Dans un arrêt fleuve du 6 octobre 2020, la Cour de justice de l‘Union européenne a jugé le droit de l’Union, dont l’article 15-1 de la directive vie privée et communications électroniques, s’oppose à une réglementation nationale imposant à un fournisseur de services de communications électroniques la transmission ou la conservation généralisée et indifférenciée de données relatives au trafic et à la localisation des personnes, à des fins de lutte contre les infractions en général ou de sauvegarde de la sécurité nationale. Toutefois elle ne l’exclut pas dans certaines conditions très précises, « dès lors que ces mesures assurent, par des règles claires et précises, que la conservation des données en cause est subordonnée au respect des conditions matérielles et procédurales y afférentes et que les personnes concernées disposent de garanties effectives contre les risques d’abus ». Ainsi aux fins de la sauvegarde de la sécurité nationale, une législation nationale peut autoriser « le recours à une injonction faite aux fournisseurs de services de communications électroniques de procéder à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, dans des situations où l’État membre concerné fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, la décision prévoyant cette injonction pouvant faire l’objet d’un contrôle effectif, soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, visant à vérifier l’existence d’une de ces situations ainsi que le respect des conditions et des garanties devant être prévues, et ladite injonction ne pouvant être émise que pour une période temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de cette menace ».
De même, pour la lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique, un Etat peut envisager « une conservation ciblée des données relatives au trafic et des données de localisation qui soit délimitée, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique, pour une période temporellement limitée au strict nécessaire, mais renouvelable ». En matière de lutte contre la criminalité grave et de prévention des menaces graves contre la sécurité publique, on peut prévoir « une conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion, pour une période temporellement limitée au strict nécessaire ». Et pour la lutte contre la criminalité et la sauvegarde de la sécurité publique, « une conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs de moyens de communications électroniques » est possible. Enfin pour permettre la lutte contre la criminalité grave et, a fortiori, de la sauvegarde de la sécurité nationale, le droit européen ne s’oppose pas au « recours à une injonction faite aux fournisseurs de services de communications électroniques, par le biais d’une décision de l’autorité compétente soumise à un contrôle juridictionnel effectif, de procéder, pour une durée déterminée, à la conservation rapide des données relatives au trafic et des données de localisation dont disposent ces fournisseurs de services ».
La Cour s’est également prononcée sur les données de localisation des personnes. Selon elle, l’article 15-1 de la directive vie privée et communications électroniques ne s’oppose pas à une réglementation nationale imposant aux fournisseurs de services de communications électroniques de recourir, d’une part, à l’analyse automatisée ainsi qu’au recueil en temps réel, notamment, des données relatives au trafic et des données de localisation et, d’autre part, au recueil en temps réel des données techniques relatives à la localisation des équipements terminaux utilisés. Toutefois ces mesures sont seulement possibles lorsque « le recours à l’analyse automatisée est limité à des situations dans lesquelles un État membre se trouve confronté à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, le recours à cette analyse pouvant faire l’objet d’un contrôle effectif, soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, visant à vérifier l’existence d’une situation justifiant ladite mesure ainsi que le respect des conditions et des garanties devant être prévues, et que le recours à un recueil en temps réel des données relatives au trafic et des données de localisation est limité aux personnes à l’égard desquelles il existe une raison valable de soupçonner qu’elles sont impliquées d’une manière ou d’une autre dans des activités de terrorisme et est soumis à un contrôle préalable, effectué, soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, afin de s’assurer qu’un tel recueil en temps réel n’est autorisé que dans la limite de ce qui est strictement nécessaire. En cas d’urgence dûment justifiée, le contrôle doit intervenir dans de brefs délais ».