Cette dynamique jurisprudentielle trouve son origine dans la directive européenne de mars 2006 sur la conservation des données de communications électroniques. Cette directive est intéressante car elle prévoit la conservation généralisée d'un certain nombre de données liées aux communications électroniques, qu'il s'agisse de données d'identification des utilisateurs ou de métadonnées. C'est ce qui est en cause dans la législation interne, notamment les dispositions du code des postes et des télécommunications électroniques et du code de la sécurité intérieure.
La Cour de justice a invalidé la décision de 2006 dans son arrêt Digital rights en affirmant l'interdiction du stockage et de la conservation généralisée de l'ensemble des données de connexion. Ce stockage et cette conservation sont, selon la Cour, disproportionnés par rapport aux buts poursuivis. Dès 2014, la Cour de justice mettait en avant l'ingérence dans le droit au respect de la vie privée et le non-respect des données à caractère personnel. Elle mettait en avant l'idée selon laquelle le texte n'opérait aucune différenciation entre les différents objectifs poursuivis par le législateur : la conservation des données était déconnectée du but poursuivi, soit de prévention d'atteinte à la sécurité publique ou de lutte contre la criminalité grave.
Postérieurement à l'invalidation de cette décision de 2006, la Cour de justice s'est à nouveau prononcée sur la question, cette fois au sujet de dispositions nationales par l'arrêt Tele2 puis par l'arrêt La quadrature du Net, en reprenant des solutions similaires et en apportant des précisions quant à ces arrêts antérieurs. Elle mettait notamment en avant une échelle de mesures pouvant être adoptées selon le but poursuivi : lutte contre le terrorisme, lutte contre la criminalité grave ou protection de la sécurité publique. En fonction du but poursuivi, les mesures de conservation des données varient : elles peuvent être des mesures de conservation généralisée mais temporaire, des mesures de conservation ciblée et temporaire, des mesures de conservation uniquement des données d'identification des utilisateurs. Les solutions apportées par les différents arrêts ne sont qu'une application de l'exigence de proportionnalité entre la protection des données, d'une part, et le but poursuivi, d'autre part.
En l'état, les dispositions internes sont remises en cause et supposent une réécriture. Cette réécriture ne me semble pas impossible : elle suppose de tenir compte du but poursuivi, qui varie en fonction de la gravité de l'infraction en cause.
Le récent arrêt Prokuratuur possède tout de même une spécificité. La Cour de justice se prononçait cette fois sur l'hypothèse dans laquelle des infractions peu graves auraient été commises – il s'agissait de vols pour des montants relativement réduits. Pour identifier l'auteur de ces vols, une juridiction estonienne avait permis la collecte et la conservation de l'ensemble des données concernant l'auteur des vols. La Cour de justice a considéré que la conservation généralisée des données de l'utilisateur permettait de dresser un profil de la vie privée de l'individu et était, là encore, disproportionnée par rapport au but poursuivi. La Cour de justice rappelle donc sa jurisprudence antérieure et la nécessité de cantonner les mesures de collecte et de conservation des données à la criminalité grave et à des menaces graves contre la sécurité publique. Cela n'interdit pas forcément l'ensemble des mesures de collecte ou de conservation des données, dès lors qu'elles sont ciblées et qu'elles ne permettent pas de dresser un portrait de la vie privée de l'individu. La portée donnée à la solution de cet arrêt est peut-être excessive : la Cour de justice n'interdit pas des mesures ciblées de conservation ou d'accès aux données mais la communication de données doit être limitée dans son étendue temporelle et matérielle.
Ces arrêts, depuis Tele2 jusqu'au récent arrêt de mars 2021, viennent mettre en œuvre l'exigence de proportionnalité. Le législateur n'est pas interdit de mettre en place des mesures de conservation de données, mais ces mesures doivent être proportionnées par rapport au but poursuivi. Dès lors, il est étonnant que le législateur interne n'ait pas mis en œuvre l'exigence de proportionnalité en droit interne dès l'arrêt Tele2. Il aurait pu prévoir, par exemple, de rendre possible la conservation de l'ensemble des données d'identité des utilisateurs, de limiter la conservation de l'activité de l'utilisateur à certaines circonstances de lutte contre la criminalité grave et d'instituer un régime à paliers, selon la gravité des infractions ou du but de prévention.