CEDH, Cour (troisième section), AFFAIRE CENTRUM FÖR RÄTTVISA c. SUÈDE, 19 juin 2018, 35252/08

TROISIÈME SECTION

AFFAIRE CENTRUM FÖR RÄTTVISA c. SUÈDE

(Requête no 35252/08)

ARRÊT

STRASBOURG

19 juin 2018

CETTE AFFAIRE A ÉTÉ RENVOYÉE DEVANT LA GRANDE CHAMBRE, QUI A RENDU SON ARRÊT LE 29/04/2022

Cet arrêt peut subir des retouches de forme.

En l’affaire Centrum för rättvisa c. Suède,

La Cour européenne des droits de l’homme (troisième section), siégeant en une chambre composée de :

 Branko Lubarda, président,
 Helena Jäderblom,
 Helen Keller,
 Pere Pastor Vilanova,
 Alena Poláčková,
 Georgios A. Serghides,
 Jolien Schukking, juges,
et de Stephen Phillips, greffier de section,

Après en avoir délibéré en chambre du conseil le 29 mai 2018,

Rend l’arrêt que voici, adopté à cette date :

PROCÉDURE

1.  À l’origine de l’affaire se trouve une requête (no 35252/08) dirigée contre le Royaume de Suède et dont la fondation Centrum för rättvisa (« la requérante ») a saisi la Cour le 14 juillet 2008 en vertu de l’article 34 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales (« la Convention »).

2.  Le gouvernement suédois (« le Gouvernement ») a été représenté par son agent, M. A. Rönquist, du ministère des Affaires étrangères.

3.  Devant la Cour, la requérante alléguait que la législation et la pratique suédoises en matière de renseignement d’origine électromagnétique avaient porté et continuaient de porter à ses droits une atteinte constitutive d’une violation de l’article 8 de la Convention. Elle soutenait également qu’elle ne disposait d’aucun recours effectif pour dénoncer cette violation.

4.  Le 1er novembre 2011 (recevabilité) et le 14 octobre 2014 (recevabilité et fond), la requête a été communiquée au Gouvernement.

5.  Le 14 octobre 2014, la Commission internationale de juristes (section norvégienne) a été autorisée à présenter des observations écrites relatives à cette requête en vertu de l’article 44 § 3 du règlement de la Cour.

EN FAIT

I.  INTRODUCTION

6.  La requérante, Centrum för rättvisa, est une fondation suédoise créée en 2002 dont le siège se trouve à Stockholm. Il s’agit d’une organisation à but non lucratif dont l’objectif déclaré est de représenter, dans des litiges contre l’État notamment, les personnes qui s’estiment victimes d’une violation des droits et libertés découlant de la Convention et du droit suédois. Elle mène également des activités de formation et de recherche et participe au débat général sur différentes questions concernant les droits et libertés individuels. Elle communique quotidiennement avec des particuliers, des organisations et des entreprises en Suède et à l’étranger par courrier électronique, par téléphone et par télécopie, et elle affirme qu’une large part de ses communications est particulièrement sensible du point de vue du respect de la vie privée. Compte tenu de la nature de son rôle en tant qu’organisation non gouvernementale contrôlant attentivement les activités d’acteurs étatiques, elle estime qu’il y a un risque que ses communications téléphoniques et Internet sur les réseaux mobiles aient été ou soient à l’avenir interceptées et examinées dans le cadre des activités de renseignement d’origine électromagnétique. Elle n’a engagé aucune procédure au niveau interne, et elle plaide à cet égard qu’il n’existe pas en Suède de recours effectif pour ses griefs fondés sur la Convention.

7.  Le renseignement d’origine électromagnétique (ROEM) peut être défini comme l’activité consistant à intercepter, traiter, analyser et rapporter des informations transmises par signaux électroniques. Ces signaux peuvent être convertis en texte, en image ou en son. Les renseignements ainsi recueillis peuvent concerner aussi bien le contenu d’une communication que les données qui y sont associées (par exemple, les données qui permettent de savoir comment, quand et entre quelles adresses la communication électronique s’est déroulée). Ils peuvent être interceptés lors de leur transmission par voie aérienne – généralement par liaison radio ou par satellite – ou par câble. C’est le fournisseur du service de communication qui décide si le signal est transmis par voie aérienne ou par câble. La grande majorité des données pertinentes pour le ROEM sont transmises par câble. On appelle « canal de transmission » le moyen utilisé pour transmettre un ou plusieurs signaux. Sauf indication contraire ci-dessous, la réglementation relative aux activités suédoises de ROEM ne distingue pas le contenu des communications des données de communication qui y sont associées, ni l’acheminement des données par voie aérienne de l’acheminement par câble.

II.  LE DROIT ET LA PRATIQUE INTERNES PERTINENTS

A.  Sur le ROEM en général

8.  Selon la loi relative au renseignement extérieur (Lagen om försvarsunderrättelseverksamhet, 2000:130), les activités de renseignement extérieur visent à soutenir la politique étrangère, la politique de défense et la politique de sécurité de la Suède, et à repérer les menaces extérieures qui pèsent sur le pays. Elles doivent aussi contribuer à la participation de la Suède à la coopération internationale en matière de sécurité. En vertu de la loi, elles ne peuvent être menées qu’à l’égard de circonstances extérieures au territoire national (article 1 § 1). Le gouvernement détermine l’orientation de ces activités. Il décide également quelles autorités sont habilitées à adopter des directives plus détaillées et quelle est l’autorité compétente pour mener des activités de renseignement (article 1 §§ 2 et 3). Il adopte chaque année des directives générales sur l’attribution des tâches. Les activités de renseignement extérieur ne peuvent servir à accomplir des missions de répression ou de prévention des infractions : ces missions relèvent de la compétence des autorités de police, de la Sûreté et d’autres autorités, et elles sont soumises à un cadre juridique distinct. Les autorités qui mènent des activités de renseignement extérieur peuvent toutefois assister les autorités chargées de la répression ou de la prévention des infractions (article 4), par exemple au moyen de la cryptanalyse ou en fournissant une aide technique en matière de sécurité de l’information (travaux préparatoires sur la modification de la loi relative au renseignement extérieur, prop. 2006/07:63, p. 136).

9.  La collecte de signaux électroniques est une forme de renseignement extérieur. Elle est encadrée par la loi relative au renseignement d’origine électromagnétique (Lagen om signalspaning i försvarsunderrättelseverksamhet, 2008:717), entrée en vigueur le 1er janvier 2009. Cette loi a été modifiée à plusieurs reprises, le 1er décembre 2009, le 1er janvier 2013, le 1er janvier 2015 et le 15 juillet 2016. L’ordonnance relative au renseignement d’origine électromagnétique (Förordningen om signalspaning i försvarsunderrättelseverksamhet, 2008:923) contient des dispositions complémentaires. La législation autorise l’Institut national de la défense radio (Försvarets radioanstalt, « le FRA ») à mener (article 2 de l’ordonnance se rapportant à l’article 1 de la loi) des activités de ROEM au cours desquelles toutes les communications avec l’étranger transmises par câble sont transférées vers certains points de collecte. Aucune information n’est stockée dans ces points de collecte, et une partie limitée du trafic de données est transférée au FRA par les canaux de transmission (rapport de la commission parlementaire SOU 2016:45, p. 107). Le FRA ne peut mener d’activités de ROEM dans le domaine du renseignement extérieur qu’en vertu d’une directive détaillée d’attribution de tâches émanant du gouvernement, des services gouvernementaux, des forces armées ou, depuis janvier 2013, de la Sûreté ou de la direction des opérations nationales de l’autorité de police (Nationella operativa avdelningen i Polismyndigheten, le « NOA ») conformément aux besoins précis du demandeur en termes de renseignement (articles 1 § 1 et 4 § 1 de la loi). En revanche, en vertu de l’article 4 § 2 de la loi, seul le gouvernement est compétent pour orienter les « activités de développement » du FRA (paragraphe 14 ci-dessous). Une directive détaillée d’attribution de tâches détermine l’orientation des activités de renseignement. Cette directive peut concerner une situation ou un phénomène précis mais elle ne peut cibler uniquement une personne physique déterminée (article 4 § 3 de la loi).

10.  La compétence pour adopter des directives détaillées d’attribution de tâches conférée à la Sûreté et au NOA vise à renforcer leur aptitude à obtenir des données de niveau stratégique sur des circonstances extérieures au territoire national concernant le terrorisme international ou d’autres formes graves de criminalité internationale risquant de menacer des intérêts nationaux essentiels. Lorsque ces nouvelles dispositions ont été adoptées, le gouvernement a déclaré, dans les travaux préparatoires (prop. 2011/12:179, p. 19), que le mandat accordé à ces autorités était conforme à l’interdiction de recourir à des activités de ROEM pour accomplir des missions de répression ou de prévention des infractions.

11.  En vertu de l’ordonnance relative au renseignement extérieur (Förordningen om försvarsunderrättelseverksamhet, 2000:131), toute directive détaillée d’attribution de tâches doit indiquer 1) de quelle autorité elle émane, 2) de quelle partie de la directive gouvernementale annuelle sur l’attribution des tâches elle relève, 3) quels sont le phénomène ou la situation visés, et 4) quels sont les besoins en matière de renseignement sur ce phénomène ou cette situation auxquels il faut répondre (article 2a).

B.  Le champ d’application du ROEM

12.  La loi relative au renseignement d’origine électromagnétique énonce les buts dans lesquels des signaux électroniques peuvent être interceptés dans le cadre d’activités de renseignement extérieur. Elle dispose ainsi qu’il ne peut être mené d’activités de ROEM qu’afin de recueillir des informations 1) sur des menaces militaires extérieures pesant sur le pays, 2) sur les conditions de la contribution de la Suède à des missions internationales humanitaires ou de maintien de la paix ou sur les menaces qui pourraient peser sur des intérêts suédois dans le cadre de telles opérations, 3) sur le contexte stratégique en matière de terrorisme international ou d’autres formes graves de criminalité transfrontière risquant de menacer des intérêts nationaux essentiels, 4) sur le développement et la prolifération d’armes de destruction massive, d’équipements militaires ou d’autres produits similaires déterminés, 5) sur des risques extérieurs menaçant gravement l’infrastructure sociale, 6) sur des conflits à l’étranger susceptibles d’avoir des répercussions sur la sécurité internationale, 7) sur des opérations de services de renseignement étrangers dirigées contre des intérêts suédois, et 8) sur les actes ou les intentions d’une puissance étrangère qui revêtent une importance particulière pour la politique étrangère, la politique de défense ou la politique de sécurité de la Suède (article 1 § 2).

13.  Ces huit buts sont détaillés dans les travaux préparatoires de la loi (prop. 2008/09:201, pp. 108-109) :

« Les buts dans lesquels il est possible d’autoriser une activité de renseignement d’origine électromagnétique sont énumérés en huit points. Le premier point concerne les menaces militaires extérieures pesant sur le pays. Ces menaces ne consistent pas seulement en des menaces imminentes telles des menaces d’invasion, elles peuvent aussi englober des phénomènes susceptibles de se transformer, à long terme, en menaces pour la sécurité. Le libellé de cette disposition inclut donc la collecte d’informations sur le potentiel et les capacités militaires de nos voisins.

Le deuxième point concerne à la fois la collecte des informations nécessaires pour permettre de décider sur une base solide de participer ou non à des missions internationales humanitaires ou de maintien de la paix et la collecte, au cours de telles missions, d’informations concernant des menaces pesant sur le personnel suédois ou sur d’autres intérêts suédois.

Le troisième point concerne la collecte d’informations stratégiques sur le terrorisme international ou d’autres formes graves de criminalité transfrontière, telles que le trafic de stupéfiants ou la traite d’êtres humains, susceptibles par leur échelle de menacer d’importants intérêts nationaux. L’objet du renseignement d’origine électromagnétique portant sur des activités de ce type est d’examiner leurs implications en termes de politique étrangère et de politique de sécurité. Les activités de renseignement nécessaires à la lutte opérationnelle contre l’activité criminelle relèvent principalement de la compétence de la police.

Le quatrième point concerne la nécessité de recourir au renseignement d’origine électromagnétique pour surveiller, notamment, les activités pertinentes dans le cadre des engagements de la Suède en matière de non-prolifération et de contrôle des exportations, même si elles ne constituent pas une infraction et ne contreviennent à aucune convention internationale.

Le cinquième point inclut, notamment, les menaces informatiques graves provenant de l’étranger. Par menaces graves, on entend celles qui, par exemple, sont dirigées contre des structures publiques essentielles pour l’approvisionnement en énergie et en eau, pour la communication ou pour les services monétaires.

Le sixième point concerne l’analyse des conflits, entre d’autres pays ou dans d’autres pays, susceptibles d’avoir des répercussions sur la sécurité internationale. Il peut s’agir d’actes de guerre habituels entre des États mais aussi de conflits internes ou transfrontaliers entre différents groupes ethniques, religieux ou politiques. Cette analyse comprend l’examen des causes et des conséquences de ces conflits.

Le septième point signifie que le renseignement électromagnétique peut permettre de recueillir des informations sur des activités de renseignement menées contre les intérêts suédois.

Le huitième point offre la possibilité de mener des activités de renseignement d’origine électromagnétique contre des puissances étrangères et leurs représentants afin de recueillir des informations sur leurs intentions ou leurs actes qui revêtent une importance particulière pour la politique étrangère, la politique de défense ou la politique de sécurité de la Suède. Ces activités ne peuvent concerner que ceux qui représentent une puissance étrangère. La condition de l’« importance particulière » permet de souligner qu’il ne suffit pas que le phénomène soit d’intérêt général mais qu’il faut que les renseignements aient un impact direct sur les actes ou les positions de la Suède dans différents domaines de la politique étrangère, de la politique de sécurité ou de la politique de défense. (...) »

14.  Le FRA peut également intercepter des signaux électroniques pour se tenir informé des modifications de l’environnement électromagnétique international, des progrès techniques et de la protection des signaux, et pour mettre au point la technologie nécessaire au ROEM (article 1 § 3). Il s’agit là d’« activités de développement » qui, selon les travaux préparatoires (prop. 2006/07:63, p. 72), ne donnent lieu à aucun rapport de renseignement. Le FRA peut toutefois partager avec d’autres autorités l’expérience acquise sur des questions technologiques. Les activités de développement ne portent généralement pas sur les communications entre individus, quoique des informations sur l’identité d’individus puissent être interceptées.

15.  Les activités de ROEM menées sur les données transmises par câble ne peuvent concerner que les signaux traversant la frontière suédoise par des câbles appartenant à un fournisseur de services de communication (article 2). Les communications entre un émetteur et un destinataire qui se trouvent tous deux en Suède ne peuvent pas être interceptées, que la transmission ait lieu par la voie aérienne ou par câble. Si ces signaux ne peuvent être séparés au point de collecte, l’enregistrement ou les notes les concernant doivent être détruits dès qu’il apparaît qu’ils ont été collectés (article 2a).

16.  L’interception des signaux transmis par câble est automatisée et ne doit porter que sur les signaux qui ont été sélectionnés par l’application de termes de recherche. On applique aussi une recherche par termes pour sélectionner les signaux transmis par voie aérienne, si la procédure est automatisée. Les termes de recherche doivent être formulés de manière à limiter autant que possible les atteintes à l’intégrité personnelle. Les termes se rapportant directement à une personne physique donnée ne peuvent être utilisés que si cela revêt une importance exceptionnelle pour les activités de renseignement (article 3).

17.  Une fois les signaux interceptés, ils sont traités, ce qui signifie qu’ils font, par exemple, l’objet d’une cryptanalyse ou d’une traduction. Les informations sont ensuite analysées et rapportées à l’autorité qui a confié au FRA la mission de recueillir les renseignements en question.

C.  L’autorisation de mener des activités de ROEM

18.  Le FRA doit demander une autorisation au tribunal pour le renseignement extérieur (Försvarsunderrättelsedomstolen) pour toutes les activités de ROEM, y compris les activités de développement. La demande doit contenir l’ordre de mission reçu par le FRA ainsi que des informations sur la directive détaillée d’attribution de tâches dont relève la mission et sur la nécessité des renseignements recherchés. De plus, les canaux de transmission auxquels le FRA demande à avoir accès doivent être spécifiés, de même que les termes ou catégories de termes de recherche qui seront utilisés. Enfin, la demande doit indiquer la durée pour laquelle l’autorisation est demandée (article 4a).

19.  L’autorisation ne peut être accordée que si la mission est conforme aux dispositions de la loi relative au renseignement extérieur et de la loi relative au renseignement d’origine électromagnétique, si le but visé par l’interception de signaux ne peut être atteint par une ingérence moins importante, s’il y a lieu de penser que la mission permettra d’obtenir des informations dont la valeur est nettement supérieure à l’atteinte à l’intégrité personnelle qu’elle risque de causer, si les termes ou catégories de termes de recherche sont conformes aux dispositions de la loi relative au renseignement d’origine électromagnétique et si la demande ne concerne pas uniquement une personne physique déterminée (article 5).

20.  Si elle est accordée, l’autorisation précise la mission pour laquelle des activités de ROEM peuvent être menées, les canaux de transmission auxquels le FRA aura accès, les termes ou les catégories de termes de recherche qui peuvent être utilisés, la durée pendant laquelle elle sera valable et les autres conditions à respecter pour limiter les atteintes à l’intégrité personnelle (article 5a).

21.  Le FRA peut lui-même décider d’accorder une autorisation si le fait de demander l’autorisation au tribunal pour le renseignement extérieur risque d’engendrer des délais ou d’autres obstacles susceptibles d’avoir un impact d’une importance essentielle sur la réalisation de l’un des buts spécifiés de l’activité de ROEM concernée. Il doit alors en informer immédiatement le tribunal. Celui-ci statue sans délai sur l’autorisation ; il peut l’annuler ou la modifier (article 5b).

22.  La composition du tribunal pour le renseignement extérieur et ses activités sont régies par la loi sur le tribunal pour le renseignement extérieur (Lagen om Försvarsunderrättelsedomstol, 2009:966). Le tribunal est composé d’un président, d’un ou deux vice-présidents et de deux à six autres membres. Le président est un juge permanent nommé par le gouvernement sur proposition de la commission de proposition des juges (Domarnämnden). Les vice-présidents, qui doivent avoir une formation juridique et une expérience préalable en tant que juges, et les autres membres, qui doivent avoir des connaissances spécialisées pertinentes pour l’activité du tribunal, sont nommés par le gouvernement pour un mandat de quatre ans. Les demandes d’autorisation d’activités de ROEM sont examinées au cours d’une audience, qui peut se tenir à huis clos s’il apparaît clairement que la tenue d’une audience publique risquerait d’aboutir à la divulgation d’informations classées secrètes. Pendant l’examen de la demande par le tribunal, le FRA ainsi qu’un représentant chargé de la protection de la vie privée (integritesskyddsombud) sont présents. Ledit représentant, qui ne représente pas une personne en particulier mais les intérêts des individus en général, repère les aspects problématiques du point de vue du respect de la vie privée ; il a accès au dossier de l’affaire et peut faire des déclarations. Les représentants chargés de la protection de la vie privée sont nommés par le gouvernement pour un mandat de quatre ans ; ils doivent être ou avoir été juges permanents ou avocats. Le tribunal ne peut tenir une audience et statuer sur une demande en l’absence d’un représentant que si l’urgence de l’affaire est telle qu’un retard compromettrait gravement la réalisation du but de la demande. Les décisions du tribunal sont définitives.

D.  La durée des activités de ROEM

23.  L’autorisation peut être accordée pour une période déterminée d’une durée maximale de six mois. Après réexamen, elle peut être prolongée par périodes de six mois (article 5a de la loi relative au renseignement d’origine électromagnétique).

E.  Les procédures à suivre pour la conservation, la consultation, l’examen, l’utilisation et la destruction des données interceptées

24.  L’Inspection du renseignement extérieur (Statens inspektion för försvarsunderrättelseverksamheten (SIUN), paragraphes 36‑40 ci-dessous) supervise l’accès aux canaux de transmission. Les fournisseurs de services de communication sont tenus de transférer les signaux traversant la frontière suédoise par câble vers des « points de collaboration » convenus avec l’Inspection. Celle-ci donne au FRA l’accès aux canaux de transmission dans la mesure permise par l’autorisation de ROEM, en application de l’autorisation délivrée par le tribunal pour le renseignement extérieur (chapitre 6, article 19a de la loi sur les communications électroniques (Lagen om elektronisk kommunikation, 2003:389)). Le Conseil de législation (Lagrådet), organe qui émet, à la demande du gouvernement ou d’une commission parlementaire, des avis sur certains projets de loi, a estimé que le simple fait que l’État puisse avoir accès aux télécommunications constitue déjà une atteinte à la vie privée et au respect de la correspondance (prop. 2006/07:63, p. 172).

25.  En vertu de la loi relative au renseignement d’origine électromagnétique, les données interceptées doivent être immédiatement détruites par le FRA si 1) elles concernent une personne physique déterminée et revêtent une faible importance pour le ROEM, 2) elles sont protégées par les dispositions constitutionnelles relatives au secret protégeant l’anonymat des auteurs et des sources journalistiques, 3) elles contiennent des informations échangées entre un suspect et son avocat et sont donc protégées par le principe de la confidentialité des échanges entre l’avocat et son client, ou si 4) elles contiennent des informations données dans un contexte religieux (confession ou conseil individuel), sauf raisons exceptionnelles justifiant leur examen (article 7).

26.  Si, malgré l’interdiction de telles interceptions, des communications entre un émetteur et un destinataire qui se trouvent tous deux en Suède ont été interceptées, celles-ci doivent être détruites dès qu’il apparaît qu’il s’agit de communications intérieures (article 2a).

27.  Si une autorisation accordée en urgence par le FRA (paragraphe 21 ci‑dessus) est annulée ou modifiée par le tribunal pour le renseignement extérieur, tous les renseignements recueillis par des moyens qui ne sont dès lors plus autorisés doivent immédiatement être détruits (article 5b § 3).

28.  La loi sur le traitement des données à caractère personnel dans le cadre des activités du FRA (Lagen om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet, 2007:259) contient des dispositions sur le traitement des données personnelles dans le domaine du ROEM. Entrée en vigueur le 1er juillet 2007, elle a été modifiée le 30 juin 2009 puis le 15 février 2010. Elle a pour objet de garantir une protection contre les atteintes à l’intégrité personnelle (chapitre 1, article 2). Le FRA doit notamment veiller à ce que les données personnelles ne soient collectées que dans des buts expressément indiqués et justifiés. Ces buts sont déterminés soit par l’orientation des activités de renseignement extérieur qui est donnée par une directive détaillée d’attribution de tâches, soit par ce qui est nécessaire pour suivre l’évolution de l’environnement électromagnétique, des progrès techniques et de la protection des signaux. Les données personnelles traitées doivent également être adéquates et pertinentes au regard de la finalité du traitement. Il ne peut être traité plus de données personnelles que celles nécessaires pour atteindre le but visé. Toutes les mesures raisonnables doivent être prises pour corriger, bloquer et détruire les données personnelles incorrectes ou incomplètes (chapitre 1, articles 6, 8 et 9).

29.  Les données à caractère personnel ne doivent pas être traitées uniquement à raison des informations connues concernant la race ou l’origine ethnique de la personne, ses convictions politiques, religieuses ou philosophiques, son appartenance à un syndicat, son état de santé ou sa sexualité. Toutefois, lorsque des données personnelles sont traitées pour une raison différente, ce type d’information peut être utilisé si cela est absolument nécessaire aux fins du traitement. Les informations concernant l’apparence physique d’une personne doivent toujours être formulées de manière objective et respectueuse de la dignité humaine. Les recherches de renseignements ne peuvent utiliser les indicateurs personnels susmentionnés comme termes de recherche que si cela est absolument nécessaire aux fins de la réalisation du but dans lequel la recherche est menée (chapitre 1, article 11).

30.  Les employés du FRA qui traitent des données à caractère personnel sont soumis à une procédure officielle d’habilitation de sécurité et à une obligation de confidentialité quant aux données couvertes par le secret. Ils s’exposent à des sanctions pénales en cas de faute dans le traitement de ces données (chapitre 6, article 2).

31.  Les données à caractère personnel soumises à un traitement automatisé doivent être détruites dès qu’elles ne sont plus nécessaires (chapitre 6, article 1).

32.  L’ordonnance sur le traitement des données à caractère personnel dans le cadre des activités du FRA (Förordningen om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse- och utvecklingsverksamhet, 2007:261) contient d’autres dispositions en la matière. Elle prévoit notamment que le FRA peut tenir des bases de données brutes contenant des informations à caractère personnel. Les données brutes sont des informations non traitées qui ont été recueillies par traitement automatisé. Les données à caractère personnel contenues dans ces bases de données doivent être détruites dans un délai d’un an à compter de la date à laquelle elles ont été collectées (article 2).

F.  Les conditions dans lesquelles les données interceptées peuvent être communiquées à d’autres parties

33.  Les renseignements recueillis doivent être rapportés aux autorités concernées conformément aux dispositions de la loi relative au renseignement extérieur (article 8 de la loi relative au renseignement d’origine électromagnétique, paragraphes 8-9 ci-dessus).

34.  Les services gouvernementaux, les forces armées, la Sûreté, le NOA, l’Inspection des produits stratégiques (Inspektionen för strategiska produkter), l’administration du matériel de défense (Försvarets materialverk), l’Institut de recherche sur la défense (Totalförsvarets forskningsinstitut), le service de la protection civile (Myndigheten för samhällsskydd och beredskap) et le service national des douanes (Tullverket) peuvent avoir un accès direct aux rapports de renseignement établis dans la mesure décidée par le FRA (article 9 de l’ordonnance sur le traitement des données à caractère personnel dans le cadre des activités du FRA). Cependant, à ce jour, le FRA n’a accordé d’accès direct à aucun d’entre eux.

35.  Les données à caractère personnel ne peuvent être communiquées à d’autres États ou à des organisations internationales que si le secret ne s’y oppose pas et si cette communication est nécessaire pour que le FRA puisse exercer ses activités de coopération internationale en matière de défense et de sécurité. Le gouvernement peut également décider, à titre général ou dans un cas particulier, d’autoriser cette communication de données à caractère personnel dans d’autres cas lorsqu’elle est nécessaire pour les activités du FRA (chapitre 1, article 17 de la loi sur le traitement des données à caractère personnel dans le cadre des activités du FRA). Le FRA peut divulguer des données à caractère personnel à une autorité étrangère ou à une organisation internationale si cette communication est bénéfique pour la gestion de l’État suédois (statsledningen) ou pour la stratégie de défense globale de la Suède (totalförsvaret). Les informations ainsi communiquées ne doivent pas nuire aux intérêts suédois (article 7 de de l’ordonnance sur le traitement des données à caractère personnel dans le cadre des activités du FRA).

G.  La supervision de l’application des mesures de ROEM

36.  La loi relative au renseignement extérieur (article 5) et la loi relative au renseignement d’origine électromagnétique (article 10) prévoient qu’une autorité doit superviser les activités de renseignement extérieur en Suède et vérifier que les activités du FRA respectent les dispositions de la loi relative au renseignement d’origine électromagnétique. L’autorité de supervision – l’Inspection du renseignement extérieur – est notamment chargée de contrôler l’application de la loi relative au renseignement extérieur et de l’ordonnance qui y est associée, et de vérifier que les activités de renseignement extérieur sont menées conformément aux directives applicables (article 4 de l’ordonnance portant instructions pour l’Inspection du renseignement extérieur (Förordningen med instruktion för Statens inspektion för försvarsunderrättelseverksamheten, 2009:969)). Elle contrôle aussi le respect de la loi relative au renseignement d’origine électromagnétique, en vérifiant, en particulier, les termes de recherche employés, la destruction des renseignements et la communication des rapports. Si une inspection révèle qu’une collecte de renseignements n’a pas respecté l’autorisation sur laquelle elle était fondée, l’Inspection peut décider de mettre fin à l’opération correspondante ou ordonner la destruction des renseignements ainsi recueillis (article 10 de la loi relative au renseignement d’origine électromagnétique). Le FRA doit signaler à l’Inspection les termes de recherche qui visent directement une personne physique déterminée (article 3 de l’ordonnance relative au renseignement d’origine électromagnétique).

37.  L’Inspection du renseignement extérieur est dirigée par un conseil dont les membres sont nommés par le gouvernement pour un mandat d’au moins quatre ans. Le président et le vice-président doivent être ou avoir été juges permanents. Les autres membres sont choisis parmi les candidats proposés par les groupes parlementaires (article 10 § 3 de la loi relative au renseignement d’origine électromagnétique).

38.  Tous les avis et toutes les propositions de mesures formulés par l’Inspection à l’issue d’une inspection sont transmis au FRA et, si nécessaire, au gouvernement. L’Inspection remet également au gouvernement des rapports annuels sur ses inspections (article 5 de l’ordonnance portant instructions pour l’Inspection du renseignement extérieur), qui sont rendus publics. Par ailleurs, elle informe le ministère public (Åklagarmyndigheten) de toute infraction potentielle et, si elle découvre des irrégularités susceptibles d’engager la responsabilité de l’État, elle remet un rapport au chancelier de la Justice (Justitiekanslern). Un rapport peut également être remis à l’autorité de protection des données (Datainspektionen), qui est l’autorité de supervision du traitement par le FRA des données à caractère personnel (article 15).

39.  De 2009, année de création de l’Inspection, à 2017, dernière année couverte par ses rapports annuels, aucune inspection n’a révélé de raisons de mettre fin à une collecte de renseignements ou d’en détruire les résultats. Au cours de la même période, l’Inspection a remis plusieurs avis et suggestions au FRA, et un au gouvernement. Dans ses rapports annuels, elle a décrit brièvement les 102 inspections réalisées au FRA : au cours de celles-ci, elle avait procédé à de nombreuses vérifications détaillées des termes de recherche employés, de la destruction des renseignements, de la communication des rapports, du traitement des données personnelles et du respect général de la législation, des directives et des autorisations relatives aux activités de ROEM. Une inspection effectuée en 2014 a ainsi porté sur un contrôle général de la coopération du FRA en matière de renseignement avec d’autres États et avec des organisations internationales. Elle n’a donné lieu à aucun avis ni aucune suggestion au FRA. En 2017, l’Inspection a procédé à une vérification détaillée de l’administration par le FRA des données à caractère personnel, et plus particulièrement des données personnelles sensibles relatives à des éléments stratégiques concernant le terrorisme international ou d’autres formes graves de criminalité transfrontière menaçant des intérêts nationaux importants. Elle n’a formulé aucun avis ni aucune suggestion. Toutefois, la même année, elle a remis un avis au gouvernement à la suite d’une inspection visant à déterminer si les activités de renseignement du FRA avaient été menées conformément à l’orientation définie. Au cours de la période 2009-2017, elle a constaté en une occasion la présence d’un motif de remettre un rapport à une autre autorité – l’autorité de protection des données –, au sujet de l’interprétation d’une disposition de loi. Dans ses rapports annuels, elle a indiqué qu’elle avait eu accès à toutes les informations nécessaires à ses inspections.

40.  Les activités de supervision de l’Inspection du renseignement extérieur ont été vérifiées par la Direction nationale du contrôle de la gestion publique (Riksrevisionen), autorité placée sous la tutelle du parlement. Dans un rapport publié en 2015, celle-ci a constaté que le FRA avait mis en place des procédures pour traiter les avis émis par l’Inspection et que la supervision que celle-ci exerçait avait contribué au développement des activités du FRA. Elle a également observé que les suggestions avaient été traitées avec sérieux et qu’elles avaient donné lieu, si nécessaire, à des réformes. Elle a toutefois estimé que les inspections n’étaient pas assez documentées et qu’il aurait fallu qu’elles visent des buts clairement définis.

41.  Au sein du FRA, il existe un conseil de protection de la vie privée chargé de contrôler en permanence les mesures prises pour garantir la protection de l’intégrité personnelle. Ce conseil, dont les membres sont nommés par le gouvernement, communique ses observations à la direction du FRA ou, en présence de motifs le justifiant, à l’Inspection (article 11 de la loi relative au renseignement d’origine électromagnétique).

42.  La loi sur le traitement des données à caractère personnel dans le cadre des activités du FRA contient d’autres dispositions relatives à la supervision. Le FRA doit désigner un ou plusieurs délégués à la protection des données et en informer l’autorité de protection des données (chapitre 4, article 1). Le délégué à la protection des données est chargé de vérifier de manière indépendante que le FRA administre les données personnelles de manière légale et appropriée, et de signaler toute irrégularité qu’il constaterait. S’il soupçonne certaines irrégularités et qu’aucune correction n’y est apportée, il doit présenter un rapport à l’autorité de protection des données (chapitre 4, article 2).

43.  L’autorité de protection des données, qui est placée sous l’autorité du gouvernement, peut si elle le demande accéder aux données à caractère personnel traitées par le FRA et aux documents relatifs à la manière dont les données à caractère personnel sont administrées, ainsi qu’aux mesures de sécurité prises à cet égard. Elle peut accéder également aux lieux où les données personnelles sont traitées (chapitre 5, article 2). Si elle constate que des données à caractère personnel sont traitées de manière illégale ou pourraient l’être, elle doit essayer d’y remédier en communiquant ses observations au FRA (chapitre 5, article 3). Elle peut également saisir le tribunal administratif (förvaltningsrätten) de Stockholm pour obtenir la destruction des données personnelles traitées de manière illégale (chapitre 5, article 4).

H.  La notification des mesures de surveillance secrète

44.  En vertu de la loi relative au renseignement d’origine électromagnétique, lorsqu’il a employé des termes de recherche visant directement une personne physique déterminée, le FRA est tenu d’en aviser l’intéressé, en précisant la date et le but des mesures, et ce dès qu’il est possible de le faire sans risquer de nuire aux activités de renseignement extérieur, mais au plus tard un mois après la fin de la mission de ROEM (article 11a).

45.  La notification peut toutefois être différée si le secret l’exige, en particulier en cas de secret lié à la défense ou à la protection de relations internationales. Si, en raison du secret, la personne concernée n’a pas été avisée de la surveillance dans un délai d’un an à compter de la fin de la mission, il n’est plus nécessaire de l’en informer. Par ailleurs, aucune notification n’est nécessaire si les mesures ne concernent que la situation d’une puissance étrangère ou les relations entre des puissances étrangères (article 11b).

I.  Les recours

46.  La loi relative au renseignement d’origine électromagnétique prévoit que l’Inspection du renseignement extérieur doit rechercher si les communications de toute personne qui la saisit d’une demande à cet effet ont été interceptées dans le cadre d’activités de ROEM et, si tel a été le cas, vérifier si l’interception et l’administration des informations correspondantes ont été effectuées dans le respect du droit applicable. Elle doit informer le demandeur qu’elle a procédé au contrôle sollicité (article 10a). Toute personne physique ou morale peut présenter une demande, quels que soient sa nationalité et son lieu de résidence. Au cours de la période 2010-2017, 132 demandes ont été traitées et aucune irrégularité n’a été établie. En 2017, dix demandes ont été traitées, contre 14 en 2016. Les décisions rendues par l’Inspection sur les demandes dont elle est saisie sont définitives.

47.  En vertu de la loi sur le traitement des données à caractère personnel dans le cadre des activités du FRA, celui-ci est également tenu de fournir des informations lorsqu’il en reçoit la demande. Toute personne peut demander une fois par année civile si des données à caractère personnel la concernant sont en cours de traitement ou ont été traitées. Si tel est le cas, le FRA doit préciser les informations qu’il détient sur la personne en question, la source de leur collecte, la finalité de leur traitement et les destinataires ou catégories de destinataires auxquels les données personnelles sont ou ont été communiquées. Ces informations doivent normalement être fournies dans un délai d’un mois à compter de la demande (chapitre 2, article 1). Ce droit à l’information ne s’applique toutefois pas si le secret fait obstacle à la divulgation des éléments en question (chapitre 2, article 3).

48.  À la suite d’une demande formulée par une personne dont des données à caractère personnel ont été enregistrées, le FRA doit rapidement corriger, bloquer ou détruire les données qui n’ont pas été traitées conformément à la loi. Il doit également aviser tout tiers qui a reçu les données si la personne en fait la demande ou si cette notification est de nature à permettre d’éviter un préjudice ou un inconvénient importants. La notification n’est cependant pas nécessaire si elle est impossible ou si elle requerrait un effort disproportionné (chapitre 2, article 4).

49.  Les décisions du FRA sur la divulgation et les mesures correctives concernant des données à caractère personnel peuvent faire l’objet d’un recours devant le tribunal administratif de Stockholm (chapitre 6, article 3).

50.  L’État est responsable des dommages résultant de la violation de l’intégrité personnelle causée par une administration des données personnelles non conforme à la loi sur le traitement des données à caractère personnel dans le cadre des activités du FRA (chapitre 2, article 5). Les demandes d’indemnisation doivent être présentées au chancelier de la Justice.

51.  Outre les recours indiqués ci-dessus, établis par la législation relative au renseignement d’origine électromagnétique, le droit suédois prévoit plusieurs autres moyens de contrôle et mécanismes de plainte. Les médiateurs parlementaires (Justititeombudsmannen) supervisent l’application des lois et des règlements dans les activités publiques. À leur demande, les tribunaux et autorités sont tenus de produire des informations et des avis (chapitre 13, article 6 de l’Instrument de gouvernement – Regeringsformen), et notamment de leur donner accès à des procès-verbaux et à d’autres documents. Les médiateurs doivent en particulier vérifier que les tribunaux et autorités respectent les dispositions de l’Instrument de gouvernement relatives à l’objectivité et à l’impartialité et que les activités publiques ne portent pas atteinte aux droits et libertés fondamentaux des citoyens (article 3 de la loi portant instructions pour les médiateurs parlementaires – Lagen med instruktion för Riksdagens ombudsmän, 1986:765). La supervision, à laquelle sont soumis le tribunal pour le renseignement extérieur et le FRA, s’exerce par l’examen des plaintes du public et par des inspections et des enquêtes (article 5). L’examen se conclut par une décision dans laquelle le médiateur rend un avis, qui n’est pas juridiquement contraignant, sur le point de savoir si le tribunal ou l’autorité a enfreint la loi ou agi de manière fautive ou inappropriée. Le médiateur peut également engager une procédure pénale ou disciplinaire contre un agent public qui a commis une infraction pénale ou manqué à ses devoirs en ne respectant pas les obligations liées à sa fonction (article 6).

52.  Disposant d’un mandat similaire à celui des médiateurs parlementaires, le chancelier de la Justice contrôle le respect par les agents de l’administration publique des lois et règlements et de leurs obligations (article 1 de la loi sur la supervision assurée par le chancelier de la Justice – Lagen om justitiekanslerns tillsyn, 1975:1339). Pour ce faire, il examine les plaintes individuelles ou mène des inspections et des enquêtes, par exemple sur le tribunal pour le renseignement extérieur et le FRA. À la demande du chancelier, les tribunaux et autorités sont tenus de produire des informations et des avis et de donner accès à des procès-verbaux et à d’autres documents (articles 9 et 10). Les décisions du chancelier de la Justice sont de même nature que celles des médiateurs parlementaires, notamment en ce qu’elles ne sont pas juridiquement contraignantes. Cependant, par tradition, les avis du chancelier et des médiateurs suscitent un grand respect dans la société suédoise et ils sont généralement suivis (Segerstedt-Wiberg et autres c. Suède, no 62332/00, § 118, CEDH 2006‑VII). Le chancelier a la même compétence que les médiateurs pour engager des procédures pénales ou disciplinaires (articles 5 et 6).

53.  Le chancelier de la Justice peut également statuer sur les plaintes et les demandes d’indemnisation dirigées contre l’État, notamment sur celles fondées sur une violation alléguée de la Convention. La Cour suprême et le chancelier de la Justice ont élaboré ces dernières années une jurisprudence selon laquelle un principe général du droit permet d’ordonner une indemnisation pour les violations de la Convention même en l’absence de base légale directe en droit interne dans la mesure où la Suède est tenue de réparer toute violation de la Convention en accordant aux victimes un droit à indemnisation (Lindstrand Partners Advokatbyrå AB c. Suède, no 18700/09, §§ 58-62 et 67, 20 décembre 2016, et les références qui y sont citées). Le 1er avril 2018, le droit à réparation pour les violations de la Convention a été inscrit dans la loi grâce à l’adoption d’une nouvelle disposition (chapitre 3, article 4 de la loi sur la responsabilité civile – Skadeståndslagen, 1972:207).

54.  Outre les fonctions de supervision mentionnées ci-dessus que lui confèrent l’ordonnance portant instructions pour l’Inspection du renseignement extérieur et la loi sur le traitement des données à caractère personnel dans le cadre des activités du FRA (paragraphes 38, 42 et 43 ci‑dessus), l’autorité de protection des données est chargée, de manière générale, de protéger les individus contre les atteintes qui peuvent être portées à l’intégrité personnelle par le traitement des données à caractère personnel, en vertu de la loi portant dispositions complémentaires au règlement général de l’Union européenne sur la protection des données (Lagen med kompletterande bestämmelser till EU:s dataskyddsförordning), qui est entrée en vigueur le 25 mai 2018, le même jour que le règlement européen qu’elle complète (paragraphe 81 ci-dessous). En ce qui concerne les activités de ROEM menées par le FRA, qui ne relèvent pas de la compétence de l’Union européenne et ne sont donc pas régies par le droit de l’Union, la loi sur les données à caractère personnel (Personuppgiftslagen, 1998:204) reste applicable, même si elle est remplacée pour le reste par le nouveau règlement européen et la loi qui le complète. La loi sur les données à caractère personnel confie à l’autorité de protection des données la même mission générale de supervision, dans l’exercice de laquelle l’autorité peut recevoir et examiner des plaintes individuelles.

J.  Le secret au FRA

55.  La loi sur l’accès du public à l’information et sur le secret (Offentlighets‑ och sekretesslagen ; 2009:400) contient une disposition spécifique sur les activités de ROEM menées par le FRA. Le secret s’applique aux informations concernant la situation personnelle ou économique d’une personne, à moins qu’il ne soit évident que ces informations peuvent être divulguées sans que la personne concernée ni aucune autre personne qui lui est étroitement liée ne soit lésée. La présomption est que les informations relèvent du secret (chapitre 38, article 4).

56.  En vertu de la loi, le secret s’applique également de manière générale aux activités de renseignement extérieur pour ce qui est des informations concernant un autre État, une organisation internationale, une autorité, un citoyen ou une personne morale d’un autre État, si l’on peut présumer que leur divulgation porterait atteinte aux relations internationales de la Suède ou nuirait au pays d’une autre manière (chapitre 15, article 1).

57.  Le secret s’applique par ailleurs aux informations concernant les activités liées à la défense du pays et à la planification de pareilles activités ainsi qu’aux informations liées d’une autre manière à la stratégie de défense globale du pays, si l’on peut présumer que leur divulgation porterait atteinte à la défense du pays ou mettrait en danger la sécurité nationale (chapitre 15, article 2).

58.  Les informations couvertes par le secret en vertu de la loi sur l’accès du public à l’information et sur le secret ne peuvent être divulguées à une autorité étrangère ou à une organisation internationale, à moins que 1) cette divulgation ne soit autorisée par une disposition de loi expresse (article 7 de l’ordonnance sur le traitement des données à caractère personnel dans le cadre des activités du FRA, paragraphe 34 ci-dessus), ou que 2) ces informations ne puissent dans une situation analogue être communiquées à une autorité suédoise et que l’autorité qui les divulgue n’estime qu’il est évident que la communication des informations à l’autorité étrangère ou à l’organisation internationale est conforme aux intérêts suédois (chapitre 8, article 3 de la loi).

K.  Les rapports de l’autorité de protection des données

59.  Le 12 février 2009, le gouvernement ordonna à l’autorité de protection des données d’examiner, du point de vue de l’intégrité, la manière dont le FRA administrait les données à caractère personnel. Dans son rapport, publié le 6 décembre 2010, l’autorité indiqua que ses conclusions étaient globalement positives. Elle nota que le FRA prenait sérieusement en compte les questions relatives au traitement des données à caractère personnel et à l’intégrité personnelle, et qu’afin de réduire le plus possible le risque d’atteintes injustifiées à l’intégrité personnelle, il consacrait un temps et des ressources considérables à la mise en place de procédures et à la formation de son personnel. Elle constata par ailleurs que rien n’indiquait que le FRA manipulât des données à caractère personnel à des fins non autorisées par la législation en vigueur (paragraphes 12-14 et 28 ci-dessus). Elle indiqua toutefois, notamment, qu’il était nécessaire d’améliorer les méthodes visant à distinguer les communications nationales des communications avec l’étranger. À cet égard, elle observa que, même si le FRA avait mis en place des mécanismes dans ce domaine, il n’y avait aucune garantie contre l’interception de communications nationales, et que, même si cela s’était rarement produit, il était déjà arrivé que de telles communications fussent interceptées. Enfin, elle nota qu’en raison du secret la procédure de notification aux particuliers (paragraphes 44-45 ci‑dessus) n’avait jamais été utilisée par le FRA.

60.  L’autorité de protection des données rendit un deuxième rapport le 24 octobre 2016. À nouveau, elle constata que rien n’indiquait que des données à caractère personnel eussent été collectées dans d’autres buts que ceux assignés aux activités de ROEM. Elle nota également que le FRA vérifiait en permanence si les données interceptées et la surveillance des canaux de transmission à partir desquels il obtenait les renseignements étaient toujours nécessaires à la réalisation de ces buts. Elle constata que par ailleurs rien n’indiquait que les dispositions relatives à la destruction des données à caractère personnel eussent été méconnues (paragraphes 25-27 ci‑dessus). Elle reprocha toutefois au FRA une irrégularité qu’elle avait déjà soulignée en 2010, à savoir qu’il ne contrôlait pas suffisamment les journaux d’historique (logs) permettant de détecter l’utilisation injustifiée de données à caractère personnel.

L.  Le rapport du comité sur le renseignement d’origine électromagnétique

61.  Le 12 février 2009, le gouvernement décida également de nommer un comité composé principalement de parlementaires, le comité sur le renseignement d’origine électromagnétique (Signalspaningskommittén), chargé de surveiller les activités de ROEM menées par le FRA afin d’en examiner les conséquences pour l’intégrité personnelle. Le 11 février 2011, le comité rendit son rapport (Uppföljning av signalspaningslagen, SOU 2011:13). Il avait examiné principalement les activités de ROEM aériennes, car celles concernant les données acheminées par câble n’avaient pas encore commencé à grande échelle.

62.  Le comité conclut que les préoccupations relatives à l’intégrité personnelle étaient prises au sérieux par le FRA et qu’elles faisaient partie intégrante de l’élaboration de ses procédures. Il releva toutefois qu’il était difficile en pratique de séparer les communications par câble nationales de celles qui traversaient la frontière suédoise, et que toutes les communications nationales qui n’étaient pas séparées au stade du traitement automatisé l’étaient manuellement au stade du traitement ou de l’analyse. Il observa par ailleurs que les termes de recherche employés pour les données de communication étaient moins spécifiques que ceux utilisés pour l’interception du contenu d’une communication et que, par conséquent, un plus grand nombre de personnes pouvaient voir leurs données conservées par le FRA.

63.  Le comité conclut également dans son rapport que les activités de développement du FRA (paragraphe 14 ci-dessus) risquaient de conduire à l’interception de communications non pertinentes et éventuellement à leur lecture ou à leur écoute par le personnel du FRA. Il observa toutefois que les activités de développement étaient directement essentielles à la capacité du FRA à mener des activités de ROEM et qu’en outre les informations obtenues dans le cadre des activités de développement ne pouvaient être utilisées dans le cadre des activités ordinaires de renseignement que si cette utilisation était conforme aux buts fixés par la loi et aux directives d’attribution de tâches pertinentes émises pour le ROEM.

64.  Tout comme l’autorité de protection des données (paragraphe 59 ci‑dessus), le comité souligna qu’en réalité, en raison du secret, l’obligation pour le FRA d’aviser les personnes ayant directement et personnellement fait l’objet de mesures de surveillance secrète était très limitée. Il conclut que cette obligation ne permettait nullement de garantir la sécurité juridique ni d’assurer une protection contre les atteintes à l’intégrité personnelle. Il estima toutefois que la procédure d’autorisation par le tribunal pour le renseignement extérieur des mesures de ROEM (paragraphes 18-22 ci‑dessus) et la supervision exercée par l’Inspection du renseignement extérieur (paragraphes 24 et 36‑40 ci‑dessus) et le conseil de protection de la vie privée (paragraphe 41 ci‑dessus), notamment, offraient une protection importante pour l’intégrité personnelle. Il releva à cet égard que, même si le conseil de protection de la vie privée faisait partie du FRA, il agissait de manière indépendante.

III.  LE DROIT INTERNATIONAL ET EUROPÉEN PERTINENT

A.  Nations unies

65.  La Résolution no 68/167 sur le droit à la vie privée à l’ère du numérique, adoptée par l’Assemblée générale le 18 décembre 2013, se lit comme suit :

« L’Assemblée générale,

(...)

4.  Invite tous les États :

(...)

c)  À revoir leurs procédures, leurs pratiques et leur législation relatives à la surveillance et à l’interception des communications, et à la collecte de données personnelles, notamment à grande échelle, afin de défendre le droit à la vie privée en veillant à respecter pleinement toutes leurs obligations au regard du droit international des droits de l’homme ;

d)  À créer des mécanismes nationaux de contrôle indépendants efficaces qui puissent assurer la transparence de la surveillance et de l’interception des communications et de la collecte de données personnelles qu’ils effectuent, le cas échéant, et veiller à ce qu’ils en répondent, ou à les maintenir en place s’ils existent déjà ;

(...) »

B.  Conseil de l’Europe

1.  La Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, et son protocole additionnel

66.  La Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 (STE no 108) a été ratifiée par la Suède le 29 septembre 1982. Elle établit des normes pour la protection des données dans le cadre du traitement automatisé de données à caractère personnel dans les secteurs public et privé. En ses parties pertinentes, elle est ainsi libellée :

Préambule

« Les États membres du Conseil de l’Europe, signataires de la présente Convention,

Considérant que le but du Conseil de l’Europe est de réaliser une union plus étroite entre ses membres, dans le respect notamment de la prééminence du droit ainsi que des droits de l’homme et des libertés fondamentales ;

Considérant qu’il est souhaitable d’étendre la protection des droits et des libertés fondamentales de chacun, notamment le droit au respect de la vie privée, eu égard à l’intensification de la circulation à travers les frontières des données à caractère personnel faisant l’objet de traitements automatisés ;

Réaffirmant en même temps leur engagement en faveur de la liberté d’information sans considération de frontières ;

Reconnaissant la nécessité de concilier les valeurs fondamentales du respect de la vie privée et de la libre circulation de l’information entre les peuples,

Sont convenus de ce qui suit : »

Article 1 – Objet et finalité

« Le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l’égard du traitement automatisé des données à caractère personnel la concernant (« protection des données »). »

Article 8 – Garanties complémentaires pour la personne concernée

« Toute personne doit pouvoir :

a)  connaître l’existence d’un fichier automatisé de données à caractère personnel, ses finalités principales, ainsi que l’identité et la résidence habituelle ou le principal établissement du maître du fichier ;

b)  obtenir à des intervalles raisonnables et sans délais ou frais excessifs la confirmation de l’existence ou non dans le fichier automatisé, de données à caractère personnel la concernant ainsi que la communication de ces données sous une forme intelligible ;

c)  obtenir, le cas échéant, la rectification de ces données ou leur effacement lorsqu’elles ont été traitées en violation des dispositions du droit interne donnant effet aux principes de base énoncés dans les articles 5 et 6 de la présente Convention ;

d)  disposer d’un recours s’il n’est pas donné suite à une demande de confirmation ou, le cas échéant, de communication, de rectification ou d’effacement, visée aux paragraphes b et c du présent article. »

Article 9 – Exceptions et restrictions

« 1.  Aucune exception aux dispositions des articles 5, 6 et 8 de la présente Convention n’est admise, sauf dans les limites définies au présent article.

2.  Il est possible de déroger aux dispositions des articles 5, 6 et 8 de la présente Convention lorsqu’une telle dérogation, prévue par la loi de la Partie, constitue une mesure nécessaire dans une société démocratique :

a)  à la protection de la sécurité de l’État, à la sûreté publique, aux intérêts monétaires de l’État ou à la répression des infractions pénales ;

b)  à la protection de la personne concernée et des droits et libertés d’autrui.

(...) »

Article 10 – Sanctions et recours

« Chaque Partie s’engage à établir des sanctions et recours appropriés visant les violations aux dispositions du droit interne donnant effet aux principes de base pour la protection des données énoncés dans le présent chapitre. »

67.  Le Protocole additionnel du 8 novembre 2001 à la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, concernant les autorités de contrôle et les flux transfrontières de données (STCE no 181), ratifié par la Suède à la même date, dispose :

Article 1 – Autorités de contrôle

« 1.  Chaque Partie prévoit qu’une ou plusieurs autorités sont chargées de veiller au respect des mesures donnant effet, dans son droit interne, aux principes énoncés dans les chapitres II et III de la Convention et dans le présent Protocole.

2.  a)  À cet effet, ces autorités disposent notamment de pouvoirs d’investigation et d’intervention, ainsi que de celui d’ester en justice ou de porter à la connaissance de l’autorité judiciaire compétente des violations aux dispositions du droit interne donnant effet aux principes visés au paragraphe 1 de l’article 1 du présent Protocole.

b)  Chaque autorité de contrôle peut être saisie par toute personne d’une demande relative à la protection de ses droits et libertés fondamentales à l’égard des traitements de données à caractère personnel relevant de sa compétence.

3.  Les autorités de contrôle exercent leurs fonctions en toute indépendance.

4.  Les décisions des autorités de contrôle faisant grief peuvent faire l’objet d’un recours juridictionnel.

(...) »

Article 2 – Flux transfrontières de données à caractère personnel vers un destinataire n’étant pas soumis à la juridiction d’une Partie à la Convention

« 1.  Chaque Partie prévoit que le transfert de données à caractère personnel vers un destinataire soumis à la juridiction d’un État ou d’une organisation qui n’est pas Partie à la Convention ne peut être effectué que si cet État ou cette organisation assure un niveau de protection adéquat pour le transfert considéré.

2.  Par dérogation au paragraphe 1 de l’article 2 du présent Protocole, chaque Partie peut autoriser un transfert de données à caractère personnel :

a)  si le droit interne le prévoit :

–  pour des intérêts spécifiques de la personne concernée, ou

–  lorsque des intérêts légitimes prévalent, en particulier des intérêts publics importants, ou

b)  si des garanties pouvant notamment résulter de clauses contractuelles sont fournies par la personne responsable du transfert, et sont jugées suffisantes par les autorités compétentes, conformément au droit interne.

2.  Recommandation du Comité des Ministres sur la protection des données à caractère personnel dans le domaine des services de télécommunication

68.  La Recommandation no R (95) 4 du Comité des Ministres sur la protection des données à caractère personnel dans le domaine des services de télécommunication, eu égard notamment aux services téléphoniques, adoptée le 7 février 1995, énonce ce qui suit en ses parties pertinentes :

« 2.4.  Il ne peut y avoir ingérence des autorités publiques dans le contenu d’une communication, y compris l’utilisation de tables d’écoute ou d’autres moyens de surveillance ou d’interception des communications, que si cette ingérence est prévue par la loi et constitue une mesure nécessaire, dans une société démocratique :

a)  à la protection de la sécurité de l’État, à la sûreté publique, aux intérêts monétaires de l’État ou à la répression des infractions pénales ;

b)  à la protection de la personne concernée et des droits et libertés d’autrui.

2.5.  En cas d’ingérence des autorités publiques dans le contenu d’une communication, le droit interne devrait réglementer :

a)  l’exercice des droits d’accès et de rectification par la personne concernée ;

b)  les conditions dans lesquelles les autorités publiques compétentes seront en droit de refuser de donner des renseignements à la personne concernée ou d’en différer la délivrance ;

c)  la conservation ou la destruction de ces données.

Lorsqu’un exploitant de réseau ou un fournisseur de services est chargé par une autorité publique d’effectuer une ingérence, les données ainsi collectées ne devraient être communiquées qu’à l’organisme désigné dans l’autorisation pour cette ingérence. »

3.  Rapport de la Commission de Venise

69.  En décembre 2015, la Commission européenne pour la démocratie par le droit – « la Commission de Venise » – a publié son « rapport sur le contrôle démocratique des agences de collecte de renseignements d’origine électromagnétique ». Elle y relève d’emblée la valeur que peuvent revêtir les interceptions massives au regard des opérations de sécurité en ce qu’elles permettent aux services de sécurité d’adopter une approche proactive qui consiste à chercher des dangers jusque-là inconnus plutôt qu’à enquêter sur un danger connu. Elle observe toutefois que l’interception de données en vrac dans les transmissions ou l’obligation pour les entreprises de télécommunication de conserver et de fournir des données de contenu ou des métadonnées aux autorités répressives ou aux services de sécurité s’analysent en une ingérence dans la vie privée et d’autres droits individuels d’une large portion de la population mondiale. À cet égard, la Commission de Venise considère que les principales ingérences concernant la vie privée se produisent lorsque les autorités peuvent consulter les données en question et les soumettre à un traitement. Pour cette raison, l’analyse informatique (généralement effectuée sur la base de sélecteurs) est l’une des étapes les plus importantes sous l’angle de la mise en balance de la protection de la vie privée, d’une part, et des autres intérêts en présence, d’autre part.

70.  Selon le rapport, les deux garanties les plus importantes concernent le processus d’autorisation (de la collecte de données et de l’accès aux données) et le processus de contrôle. Il ressort nettement de la jurisprudence de la Cour que ce dernier processus doit être confié à un organe indépendant et extérieur. Si la Cour a une préférence pour le système d’autorisation juridictionnel, elle ne l’a pas jugé indispensable. Elle estime plutôt que le système doit être apprécié dans son ensemble et que l’absence de contrôles indépendants au stade de l’autorisation devrait être compensée par des garanties extrêmement solides au stade du contrôle. La Commission de Venise prend pour exemple sur ce point le système des États-Unis où l’autorisation est donnée par un tribunal spécialisé dans la surveillance du renseignement extérieur. Elle observe toutefois que, malgré l’existence d’un système d’autorisation juridictionnel, l’absence d’un contrôle indépendant portant sur le respect des conditions fixées par le tribunal est problématique.

71.  De même, la Commission observe que l’article 8 de la Convention n’impose pas expressément qu’une personne soit informée qu’elle a fait l’objet d’une surveillance. L’absence de notification peut être compensée par la mise en place d’une procédure générale de traitement des plaintes gérée par un organe de contrôle indépendant.

72.  Le rapport considère également que les contrôles internes constituent la « principale garantie ». À cet égard, les procédures de recrutement et de formation revêtent une importance clé. Il est aussi indispensable d’exiger du service qu’il tienne compte de la protection de la vie privée et des autres droits de l’homme lorsqu’il promulgue des règles internes.

73.  Le rapport examine également la situation des journalistes. Il admet qu’il s’agit d’un groupe nécessitant une protection spéciale en ce que l’examen de leurs contacts pourrait révéler leurs sources (le risque potentiel d’une telle identification pourrait être totalement dissuasif pour les donneurs d’alerte). Il estime néanmoins qu’on ne saurait édicter une interdiction absolue de construction du graphe social d’un journaliste en présence de fortes raisons de recourir à une telle pratique. Il reconnaît en outre la difficulté associée à la définition de la profession puisque les ONG vouées à la formation de l’opinion publique ou même les bloggeurs pourraient revendiquer à juste titre des protections équivalentes.

74.  Le rapport examine enfin brièvement la question du partage de renseignements et, en particulier, le risque que des États contournent ainsi des procédures de surveillance nationales plus strictes ou les limitations légales auxquelles leurs agences de renseignement pourraient être soumises en ce qui concerne les opérations de renseignement intérieur. Il en conclut que l’une des garanties appropriées consiste à prévoir que le matériel en vrac transféré ne pourra faire l’objet de recherches que si toutes les exigences applicables au traitement national des données sont remplies, et si l’opération est dûment autorisée en vertu de la même procédure que celle observée par le service de renseignement d’origine électromagnétique de l’État de destination en vertu de ses propres règles.

C.  Union européenne

1.  La Charte des droits fondamentaux de l’Union européenne

75.  Les articles 7, 8 et 11 de la charte sont ainsi libellés :

Article 7 – Respect de la vie privée et familiale

« Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications. »

Article 8 – Protection des données à caractère personnel

« 1.  Toute personne a droit à la protection des données à caractère personnel la concernant.

2.  Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.

3.  Le respect de ces règles est soumis au contrôle d’une autorité indépendante. »

Article 11 – Liberté d’expression et d’information

« 1.  Toute personne a droit à la liberté d’expression. Ce droit comprend la liberté d’opinion et la liberté de recevoir ou de communiquer des informations ou des idées sans qu’il puisse y avoir ingérence d’autorités publiques et sans considération de frontière.

2.  La liberté des médias et leur pluralisme sont respectés. »

2.  Les directives de l’Union européenne relatives à la protection et au traitement des données à caractère personnel

76.  La directive sur la protection des données personnelles (Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données), adoptée le 24 octobre 1995, a régi pendant de nombreuses années la protection et le traitement des données à caractère personnel au sein de l’Union européenne. Les activités des États membres en matière de sécurité publique, de défense et de sûreté de l’État ne relevant pas du champ d’application du droit de l’Union européenne, cette directive ne s’y appliquait pas (article 3, paragraphe 2).

77.  La directive vie privée et communications électroniques (Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques), adoptée le 12 juillet 2002, dispose dans ses considérants 2 et 11 :

« 2)  La présente directive vise à respecter les droits fondamentaux et observe les principes reconnus notamment par la charte des droits fondamentaux de l’Union européenne. En particulier, elle vise à garantir le plein respect des droits exposés aux articles 7 et 8 de cette charte.

11)  À l’instar de la directive 95/46/CE, la présente directive ne traite pas des questions de protection des droits et libertés fondamentaux liées à des activités qui ne sont pas régies par le droit communautaire. Elle ne modifie donc pas l’équilibre existant entre le droit des personnes à une vie privée et la possibilité dont disposent les États membres de prendre des mesures telles que celles visées à l’article 15, paragraphe 1, de la présente directive, nécessaires pour la protection de la sécurité publique, de la défense, de la sûreté de l’État (y compris la prospérité économique de l’État lorsqu’il s’agit d’activités liées à la sûreté de l’État) et de l’application du droit pénal. Par conséquent, la présente directive ne porte pas atteinte à la faculté des États membres de procéder aux interceptions légales des communications électroniques ou d’arrêter d’autres mesures si cela s’avère nécessaire pour atteindre l’un quelconque des buts précités, dans le respect de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, telle qu’interprétée par la Cour européenne des droits de l’homme dans ses arrêts. Lesdites mesures doivent être appropriées, rigoureusement proportionnées au but poursuivi et nécessaires dans une société démocratique. Elles devraient également être subordonnées à des garanties appropriées, dans le respect de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. »

La directive prévoit ensuite notamment ce qui suit :

Article 1 – Champ d’application et objectif

« 1.  La présente directive harmonise les dispositions des États membres nécessaires pour assurer un niveau équivalent de protection des droits et libertés fondamentaux, et en particulier du droit à la vie privée, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et des services de communications électroniques dans la Communauté.

2.  Les dispositions de la présente directive précisent et complètent la directive 95/46/CE aux fins énoncées au paragraphe 1. En outre, elles prévoient la protection des intérêts légitimes des abonnés qui sont des personnes morales.

3.  La présente directive ne s’applique pas aux activités qui ne relèvent pas du traité instituant la Communauté européenne, telles que celles visées dans les titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux activités concernant la sécurité publique, la défense, la sûreté de l’État (y compris la prospérité économique de l’État lorsqu’il s’agit d’activités liées à la sûreté de l’État) ou aux activités de l’État dans des domaines relevant du droit pénal. »

Article 15 – Application de certaines dispositions de la directive 95/46/CE

« 1.  Les États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l’article 8, paragraphes 1, 2, 3 et 4, et à l’article 9 de la présente directive lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la directive 95/46/CE. À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe. Toutes les mesures visées dans le présent paragraphe sont prises dans le respect des principes généraux du droit communautaire, y compris ceux visés à l’article 6, paragraphes 1 et 2, du traité sur l’Union européenne. »

78.  Le 15 mars 2006, la directive sur la conservation des données (Directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE) a été adoptée. Elle renfermait notamment les dispositions suivantes :

Article 1 - Objet et champ d’application

« 1.  La présente directive a pour objectif d’harmoniser les dispositions des États membres relatives aux obligations des fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications en matière de conservation de certaines données qui sont générées ou traitées par ces fournisseurs, en vue de garantir la disponibilité de ces données à des fins de recherche, de détection et de poursuite d’infractions graves telles qu’elles sont définies par chaque État membre dans son droit interne.

2.  La présente directive s’applique aux données relatives au trafic et aux données de localisation concernant tant les entités juridiques que les personnes physiques, ainsi qu’aux données connexes nécessaires pour identifier l’abonné ou l’utilisateur enregistré. Elle ne s’applique pas au contenu des communications électroniques, notamment aux informations consultées en utilisant un réseau de communications électroniques. »

Article 3 – Obligation de conservation de données

« 1.  Par dérogation aux articles 5, 6 et 9 de la directive 2002/58/CE, les États membres prennent les mesures nécessaires pour que les données visées à l’article 5 de la présente directive soient conservées, conformément aux dispositions de cette dernière, dans la mesure où elles sont générées ou traitées dans le cadre de la fourniture des services de communication concernés par des fournisseurs de services de communications électroniques accessibles au public ou d’un réseau public de communications, lorsque ces fournisseurs sont dans leur ressort.

(...) »

3.  La jurisprudence de la Cour de justice de l’Union européenne (CJUE) sur la protection des données

79.  Dans l’affaire Digital Rights Ireland contre Minister for Communications e.a. (affaires C-293/12 et C-594/12, arrêt du 8 avril 2014), la CJUE a déclaré invalide la directive 2006/24/CE. Elle a relevé que, même si ladite directive n’autorisait pas la conservation du contenu des communications, les données relatives au trafic et à la localisation visées par ce texte étaient susceptibles de permettre de tirer des conclusions très précises sur la vie privée des personnes dont les données avaient été conservées. Il en résultait, selon elle, que l’obligation imposée aux fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communication de conserver des données ainsi que l’accès des autorités nationales compétentes aux données constituaient une ingérence dans les droits au respect de la vie privée et des communications et à la protection des données à caractère personnel, tels que garantis par les articles 7 et 8 de la Charte des droits fondamentaux. Elle a estimé que, si l’ingérence répondait à un objectif d’intérêt général, à savoir contribuer à la lutte contre les infractions graves et le terrorisme et ainsi, en fin de compte, à la sécurité publique, elle ne satisfaisait toutefois pas à l’exigence de proportionnalité. Elle a ajouté que la protection du droit fondamental au respect de la vie privée exigeait, selon sa jurisprudence constante, que les dérogations et limitations de la protection des données prévues par la directive fussent opérées dans les limites du strict nécessaire. Elle a constaté que la directive couvrait de manière généralisée toute personne et tous moyens de communication électronique ainsi que l’ensemble des données relatives aux communications sans qu’aucune différenciation, limitation ou exception ne fût opérée en fonction de l’objectif de lutte contre les infractions graves. Ainsi, selon la CJUE, le texte impliquait une ingérence dans les droits fondamentaux de la quasi‑totalité de la population européenne et il s’appliquait même à des personnes pour lesquelles il n’existait aucun indice de nature à laisser croire que leur comportement pût avoir un lien, fût-ce indirect ou lointain, avec des infractions graves. En deuxième lieu, la CJUE a dit que la directive ne contenait pas les conditions matérielles et procédurales relatives à l’accès des autorités nationales compétentes aux données et à leur utilisation ultérieure, et qu’en se bornant à renvoyer de manière générale aux infractions graves telles que définies par chaque État membre dans son droit interne, le texte ne prévoyait aucun critère objectif permettant de déterminer quelles infractions pouvaient être considérées comme suffisamment graves pour justifier une ingérence d’une telle ampleur dans les droits fondamentaux consacrés par les articles 7 et 8 de la charte. Surtout, pour la CJUE, l’accès par les autorités nationales compétentes aux données conservées n’était pas subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante dont la décision aurait visé à limiter l’accès aux données et leur utilisation à ce qui était strictement nécessaire aux fins d’atteindre l’objectif poursuivi. La CJUE en a conclu que la directive entraînait une ingérence d’une vaste ampleur et d’une gravité particulière dans les droits fondamentaux consacrés par les articles 7 et 8 de la charte, sans avoir prévu de règles claires et précises régissant la portée de l’ingérence et permettant de garantir qu’elle demeurât effectivement limitée au strict nécessaire. Elle a également fait observer que la directive ne prévoyait pas de garanties suffisantes – au moyen de mesures techniques et organisationnelles – permettant d’assurer une protection efficace des données conservées contre les risques d’abus ainsi que contre tout accès illicite à ces données et toute utilisation illicite de ces données.

80.  Dans les affaires jointes Tele2 Sverige AB contre Post- och telestyrelsen et Secretary of State for the Home Department contre Tom Watson e.a. (affaires C-203/15 et C-698/15, arrêt du 21 décembre 2016), la CJUE (Grande Chambre) s’est pour la première fois prononcée sur la question d’un fournisseur de services de communications électroniques qui avait refusé de conserver des données en application de la législation suédoise par laquelle la directive 2006/24/CE, désormais invalide, avait été transposée. La CJUE a notamment jugé ce qui suit :

« 107.  Une réglementation nationale telle que celle en cause au principal excède donc les limites du strict nécessaire et ne saurait être considérée comme étant justifiée, dans une société démocratique, ainsi que l’exige l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte.

108.  En revanche, l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte, ne s’oppose pas à ce qu’un État membre adopte une réglementation permettant, à titre préventif, la conservation ciblée des données relatives au trafic et des données de localisation, à des fins de lutte contre la criminalité grave, à condition que la conservation des données soit, en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue, limitée au strict nécessaire.

109.  Pour satisfaire aux exigences énoncées au point précédent du présent arrêt, cette réglementation nationale doit, en premier lieu, prévoir des règles claires et précises régissant la portée et l’application d’une telle mesure de conservation des données et imposant un minimum d’exigences, de telle sorte que les personnes dont les données ont été conservées disposent de garanties suffisantes permettant de protéger efficacement leurs données à caractère personnel contre les risques d’abus. Elle doit en particulier indiquer en quelles circonstances et sous quelles conditions une mesure de conservation des données peut, à titre préventif, être prise, garantissant ainsi qu’une telle mesure soit limitée au strict nécessaire (...).

110.  En second lieu, s’agissant des conditions matérielles auxquelles doit satisfaire une réglementation nationale permettant, dans le cadre de la lutte contre la criminalité, la conservation, à titre préventif, des données relatives au trafic et des données de localisation, afin de garantir qu’elle soit limitée au strict nécessaire, il convient de relever que, si ces conditions peuvent varier en fonction des mesures prises aux fins de la prévention, de la recherche, de la détection et de la poursuite de la criminalité grave, la conservation des données n’en doit pas moins toujours répondre à des critères objectifs, établissant un rapport entre les données à conserver et l’objectif poursuivi. En particulier, de telles conditions doivent s’avérer, en pratique, de nature à délimiter effectivement l’ampleur de la mesure et, par suite, le public concerné.

111.  S’agissant de la délimitation d’une telle mesure quant au public et aux situations potentiellement concernés, la réglementation nationale doit être fondée sur des éléments objectifs permettant de viser un public dont les données sont susceptibles de révéler un lien, au moins indirect, avec des actes de criminalité grave, de contribuer d’une manière ou d’une autre à la lutte contre la criminalité grave ou de prévenir un risque grave pour la sécurité publique. Une telle délimitation peut être assurée au moyen d’un critère géographique lorsque les autorités nationales compétentes considèrent, sur la base d’éléments objectifs, qu’il existe, dans une ou plusieurs zones géographiques, un risque élevé de préparation ou de commission de tels actes.

112.  Eu égard à l’ensemble des considérations qui précèdent, (...) l’article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique. »

La CJUE a également examiné une question soulevée par la Cour d’appel (Angleterre et pays de Galles) (division civile), par laquelle ladite juridiction demandait en substance si, dans l’arrêt Digital Rights, la Cour avait interprété les articles 7 et/ou 8 de la charte dans un sens allant au-delà de celui conféré à l’article 8 de la Convention par la Cour européenne des droits de l’homme. La CJUE a dit ceci :

« 127.  À titre liminaire, il convient de rappeler que, si, comme le confirme l’article 6, paragraphe 3, [du Traité sur l’Union européenne], les droits fondamentaux reconnus par la [Convention] font partie du droit de l’Union en tant que principes généraux, ladite convention ne constitue pas, tant que l’Union n’y a pas adhéré, un instrument juridique formellement intégré à l’ordre juridique de l’Union (...)

128.  Ainsi, l’interprétation de la directive 2002/58, en cause en l’occurrence, doit être opérée au regard uniquement des droits fondamentaux garantis par la charte (...)

129.  En outre, il convient de rappeler que les explications afférentes à l’article 52 de la charte indiquent que l’article 52, paragraphe 3, de celle-ci vise à assurer la cohérence nécessaire entre la charte et la [Convention], « sans que cela porte atteinte à l’autonomie du droit de l’Union et de la Cour de justice de l’Union européenne » (arrêt du 15 février 2016, N., C‑601/15 PPU, EU:C:2016:84, point 47). En particulier, ainsi que le prévoit expressément l’article 52, paragraphe 3, seconde phrase, de la charte, l’article 52, paragraphe 3, première phrase, de celle-ci ne fait pas obstacle à ce que le droit de l’Union accorde une protection plus étendue que la [Convention]. À cela s’ajoute enfin le fait que l’article 8 de la charte concerne un droit fondamental distinct de celui consacré à l’article 7 de celle-ci et qui n’a pas d’équivalent dans la [Convention].

130.  Or, selon une jurisprudence constante de la Cour, la justification d’une demande de décision préjudicielle est non pas la formulation d’opinions consultatives sur des questions générales ou hypothétiques, mais le besoin inhérent à la solution effective d’un litige portant sur le droit de l’Union (...)

131.  En l’occurrence, eu égard aux considérations figurant notamment aux points 128 et 129 du présent arrêt, la question de savoir si la protection conférée aux articles 7 et 8 de la charte va au-delà de celle garantie à l’article 8 de la [Convention] n’est pas de nature à influer sur l’interprétation de la directive 2002/58, lue à la lumière de la charte, qui est en cause dans le litige au principal dans l’affaire C‑698/15.

132.  Ainsi, il n’apparaît pas qu’une réponse à la seconde question dans l’affaire C‑698/15 puisse apporter des éléments d’interprétation du droit de l’Union qui soient nécessaires à la solution, au regard de ce droit, dudit litige.

133.  Il s’ensuit que la seconde question dans l’affaire C‑698/15 est irrecevable. »

Elle en a conclu ce qui suit :

« 1).  L’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique.

2).  L’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte des droits fondamentaux, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale régissant la protection et la sécurité des données relatives au trafic et des données de localisation, en particulier l’accès des autorités nationales compétentes aux données conservées, sans limiter, dans le cadre de la lutte contre la criminalité, cet accès aux seules fins de lutte contre la criminalité grave, sans soumettre ledit accès à un contrôle préalable par une juridiction ou une autorité administrative indépendante, et sans exiger que les données en cause soient conservées sur le territoire de l’Union.

3).  La seconde question posée par la Cour d’appel (Angleterre et pays de Galles) (division civile) est irrecevable. »

4.  Le règlement général sur la protection des données

81.  Le règlement général sur la protection des données (Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE) est entré en vigueur le 25 mai 2018. Tout comme la directive qu’il a remplacée, ledit règlement ne s’applique pas aux activités de l’État en matière de sécurité publique, de défense et de sûreté de l’État (article 2, paragraphe 2).

EN DROIT

I.  SUR LA VIOLATION ALLÉGUÉE DE L’ARTICLE 8 DE LA CONVENTION

82.  La requérante allègue que la législation et la pratique suédoises en matière de renseignement d’origine électromagnétique ont porté et continuent de porter atteinte à son droit au respect de sa vie privée et de sa correspondance. Son grief porte sur trois périodes : de 2002 au 1er janvier 2009, du 1er janvier au 1er décembre 2009 et à partir du 1er décembre 2009. Elle invoque l’article 8 de la Convention, qui est ainsi libellé :

« 1.  Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.

2.  Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui. »

A.  Sur la recevabilité

83.  Le Gouvernement s’interroge sur le point de savoir si la requérante a épuisé toutes les voies de recours internes et il laisse à la Cour le soin de trancher. Il soutient par ailleurs que la requérante ne peut se prétendre victime d’une violation de l’article 8 de la Convention. Il conteste que les personnes morales puissent être titulaires d’un droit au respect de leur vie privée et argue qu’en tout état de cause le grief est manifestement mal fondé.

84.  En ce qui concerne la première exception soulevée par le Gouvernement, la Cour observe, comme elle l’expliquera ci-dessous (paragraphes 171-177), qu’il n’existe aucun recours interne qui permettrait en pratique à un demandeur soupçonnant que ses communications ont été interceptées d’obtenir une décision comportant une motivation détaillée. Par ailleurs, le Gouvernement n’a indiqué aucun recours effectif qui aurait dû être épuisé aux fins de l’article 35. La Cour estime donc que la requérante n’était pas tenue d’engager une procédure interne et elle rejette par conséquent l’exception de non-épuisement des voies de recours internes.

85.  En ce qui concerne la vie privée, la Cour a déjà eu l’occasion de dire qu’il est permis de douter qu’une personne morale puisse avoir une vie privée au sens de l’article 8. On peut toutefois dire que le courrier ou toute autre forme de communication d’une personne morale relève de la notion de « correspondance » qui s’applique aux communications provenant de locaux tant privés que professionnels. En outre, les personnes morales peuvent craindre de faire l’objet d’une surveillance secrète et il a donc été admis qu’elles peuvent se prétendre victimes d’une violation de la Convention (Association pour l’intégration européenne et les droits de l’homme et Ekimdjiev c. Bulgarie, no 62540/00, § 60, 28 juin 2007, et les références qui y sont citées). Partant, il convient d’examiner le grief formulé par la requérante sous l’angle du droit de cette dernière au respect de sa correspondance.

86.  Considérant que l’exception soulevée par le Gouvernement quant à la qualité de victime de la requérante est étroitement liée au fond du grief formulé par celle-ci, il y a lieu de la joindre au fond de la requête.

87.  Constatant enfin que ce grief n’est pas manifestement mal fondé au sens de l’article 35 § 3 a) de la Convention et qu’il ne se heurte par ailleurs à aucun autre motif d’irrecevabilité, la Cour le déclare recevable.

B.  Sur le fond

1.  Sur la qualité de victime de la requérante et l’existence d’une ingérence

a)  Les arguments des parties

88.  Le Gouvernement argue que la requérante ne peut se prétendre victime d’une violation de la Convention du fait de la seule existence d’une législation relative au renseignement d’origine électromagnétique. L’ensemble des mécanismes de contrôle, des éléments de supervision et des recours ouverts aux intéressés constituent selon lui des garanties suffisantes contre les abus qui pourraient découler de la compétence du FRA en matière de ROEM. Par ailleurs, le Gouvernement soutient que la possibilité que la requérante ait fait l’objet d’activités de ROEM est pratiquement inexistante.

89.  La requérante conteste la thèse du Gouvernement et, se référant à l’affaire Kennedy c. Royaume-Uni (no 26839/05, 18 mai 2010), elle argue que sa qualité de victime se fonde sur le risque que des mesures de surveillance secrète lui aient été appliquées.

b)  L’appréciation de la Cour

90.  Dans son arrêt rendu dans l’affaire Roman Zakharov c. Russie ([GC], no 47143/06, § 171, CEDH 2015), qui concernait l’interception secrète de communications de téléphonie mobile, la Cour, suivant la même démarche que celle qu’elle avait adoptée dans l’arrêt Kennedy, a précisé les conditions dans lesquelles un requérant peut se prétendre victime d’une violation de l’article 8 sans avoir à démontrer que des mesures de surveillance secrète lui ont bien été spécifiquement appliquées. Dès lors, la Cour admet qu’un requérant peut se prétendre victime d’une violation entraînée par la simple existence de mesures de surveillance secrète ou d’une législation permettant de telles mesures si les conditions suivantes sont remplies.

91.  Premièrement, la Cour prendra en considération la portée de la législation autorisant les mesures de surveillance secrète et recherchera pour cela si le requérant peut éventuellement être touché par la législation litigieuse, soit parce qu’il appartient à un groupe de personnes visées par elle, soit parce qu’elle concerne directement l’ensemble des usagers des services de communication en instaurant un système dans lequel tout un chacun peut voir ses communications interceptées.

92.  Deuxièmement, elle tiendra compte de la disponibilité de recours au niveau national et ajustera le niveau de son contrôle en fonction de l’effectivité de ces recours. Lorsque l’ordre interne n’offre pas de recours effectif à la personne qui pense avoir fait l’objet d’une surveillance secrète, les soupçons et les craintes de la population quant à l’usage abusif qui pourrait être fait des pouvoirs de surveillance secrète ne sont pas injustifiés. Dans ces circonstances, on est fondé à alléguer que la menace de surveillance restreint par elle-même la liberté de communiquer au moyen des services des postes et télécommunications et qu’elle constitue donc, pour chaque usager ou usager virtuel, une atteinte directe au droit garanti par l’article 8. Un contrôle accru par la Cour s’avère donc nécessaire et il se justifie de déroger à la règle selon laquelle les particuliers n’ont pas le droit de se plaindre d’une loi in abstracto. En pareil cas, la personne concernée n’a pas besoin d’établir l’existence d’un risque que des mesures de surveillance secrète lui aient effectivement été appliquées.

93.  Si en revanche l’ordre interne comporte des recours effectifs, des soupçons généralisés d’abus sont plus difficiles à justifier. Dans ce cas de figure, l’intéressé peut se prétendre victime d’une violation entraînée par la simple existence de mesures secrètes ou d’une législation permettant de telles mesures uniquement s’il est à même de montrer qu’en raison de sa situation personnelle spécifique il est potentiellement exposé au risque de subir pareilles mesures.

94.  La Cour considère que la législation litigieuse sur le ROEM a instauré un dispositif de surveillance secrète susceptible de toucher, par exemple, tout usager de téléphonie mobile et d’internet, et ce sans notification. Par ailleurs, comme elle l’a constaté ci-dessus (paragraphe 84), il n’existe aucun recours interne qui permettrait à un demandeur soupçonnant que ses communications ont été interceptées d’obtenir une décision comportant une motivation détaillée. Dans ces circonstances, la Cour estime justifié l’examen in abstracto de la législation pertinente.

95.  La requérante est donc en droit de se prétendre victime d’une violation de la Convention bien qu’elle ne puisse alléguer à l’appui de sa requête avoir fait l’objet d’une mesure concrète d’interception. Pour les mêmes raisons, la simple existence de la législation incriminée constitue en soi une ingérence dans l’exercice par la requérante de ses droits découlant de l’article 8. En conséquence, la Cour rejette l’exception du Gouvernement tirée du défaut de qualité de victime de la requérante.

2.  Le champ temporel de l’examen de la Cour

96.  Comme cela a déjà été mentionné, le grief formulé par la requérante porte sur trois périodes différentes, chacune d’entre elles étant, selon la requérante, caractérisée par un régime juridique différent.

97.  Dans d’autres affaires où elle a examiné in abstracto la législation pertinente et où des modifications avaient été apportées à ladite législation alors que la requête était pendante, la Cour s’est bornée à examiner la conformité avec la Convention de la législation en vigueur au moment de son examen (voir, par exemple, Association pour l’intégration européenne et les droits de l’homme et Ekimdjiev, précité, Iordachi et autres c. Moldova, no 25198/02, 10 février 2009, et Roman Zakharov, précité).

98.  Comme cela a été indiqué ci-dessus, dans la présente affaire, il ne s’agit pas pour la Cour d’analyser des mesures qui ont « directement touché » la requérante, mais d’examiner in abstracto la législation et la pratique suédoises pertinentes. La législation suédoise a été modifiée à plusieurs reprises depuis que la requête a été introduite devant la Cour, et même depuis le début de la troisième période, le 1er décembre 2009. Lorsque la Cour examine in abstracto une législation, sa tâche ne saurait consister à en apprécier la conformité avec la Convention avant et après chaque réforme législative. Son contrôle portera donc sur la législation suédoise en son état actuel, au moment du présent examen.

3.  La justification de l’ingérence

a)  Principes généraux

99.  La Cour réaffirme qu’une ingérence ne peut se justifier au regard de l’article 8 § 2 que si elle est prévue par la loi, vise un ou plusieurs des buts légitimes énumérés au paragraphe 2 de l’article 8 et est nécessaire, dans une société démocratique, pour atteindre ce ou ces buts. Les principes généraux qui suivent ont été compilés dans l’arrêt Roman Zakharov (précité, §§ 228-236, et les références qui y sont énumérées).

100.  Les termes « prévue par la loi » signifient que la mesure litigieuse doit avoir une base en droit interne et être compatible avec la prééminence du droit, expressément mentionnée dans le préambule de la Convention et inhérente à l’objet et au but de l’article 8. La loi doit ainsi satisfaire à des exigences de qualité : elle doit être accessible à la personne concernée et prévisible quant à ses effets (Roman Zakharov, précité, § 228).

101.  La Cour a jugé à plusieurs reprises qu’en matière d’interception de communications téléphoniques la « prévisibilité » ne pouvait se comprendre de la même façon que dans beaucoup d’autres domaines. Dans le contexte particulier des mesures de surveillance secrète, la prévisibilité ne saurait signifier qu’un individu doit se trouver à même de prévoir quand les autorités sont susceptibles d’intercepter ses communications de manière qu’il puisse adapter sa conduite en conséquence. Or le risque d’arbitraire apparaît avec netteté là où un pouvoir de l’exécutif s’exerce en secret. L’existence de règles claires et détaillées en matière d’interception de communications téléphoniques apparaît donc indispensable, d’autant que les procédés techniques utilisables ne cessent de se perfectionner. La loi interne doit être rédigée avec suffisamment de clarté pour indiquer à tous, de manière adéquate, en quelles circonstances et sous quelles conditions elle habilite la puissance publique à prendre de telles mesures secrètes (Roman Zakharov, précité, § 229).

102.  En outre, puisque l’application de mesures de surveillance secrète des communications échappe au contrôle des intéressés comme du public, la « loi » irait à l’encontre de la prééminence du droit si le pouvoir d’appréciation accordé à l’exécutif ou à un juge ne connaissait pas de limites. En conséquence, elle doit définir l’étendue et les modalités d’exercice d’un tel pouvoir avec une netteté suffisante pour fournir à l’individu une protection adéquate contre l’arbitraire (Roman Zakharov, précité, § 230).

103.  Dans sa jurisprudence relative aux mesures de surveillance secrète dans les enquêtes pénales, la Cour énonce les garanties minimales que la loi doit renfermer contre les abus de pouvoir : une description de la nature des infractions susceptibles de donner lieu à un mandat d’interception, la définition des catégories de personnes susceptibles de voir leurs communications interceptées, la fixation d’une limite à la durée de l’exécution de la mesure, la procédure à suivre pour l’examen, l’utilisation et la conservation des données recueillies, les précautions à prendre pour la communication des données à d’autres parties, et les circonstances dans lesquelles peut ou doit s’opérer l’effacement ou la destruction des enregistrements (Roman Zakharov, précité, § 231).

104.  En ce qui concerne la question de savoir si une ingérence est « nécessaire dans une société démocratique » à la réalisation d’un but légitime, la Cour a reconnu que, lorsqu’elles mettent en balance l’intérêt de l’État défendeur à protéger la sécurité nationale au moyen de mesures de surveillance secrète, d’une part, et la gravité de l’ingérence dans l’exercice par un requérant de ses droits découlant de l’article 8, d’autre part, les autorités nationales disposent d’une certaine marge d’appréciation dans le choix des moyens propres à atteindre le but légitime que constitue la protection de la sécurité nationale. Cette marge d’appréciation va toutefois de pair avec un contrôle européen portant à la fois sur la loi et sur les décisions qui l’appliquent. La Cour doit se convaincre de l’existence de garanties adéquates et effectives contre les abus car un système de surveillance secrète destiné à protéger la sécurité nationale risque de saper, voire de détruire, la démocratie au motif de la défendre. L’appréciation de cette question est fonction de toutes les circonstances de la cause, par exemple la nature, la portée et la durée des mesures éventuelles, les raisons requises pour les ordonner, les autorités compétentes pour les permettre, les exécuter et les contrôler, et le type de recours fourni par le droit interne. Il y a lieu de rechercher si les procédures de contrôle du déclenchement et de la mise en œuvre de mesures restrictives sont de nature à circonscrire « l’ingérence » à ce qui est « nécessaire dans une société démocratique » (Roman Zakharov, précité, § 232).

105.  L’examen et le contrôle des mesures de surveillance secrète peuvent intervenir à trois stades : lorsqu’on ordonne la surveillance, pendant qu’on la mène ou après qu’elle a cessé. Concernant les deux premières phases, la nature et la logique mêmes de la surveillance secrète commandent d’exercer à l’insu de l’intéressé non seulement la surveillance comme telle, mais aussi le contrôle qui l’accompagne. Puisque l’on empêchera donc forcément l’intéressé d’introduire un recours effectif ou de prendre une part directe à un contrôle quelconque, il se révèle indispensable que les procédures existantes procurent en elles-mêmes des garanties appropriées et équivalentes sauvegardant les droits de l’individu. Il faut de surcroît, pour ne pas dépasser les bornes de la nécessité au sens de l’article 8 § 2, respecter aussi fidèlement que possible, dans les procédures de contrôle, les valeurs d’une société démocratique. En un domaine où les abus sont potentiellement si aisés dans des cas individuels et pourraient entraîner des conséquences préjudiciables pour la société démocratique tout entière, il est en principe souhaitable que le contrôle soit confié à un juge, car le pouvoir judiciaire offre normalement les meilleures garanties d’indépendance, d’impartialité et de procédure régulière (Roman Zakharov, § 233).

106.  Quant au troisième stade, c’est-à-dire lorsque la surveillance a cessé, la question de la notification a posteriori de mesures de surveillance est indissolublement liée à celle de l’effectivité des recours et donc à l’existence de garanties effectives contre les abus des pouvoirs de surveillance. La personne concernée ne peut guère, en principe, contester rétrospectivement la légalité des mesures prises à son insu, sauf si on l’avise de celles-ci ou si – autre cas de figure –, soupçonnant que ses communications font ou ont fait l’objet d’interceptions, la personne a la faculté de saisir l’organe approprié, celui-ci étant compétent même si le sujet de l’interception n’a pas été informé de cette mesure (Roman Zakharov, précité, § 234).

107.  Lorsqu’elle constate une ingérence dans l’exercice par le requérant de ses droits découlant de l’article 8 § 1, la Cour, pour trancher la question de savoir si cette ingérence se justifie sous l’angle de l’article 8 § 2, devra rechercher si en soi la législation litigieuse est conforme à la Convention (Roman Zakharov, précité, § 235). Dans les affaires où la législation autorisant la surveillance secrète est contestée, la question de la légalité de l’ingérence est étroitement liée à celle de savoir s’il a été satisfait au critère de la « nécessité ». Il convient donc d’examiner conjointement ces deux points. La « qualité de la loi » en ce sens implique que le droit national doit non seulement être accessible et prévisible dans son application, mais aussi garantir que les mesures de surveillance secrète soient appliquées uniquement lorsqu’elles sont « nécessaires dans une société démocratique », notamment en offrant des garanties et des garde-fous suffisants et effectifs contre les abus (Roman Zakharov, précité, § 236).

b)  La jurisprudence existante sur l’interception massive de communications

108.  La Cour s’est penchée à deux reprises sur la question de la conformité avec la Convention de systèmes autorisant expressément l’interception massive de communications : tout d’abord dans l’affaire Weber et Saravia c. Allemagne ((déc.), no 54934/00, CEDH 2006-XI), puis dans l’affaire Liberty et autres c. Royaume-Uni (no 58243/00, 1er juillet 2008).

109.  Dans l’affaire Weber et Saravia, les requérants dénonçaient le procédé de surveillance stratégique qui, en vertu de la loi G10 révisée, autorisait la surveillance de télécommunications sans fil internationales. Des signaux émis depuis des pays étrangers étaient surveillés par des sites d’interception situés sur le sol allemand à l’aide de mots clés énumérés dans le mandat de surveillance. Seules les communications contenant ces mots clés étaient enregistrées et utilisées. Au regard notamment des « six garanties minimales » (paragraphe 103 ci-dessus), la Cour a considéré qu’il existait des garanties adéquates et effectives contre les abus éventuels des pouvoirs de surveillance stratégique de l’État. Elle a donc déclaré manifestement mal fondés les griefs des requérants formulés sur le terrain de l’article 8.

110.  Dans l’affaire Liberty et autres, la Cour a examiné le régime qui, en vertu de la loi de 1985 sur l’interception de communications, autorisait l’interception des communications transmises entre le Royaume-Uni et une personne se trouvant à l’étranger. La délivrance d’un mandat autorisant l’interception devait s’accompagner d’un certificat décrivant les communications interceptées que le ministre de l’Intérieur jugeait utile d’examiner. En vertu de la loi de 1985, le ministre de l’Intérieur ne pouvait ordonner par un certificat l’examen de communications à destination ou en provenance d’une adresse située dans les îles britanniques que s’il estimait que pareille opération était nécessaire à la prévention ou à la détection d’actes terroristes. Dans les autres cas, la loi prévoyait que les données interceptées pouvaient faire l’objet d’un certificat, et donc être écoutées ou lues, dès lors que le ministre de l’Intérieur jugeait leur examen nécessaire à la protection de la sécurité nationale, à la prévention d’infractions graves ou à la sauvegarde des intérêts de l’économie britannique. La Cour a considéré que, faute d’avoir défini avec la clarté requise l’étendue et les modalités d’exercice du pouvoir d’appréciation considérable conféré à l’État en matière d’interception et d’analyse des communications à destination ou en provenance de l’étranger, la loi en vigueur à l’époque pertinente n’offrait pas une protection suffisante contre les abus de pouvoir. En particulier, aucune précision sur la procédure applicable à l’examen, la diffusion, la conservation et la destruction des données interceptées n’y figurait sous une forme accessible au public.

c)  Application de ces principes aux faits de l’espèce

111.  Les parties ne contestent pas que les activités de ROEM telles qu’elles sont actuellement organisées en Suède ont une base en droit interne. Par ailleurs, il est clair pour la Cour que les mesures autorisées par le droit suédois poursuivent des buts légitimes répondant à l’intérêt de la sécurité nationale puisqu’elles visent à soutenir la politique étrangère, la politique de défense et la politique de sécurité de la Suède et à repérer les menaces extérieures qui pèsent sur le pays. Il reste donc à vérifier si le droit interne est accessible et s’il contient des garanties et des garde-fous suffisants et effectifs propres à satisfaire aux exigences de « prévisibilité » et de « nécessité dans une société démocratique ».

112.  La Cour a expressément reconnu que les autorités nationales disposent d’une ample marge d’appréciation pour choisir les moyens de sauvegarder au mieux la sécurité nationale (Weber et Saravia, décision précitée, § 106). Dans les affaires Weber et Saravia et Liberty et autres, la Cour a admis que les régimes d’interception massive n’excèdent pas en eux‑mêmes cette marge d’appréciation. Au vu de la motivation de la Cour dans ces décisions et compte tenu des menaces auxquelles sont confrontés de nombreux États contractants (dont le fléau du terrorisme international et d’autres formes graves de criminalité telles que le trafic de stupéfiants, la traite d’êtres humains, l’exploitation sexuelle des enfants et la cybercriminalité), des progrès technologiques qui permettent aux terroristes et aux criminels d’échapper plus facilement à la détection sur internet et de l’impossibilité de prévoir les voies par lesquelles les communications électroniques seront transmises, la Cour considère que la décision de recourir à un régime d’interception massive afin de repérer des menaces jusqu’alors inconnues pour la sécurité nationale relève de la marge d’appréciation des États.

113.  Il ressort néanmoins clairement de la jurisprudence que la Cour a élaborée au cours de plusieurs décennies que tous les régimes d’interception (qu’elle soit massive ou ciblée) sont susceptibles de donner lieu à des abus, en particulier lorsque la législation pertinente ne permet pas de discerner l’étendue réelle du pouvoir discrétionnaire des autorités en matière d’interception (voir, par exemple, Klass et autres c. Allemagne, 6 septembre 1978, série A no 28, Kennedy, précité, Roman Zakharov, précité, et Szabó et Vissy c. Hongrie, no 37138/14, 12 janvier 2016). Si les États jouissent d’une ample marge d’appréciation pour déterminer de quel type de système d’interception ils ont besoin pour protéger leur sécurité nationale, la latitude qui leur est accordée pour faire fonctionner un système d’interception doit toutefois être nécessairement plus restreinte. À cet égard, la Cour a défini six garanties minimales que l’interception massive et les autres régimes d’interception doivent comporter pour être suffisamment prévisibles afin de réduire au minimum le risque d’abus de pouvoir (paragraphe 103 ci-dessus).

114.  Par conséquent, tout en adaptant ces garanties minimales, lorsqu’il y a lieu, pour tenir compte du fonctionnement d’un système d’interception massive qui s’intéresse uniquement aux questions de sécurité nationale, la Cour va se livrer à l’appréciation de l’ingérence qu’elle a établie (paragraphe 95 ci‑dessus) en examinant tour à tour l’accessibilité du droit interne, le champ d’application du ROEM, la durée des activités de ROEM, l’autorisation des mesures, les procédures à suivre pour la conservation, la consultation, l’examen, l’utilisation, la communication et la destruction des données interceptées, la supervision de l’application de mesures, les mécanismes de notification et les recours prévus par le droit national.

i.  L’accessibilité du droit interne

115.  La Cour constate que toutes les dispositions juridiques concernant le ROEM ont fait l’objet d’une publication officielle et qu’elles sont accessibles aux citoyens, ce que la requérante ne conteste pas.

ii.  Le champ d’application du ROEM

α)  Les arguments des parties

116.  La requérante affirme que si les comportements visés par des activités de ROEM peuvent présenter des affinités évidentes avec diverses infractions pénales comme, par exemple, des crimes contre la sécurité de la nation, tel n’est pas le cas dans le cadre des activités de développement du FRA. Elle allègue que ces dernières permettent une collecte massive de données, dont un nombre important de données de communication, sans égard pour l’exigence selon laquelle une interception ne peut être ordonnée qu’au regard de certaines infractions déterminées. Elle souligne par ailleurs que, depuis le 1er janvier 2013, la Sûreté et le NOA peuvent adopter des directives détaillées d’attribution de tâches pour des activités de ROEM. Elle voit dans la mission générale confiée à ces deux autorités, qui consiste à prévenir des infractions et à enquêter sur celles-ci, un risque que les activités de ROEM soient menées hors du champ des activités de renseignement extérieur.

117.  Le Gouvernement argue que les activités de développement du FRA sont rigoureusement réglementées et qu’elles font l’objet d’une supervision tout aussi étendue que celle exercée sur les activités de ROEM en général. Il réfute également l’allégation selon laquelle les activités de ROEM pourraient être utilisées pour enquêter sur des infractions puisque la législation ne le permet pas.

β)  L’appréciation de la Cour

118.  La Cour rappelle que le droit national doit définir le champ d’application des mesures de surveillance secrète en fournissant aux citoyens des indications appropriées sur les circonstances dans lesquelles les pouvoirs publics peuvent recourir à de telles mesures (paragraphe 103 ci‑dessus).

119.  L’exigence de « prévisibilité » de la loi ne va pas jusqu’à imposer aux États l’obligation d’édicter des dispositions juridiques énumérant dans le détail tous les comportements pouvant conduire à la décision de soumettre un individu à une surveillance secrète pour des motifs de « sécurité nationale ». Par la force des choses, des menaces dirigées contre la sécurité nationale peuvent être de différentes natures et se révéler imprévues et difficiles à définir à l’avance. Il convient cependant de souligner également que, s’agissant de questions touchant aux droits fondamentaux, la loi irait à l’encontre de la prééminence du droit si le pouvoir d’appréciation accordé à l’exécutif en matière de sécurité nationale ne connaissait pas de limites. En conséquence, elle doit définir l’étendue et les modalités d’exercice d’un tel pouvoir avec une clarté suffisante – compte tenu du but légitime poursuivi – pour fournir à l’individu une protection adéquate contre l’arbitraire (Roman Zakharov, précité, § 247, et les références qui y sont citées).

120.  La loi relative au renseignement d’origine électromagnétique énonce huit buts pour lesquels il est possible de recourir à des activités de ROEM (paragraphe 12 ci-dessus). Même si certains d’entre eux sont formulés en termes généraux, les travaux préparatoires, qui sont une source essentielle du droit suédois, apportent plus de précisions sur leur portée (paragraphe 13 ci-dessus). La Cour estime que ces huit buts sont indiqués de manière appropriée (Roman Zakharov, précité, §§ 246 et 248).

121.  Il est également important que les activités de ROEM menées sur des données transmises par fibre optique ne puissent concerner que les signaux traversant la frontière suédoise par des câbles appartenant à un fournisseur de services de communication. Les communications entre un émetteur et un destinataire qui se trouvent tous deux en Suède ne peuvent pas être interceptées, que la transmission ait lieu par la voie aérienne ou par câble.

122.  Il est vrai que le FRA peut aussi intercepter des signaux dans le cadre de ses activités de développement, dont il apparaît qu’elles concernent essentiellement la collecte de données de communication qui lui permet de se tenir informé des modifications de l’environnement électromagnétique international et de mettre au point la technologie nécessaire au ROEM. Ces activités risquent de conduire à l’interception et à la lecture de communications non pertinentes pour les activités ordinaires de renseignement extérieur. Par ailleurs, les termes de recherche employés pour l’interception de données de communication, que ce soit ou non dans le cadre des activités de développement, sont moins spécifiques que ceux utilisés pour l’interception du contenu d’une communication (paragraphe 62 ci‑dessus). Comme l’a relevé le comité sur le renseignement d’origine électromagnétique (paragraphe 63 ci-dessus), les activités de développement sont toutefois essentielles au bon fonctionnement du renseignement extérieur, et les informations ainsi recueillies ne peuvent être utilisées dans le cadre des activités ordinaires de renseignement extérieur que si cette utilisation est conforme aux buts fixés par la loi et aux directives d’attribution des tâches applicables. En outre, les dispositions applicables au travail ordinaire de renseignement extérieur le sont aussi aux activités de développement et à toute interception de données de communication, notamment l’exigence d’une autorisation délivrée par le tribunal pour le renseignement extérieur (paragraphe 18 ci-dessus). Il convient également de relever dans ce contexte que, dans ses rapports publiés en 2010 et en 2016, l’autorité de protection des données a constaté que rien n’indiquait que des données à caractère personnel eussent été collectées dans d’autres buts que ceux assignés aux activités de ROEM (paragraphes 59-60 ci-dessus). Dans ces conditions, la Cour estime que le champ d’application des activités de développement est suffisamment délimité.

123.  Depuis le 1er janvier 2013, la Sûreté et le NOA sont autorisés à adopter des directives détaillées d’attribution de tâches pour des activités de ROEM. Même si, comme l’a souligné la requérante, les missions de ces autorités consistent à prévenir des infractions et à enquêter sur celles-ci, l’article 4 de la loi relative au renseignement extérieur exclut clairement le recours au renseignement extérieur pour accomplir des missions de répression ou de prévention des infractions (paragraphe 8 ci-dessus).

124.  La Cour estime en conséquence que la législation indique avec une clarté suffisante l’étendue et les modalités d’exercice du pouvoir conféré aux autorités compétentes d’ordonner et de mettre en œuvre des mesures de ROEM.

iii.  La durée des mesures de surveillance secrète

α)  Les arguments des parties

125.  Pour la requérante, la législation satisfait aux exigences minimales en termes de durée de l’autorisation.

126.  Selon le Gouvernement, la loi relative au renseignement d’origine électromagnétique réglemente avec clarté la durée maximale d’une autorisation et les conditions de son renouvellement.

β)  L’appréciation de la Cour

127.  La Cour a dit qu’il n’était pas déraisonnable de laisser la question de la durée totale d’une mesure d’interception à l’appréciation des autorités internes compétentes pour délivrer et renouveler un mandat d’interception, pourvu qu’il existe des garanties suffisantes telles que des indications claires dans le droit interne sur le délai d’expiration de l’autorisation d’interception, les conditions dans lesquelles elle peut être renouvelée et les circonstances dans lesquelles elle doit être annulée (Roman Zakharov, précité, § 250).

128.  Pour ce qui est des deux premières garanties, la loi relative au renseignement d’origine électromagnétique prévoit qu’une autorisation peut être accordée pour une période d’une durée maximale de six mois et être prolongée par périodes de six mois (paragraphe 23 ci-dessus), après un réexamen qui suppose que le tribunal pour le renseignement extérieur examine de manière approfondie si les conditions définies à l’article 5 de la loi sont toujours remplies (paragraphe 19 ci-dessus). La loi donne donc des indications claires quant au délai d’expiration de l’autorisation et aux conditions du renouvellement de celle-ci.

129.  Pour ce qui est de la troisième garantie, à savoir les circonstances dans lesquelles la mesure d’interception doit être levée, la législation n’est pas aussi claire. Aucune disposition n’impose au FRA, aux autorités compétentes pour adopter des directives détaillées d’attribution de tâches ou au tribunal pour le renseignement extérieur de mettre fin à une mission de ROEM si les conditions qui la justifiaient ont cessé d’exister ou si les mesures ne sont plus nécessaires (Klass et autres, précité, § 52, et Kennedy, précité, § 161).

130.  Néanmoins, même si la législation pertinente est moins claire concernant cette troisième garantie, il convient de garder à l’esprit que toute autorisation est valable pour une durée maximale de six mois et que son renouvellement suppose un réexamen visant à déterminer si les conditions requises sont toujours remplies. Par ailleurs, bien que l’Inspection du renseignement extérieur n’ait pas pour tâche d’examiner chaque autorisation de ROEM, elle peut, si une inspection révèle qu’une interception n’a pas respecté l’autorisation sur laquelle elle était fondée, décider de mettre fin à l’opération correspondante (paragraphe 36 ci-dessus). La Cour prend également en compte le fait que les autorisations en question concernent la collecte de renseignements liés à des menaces pesant sur la sécurité nationale et qu’elles ne ciblent pas des individus soupçonnés d’avoir un comportement criminel. Dans ce dernier cas, l’existence de dispositions spécifiques régissant l’annulation des autorisations aurait revêtu une plus grande importance. En outre, comme l’a relevé l’autorité de protection des données (paragraphe 60 ci-dessus), le FRA vérifie en permanence si les données interceptées sont toujours nécessaires aux fins de ses activités de ROEM. Dès lors, la Cour estime que les garanties en place régissent adéquatement la durée, le renouvellement et l’annulation des mesures d’interception.

iv.  L’autorisation des mesures de surveillance secrète

α)  Les arguments des parties

131.  La requérante soutient que même si aucune activité de ROEM ne peut être menée sans une autorisation préalable du tribunal pour le renseignement extérieur, l’impartialité et l’indépendance dudit tribunal à l’égard du gouvernement peuvent être mises en doute et ses activités sont entourées d’un secret total. Elle précise que les audiences et décisions du tribunal ne sont jamais publiques, de même qu’aucune information n’est jamais publiée concernant le nombre d’audiences qu’il tient, le nombre d’autorisations qu’il accorde ou refuse, la motivation de ses décisions ou le nombre et le type de termes de recherche employés. Elle ajoute que le tribunal est composé de membres qui sont élus pour une période limitée, à l’exception de son président.

132.  Le Gouvernement souligne que toutes les activités de ROEM doivent être autorisées par le tribunal pour le renseignement extérieur, y compris les activités de développement du FRA. Il ajoute que le tribunal est indépendant du parlement et des autorités publiques et que, même si ses activités sont couvertes par le secret, la protection des intérêts des personnes est assurée devant lui grâce à la présence d’un représentant chargé de la protection de la vie privée.

β)  L’appréciation de la Cour

133.  La Cour a déjà jugé que la délivrance d’autorisations d’effectuer des écoutes téléphoniques par un service non judiciaire peut être compatible avec la Convention (voir, par exemple, Klass et autres, précité, § 51, Weber et Saravia, décision précitée, § 115), à condition que cet organe soit suffisamment indépendant à l’égard de l’exécutif (Roman Zakharov, précité, § 258). Toutefois, la prééminence du droit implique, entre autres, qu’une ingérence de l’exécutif dans les droits d’un individu soit soumise à un contrôle efficace que doit normalement assurer, au moins en dernier ressort, le pouvoir judiciaire, car il offre en principe les meilleures garanties d’indépendance, d’impartialité et de procédure régulière (Klass et autres, précité, §§ 55 et 56). L’autorisation judiciaire préalable peut servir à restreindre la latitude des autorités grâce à l’interprétation qu’elle donne de l’étendue de leur pouvoir d’ordonner et de mettre en œuvre des mesures de ROEM. Elle constitue ainsi une importante garantie contre l’arbitraire (Roman Zakharov, précité, § 249), mais elle n’est pas une exigence en soi car un contrôle juridictionnel approfondi à un stade ultérieur peut contrebalancer les défauts de la procédure d’autorisation (Szabó et Vissy, précité, § 77).

134.  En vertu du droit suédois, les activités de ROEM menées par le FRA doivent être autorisées au préalable par le tribunal pour le renseignement extérieur, dont le président est un juge permanent alors que le vice-président et les autres membres sont nommés par le gouvernement pour un mandat de quatre ans. Ni le parlement, ni le gouvernement, ni aucune autre autorité ne peuvent intervenir dans la décision du tribunal, laquelle est juridiquement contraignante.

135.  Le tribunal devrait en principe tenir des audiences publiques sauf lorsque le secret exige une audience à huis clos. Mais comme l’affirme la requérante, les activités du tribunal sont en pratique entourées d’un secret total, ce que confirme le Gouvernement. Aucune audience n’a jamais été publique et toutes les décisions du tribunal sont confidentielles. Comme l’observe la requérante, aucune information n’est divulguée au public quant au nombre d’audiences que tient le tribunal, au nombre d’autorisations qu’il accorde ou refuse, à la motivation de ses décisions, ou au nombre et au type de termes de recherche employés.

136.  La Cour n’oublie pas qu’en raison de la nature des activités de ROEM, la surveillance doit être couverte par le secret (paragraphe 101 ci‑dessus). Il convient par conséquent d’admettre que, lorsqu’il existe un système d’autorisation préalable, certains aspects sensibles des activités de l’organe chargé d’accorder l’autorisation peuvent être dissimulés au public aussi longtemps que cela est nécessaire, afin de ne pas faire obstacle aux buts poursuivis par les activités de ROEM concernées. Une telle procédure n’est toutefois acceptable qu’à condition qu’elle soit entourée des garanties appropriées.

137.  Le Gouvernement affirme que l’absence de transparence est compensée par la présence d’un représentant chargé de la protection de la vie privée, lequel doit assister à l’examen par le tribunal de toute demande d’autorisation, sauf dans les cas très urgents. Le représentant doit être ou avoir été juge permanent ou avocat, il a accès à l’ensemble du dossier de l’affaire et peut faire des déclarations. Il ne représente pas la personne concernée par l’autorisation en cause mais protège les intérêts du public en général.

138.  Pour la Cour, si le représentant chargé de la protection de la vie privée ne peut ni faire appel d’une décision du tribunal pour le renseignement extérieur ni signaler aux organes de supervision une irrégularité qu’il aurait constatée, sa présence lors de l’examen par le tribunal des demandes d’autorisation compense quelque peu l’absence de transparence dans la procédure et les décisions de cette juridiction.

139.  Qui plus est, étant donné que les procédures et les décisions en matière de surveillance secrète exigent pour la plupart d’entre elles le secret, la Cour considère qu’il est essentiel pour la protection des droits de la personne dans le contexte en question que les activités du FRA en matière de ROEM soient soumises à un système d’autorisation préalable qui oblige le FRA à soumettre à un examen indépendant une demande d’autorisation d’effectuer une surveillance pour chaque mission de collecte de renseignements. La tâche consistant à rechercher si la mission est compatible avec la législation applicable et si la collecte de renseignements est proportionnée à l’atteinte aux droits de la personne qui en résulte est confiée à un organe présidé par un juge ou ancien juge, ce qui constitue une garantie supplémentaire contre les abus et l’arbitraire. En outre, le contrôle du tribunal pour le renseignement extérieur est étendu puisque dans ses demandes le FRA doit indiquer non seulement l’ordre de mission qu’il a reçu et des informations sur la nécessité des renseignements recherchés, mais aussi les canaux de transmission auxquels il demande à avoir accès et les termes ou catégories de termes de recherche qui seront utilisés (paragraphes 18-20 ci-dessus). La Cour considère donc que le contrôle juridictionnel assuré par le tribunal pour le renseignement extérieur est d’une importance cruciale en ce qu’il restreint la latitude du FRA grâce à l’interprétation qu’il donne de l’étendue du pouvoir de celui-ci d’ordonner et de mettre en œuvre des mesures de ROEM.

140.  Pour conclure sur ce point, il convient d’observer que le FRA peut lui‑même décider d’accorder une autorisation si le fait de demander l’autorisation au tribunal risque d’engendrer des délais ou d’autres obstacles susceptibles d’avoir un impact d’une importance essentielle sur la réalisation de l’un des buts spécifiés de l’activité de ROEM concernée. Dans ce contexte, la Cour rappelle qu’il est nécessaire que des garanties permettent d’assurer une utilisation parcimonieuse des mesures d’urgence, limitée aux cas dûment justifiés (Roman Zakharov, précité, § 266). La législation applicable prévoit qu’une telle décision doit être suivie d’une notification immédiate au tribunal compétent puis d’un réexamen rapide par celui-ci lorsque l’autorisation risque d’être modifiée ou révoquée. Partant, la Cour juge cette procédure acceptable (Szabó et Vissy, précité, § 81).

141.  Au vu de ce qui précède, la Cour conclut que les dispositions et procédures relatives au système d’autorisation judiciaire préalable offrent, globalement, d’importantes garanties contre les abus.

v.  Les procédures à suivre pour la conservation, la consultation, l’examen, l’utilisation et la destruction des données interceptées

α)  Les arguments des parties

142.  La requérante argue que les procédures relatives à ces aspects ne sont réglementées qu’en termes très généraux. Elle indique par exemple qu’il n’existe aucune obligation générale de détruire les données.

143.  Le Gouvernement souligne que l’Inspection du renseignement extérieur est chargée de contrôler l’administration et la destruction des données en général et qu’elle peut mettre fin à une opération de surveillance et ordonner la destruction des renseignements qui ont été recueillis en violation de l’autorisation accordée par le tribunal pour le renseignement extérieur.

β)  L’appréciation de la Cour

144.  La Cour observe que les employés du FRA qui traitent des données personnelles sont soumis à une procédure officielle d’habilitation de sécurité et à une obligation de confidentialité quant aux données couvertes par le secret. Ils sont également tenus de gérer les données personnelles de manière sûre et s’exposent à des sanctions pénales en cas de faute dans le traitement de ces données (paragraphe 30 ci-dessus). En outre, le FRA doit veiller à ce que les données personnelles ne soient collectées que dans des buts expressément indiqués et justifiés, qui sont déterminés par l’orientation des activités de renseignement extérieur donnée par une directive d’attribution de tâches. Les données personnelles traitées doivent également être adéquates et pertinentes au regard de la finalité du traitement. Il ne peut être traité plus de données personnelles que celles nécessaires pour atteindre le but visé. Toutes les mesures raisonnables doivent être prises pour corriger, bloquer et détruire les données personnelles incorrectes ou incomplètes (paragraphe 28 ci-dessus).

145.  Contrairement à ce qu’affirme la requérante, plusieurs dispositions réglementent les situations dans lesquelles les données interceptées doivent être détruites, notamment lorsque 1)  elles concernent une personne physique déterminée et revêtent une faible importance pour le ROEM, 2)  elles sont protégées par les dispositions constitutionnelles relatives au secret protégeant l’anonymat des auteurs et des sources journalistiques, 3)  elles contiennent des informations échangées entre un suspect et son avocat, et sont donc protégées par le principe de la confidentialité des échanges entre l’avocat et son client, ou 4)  elles contiennent des informations données dans un contexte religieux (confession ou conseil individuel), sauf raisons exceptionnelles justifiant leur examen (paragraphe 25 ci-dessus). Par ailleurs, si, malgré l’interdiction de telles interceptions, des communications entre un émetteur et un destinataire qui se trouvent tous deux en Suède ont été interceptées, les données ainsi collectées doivent être détruites dès qu’il apparaît qu’il s’agit de communications internes (paragraphe 26 ci-dessus). De même, si une autorisation accordée en urgence par le FRA est annulée ou modifiée par le tribunal pour le renseignement extérieur, tous les renseignements recueillis par des moyens qui ne sont dès lors plus autorisés doivent être immédiatement détruits (paragraphe 27 ci-dessus).

146.  Même si le FRA peut tenir des bases de données brutes contenant des informations à caractère personnel pendant un délai maximal d’un an, il convient de garder à l’esprit que les données brutes sont des informations non traitées, c’est-à-dire qu’elles doivent encore être soumises à un traitement manuel. La Cour admet que le FRA a besoin de conserver des données brutes avant qu’elles ne puissent être traitées manuellement. Elle souligne toutefois qu’il est important que ces données soient supprimées dès qu’il apparaît qu’elles n’ont plus d’importance aux fins d’une mission de renseignement.

147.  En somme, après avoir examiné la législation relative à la conservation, la consultation, l’examen, l’utilisation et la destruction des données interceptées, la Cour estime que celle-ci prévoit des garanties appropriées contre le traitement abusif de données à caractère personnel et qu’elle sert ainsi à protéger l’intégrité des personnes (Roman Zakharov, précité, §§ 253-256, et Kennedy, précité, §§ 162-164).

vi.  Les conditions dans lesquelles les données interceptées peuvent être communiquées à d’autres parties

α)  Les arguments des parties

148.  La requérante argue que les conditions dans lesquelles les données peuvent être communiquées sont largement laissées à la discrétion du FRA, notamment faute d’indication des autorités étrangères et des organisations internationales auxquelles elles peuvent l’être.

149.  Le Gouvernement soutient que les procédures de communication des données, dont la communication à d’autres États ou à des organisations internationales dans le cadre de la coopération internationale de la Suède, prévoient des garanties suffisantes, et que l’Inspection du renseignement extérieur exerce une supervision à cet égard.

β)  L’appréciation de la Cour

150.  Pour ce qui est de la communication des données interceptées à d’autres parties, le but poursuivi par le ROEM veut naturellement que les données puissent être communiquées aux autorités nationales concernées, en particulier à celle qui a ordonné la mission. Par ailleurs, compte tenu du contexte – la collecte de renseignements sur des circonstances extérieures au territoire national susceptibles d’avoir des répercussions sur la sécurité nationale de la Suède ou sur d’autres intérêts nationaux essentiels ainsi que sur la participation du pays à des opérations de sécurité internationale – il est évident qu’il doit exister une possibilité de partager les renseignements recueillis avec des partenaires internationaux. La loi sur le traitement par le FRA des données à caractère personnel autorise ainsi la communication de données à d’autres États ou à des organisations internationales si cette communication est nécessaire pour que le FRA puisse exercer ses activités de coopération internationale en matière de défense et de sécurité et pour autant que le secret ne s’y oppose pas. Une certaine latitude est également laissée au gouvernement qui peut décider d’autoriser, dès lors qu’elle est nécessaire pour les activités du FRA, la communication de données dans d’autres cas, vraisemblablement dans des cas où, autrement, le secret ferait obstacle à la communication. L’ordonnance sur le traitement par le FRA des données à caractère personnel ajoute que cette divulgation est autorisée si elle est bénéfique pour la gestion de l’État suédois ou pour la stratégie de défense globale de la Suède, à condition qu’elle ne nuise pas aux intérêts du pays (paragraphe 35 ci-dessus). La disposition pertinente de la loi sur l’accès du public à l’information et sur le secret contient une exception à la règle du secret à l’égard des autorités étrangères et des organisations internationales lorsque la divulgation est autorisée par une disposition de loi expresse ou lorsque les informations concernées peuvent dans une situation analogue être communiquées à une autorité suédoise et que l’autorité qui les divulgue estime qu’il est évident que leur communication est conforme aux intérêts suédois (paragraphe 58 ci-dessus). Ainsi, si les intérêts nationaux sont pris en considération, la législation n’indique pas qu’il convient de tenir compte des préjudices qui pourraient résulter pour les personnes de la divulgation de leurs données. Par ailleurs, la législation ne mentionne que de façon très générale que les données peuvent être communiquées à « d’autres États ou à des organisations internationales », et aucune disposition n’oblige le destinataire à protéger les données au moyen de garanties identiques ou semblables à celles applicables en droit suédois. De plus, la situation dans laquelle des données peuvent être communiquées – lorsque la communication est nécessaire à la « coopération internationale en matière de défense et de sécurité » – laisse à l’État une latitude assez importante. Pour la Cour, l’absence susmentionnée de précision dans les dispositions réglementant la communication de données personnelles à d’autres États ou à des organisations internationales suscite quelques préoccupations quant à de possibles atteintes aux droits des personnes. Dans l’ensemble, toutefois, la Cour considère que les éléments de supervision décrits ci-dessous suffisent à contrebalancer ces lacunes réglementaires.

vii.  La supervision de l’application de mesures de surveillance secrète

α)  Les arguments des parties

151.  S’appuyant sur les conclusions de la Direction nationale du contrôle de la gestion publique, la requérante soutient que l’Inspection du renseignement extérieur documente peu son travail de supervision et que ses inspections ne poursuivent aucun but précis.

152.  Le Gouvernement indique qu’une évaluation du rapport de la Direction nationale du contrôle de la gestion publique a été communiquée au parlement. Il rappelle que, selon la conclusion générale de la Direction, l’Inspection a été dotée des moyens nécessaires pour s’acquitter de ses fonctions de supervision d’une manière efficace et effective, et que le FRA a pris au sérieux les observations de l’Inspection et a adopté des mesures en conséquence. Quant aux objectifs de l’Inspection, le Gouvernement soutient qu’ils sont clairement précisés dans la loi.

β)  L’appréciation de la Cour

153.  Comme la Cour l’a dit, s’il est en principe souhaitable que la fonction de contrôle soit confiée à un juge, le contrôle par un organe non judiciaire peut passer pour compatible avec la Convention dès lors que cet organe est indépendant des autorités qui procèdent à la surveillance et investi de pouvoirs et attributions suffisants pour exercer un contrôle efficace et permanent (Roman Zakharov, précité, § 275, et les références qui y sont citées).

154.  Concernant l’exigence d’indépendance, la Cour a pris en compte dans de précédentes affaires le mode de désignation et le statut juridique des membres de l’organe de contrôle. En particulier, elle a jugé suffisamment indépendants les organes composés de parlementaires – de la majorité comme de l’opposition – ou de personnes possédant les qualifications requises pour accéder à la magistrature et nommées soit par le parlement soit par le Premier ministre (Roman Zakharov, précité, § 278, et les références qui y sont citées).

155.  S’agissant des pouvoirs et attributions de l’organe de contrôle, il est essentiel que celui-ci ait accès à tous les documents pertinents, y compris à des informations confidentielles, et que toutes les personnes participant à des opérations d’interception soient tenues de lui communiquer tous les renseignements qu’il demande. D’autres éléments importants à prendre en compte lors de l’appréciation de l’effectivité de la supervision portent sur les pouvoirs de l’organe concerné face aux violations qu’il pourrait constater et la possibilité d’un droit de regard du public sur ses activités. C’est en outre au Gouvernement d’illustrer à l’aide d’exemples appropriés l’effectivité concrète du système de contrôle (Roman Zakharov, précité, §§ 281-283, et les références qui y sont citées).

156.  Les membres de l’Inspection du renseignement extérieur sont nommés par le gouvernement pour un mandat d’au moins quatre ans. Le président et le vice-président doivent être ou avoir été juges permanents. Les autres membres sont choisis parmi les candidats proposés par les groupes parlementaires (paragraphe 37 ci-dessus). La Cour ne voit donc aucune raison de mettre en doute l’indépendance de l’Inspection.

157.  L’Inspection vérifie, en particulier, les termes de recherche employés, la destruction des renseignements et la communication des rapports. Le FRA doit signaler à l’Inspection les termes de recherche qui visent directement une personne physique déterminée (paragraphe 36 ci‑dessus). L’Inspection a accès à tous les documents pertinents (paragraphe 39 ci-dessus). Si une inspection révèle qu’une collecte de renseignements n’a pas respecté l’autorisation sur laquelle elle était fondée, l’Inspection peut décider de mettre fin à l’opération correspondante ou ordonner la destruction des renseignements ainsi recueillis. À ce jour, aucune de ces mesures n’a toutefois été jugée nécessaire (paragraphes 36 et 39 ci-dessus). L’Inspection supervise également l’accès aux canaux de transmission et s’assure notamment que le FRA n’a accès aux canaux de transmission que dans la mesure permise par l’autorisation de ROEM (paragraphe 24 ci-dessus). Elle doit transmettre au FRA et, si nécessaire, au gouvernement tous les avis et toutes les propositions de mesures qu’elle formule à l’issue d’une inspection (paragraphe 38 ci-dessus).

158.  La Cour considère que la supervision exercée par l’Inspection du renseignement extérieur joue un rôle particulièrement important en ce qu’elle permet de veiller à ce que les dispositions applicables aux activités du FRA sont respectées et à ce que, de manière générale, le ROEM est exercé de manière à offrir des garanties appropriées contre les abus. Les règles susmentionnées applicables au travail de l’Inspection indiquent que cette dernière est investie de pouvoirs suffisants pour accomplir cette tâche. En outre, contrairement à ce qu’affirme la requérante, la Cour estime que le rapport de la Direction nationale du contrôle de la gestion publique confirme que l’Inspection a été en mesure d’accomplir de manière effective sa tâche de supervision. La Direction a également constaté que les avis et suggestions de l’Inspection avaient été traités avec sérieux par le FRA et qu’ils avaient donné lieu à l’adoption des mesures nécessaires (paragraphe 40 ci‑dessus). La Cour est donc convaincue que la supervision exercée par l’Inspection est efficace, non seulement en théorie mais aussi en pratique.

159.  La Cour constate également que les activités de l’Inspection sont ouvertes à un droit de regard du public. Au-delà du contrôle exercé par la Direction nationale du contrôle de la gestion publique, l’Inspection remet au gouvernement des rapports annuels sur ses activités, qui sont rendus publics (paragraphe 38 ci-dessus).

160.  En ce qui concerne la protection des données à caractère personnel, l’autorité de protection des données exerce elle aussi des fonctions de supervision. Elle peut si elle le demande accéder aux données à caractère personnel traitées par le FRA et aux documents relatifs à la manière dont ces données sont administrées ainsi qu’aux mesures de sécurité prises à cet égard. Elle peut également accéder aux lieux où les données personnelles sont traitées. Si elle constate que des données à caractère personnel sont traitées de manière illégale, ou pourraient l’être, elle doit essayer d’y remédier en communiquant ses observations au FRA. Elle peut également saisir un tribunal administratif pour obtenir la destruction des données personnelles traitées de manière illégale (paragraphe 43 ci-dessus). La supervision exercée par l’autorité de protection a donné lieu à la publication en 2010 et en 2016 de rapports dans lesquels elle critiquait certains aspects des activités du FRA. L’autorité a néanmoins considéré que les questions relatives aux données et à l’intégrité personnelles étaient traitées de manière satisfaisante dans l’ensemble (paragraphes 59-60 ci-dessus).

161.  Eu égard à ce qui précède, la Cour estime que la supervision assurée par l’Inspection du renseignement extérieur et l’autorité de protection des données satisfait de façon générale aux exigences en la matière. De plus, les médiateurs parlementaires et le chancelier de la Justice assument des responsabilités générales de supervision à l’égard du FRA.

viii.  La notification des mesures de surveillance secrète

α)  Les arguments des parties

162.  La requérante soutient que l’obligation pesant sur le FRA d’informer les personnes physiques directement visées par les termes de recherche qu’il a employés est vidée de toute portée concrète puisqu’en raison du secret la procédure de notification n’a jamais été utilisée.

163.  Le Gouvernement confirme qu’en raison du secret la procédure de notification n’a jamais été utilisée par le FRA. Il argue toutefois que ce défaut de notification est compensé par la possibilité ouverte à toute personne de demander à l’Inspection du renseignement extérieur de rechercher si ses communications ont été interceptées dans le cadre d’activités de ROEM.

β)  L’appréciation de la Cour

164.  La Cour rappelle qu’il peut ne pas être possible en pratique d’exiger une notification a posteriori dans tous les cas. L’activité ou le danger qu’un ensemble de mesures de surveillance vise à combattre peut subsister pendant des années, voire des décennies, après la levée de ces mesures. Une notification a posteriori à chaque individu touché par une mesure désormais levée risquerait de compromettre le but à long terme qui motivait à l’origine la surveillance. En outre, pareille notification risquerait de contribuer à révéler les méthodes de travail des services de renseignement, leurs champs d’activité et même, le cas échéant, l’identité de leurs agents. Dès lors, l’absence de notification a posteriori aux personnes touchées par des mesures de surveillance secrète, dès la levée de celles-ci, ne saurait en soi justifier la conclusion que l’ingérence n’était pas « nécessaire dans une société démocratique », car c’est précisément cette absence d’information qui assure l’efficacité de la mesure constitutive de l’ingérence. Cependant, il est souhaitable d’aviser la personne concernée après la levée des mesures de surveillance dès que la notification peut être donnée sans compromettre le but de la restriction (Roman Zakharov, précité, § 287, et les références qui y sont citées).

165.  La Cour n’ignore pas que la requérante n’est pas une personne physique et note qu’en théorie, lorsqu’il a employé des termes de recherche visant directement une personne physique déterminée, le FRA est tenu d’en aviser l’intéressée, en précisant la date et le but des mesures, et ce dès qu’il est possible de le faire sans risquer de nuire aux activités de renseignement extérieur mais au plus tard un mois après la fin de la mission de ROEM. L’obligation de notification ne s’applique toutefois pas lorsque le secret est requis. Les parties, ainsi que l’autorité de protection des données dans son rapport du 6 décembre 2010 (paragraphe 59 ci-dessus) et le comité sur le renseignement d’origine électromagnétique dans son rapport du 11 février 2011 (paragraphe 64 ci-dessus), ont confirmé qu’en raison du secret la procédure de notification n’a jamais été utilisée. La Cour convient donc avec la requérante que l’obligation pesant sur le FRA d’aviser les particuliers est vidée de toute portée concrète.

166.  La Cour a déjà jugé incompatible avec la Convention l’absence d’obligation, à un stade quelconque ou quelles que soient les circonstances, de donner notification à la personne visée par l’interception de communications postales ou téléphoniques, au motif que cette absence ôtait à l’intéressée toute possibilité de demander réparation d’une atteinte illégale à ses droits fondés sur l’article 8, et rendait les recours offerts par le droit interne théoriques et illusoires et non concrets et effectifs (Association pour l’intégration européenne et les droits de l’homme et Ekimdjiev, précité, §§ 90 et 91). Dans l’affaire Kennedy, au contraire, elle a dit que l’absence d’obligation de donner notification à un stade quelconque à la personne visée par l’interception était compatible avec la Convention du fait qu’au Royaume-Uni toute personne soupçonnant que ses communications faisaient ou avaient fait l’objet d’interceptions pouvait se plaindre devant une commission d’une interception qu’elle jugeait illégale puisque la compétence de ladite commission n’était pas subordonnée à une notification de l’interception (Kennedy, précité, § 167).

167.  Compte tenu du fait que l’obligation d’adresser une notification à la personne visée par des mesures de surveillance secrète n’est pas applicable à la requérante, et puisqu’en tout état de cause cette obligation n’a pas de portée concrète, la Cour estime pertinent d’examiner la question de la notification en même temps que celle des recours disponibles en Suède, ces deux questions étant indissociablement liées (Roman Zakharov, précité, § 286).

ix.  Les recours disponibles

α)  Les arguments des parties

168.  La requérante affirme que les personnes qui se sont prévalues de la possibilité de demander un contrôle à l’Inspection du renseignement extérieur ont reçu une réponse standardisée selon laquelle aucune surveillance illégale n’avait été mise en place. Elle souligne également que l’Inspection n’a pas le pouvoir d’ordonner qu’une réparation soit versée. Elle indique que depuis 2009 l’autorité de protection des données n’a reçu aucune plainte concernant les activités de ROEM menées par le FRA. Pour ce qui est des recours ouverts devant les médiateurs parlementaires ou le chancelier de la Justice et des autres voies mentionnées par le Gouvernement, elle soutient qu’ils n’ont aucune chance d’aboutir à moins qu’il n’existe des preuves permettant d’établir qu’une personne a effectivement fait l’objet d’interceptions illégales.

169.  Le Gouvernement souligne que la législation suédoise offre plusieurs voies de recours. Il précise qu’outre la possibilité dont disposent les particuliers de demander à l’Inspection du renseignement extérieur de vérifier si leurs communications ont été interceptées, le FRA est tenu, lorsqu’il en reçoit la demande, d’aviser la personne concernée du traitement de ses données personnelles et de corriger, bloquer ou détruire les données qui n’ont pas été traitées conformément à la loi. Il ajoute que des plaintes peuvent aussi être adressées aux médiateurs parlementaires et au chancelier de la Justice, lesquels sont compétents pour vérifier si les lois pertinentes ont été correctement appliquées et peuvent à cette fin avoir accès aux documents des tribunaux et des autorités administratives, notamment ceux du tribunal pour le renseignement extérieur et ceux du FRA. Il rappelle que, même s’ils ne sont pas juridiquement contraignants, les avis du chancelier et des médiateurs suscitent un grand respect dans la société suédoise. Il ajoute que l’autorité de protection des données personnelles, en plus d’être une autorité de supervision du traitement par le FRA des données personnelles, peut aussi examiner des plaintes individuelles, et qu’un particulier peut engager une action en réparation d’un préjudice, signaler une affaire à des fins de poursuites ou introduire une action en réparation de violations de la Convention.

170.  La Commission internationale de juristes (section norvégienne) soutient que les voies de recours mentionnées ne sont pas ouvertes aux ressortissants non suédois, alors même que le ROEM en Suède se concentre sur les communications qui traversent la frontière suédoise.

β)  L’appréciation de la Cour

171.  Comme la Cour l’a rappelé ci-dessus, dans l’affaire Kennedy, elle a jugé que l’absence d’obligation de donner notification à la personne visée par l’interception était compatible avec la Convention du fait que la compétence de la commission n’était pas subordonnée à une notification de l’interception (Kennedy, précité, § 167). En vertu de la loi relative au renseignement d’origine électromagnétique, l’Inspection du renseignement extérieur doit rechercher si les communications de toute personne qui la saisit d’une demande à cet effet ont été interceptées dans le cadre d’activités de ROEM et, si tel a été le cas, vérifier si l’interception et l’administration des informations correspondantes ont été effectuées dans le respect du droit applicable. Elle doit informer le demandeur qu’elle a procédé au contrôle sollicité. Toute personne physique ou morale peut présenter une demande, quels que soient sa nationalité et son lieu de résidence (paragraphe 46 ci‑dessus). L’Inspection peut décider de mettre fin à une collecte de renseignements ou ordonner la destruction des renseignements ainsi recueillis (paragraphe 36 ci-dessus).

172.  Comme dans l’affaire Kennedy, la Cour est donc convaincue que la voie de recours ouverte devant l’Inspection du renseignement extérieur n’est pas subordonnée à une notification préalable de l’interception. Mais contrairement à ce qu’elle a observé dans l’affaire Kennedy, elle relève que même si l’Inspection peut décider de mettre fin à une collecte de renseignements ou ordonner la destruction des renseignements recueillis, elle ne peut ordonner qu’une réparation soit versée. En ce qui concerne la réparation en soi, la Cour garde toutefois à l’esprit qu’il existe en Suède un recours effectif en ce qu’il est possible de saisir le chancelier de la Justice ou les juridictions nationales d’une demande d’indemnisation dirigée contre l’État (paragraphe 53 ci-dessus).

173.  L’Inspection doit rechercher si les communications d’une personne déterminée ont été interceptées dans le cadre d’activités de ROEM, mais son examen se limite à la question de savoir si la collecte de renseignements a été effectuée dans le respect du droit applicable. La personne ne peut savoir si ses communications ont bien été interceptées que s’il y a eu illégalité. Comme le souligne la requérante, l’Inspection ne motive pas les conclusions auxquelles elle parvient en matière de légalité. Au contraire, dans l’affaire Kennedy, la Cour avait observé que la publication des conclusions juridiques de la commission compétente accroissait le degré de contrôle exercé sur les activités de surveillance secrète au Royaume-Uni (Kennedy, précité, § 167). En outre, la décision de l’Inspection étant définitive, la personne qui ne serait pas satisfaite de la réponse qui lui a été apportée ne peut demander le réexamen de sa demande en formant, par exemple, un recours devant un tribunal.

174.  En ce qui concerne les voies de recours directement ouvertes auprès du FRA, la Cour observe ce qui suit. Le FRA est tenu, lorsqu’il en reçoit la demande, d’aviser la personne concernée du traitement de ses données personnelles. Toute personne peut présenter une demande en ce sens une fois par année civile. Si des données à caractère personnel ont été traitées, le FRA doit préciser les informations qu’il détient sur la personne en question, la source de leur collecte, la finalité de leur traitement et les destinataires ou catégories de destinataires auxquels les données personnelles sont ou ont été communiquées (paragraphe 47 ci-dessus). La Cour observe que pareille obligation est conçue pour réduire les soupçons et les préoccupations du grand public quant à l’utilisation abusive de mesures de surveillance secrète.

175.  Comme pour l’exigence de notification, toutefois, le FRA n’est pas tenu de fournir des informations lorsque celles-ci sont couvertes par le secret. Même si les décisions du FRA peuvent faire l’objet d’un recours devant le tribunal administratif de Stockholm (paragraphe 49 ci-dessus), la Cour suppose que, comme pour les autres aspects des activités du FRA, le secret s’applique strictement, et qu’aucune information concernant des données à caractère personnel n’est donc livrée aux particuliers qui en font la demande. En l’absence d’exemples fournis par le Gouvernement pour illustrer l’effectivité de cette voie de recours, la Cour ne saurait conclure que celle-ci revêt une importance pratique. Par ailleurs, la procédure de correction, de blocage et de destruction des données personnelles par le FRA (paragraphe 48 ci-dessus) suppose que la personne sache que des données la concernant ont été enregistrées et dépend de la nature de ces données. Ce recours doit par conséquent être considéré comme ineffectif en pratique.

176.  La Cour observe toutefois que la législation suédoise prévoit plusieurs voies de recours à caractère général, en particulier la possibilité d’adresser des plaintes individuelles aux médiateurs parlementaires et au chancelier de la Justice (paragraphes 51-53 ci-dessus). Ces deux institutions contrôlent le respect par les juridictions, les autorités et leurs agents des lois et règlements et de leurs obligations, notamment au regard des droits et libertés fondamentaux des citoyens. Elles sont ainsi autorisées à contrôler le travail des juridictions et des autorités chargées d’activités de ROEM et il apparaît que rien n’empêche un particulier de se plaindre d’une atteinte au droit au respect de sa vie privée. Dans l’exercice de leur contrôle, elles ont un droit d’accès aux documents et aux autres informations. Si leurs décisions ne sont pas juridiquement contraignantes, leurs avis suscitent un grand respect en Suède. Elles peuvent également engager une procédure pénale ou disciplinaire contre un agent public qui a manqué à ses devoirs. Il convient également de souligner que, grâce à une pratique qui s’est développée ces dernières années, le chancelier de la Justice peut recevoir des demandes d’indemnisation fondées sur une violation alléguée de la Convention et statuer sur celles-ci (paragraphes 53 et 172 ci-dessus).

La Cour note en outre qu’en vertu de la loi sur les données à caractère personnel, l’autorité de protection des données peut recevoir et examiner des plaintes individuelles (paragraphe 54 ci-dessus).

177.  En résumé, la Cour observe que les recours suédois permettant de se plaindre au sujet d’une surveillance secrète ne comprennent pas la saisine d’un tribunal, excepté pour faire appel d’une décision du FRA sur une divulgation et des mesures correctives, recours que la Cour juge en tant que tels ineffectifs. De plus, il ne semble pas y avoir de possibilité pour une personne d’obtenir des informations sur le point de savoir si ses communications ont bien été interceptées ou, de manière générale, de recevoir une décision motivée. Ainsi, en ce qui concerne la dernière étape de la supervision des mesures de ROEM – contrôles demandés par des personnes après que les mesures ont été mises en œuvre – le système suédois n’offre pas les mêmes garanties que le contrôle exercé au Royaume‑Uni, tel qu’il a été décrit dans l’affaire Kennedy.

178.  Néanmoins, une personne dispose de plusieurs moyens pour faire vérifier la légalité de mesures prises dans le cadre d’opérations de ROEM : elle peut notamment adresser des demandes à l’Inspection du renseignement extérieur, aux médiateurs parlementaires et au chancelier de la Justice. Pour la Cour, bien qu’il ne fournisse pas une réponse complète et publique aux objections soulevées par un plaignant, l’ensemble des recours doit être tenu pour suffisant dans le présent contexte, qui comporte une contestation abstraite du système de ROEM en lui-même et ne concerne pas une plainte contre une mesure de renseignement en particulier. Pour parvenir à cette conclusion, la Cour accorde de l’importance aux premières étapes de la supervision du système, notamment l’examen judiciaire minutieux que le tribunal pour le renseignement extérieur effectue sur les demandes formées par le FRA pour être autorisé à mener des activités de ROEM et la supervision complète et en partie publique exercée par divers organes, en particulier par l’Inspection du renseignement extérieur.

x.  Conclusion

179.  La Cour est consciente des effets potentiellement préjudiciables que le fonctionnement d’un système de ROEM peut avoir sur la protection de la vie privée. Elle reconnaît néanmoins l’importance qu’un système tel que celui examiné en l’espèce revêt pour les opérations de sécurité nationale. Elle relève à cet égard que la Commission de Venise a tiré des conclusions similaires (paragraphe 69 ci-dessus). Compte tenu des menaces que constituent aujourd’hui le terrorisme international et les formes graves de criminalité transfrontière, ainsi que du perfectionnement croissant des technologies de communication, la décision de mettre en place un régime d’interception massive afin de repérer ces menaces relève de la marge d’appréciation de l’État défendeur. Ainsi qu’il a été noté ci-dessus (paragraphe 112 ci-dessus), l’État bénéficie d’une ample marge d’appréciation pour déterminer de quel type de système d’interception il a besoin.

180.  Il a été observé dans le même temps que la latitude qui lui est accordée pour faire fonctionner le système d’interception est plus restreinte. Dans son examen in abstracto du système suédois de ROEM, la Cour a tenu compte de la législation pertinente et des autres informations dont elle disposait pour apprécier si, dans l’ensemble, des garanties minimales suffisantes sont en place pour protéger le public contre les abus. Si l’examen ci-dessus a montré que des améliorations sont possibles dans certains domaines – notamment la réglementation de la communication des données interceptées à d’autres États ou à des organisations internationales (paragraphe 150 ci-dessus) et la pratique selon laquelle la motivation concernant l’examen de plaintes individuelles n’est pas rendue publique (paragraphes 173 et 177 ci-dessus) – la Cour estime que le système ne révèle aucune carence significative dans sa structure et son fonctionnement. Le cadre réglementaire a été révisé à plusieurs reprises afin d’étendre le recours au ROEM mais aussi, et c’est plus important encore, dans le but d’améliorer la protection de la vie privée. Il a évolué de manière à minimiser le risque d’atteinte à la vie privée et à compenser le manque d’ouverture du système. En particulier, le champ d’application des mesures de ROEM et le traitement des données interceptées sont clairement définis par la loi, la procédure d’autorisation est détaillée et confiée à un organe judiciaire, et il existe plusieurs organes indépendants chargés de la supervision et du contrôle du système. La conclusion de la Cour selon laquelle le système ne révèle aucune carence significative résulte d’un examen in abstracto et n’empêche pas d’examiner la responsabilité de l’État au regard de la Convention dans le cas où, par exemple, la requérante aurait connaissance d’une interception dont elle aurait effectivement fait l’objet.

181.  Par conséquent, se livrant à une appréciation globale et tenant compte de la marge d’appréciation dont jouissent les autorités nationales dans la protection de la sécurité nationale, la Cour juge que le système suédois de ROEM offre des garanties adéquates et suffisantes contre l’arbitraire et le risque d’abus. La législation pertinente répond à l’exigence relative à la « qualité de la loi » et l’« ingérence » établie peut être considérée comme « nécessaire dans une société démocratique ». Enfin, la structure et le fonctionnement du système sont proportionnés au but visé.

Dès lors, il n’y a pas eu violation de l’article 8 de la Convention.

II.  SUR LA VIOLATION ALLÉGUÉE DE L’ARTICLE 13 DE LA CONVENTION

182.  La requérante allègue n’avoir bénéficié au niveau interne d’aucun recours effectif pour se plaindre de la violation de ses droits fondés sur l’article 8 de la Convention. Elle invoque l’article 13 de la Convention, qui est ainsi libellé :

« Toute personne dont les droits et libertés reconnus dans la (...) Convention ont été violés, a droit à l’octroi d’un recours effectif devant une instance nationale, alors même que la violation aurait été commise par des personnes agissant dans l’exercice de leurs fonctions officielles. »

183.  Le Gouvernement conteste cette thèse.

184.  Compte tenu de la conclusion à laquelle elle est parvenue au sujet de l’article 8 (voir, en particulier, le paragraphe 178 ci-dessus), la Cour estime qu’il n’y a pas lieu d’examiner séparément le grief tiré de l’article 13, bien qu’il soit étroitement lié à celui fondé sur l’article 8 et doive donc être déclaré recevable.

PAR CES MOTIFS, LA COUR, À L’UNANIMITÉ,

1.  Joint au fond l’exception du Gouvernement tirée du défaut de qualité de victime de la requérante et déclare la requête recevable ;

2.  Rejette l’exception préliminaire susmentionnée du Gouvernement ;

3.  Dit qu’il n’y a pas eu violation de l’article 8 de la Convention ;

4.  Dit qu’il n’y a pas lieu d’examiner séparément le grief formulé sur le terrain de l’article 13 de la Convention.

Fait en anglais, puis communiqué par écrit le 19 juin 2018, en application de l’article 77 §§ 2 et 3 du règlement de la Cour.

Stephen Phillips Branko Lubarda
 Greffier Président