50001/12

CINQUIÈME SECTION AFFAIRE BREYER c. ALLEMAGNE (Requête n o 50001/12) ARRÊT Art 8 • Respect de la vie privée • Obligation légale pour les fournisseurs de services de conserver les données à caractère personnel des utilisateurs de cartes SIM prépayées pour téléphone mobile et de les mettre à la disposition des autorités sur demande • Ingérence concernant un ensemble limité de données • Récupération de données par les autorités accompagnée de garanties adéquates • Conservation litigieuse proportionnée aux buts légitimes que sont la protection de la sécurité nationale et la prévention des infractions pénales STRASBOURG 30 janvier 2020 DÉFINITIF 07/09/2020 Cet arrêt est devenu définitif en vertu de l’article 44 § 2 de la Convention. Il peut subir des retouches de forme. En l’affaire Breyer c. Allemagne, La Cour européenne des droits de l’homme (cinquième section), siégeant en une chambre composée de : Yonko Grozev, président, Angelika Nußberger, Síofra O’Leary, Carlo Ranzoni, Mārtiņš Mits, Lәtif Hüseynov, Lado Chanturia, juges, et de Claudia Westerdiek, greffière de section, Après en avoir délibéré en chambre du conseil le 3 décembre 2019, Rend l’arrêt que voici, adopté à cette date : PROCÉDURE 1. À l’origine de l’affaire se trouve une requête (n o 50001/12) dirigée contre la République fédérale d’Allemagne et dont deux ressortissants de cet État, MM. Patrick Breyer et Jonas Breyer (« les requérants »), ont saisi la Cour le 27 juillet 2012 en vertu de l’article 34 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales (« la Convention »). 2. Le gouvernent allemand (« le Gouvernement ») a été représenté par ses agents, M. H.-J. Behrens et M me K. Behr, du ministère fédéral de la Justice et de la Protection des consommateurs. 3. Invoquant les articles 8 et 10, les requérants se plaignaient de ce que, en tant qu’utilisateurs de cartes SIM prépayées pour téléphone mobile, certaines données à caractère personnel les concernant avaient été stockées par leurs fournisseurs de services respectifs en application de l’obligation légale prévue à l’article 111 de la loi sur les télécommunications. 4. La requête a été communiquée au Gouvernement le 21 mars 2016. 5. Des observations écrites ont été reçues des organisations Privacy International et ARTICLE 19, que le vice-président avait autorisées à intervenir dans la procédure en qualité de tierces parties (articles 36 § 2 de la Convention et 44 § 2 du règlement de la Cour). EN FAIT I. LES CIRCONSTANCES DE L’ESPÈCE A. La genèse de l’affaire 6. Les requérants sont nés respectivement en 1977 et 1982, et ils résident à Wald-Michelbach. Tous deux œuvraient au sein d’une organisation de défense des libertés civiles qui militait contre la conservation généralisée des données de télécommunication. Dans ce cadre, ils organisaient des protestations publiques et publiaient des articles dans lesquels ils dénonçaient une surveillance par l’État. Le premier requérant était également député au Parlement de Schleswig-Holstein. 7. En juin 2004, la loi sur les télécommunications (Telekommunikationsgesetz) fut modifiée à l’effet d’imposer aux fournisseurs de services de télécommunications l’obligation de conserver des données à caractère personnel concernant tous leurs clients, y compris ceux dont pareilles données n’étaient pas nécessaires à des fins de facturation ou à d’autres fins contractuelles (cartes SIM prépayées (« pay ‑ as-you-go ») pour téléphone mobile). Jusqu’à l’entrée en vigueur de ces modifications législatives, les fournisseurs de services de télécommunications pouvaient ne recueillir et conserver que les données nécessaires aux fins de leur relation contractuelle, et il était considéré que la conservation de telles données n’était pas nécessaire dans le cas des cartes SIM prépayées pour téléphone mobile. Les modifications législatives en question s’inscrivaient dans le cadre d’une refonte de la loi sur les télécommunications, refonte que les autorités avaient jugée nécessaire consécutivement à l’adoption les 7 mars et 12 juillet 2002 de cinq directives européennes qui devaient être transposées dans le droit allemand avant juillet et octobre 2003. 8. Les deux requérants utilisent des cartes SIM prépayées pour téléphone mobile. Lors de l’activation de ces cartes, ils se sont trouvés contraints en vertu de l’article 111 de la loi sur les télécommunications (paragraphe 27 ci ‑ dessous) d’enregistrer certaines informations à caractère personnel auprès de leurs fournisseurs de services respectifs. B. La procédure devant la Cour constitutionnelle fédérale 9. Le 13 juillet 2005, les requérants introduisirent un recours constitutionnel pour se plaindre, entre autres, des articles 111, 112 et 113 de la loi sur les télécommunications. L’article 111 introduisait l’obligation de collecter et conserver les numéro de téléphone, nom, adresse et date de naissance de chaque abonné et la date d’entrée en vigueur du contrat (paragraphes 27-28 ci-dessous). Les articles 112 et 113, quant à eux, fixaient des procédures automatisée et manuelle d’accès aux données conservées en application de l’article 111 (paragraphes 29 et 31 ci-dessous). Les requérants alléguaient que les articles en question portaient atteinte à leur droit à la confidentialité de la correspondance et des communications postales et téléphoniques, ainsi qu’à leur droit à l’autodétermination informationnelle (Recht auf informationelle Selbstbestimmung

– paragraphe 25 ci-dessous). 10. L’article 111 de la loi sur les télécommunications fut modifié par la loi du 21 décembre 2007 : l’obligation de conserver les données relatives aux abonnés fut étendue à d’autres identifiants de connexion, et la liste des données devant être conservées fut étoffée pour inclure, dans les cas où un dispositif de communication mobile était mis à disposition en même temps que le raccordement au réseau mobile, le numéro du dispositif en question. 11. Les requérants modifièrent le recours constitutionnel qu’ils avaient formé et qui était pendant afin d’y inclure la version modifiée de la loi sur les télécommunications. En conséquence, la Cour constitutionnelle fédérale examina dans son arrêt la loi sur les télécommunications telle qu’elle était en vigueur au 1 er janvier 2008. C. La décision de la Cour constitutionnelle fédérale (n o 1 BvR 1299/05) 12. Le 24 janvier 2012, la Cour constitutionnelle fédérale dit, dans la mesure pertinente en l’espèce, que les articles 111 et 112 de la loi sur les télécommunications étaient compatibles avec la Loi fondamentale (Grundgesetz), que la première phrase de l’article 113 § 1 était compatible avec la Loi fondamentale lorsqu’elle était interprétée conformément à celle ‑ ci, et que les articles 112 et 113 exigeaient une loi habilitante indépendante aux fins de la récupération de données par les autorités désignées ou mentionnées dans les articles en question (paragraphes 29 et 31 ci-dessous). Sur les parties du recours constitutionnel des requérants qui ne sont pas en cause dans la présente procédure, elle conclut que la procédure manuelle qui était prévue à l’article 113 § 1 ne pouvait pas être utilisée pour l’attribution d’adresses IP dynamiques, et que les autorités de sûreté ne pouvaient demander des informations concernant des codes d’accès en vertu de l’article 113 § 1 que si les conditions prévues par la loi concernant leur utilisation étaient remplies. 13. La Cour constitutionnelle fédérale nota également que selon le gouvernement fédéral, la procédure automatisée qui était prévue par l’article 112 de la loi sur les télécommunications revêtait une importance capitale. D’après elle, l’expérience avait montré que le nombre de récupérations de données réalisées au moyen de la procédure manuelle en application de l’article 113 de la loi sur les télécommunications représentait entre 3 % et 5 % du nombre de demandes introduites suivant la procédure automatisée en vertu de l’article 112 de cette loi. 14. Concernant les parties pertinentes du recours constitutionnel introduit par les requérants, la Cour constitutionnelle fédérale dit tout d’abord que les dispositions contestées s’analysaient en une atteinte au droit à l’autodétermination informationnelle. Elle ajouta ce qui suit (traduction par le greffe; les références à la jurisprudence de cette juridiction ont été omises dans les passages cités ci-dessous) : « 122. a) Le droit à l’autodétermination informationnelle tient compte des menaces et atteintes à la personnalité qui, eu égard à la situation actuelle en matière de traitement des données, résultent de mesures en rapport avec l’information. Le libre épanouissement de la personnalité présuppose que l’individu soit protégé contre la collecte, la conservation, l’utilisation et la transmission sans restriction des données à caractère personnel le concernant. Cette protection est donc garantie par le droit fondamental que consacre l’article 2 § 1 combiné avec l’article 1 § 1 de la Loi fondamentale. À cet égard, le droit fondamental garantit à l’individu le pouvoir de décider lui-même de la divulgation et de l’utilisation des données à caractère personnel le concernant. La garantie offerte par le droit fondamental prend effet en particulier lorsque les autorités mettent en péril l’épanouissement de la personnalité en utilisant et en associant des informations à caractère personnel dans une mesure que l’individu concerné ne peut pleinement appréhender ou contrôler. L’étendue de la protection du droit à l’autodétermination informationnelle ne se limite pas aux informations qui, par leur nature même, sont sensibles et qui, pour cette seule raison, sont protégées par la Constitution. Compte tenu des possibilités qui existent en matière de traitement et d’association des données, il n’existe aucune donnée à caractère personnel qui soit par nature, quel que soit le contexte dans lequel elle est utilisée, insignifiante. En particulier, les informations à caractère personnel relatives aux modalités de fourniture de services de télécommunications relèvent également de la protection de l’autodétermination informationnelle. 123. Les dispositions qui confèrent aux autorités le pouvoir de traiter des données à caractère personnel prévoient en règle générale plusieurs types d’ingérences distinctes mais interdépendantes. À cet égard, il convient en particulier d’établir une distinction entre la collecte, la conservation et l’utilisation des données. Toutefois, lorsqu’il légifère sur l’échange de données aux fins de l’accomplissement de leurs fonctions par les pouvoirs publics, le législateur doit aussi établir une distinction entre la transmission de données par la partie qui fournit les informations et la récupération de données par l’organe qui les demande. Un échange de données se traduit par deux ingérences qui se correspondent et qui sont chacune fondées sur une base légale indépendante. Autrement dit, le législateur doit ouvrir la porte non seulement à la transmission des données, mais aussi à leur récupération. Ce n’est qu’ensemble que ces deux bases légales, qui doivent fonctionner comme une double porte, ouvrent la voie à l’échange de données à caractère personnel, ce qui n’exclut pas, sous réserve du système de compétences et des exigences de clarté rédactionnelle, la possibilité que les deux bases légales puissent figurer dans une même disposition. 124. b) Les dispositions contestées portent atteinte au droit fondamental des requérants à l’autodétermination informationnelle. En premier lieu, l’obligation de collecte et de conservation prévue par [l’article 111 de la loi sur les télécommunications] constitue une atteinte à ce droit. D’autres atteintes aux droits fondamentaux résultent, d’une part, de l’obligation faite [par l’article 112 § 1 de la loi sur les télécommunications] aux fournisseurs de services de rendre les données de leurs clients disponibles sous la forme de fichiers clients pouvant être consultés par le biais d’une procédure automatisée, et, d’autre part, du pouvoir de l’Agence fédérale des réseaux de récupérer les données en question et de les transmettre aux autorités concernées ([article 112 § 4 de la loi sur les télécommunications]). De la même manière, [les première et deuxième phrases de l’article 113 § 1 de la loi sur les télécommunications] portent atteinte aux droits fondamentaux en ce qu’elles imposent aux fournisseurs de services de télécommunications l’obligation de fournir, sur demande, des informations sur les données qu’ils conservent. 125. Enfin, une autre atteinte, distincte et autonome, réside dans le fait que les autorités habilitées peuvent [en vertu des articles 112 et 113 de la loi sur les télécommunications] demander ([article 112 §§ 1, 2 et 4]) ou exiger ([article 113 § 1]) que des données leur soient communiquées. Toutefois, eu égard à l’approche réglementaire du législateur, cette atteinte nécessite une base légale supplémentaire, qui, en fonction du domaine, doit se trouver dans la législation fédérale ou dans la législation du Land . Les dispositions des [articles 112 et 113 de la loi sur les télécommunications] doivent être comprises uniquement comme base légale de la transmission de données – conformément à la distinction qui est opérée entre collecte et transmission de données dans la typologie des lois sur la protection des données. Elles présupposent que les autorités habilitées à recevoir des informations jouissent de pouvoirs indépendants en matière de collecte des données (...). » 15. Concernant l’article 111 de la loi sur les télécommunications, la Cour constitutionnelle fédérale estima que l’obligation de tenir à jour une base de données contenant des informations sur les abonnés poursuivait en particulier le but légitime que constitue la poursuite des infractions pénales. Elle admettait que la base de données constituait une mesure de collecte et de conservation d’un grand nombre de données à titre de précaution, et que les auteurs d’infractions pénales auraient toujours la possibilité de contourner cette disposition en utilisant les services de télécommunications de manière anonyme, sous un faux nom ou au moyen de cartes SIM acquises auprès de tiers, mais elle considérait que l’atteinte au droit à l’autodétermination informationnelle était en définitive justifiée compte tenu du caractère relativement limité des informations conservées. 16. Sur la question de la proportionnalité de la mesure, la Cour constitutionnelle fédérale déclara notamment ce qui suit : « 136. [L’article 111 de la loi sur les télécommunications] ne viole pas les exigences de proportionnalité au sens strict. Même si la disposition commande qu’un large éventail de données de télécommunication soient collectées et conservées par mesure de précaution, sans motif particulier, il s’agit là d’une atteinte d’un poids limité compte tenu de la valeur informative relativement restreinte des données concernées. 137. Cependant, l’atteinte en cause n’est pas négligeable. Elle a du poids en ce que [l’article 111 de la loi sur les télécommunications] permet d’associer un numéro de télécommunication à chaque abonné pour la quasi-totalité des services de télécommunications, et en ce que, à cette fin, des données individualisées telles l’adresse et la date de naissance de l’abonné, ou encore la date d’effet du contrat, sont enregistrées et gardées à la disposition de l’État. Ces données constituent une base générale d’information et remplissent la fonction de registre des numéros de télécommunication. Elle permettent en règle générale d’obtenir tous les numéros de télécommunication d’un individu; à l’inverse, la quasi-totalité des télécommunications pour lesquelles un numéro de télécommunication est déterminé peuvent être attribuées à un raccordement, et donc à un abonné. Étant donné qu’elles se rapportent aux éléments fondamentaux des opérations de télécommunication, les données en question s’inscrivent dans le cadre de relations d’information particulièrement protégées dont la confidentialité est essentielle à une société fondée sur la liberté. En outre, les données correspondantes sont collectées et conservées par mesure de précaution sans motif valable de manière à être mises à disposition aux fins de l’exercice par l’État de ses fonctions. 138. Néanmoins, l’atteinte en cause n’a pas un poids très important. En particulier, le fait que les données soient collectées par mesure de précaution ne confère pas à la procédure un poids très important. En effet, même si [l’article 111 de la loi sur les télécommunications] a une portée étendue, l’atteinte en cause se borne dans les faits à des données strictement limitées qui, en elles-mêmes, ne permettent pas de connaître les activités spécifiques des individus, et dont le législateur a restreint l’utilisation à des fins précises. En pareils cas, le seul fait que des données soient conservées sans motif ne signifie pas que l’atteinte soit particulièrement grave, même si les données sont conservées par mesure de précaution. Certes, la conservation de données par mesure de précaution doit toujours rester exceptionnelle et être justifiée. Néanmoins, comme le montrent le registre d’état civil ou, dans le domaine de l’automobile, le registre central des véhicules (...) et le fichier central des permis de conduire, il n’est pas exclu d’emblée que la collecte de données par mesure de précaution puisse être justifiée par la nécessité pour l’État de s’acquitter de ses fonctions (...) 139. Les données visées par [l’article 111 de la loi sur les télécommunications] ont une valeur informative limitée. Elles permettent uniquement d’associer un numéro de téléphone à un abonné donné et donc à son utilisateur potentiel (et habituel). Elles ne contiennent pas d’informations privées plus détaillées. De plus, elles ne renferment pas des informations à caractère hautement personnel, pas plus qu’elles ne peuvent être utilisées pour créer des profils de personnalité ou suivre les déplacements des utilisateurs : leur conservation par mesure de précaution diffère donc fondamentalement de la conservation par mesure de précaution de données relatives au trafic en matière de télécommunications. (...) 140. Par ailleurs, le fait que les données visées par [l’article 111 de la loi sur les télécommunications], prises dans leur contexte, permettent d’attribuer à un individu donné une opération de télécommunication connue des autorités et donc, dans certains cas, de connaître de manière individualisée les circonstances ayant entouré l’opération ou sa teneur ne confère pas un poids particulier à l’atteinte en cause. Il n’est en effet possible que d’enquêter sur des événements donnés, dans le cadre d’une affaire spécifique. En pareil cas, les autorités connaissent déjà les circonstances ou la teneur de l’opération de télécommunication dont elles cherchent à identifier l’auteur au moyen des données visées par [l’article 111 de la loi sur les télécommunications], qu’elles aient découvert cette opération soit en portant atteinte au secret des télécommunications, dans le cadre d’une enquête relevant de leur compétence – sur le fondement, par exemple, de l’article 100g du code procédure pénale (...) –, soit sans y porter atteinte, grâce à leur propres observations ou à des informations émanant de tiers . Inversement, le fait que la récupération d’un numéro de télécommunication puisse être suivie d’autres mesures qui, dans certains cas, pourraient donner lieu à des atteintes graves à certains droits, et au secret des télécommunications notamment, ne confère pas un poids particulier à l’atteinte en cause. En effet, pareilles atteintes ne peuvent être autorisées que sur le fondement d’une base légale indépendante, en tenant nécessairement compte de la gravité de l’atteinte en cause. 141. La possibilité d’attribuer les données recueillies en vertu de [l’article 111 de la loi sur les télécommunications] permet aux autorités désignées dans les dispositions relatives à l’utilisation de ces données de s’acquitter efficacement de leurs tâches. Elle est justifiée du point de vue constitutionnel par le fait que les autorités puissent avoir un intérêt légitime à mener à bien une enquête sur des opérations de télécommunication spécifiques dans certains cas, et cet intérêt qu’il y a à ce que les autorités puissent avoir les moyens de s’acquitter de leurs fonctions peut avoir un poids considérable, voire prépondérant dans certains cas. On ne saurait opposer à cet argument celui consistant à dire que la communication directe sans moyens de télécommunication ne fait pas l’objet d’atteintes comparables. En effet, la situation est différente en pareil cas . Comme la communication directe ne recourt pas à des moyens techniques de communication qui permettent d’échanger en temps réel sur n’importe quelle distance, à l’abri des regards, les deux modes de communication ne sont pas comparables, et il n’est pas nécessaire non plus de disposer concernant ce mode de communication d’un registre recensant les utilisateurs. Pour élucider des affaires, les moyens d’enquête traditionnels, comme l’audition de témoins ou la saisie de documents, sont en cas de communication directe plus utiles qu’ils ne le sont lorsque des moyens électroniques sont utilisés. Il est vrai que même les possibilités offertes par les moyens de télécommunication modernes ne justifient pas que l’on enregistre toutes les activités des citoyens par mesure de précaution lorsque cela s’avère possible, et que l’on permette ainsi leur reconstruction. Toutefois, la création d’un registre des numéros de télécommunication ne soulève aucune question de cette nature, même lorsque l’on tient compte de ce que le registre en question peut être combiné avec d’autres données disponibles . » 17. Concernant l’article 112 de la loi sur les télécommunications, la Cour constitutionnelle fédérale précisa (paragraphe 144) ce qui suit : « [cette disposition] réglemente l’utilisation des données conservées conformément à [l’article 111 de la loi sur les télécommunications] en prévoyant une procédure automatisée dans le cadre de laquelle l’Agence fédérale des réseaux [ Bundesnetzagentur ] doit transmettre les données en question aux autorités, désignées à [l’article 112 § 2 de la loi sur les télécommunications], qui en font la demande. Elle sert de base légale à l’obligation de rendre les données disponibles sous la forme de fichiers clients, ainsi qu’à l’accès à ces données et à leur transmission, mais pas à la récupération de ces données en vertu d’une demande d’informations introduite par des autorités habilitées à recevoir les données en question. » La Cour constitutionnelle fédérale estima toutefois qu’un droit général de collecter des données pouvait suffire pour une demande des autorités compétentes. À cet égard, elle convoqua l’image d’une double porte (paragraphe 123 de l’arrêt, cité au paragraphe 14 ci-dessus), déclarant que, si l’article 112 de la loi sur les télécommunications ouvrait la porte à la transmission des données, il n’ouvrait pas la porte à la collecte de données par les autorités spécialisées. 18. La Cour constitutionnelle fédérale estima néanmoins que, pour plusieurs raisons, l’atteinte prévue par l’article 112 de la loi sur les télécommunications revêtait un poids considérable : « 156. Toutefois, le fait que [l’article 111 de la loi sur les télécommunications] simplifie considérablement la récupération de données confère à l’atteinte prévue par cette disposition un poids considérable. Cette procédure, qui est centralisée et automatisée, permet d’éliminer dans une large mesure les difficultés pratiques liées à la collecte de données et de rendre les données des personnes concernées disponibles sans que des exigences de contrôle ne causent de retard ou de difficultés pratiques. En outre, les données sont communiquées à l’insu des entreprises de télécommunications ou d’autres tiers. Certes, le fait que l’entreprise de télécommunications ne remarque pas que des informations sont communiquées offre aux personnes concernées un certain degré de discrétion; cependant, il en découle que les atteintes en question ne sont pas tempérées par les effets de modération et de contrôle que le regard d’un tiers provoque. En outre, l’Agence fédérale des réseaux, qui transmet les données, n’exerce un contrôle juridique que si une circonstance particulière le justifie ([article 112 § 4, deuxième phrase, de la loi sur les télécommunications]). Or, étant donné que l’autorité sollicitant les données en question n’a pas à motiver sa demande, il est peu probable que pareille situation se présente. 157. Le poids de cette atteinte découle aussi de ce que le législateur a défini de manière très large les buts pour lesquels les données peuvent être utilisées. Les données peuvent généralement être transmises aux autorités désignées [dans l’article 112 § 2 de la loi sur les télécommunications] aux fins de l’accomplissement de leurs obligations légales. Des restrictions s’appliquent uniquement pour les autorités chargées de l’application de la loi visées à [l’article 112 § 2 n o 2 de la loi sur les télécommunications] et pour les autorités douanières désignées à [l’article 112 § 2 n os 3 et 7 de la loi sur les télécommunications ]. Toutefois, il est important à cet égard de préciser qu’en vertu de [l’article 112 de la loi sur les télécommunications], les données ne peuvent être communiquées aux autorités chargées de l’application de la loi que pour écarter des menaces, ce qui exclut la possibilité que les données soient communiquées simplement par mesure de précaution. En ce qui concerne les obligations respectives des autorités habilitées à obtenir des informations, peu de restrictions viennent limiter les obligations d’information de l’Agence fédérale des réseaux. En particulier, la loi n’instaure aucun seuil strict: au contraire, l’étendue de l’obligation d’information est exclusivement fonction de la compétence des autorités concernées. Toutefois, le fait que des données ne puissent être communiquées que dans la mesure nécessaire à l’exercice par l’autorité concernée de ses fonctions a pour effet de créer une restriction de fait. Ainsi, la récupération de données peut être autorisée non pas à la légère, dans le simple but d’obtenir en amont des indications, mais lorsque les informations effectivement nécessaires à l’exercice par l’autorité de ses fonctions ne peuvent être obtenues d’une manière plus simple mais tout aussi efficace. (...) 163. Dans la pratique, toutefois, [l’article 112 de la loi sur les télécommunications] ne limite pas la récupération automatisée de données aux seuls cas où pareille mesure serait légitimée par une base légale spécifique; il autorise aussi l’introduction de demandes fondées sur de simples pouvoirs de collecte de données. Par conséquent, au niveau de la loi spécifique, il n’est pas nécessaire d’identifier expressément les autorités habilitées visées [à l’article 112 § 2 de la loi sur les télécommunications] ou de définir d’autres conditions devant être satisfaites en vue de la récupération de données. (...) » 19. La Cour constitutionnelle fédérale conclut pourtant que l’article 112 de la loi sur les télécommunications était proportionné : « 155. [L’article 112 de la loi sur les télécommunications] satisfait aux exigences du principe de proportionnalité. Cette disposition sert à accroître l’efficacité des autorités visées à [l’article 112 § 2 de la loi sur les télécommunications] dans l’exercice de leurs fonctions, et elle est appropriée et nécessaire à cet effet. Elle est également proportionnée au sens étroit du terme. (...) 158 . En dépit du poids considérable de l’atteinte qui en découle, cette disposition est proportionnée. Au moins, seul un nombre limité d’organes sont habilités à récupérer des données. Les buts pour lesquels des informations sont fournies à ces organes en vertu de [l’article 112 § 2 de la loi sur les télécommunications] relèvent de fonctions centrales liées à la garantie de la sécurité. Compte tenu de l’importance croissante des moyens électroniques de communication et des changements comportementaux qui en découlent en matière de communication dans tous les domaines de la vie, les autorités sont largement tributaires d’une solution des plus simples qui leur permette d’associer un nom à chaque numéro de télécommunication. À cet égard, ne peut être contestée d’un point de vue constitutionnel la décision du législateur d’autoriser la transmission de ces données à des fins d’enquête sur des infractions pénales et des menaces, ou encore de surveillance d’actes de nature à mettre en péril la Constitution, d’information des pouvoirs publics et du public, ou d’assistance en situation d’urgence. Étant donné que ces enquêtes doivent souvent être menées rapidement et à l’insu des personnes concernées, une procédure automatisée d’accès aux données revêt une importance particulière pour les autorités. Cette disposition contribue également à renforcer l’efficacité du travail des cours et tribunaux. 159 . Le fait que les données en question aient une valeur informative limitée est crucial aux fins de la mise en balance des intérêts en jeu. En effet, ces données renseignent uniquement sur l’attribution de numéros de télécommunication à des abonnés. Même si, dans certains cas spécifiques de collecte de données, elles pourraient donner lieu à l’obtention d’informations sensibles, leur teneur informative en tant que telle reste limitée et dépend de mesures d’enquête supplémentaires dont la légalité doit être appréciée à l’aune d’autres dispositions. (...) 163. (...) Étant donné qu’il est question ici de la transmission de données par une autorité et que les conditions matérielles de cette procédure sont exposées de manière exhaustive et suffisamment claire dans [l’article 112 de la loi sur les télécommunications], y compris vis-à-vis des personnes concernées, cette disposition, eu égard également au poids limité de l’atteinte qui en découle, est compatible avec le principe de proportionnalité et correspond à la structure des dispositions relatives à la récupération automatisée des données sur les véhicules et leurs propriétaires qui figurent sur le fichier des immatriculations (...) et à la structure de la disposition relative à la transmission de données qui figure dans la loi sur l’enregistrement des résidents (...). Certes, cela ne change rien à la responsabilité du législateur – et à cet égard, le cas échéant, des Länder

– en ce qui concerne l’élaboration, dans le respect de la Constitution, des dispositions relatives à la collecte de données, lesquelles ne font pas elles-mêmes l’objet de la présente procédure. (...) » En outre, la Cour constitutionnelle souligna qu’il incombait aux autorités publiques d’appliquer ces dispositions de manière à ce qu’il fût spécifiquement tenu compte, d’une part, des exigences de l’article 112 §§ 1 et 2 de la loi sur les télécommunications, et en particulier de l’exigence selon laquelle la collecte devait être nécessaire même dans un cas donné, et, d’autre part, des autres exigences imposées par le principe de proportionnalité. 20. Concernant l’article 113 de la loi sur les télécommunications, la Cour constitutionnelle déclara que cette disposition ne pouvait être interprétée que comme une disposition relative à la communication de données et qu’une base légale supplémentaire était nécessaire pour permettre la récupération des données par les autorités. Elle releva également que l’autorité à l’origine d’une demande d’informations n’était soumise à aucune limitation – sauf en lien avec ses fonctions – et que les buts propres à justifier la récupération de données étaient énoncés en termes généraux. Elle conclut néanmoins que, compte tenu de ce que les informations tirées des données en question étaient en elles-mêmes limitées, et de ce qu’elles revêtaient une grande importance aux fins de l’exercice efficace de leurs fonctions par les autorités, la portée de cette disposition ne pouvait être critiquée du point de vue constitutionnel. 21. La Cour constitutionnelle fédérale déclara notamment ce qui suit : « 176. Toutefois, [la première phrase de l’article 113 § 1 de la loi sur les télécommunications] ouvre très largement la procédure manuelle. Elle autorise la récupération d’informations aux fins de la prévention des menaces, de la poursuite d’infractions pénales ou réglementaires et de l’exécution d’actes relevant du renseignement. À cet égard, la disposition en question ne prévoit pas non plus de seuil particulier qui préciserait la portée de l’atteinte. À l’inverse, elle autorise toujours la récupération d’informations au cas par cas dès lors que celle-ci est nécessaire à l’exercice des fonctions susmentionnées. 177. Toutefois, eu égard à la valeur informative, limitée en soi, des données en question, et à leur grande importance aux fins de l’exercice par les autorités de leurs fonctions, la portée de cette disposition ne prête pas à la critique du point de vue constitutionnel. À cet égard, il faut tenir compte de ce que cette disposition n’autorise en aucune façon la transmission systématique de données. Au contraire, le fait que des informations visées à [la première phrase de l’article 113 § 1 de la loi sur les télécommunications doivent] être demandées au cas par cas et être nécessaires lui confère un effet restrictif. En ce qui concerne le but que constitue la prévention des menaces, dans lequel le législateur n’a pas inclus la prévention des risques, une interprétation prudente révèle qu’une « menace concrète » au sens des « clauses générales » [ Generalklauseln ] du droit de la police est nécessaire pour que la récupération de telles informations puisse être autorisée. Certes, ce seuil est bas et couvre également les cas où les autorités soupçonnent l’existence d’une menace. De même, la disposition en question ne dispose pas d’emblée que ne peuvent être communiquées que les données relatives aux personnes qui mettent en péril la sécurité publique au sens du droit général de la police et du droit réglementaire. Pourtant, compte tenu du faible poids de l’atteinte qui découle de cette disposition, il n’en résulte pas que les restrictions qu’elle renferme sont si faibles qu’elles rendent disproportionnée la mesure prévue par cette disposition. En particulier, la disposition en question ne fait pas de la récupération de données un moyen général d’exécution administrative légale; elle impose dans chaque cas donné que la fonction aux fins de l’exercice de laquelle les données sont sollicitées relève de questions de sécurité. Il est vrai qu’en ce qui concerne les services de renseignement, qui agissent généralement en amont, il n’existe aucun seuil comparable, qu’il y ait une menace concrète ou non. Pareille situation est toutefois justifiée au regard de l’étendue limitée des fonctions exercées par les services de renseignement, qui ne prennent pas directement de mesures de police mais ont pour seule fonction de rendre compte aux organes de l’État qui sont politiquement responsables ou au public. Par ailleurs, il découle également de l’exigence de nécessité, appréciée au cas par cas, que les informations visées à [la première phrase de l’article 113 § 1de la loi sur les télécommunications] doivent être nécessaires à la bonne conduite d’une enquête sur des actes ou un groupe particuliers nécessitant une surveillance par les autorités de sûreté. Dès lors que les données sont sollicitées dans le cadre de la poursuite d’infractions pénales et réglementaires, l’exigence de nécessité signifie que dans chaque cas, il doit y avoir au moins un soupçon initial. 178. Pris ensemble, ces seuils ne sont pas élevés, mais ils sont constitutionnellement acceptables. À cet égard, il faut tenir compte, en comparaison avec [l’article 112 de la loi sur les télécommunications], de ce qu’une procédure manuelle implique certains efforts procéduraux de la part de l’autorité souhaitant obtenir des informations, ce qui pourrait inciter l’autorité concernée à ne chercher à obtenir des informations que lorsqu’elle en a vraiment besoin. » 22. Concernant les voies de recours contre les demandes d’informations introduites en application des articles 112 et 113 de la loi sur les télécommunications, la Cour constitutionnelle fédérale déclara ce qui suit : « 186. (...) Il n’y a pas non plus lieu de critiquer le fait que, compte tenu de la faible gravité de l’atteinte, aucune voie de recours spécifique ne soit prévue pour se plaindre de la transmission d’informations en application [des articles 112 et 113 de la loi sur les télécommunications]. La protection juridique peut être recherchée à cet égard dans les règles général es – en particulier de manière incidente dans le contexte de recours en justice contre des décisions définitives des autorités. 187 . Les exigences du principe de proportionnalité n’imposent pas une obligation générale d’informer les personnes concernées de la communication de données à caractère personnel les concernant en vertu des [articles 112 et 113 de la loi sur les télécommunications] (...) » 23. Dans sa décision, la Cour constitutionnelle fédérale disait que 26,6 millions de données – soit l’identité de l’abonné, soit le numéro de téléphone – avaient été demandées en vertu de l’article 112 de la loi sur les télécommunications en 2008. Elle n’opérait pas de distinction entre les données relatives aux utilisateurs de cartes SIM prépayées et les autres clients. II. LE DROIT ET LA PRATIQUE INTERNES PERTINENTS A. La Loi fondamentale 24. La loi fondamentale se lit comme suit en ses parties pertinentes en l’espèce : Article 1 « 1. La dignité de l’être humain est intangible. Tous les pouvoirs publics ont l’obligation de la respecter et de la protéger. (...) » Article 2 « 1. Chacun a droit au libre épanouissement de sa personnalité pourvu qu’il ne viole pas les droits d’autrui ni n’enfreigne l’ordre constitutionnel ou la loi morale. (...) » Article 10 « 1. Le secret de la correspondance, de la poste et des télécommunications est inviolable. 2. Des restrictions ne peuvent être apportées à ce droit que sur le fondement d’une loi. Si une restriction vise à défendre l’ordre fondamental libéral et démocratique, ou l’existence ou la sécurité de la Fédération ou d’un Land, la loi peut disposer que l’intéressé n’en sera pas informé et qu’à la possibilité d’introduire un recours en justice se substituera un contrôle mené par des organes et organes auxiliaires désignés par le législateur. » 25. Dans son arrêt du 15 décembre 1983 (n os 1 BvR 209, 269, 362, 420, 440, 484/83), la Cour constitutionnelle fédérale établit le droit à l’autodétermination informationnelle et dit ce qui suit : « Dans le cadre du traitement moderne des données, la protection de l’individu contre la collecte, la conservation, l’utilisation et la divulgation illimitées des données à caractère personnel le concernant relève du droit à la protection de la personnalité garanti par l’article 2 § 1 combiné avec l’article 1 de la Loi fondamentale. Ce droit fondamental garantit à cet égard la capacité de l’individu de décider en principe de la divulgation et de l’utilisation des données à caractère personnel le concernant. » 26. Dans son arrêt du 2 mars 2010 (n os 1 BvR 256, 586, 263/08), la Cour constitutionnelle fédérale se prononça sur la constitutionnalité des dispositions qui transposaient en droit allemand (articles 113a et 113b de la loi sur les télécommunications et 100g du code de procédure pénale) la directive 2006/24/CE de l’Union européenne (paragraphes 49-50 ci ‑ dessous), dispositions qui imposaient aux fournisseurs de services de conserver pendant une durée limitée (six mois) toutes les données relatives au trafic générées dans le cadre de la fourniture de services téléphoniques, et qui permettaient l’utilisation de ces données dans le cadre de poursuites pénales. Considérant que l’article 113a de la loi sur les télécommunications (obligation de conservation) emportait violation du droit à la protection du secret des télécommunications, elle le déclara inconstitutionnel et nul. Elle dit qu’une obligation de conservation d’une telle ampleur n’était pas d’emblée inconstitutionnelle de manière automatique, mais que l’obligation en cause n’était pas structurée de manière à être conforme au principe de proportionnalité. Elle ajouta que les dispositions litigieuses, d’une part, ne garantissaient ni des conditions adéquates de sécurité des données ni des restrictions suffisantes quant à l’utilisation des données, et, d’autre part, n’étaient pas en tous points conformes aux exigences constitutionnelles de transparence et de protection juridique. B. La loi sur les télécommunications 27. L’article 111 de la loi sur les télécommunications oblige les fournisseurs de services à collecter et conserver certaines données à caractère personnel concernant leurs clients. Il constitue ainsi le fondement des demandes d’informations introduites en vertu des articles 112 et 113 de la loi sur les télécommunications. Ses parties pertinentes étaient ainsi libellées à l’époque des faits : « 1) Quiconque fournit à titre commercial des services de télécommunications ou une assistance aux fins de la fourniture de pareils services et, ce faisant, attribue des numéros de téléphone ou fournit un raccordement au réseau de télécommunication pour des numéros de téléphone attribués par des tiers ou d’autres identifiants de connexion doit, aux fins des procédures d’information prévues aux articles 112 et 113, collecter avant activation du service, et enregistrer sans délai : 1. les numéros de téléphone et autres identifiants de connexion afférents à chaque abonnement, 2. les nom et adresse de chaque abonné, 3. la date de naissance de l’abonné s’il s’agit d’une personne physique, 4. pour les lignes fixes, l’adresse de la ligne, 5. dans les cas où un dispositif de communication mobile est fourni avec la ligne de communication mobile, le numéro d’identification du dispositif en question, et 6. la date d’effet du contrat, même dans les cas où ces données ne sont pas nécessaires à des fins opérationnelles; si elle est connue, la date de résiliation du contrat doit également être conservée. La première phrase de la présente disposition reste applicable dans les cas où les données en question ne figurent pas dans un annuaire. (...) Toute personne soumise à des obligations en vertu de la première ou troisième phrase de la présente disposition est tenue, dès lors qu’elle est informée d’une modification, de corriger sans délai les données concernées; à cet égard, toute personne soumise à des obligations en vertu de la première phrase de la présente disposition devra ensuite collecter et stocker les données n’ayant pas encore été enregistrées dès lors que la collecte des données en question ne requiert pas un effort particulier. Le choix du mode de conservation des données pouvant être récupérées par le biais de la procédure prévue à l’article 113 est libre. 2) Lorsqu’un fournisseur de services visé à la première ou troisième phrase du premier paragraphe de la présente disposition travaille de concert avec un partenaire commercial, c’est ce dernier qui collecte les données visées aux première et troisième phrases du premier paragraphe de la présente disposition, conformément aux conditions qui y sont énoncées, et qui transmet sans délai ces données et d’autres données collectées en vertu de l’article 95 au fournisseur de services; la deuxième phrase du premier paragraphe de la présente disposition s’applique en conséquence. La première phrase s’applique également aux données relatives à des modifications, dès lors que le partenaire commercial est informé de ces données dans le cadre normal de son activité. 3) En ce qui concerne les relations contractuelles déjà existantes à la date d’entrée en vigueur de la présente disposition, la collecte a posteriori des données visées à la première ou troisième phrase du premier paragraphe n’est requise que dans les cas énoncés dans la quatrième phrase dudit paragraphe. 4) Les données sont effacées à l’issue de l’année civile qui suit l’année au cours de laquelle la relation contractuelle prend fin. (...) » 28. En juillet 2016, l’article 111 de la loi sur les télécommunications fut modifié et une obligation de vérification préalable des données à caractère personnel de chaque utilisateur de téléphonie mobile fut introduite pour les fournisseurs de services. Il devint obligatoire de présenter une carte d’identité, un passeport ou tout autre document d’identité officiel lors de l’enregistrement initial des données. Cette modification avait été jugée nécessaire pour restreindre davantage les possibilités de contournement des obligations énoncées à l’article 111 de la loi sur les télécommunications. Selon les travaux préparatoires qui avaient été réalisés en amont de cette modification (Publication du Parlement fédéral (Bundestagsdrucksache) n o 18/8702, p. 22), une quantité considérable de données fausses avaient été découvertes dans les bases de données des fournisseurs de services de télécommunications, au point que la situation en était venue à constituer un phénomène de masse, et que, par conséquent, les autorités compétentes avaient échoué dans le cadre d’un grand nombre de procédures à obtenir des informations utiles en réponse aux demandes qu’elles avaient introduites en application des articles 112 et 113 de la loi sur les télécommunications . Un recours constitutionnel visant à contester la compatibilité de cette modification avec la loi fondamentale est actuellement pendant devant la Cour constitutionnelle fédérale (n o 1 BvR 1713/17). 29. L’article 112 de la loi sur les télécommunications établit une procédure automatisée pour les données conservées en application de l’article 111 de la loi sur les télécommunications . Selon cette procédure, les fournisseurs de services de télécommunications doivent mettre les données à disposition de sorte que l’Agence fédérale des réseaux puisse les récupérer à leur insu. Ils doivent en outre proposer un système de récupération des données permettant d’effectuer soit des recherches au moyen de données incomplètes, soit des recherches par analogie . Les parties pertinentes en l’espèce de l’article 112 de la loi sur les télécommunications se lisaient ainsi à l’époque des faits : « 1) Toute personne fournissant des services de télécommunications accessibles au public enregistre sans délai dans des fichiers clients les données collectées en vertu de l’article 111 §§ 1, phrases 1, 3 et 4, et 2 (...). Toute personne soumise à la présente obligation est tenue de veiller à ce que : 1. l’Agence fédérale des réseaux soit à tout moment en mesure de récupérer de manière automatisée, depuis l’Allemagne, des données contenues dans les fichiers clients, 2. les données puissent être récupérées au moyen d’un système permettant les recherches au moyen de données incomplètes ou par analogie. Les personnes soumises à la présente obligation et leurs agents doivent veiller, par des mesures techniques et organisationnelles, à ce qu’aucune récupération de données ne puissent être portée à leur connaissance. L’Agence fédérale des réseaux ne peut récupérer des données des fichiers clients que si les données en question lui sont nécessaires : 1. pour poursuivre des infractions administratives réprimées par la présente loi ou la loi sur la concurrence déloyale [ Gesetz gegen den unlauteren Wettbewerb ]; 2. pour traiter des demandes d’informations introduites par les organes désignés au paragraphe 2) ci-dessous. L’organe à l’origine de la demande d’informations vérifie sans délai dans quelle mesure il a besoin des données transmises en réponse à sa demande, et il efface sans délai toutes les données qui ne lui sont pas nécessaires; la présente obligation s’applique également à l’Agence fédérale des réseaux lorsqu’elle procède à la récupération des données conformément à la septième phrase du premier paragraphe de la présente disposition. 2) Les données des fichiers clients visées au paragraphe 1 sont communiquées : 1. aux cours et tribunaux ainsi qu’aux autorités de poursuites pénales, 2. aux services chargés de l’application de la loi aux niveaux fédéral et des Länder, à des fins de prévention des menaces, 3. à l’office chargé des enquêtes pénales douanières [ Zollkriminalamt ] et aux offices chargés des enquêtes douanières [ Zollfahndungsämter ] aux fins de la conduite de procédures pénales, et à l’office chargé des enquêtes pénales douanières aux fins de la préparation et de l’exécution de mesures visées par l’article 23a de la loi sur le service des enquêtes douanières [ Zollfahndungsdienstgesetz ], 4. aux services chargés aux niveaux fédéral et des Länder de la protection de la Constitution, à l’office fédéral du contre-renseignement militaire et au service fédéral du renseignement, 5. aux services d’urgences relevant de l’article 108 et au centre d’appel du numéro d’urgence des secours mobiles en mer, le « 124 124 », 6. à l’autorité fédérale de surveillance financière, et 7. aux autorités de l’administration des douanes, aux fins énumérées à l’article 2 § 1 de la loi sur le travail non déclaré [ Schwarzarbeitsbekämpfungsgesetz ], par l’intermédiaires de bureaux d’enquête centralisés, conformément aux dispositions du paragraphe 4 ci-après, à tout moment, dès lors que les données en question leur sont nécessaires à l’exécution de leurs fonctions juridiques et que les demandes sont soumises à l’Agence fédérale des réseaux au moyen de procédures automatisées. (...) 4) Lorsqu’une des autorités visées au paragraphe 2 lui en fait la demande, l’Agence fédérale des réseaux récupère des fichiers clients les données pertinentes visées au paragraphe 1 et les lui transmet. Elle n’examine la recevabilité des demandes de transmission de données que dans les cas où un motif particulier le justifie. La recevabilité des demandes de transmission de données relève de la responsabilité : 1. de l’Agence fédérale des réseaux, dans les cas relevant du point 1 de la septième phrase du paragraphe 1, et 2. des organes énumérés au paragraphe 2 dans les cas relevant du point 2 de la septième phrase du paragraphe 1. À des fins de contrôle de la protection des données par l’organe compétent, l’Agence fédérale des réseaux enregistre pour chaque récupération de données la date de la récupération, les données utilisées dans ce cadre, les données récupérées, des informations permettant d’identifier sans équivoque la personne ayant procédé à la récupération des données, ainsi que le nom de l’autorité à l’origine de la demande, son numéro de référence et des informations permettant d’identifier sans équivoque la personne ayant introduit la demande. L’utilisation à toute autre fin des données enregistrées est interdite. Les données enregistrées sont effacées au bout d’un an. (...) » 30. En juin 2017, un décret relatif à la procédure automatisée prévue à l’article 112 de la loi sur les télécommunications a été adopté. Ce décret relatif aux données à caractère personnel des clients (Kundendatenauskunftsverordnung) décrit de manière plus détaillée dans quels cas des demandes d’informations peuvent être introduites à partir de l’adresse, du nom ou du numéro de téléphone d’un abonné, et il précise les informations qui doivent être fournies pour chaque type de demande. Il réglemente en outre les recherches effectuées au moyen de données incomplètes et les recherches par analogie. Le décret était accompagné d’une directive technique dans laquelle étaient énoncées les normes techniques applicables aux recherches et aux communications entre l’Agence fédérale des réseaux, les autorités à l’origine de demandes d’informations et les fournisseurs de services de télécommunications. 31. L’article 113 de la loi sur les télécommunications établit la procédure manuelle de demande d’accès aux données conservées en application de l’article 111 de la loi sur les télécommunications. Contrairement à la procédure automatisée, cette procédure impose aux fournisseurs de services eux-mêmes l’obligation de communiquer aux autorités compétentes les données demandées. Comme pour la procédure automatisée, la confidentialité des demandes d’informations doit être préservée à l’égard des personnes auxquelles les données renvoient. L’article 113 ne renferme pas une liste exhaustive des organes autorisés à recevoir des données en application de cette procédure. Les demandes d’informations sont autorisées dès lors qu’elles sont nécessaires pour poursuivre les infractions pénales et réglementaires, prévenir des menaces (Gefahrenabwehr) et mener des missions de renseignement. L’article 113 de la loi sur les télécommunications était ainsi libellé en ses parties pertinentes à l’époque des faits : « 1) Quiconque fournit à titre commercial des services de télécommunications ou une assistance aux fins de la fourniture de pareils services peut, sous réserve des dispositions du paragraphe 2, utiliser conformément à la présente disposition les données collectées en application des articles 95 et 111, en vue de s’acquitter de son obligation de fournir des informations aux organes visés au paragraphe 3. (...) 2) Les informations peuvent être communiquées uniquement dans le cas où l’un des organes visés au paragraphe 3 en fait la demande, par écrit et pour un cas donné, aux fins de la poursuite d’infractions pénales ou administratives, de la prévention d’une menace à la sûreté publique ou à l’ordre public, ou de l’exécution des fonctions juridiques des organes visés au point 3 du paragraphe 3, en citant une disposition légale l’autorisant à collecter les données visées au paragraphe 1; aucune donnée visée au paragraphe 1 ne peut être transmise à un autre organe, public ou non. En cas de danger imminent, les informations peuvent également être communiquées même si la demande n’est pas formulée par écrit. En pareil cas, la demande devra ensuite être confirmée sans délai par écrit. La recevabilité de la demande d’informations relève de la responsabilité des organes visés au paragraphe 3. 3) Sont considérés comme des « organes » au sens du paragraphe 1 : 1. les autorités chargées de la poursuite des infractions pénales ou administratives, 2. les autorités chargées de la prévention des menaces à la sûreté publique ou à l’ordre public, 3. les services chargés aux niveaux fédéral et des Länder de la protection de la Constitution, l’office fédéral du contre-renseignement militaire et le service fédéral du renseignement . 4) Quiconque fournit à titre commercial des services de télécommunications ou une assistance aux fins de la fourniture de pareils services doit communiquer sans délai la totalité des informations demandées. Les parties soumises à l’obligation de communiquer des informations sont tenues de préserver la confidentialité des demandes d’informations et des informations communiquées, tant à l’égard des parties concernées qu’à l’égard de tiers. (...) » C. Base légale des demandes d’informations introduites par le biais de la procédure automatisée visée à l’article 112 de la loi sur les télécommunications 32. Les demandes d’informations que le parquet et la police introduisent dans le cadre d’enquêtes pénales par le biais de la procédure automatisée visée à l’article 112 de la loi sur les télécommunications sont régies par le code de procédure pénale (Strafprozessordnung), dont les articles pertinents se lisaient comme suit à l’époque des faits : Article 160 « 1. Dès qu’il prend connaissance, par le biais d’une plainte pénale ou par tout autre moyen, d’un soupçon d’infraction pénale, le parquet ouvre une enquête sur les faits afin de déterminer s’il y a lieu d’engager l’action publique. 2. Le parquet doit enquêter non seulement à charge mais aussi à décharge, et veiller à ce que soient recueillis les éléments de preuve qui risquent de disparaître. 3. L’enquête du parquet s’étend également aux circonstances qui sont importantes aux fins de la détermination des conséquences juridiques de l’acte. À cette fin, le parquet peut faire appel aux services de l’organe d’assistance judiciaire . » Article 161 § 1 « Aux fins énoncées à l’article 160 §§ 1 à 3 [du code de procédure pénale], le parquet peut demander des informations à toutes les autorités et se livrer à tous types d’investigations, soit directement, soit par l’intermédiaire des autorités et représentants des forces de l’ordre, sous réserve qu’aucune autre disposition légale ne réglemente spécifiquement leurs pouvoirs. Les autorités et représentants des forces de l’ordre sont tenus de se conformer à toute demande ou ordonnance du parquet et peuvent en pareil cas introduire des demandes d’informations auprès de toutes les autorités. » Article 163 § 1 « Les autorités et représentants des forces de l’ordre enquêtent sur les infractions pénales et, afin d’éviter la dissimulation de faits, prennent toute mesure ne pouvant être différée. À cette fin, ils peuvent demander et, en cas d’urgence, exiger des informations de toutes les autorités, et mener des enquêtes de toute nature, sous réserve qu’aucune autre disposition légale ne réglemente spécifiquement leurs pouvoirs. (...) » 33. Aux fins de la prévention des infractions pénales, l’Office fédéral de la police judiciaire (Bundeskriminalamt) et la police fédérale (Bundespolizei) peuvent, conformément aux dispositions suivantes, qui se lisaient comme suit à l’époque des faits, demander des informations par le biais de la procédure automatisée prévue à l’article 112 de la loi sur les télécommunications : Article 2 de la loi sur l’Office fédéral de la police judiciaire (Bundeskriminalamtgesetz) « 1) En sa qualité d’office central du système d’information et de renseignement de la police, l’Office fédéral de la police judiciaire soutient les forces de police au niveau des Länder et au niveau fédéral aux fins de la prévention et de la recherche des infractions commises dans plusieurs Länder ou revêtant un caractère international ou une ampleur considérable . 2) Aux fins de l’accomplissement de cette mission, l’Office fédéral de la police judiciaire : 1. collecte et analyse toutes les données nécessaires à cette fin; (...) » Article 7 de la loi sur l’Office fédéral de la police judiciaire « 1) L’Office fédéral de la police judiciaire peut conserver, modifier ou utiliser des données à caractère personnel dans la mesure nécessaire à l’accomplissement de sa mission d’office central. 2) Dans la mesure nécessaire à l’accomplissement de sa mission d’office central en vertu de l’article 2 § 2 n o 1, l’Office fédéral de la police judiciaire peut, pour compléter des informations déjà en sa possession ou à d’autres fins d’analyse, collecter des données en introduisant auprès d’entités publiques et non publiques des demandes d’informations ou de renseignements (...) » Article 21 de la loi sur la police fédérale (Bundespolizeigesetz) « 1) La police fédérale peut, sauf disposition contraire visée au présent chapitre, collecter des données à caractère personnel dans la mesure nécessaire à l’accomplissement de ses tâches. 2) Aux fins de la prévention des infractions pénales, la collecte de données à caractère personnel est autorisée dès lors que les faits étayent l’hypothèse selon laquelle : 1. une personne va commettre une infraction pénale grave au sens de l’article 12 § 1 et les informations demandées sont nécessaires à la prévention de l’acte en question; ou 2. une personne est ou sera en contact avec une personne visée au point 1, dès lors que la mesure en question devrait permettre de prévenir la commission d’une infraction pénale visée au point 1 et que la prévention de pareil acte d’une autre manière serait impossible ou fortement entravée. » 34. Des dispositions similaires à l’article 21 de la loi fédérale sur la police existent pour les forces de police des Länder, lesquelles sont en outre autorisées à collecter des données à caractère personnel dans la mesure nécessaire à la prévention des menaces et à la protection des droits d’autrui. 35. En vertu des articles 7 et 27 de la loi sur le service allemand des enquêtes douanières, l’office chargé des enquêtes pénales douanières et les offices chargés des enquêtes douanières sont autorisés à collecter des données à caractère personnel dans la mesure nécessaire à l’accomplissement de leurs tâches. En outre, les services des douanes peuvent collecter des informations en application de l’article 163 du code de procédure pénale (paragraphe 32 ci-dessus) lorsqu’ils enquêtent sur des faits de travail non déclaré. 36. Les offices chargés au niveau des Länder et au niveau fédéral de la protection de la Constitution peuvent demander à obtenir des données conservées en application de l’article 111 de la loi sur les télécommunications dans la mesure où les données en question sont nécessaires à l’accomplissement de leurs tâches et où leur collecte n’est pas interdite par la loi fédérale sur la protection des données. 37. En vertu de l’article 4 de la loi sur l’Office du contre-espionnage militaire, l’Office du contre-espionnage militaire peut collecter les informations nécessaires à l’accomplissement de ses tâches, sauf aux fins de l’appréciation de la sécurité des bureaux et installations relevant de l’administration du ministère de la Défense, des forces alliées ou des quartiers généraux militaires internationaux. 38. Dès lors que des données conservées en application de l’article 111 de la loi sur les télécommunications lui sont nécessaires et que leur communication n’est pas interdite par la loi fédérale sur la protection des données, le Service fédéral du renseignement peut, en vertu de l’article 2 § 1 de la loi sur le Service fédéral du renseignement, demander à obtenir les données en question afin : – de protéger son personnel, ses installations et ses sources contre les menaces pour la sécurité et les activités des services secrets; – d’habiliter ses agents en poste ou ses futurs agents; – de vérifier les informations entrantes nécessaires à l’accomplissement de ses tâches. D. Base légale des demandes d’informations introduites par le biais de la procédure manuelle visée à l’article 113 de la loi sur les télécommunications 39. En raison des critiques formulées par la Cour constitutionnelle fédérale à l’égard de l’article 113 § 1 de la loi sur les télécommunications (paragraphes 12 et 20-21 ci-dessus), plusieurs nouvelles dispositions réglementant la récupération de données par les autorités dans le cadre de la procédure manuelle prévue à l’article 113 furent introduites en juin 2013, postérieurement à l’introduction de la présente requête. 40. Les demandes d’informations introduites par le parquet et la police relevèrent alors de l’article 100j du code de procédure pénale, qui se lit ainsi en ses parties pertinentes en l’espèce : « 1. Dans la mesure nécessaire à l’établissement des faits ou à la localisation d’un accusé, des informations sur les données collectées en vertu des articles 95 et 111 de la loi sur les télécommunications peuvent être demandées à toute personne fournissant à titre commercial des services de télécommunications ou une assistance aux fins de la fourniture de pareils services (article 113 § 1, phrase 1, de la loi sur les télécommunications). (...) 5. Saisie d’une demande d’informations en application du paragraphe 1 ou 2, toute personne fournissant à titre commercial des services de télécommunications ou une assistance aux fins de la fourniture de pareils services transmet sans délai les données requises aux fins de la fourniture des informations. (...) » Des dispositions analogues furent adoptées pour la police fédérale, l’Office fédéral de la police judiciaire et le Service des enquêtes douanières. 41. En vertu de l’article 8d de la loi fédérale sur la protection de la Constitution (Bundesverfassungsschutzgesetz), qui se lit comme suit en ses parties pertinentes, l’Office fédéral de protection de la Constitution est autorisé à demander aux fournisseurs de services les données collectées en application de l’article 111 de la loi sur les télécommunications : « Dans la mesure nécessaire à l’accomplissement de ses tâches, l’Office fédéral de protection de la Constitution peut demander des informations sur les données collectées en vertu des articles 95 et 111 de la loi sur les télécommunications à toute personne fournissant à titre commercial des services de télécommunications ou une assistance aux fins de la fourniture de pareils services (article 113 § 1, phrase 1, de la loi sur les télécommunications). (...). » Des dispositions similaires furent introduites pour les offices de protection de la Constitution au niveau des Länder . De plus, la base légale des demandes d’informations introduites en application de la procédure manuelle par l’Office du contre-espionnage militaire et le Service fédéral du renseignement renvoie à l’article 8d de la loi fédérale sur la protection de la Constitution. E. Contrôle juridictionnel des mesures d’enquête 42. En vertu de l’article 98 § 2 du code de procédure pénale, une personne ayant fait l’objet d’une saisie sans intervention judiciaire peut à tout moment solliciter une décision judiciaire. 43. Conformément à la jurisprudence constante de la Cour fédérale de justice (voir, par exemple, l’affaire n o 5 ARs (VS) 1/97, 5 août 1998), une application analogue de l’article 98 § 2 du code de procédure pénale offre la possibilité d’un contrôle juridictionnel de toute mesure d’instruction prise par un procureur dès lors que la mesure en question constitue une atteinte grave aux droits fondamentaux de la personne concernée. F. La loi sur la protection des données 44. Les parties pertinentes en l’espèce de la loi fédérale sur la protection des données (Bundesdatenschutzgesetz), telle qu’en vigueur jusqu’au 24 mai 2018, sont ainsi libellées : Article 1 – Objet et champ d’application « 1) La présente loi a pour objet de protéger les individus contre les atteintes à leur droit à la vie privée qui résultent du traitement de données à caractère personnel les concernant. 2) La présente loi s’applique à la collecte, au traitement et à l’utilisation de données à caractère personnel par : 1. les organes publics de la Fédération, 2. les organes publics des Länder, lorsque la protection des données n’est pas couverte par la législation des Länder et lorsque les Länder a) exécutent la loi fédérale, ou b) agissent en tant qu’organes judiciaires, en l’absence de considérations d’ordre administratif, (...) 3) Lorsque d’autres lois fédérales s’appliquent aux données à caractère personnel et à leur publication, elles priment les dispositions de la présente loi. L’obligation de respecter les obligations légales de confidentialité, de secret professionnel ou de secret de fonction non fondées sur la loi n’est pas affectée . » Article 2 – Organes publics et privés « 1) On entend par « organes publics de la Fédération » les autorités, organes judiciaires et autres institutions de droit public de la Fédération, les sociétés, institutions et fondations fédérales directes de droit public, ainsi que leurs associations, indépendamment de leur forme juridique. (...) » Article 3a – Réduction et économie de données « Les données à caractère personnel sont collectées, traitées et utilisées, et les systèmes de traitement des données choisis et organisés, dans le respect de l’objectif visant à limiter au maximum la collecte, le traitement et l’utilisation de données à caractère personnel. En particulier, les données à caractère personnel sont anonymisées ou le nom de l’intéressé est remplacé par un alias, si les finalités pour lesquelles les données sont collectées et/ou traitées ultérieurement le permettent, et si l’effort requis n’est pas disproportionné au but de protection recherché. » Article 4 – Licéité de la collecte, du traitement et de l’utilisation des données « 1) La collecte, le traitement et l’utilisation de données à caractère personnel ne sont licites que si la présente loi ou une autre loi permet ou exige pareille mesure, ou si la personne concernée y a consenti. 2) Les données à caractère personnel sont collectées auprès de la personne concernée. Elles ne peuvent être collectées sans la participation de la personne concernée que dans les cas suivants : 1. leur collecte est autorisée ou requise par la loi, ou 2. a) elles doivent être collectées auprès d’autres personnes ou organes en raison de la nature de la tâche administrative à accomplir ou du but commercial visé, ou b) leur collecte auprès de la personne concernée nécessiterait des efforts disproportionnés et rien n’indique que des intérêts légitimes prépondérants de la personne concernée seraient lésés. » Article 13 – Collecte de données « 1) La collecte de données à caractère personnel est licite dès lors que le responsable du traitement de ces données a besoin de connaître lesdites données aux fins de l’exercice de ses fonctions. 1a) Si des données à caractère personnel sont collectées auprès d’un organisme privé plutôt qu’auprès de la personne concernée, cet organisme est informé de la disposition légale en vertu de laquelle la communication d’informations est exigée ou du caractère volontaire de cette démarche. » Article 19 – Accès aux données « 1) Sur demande, toute personne concernée reçoit des informations sur : 1. les données enregistrées la concernant, notamment des informations relatives à la source des données, 2. les destinataires ou catégories de destinataires auxquels les données sont transmises, et 3. la finalité de l’enregistrement des données. La demande doit préciser le type de données à caractère personnel à propos desquelles les informations doivent être fournies. Si les données à caractère personnel ne sont enregistrées ni dans un système automatisé, ni dans un système de classement non automatisé, ces informations ne sont communiquées que si la personne concernée fournit des éléments permettant de localiser les données en question et si l’effort requis n’est pas disproportionné par rapport à l’intérêt qu’a la personne concernée à connaître les informations en question. Le responsable du traitement détermine avec toute la discrétion requise les modalités de communication de ces informations, et notamment la forme sous laquelle elles sont communiquées. 2) Le paragraphe 1 ne s’applique pas aux données à caractère personnel qui sont enregistrées uniquement parce qu’elles ne peuvent pas être effacées en raison de dispositions légales, réglementaires ou contractuelles relatives à la conservation des données, ou uniquement à des fins de contrôle de la protection des données ou de sauvegarde des données, dès lors que communiquer les informations en question nécessiterait un effort disproportionné. 3) Si une demande d’informations concerne le transfert de données à caractère personnel à des autorités chargées de la protection de la Constitution, au Service fédéral du renseignement, au Service du contre-espionnage militaire et, dès lors que la sécurité de la Fédération est en jeu, à d’autres services du ministère fédéral de la Défense, la communication d’informations dans ce cadre n’est licite que si elle est faite avec l’accord des organes concernés. 4) Les informations demandées ne sont pas fournies dans les cas suivants : 1. leur communication compromettrait la bonne exécution des tâches incombant au responsable du traitement, 2. leur communication menacerait la sécurité publique ou l’ordre public, ou porterait préjudice de toute autre manière à la Fédération ou à un Land, o u 3. les données ou leur enregistrement, notamment eu égard aux intérêts légitimes supérieurs d’un tiers, doivent rester secrets en vertu de la loi ou du fait de la nature des données, et l’intérêt de la personne concernée à obtenir des informations en question ne doit donc pas primer. 5) Il n’est pas nécessaire de motiver un refus de fournir des informations si le fait d’indiquer les motifs concrets et légaux de ce refus risque de compromettre la finalité pour laquelle la demande est refusée. En pareil cas, la personne concernée doit être informée de la possibilité qui lui est offerte de prendre contact avec le Commissaire fédéral à la protection des données et au droit à l’information. 6) Si elles ne sont pas communiquées à la personne concernée, et si la personne concernée en fait la demande, les informations demandées sont communiquées au Commissaire fédéral à la protection des données et au droit à l’information, à moins que l’autorité fédérale suprême compétente ne constate que dans le cas en question, pareille mesure menacerait la sécurité de la Fédération ou d’un Land . Les informations fournies par le Commissaire fédéral à la personne concernée ne peuvent donner aucune indication quant aux éléments à la disposition du responsable du traitement, à moins que celui-ci n’y ait consenti . 7) Les informations sont fournies gratuitement. » Article 19a – Notification « 1) Si des données sont collectées à l’insu de la personne concernée, celle-ci est informée de cette collecte, de l’identité du responsable du traitement et des buts visés par la collecte, le traitement ou l’utilisation des données. La personne concernée est également informée des destinataires ou des catégories de destinataires, sauf dans les cas où elle doit s’attendre à un transfert aux destinataires en question. Si un transfert est prévu, la personne concernée en est informée au plus tard au moment du premier transfert. 2) La personne concernée n’a pas à être notifiée dans les cas suivants : 1. elle dispose déjà des informations en question, 2. l’informer nécessiterait un effort disproportionné, ou 3. l’enregistrement ou le transfert de données à caractère personnel sont expressément prévus par la loi. Le responsable du traitement précise par écrit les conditions en vertu desquelles la notification n’a pas à être effectuée conformément aux points 2 ou 3 ci-dessus . 3) L’article 19 §§ 2 à 4 s’applique en conséquence. » Article 21 – Recours auprès du Commissaire fédéral à la protection des données et au droit à l’information « Quiconque s’estime victime d’une atteinte à ses droits du fait de la collecte, du traitement ou de l’utilisation de données à caractère personnel le concernant par des organes publics de la Fédération peut saisir le Commissaire fédéral chargé de la protection des données et de la liberté d’information. La présente disposition s’applique à la collecte, au traitement ou à l’utilisation de données à caractère personnel par des juridictions fédérales dans les seuls cas où les juridictions en question traitent d’affaires relevant du domaine administratif . » Article 24 – Contrôle par le Commissaire fédéral à la protection des données et au droit à l’information « 1) Le Commissaire fédéral à la protection des données et au droit à l’information contrôle le respect par les organes publics de la Fédération des dispositions de la présente loi et des autres dispositions relatives à la protection des données. 2) Le contrôle exercé par le Commissaire fédéral s’étend également : 1. aux données à caractère personnel obtenues par des organes publics de la Fédération concernant la teneur de communications postales et de télécommunications, ainsi que les circonstances particulières ayant entouré les communications en question, et 2. les données à caractère personnel relevant du secret professionnel ou du secret de fonction, notamment du secret fiscal en vertu de l’article 30 du code fiscal allemand. (...) » 45. Des dispositions similaires existaient dans les Länder. Ceux-ci disposent en outre de leur propre commissaire à la protection des données, dont la mission est de contrôler le respect par les autorités des Länder des lois sur la protection des données. III. LE DROIT ET LA PRATIQUE DE L’UNION EUROPÉENNE A. La Charte des droits fondamentaux de l’Union européenne 46. Les articles 7 et 8 de la Charte sont ainsi libellés : Article 7 – Respect de la vie privée et familiale « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications. » Article 8 – Protection des données à caractère personnel « 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification. 3. Le respect de ces règles est soumis au contrôle d’une autorité indépendante. » B. la réglementation de l’Union européenne relative à la protection des données 47. La directive vie privée et communications électroniques (Directive 2002/58/CE du Parlement européen et du Conseil concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques), adoptée le 12 juillet 2002, est ainsi libellée dans ses considérants 2 et 11 : « 2) La présente directive vise à respecter les droits fondamentaux et observe les principes reconnus notamment par la Charte des droits fondamentaux de l’Union européenne. En particulier, elle vise à garantir le plein respect des droits exposés aux articles 7 et 8 de cette charte. (...) 11) À l’instar de la directive 95/46/CE, la présente directive ne traite pas des questions de protection des droits et libertés fondamentaux liées à des activités qui ne sont pas régies par le droit communautaire. Elle ne modifie donc pas l’équilibre existant entre le droit des personnes à une vie privée et la possibilité dont disposent les États membres de prendre des mesures telles que celles visées à l’article 15, paragraphe 1, de la présente directive, nécessaires pour la protection de la sécurité publique, de la défense, de la sûreté de l’État (y compris la prospérité économique de l’État lorsqu’il s’agit d’activités liées à la sûreté de l’État) et de l’application du droit pénal. Par conséquent, la présente directive ne porte pas atteinte à la faculté des États membres de procéder aux interceptions légales des communications électroniques ou d’arrêter d’autres mesures si cela s’avère nécessaire pour atteindre l’un quelconque des buts précités, dans le respect de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, telle qu’interprétée par la Cour européenne des droits de l’homme dans ses arrêts. Lesdites mesures doivent être appropriées, rigoureusement proportionnées au but poursuivi et nécessaires dans une société démocratique. Elles devraient également être subordonnées à des garanties appropriées, dans le respect de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. » 48. Les dispositions pertinentes de cette directive se lisent par ailleurs comme suit : Article 1 – Champ d’application et objectif « 1. La présente directive harmonise les dispositions des États membres nécessaires pour assurer un niveau équivalent de protection des droits et libertés fondamentaux, et en particulier du droit à la vie privée, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et des services de communications électroniques dans la Communauté. 2. Les dispositions de la présente directive précisent et complètent la directive 95/46/CE aux fins énoncées au paragraphe 1. En outre, elles prévoient la protection des intérêts légitimes des abonnés qui sont des personnes morales. 3. La présente directive ne s’applique pas aux activités qui ne relèvent pas du traité instituant la Communauté européenne, telles que celles visées dans les titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux activités concernant la sécurité publique, la défense, la sûreté de l’État (y compris la prospérité économique de l’État lorsqu’il s’agit d’activités liées à la sûreté de l’État) ou aux activités de l’État dans des domaines relevant du droit pénal. » Article 15 – Application de certaines dispositions de la directive 95/46/CE « 1. Les États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l’article 8, paragraphes 1, 2, 3 et 4, et à l’article 9 de la présente directive lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la directive 95/46/CE. À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe. Toutes les mesures visées dans le présent paragraphe sont prises dans le respect des principes généraux du droit communautaire, y compris ceux visés à l’article 6, paragraphes 1 et 2, du traité sur l’Union européenne. » 49 . Le 15 mars 2006, la directive sur la conservation des données (Directive 2006/24/CE du Parlement européen et du Conseil de l’Union européenne sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE) a été adoptée. En ses passages pertinents, elle était ainsi libellée : Article 1 - Objet et champ d’application « 1. La présente directive a pour objectif d’harmoniser les dispositions des États membres relatives aux obligations des fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications en matière de conservation de certaines données qui sont générées ou traitées par ces fournisseurs, en vue de garantir la disponibilité de ces données à des fins de recherche, de détection et de poursuite d’infractions graves telles qu’elles sont définies par chaque État membre dans son droit interne. 2. La présente directive s’applique aux données relatives au trafic et aux données de localisation concernant tant les entités juridiques que les personnes physiques, ainsi qu’aux données connexes nécessaires pour identifier l’abonné ou l’utilisateur enregistré. Elle ne s’applique pas au contenu des communications électroniques, notamment aux informations consultées en utilisant un réseau de communications électroniques. » Article 3 – Obligation de conservation de données « Par dérogation aux articles 5, 6 et 9 de la directive 2002/58/CE, les États membres prennent les mesures nécessaires pour que les données visées à l’article 5 de la présente directive soient conservées, conformément aux dispositions de cette dernière, dans la mesure où elles sont générées ou traitées dans le cadre de la fourniture des services de communication concernés par des fournisseurs de services de communications électroniques accessibles au public ou d’un réseau public de communications, lorsque ces fournisseurs sont dans leur ressort. » 50 . En substance, la directive établissait pour les fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications l’obligation de conserver l’ensemble des données relatives au trafic et des données de localisation pour une durée comprise entre six mois et deux ans afin de faire en sorte que ces données soient disponibles aux fins de la recherche, de la détection et de la poursuite d’infractions graves telles que définies par chaque État membre dans son droit interne . En vertu de cette obligation, les États membres devaient, notamment, veiller à ce que soient conservées les données nécessaires pour retrouver et identifier la source et la destination d’une communication, c’est-à-dire le numéro de téléphone de l’appelant ainsi que le nom et l’adresse de l’abonné ou de l’utilisateur inscrit (article 5 § 1 a) et b)). C. La jurisprudence pertinente de la Cour de justice de l’Union européenne 51. Dans l’arrêt qu’elle adopta le 8 avril 2014 dans l’affaire Digital Rights Ireland et Seitlinger et autres (affaires jointes C-293/12 et C-594/12, EU:C:2014:238), la Cour de justice de l’Union européenne (« la CJUE ») déclara nulle la directive sur la conservation de données (paragraphes 49-50 ci-dessus). 52. La CJUE développa sa jurisprudence sur les droits numériques dans l’affaire Tele2 Sverige et Tom Watson et autres (arrêt du 21 décembre 2016, affaires jointes C-203/15 et C-698/15, EU:C:2016:970). Elle s’exprima notamment comme suit (les références à d’autres arrêts de la CJUE ont été omises dans la citation ci-dessous) : « 103. (...) si l’efficacité de la lutte contre la criminalité grave, notamment contre la criminalité organisée et le terrorisme, peut dépendre dans une large mesure de l’utilisation des techniques modernes d’enquête, un tel objectif d’intérêt général, pour fondamental qu’il soit, ne saurait à lui seul justifier qu’une réglementation nationale prévoyant la conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation soit considérée comme nécessaire aux fins de ladite lutte (...) 104 . À cet égard, il convient de relever, d’une part, qu’une telle réglementation a pour effet, eu égard à ses caractéristiques décrites au point 97 du présent arrêt, que la conservation des données relatives au trafic et des données de localisation est la règle, alors que le système mis en place par la directive 2002/58 exige que cette conservation des données soit l’exception. 105. D’autre part, une réglementation nationale telle que celle en cause au principal, qui couvre de manière généralisée tous les abonnés et utilisateurs inscrits et vise tous les moyens de communication électronique ainsi que l’ensemble des données relatives au trafic, ne prévoit aucune différenciation, limitation ou exception en fonction de l’objectif poursuivi. Elle concerne de manière globale l’ensemble des personnes faisant usage de services de communications électroniques, sans que ces personnes se trouvent, même indirectement, dans une situation susceptible de donner lieu à des poursuites pénales. Elle s’applique donc même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions pénales graves. En outre, elle ne prévoit aucune exception, de telle sorte qu’elle s’applique même à des personnes dont les communications sont soumises, selon les règles du droit national, au secret professionnel (...). 106. Une telle réglementation ne requiert aucune relation entre les données dont la conservation est prévue et une menace pour la sécurité publique. Notamment, elle n’est pas limitée à une conservation portant soit sur des données afférentes à une période temporelle et/ou une zone géographique et/ou sur un cercle de personnes susceptibles d’être mêlées d’une manière ou d’une autre à une infraction grave, soit sur des personnes qui pourraient, pour d’autres motifs, contribuer, par la conservation de leurs données, à la lutte contre la criminalité (...). 107. Une réglementation nationale telle que celle en cause au principal excède donc les limites du strict nécessaire et ne saurait être considérée comme étant justifiée, dans une société démocratique, ainsi que l’exige l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte. 108. En revanche, l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte, ne s’oppose pas à ce qu’un État membre adopte une réglementation permettant, par mesure de précaution, la conservation ciblée des données relatives au trafic et des données de localisation, à des fins de lutte contre la criminalité grave, à condition que la conservation des données soit, en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue, limitée au strict nécessaire. 109. Pour satisfaire aux exigences énoncées au point précédent du présent arrêt, cette réglementation nationale doit, en premier lieu, prévoir des règles claires et précises régissant la portée et l’application d’une telle mesure de conservation des données et imposant un minimum d’exigences, de telle sorte que les personnes dont les données ont été conservées disposent de garanties suffisantes permettant de protéger efficacement leurs données à caractère personnel contre les risques d’abus. Elle doit en particulier indiquer en quelles circonstances et sous quelles conditions une mesure de conservation des données peut, à titre préventif, être prise, garantissant ainsi qu’une telle mesure soit limitée au strict nécessaire (...). 110. En second lieu, s’agissant des conditions matérielles auxquelles doit satisfaire une réglementation nationale permettant, dans le cadre de la lutte contre la criminalité, la conservation, à titre préventif, des données relatives au trafic et des données de localisation, afin de garantir qu’elle soit limitée au strict nécessaire, il convient de relever que, si ces conditions peuvent varier en fonction des mesures prises aux fins de la prévention, de la recherche, de la détection et de la poursuite de la criminalité grave, la conservation des données n’en doit pas moins toujours répondre à des critères objectifs, établissant un rapport entre les données à conserver et l’objectif poursuivi. En particulier, de telles conditions doivent s’avérer, en pratique, de nature à délimiter effectivement l’ampleur de la mesure et, par suite, le public concerné. 111. S’agissant de la délimitation d’une telle mesure quant au public et aux situations potentiellement concernés, la réglementation nationale doit être fondée sur des éléments objectifs permettant de viser un public dont les données sont susceptibles de révéler un lien, au moins indirect, avec des actes de criminalité grave, de contribuer d’une manière ou d’une autre à la lutte contre la criminalité grave ou de prévenir un risque grave pour la sécurité publique. (...). » 53. À la suite de cet arrêt, les juridictions nationales de plusieurs États membres sollicitèrent de la CJUE qu’elle rendît une décision préjudicielle pour clarifier la portée et les effets de l’arrêt Tele2 Sverige . Deux de ces affaires sont toujours pendantes (Privacy International, C-623/17, et Ordre des barreaux francophones et germanophone, Académie Fiscale ASBL, UA, Liga voor Mensenrechten ASBL, Ligue des Droits de l’Homme ASBL, VZ, WY, XX, C ‑ 520/18). 54. Dans une troisième affaire, Ministerio Fiscal (arrêt du 2 octobre 2018, C ‑ 207/16, EU:C:2018:788), la CJUE fut interrogée sur la question de savoir si l’article 15, paragraphe 1, de la directive sur la conservation des données, lu à la lumière des articles 7 et 8 de la Charte des droits fondamentaux, devait être interprété en ce sens que l’accès d’autorités publiques aux données visant à l’identification des titulaires des cartes SIM activées avec un téléphone mobile volé, telles que les nom, prénom et, le cas échéant, adresse de ces titulaires, comporte une ingérence dans les droits fondamentaux de ces derniers, consacrés à ces articles de la Charte, qui présente une gravité telle que cet accès devrait être limité, en matière de prévention, de recherche, de détection et de poursuite d’infractions pénales, à la lutte contre la criminalité grave et, dans l’affirmative, à l’aune de quels critères la gravité de l’infraction en cause devait être appréciée. 55. Dans son arrêt du 2 octobre 2018, la CJUE s’exprima comme suit (les références à d’autres arrêts de la CJUE ont été omises dans la citation ci-dessous) : « 51. Quant à l’existence d’une ingérence dans ces droits fondamentaux, il y a lieu de rappeler que, comme l’a relevé M. l’avocat général aux points 76 et 77 de ses conclusions, l’accès des autorités publiques à de telles données est constitutif d’une ingérence dans le droit fondamental au respect de la vie privée, consacré à l’article 7 de la Charte, même en l’absence de circonstances permettant de qualifier cette ingérence de « grave » et sans qu’il importe que les informations relatives à la vie privée concernées présentent ou non un caractère sensible ou que les intéressés aient ou non subi d’éventuels inconvénients en raison de ladite ingérence. Un tel accès constitue également une ingérence dans le droit fondamental à la protection des données à caractère personnel garanti à l’article 8 de la Charte, puisqu’il constitue un traitement de données à caractère personnel. (...) 56. En effet, conformément au principe de proportionnalité, une ingérence grave ne peut être justifiée, en matière de prévention, de recherche, de détection et de poursuite d’infractions pénales, que par un objectif de lutte contre la criminalité devant également être qualifiée de « grave ». 57. En revanche, lorsque l’ingérence que comporte un tel accès n’est pas grave, ledit accès est susceptible d’être justifié par un objectif de prévention, de recherche, de détection et de poursuite d’« infractions pénales » en général. 58. Il convient donc, avant tout, de déterminer si, en l’occurrence, en fonction des circonstances de l’espèce, l’ingérence dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte qu’un accès de la police judiciaire aux données en cause au principal comporterait doit être considérée comme étant « grave ». 59. À cet égard, la demande en cause au principal par laquelle la police judiciaire sollicite, pour les besoins d’une enquête pénale, l’autorisation judiciaire d’accéder à des données à caractère personnel conservées par des fournisseurs de services de communications électroniques, a pour seul objet d’identifier les titulaires des cartes SIM activées, pendant une période de douze jours, avec le code IMEI du téléphone mobile volé. Ainsi qu’il a été relevé au point 40 du présent arrêt, cette demande vise l’accès aux seuls numéros de téléphone correspondant à ces cartes SIM ainsi qu’aux données relatives à l’identité civile des titulaires desdites cartes, telles que leurs nom, prénom et, le cas échéant, adresse. En revanche, ces données ne portent pas, comme l’ont confirmé tant le gouvernement espagnol que le ministère public lors de l’audience, sur les communications effectuées avec le téléphone mobile volé ni sur la localisation de celui-ci. 60. Il apparaît donc que les données visées par la demande d’accès en cause au principal permettent uniquement de mettre en relation, pendant une période déterminée, la ou les cartes SIM activées avec le téléphone mobile volé avec l’identité civile des titulaires de ces cartes SIM. Sans un recoupement avec les données afférentes aux communications effectuées avec lesdites cartes SIM et les données de localisation, ces données ne permettent de connaître ni la date, l’heure, la durée et les destinataires des communications effectuées avec la ou les cartes SIM en cause, ni les endroits où ces communications ont eu lieu ou la fréquence de celles-ci avec certaines personnes pendant une période donnée. Lesdites données ne permettent donc pas de tirer de conclusions précises concernant la vie privée des personnes dont les données sont concernées. 61. Dans ces conditions, l’accès aux seules données visées par la demande en cause au principal ne saurait être qualifié d’ingérence « grave » dans les droits fondamentaux des personnes dont les données sont concernées. » IV. LE DROIT ET LA PRATIQUE INTERNATIONAU X 56. Dans le rapport qu’il présenta au Conseil des droits de l’homme et qui portait sur le recours au chiffrement et à l’anonymat aux fins de l’exercice du droit à la liberté d’opinion et d’expression à l’ère du numérique, le Rapporteur spécial sur la promotion et la protection du droit à la liberté d’opinion et d’expression, David Kaye, formula les recommandations suivantes (A/HRC/29/32, 22 May 2015, § 60): « Les États ne devraient pas imposer de restrictions au chiffrement et à l’anonymat, qui facilitent et, souvent, rendent possible l’exercice des droits à la liberté d’opinion et d’expression. Les interdictions généralisées ne sont ni nécessaires ni proportionnées. (...) [L]es États devraient éviter de subordonner l’accès aux communications numériques et aux services en ligne à l’identification des utilisateurs et d’exiger des utilisateurs de téléphones portables qu’ils enregistrent leur carte SIM. » 57. La Convention du Conseil de l’Europe de 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (la « Convention sur la protection des données), qui fut ratifiée par tous les États membres du Conseil de l’Europe et entra en vigueur en Allemagne le 1 er octobre 1985, formule plusieurs principes fondamentaux en matière de collecte et de traitement des données à caractère personnel. Aux termes de son article premier, elle a pour but de garantir à toute personne physique le respect de ses droits et libertés fondamentales, et notamment de son droit à la vie privée, à l’égard du traitement automatisé des données à caractère personnel la concernant. Elle renferme les principes fondamentaux suivants : Article 2 – Définitions « Aux fins de la présente Convention : a « données à caractère personnel » signifie : toute information concernant une personne physique identifiée ou identifiable (« personne concernée »); b « fichier automatisé » signifie : tout ensemble d’informations faisant l’objet d’un traitement automatisé; c « traitement automatisé » s’entend des opérations suivantes effectuées en totalité ou en partie à l’aide de procédés automatisés : enregistrement des données, application à ces données d’opérations logiques et/ou arithmétiques, leur modification, effacement, extraction ou diffusion; (...) » Article 5 – Qualité des données « Les données à caractère personnel faisant l’objet d’un traitement automatisé sont : a obtenues et traitées loyalement et licitement; b enregistrées pour des finalités déterminées et légitimes et ne sont pas utilisées de manière incompatible avec ces finalités; c adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées; d exactes et si nécessaire mises à jour; e conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées. » Article 7 – Sécurité des données « Des mesures de sécurité appropriées sont prises pour la protection des données à caractère personnel enregistrées dans des fichiers automatisés contre la destruction accidentelle ou non autorisée, ou la perte accidentelle, ainsi que contre l’accès, la modification ou la diffusion non autorisés . » Article 8 – Garanties complémentaires pour la personne concernée « Toute personne doit pouvoir : a connaître l’existence d’un fichier automatisé de données à caractère personnel, ses finalités principales, ainsi que l’identité et la résidence habituelle ou le principal établissement du maître du fichier; b obtenir à des intervalles raisonnables et sans délais ou frais excessifs la confirmation de l’existence ou non dans le fichier automatisé, de données à caractère personnel la concernant ainsi que la communication de ces données sous une forme intelligible; c obtenir, le cas échéant, la rectification de ces données ou leur effacement lorsqu’elles ont été traitées en violation des dispositions du droit interne donnant effet aux principes de base énoncés dans les articles 5 et 6 de la présente Convention; d disposer d’un recours s’il n’est pas donné suite à une demande de confirmation ou, le cas échéant, de communication, de rectification ou d’effacement, visée aux paragraphes b et c du présent article. » Article 9 – Exceptions et restrictions « Aucune exception aux dispositions des articles 5, 6 et 8 de la présente Convention n’est admise, sauf dans les limites définies au présent article. Il est possible de déroger aux dispositions des articles 5, 6 et 8 de la présente Convention lorsqu’une telle dérogation, prévue par la loi de la Partie, constitue une mesure nécessaire dans une société démocratique : a à la protection de la sécurité de l’État, à la sûreté publique, aux intérêts monétaires de l’État ou à la répression des infractions pénales; b à la protection de la personne concernée et des droits et libertés d’autrui. Des restrictions à l’exercice des droits visés aux paragraphes b, c et d de l’article 8 peuvent être prévues par la loi pour les fichiers automatisés de données à caractère personnel utilisés à des fins de statistiques ou de recherches scientifiques, lorsqu’il n’existe manifestement pas de risques d’atteinte à la vie privée des personnes concernées. » La Convention sur la protection des données est en cours de mise à jour. Le but visé par cette mise à jour est notamment de mieux répondre aux défis que pose l’utilisation des nouvelles technologies en matière d’information et de communication. Un protocole portant modification de la Convention sur la protection des données a été ouvert à la signature des États contractants le 10 octobre 2018 et signé par l’Allemagne le même jour. V. DROIT COMPARÉ 58. Il ressort d’un rapport de droit comparé portant sur les pratiques de trente-quatre États membres du Conseil de l’Europe en matière de conservation des données des détenteurs de cartes SIM prépayées que quinze États imposent aux fournisseurs de services de télécommunications l’obligation de conserver ces données et qu’aucun des États étudiés n’autorise actuellement ses autorités à tenir leur propre base de données sur les abonnés des services de télécommunications. En outre, il apparaît qu’il existe des différences quant à la durée pendant laquelle ces données peuvent être conservées, aux finalités pour lesquelles elles peuvent être utilisées et aux exigences procédurales à respecter aux fins de leur consultation. En particulier, une majorité d’États prévoient dans leur législation une liste d’autorités spécifiques habilitées à accéder aux informations relatives aux abonnés et des restrictions à l’effet de n’autoriser la consultation des données en question qu’aux fins d’enquêtes pénales ou de la prévention de menaces à l’ordre public. En outre, les exigences procédurales relatives à l’accès aux informations relatives aux abonnés incluent dans la plupart des États une ordonnance d’un tribunal ou du parquet, notamment si les données sur les abonnés doivent être utilisées principalement aux fins d’une enquête pénale. Enfin, seule une minorité d’États exigent que les clients soient informés en cas de consultation de données à caractère personnel les concernant. EN DROIT SUR LA VIOLATION ALLÉGUÉE DES ARTICLES 8 ET 10 DE LA CONVENTION 59. Les requérants se plaignent, en tant qu’utilisateurs de cartes SIM prépayées pour téléphone mobile, de ce que certaines données à caractère personnel les concernant aient été conservées par leurs fournisseurs de services de télécommunications respectifs du fait de l’obligation légale prévue à l’article 111 de la loi sur les télécommunications. Ils invoquent leur droit au respect de leur vie privée et de leur correspondance, garanti par l’article 8 de la Convention, et leur droit à la liberté d’expression, garanti par l’article 10 de la Convention. Les deux dispositions en question sont ainsi libellées en leurs parties pertinentes en l’espèce : Article 8 « 1. Toute personne a droit au respect de sa vie privée (...) et de sa correspondance. 2. Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien ‑ être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui. » Article 10 « 1. Toute personne a droit à la liberté d’expression. Ce droit comprend la liberté d’opinion et la liberté de recevoir ou de communiquer des informations ou des idées sans qu’il puisse y avoir ingérence d’autorités publiques et sans considération de frontière. (...) 2. L’exercice de ces libertés comportant des devoirs et des responsabilités peut être soumis à certaines formalités, conditions, restrictions ou sanctions prévues par la loi, qui constituent des mesures nécessaires, dans une société démocratique, à la sécurité nationale, (...) ou à la sûreté publique, à la défense de l’ordre et à la prévention du crime (...). » A. Portée de la requête et appréciation de la Cour 1. Les droits conventionnels soumis à l’appréciation de la Cour 60. La Cour note d’emblée que les requérants invoquent les articles 8 (droit au respect de la vie privée et de la correspondance) et 10 (droit à l’anonymat des communications en tant qu’aspect du droit à la liberté d’expression). Toutefois, elle observe également que devant elle, les requérants se sont bornés à contester la compatibilité de l’article 111 de la loi sur les télécommunications avec la Convention. Les requérants ne se plaignent explicitement ni des articles 112 et 113 de cette loi, qui étaient aussi visés dans leur recours devant la Cour constitutionnelle fédérale, ni d’autres mesures concernant la surveillance ou l’interception de communications téléphoniques. Cependant, pareil constat ne signifie pas pour autant que ces autres dispositions de la loi sur les télécommunications ne seront pas pertinentes aux fins de l’appréciation de la proportionnalité de l’ingérence alléguée et de l’application de la loi en question dans la pratique (paragraphes 97-101 ci-dessous). 61. L’article 111 de la loi sur les télécommunications ne concerne que la conservation des données relatives aux abonnés, à savoir le numéro de téléphone, le nom, l’adresse et la date de naissance de l’abonné, ainsi que la date du contrat. Il ne concerne ni les données relatives au trafic, ni les données de localisation, ni aucune donnée permettant de révéler la teneur des communications. De plus, les requérants n’ont allégué ni que leurs communications avaient été interceptées, ni que leurs télécommunications avaient fait l’objet d’une autre mesure de surveillance. L’ingérence alléguée concerne la conservation des données décrites ci-dessus et la possibilité pour les autorités nationales d’y accéder dans certains cas bien définis. Dès lors, tout en gardant à l’esprit les circonstances entourant la conservation des données en cause, la proximité de cette mesure avec les communications téléphoniques ainsi que le droit à la correspondance, la Cour considère que l’aspect clé du grief des requérants est la conservation de données à caractère personnel les concernant et non une ingérence particulière dans l’exercice de leur droit à la correspondance ou de leur droit à la liberté d’expression . 62. La Cour n’est donc appelée en l’espèce ni à décider si et dans quelle mesure l’article 10 de la Convention peut s’analyser comme garantissant un droit à l’anonymat pour les utilisateurs de services de télécommunications (voir, concernant l’intérêt des internautes à ne pas dévoiler leur identité, Delfi AS c. Estonie [GC], n o 64569/09, § 147, 16 juin 2015) ni à déterminer comment ce droit devrait être mis en balance avec d’autres impératifs (voir, mutatis mutandis, K.U. c. Finlande, n o 2872/02, § 49, 2 décembre 2008). 63. En résumé, la Cour juge qu’il est approprié d’examiner les griefs des requérants uniquement sous l’angle du droit au respect de la vie privée garanti par l’article 8 de la Convention. 2. Portée temporelle de l’appréciation 64. La Cour relève que depuis la date d’enregistrement de leur carte SIM, le fournisseur de services de télécommunications conserve à titre temporaire les données relatives aux requérants. Elle note également que l’article 111 de la loi sur les télécommunications a été modifié en 2007 et 2016. Elle observe toutefois que dans son arrêt du 24 janvier 2012, la Cour constitutionnelle fédérale a examiné la loi sur les télécommunications telle qu’elle était en vigueur au 1 er janvier 2008 et que la procédure relative à la modification ultérieure de la loi de 2016 sur les télécommunications est toujours pendante devant la Cour constitutionnelle fédérale (paragraphes 11 et 28 ci-dessus). Elle examinera donc les dispositions pertinentes telles qu’elles étaient en vigueur au 1 er janvier 2008. B. Sur la recevabilité 65. La Cour constate que ce grief n’est pas manifestement mal fondé au sens de l’article 35 § 3 (a) de la Convention et qu’il ne se heurte par ailleurs à aucun autre motif d’irrecevabilité. Il convient donc de le déclarer recevable. C. Sur le fond 1. Thèses des parties a) Les requérants 66. Les requérants arguent que l’obligation de conservation des données à caractère personnel les concernant qui découle de l’article 111 de la loi sur les télécommunications les a contraints à divulguer des données à caractère personnel les concernant, données qui ont ensuite été conservées. Ils y voient une ingérence dans l’exercice par eux de leur droit au respect de leur vie privée. Ils estiment que cette ingérence est non justifiée, en particulier parce qu’elle est selon eux disproportionnée et non nécessaire dans une société démocratique. Ils soutiennent tout d’abord que le processus d’identification peut facilement être contourné par la présentation de faux noms ou l’utilisation de cartes SIM volées, d’occasion ou étrangères, et que la disposition en question n’est donc pas un instrument approprié. Ils considèrent en outre que cette disposition n’est pas nécessaire, d’autres mesures d’enquête pouvant selon eux aisément permettre d’identifier les utilisateurs de téléphones portables soupçonnés d’avoir commis une infraction pénale. Ils en déduisent que la modification de l’article 111 de la loi sur les télécommunications ne s’est pas traduite par une diminution de la criminalité. 67. Les requérants soutiennent que l’ingérence litigieuse s’analyse en une mesure de stockage massif, à titre de précaution, des données à caractère personnel de toutes les personnes qui utilisent des moyens de télécommunication, et qu’elle est donc très grave. Ils arguent que la disposition en cause ne prévoit pas de conditions préalables à la conservation des données, mais qu’elle est applicable de manière générale à tous les utilisateurs de téléphones mobiles. D’après eux, la grande majorité des personnes touchées sont innocentes et ne représentent aucun danger ni aucune menace pour la sûreté publique ou la sécurité nationale. Selon les chiffres de l’Agence fédérale des réseaux, le nombre de données visées par une demande de consultation en vertu de la procédure automatisée prévue par l’article 112 de la loi sur les télécommunications serait passé de 26,62 millions en 2008 à 34,83 millions en 2015. De plus, la disposition en cause n’opérerait aucune distinction entre une communication « normale » et une communication particulièrement protégée par la Convention, entre un avocat et son client ou un médecin et son patient, par exemple. Par ailleurs, la conservation de données augmenterait le risque d’abus et de fuites de données et, par conséquent, le risque de fraude identitaire. b) Le Gouvernement 68. Le Gouvernement concède que l’article 111 de la loi sur les télécommunications s’analyse en une ingérence dans l’exercice par les requérants de leur droit au respect de leur vie privée. Il admet que cette loi impose aux fournisseurs de services des intéressés de conserver les données à caractère personnel concernant ceux-ci. Il soutient qu’aucune donnée relative au « trafic » – c’est-à-dire aucune donnée provenant d’un processus de communication – n’est stockée, et que seules sont conservées les informations relatives aux abonnés énumérées ci-dessus (paragraphe 61 ci ‑ dessus). Il argue en outre que l’article 111 doit être lu en combinaison avec les articles 112 et 113 de la loi sur les télécommunications et avec les autres dispositions limitant l’accès aux données conservées, la récupération par les autorités de données relatives aux abonnés devant selon lui reposer sur une base légale. 69. Le Gouvernement soutient que cette ingérence est limitée, qu’elle poursuit les buts légitimes que sont la sûreté publique, la défense de l’ordre, la prévention des infractions pénales et la protection des droits et libertés d’autrui, et qu’elle constitue un instrument approprié à cette fin en ce qu’elle donne aux services de sécurité la possibilité d’établir un lien entre le numéro de téléphone portable d’une carte SIM prépayée et un individu donné. Il argue que cette possibilité contribue à une application effective de la loi et sert à écarter certaines menaces. Il affirme que la possibilité de contourner la disposition en cause a été restreinte davantage encore par la modification qui y a été apportée en 2016 (paragraphe 28 ci-dessus). 70. Le Gouvernement estime que la disposition litigieuse satisfait aussi aux exigences en matière de protection des données à caractère personnel telles qu’établies par la Cour dans l’arrêt S. et Marper c. Royaume ‑ Uni ([GC], n os 30562/04 et 30566/04, § 103, CEDH 2008). Il soutient que cette disposition limite la quantité de données pouvant être communiquées aux éléments qui sont absolument nécessaires à des fins d’identification. Il argue que la durée de conservation des données est clairement définie et limitée à une durée maximale ne dépassant pas la durée nécessaire à la réalisation du but poursuivi. Il voit en outre dans les articles 112 et 113 de la loi sur les télécommunications, combinés avec les dispositions spécifiques relatives à la récupération de données, des garanties effectives contre les abus. 71. Le Gouvernement soutient par ailleurs, d’une part, que les autorités allemandes doivent ménager un équilibre entre différents droits et obligations concurrents protégés par la Convention (il renvoie à cet égard à l’arrêt Evans c. Royaume-Uni [GC], n o 6339/05, § 77, 10 avril 2007), et, d’autre part, qu’il n’existe pas de consensus européen quant à l’obligation de conserver les données relatives aux abonnés ayant fait l’acquisition de cartes SIM prépayées. Il en conclut que la marge d’appréciation accordée aux États membres est relativement large, et qu’il convient d’en tenir compte . En résumé, la conservation d’un ensemble très limité de données, protégées par plusieurs garanties procédurales, serait proportionnée au regard des intérêts cruciaux que représenteraient la sûreté publique, la défense de l’ordre et la prévention des infractions pénales. c) Les tiers intervenants 72. Les tiers intervenants, Privacy International et ARTICLE 19, soutiennent que l’anonymat et l’anonymat du discours, de même que le droit des citoyens au respect de la vie privée et à la liberté d’expression, sont importants dans une société démocratique. Ils arguent que cet élément qu’ils jugent fondamental est de plus en plus reconnu par les juridictions nationales et les organisations internationales, comme les Nations unies et le Conseil de l’Europe. Selon eux, la Cour elle-même a confirmé dans l’affaire Delfi AS

c. Estonie (précitée, §§ 147-48) l’importance que revêt l’anonymat. Les juridictions des pays d’Europe parviendraient en outre de plus en plus au constat que la conservation généralisée et indifférenciée de données d’identification et de données relatives au trafic est disproportionnée par rapport à la lutte, assurément importante, contre les infractions graves. À cet égard, la CJUE aurait également fait sien cet argument dans l’arrêt qu’elle a rendu dans l’affaire Digital Rights Ireland et Seitlinger et autres (paragraphe 51 ci-dessus). 2. Appréciation de la Cour a) Principes généraux 73. La Cour rappelle que la « vie privée » est une notion large, qui ne se prête pas à une définition exhaustive. L’article 8 protège notamment le droit à l’identité et au développement personnel ainsi que le droit pour tout individu de nouer et de développer des relations avec ses semblables et le monde extérieur. Il existe donc une zone d’interaction entre l’individu et autrui qui, même dans un contexte public, peut relever de la « vie privée » (Uzun c. Allemagne, n o 35623/05, § 43, 2 septembre 2010). 74. Dans le contexte des données à caractère personnel, la Cour a souligné que le terme « vie privée » ne doit pas être interprété de façon restrictive. Elle a considéré que cette interprétation extensive concorde avec celle de la Convention pour la protection des données à caractère personnel, dont le but est « de garantir, sur le territoire de chaque Partie, à toute personne physique (...) le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l’égard du traitement automatisé des données à caractère personnel la concernant » (article 1), les données à caractère personnel étant définies comme « toute information concernant une personne physique identifiée ou identifiable » (article 2) (Amann c. Suisse [GC], n o 27798/95, § 65, 16 février 2000). 75. Il résulte par ailleurs d’une jurisprudence bien établie de la Cour que la compilation de données relatives à une personne bien précise, le traitement ou l’utilisation de ces données ou leur diffusion d’une façon ou à un degré qui excèdent ce qui est normalement prévisible donnent matière à s’interroger sur le respect de la vie privée. L’article 8 de la Convention consacre donc le droit à une forme d’autodétermination informationnelle, qui autorise les personnes à invoquer leur droit à la vie privée en ce qui concerne des données qui, bien que neutres, sont collectées, traitées et diffusées à la collectivité, selon des formes ou modalités telles que leurs droits au titre de l’article 8 peuvent être mis en jeu (Satakunnan Markkinapörssi Oy et Satamedia Oy c. Finlande [GC], n o 931/13, §§ 136 ‑ 137, 27 juin 2017, avec les références citées). 76. La Cour note que si elle a déjà examiné sous l’angle de l’article 8 de la Convention un large éventail d’atteintes au droit à la vie privée résultant de la conservation, du traitement et de l’utilisation de données à caractère personnel – dans le cadre, par exemple, de l’utilisation de méthodes de surveillance par GPS dans le cadre d’une enquête pénale (Uzun, précité, et Ben Faiza c. France, n o 31446/12, 8 février 2018), de la divulgation aux forces de l’ordre, par des fournisseurs de services de télécommunications, de données d’identification (K.U. c. Finlande, précité, et Benedik c. Slovénie, n o 62357/14, 24 avril 2018), de la conservation illimitée d’empreintes digitales, d’échantillons cellulaires et de profils ADN à l’issue de procédures pénales (S. et Marper, précité), du « comptage » ou de la collecte de données relatives à l’utilisation ou au trafic (Malone c. Royaume-Uni, 2 août 1984, série A n o 82, et Copland c. Royaume-Uni, n o 62617/00, 3 avril 2007), ou de l’inclusion de délinquants sexuels dans un fichier judiciaire national automatisé consécutivement à une condamnation pour viol (B.B. c. France, n o 5335/06, 17 décembre 2009), Gardel c. France, n o 16428/05, CEDH 2009, et M.B. c. France, n o 22115/06, 17 décembre 2009) –, aucune des affaires en question ne concernait la conservation d’un ensemble de données tel que celui objet de la présente espèce. 77. Certes, une obligation, analogue à celle prévue à l’article 111 de la loi sur les télécommunications, qui imposait d’une part, la création de bases de données renfermant des informations (nom, patronyme et nom de famille, adresse personnelle et numéro de passeport pour les personnes physiques) sur tous les abonnés, et, d’autre part, la mise en place d’un système permettant aux autorités chargées de l’application de la loi d’y accéder à distance faisait partie du système de surveillance secrète dont la Cour a eu à connaître dans l’affaire Roman Zakharov c. Russie ([GC], n o 47143/06, §§ 132-33 et 269-70, CEDH 2015). Toutefois, eu égard aux autres possibilités dont les autorités russes disposaient pour intercepter les télécommunications, la Cour n’a pas jugé décisive pour conclure à la violation de l’article 8 dans cette affaire la simple obligation de conserver les informations relatives aux abonnés et de fournir un accès à distance à cette base de données. 78. Dans l’arrêt qu’elle a rendu dans l’affaire S. et Marper (arrêt précité, §

103) la Cour a dit ce qui suit : « La protection des données à caractère personnel joue un rôle fondamental pour l’exercice du droit au respect de la vie privée et familiale consacré par l’article 8 de la Convention. La législation interne doit donc ménager des garanties appropriées pour empêcher toute utilisation de données à caractère personnel qui ne serait pas conforme aux garanties prévues dans cet article (...). La nécessité de disposer de telles garanties se fait d’autant plus sentir lorsqu’il s’agit de protéger les données à caractère personnel soumises à un traitement automatique, en particulier lorsque ces données sont utilisées à des fins policières. Le droit interne doit notamment assurer que ces données sont pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées, et qu’elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées ((...)article 5 de la Convention sur la protection des données (...) [paragraphe 47 ci-dessus]). Le droit interne doit aussi contenir des garanties aptes à protéger efficacement les données à caractère personnel enregistrées contre les usages impropres et abusifs (voir notamment l’article 7 de la Convention sur la protection des données [paragraphe 47 ci-dessus]). (...) » 79. La Cour a reconnu que, lorsqu’elles mettent en balance l’intérêt de l’État défendeur à protéger la sécurité nationale au moyen de mesures de surveillance secrète, d’une part, et la gravité de l’ingérence dans l’exercice par un requérant du droit au respect de sa vie privée, d’autre part, les autorités nationales disposent d’une certaine marge d’appréciation dans le choix des moyens propres à atteindre le but légitime que constitue la protection de la sécurité nationale. Cette marge d’appréciation va toutefois de pair avec un contrôle européen portant à la fois sur la loi et sur les décisions qui l’appliquent (Roman Zakharov, précité, § 232, Liblik et autres c. Estonie, n os 173/15 et 5 autres, § 131, 28 mai 2019, et Szabó et Vissy c. Hongrie, n o 37138/14, § 57, 12 janvier 2016). 80. L’étendue de la marge d’appréciation est variable et dépend d’un certain nombre de facteurs, dont la nature du droit en cause garanti par la Convention et son importance pour la personne concernée, ainsi que la nature de l’ingérence et la finalité de celle-ci. Elle est d’autant plus restreinte que le droit en cause est important pour garantir à l’individu la jouissance effective des droits fondamentaux ou d’ordre « intime » qui lui sont reconnus. En revanche, elle est plus large lorsqu’il n’y a pas de consensus au sein des États membres du Conseil de l’Europe, que ce soit sur l’importance relative de l’intérêt en jeu ou sur les meilleurs moyens de le protéger (S. et Marper, précité, § 102). b) Application en l’espèce des principes susmentionnés i) Sur l’existence d’une ingérence 81. Il n’est pas contesté par les parties que l’obligation faite aux fournisseurs de services de conserver des données à caractère personnel conformément à l’article 111 de la loi sur les télécommunications s’analyse en une ingérence dans l’exercice par les requérants de leur droit au respect de leur vie privée, puisque cette obligation s’est traduite par la conservation de données à caractère personnel les concernant. À cet égard, la Cour rappelle que le simple fait de conserver des données relatives à la vie privée d’un individu constitue une ingérence au sens de l’article 8 de la Convention (Leander c. Suède, 26 mars 1987, § 48, série A n o 116). Elle prend note en outre de la conclusion de la Cour constitutionnelle fédérale qui consiste à dire, d’une part, que la protection du droit à l’autodétermination informationnelle ne se limite pas dans le droit interne aux informations qui, de par leur nature même, sont sensibles, et, d’autre part, que compte tenu des possibilités de traitement et de combinaison, il n’existe aucune donnée à caractère personnel qui soit en elle-même – c’est-à-dire quel que soit le contexte de son utilisation – insignifiante (paragraphe 122 de l’arrêt de la Cour constitutionnelle fédérale cité au paragraphe 14 ci-dessus). ii) Sur la justification de l’ingérence 82. La Cour rappelle qu’une ingérence dans l’exercice par un requérant du droit au respect de sa vie privée méconnaît l’article 8 si elle n’est pas « prévue par la loi », ne poursuit pas un ou des buts légitimes au regard du paragraphe 2 et n’est pas « nécessaire dans une société démocratique » pour atteindre ces derniers (M.N. et autres c. Saint-Marin, n o 28005/12, § 71, 7 juillet 2015, avec les références citées). α) Sur le point de savoir si l’ingérence était « prévue par la loi » 83. Selon la jurisprudence constante de la Cour, l’exigence de légalité de l’ingérence signifie non seulement que la mesure litigieuse doit avoir une base en droit interne, mais aussi que la loi doit être suffisamment accessible pour la personne concernée et prévisible quant à ses effets. Dans le contexte, entre autres, de la conservation de données à caractère personnel, il est essentiel de fixer des règles claires et détaillées imposant un minimum d’exigences concernant, notamment, la durée, le stockage, l’utilisation, l’accès des tiers, les procédures destinées à préserver l’intégrité et la confidentialité des données et les procédures de destruction de celles ‑ ci (S. et Marper, précité, § 99 et les références citées) . 84. La Cour estime que la conservation de données à caractère personnel consécutive à l’acquisition par les requérants de leurs cartes SIM respectives était fondée sur l’article 111 de la loi sur les télécommunications, et que cet article était suffisamment clair et prévisible quant à la quantité de données conservées. En outre, la durée de conservation des données en question était clairement réglementée et le volet technique de cette procédure clairement défini, au moins après la publication du règlement et de la directive technique correspondants. 85. En ce qui concerne les garanties, l’accès aux données par des tiers et l’utilisation des données conservées, l’article 111 de la loi sur les télécommunications doit être lu en combinaison avec les articles 112 et 113 de cette loi et, pour reprendre l’analogie de la « double porte » employée par la Cour constitutionnelle fédérale (paragraphe 123 de l’arrêt de la Cour constitutionnelle fédérale cité au paragraphe 14 ci-dessus), avec la base légale pertinente sous-tendant chaque demande d’informations. La Cour considère toutefois que la question de savoir si ces dispositions étaient prévisibles et suffisamment détaillées est en l’espèce étroitement liée à celles, plus larges, de savoir d’une part si l’ingérence était nécessaire dans une société démocratique et, d’autre part, si elle était proportionnée. Elle procèdera donc à un examen plus approfondi lorsqu’elle se penchera sur ces questions (paragraphes 88-110 ci-dessous). β) Sur le point de savoir si l’ingérence litigieuse poursuivait un but légitime 86. Eu égard au contexte dans lequel la conservation de données en cause s’inscrivait et, en particulier, aux finalités des demandes d’informations et aux autorités habilitées à les formuler en vertu des articles 112 et 113 de la loi sur les télécommunications, la Cour accepte l’argument du Gouvernement selon lequel l’ingérence litigieuse poursuivait les buts légitimes que sont la sûreté publique, la défense de l’ordre et la prévention des infractions pénales, ainsi que la protection des droits et libertés d’autrui. 87. À cet égard, la Cour prend note de l’explication, donnée par la Cour constitutionnelle fédérale dans son arrêt, selon laquelle l’accès aux données conservées est autorisé « aux fins de la prévention des menaces, de la poursuite d’infractions pénales ou réglementaires et de l’exécution d’actes relevant du renseignement » (paragraphe 176 de l’arrêt de la Cour constitutionnelle fédérale cité au paragraphe 21 ci-dessus). Ces buts sont également mis en exergue dans la loi sur les télécommunications, qui dispose que les demandes d’informations sont autorisées dès lors qu’elles sont nécessaires pour poursuivre les infractions pénales et réglementaires, prévenir des menaces et mener des missions de renseignement (paragraphe 31 ci-dessus). γ) Sur le point de savoir si l’ingérence était « nécessaire dans une société démocratique » 88. Une ingérence est considérée comme « nécessaire, dans une société démocratique », pour atteindre un but légitime si elle répond à un « besoin social impérieux » et demeure proportionnée au but légitime poursuivi. La Cour considère que la lutte contre la criminalité, et notamment contre le crime organisé et le terrorisme, qui constitue l’un des défis auxquels les sociétés européennes doivent faire face à l’heure actuelle, la sauvegarde de la sécurité publique et la protection des citoyens constituent des « besoins sociaux impérieux » (comparer, mutatis mutandis, avec Szabó et Vissy, précité, § 68, et Ramda c. France, n o 7847/11, § 96, 19 décembre 2017). Elle admet également que les moyens modernes de télécommunication et les changements de comportement en matière de communication commandent une adaptation des outils d’enquête à la disposition des forces de l’ordre et des services de protection de la sécurité nationale (S. et Marper, précité, § 105). 89. Le Gouvernement soutient que la possibilité de relier le numéro de téléphone mobile associé à une carte SIM prépayée à un individu donné est nécessaire à des fins d’efficacité des mécanismes d’application de la loi et de prévention des menaces. Les requérants, à l’inverse, contestent l’efficacité de l’article 111 de la loi sur les télécommunications. Ils estiment en effet qu’il n’existe aucune preuve empirique que l’obligation d’enregistrement ait conduit à une réduction de la criminalité. Ils soutiennent en outre qu’il est facile de contourner le processus d’identification en soumettant de faux noms ou en utilisant des cartes SIM volées, d’occasion ou étrangères. 90. La Cour admet que le préenregistrement des abonnés à un service de téléphonie mobile simplifie et accélère considérablement les enquêtes des autorités chargées de faire appliquer la loi et peut ainsi concourir à une application efficace des lois et prévenir la survenance de troubles et la commission d’infractions pénales. En outre, elle considère que le fait qu’il existe des moyens de contourner une obligation juridique ne saurait être une raison pour remettre en question l’utilité et l’effectivité globales d’une disposition légale. Enfin, elle rappelle qu’en matière de sécurité nationale, les autorités nationales jouissent d’une certaine marge d’appréciation dans le choix des moyens de parvenir à un but légitime, et elle fait remarquer que d’après le rapport de droit comparé, il n’existe entre les États membres aucun consensus concernant la conservation des informations relatives aux clients détenteurs de cartes SIM prépayées (paragraphe 58 ci-dessus). Eu égard à cette marge d’appréciation, elle admet que l’obligation, découlant de l’article 111 de la loi sur les télécommunications, de conserver des informations relatives aux abonnés constituait, de manière générale, une réponse adaptée à l’évolution à la fois des comportements en matière de communication et des moyens de télécommunication. 91. Il reste toutefois à savoir si l’ingérence était proportionnée et si elle a ménagé un juste équilibre entre les intérêts publics et privés concurrents en jeu. 92. La Cour doit d’emblée établir le degré de gravité de l’ingérence dans l’exercice par les requérants de leur droit au respect de leur vie privée. À cet égard, elle partage l’avis de la Cour constitutionnelle fédérale (paragraphes 138-139 de l’arrêt de la Cour constitutionnelle fédérale cité au paragraphe 15 ci-dessus) selon lequel seul un nombre limité de données étaient conservées. Les données en question n’incluaient aucune information hautement personnelle et ne permettaient ni la création de profils de personnalité ni le suivi des déplacements des abonnés à des services de téléphonie mobile. De plus, aucune donnée relative à des communications en particulier n’était conservée. Il convient donc d’opérer une distinction claire entre le degré de gravité de l’ingérence en cause en l’espèce et celui constaté dans des affaires dont la Cour a eu à connaître précédemment et qui concernaient, par exemple, le « comptage » (Malone et Copland, tous deux précités), la géolocalisation (Uzun et Ben Faiza, tous deux précités) ou la conservation de données relatives à la santé ou d’autres données sensibles (voir, par exemple, S. et Marper, précité, et M.M. c. Royaume-Uni, n o 24029/07, 13 novembre 2012). Il convient en outre d’établir une distinction entre le cas d’espèce et des affaires dans lesquelles l’enregistrement dans une base de données a donné lieu à des vérifications fréquentes ou à la collecte d’autres informations à caractère privé (Dimitrov-Kazakov c . Bulgarie, n o 11379/03, 10 février 2011, et Shimovolos c. Russie, n o 30194/09, 21 juin 2011). 93. Enfin, pour autant que les requérants soutiennent que l’ingérence était grave puisque l’article 111 de la loi sur les télécommunications a eu pour effet de créer un registre de tous les utilisateurs de cartes SIM, rendant la conservation de données en cause en l’espèce comparable selon eux à celle ayant été examinée dans les affaires Digital Rights Ireland et Seitlinger e.a., ainsi que dans les affaires Tele2 Sverige et Tom Watson e.a. (paragraphes 51-52 ci-dessus), la Cour note que la directive en cause dans les affaires en question s’appliquait aux données relatives au trafic et aux données de localisation des personnes physiques et morales ainsi qu’aux données connexes nécessaires à l’identification de l’abonné ou utilisateur enregistré. 94. En effet, les données en cause en l’espèce ressemblent davantage à celles dont il était question dans un autre renvoi préjudiciel, Ministerio fiscal (paragraphe 54 ci-dessus). Ainsi que la CJUE l’a relevé dans cette affaire, les données en question « ne permettent de connaître ni la date, l’heure, la durée et les destinataires des communications effectuées avec la ou les cartes SIM en cause, ni les endroits où ces communications ont eu lieu ou la fréquence de celles-ci avec certaines personnes pendant une période donnée. Lesdites données ne permettent donc pas de tirer de conclusions précises concernant la vie privée des personnes dont les données sont concernées. » La CJUE est donc parvenue à la conclusion que l’accès aux seules données en cause ne pouvait être qualifié d’ingérence « grave » dans les droits fondamentaux des personnes dont les données étaient concernées (paragraphe 55 ci-dessus). 95. En résumé, la Cour conclut que l’ingérence, sans être anodine, était plutôt limitée. 96. En ce qui concerne les garanties, la Cour observe que les requérants n’allèguent pas que la conservation en cause en l’espèce se soit accompagnée d’une quelconque insécurité technique. En outre, la conservation des données est limitée dans le temps et cesse à l’issue de l’année civile qui suit l’année au cours de laquelle la relation contractuelle prend fin (article 111 § 4 de la loi sur les télécommunications, paragraphe 27 ci-dessus). Pareille durée de conservation n’apparaît pas inappropriée, étant donné que les enquêtes pénales peuvent prendre un certain temps et durer au-delà de la fin de la relation contractuelle. De plus, les données conservées semblent se limiter aux informations qui sont nécessaires pour identifier clairement l’abonné concerné. 97. La Cour observe en outre que même si les requérants ne se plaignent de la conservation des données à caractère personnel les concernant que sur le fondement de l’article 111 de la loi sur les télécommunications, les deux parties admettent que la conservation des données doit aussi être appréciée à l’aune des articles 112 et 113 de cette loi. Le Gouvernement soutient que ces articles, combinés avec d’autres dispositions spécifiques relatives à la récupération de données, restreignent l’accès aux données et leur utilisation et constituent des garanties effectives contre les abus. Les requérants, quant à eux, soutiennent que chaque nouvelle mesure d’enquête sur le comportement d’une personne – en lien avec les communications mobiles – se fonde sur les informations conservées en application de l’article 111 de la loi sur les télécommunications et que, par conséquent, les possibilités d’utilisation ultérieure des données à caractère personnel les concernant doivent être prises en compte aux fins de l’appréciation de la proportionnalité de la disposition en matière de conservation des données. À l’instar des parties, la Cour estime qu’elle ne peut en l’espèce examiner la proportionnalité de l’ingérence sans évaluer de près les possibilités de consultation et d’utilisation ultérieures des données conservées. Dès lors, elle juge pertinent d’examiner la base légale des demandes d’informations et les garanties disponibles (voir, mutatis mutandis, S. et Marper, précité, §§ 67 et 103, et les références qui y sont citées). 98. Concernant l’article 112 de la loi sur les télécommunications, la Cour estime, à l’instar de la Cour constitutionnelle fédérale (paragraphe 156 de l’arrêt de la Cour constitutionnelle fédérale cité au paragraphe 18 ci ‑ dessus), que cette disposition a considérablement simplifié la récupération de données pour les autorités. La procédure centralisée et automatisée permet une forme d’accès qui élimine dans une large mesure les difficultés pratiques liées à la collecte des données et met les données à la disposition des autorités à tout moment et sans délai. Toutefois, le fait que les autorités habilitées à demander l’accès aux données en question soient énumérées de manière précise dans l’article 112 de la loi sur les télécommunications constitue un facteur limitatif. Même si la liste paraît large, toutes les autorités qui y sont mentionnées ont une mission qui est en rapport avec l’application des lois ou la protection de la sécurité nationale. 99. En ce qui concerne l’article 113 de la loi sur les télécommunications, la Cour note tout d’abord que la procédure de récupération de données n’est pas simplifiée dans la même mesure que pour celle prévue par l’article 112, puisque les autorités doivent présenter une demande écrite pour obtenir les informations souhaitées. Une autre différence entre les articles 112 et 113 de la loi sur les télécommunications réside dans le fait que les autorités habilitées à demander l’accès à des données en vertu de cette dernière disposition sont identifiées par référence aux tâches qu’elles accomplissent mais ne sont pas expressément nommées. Certes, cette description par tâche est moins précise et plus ouverte à l’interprétation. Néanmoins, le libellé de la disposition est suffisamment détaillé pour qu’il soit possible de prévoir sans ambiguïté quelles autorités sont habilitées à demander des informations. À cet égard, la Cour note aussi que la Cour constitutionnelle fédérale a conclu que les tâches limitées des services de renseignement justifiaient que ceux-ci disposassent de larges pouvoirs juridiques leur permettant de demander des informations à titre préventif (paragraphe 177 de l’arrêt de la Cour constitutionnelle fédérale cité au paragraphe 21 ci ‑ dessus). 100. Concernant ces deux dispositions, la Cour observe par ailleurs que le fait qu’une base légale supplémentaire soit nécessaire pour que l’autorité requérante puisse récupérer les données conservées constitue une protection supplémentaire contre les demandes d’informations excessives ou inappropriées. Comme la Cour constitutionnelle fédérale l’a expliqué au moyen de son analogie de la « double porte » (paragraphe 123 de l’arrêt de la Cour constitutionnelle fédérale cité au paragraphe 14 ci-dessus), les articles 112 et 113 de la loi sur les télécommunications se bornent à autoriser l’Agence fédérale des réseaux ou le fournisseur de services concerné à divulguer les données, et une autre disposition légale est nécessaire pour que les autorités désignées puissent introduire une demande d’informations. De plus, l’opération de récupération se limite aux données nécessaires, et cette exigence de nécessité est garantie par l’obligation générale, pour les autorités ayant obtenu des informations, d’effacer sans retard indu toutes les données qui ne leur sont pas utiles. La Cour constitutionnelle fédérale a rappelé que l’exigence de « nécessité » signifiait, dans le contexte de la poursuite des infractions, qu’il devait y avoir au moins un soupçon initial (paragraphe 177 de l’arrêt de la Cour constitutionnelle fédérale cité au paragraphe 21 ci-dessus). La Cour admet, d’une part, qu’il existe des limitations suffisantes au pouvoir de demander des informations et, d’autre part, que l’exigence de « nécessité » est inhérente non seulement aux dispositions juridiques spécifiques qui font l’objet du présent grief, mais aussi au droit allemand et européen de la protection des données. 101. Au vu de ces éléments, la Cour peut souscrire à la conclusion de la Cour constitutionnelle fédérale qui consistait à dire que les seuils prévus à l’article 113 de la loi sur les télécommunications demeuraient acceptables à la lumière du droit constitutionnel, compte tenu notamment du fait que l’obligation de soumettre une demande écrite d’informations était susceptible d’encourager l’autorité concernée à obtenir les informations uniquement dans les cas où elles étaient suffisamment nécessaires (paragraphe 178 de l’arrêt de la Cour constitutionnelle fédérale cité au paragraphe 21 ci-dessus). À cet égard, la Cour note également qu’il semble que dans la pratique, le recours à la procédure manuelle ait été bien moins fréquent que le recours aux demandes automatisées relevant de l’article 112 de la loi sur les télécommunications (paragraphe 13 ci-dessus). 102. Enfin, la Cour examinera les possibilités offertes par les articles 112 et 113 de la loi sur les télécommunications en matière d’examen et de surveillance des demandes d’informations. Dans l’arrêt Klass et autres c. Allemagne (6 septembre 1978, § 55, série A n o 28), elle a dit qu’une atteinte au droit au respect de la vie privée garanti par l’article 8 de la Convention – dans cette affaire, les ingérences en cause prenaient la forme de mesures de surveillance secrète – peut faire d’objet d’un contrôle à trois stades : lorsqu’on l’ordonne, pendant qu’on la mène ou après qu’elle a cessé. Elle a ajouté que dans les cas où le contrôle a été effectué à l’insu de l’intéressé au cours des deux premiers stades, il se révèle indispensable que les procédures existantes procurent en elles-mêmes des garanties appropriées et équivalentes de nature à sauvegarder les droits de l’individu. Sur un plan plus général, elle a déclaré ce qui suit (ibidem) : « Il faut (...), pour ne pas dépasser les bornes de la nécessité au sens de l’article 8 par. 2 (art. 8-2), respecter aussi fidèlement que possible, dans les procédures de contrôle, les valeurs d’une société démocratique. Parmi les principes fondamentaux de pareille société figure la prééminence du droit, à laquelle se réfère expressément le préambule de la Convention (...) Elle implique, entre autres, qu’une ingérence de l’exécutif dans les droits d’un individu soit soumise à un contrôle efficace que doit normalement assurer, au moins en dernier ressort, le pouvoir judiciaire car il offre les meilleures garanties d’indépendance, d’impartialité et de procédure régulière. » 103. Par la suite, la Cour s’est appuyée sur ces principes, en particulier sur la possibilité d’un contrôle et d’un examen efficaces, aux fins de l’examen de différents types d’ingérences dans l’exercice du droit au respect de la vie privée garanti par l’article 8 de la Convention (voir par exemple, les arrêts suivants : Rotaru c. Roumanie [GC], n o 28341/95, § 59, CEDH 2000-V (conservation de données personnelles sensibles dans des dossiers de sécurité), M.N. et autres, précité, §§ 73 et 78 (saisie de documents bancaires), Brito Ferrinho Bexiga Villa-Nova c. Portugal, n o 69436/10, § 55, 1 er décembre 2015 (décision d’autoriser la levée du secret professionnel de l’avocat et par conséquent la consultation des relevés bancaires de la requérante dans le cadre d’une procédure pénale dirigée contre elle), Lambert c. France, 24 août 1998, § 31, Recueil des arrêts et décisions 1998-V (écoutes téléphoniques), Roman Zakharov, précité, § 233 (système de surveillance secrète des communications téléphoniques sur les réseaux mobiles), et Weber et Saravia c. Allemagne (déc.), n o 54934/00, § 117, CEDH 2006-XI (surveillance stratégique des communications)). Néanmoins, ces affaires concernaient toutes des ingérences individualisées dans l’exercice du droit au respect de la vie privée, ingérences qui étaient plus graves et plus intrusives et qui ne peuvent être comparées à la question de l’accès aux données en cause en l’espèce. En résumé, la Cour estime que le niveau de contrôle et de surveillance doit être considéré comme un élément important, mais non décisif, aux fins de l’appréciation de la proportionnalité de la collecte et de la conservation d’un ensemble de données aussi limité. 104. Se tournant vers les faits de l’espèce, la Cour note qu’en principe, l’article 113 de la loi sur les télécommunications précise en son paragraphe 2 que c’est à l’organe récupérant les données qu’incombe la responsabilité de s’assurer de la légalité d’une demande d’informations, et que les fournisseurs de services de télécommunications n’ont pas compétence pour contrôler la recevabilité d’une demande d’informations dès lors qu’elle est faite par écrit et qu’une base légale est invoquée. En vertu de l’article 112 de la loi sur les télécommunications, en revanche, c’est à l’Agence fédérale des réseaux qu’il appartient d’examiner la recevabilité de la transmission dès lors qu’un motif particulier rend pareille mesure justifiée. 105. En outre, chaque récupération de données et les informations pertinentes concernant la récupération (heure, données utilisées, données récupérées, informations permettant d’identifier clairement la personne ayant récupéré les données, autorité requérante, numéro de référence de l’autorité en question, informations permettant d’identifier clairement la personne à l’origine de la demande) sont enregistrées à des fins de contrôle de la protection des données. Cette mission de contrôle est assurée par les autorités indépendantes chargées de la protection des données aux niveaux fédéral et des Länder . Ces dernières sont non seulement compétentes pour contrôler le respect des règles de protection des données par toutes les autorités concernées, mais elles peuvent également être saisies par toute personne estimant que ses droits ont été violés du fait de la collecte, du traitement ou de l’utilisation par des organes publics de données à caractère personnel la concernant. 106. Enfin, la Cour constitutionnelle fédérale a dit qu’un recours pour contester une mesure de récupération de données pouvait être introduit en vertu des règles générales (paragraphe 186 de l’arrêt de la Cour constitutionnelle fédérale cité au paragraphe 22 ci-dessus) - en particulier de manière incidente dans le contexte de recours en justice contre des décisions définitives des autorités. 107. La Cour considère que la possibilité d’un contrôle par les autorités compétentes en matière de protection des données garantit la possibilité d’un contrôle par une autorité indépendante. En outre, puisque toute personne estimant que ses droits ont été violés peut former un recours, le fait que la procédure de recherche ne soit pas soumise à une obligation de notification et de confidentialité ne soulève pas de problème au regard de la Convention. 108. Enfin, la Cour admet que faute de consensus quant à la collecte et la conservation d’informations limitées sur les abonnés (paragraphe 58 ci ‑ dessus), les États membres disposent d’une certaine marge d’appréciation dans le choix des moyens qu’ils souhaitent mettre en œuvre pour réaliser les buts légitimes que sont la protection de la sécurité nationale et la lutte contre la criminalité, marge que l’Allemagne n’a pas outrepassée en l’espèce. 109. Eu égard à ce qui précède, la Cour juge proportionnée, et donc « nécessaire dans une société démocratique », la conservation par les fournisseurs de services des requérants, conformément à l’article 111 de la loi sur les télécommunications (dans sa version examinée par la Cour constitutionnelle fédérale - paragraphe 64 ci-dessus), des données à caractère personnel des intéressés. 110. Partant, il n’y a pas eu violation de l’article 8 de la Convention. PAR CES MOTIFS, LA COUR, Déclare, à l’unanimité, la requête recevable; Dit, par six voix contre une, qu’il n’y a pas eu violation de l’article 8 de la Convention. Fait en anglais, puis communiqué par écrit le 30 janvier 2020, en application de l’article 77 §§ 2 et 3 du règlement. Claudia Westerdiek Yonko Grozev Greffière Président Au présent arrêt se trouve joint, conformément aux articles 45 § 2 de la Convention et 74 § 2 du règlement, l’exposé de l’opinion séparée du juge Ranzoni. Y.G. C.W. DISSENTING OPINION OF JUDGE RANZONI I. Introduction 1. I voted for finding a violation of Article 8 of the Convention in the present case because I cannot agree with the assessment of some of the relevant facts by the majority or their interpretation and application of the Court’s general principles. 2. The main question in the present case, to my mind, is the following: what are the requirements under Article 8 – in particular concerning safeguards – with regard to storage of personal data which are qualified as being of limited weight but may easily be retrieved in huge amounts by a broad range of authorities? 3. At the outset, it should be borne in mind and emphasised that the present case is not confined to measures concerning the fight against terrorism or other similar serious crimes, and nor is it limited to issues of national security. The legislation which the Court is called upon to examine also allows storage of data for other less serious purposes, and provides access to such data for different authorities. These include not only courts and criminal prosecution authorities, but also other authorities such as customs investigation services, emergency services, customs administration services concerning undeclared work, the financial supervisory authority and several intelligence agencies. II. Level of interference 4. My first issue with the findings of the majority concerns the level of interference. The majority concluded that the interference, that is to say the storage of the applicants’ personal data, was “while not trivial, of a rather limited nature” (see paragraph 95 of the judgment). In my view, the majority overlooked several relevant facts when assessing the level of this interference. 5. I agree with the majority and the German Federal Constitutional Court (“the Constitutional Court”) that no sensitive information was stored. However, the majority overlooked the fact that the data serves as the key to (sensitive) telecommunications data and enables a person to be linked up to a phone number or a phone number to be connected to a person. It thus facilitates the identification of the parties to every telephone call or message exchange and the attribution of possibly sensitive information to an identifiable person. This capability was the purpose of the provision in question. Nevertheless, the majority unfortunately did not take this aspect into account. This is all the more regrettable as the Court had previously dealt with this possibility of identifying the persons behind communications. In Benedik v. Slovenia (no. 62357/14, 24 April 2018) the Court considered the possibilities of identifying an internet user by obtaining the subscriber information associated with a dynamic IP address, and emphasised the significance of the particular context in which the subscriber information was sought. It held (ibid., § 109): “... Therefore what would appear to be peripheral information sought by the police, namely the name and address of a subscriber, must in situations such as the present one be treated as inextricably connected to the relevant pre-existing content revealing data ... To hold otherwise would be to deny the necessary protection to information which might reveal a good deal about the online activity of an individual, including sensitive details of his or her interests, beliefs and intimate lifestyle.” 6. However, the majority did not take this aspect into account when assessing the level of interference. 7. Nor did the majority consider that the present case, and, in particular, the comprehensiveness of the data storage, are comparable to the cases of Digital Rights Ireland and Seitlinger and Others and Tele2 Sverige and Tom Watson and Others, decided by the Court of Justice of the European Union (CJEU) (see paragraphs 51-52 of the judgment) . The applicants argued that the data storage at issue was comparable to the one decided by the CJEU, given that it was comprehensive in that it affected all persons using mobile-communication services, even though there was no evidence to suggest that their conduct might have a link to criminal or other offences. The majority dismissed this argument. However, to my mind, the present case in that regard is actually comparable to the cases decided by the CJEU. The aim of section 111 of the Telecommunications Act was to establish a comprehensive register of all users of mobile communications. This is shown inter alia by the fact that after having established that incorrect information was stored, the provision was amended and users had to provide proof of their identity. The purpose of the provision was indeed a comprehensive storage of subscriber data, which legislation is assessed in abstracto in the present case. 8. Had the majority accepted that section 111 of the Telecommunications Act was aimed at establishing a comprehensive register of all mobile users, it also could have considered the societal consequences of such a register. The Court had previously acknowledged that anonymity had long been a means of avoiding reprisals or unwanted attention and was, as such, capable of promoting the free flow of ideas and information in an important manner (see Delfi AS v. Estonia [GC], no. 64569/09, § 147, ECHR 2015). This is consistent, for example, with the opinion of the United Nations Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression (see paragraph 56). However, the majority did not discuss this aspect of the interference. 9. In short, to my mind, the majority did not adequately assess the level of interference and, by neglecting certain relevant aspects, concluded that the interference was limited. This, however, had severe consequences for the examination of the case, because in the subsequent parts the majority overemphasised the limited nature of the interference and consequently also unduly lowered the level of the required safeguards. III. Proportionality 10. I further disagree with certain aspects of the majority’s proportionality assessment. 11. The focus of such an assessment lies in striking a fair balance between the competing public and private interests by examining, on the one hand, the storage of the specific personal data, and on the other hand, the relevant safeguards, in order to limit the measure to what is strictly necessary, to prevent the personal data from being used in a way inconsistent with the guaranties of Article 8, and thus to protect the personal data from misuse and abuse. The outcome of this balancing exercise will depend inter alia on the weight to be given to the personal data in issue. The less weight one attaches to this kind of data, the fewer are the safeguards required. 12. This is also the logic behind the CJEU Ministerio Fiscal case (see paragraphs 54-55 of the judgment): the less serious the interference, the more readily it can be justified in areas of prevention, investigation, detection and prosecution of criminal offences. The majority alluded to that preliminary reference and its conclusion “that the access to data at issue could not be defined as a serious interference” (see paragraph 94). 13. However, when comparing that case with the present case, some major differences need to be emphasised. The CJEU accepted the interference as justified “in the circumstances” of its case. That case concerned the SIM cards of one stolen mobile telephone that was linked during a period of 12 days with the identity of owners of those SIM cards. The request sought access only to the telephone numbers corresponding to those SIM cards and to the data relating to the identity of the owners of those cards. Only in these circumstances the Luxembourg Court held that access to that specific data could not be defined as “serious” interference. 14. The present case, however, is quite different. First, it does not directly concern access to data, but rather the storage of data. Secondly, it does not relate to a specific criminal investigation with concrete investigative measures to be examined. Thirdly, it is – in contrast to Ministerio Fiscal – neither about very specific data (SIM cards from one telephone) nor a limited duration (12 days), but rather about the data sets of millions of people stored for a much longer period. Fourthly, access to data in the present case is not limited for the purpose of combating criminal offences, whether serious crimes or not. Rather, the Telecommunications Act also allows data access for regulatory offences and other general purposes pursued by customs investigation services, emergency services, customs administration services in relation to undeclared work, the financial supervisory authority and several intelligence services – the latter acting irrespective of concrete dangers (see paragraphs 176-177 of the Constitutional Court’s decision). By contrast, most of the member States included in the Court’s comparative-law report limit the acceptable purposes to the investigation of crimes or the prevention of threats to public order (see paragraph 58 of the judgment). 15. The Chamber majority in the present case considered “that the stored data is further protected against excessive or abusive information requests by the fact that the requesting authority requires an additional legal basis to retrieve the data” (see paragraph 100 of the judgment). While it is true that the Constitutional Court confirmed that an additional legal basis was required for data retrieval by the relevant authorities, it also conceded that general powers of data collection were sufficient (see paragraph 163 of the Constitutional Court’s decision). If one considers the legal provisions in question, which are listed in the judgment (see paragraphs 32-38 of the judgment), it is apparent that most authorities are generally entitled to collect data in performing their legal tasks and duties. Consequently, there is no clear threshold limiting data collection to the investigation of serious crimes or specific serious threats to national security. In that regard, it should also be noted that the Court has already considered the “general clause” for investigative measures under Article 161 of the Code of Criminal Procedure (“CCP) as one of the additional legal bases which, according to the majority, protects mobile subscribers against excessive or abusive information requests. In Sommer v. Germany (no. 73607/13, § 58, 27 April 2017) the Court concluded that the threshold for interferences was relatively low and that the provision did not provide particular safeguards. 16. The number of affected persons, which is already high owing to the breadth of the legal regulations, is further increased by the technical design of the database and the query possibilities. Information requests do not need to be limited to specific telephone numbers or names. Section 112(1) of the Telecommunications Act enables the authorities to search on the basis of incomplete data, by means of a similarity function. Therefore, the retrieved data may concern a large number of persons for whom there is no evidence whatsoever to suggest that their conduct might have even an indirect or remote link to criminal or regulatory offences, other than having a similar name or telephone number. Nonetheless, these persons might still be subjected to further investigative measures based on data retrieval under section 112 of the Telecommunications Act. 17. When information is requested and the database is searched, the name/number is compared to every mobile user in the database. Consequently, the personal data of every user is processed, albeit in a limited manner. Depending on the precision of the search criteria, the search provides a list of all subscribers who meet the criteria. Taking into account the similarity function and incomplete searches, this result list can still encompass data relating to a very large number of people. In order to further reduce the list – and ultimately identify the relevant number or person – the authorities have then to implement additional investigative measures. Therefore, those persons may be subjected to further interferences based on data retrieval under section 112 of the Telecommunications Act, even though they have given no reason for being investigated apart from having a similar name or telephone number. It is important to point out that around 35 million data sets were consulted in 2015 under the automated procedure (see paragraph 67 of the judgment), each data set corresponding to an individual. 18. One of my main disagreements with the majority, however, lies in the assessment of safeguards and whether the existing ones, if any, are sufficient in order to effectively prevent the misuse and abuse of personal data (S. and Marper v. the United Kingdom [GC], nos. 30562/04 and 30566/04, § 103, ECHR 2008, referred to by the majority in paragraph 78). This is, as I see it, the crux of the case. 19. The outcome of the assessment depends inter alia on the meaning of “effective” safeguards. In particular, does domestic or international legislation entail, in itself, a sufficient safeguard? The answer should be “no”, because legislation only constitutes the legal basis determining the lawfulness of the interference: it does not, in addition and in itself, constitute an effective safeguard. In my understanding of the requirement of effective safeguards, they should protect the individual from the application of national law by domestic authorities in an arbitrary manner and from abuse of legal powers. Such protection must go beyond legal rules, in particular when those rules and legal powers are couched in broad terms, as conceded in this case by the Constitutional Court, and when the rules and powers allow data retrieval in a highly simplified and automated manner. In this regard, I would once again refer to the total of some 35 million data sets which were consulted under the automated procedure in 2015. 20. In support of assertion that sufficient safeguards were in place, the majority relied on the double-door comparison made by the Constitutional Court (see paragraphs 17, 85 and 100 of the judgment). However, as seen above, the legal provisions for data retrieval are very general and broad. While they may suffice as legal keys for the double door, there is no subsequent mechanism to control the information passing through. The double-door can be easily opened by those keys, but there is nobody waiting on the other side of the door to check which items pass the door and are subsequently used. 21. Furthermore, the majority argue that not only was the retrieval safeguarded by legal provisions, but it was also limited to necessary data, a requirement itself safeguarded by a general obligation to erase data that is not needed (see paragraph 100). What does that mean and what do the safeguards actually consist of? In my view, to put it simple, they consist of general provisions for data retrieval which, according to the majority, are “protected” by a general necessity requirement, which is “safeguarded” by a further general obligation. I fail to see any real protection against possible misuse and abuse. Consequently, in the circumstances of the present case, the double-door concept does not provide such an efficient safeguard. 22. Retrievals of personal data do not require an order by a judicial or otherwise independent authority. While the Federal Network Agency ought – at least for requests under section 112 of the Telecommunications Act – to examine the admissibility of the transmission when there is a special reason for doing so, the Constitutional Court itself has rightly pointed out that since the retrieving authority does not have to give reasons for its request, such an eventuality will hardly ever arise (see paragraph 18 of the judgment). Therefore, this agency is not able to act as an efficient safeguard. For information retrievals under section 113 of the Telecommunications Act, paragraph 2 of that section makes clear that the responsibility for the legality of the information request lies with the retrieving agency and that the telecommunications providers have no competence to review admissibility, as long as the information is requested in written form and a legal basis is invoked. In sum, the retrieving authority is competent to issue an information request and at the same time also to examine the admissibility of its request. In other words, the retrieving authority is its own safeguard. However, effective review and supervision of retrieval requests, whether submitted under section 112 or 113 of the Telecommunications Act, by a judicial or otherwise independent authority, are lacking. 23. The Court has previously accepted that a retrospective review of interference can be sufficient in the context of security operations. However, information requests under the automated procedure occur without the knowledge of the telecommunications provider or of the relevant subscriber, and there is no obligation to notify a mobile-telephone subscriber of the fact that his or her personal details have been retrieved. A similar situation exists for manual information requests under section 113 of the Telecommunications Act, since paragraph 4 of that provision requires telecommunications providers to ensure the confidentiality of the request for information and of the information provided in support of it (see paragraph 31 of the judgment). Consequently, the victim of the interference has no knowledge and cannot seek a review of the information retrieval. 24. The majority accepted this consequence by relying inter alia on the Constitutional Court’s argument that redress can be sought together with legal redress proceedings against final decisions of the authorities (see paragraph 105). However, this only applies to information requests that have led to further telecommunications surveillance or other investigative measures. Even in this case, only the further investigative measure can be challenged, but not the information retrieval and storage itself. Moreover, this form of review is only available to a very limited number of victim categories. The vast majority of them are left without any possibility of review. 25. In this connection, the Chamber judgment eventually refers to the supervision conducted by the data protection authorities (see paragraph 107). Notwithstanding the important work done by these authorities, it appears unrealistic for them to review some 35 million data sets consulted by a wide range of different authorities. Given the personnel available to these data protection authorities and their broad range of tasks, this constitutes neither an adequate form of review nor an effective safeguard. IV. Conclusion 26. My assessment of domestic legislation and practice in the present case leads me to conclude that the available safeguards are not at all sufficient to effectively prevent the misuse and abuse of vast amounts of personal data, to which I attach considerably more weight than my colleagues in the Chamber have done. I take the view, therefore, that the interference in the applicant’s Article 8 rights was not proportionate to the legitimate aims pursued, in particular because the domestic legislation was not confined to measures against terrorism or other serious crimes or to issues of national security, but in fact went far beyond that. The interference did not correspond to a “pressing social need” and, consequently, was not necessary in a democratic society. 27. This led me to vote for finding a violation of Article 8 of the Convention.