Dans le cas que nous occupe, les demandes de décision préliminaire ont été déposées auprès de la Cour de justice de l'Union européenne (CJUE) par la Haute-Cour de l'Irlande et le Tribunal constitutionnel autrichien. Le cas irlandais a été lancé par Digital Rights Irlande, organisation de défense des droits fondamentaux numériques. Le cas de l'Autriche a trouvé un appui, entre autres, auprès de 11.000 citoyens autrichiens.
La directive sur la conservation des données a été adoptée afin de prévenir la grande criminalité, en particulier la criminalité organisée et le terrorisme. CJUE a décidé aujourd'hui que l'ingérence dans les droits fondamentaux liés à la mise en œuvre de la législation européenne va trop loin.
Sur cette affaire, l'avocat général Cruz Villalon a également conclu que l'application de la directive sur la conservation des données est inconciliable avec les dispositions de la Charte de l'Union Européenne pour les droits fondamentaux et à la nécessité de protéger le droit à la vie privée.
Dans son arrêt, la Cour de justice a constaté que les données conservées sur la base des règlements de conservation peuvent fournir des informations précises sur la vie privée des utilisateurs, telles que leurs habitudes quotidiennes, leur lieu de résidence, leurs relations sociales et les réseaux sociaux fréquentés.
Même si la Cour de justice indique que la rétention peut être justifiée par la nécessité de combattre la grande criminalité et de protéger la sécurité publique, les institutions de l'UE ont franchi la limite fixée par le principe de proportionnalité en adoptant la directive sur la conservation des données. La Cour a souligné que la directive ne garantit pas que l'ingérence dans la vie privée sera suffisamment circonscrite pour s’assurer que ceci se limiterait à ce qui est strictement nécessaire pour atteindre les objectifs mentionnés ci-dessus.
Entre autres choses, la directive ne garantit pas que les données seront effectivement utilisées uniquement pour lutter contre la grande criminalité. En outre, l'accès aux données ne dépend pas d'un contrôle judiciaire. La directive ne prévoit pas de garanties qui empêcheraient les abus, par exemple, l'utilisation des données d'une manière non autorisée. Enfin, la directive ne prévoit pas l'obligation de conserver les données sur le territoire de l'Union européenne.
Selon Dorota Głowacka, expert de la Fondation Helsinki pour les droits de l'homme (FHDH) basée à Varsovie: "Tous les problèmes mentionnés par la Cour sont reflétés dans les dispositions de la loi polonaise sur les télécommunications en matière de conservation des données. Les règles actuelles permettent un accès relativement libre à ces données par les différents organismes et peuvent encourager les abus. FHDH souligne depuis longtemps la nécessité de modifier la loi à cet égard. Nous avons postulé, entre autres, l'introduction d'un mécanisme efficace de contrôle externe de l'utilisation des données conservées, la nécessité de créer une liste exhaustive des infractions graves pour lesquelles les entités autorisées pourront utiliser cet outil ou l'introduction de l'obligation d'informer la personne dont les données ont été consultées".
En Pologne, depuis un certain temps, les dispositions de la directive ont soulevé des inquiétudes concernant, par exemple, plusieurs situations dans lesquelles la police et d'autres organismes peuvent demander aux administrateurs de données de mettre à leur disposition les données de télécommunication. En principe, ce devrait être le cas uniquement en relation avec un crime grave. Cependant, la pratique conduit à une autre constatation. Les raisons en sont le manque de contrôle suffisant sur les demandes de la police et d'autres organismes, le fait que la question de la destruction de données n'a pas été correctement réglée et qu’il est souvent problématique d'établir le nombre exact de demandes.
Cependant, ce n'est pas uniquement le niveau d'utilisation de données de télécommunications qui est préoccupant. Le problème réside aussi dans le manque de garanties visant à protéger les citoyens contre des abus possibles. Ceci est visible dans l'exemple de l'affaire de Bogdan Wróblewski. En 2013, M. Wróblewski, alors journaliste pour un quotidien polonais, a gagné un procès qui avait créé un précédent en matière de protection des intérêts personnels contre le Bureau central anti-corruption (BCA). Le tribunal a décidé que la BCA avait acquis illégalement les relevés téléphoniques et d'autres données de télécommunication du journaliste. Au cours du débat organisé par la Fondation Helsinki pour les droits de l'homme, le directeur du BCA a lui-même admis qu'il y avait eu des abus dans le cas de M. Wróblewski.
"L'arrêt de la Cour de justice de l'Union européenne aura sans aucun doute une influence sur le jugement du Tribunal constitutionnel polonais. Le Tribunal évalue actuellement la conformité des dispositions de la Loi sur les télécommunications en matière de conservation des données à la Constitution de la République de Pologne. L'interprétation fondée sur le droit à la vie privée et le principe de proportionnalité doit absolument être reflétée dans le jugement du tribunal", dit M. Adam Bodnar, le Vice président de la Fondation Helsinki pour les droits de l'homme.
Jusqu'à présent, les lois sur la conservation des données ont été déclarées inconstitutionnelles en Allemagne, en Roumanie et en République tchèque.