« L’accès d’autorités publiques aux données visant à l’identification des titulaires des cartes SIM activées avec un téléphone mobile volé, telles que les nom, prénom et, le cas échéant, adresse de ces titulaires, comporte une ingérence dans les droits fondamentaux de ces derniers, consacrés à ces articles [7 et 8] de la charte des droits fondamentaux, qui ne présente pas une gravité telle que cet accès devrait être limité, en matière de prévention, de recherche, de détection et de poursuite d’infractions pénales, à la lutte contre la criminalité grave », a précisé la Cour de justice de l’Union européenne dans un arrêt du 2 octobre 2018. Mais dans la mesure où les données visées par la demande d’accès de la police ne permettaient pas de tirer de conclusions précises concernant la vie privée des personnes dont les données sont concernées, la demande en cause ne saurait être qualifiée d’ingérence « grave » dans les droits fondamentaux des personnes.
Un homme en Espagne avait déposé une plainte auprès de la police pour vol avec violence, au cours duquel il avait été blessé et dépossédé de son téléphone mobile ainsi que de son portefeuille. Pour son enquête, la police avait saisi le juge d’instruction afin qu’il ordonne à divers fournisseurs de services de communications électroniques la transmission des numéros de téléphone activés pendant les douze jours suivant le vol, avec le code relatif à l’identité internationale d’équipement mobile (code IMEI) du téléphone volé ainsi que les données à caractère personnel relatives à l’identité civile des titulaires ou des utilisateurs des numéros de téléphone correspondant aux cartes SIM activées avec ce code, à savoir les nom, prénom et, le cas échéant l’adresse. Le juge d’instruction a rejeté cette demande au motif que la loi espagnole limitait cette communication de données aux infractions graves, punissables de peines de prison supérieures à cinq ans, donc supérieures aux peines encourues dans cette affaire. Le ministère public a posé une question préjudicielle à la CJUE afin de savoir s’il est « possible de déterminer la gravité suffisante des infractions, en tant que critère justifiant l’atteinte aux droits fondamentaux reconnus aux articles 7 et 8 de la [Charte], uniquement en prenant en considération la peine dont peut être punie l’infraction faisant l’objet d’une enquête ou est-il nécessaire, en outre, d’identifier dans le comportement délictueux un caractère préjudiciable particulier pour des intérêts juridiques individuels ou collectifs ? ». Et si c’est conforme, « quel devrait être le niveau minimal de cette peine ? Un niveau fixé de manière générale à un minimum de trois ans serait-il conforme ? ».
La Cour rappelle que la directive « vie privée et communications électroniques » de 2002 avait énuméré de manière exhaustive des objectifs justifiant un tel accès aux données, dont celui de prévention, de recherche et de poursuites d’infractions pénales. Elle avait toutefois précisé que cet objectif visé pour cet accès devait être en relation avec la gravité de l’ingérence dans les droits fondamentaux que cette opération entraîne. En vertu du principe de proportionnalité, cette ingérence grave doit se justifier par la lutte contre une criminalité qualifiée de grave. Dans cette affaire, la demande d’accès avait pour but d’obtenir les numéros de téléphone correspondant à ces cartes SIM ainsi que les données relatives à l’identité des titulaires des cartes, mais pas les communications effectuées ni la localisation des mobiles. Les données visées par la demande d’accès en cause permettaient uniquement de mettre en relation, pendant une période déterminée, la ou les cartes SIM activées avec le téléphone mobile volé avec l’identité civile des titulaires de ces cartes SIM. Il n’y a donc pas d’ingérence « grave » dans les droits fondamentaux des personnes dont les données sont concernées. « Ainsi qu’il ressort des points 53 à 57 du présent arrêt, l’ingérence que comporterait un accès à de telles données est donc susceptible d’être justifiée par l’objectif de prévention, de recherche, de détection et de poursuite d’« infractions pénales » en général, auquel se réfère l’article 15, paragraphe 1, première phrase, de la directive 2002/58, sans qu’il soit nécessaire que ces infractions soient qualifiées de graves. », a estimé la Cour.