réglementation de l’Union européenne relative à la protection des données
47.
La directive vie privée et communications électroniques (Directive 2002/58/CE du Parlement européen et du Conseil concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques), adoptée le 12 juillet 2002, est ainsi libellée dans ses considérants 2 et
11
:
«
2)
La présente directive vise à respecter les droits fondamentaux et observe les principes reconnus notamment par la Charte des droits fondamentaux de l’Union européenne.
En particulier, elle vise à garantir le plein respect des droits exposés aux articles 7 et 8 de cette charte.
(...)
11)
À l’instar de la directive 95/46/CE, la présente directive ne traite pas des questions de protection des droits et libertés fondamentaux liées à des activités qui ne sont pas régies par le droit communautaire.
Elle ne modifie donc pas l’équilibre existant entre le droit des personnes à une vie privée et la possibilité dont disposent les États membres de prendre des mesures telles que celles visées à l’article 15, paragraphe 1, de la présente directive, nécessaires pour la protection de la sécurité publique, de la défense, de la sûreté de l’État (y compris la prospérité économique de l’État lorsqu’il s’agit d’activités liées à la sûreté de l’État) et de l’application du droit pénal.
Par conséquent, la présente directive ne porte pas atteinte à la faculté des États membres de procéder aux interceptions légales des communications électroniques ou d’arrêter d’autres mesures si cela s’avère nécessaire pour atteindre l’un quelconque des buts précités, dans le respect de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, telle qu’interprétée par la Cour européenne des droits de l’homme dans ses arrêts.
Lesdites mesures doivent être appropriées, rigoureusement proportionnées au but poursuivi et nécessaires dans une société démocratique. Elles devraient également être subordonnées à des garanties appropriées, dans le respect de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.
»
48.
Les dispositions pertinentes de cette directive se lisent par ailleurs comme suit
:
Article 1 – Champ d’application et objectif
«
1.
La présente directive harmonise les dispositions des États membres nécessaires pour assurer un niveau équivalent de protection des droits et libertés fondamentaux, et en particulier du droit à la vie privée, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et des services de communications électroniques dans la Communauté.
2.
Les dispositions de la présente directive précisent et complètent la directive
95/46/CE aux fins énoncées au paragraphe 1.
En outre, elles prévoient la protection des intérêts légitimes des abonnés qui sont des personnes morales.
3.
La présente directive ne s’applique pas aux activités qui ne relèvent pas du traité instituant la Communauté européenne, telles que celles visées dans les titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux activités concernant la sécurité publique, la défense, la sûreté de l’État (y compris la prospérité économique de l’État lorsqu’il s’agit d’activités liées à la sûreté de l’État) ou aux activités de l’État dans des domaines relevant du droit pénal.
»
Article 15 – Application de certaines dispositions de la directive 95/46/CE
«
1.
Les États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l’article 8, paragraphes
1, 2, 3 et 4, et à l’article 9 de la présente directive lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe
1, de la directive 95/46/CE.
À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe.
Toutes les mesures visées dans le présent paragraphe sont prises dans le respect des principes généraux du droit communautaire, y compris ceux visés à l’article 6, paragraphes 1 et
2, du traité sur l’Union européenne.
»
49
.
Le 15 mars 2006, la directive sur la conservation des données (Directive 2006/24/CE du Parlement européen et du Conseil de l’Union européenne sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE) a été adoptée.
En ses passages pertinents, elle était ainsi libellée
:
Article 1 - Objet et champ d’application
«
1.
La présente directive a pour objectif d’harmoniser les dispositions des États membres relatives aux obligations des fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications en matière de conservation de certaines données qui sont générées ou traitées par ces fournisseurs, en vue de garantir la disponibilité de ces données à des fins de recherche, de détection et de poursuite d’infractions graves telles qu’elles sont définies par chaque État membre dans son droit interne.
2.
La présente directive s’applique aux données relatives au trafic et aux données de localisation concernant tant les entités juridiques que les personnes physiques, ainsi qu’aux données connexes nécessaires pour identifier l’abonné ou l’utilisateur enregistré.
Elle ne s’applique pas au contenu des communications électroniques, notamment aux informations consultées en utilisant un réseau de communications électroniques.
»
Article 3 – Obligation de conservation de données
«
Par dérogation aux articles
5, 6 et
9 de la directive
2002/58/CE, les États membres prennent les mesures nécessaires pour que les données visées à l’article
5 de la présente directive soient conservées, conformément aux dispositions de cette dernière, dans la mesure où elles sont générées ou traitées dans le cadre de la fourniture des services de communication concernés par des fournisseurs de services de communications électroniques accessibles au public ou d’un réseau public de communications, lorsque ces fournisseurs sont dans leur ressort.
»
50
.
En substance, la directive établissait pour les fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications l’obligation de conserver l’ensemble des données relatives au trafic et des données de localisation pour une durée comprise entre six mois et deux ans afin de faire en sorte que ces données soient disponibles aux fins de la recherche, de la détection et de la poursuite d’infractions graves telles que définies par chaque État membre dans son droit interne
.
En vertu de cette obligation, les États membres devaient, notamment, veiller à ce que soient conservées les données nécessaires pour retrouver et identifier la source et la destination d’une communication, c’est-à-dire le numéro de téléphone de l’appelant ainsi que le nom et l’adresse de l’abonné ou de l’utilisateur inscrit (article 5 § 1 a) et b)).
C.
La jurisprudence pertinente de la Cour de justice de l’Union européenne
51.
Dans l’arrêt qu’elle adopta le 8 avril 2014 dans l’affaire
Digital Rights Ireland
et
Seitlinger et autres
(affaires jointes C-293/12 et C-594/12, EU:C:2014:238), la Cour de justice de l’Union européenne («
la CJUE
») déclara nulle la directive sur la conservation de données (paragraphes 49-50 ci-dessus).
52.
La CJUE développa sa jurisprudence sur les
droits numériques
dans l’affaire
Tele2 Sverige
et
Tom Watson
et autres
(arrêt du 21
décembre 2016, affaires jointes C-203/15 et C-698/15, EU:C:2016:970).
Elle s’exprima notamment comme suit (les références à d’autres arrêts de la CJUE ont été omises dans la citation ci-dessous)
:
«
103.
(...) si l’efficacité de la lutte contre la criminalité grave, notamment contre la criminalité organisée et le terrorisme, peut dépendre dans une large mesure de l’utilisation des techniques modernes d’enquête, un tel objectif d’intérêt général, pour fondamental qu’il soit, ne saurait à lui seul justifier qu’une réglementation nationale prévoyant la conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation soit considérée comme nécessaire aux fins de ladite lutte
(...)
104
.
À cet égard, il convient de relever, d’une part, qu’une telle réglementation a pour effet, eu égard à ses caractéristiques décrites au point
97 du présent arrêt, que la conservation des données relatives au trafic et des données de localisation est la règle, alors que le système mis en place par la directive 2002/58 exige que cette conservation des données soit l’exception.
105.
D’autre part, une réglementation nationale telle que celle en cause au principal, qui couvre de manière généralisée tous les abonnés et utilisateurs inscrits et vise tous les moyens de communication électronique ainsi que l’ensemble des données relatives au trafic, ne prévoit aucune différenciation, limitation ou exception en fonction de l’objectif poursuivi. Elle concerne de manière globale l’ensemble des personnes faisant usage de services de communications électroniques, sans que ces personnes se trouvent, même indirectement, dans une situation susceptible de donner lieu à des poursuites pénales. Elle s’applique donc même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions pénales graves. En outre, elle ne prévoit aucune exception, de telle sorte qu’elle s’applique même à des personnes dont les communications sont soumises, selon les règles du droit national, au secret professionnel (...).
106.
Une telle réglementation ne requiert aucune relation entre les données dont la conservation est prévue et une menace pour la sécurité publique. Notamment, elle n’est pas limitée à une conservation portant soit sur des données afférentes à une période temporelle et/ou une zone géographique et/ou sur un cercle de personnes susceptibles d’être mêlées d’une manière ou d’une autre à une infraction grave, soit sur des personnes qui pourraient, pour d’autres motifs, contribuer, par la conservation de leurs données, à la lutte contre la criminalité (...).
107.
Une réglementation nationale telle que celle en cause au principal excède donc les limites du strict nécessaire et ne saurait être considérée comme étant justifiée, dans une société démocratique, ainsi que l’exige l’article
15, paragraphe
1, de la directive 2002/58, lu à la lumière des articles
7, 8 et
11 ainsi que de l’article
52, paragraphe
1, de la Charte.
108.
En revanche, l’article
15, paragraphe
1, de la directive 2002/58, lu à la lumière des articles
7, 8 et
11 ainsi que de l’article
52, paragraphe
1, de la Charte, ne s’oppose pas à ce qu’un État membre adopte une réglementation permettant, par mesure de précaution, la conservation ciblée des données relatives au trafic et des données de localisation, à des fins de lutte contre la criminalité grave, à condition que la conservation des données soit, en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue, limitée au strict nécessaire.
109.
Pour satisfaire aux exigences énoncées au point précédent du présent arrêt, cette réglementation nationale doit, en premier lieu, prévoir des règles claires et précises régissant la portée et l’application d’une telle mesure de conservation des données et imposant un minimum d’exigences, de telle sorte que les personnes dont les données ont été conservées disposent de garanties suffisantes permettant de protéger efficacement leurs données à caractère personnel contre les risques d’abus. Elle doit en particulier indiquer en quelles circonstances et sous quelles conditions une mesure de conservation des données peut, à titre préventif, être prise, garantissant ainsi qu’une telle mesure soit limitée au strict nécessaire (...).
110.
En second lieu, s’agissant des conditions matérielles auxquelles doit satisfaire une réglementation nationale permettant, dans le cadre de la lutte contre la criminalité, la conservation, à titre préventif, des données relatives au trafic et des données de localisation, afin de garantir qu’elle soit limitée au strict nécessaire, il convient de relever que, si ces conditions peuvent varier en fonction des mesures prises aux fins de la prévention, de la recherche, de la détection et de la poursuite de la criminalité grave, la conservation des données n’en doit pas moins toujours répondre à des critères objectifs, établissant un rapport entre les données à conserver et l’objectif poursuivi. En particulier, de telles conditions doivent s’avérer, en pratique, de nature à délimiter effectivement l’ampleur de la mesure et, par suite, le public concerné.
111.
S’agissant de la délimitation d’une telle mesure quant au public et aux situations potentiellement concernés, la réglementation nationale doit être fondée sur des éléments objectifs permettant de viser un public dont les données sont susceptibles de révéler un lien, au moins indirect, avec des actes de criminalité grave, de contribuer d’une manière ou d’une autre à la lutte contre la criminalité grave ou de prévenir un risque grave pour la sécurité publique. (...).
»
53.
À la suite de cet arrêt, les juridictions nationales de plusieurs États membres sollicitèrent de la CJUE qu’elle rendît une décision préjudicielle pour clarifier la portée et les effets de l’arrêt
Tele2 Sverige
.
Deux de ces affaires sont toujours pendantes (
Privacy International
, C-623/17, et
Ordre des barreaux francophones et germanophone, Académie Fiscale ASBL, UA, Liga voor Mensenrechten ASBL, Ligue des Droits de l’Homme ASBL, VZ, WY, XX
, C
‑
520/18).
54.
Dans une troisième affaire,
Ministerio Fiscal
(arrêt du 2 octobre 2018, C
‑
207/16, EU:C:2018:788), la CJUE fut interrogée sur la question de savoir si l’article 15, paragraphe 1, de la directive sur la conservation des données, lu à la lumière des articles
7 et
8 de la Charte des droits fondamentaux, devait être interprété en ce sens que l’accès d’autorités publiques aux données visant à l’identification des titulaires des cartes SIM activées avec un téléphone mobile volé, telles que les nom, prénom et, le cas échéant, adresse de ces titulaires, comporte une ingérence dans les droits fondamentaux de ces derniers, consacrés à ces articles de la Charte, qui présente une gravité telle que cet accès devrait être limité, en matière de prévention, de recherche, de détection et de poursuite d’infractions pénales, à la lutte contre la criminalité grave et, dans l’affirmative, à l’aune de quels critères la gravité de l’infraction en cause devait être appréciée.
55.
Dans son arrêt du 2 octobre 2018, la CJUE s’exprima comme suit (les références à d’autres arrêts de la CJUE ont été omises dans la citation ci-dessous)
:
«
51.
Quant à l’existence d’une ingérence dans ces droits fondamentaux, il y a lieu de rappeler que, comme l’a relevé M.
l’avocat général aux points
76 et 77 de ses conclusions, l’accès des autorités publiques à de telles données est constitutif d’une ingérence dans le droit fondamental au respect de la vie privée, consacré à l’article
7 de la Charte, même en l’absence de circonstances permettant de qualifier cette ingérence de «
grave
» et sans qu’il importe que les informations relatives à la vie privée concernées présentent ou non un caractère sensible ou que les intéressés aient ou non subi d’éventuels inconvénients en raison de ladite ingérence. Un tel accès constitue également une ingérence dans le droit fondamental à la protection des données à caractère personnel garanti à l’article
8 de la Charte, puisqu’il constitue un traitement de données à caractère personnel.
(...)
56.
En effet, conformément au principe de proportionnalité, une ingérence grave ne peut être justifiée, en matière de prévention, de recherche, de détection et de poursuite d’infractions pénales, que par un objectif de lutte contre la criminalité devant également être qualifiée de «
grave
».
57.
En revanche, lorsque l’ingérence que comporte un tel accès n’est pas grave, ledit accès est susceptible d’être justifié par un objectif de prévention, de recherche, de détection et de poursuite d’«
infractions pénales
» en général.
58.
Il convient donc, avant tout, de déterminer si, en l’occurrence, en fonction des circonstances de l’espèce, l’ingérence dans les droits fondamentaux consacrés aux articles
7 et 8 de la Charte qu’un accès de la police judiciaire aux données en cause au principal comporterait doit être considérée comme étant «
grave
».
59.
À cet égard, la demande en cause au principal par laquelle la police judiciaire sollicite, pour les besoins d’une enquête pénale, l’autorisation judiciaire d’accéder à des données à caractère personnel conservées par des fournisseurs de services de communications électroniques, a pour seul objet d’identifier les titulaires des cartes SIM activées, pendant une période de douze jours, avec le code IMEI du téléphone mobile volé. Ainsi qu’il a été relevé au point
40 du présent arrêt, cette demande vise l’accès aux seuls numéros de téléphone correspondant à ces cartes SIM ainsi qu’aux données relatives à l’identité civile des titulaires desdites cartes, telles que leurs nom, prénom et, le cas échéant, adresse. En revanche, ces données ne portent pas, comme l’ont confirmé tant le gouvernement espagnol que le ministère public lors de l’audience, sur les communications effectuées avec le téléphone mobile volé ni sur la localisation de celui-ci.
60.
Il apparaît donc que les données visées par la demande d’accès en cause au principal permettent uniquement de mettre en relation, pendant une période déterminée, la ou les cartes SIM activées avec le téléphone mobile volé avec l’identité civile des titulaires de ces cartes SIM. Sans un recoupement avec les données afférentes aux communications effectuées avec lesdites cartes SIM et les données de localisation, ces données ne permettent de connaître ni la date, l’heure, la durée et les destinataires des communications effectuées avec la ou les cartes SIM en cause, ni les endroits où ces communications ont eu lieu ou la fréquence de celles-ci avec certaines personnes pendant une période donnée. Lesdites données ne permettent donc pas de tirer de conclusions précises concernant la vie privée des personnes dont les données sont concernées.
61.
Dans ces conditions, l’accès aux seules données visées par la demande en cause au principal ne saurait être qualifié d’ingérence «
grave
» dans les droits fondamentaux des personnes dont les données sont concernées.
»
IV.
X
56.
Dans le rapport qu’il présenta au Conseil des droits de l’homme et qui portait sur le recours au chiffrement et à l’anonymat aux fins de l’exercice du droit à la liberté d’opinion et d’expression à l’ère du numérique, le Rapporteur spécial sur la promotion et la protection du droit à la liberté d’opinion et d’expression, David Kaye, formula les recommandations suivantes (A/HRC/29/32, 22 May 2015, § 60):
«
Les États ne devraient pas imposer de restrictions au chiffrement et à l’anonymat, qui facilitent et, souvent, rendent possible l’exercice des droits à la liberté d’opinion et d’expression. Les interdictions généralisées ne sont ni nécessaires ni proportionnées. (...)
[L]es États devraient éviter de subordonner l’accès aux communications numériques et aux services en ligne à l’identification des utilisateurs et d’exiger des utilisateurs de téléphones portables qu’ils enregistrent leur carte SIM.
»
57.
La Convention du Conseil de l’Europe de 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (la «
Convention sur la protection des données), qui fut ratifiée par tous les États membres du Conseil de l’Europe et entra en vigueur en Allemagne le 1
er
octobre 1985, formule plusieurs principes fondamentaux en matière de collecte et de traitement des données à caractère personnel.
Aux termes de son article premier, elle a pour but de garantir à toute personne physique le respect de ses droits et libertés fondamentales, et notamment de son droit à la vie privée, à l’égard du traitement automatisé des données à caractère personnel la concernant.
Elle renferme les principes fondamentaux suivants
:
Article 2 – Définitions
«
Aux fins de la présente Convention
:
a
«
données à caractère personnel
» signifie
: toute information concernant une personne physique identifiée ou identifiable («
personne concernée
»)
;
b
«
fichier automatisé
» signifie
: tout ensemble d’informations faisant l’objet d’un traitement automatisé
;
c
«
traitement automatisé
» s’entend des opérations suivantes effectuées en totalité ou en partie à l’aide de procédés automatisés
: enregistrement des données, application à ces données d’opérations logiques et/ou arithmétiques, leur modification, effacement, extraction ou diffusion
;
(...)
»
Article 5 – Qualité des données
«
Les données à caractère personnel faisant l’objet d’un traitement automatisé sont
:
a
obtenues et traitées loyalement et licitement
;
b
enregistrées pour des finalités déterminées et légitimes et ne sont pas utilisées de manière incompatible avec ces finalités
;
c
adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées
;
d
exactes et si nécessaire mises à jour
;
e
conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées.
»
Article 7 – Sécurité des données
«
Des mesures de sécurité appropriées sont prises pour la protection des données à caractère personnel enregistrées dans des fichiers automatisés contre la destruction accidentelle ou non autorisée, ou la perte accidentelle, ainsi que contre l’accès, la modification ou la diffusion non autorisés
.
»
Article 8 – Garanties complémentaires pour la personne concernée
«
Toute personne doit pouvoir
:
a
connaître l’existence d’un fichier automatisé de données à caractère personnel, ses finalités principales, ainsi que l’identité et la résidence habituelle ou le principal établissement du maître du fichier
;
b
obtenir à des intervalles raisonnables et sans délais ou frais excessifs la confirmation de l’existence ou non dans le fichier automatisé, de données à caractère personnel la concernant ainsi que la communication de ces données sous une forme intelligible
;
c
obtenir, le cas éché