L’arrêt French data network et autres du Conseil d’État du 21 avril 2021 et la conservation des données de connexion

Publié le 15/11/2021

maître de conférences HDR à l’université Toulouse 1 Capitole

L’arrêt French data network et autres du Conseil d’État du 21 avril 2021 et la conservation des données de connexion — Spectral-Design / AdobeStock

Dans son arrêt French data network et autres du 21 avril 2021, le Conseil d’État a examiné la conformité des règles françaises de conservation des données de connexion au droit de l’Union européenne. Il a autorisé la conservation généralisée des données par les opérateurs de télécommunication au regard de la menace existante pour la sécurité nationale. Il a toutefois ordonné au gouvernement d’effectuer un « réexamen périodique de l’existence d’une telle menace » pour justifier cette conservation généralisée des données. Il lui a également demandé de subordonner l’exploitation de ces données par les services de renseignement à l’autorisation d’une autorité indépendante .

CE, ass., 21 avr. 2021, no 393099

Extrait :

Le Conseil :

[…]

Considérant ce qui suit :

1. Les associations et sociétés requérantes contestent les dispositions réglementaires imposant aux opérateurs de communications électroniques, aux fournisseurs d’accès à internet et aux hébergeurs de contenus de conserver de façon généralisée et indifférenciée, pour une durée d’un an, les données de trafic et de localisation de l’ensemble de leurs utilisateurs ainsi que leurs données d’identité civile et certaines données relatives à leurs comptes et aux paiements qu’ils effectuent en ligne. Elles contestent également les dispositions réglementaires permettant aux services de renseignement de recueillir et d’opérer des traitements sur ces données. Sous le n° 393099, les associations French Data Network, La Quadrature du Net et la Fédération des fournisseurs d’accès à internet associatifs demandent l’annulation de la décision implicite de rejet née du silence gardé par le Premier ministre sur leur demande tendant à l’abrogation de l’article R. 10-13 du Code des postes et des communications électroniques et du décret du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne. La Quadrature du Net, French Data Network et la Fédération des fournisseurs d’accès à internet associatifs demandent l’annulation pour excès de pouvoir, sous le n° 394922, du décret du 28 septembre 2015 portant désignation des services spécialisés de renseignement et, sous le n° 397851, du décret du 29 janvier 2016 relatif aux techniques de recueil de renseignement. Sous le n° 397844, l’association Igwan.net demande l’annulation pour excès de pouvoir du décret du 11 décembre 2015 relatif à la désignation des services autres que les services spécialisés de renseignement, autorisés à recourir aux techniques mentionnées au titre V du livre VIII du Code de la sécurité intérieure, pris en application de l’article L. 811-4 du même code. Sous les nos 424717 et 424718, les sociétés Free Mobile et Free demandent l’annulation de la décision implicite de rejet née du silence gardé par le Premier ministre sur leur demande tendant à l’abrogation de l’article R. 10-13 du code des postes et des communications électroniques. Par ses décisions n° 393099 et nos 394922, 394925, 397844, 397851 du 26 juillet 2018, le Conseil d’État, statuant au contentieux, a écarté les moyens invoqués devant lui autres que ceux tirés de la méconnaissance du droit de l’Union européenne et a sursis à statuer jusqu’à ce que la Cour de justice de l’Union européenne se soit prononcée sur les questions préjudicielles dont il l’a saisie. Par un arrêt en date du 6 octobre 2020, rendu dans les affaires jointes C-511/18, C-512/18 et C-520/18, la Cour de justice s’est prononcée sur ces questions.

2. Les requêtes présentent à juger des questions communes. Il y a lieu de les joindre pour statuer par une seule décision.

I. Sur le cadre juridique des litiges :

En ce qui concerne les exigences inhérentes à la hiérarchie des normes :

3. En vertu de l’article 88-1 de la Constitution : « La République participe à l’Union européenne constituée d’États qui ont choisi librement d’exercer en commun certaines de leurs compétences en vertu du traité sur l’Union européenne et du traité sur le fonctionnement de l’Union européenne, tels qu’ils résultent du traité signé à Lisbonne le 13 décembre 2007 ». Selon le paragraphe 3 de l’article 4 du traité sur l’Union européenne : « En vertu du principe de coopération loyale, l’Union et les États membres se respectent et s’assistent mutuellement dans l’accomplissement des missions découlant des traités. / Les États membres prennent toute mesure générale ou particulière propre à assurer l’exécution des obligations découlant des traités ou résultant des actes des institutions de l’Union. / Les États membres facilitent l’accomplissement par l’Union de sa mission et s’abstiennent de toute mesure susceptible de mettre en péril la réalisation des objectifs de l’Union ». La seconde phrase du paragraphe 1 de l’article 19 du même traité assigne à la Cour de justice de l’Union européenne la mission d’assurer « le respect du droit dans l’interprétation et l’application des traités ».

4. Le respect du droit de l’Union constitue une obligation tant en vertu du traité sur l’Union européenne et du traité sur le fonctionnement de l’Union européenne qu’en application de l’article 88-1 de la Constitution. Il emporte l’obligation de transposer les directives et d’adapter le droit interne aux règlements européens. En vertu des principes de primauté, d’unité et d’effectivité issus des traités, tels qu’ils ont été interprétés par la Cour de justice de l’Union européenne, le juge national, chargé d’appliquer les dispositions et principes généraux du droit de l’Union, a l’obligation d’en assurer le plein effet en laissant au besoin inappliquée toute disposition contraire, qu’elle résulte d’un engagement international de la France, d’une loi ou d’un acte administratif.

5. Toutefois, tout en consacrant l’existence d’un ordre juridique de l’Union européenne intégré à l’ordre juridique interne, dans les conditions mentionnées au point précédent, l’article 88-1 confirme la place de la Constitution au sommet de ce dernier. Il appartient au juge administratif, s’il y a lieu, de retenir de l’interprétation que la Cour de justice de l’Union européenne a donnée des obligations résultant du droit de l’Union la lecture la plus conforme aux exigences constitutionnelles autres que celles qui découlent de l’article 88-1, dans la mesure où les énonciations des arrêts de la Cour le permettent. Dans le cas où l’application d’une directive ou d’un règlement européen, tel qu’interprété par la Cour de justice de l’Union européenne, aurait pour effet de priver de garanties effectives l’une de ces exigences constitutionnelles, qui ne bénéficierait pas, en droit de l’Union, d’une protection équivalente, le juge administratif, saisi d’un moyen en ce sens, doit l’écarter dans la stricte mesure où le respect de la Constitution l’exige.

6. Il en résulte, d’une part, que, dans le cadre du contrôle de la légalité et de la constitutionnalité des actes réglementaires assurant directement la transposition d’une directive européenne ou l’adaptation du droit interne à un règlement et dont le contenu découle nécessairement des obligations prévues par la directive ou le règlement, il appartient au juge administratif, saisi d’un moyen tiré de la méconnaissance d’une disposition ou d’un principe de valeur constitutionnelle, de rechercher s’il existe une règle ou un principe général du droit de l’Union européenne qui, eu égard à sa nature et à sa portée, tel qu’il est interprété en l’état actuel de la jurisprudence du juge de l’Union, garantit par son application l’effectivité du respect de la disposition ou du principe constitutionnel invoqué. Dans l’affirmative, il y a lieu pour le juge administratif, afin de s’assurer de la constitutionnalité de l’acte réglementaire contesté, de rechercher si la directive que cet acte transpose ou le règlement auquel cet acte adapte le droit interne est conforme à cette règle ou à ce principe général du droit de l’Union. Il lui revient, en l’absence de difficulté sérieuse, d’écarter le moyen invoqué, ou, dans le cas contraire, de saisir la Cour de justice de l’Union européenne d’une question préjudicielle, dans les conditions prévues par l’article 167 du traité sur le fonctionnement de l’Union européenne. En revanche, s’il n’existe pas de règle ou de principe général du droit de l’Union garantissant l’effectivité du respect de la disposition ou du principe constitutionnel invoqué, il revient au juge administratif d’examiner directement la constitutionnalité des dispositions réglementaires contestées.

7. D’autre part, lorsqu’il est saisi d’un recours contre un acte administratif relevant du champ d’application du droit de l’Union et qu’est invoqué devant lui le moyen tiré de ce que cet acte, ou les dispositions législatives qui en constituent la base légale ou pour l’application desquelles il a été pris, sont contraires à une directive ou un règlement européen, il appartient au juge administratif, après avoir saisi le cas échéant la Cour de justice d’une question préjudicielle portant sur l’interprétation ou la validité de la disposition du droit de l’Union invoquée, d’écarter ce moyen ou d’annuler l’acte attaqué, selon le cas. Toutefois, s’il est saisi par le défendeur d’un moyen, assorti des précisions nécessaires pour en apprécier le bien-fondé, tiré de ce qu’une règle de droit national, alors même qu’elle est contraire à la disposition du droit de l’Union européenne invoquée dans le litige, ne saurait être écartée sans priver de garanties effectives une exigence constitutionnelle, il appartient au juge administratif de rechercher s’il existe une règle ou un principe général du droit de l’Union européenne qui, eu égard à sa nature et à sa portée, tel qu’il est interprété en l’état actuel de la jurisprudence du juge de l’Union, garantit par son application l’effectivité de l’exigence constitutionnelle invoquée. Dans l’affirmative, il lui revient, en l’absence de difficulté sérieuse justifiant une question préjudicielle à la Cour de justice, d’écarter cette argumentation avant de faire droit au moyen du requérant, le cas échéant. Si, à l’inverse, une telle disposition ou un tel principe général du droit de l’Union n’existe pas ou que la portée qui lui est reconnue dans l’ordre juridique européen n’est pas équivalente à celle que la Constitution garantit, il revient au juge administratif d’examiner si, en écartant la règle de droit national au motif de sa contrariété avec le droit de l’Union européenne, il priverait de garanties effectives l’exigence constitutionnelle dont le défendeur se prévaut et, le cas échéant, d’écarter le moyen dont le requérant l’a saisi.

8. En revanche, et contrairement à ce que soutient le Premier ministre, il n’appartient pas au juge administratif de s’assurer du respect, par le droit dérivé de l’Union européenne ou par la Cour de justice elle-même, de la répartition des compétences entre l’Union européenne et les États membres. Il ne saurait ainsi exercer un contrôle sur la conformité au droit de l’Union des décisions de la Cour de justice et, notamment, priver de telles décisions de la force obligatoire dont elles sont revêtues, rappelée par l’article 91 de son règlement de procédure, au motif que celle-ci aurait excédé sa compétence en conférant à un principe ou à un acte du droit de l’Union une portée excédant le champ d’application prévu par les traités.

En ce qui concerne les exigences constitutionnelles invoquées en défense par l’État :

9. Il est soutenu en défense que les dispositions du droit national contestées au motif qu’elles seraient contraires au droit de l’Union européenne ne sauraient être écartées sans priver de garanties effectives les objectifs de valeur constitutionnelle de sauvegarde des intérêts fondamentaux de la Nation, de prévention des atteintes à l’ordre public et de recherche des auteurs d’infractions pénales et de lutte contre le terrorisme. Il ressort en effet de l’article 12 de la déclaration des droits de l’Homme et du citoyen de 1789 que la garantie des droits de l’Homme et du citoyen, sans laquelle une société n’a point de constitution selon l’article 16 de la même déclaration, nécessite une force publique. La sauvegarde des intérêts fondamentaux de la Nation, la prévention des atteintes à l’ordre public, notamment celle des atteintes à la sécurité des personnes et des biens, la lutte contre le terrorisme, ainsi que la recherche des auteurs d’infractions pénales constituent des objectifs de valeur constitutionnelle, nécessaires à la sauvegarde de droits et de principes de même valeur, qui doivent être conciliés avec l’exercice des libertés constitutionnellement garanties, au nombre desquelles figurent la liberté individuelle, la liberté d’aller et venir et le respect de la vie privée.

10. Selon le paragraphe 2 de l’article 4 du traité sur l’Union européenne, il appartient à l’Union, y compris à la Cour de justice de l’Union européenne, de respecter l’identité nationale des États membres, « inhérente à leurs structures fondamentales politiques et constitutionnelles », ainsi que « les fonctions essentielles de l’État, notamment celles qui ont pour objet d’assurer son intégrité territoriale, de maintenir l’ordre public et de sauvegarder la sécurité nationale », cette dernière restant « de la seule responsabilité des États membres ». Aux termes du paragraphe 1 de l’article 52 de la charte des droits fondamentaux de l’Union européenne : « Toute limitation de l’exercice des droits et libertés reconnus par la présente charte doit être prévue par la loi et respecter le contenu essentiel desdits droits et libertés. Dans le respect du principe de proportionnalité, des limitations ne peuvent être apportées que si elles sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui ». Il ressort de la jurisprudence de la Cour de justice de l’Union européenne, d’une part, que les objectifs de protection de la sécurité nationale et de lutte contre la criminalité grave, qui contribuent à la protection des droits et des libertés d’autrui, sont au nombre des objectifs d’intérêt général reconnus par l’Union, comme tels susceptibles de justifier des limitations aux droits garantis par la charte en vertu de son article 52, et, d’autre part, que si l’article 6 de la charte, qui garantit le droit à la sûreté, ne saurait être interprété comme imposant aux pouvoirs publics une obligation d’adopter des mesures spécifiques en vue de réprimer des infractions pénales, il découle de ses articles 3, 4 et 7, qui garantissent le droit au respect de l’intégrité de la personne, l’interdiction de la torture et des peines et traitements inhumains ou dégradants et le respect de la vie privée et familiale, des obligations positives à la charge de l’État, incluant la mise en place de règles permettant une lutte effective contre certaines infractions pénales. Toutefois, les exigences constitutionnelles mentionnées au point 9, qui s’appliquent à des domaines relevant exclusivement ou essentiellement de la compétence des États membres en vertu des traités constitutifs de l’Union, ne sauraient être regardées comme bénéficiant, en droit de l’Union, d’une protection équivalente à celle que garantit la Constitution.

En ce qui concerne l’office du juge dans le contentieux du refus d’abroger un acte réglementaire :

11. L’autorité compétente, saisie d’une demande tendant à l’abrogation d’un règlement illégal, est tenue d’y déférer, soit que, réserve faite des vices de forme et de procédure dont il serait entaché, ce règlement ait été illégal dès la date de sa signature, soit que l’illégalité résulte de circonstances de droit ou de fait postérieures à cette date.

12. L’effet utile de l’annulation pour excès de pouvoir du refus d’abroger un acte réglementaire illégal réside dans l’obligation, que le juge peut prescrire d’office en vertu des dispositions de l’article L. 911-1 du Code de justice administrative, pour l’autorité compétente, de procéder à l’abrogation de cet acte afin que cessent les atteintes illégales que son maintien en vigueur porte à l’ordre juridique. Il s’ensuit que lorsqu’il est saisi de conclusions aux fins d’annulation du refus d’abroger un acte réglementaire, le juge de l’excès de pouvoir est conduit à apprécier la légalité de l’acte réglementaire dont l’abrogation a été demandée au regard des règles applicables à la date de sa décision.

En ce qui concerne les questions soulevées par les requêtes :

13. Les associations et sociétés requérantes contestent la conformité au droit de l’Union européenne de deux séries de dispositions. La première d’entre elles concerne l’article R. 10-13 du code des postes et des communications électroniques et le décret du 25 février 2011, pris respectivement pour l’application de l’article L. 34-1 du même code et de l’article 6 de la loi du 21 juin 2004. Ces dispositions imposent aux opérateurs de communications électroniques, aux fournisseurs d’accès à internet et aux hébergeurs de conserver, pour une durée d’un an, l’ensemble des données de trafic et de localisation de leurs utilisateurs, lesquelles ne couvrent pas le contenu des communications, les données relatives à leur identité civile, ainsi que certaines informations relatives à leurs comptes et, le cas échéant, aux paiements qu’ils effectuent en ligne pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales et la sauvegarde de la sécurité nationale. La seconde série de dispositions concerne les décrets du 28 septembre 2015, du 11 décembre 2015 et du 29 janvier 2016, pris pour l’application du livre VIII de la partie législative du code de la sécurité intérieure relatif au renseignement. Sont en particulier en cause les techniques de renseignement mentionnées aux articles L. 851-1 à L. 851-4 de ce code. Il y a lieu d’analyser successivement aux II et III de la présente décision la compatibilité au droit de l’Union européenne de chacune de ces séries de dispositions.

II. Sur la conservation générale et indifférenciée des données de connexion :

En ce qui concerne le cadre juridique national :

14. Le II de l’article L. 34-1 du Code des postes et des communications électroniques fait obligation aux opérateurs de services de communications électroniques, notamment aux personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne, d’effacer ou de rendre anonyme toute donnée relative au trafic, sous réserve des dispositions des III, IV, V et VI du même article. Les données relatives au trafic au sens de ces dispositions sont définies par le 18° de l’article L. 32 du même code comme « toutes les données traitées en vue de l’acheminement d’une communication par un réseau de communications électroniques ou en vue de sa facturation ». Elles incluent les données d’identification des utilisateurs des réseaux de communications électroniques, les données relatives aux caractéristiques techniques des communications qu’ils ont effectuées à l’aide de tels réseaux et, enfin, les données de localisation, définies par le c) de l’article 2 de la directive n° 2002/58/CE du 12 juillet 2002 comme « toutes les données traitées dans un réseau de communications électroniques ou par un service de communications électroniques indiquant la position géographique de l’équipement terminal d’un utilisateur d’un service de communications électroniques accessible au public ».

15. Par exception à la règle fixée au II de l’article L. 34-1 du Code des postes et des communications électroniques, les opérateurs sont autorisés par le IV du même article à conserver, d’une part, les catégories de données énumérées aux I à III de l’article R. 10-14 de ce code, pour les besoins de la facturation et du paiement des prestations de communications électroniques qu’ils fournissent, jusqu’à la fin de la période au cours de laquelle la facture peut être légalement contestée ou des poursuites engagées pour en obtenir le paiement, soit un an à compter du jour du paiement en vertu de l’article L. 34-2 et, d’autre part, les données énumérées au IV de cet article R. 10-14, pour les besoins de la sécurité des réseaux et des installations, pour une durée n’excédant pas trois mois.

16. Par dérogation au principe d’anonymisation des données de connexion, le III du même article L. 34-1 prévoit la possibilité d’imposer aux opérateurs de communications électroniques la conservation des données relatives au trafic et à la localisation, pour une durée maximale d’un an, pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales. Il dispose ainsi que : « III. – Pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ou d’un manquement à l’obligation définie à l’article L. 336-3 du Code de la propriété intellectuelle ou pour les besoins de la prévention des atteintes aux systèmes de traitement automatisé de données prévues et réprimées par les articles 323-1 à 323-3-1 du Code pénal, et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l’autorité judiciaire ou de la haute autorité mentionnée à l’article L. 331-12 du Code de la propriété intellectuelle ou de l’autorité nationale de sécurité des systèmes d’information mentionnée à l’article L. 2321-1 du Code de la défense, il peut être différé pour une durée maximale d’un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques. Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, détermine, dans les limites fixées par le VI, ces catégories de données et la durée de leur conservation, selon l’activité des opérateurs et la nature des communications ainsi que les modalités de compensation, le cas échéant, des surcoûts identifiables et spécifiques des prestations assurées à ce titre, à la demande de l’État, par les opérateurs ». Le VI du même article précise que : « VI. – Les données conservées et traitées dans les conditions définies aux III, IV et V portent exclusivement sur l’identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux. / Elles ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications. / La conservation et le traitement de ces données s’effectuent dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. / Les opérateurs prennent toutes mesures pour empêcher une utilisation de ces données à des fins autres que celles prévues au présent article ».

17. Le 2° de l’article L. 39-3 du code des postes et des communications électroniques punit d’un an d’emprisonnement et de 75 000 euros d’amende le fait pour un opérateur de communications électroniques ou ses agents de ne pas procéder à la conservation des données techniques dans les conditions où cette conservation est exigée par la loi.

18. Le premier alinéa du II de l’article 6 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique prévoit par ailleurs que les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne et les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services « détiennent et conservent les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires ».

19. Pour les besoins du renseignement, l’article L. 851-1 du Code de la sécurité intérieure, relatif aux accès administratifs aux données de connexion par les services de renseignement, prévoit que, dans les conditions prévues au chapitre Ier du titre II du livre VIII de ce code, peut être autorisé le recueil, auprès des opérateurs de communications électroniques et des personnes mentionnées à l’article L. 34-1 du Code des postes et des communications électroniques et à l’article 6 de la loi du 21 juin 2004, des informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques, y compris les données techniques relatives à l’identification des numéros d’abonnement ou de connexion à des services de communications électroniques, au recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée, à la localisation des équipements terminaux utilisés ainsi qu’aux communications d’un abonné portant sur la liste des numéros appelés et appelants, la durée et la date des communications. Selon l’article L. 811-3 du Code de la sécurité intérieure, « pour le seul exercice de leurs missions respectives, les services spécialisés de renseignement peuvent recourir aux techniques mentionnées au titre V du présent livre pour le recueil des renseignements relatifs à la défense et à la promotion des intérêts fondamentaux de la Nation suivants : / 1° L’indépendance nationale, l’intégrité du territoire et la défense nationale ; / 2° Les intérêts majeurs de la politique étrangère, l’exécution des engagements européens et internationaux de la France et la prévention de toute forme d’ingérence étrangère ; / 3° Les intérêts économiques, industriels et scientifiques majeurs de la France ; / 4° La prévention du terrorisme ; / 5° La prévention : / a) Des atteintes à la forme républicaine des institutions ; / b) Des actions tendant au maintien ou à la reconstitution de groupements dissous en application de l’article L. 212-1 ; / c) Des violences collectives de nature à porter gravement atteinte à la paix publique ; / 6° La prévention de la criminalité et de la délinquance organisées ; / 7° La prévention de la prolifération des armes de destruction massive ». L’article L. 811-4 renvoie à un décret en Conseil d’État le soin de désigner les services, autres que les services spécialisés de renseignement, qui peuvent être autorisés à recourir aux techniques mentionnées au titre V du même livre VIII.

20. Il résulte de l’ensemble des dispositions mentionnées aux points précédents que le législateur a entendu imposer aux opérateurs de communications électroniques, aux fournisseurs d’accès à internet et aux hébergeurs l’obligation de conserver de manière générale et indifférenciée les données de connexion pour les besoins, d’une part, de la recherche, de la constatation et de la poursuite des infractions, notamment pénales, et, d’autre part, des missions de défense et de promotion des intérêts fondamentaux de la Nation confiées aux services de renseignement, dans les conditions et limites fixées par la loi et les dispositions réglementaires prises pour son application.

En ce qui concerne les dispositions réglementaires dont il est demandé l’abrogation :

21. L’article R. 10-13 du Code des postes et des communications électroniques, dont le refus d’abrogation est contesté sous les nos 393099, 424717 et 424718, énumère les données qui doivent être conservées, pour une durée d’un an à compter du jour de leur enregistrement, par les opérateurs de communications électroniques aux fins mentionnées au point précédent. Sont concernées par cette obligation : « a) Les informations permettant d’identifier l’utilisateur ; / b) Les données relatives aux équipements terminaux de communication utilisés ; / c) Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ; / d) Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ; / e) Les données permettant d’identifier le ou les destinataires de la communication ». Il prévoit également que, pour les activités de téléphonie, l’opérateur doit conserver les données relatives au trafic « et, en outre, celles permettant d’identifier l’origine et la localisation de la communication ».

22. Pour l’application des dispositions de la loi du 21 juin 2004 pour la confiance dans l’économie numérique, l’article 1er du décret du 25 février 2011, dont le refus d’abrogation est contesté sous le n° 393099, prévoit que : « Les données mentionnées au II de l’article 6 de la loi du 21 juin 2004 susvisée, que les personnes sont tenues de conserver en vertu de cette disposition, sont les suivantes : / 1° Pour les personnes mentionnées au 1 du I du même article et pour chaque connexion de leurs abonnés : / a) L’identifiant de la connexion ; / b) L’identifiant attribué par ces personnes à l’abonné ; / c) L’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès ; / d) Les dates et heure de début et de fin de la connexion ; / e) Les caractéristiques de la ligne de l’abonné ; / 2° Pour les personnes mentionnées au 2 du I du même article et pour chaque opération de création : / a) L’identifiant de la connexion à l’origine de la communication ; / b) L’identifiant attribué par le système d’information au contenu, objet de l’opération ; / c) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus ; / d) La nature de l’opération ; / e) Les date et heure de l’opération ; / f) L’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni ; / 3° Pour les personnes mentionnées aux 1 et 2 du I du même article, les informations fournies lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte : / a) Au moment de la création du compte, l’identifiant de cette connexion ; / b) Les nom et prénom ou la raison sociale ; / c) Les adresses postales associées ; / d) Les pseudonymes utilisés ; / e) Les adresses de courrier électronique ou de compte associées ; / f) Les numéros de téléphone ; / g) Les données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour ; / 4° Pour les personnes mentionnées aux 1 et 2 du I du même article, lorsque la souscription du contrat ou du compte est payante, les informations suivantes relatives au paiement, pour chaque opération de paiement : / a) Le type de paiement utilisé ; / b) La référence du paiement ; / c) Le montant ; / d) La date et l’heure de la transaction ».

En ce qui concerne les exigences qui découlent du droit de l’Union européenne :

S’agissant des textes de droit dérivé applicables :

23. La directive du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, qui a été prise sur le fondement de l’article 95 du traité instituant la Communauté européenne, désormais repris à l’article 114 du traité sur le fonctionnement de l’Union européenne, procède de la volonté de rapprocher les législations des États membres afin de permettre l’établissement et le fonctionnement du marché intérieur. Elle a pour objet, ainsi que l’énonce le paragraphe 1 de son article 3, le « traitement des données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communication dans la Communauté ». Aux termes de son article 5 : « 1. Les États membres garantissent, par la législation nationale, la confidentialité des communications effectuées au moyen d’un réseau public de communications et de services de communications électroniques accessibles au public, ainsi que la confidentialité des données relatives au trafic y afférentes. En particulier, ils interdisent à toute autre personne que les utilisateurs d’écouter, d’intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d’interception ou de surveillance, sans le consentement des utilisateurs concernés sauf lorsque cette personne y est légalement autorisée, conformément à l’article 15, paragraphe 1. Le présent paragraphe n’empêche pas le stockage technique nécessaire à l’acheminement d’une communication, sans préjudice du principe de confidentialité », tandis qu’en vertu de son article 6 : « 1. Les données relatives au trafic concernant les abonnés et les utilisateurs traitées et stockées par le fournisseur d’un réseau public de communications ou d’un service de communications électroniques accessibles au public doivent être effacées ou rendues anonymes lorsqu’elles ne sont plus nécessaires à la transmission d’une communication sans préjudice des paragraphes 2, 3 et 5, du présent article ainsi que de l’article 15, paragraphe 1 ». Toutefois, l’article 15 de la même directive prévoit que « Les États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l’article 8, paragraphes 1, 2, 3 et 4, et à l’article 9 de la présente directive lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques, comme le prévoit l’article 13, paragraphe 1, de la directive n° 95/46/CE. À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe. Toutes les mesures visées dans le présent paragraphe sont prises dans le respect des principes généraux du droit communautaire, y compris ceux visés à l’article 6, paragraphes 1 et 2, du traité sur l’Union européenne ».

24. Il résulte des articles 1er et 2 de cette directive, tels qu’interprétés par la Cour de justice de l’Union européenne, que les dispositions précitées s’appliquent aux opérateurs de services de communications électroniques, c’est-à-dire aux services qui consistent entièrement ou principalement en la transmission de signaux sur des réseaux de communications électroniques, tels que les services d’accès à internet. Les opérateurs mentionnés à l’article L. 34-1 du Code des postes et des communications électroniques, notamment les fournisseurs d’accès à internet et les opérateurs de téléphonie, ainsi que les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne au sens du paragraphe 1 du I de l’article 6 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique, ce qui vise en particulier les fournisseurs d’accès à internet, relèvent du champ d’application de cette directive. Tel n’est pas le cas, en revanche, des « hébergeurs », c’est-à-dire des personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services, mentionnées au paragraphe 2 du I du même article 6, dès lors que leurs services ne consistent pas entièrement ou principalement en la transmission de signaux sur des réseaux de communications électroniques.

25. L’article 23 du règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données (RGPD) prévoit que : « 1. Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir : / a) la sécurité nationale ; / b) la défense nationale ; / c) la sécurité publique ; / d) la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces […] ». Les hébergeurs mentionnés au point précédent constituent, au titre de cette activité, des responsables de traitement de données à caractère personnel, comme tels soumis aux dispositions de ce règlement.

26. Il ressort des dispositions citées aux points précédents que les États membres sont autorisés, pour des motifs tenant à la sauvegarde de la sécurité nationale, à la sûreté de l’État ou à la lutte contre les infractions pénales, à prévoir une dérogation, d’une part, à l’obligation de confidentialité des données à caractère personnel et, d’autre part, à celle de confidentialité des données relatives au trafic y afférentes, qui découlent toutes deux de l’article 5, paragraphe 1, de la directive, ainsi qu’aux droits et obligations prévues aux articles 12 à 22 du RGPD.

S’agissant de la réponse apportée par la Cour de justice de l’Union européenne aux questions préjudicielles posées par le Conseil d’État :

27. Par son arrêt du 6 octobre 2020 La Quadrature du Net et autres (C-511/18, C-512/18, C-520/18), la Cour de justice de l’Union européenne a, en réponse aux questions que lui avait posées le Conseil d’État dans sa décision avant-dire droit du 26 juillet 2018, dit pour droit que : « 1) L’article 15, paragraphe 1, de la directive n° 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive Vie privée et communications électroniques), telle que modifiée par la directive n° 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’il s’oppose à des mesures législatives prévoyant, aux fins prévues à cet article 15, paragraphe 1, à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation. En revanche, l’article 15, paragraphe 1, de la directive n° 2002/58, telle que modifiée par la directive n° 2009/136, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux, ne s’oppose pas à des mesures législatives / – permettant, aux fins de la sauvegarde de la sécurité nationale, le recours à une injonction faite aux fournisseurs de services de communications électroniques de procéder à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, dans des situations où l’État membre concerné fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, la décision prévoyant cette injonction pouvant faire l’objet d’un contrôle effectif, soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, visant à vérifier l’existence d’une de ces situations ainsi que le respect des conditions et des garanties devant être prévues, et ladite injonction ne pouvant être émise que pour une période temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de cette menace ; / – prévoyant, aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation ciblée des données relatives au trafic et des données de localisation qui soit délimitée, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique, pour une période temporellement limitée au strict nécessaire, mais renouvelable ; / – prévoyant, aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion, pour une période temporellement limitée au strict nécessaire ; / – prévoyant, aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité et de la sauvegarde de la sécurité publique, une conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs de moyens de communications électroniques, et / – permettant, aux fins de la lutte contre la criminalité grave et, a fortiori, de la sauvegarde de la sécurité nationale, le recours à une injonction faite aux fournisseurs de services de communications électroniques, par le biais d’une décision de l’autorité compétente soumise à un contrôle juridictionnel effectif, de procéder, pour une durée déterminée, à la conservation rapide des données relatives au trafic et des données de localisation dont disposent ces fournisseurs de services / dès lors que ces mesures assurent, par des règles claires et précises, que la conservation des données en cause est subordonnée au respect des conditions matérielles et procédurales y afférentes et que les personnes concernées disposent de garanties effectives contre les risques d’abus ».

28. Si la Cour a également dit pour droit que « l’article 23, paragraphe 1, du règlement n° 2016/679, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale imposant aux fournisseurs d’accès à des services de communication au public en ligne et aux fournisseurs de services d’hébergement la conservation généralisée et indifférenciée, notamment, des données à caractère personnel afférentes à ces services », elle a relevé, au point 211 de sa décision, qui constitue le soutien nécessaire de cette partie du dispositif, que : « les constatations et les appréciations faites dans le cadre de la réponse apportée aux premières questions dans les affaires nos C511/18 et C512/18 ainsi qu’aux première et deuxième questions dans l’affaire n° C520/18 s’appliquent mutatis mutandis à l’article 23 du règlement n° 2016/679 ». Il en ressort clairement que les conditions permettant de déroger aux droits et obligations prévus aux articles 12 à 22 du RGPD sur le fondement de l’article 23 du règlement et celles permettant de déroger à l’interdiction de conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation sur le fondement de l’article 15, paragraphe 1 de la directive du 12 juillet 2002 sont identiques.

29. Il résulte de ce qui a été dit aux points 27 et 28 que l’article 15, paragraphe 1, de la directive du 12 juillet 2002 et l’article 23 du RGPD, tels qu’interprétés par la Cour de justice dans son arrêt du 6 octobre 2020, limitent la possibilité d’imposer aux opérateurs de communications électroniques, aux fournisseurs d’accès à internet et aux hébergeurs la conservation des données de connexion de leurs utilisateurs. L’encadrement précisé par la Cour de justice diffère selon la nature des données en cause, les finalités poursuivies et le type de conservation.

30. En premier lieu, le droit de l’Union européenne s’oppose à ce que soit imposée aux opérateurs la conservation généralisée et indifférenciée des données de trafic et de localisation autres que les adresses IP, y compris aux fins de lutte contre la criminalité grave. Toutefois, il est possible d’imposer aux opérateurs une conservation ciblée de ces données, en fonction de catégories de personnes, dont des éléments objectifs permettent d’établir que leurs données sont susceptibles de révéler un lien au moins indirect avec des actes de criminalité grave, de contribuer, d’une manière ou d’une autre, à la lutte contre cette criminalité ou de prévenir un risque grave pour la sécurité publique, d’une part, ou en fonction de zones géographiques caractérisées par un risque élevé de préparation ou de commission d’actes de criminalité grave, d’autre part.

31. En revanche et en deuxième lieu, le droit de l’Union européenne permet d’imposer aux opérateurs la conservation généralisée et indifférenciée des données de trafic et de localisation autres que les adresses IP aux seules fins de sauvegarde de la sécurité nationale lorsqu’un État est confronté à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, sur injonction d’une autorité publique, soumise à un contrôle effectif d’une juridiction ou d’une autorité administrative indépendante, chargée notamment de vérifier la réalité de la menace, pour une période limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace.

32. En troisième lieu, le droit de l’Union européenne permet d’imposer aux opérateurs une « conservation rapide » des données de trafic et de localisation, c’est-à-dire une obligation à effet immédiat de conserver en l’état et pour une durée limitée au strict nécessaire certaines des données dont ils disposent, sous le contrôle d’un juge, lorsque ces données sont susceptibles de contribuer à l’élucidation d’une infraction grave ou à la prévention de menaces graves contre la sécurité publique. Ces données ne sont pas limitées aux personnes soupçonnées d’être les auteurs de l’infraction, mais peuvent être étendues à d’autres personnes pour les besoins de l’enquête, sur le fondement de critères objectifs.

33. En quatrième lieu, la conversation généralisée et indifférenciée des adresses IP peut être imposée aux fournisseurs d’accès à internet et aux hébergeurs, pour une période limitée au strict nécessaire, dès lors qu’elle peut constituer, comme le relève la Cour au point 154 de sa décision, le seul moyen d’investigation permettant l’identification d’une personne ayant commis une infraction en ligne. Toutefois, dès lors qu’une telle conservation emporte une ingérence grave dans les droits fondamentaux des personnes concernées, elle ne saurait être justifiée qu’aux fins de lutte contre la criminalité grave, pour la prévention des menaces graves contre la sécurité publique et pour la sauvegarde de la sécurité nationale.

34. En dernier lieu, la conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs est possible, sans délai particulier, aux fins de prévention des menaces à la sécurité publique, de recherche, de détection et de poursuite des infractions pénales en général et de sauvegarde de la sécurité nationale. Ainsi que la Cour le relève au point 157 de sa décision, l’ingérence qu’emporte la conservation de telles données ne saurait, en principe, être qualifiée de grave dès lors que ces données ne permettent pas, à elles seules, de connaître la date, l’heure, la durée et les destinataires des communications effectuées, non plus que les endroits où ces communications ont eu lieu ou la fréquence de celles-ci avec certaines personnes.

En ce qui concerne la compatibilité avec le droit de l’Union européenne des dispositions en litige :

S’agissant de la conservation générale et indifférenciée des données relatives à l’identité civile, aux paiements, aux contrats et aux comptes de l’abonné :

35. Ainsi qu’il a été dit au point 34, les données relatives à l’identité civile des utilisateurs de moyens de communications électroniques peuvent faire l’objet, sans limitation de durée, d’une conservation généralisée et indifférenciée pour les besoins de toute procédure pénale, de la prévention de toute menace contre la sécurité publique et de la sauvegarde de la sécurité nationale. Il suit de là que l’article R. 10-13 du code des postes et des communications électroniques et l’article 1er du décret du 25 février 2011, en tant qu’ils prévoient l’obligation pour les opérateurs de conserver de telles données, ne sont pas contraires au droit de l’Union européenne.

36. En outre, il résulte clairement de la directive du 12 juillet 2002 et du RGPD qu’ils ne s’opposent pas à une obligation de conservation généralisée et indifférenciée, pour une durée d’un an, des informations autres que celles relatives à l’identité civile fournies lors de la souscription d’un contrat par un utilisateur ou lors de la création d’un compte, d’une part, et des données relatives aux paiements, d’autre part, mentionnées respectivement aux 3° et 4° de l’article 1er du décret du 25 février 2011.

S’agissant de la conservation générale et indifférenciée des adresses IP :

37. Il résulte de l’arrêt de la Cour de justice précité que, dans la mesure où elles ne révèlent aucune information sur les tierces personnes ayant été en contact avec la personne à l’origine de la communication, et où elles peuvent constituer le seul moyen d’investigation permettant l’identification de la personne à laquelle cette adresse était attribuée au moment de la commission de cette infraction, les adresses IP attribuées à la source d’une connexion peuvent faire l’objet d’une obligation de conservation généralisée et indifférenciée à des fins de lutte contre la criminalité grave ou de prévention des menaces graves contre la sécurité publique, pour une période temporellement limitée au strict nécessaire.

38. Si la conservation généralisée et indifférenciée des adresses IP ne saurait être justifiée par les besoins de la lutte contre l’ensemble des infractions pénales, il ne résulte pas des énonciations de l’arrêt de la Cour de justice de l’Union européenne que le législateur serait tenu d’énumérer les infractions relevant du champ de la criminalité grave en se référant à des catégories strictement prédéfinies en droit interne. Le rattachement d’une infraction pénale à la criminalité grave a donc vocation à s’apprécier de façon concrète, sous le contrôle du juge pénal, au regard de la nature de l’infraction commise et de l’ensemble des faits de l’espèce. Une obligation de conservation généralisée et indifférenciée des adresses IP peut ainsi être imposée aux opérateurs, dès lors que les conditions d’accès à ces données par les services d’enquête sont fixées en fonction de la gravité des infractions susceptibles de le justifier, dans le respect du principe de proportionnalité, lequel fait partie des principes généraux du droit de l’Union européenne.

39. Les associations requérantes soutiennent que les dispositions attaquées relatives à la conservation des adresses IP méconnaissent le droit de l’Union européenne dès lors qu’elles ne circonscrivent pas cette conservation aux seules fins de lutte contre la criminalité grave. Or, aux termes de l’article préliminaire du Code de procédure pénale : « Au cours de la procédure pénale, les mesures portant atteinte à la vie privée d’une personne ne peuvent être prises, sur décision ou sous le contrôle effectif de l’autorité judiciaire, que si elles sont, au regard des circonstances de l’espèce, nécessaires à la manifestation de la vérité et proportionnées à la gravité de l’infraction ». Conformément au principe de proportionnalité consacré par cet article, l’obligation de conservation résultant du III de l’article L. 34-1 du Code des postes et des communications électroniques et du II de l’article 6 de la loi du 21 juin 2004 n’est donc imposée aux opérateurs, sous le contrôle des juridictions compétentes, que pour les besoins de la recherche, de la constatation et de la poursuite d’infractions pénales susceptibles de présenter un degré de gravité suffisant pour justifier l’ingérence dans les droits protégés par les articles 4, 7 et 11 de la charte des droits fondamentaux de l’Union européenne. Seules de telles infractions pouvant légalement justifier l’accès des services d’enquêtes aux données conservées par les opérateurs, il s’ensuit que la conservation des adresses IP imposée de façon généralisée et indifférenciée aux opérateurs ne saurait être regardée comme méconnaissant les exigences de la directive du 12 juillet 2002.

40. En outre, il résulte du III de l’article R. 10-13 du code des postes et des communications électroniques et de l’article 3 du décret du 25 février 2011 que les adresses IP ne peuvent être conservées qu’un an. Il ne ressort pas des pièces du dossier que cette durée de conservation ne serait pas strictement nécessaire aux besoins de la lutte contre la criminalité grave et de la prévention des menaces graves pour la sécurité publique.

41. Il résulte de ce qui précède que l’article R. 10-13 du code des postes et des communications électroniques et le décret du 25 février 2011, en tant qu’ils prévoient une obligation de conservation généralisée et indifférenciée des adresses IP, ne sont pas contraires au droit de l’Union européenne.

S’agissant de la conservation générale et indifférenciée des données de trafic et de localisation autres que les adresses IP :

42. Ainsi qu’il a été dit au point 31, la Cour a dit pour droit que la directive ne s’opposait pas à ce que des mesures législatives permettent, aux fins de sauvegarde de la sécurité nationale, d’imposer aux opérateurs la conservation généralisée et indifférenciée des données de trafic et des données de localisation, sous réserve qu’une décision soumise à un contrôle effectif constate l’existence d’une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, pour une durée limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace. Il ressort en outre du point 135 de son arrêt du 6 octobre 2020 que la responsabilité des États membres en matière de sécurité nationale, au sens du droit de l’Union, correspond à l’intérêt primordial de protéger les fonctions essentielles de l’État et les intérêts fondamentaux de la société, et inclut la prévention et la répression d’activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d’un pays, et en particulier à menacer directement la société, la population ou l’État en tant que tel, telles que notamment des activités de terrorisme.

Quant à la conservation générale et indifférenciée de ces données de connexion aux fins de sauvegarde de la sécurité nationale :

43. En premier lieu, les dispositions citées aux points 16, 18 et 19 imposent la conservation généralisée et indifférenciée, pour une durée d’un an, des données énumérées à l’article R. 10-13 du Code des postes et des communications électroniques et à l’article 1er du décret du 25 février 2011 en vue de défendre et de promouvoir les intérêts fondamentaux de la Nation énumérés à l’article L. 811-3 du Code de la sécurité intérieure, de même que pour les besoins de la recherche, de la constatation et de la poursuite d’infractions qui mettent en cause la sécurité nationale, notamment les atteintes aux intérêts fondamentaux de la Nation figurant au titre Ier du livre IV du code pénal et le terrorisme réprimé par les dispositions de son titre II. Dans cette mesure, cette obligation de conservation imposée aux opérateurs, mise en œuvre par des dispositions à caractère réglementaire susceptibles de faire l’objet d’un recours pour excès de pouvoir devant le juge administratif, assorti, le cas échéant, d’une demande de suspension de leurs effets sur le fondement de l’article L. 521-1 du Code de justice administrative, ou d’un référé fondé sur l’article L. 521-2 du même code, est justifiée, dans son principe, par l’objectif de sauvegarde de la sécurité nationale.

44. En deuxième lieu, il ressort des pièces du dossier, notamment des mesures d’instruction diligentées par la dixième chambre de la section du contentieux, que la France est confrontée à une menace pour sa sécurité nationale, appréciée au regard de l’ensemble des intérêts fondamentaux de la Nation listés à l’article L. 811-3 du Code de la sécurité intérieure cité au point 19 qui, par son intensité, revêt un caractère grave et réel. Cette menace est, à la date de la présente décision, non seulement prévisible mais aussi actuelle. Cette menace procède d’abord de la persistance d’un risque terroriste élevé, ainsi qu’en témoigne notamment le fait que sont survenues sur le sol national au cours de l’année 2020 six attaques abouties ayant causé sept morts et onze blessés. Deux nouveaux attentats ont déjà été déjoués en 2021. Le plan Vigipirate a été mis en œuvre au niveau « Urgence attentat » entre le 29 octobre 2020 et le 4 mars 2021 puis au niveau « Sécurité renforcée – risque attentat » depuis le 5 mars 2021, attestant d’un niveau de menace terroriste durablement élevé sur le territoire. Par ailleurs, la France est particulièrement exposée au risque d’espionnage et d’ingérence étrangère, en raison notamment de ses capacités et de ses engagements militaires et de son potentiel technologique et économique. De nombreuses entreprises françaises, tant des grands groupes que des petites et moyennes entreprises, font ainsi l’objet d’actions malveillantes, visant leur savoir-faire et leur potentiel d’innovation, à travers des opérations d’espionnage industriel ou scientifique, de sabotage, d’atteintes à la réputation ou de débauchage d’experts. La France est également confrontée à des menaces graves pour la paix publique, liées à une augmentation de l’activité de groupes radicaux et extrémistes. Ces menaces sont de nature à justifier l’obligation de conservation généralisée et indifférenciée des données de connexion listées à l’article R. 10-13 du Code des postes et des communications électroniques autres que les données relatives à l’identité civile et aux adresses IP. En outre, il ne ressort pas des pièces du dossier que la durée de conservation de ces données, fixée à un an, ne serait pas strictement nécessaire aux besoins de la sauvegarde de la sécurité nationale.

45. En troisième lieu, toutefois, ni l’article L. 34-1 du Code des postes et des communications électroniques, ni l’article 6 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique ne prévoient un réexamen périodique, au regard des risques pour la sécurité nationale, de la nécessité de maintenir l’obligation faite aux personnes concernées de conserver les données de connexion. Les dispositions de ces articles, ainsi, par suite, que celles de l’article R. 10-13 du Code des postes et des communications électroniques et du décret du 25 février 2011, en tant qu’elles ne subordonnent pas le maintien en vigueur de cette obligation au constat, à échéance régulière, qui ne saurait raisonnablement excéder un an, de la persistance d’une menace grave, réelle et actuelle ou prévisible, pour la sécurité nationale sont, dans cette mesure, contraires au droit de l’Union européenne. Par ailleurs, le fait d’imposer aux pouvoirs publics un tel réexamen n’affecte pas, par lui-même, les exigences constitutionnelles mentionnées au point 9.

46. Il résulte de ce qui précède que, s’agissant de l’objectif de sauvegarde de la sécurité nationale, le refus d’abroger l’article R. 10-13 du Code des postes et des communications électroniques et l’article 1er du décret du 25 février 2011 doit être annulé en tant seulement que leurs dispositions ne prévoient pas un réexamen périodique de l’existence d’une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale, s’agissant des données qu’elles mentionnent autres que celles afférentes à l’identité civile, aux comptes et aux paiements des utilisateurs et aux adresses IP. Il y a lieu d’enjoindre au gouvernement de compléter ces dispositions dans un délai de six mois à compter de la présente décision. Dans la mesure où il résulte de la présente décision, ainsi qu’il a été dit au point 44, que la réalité et la gravité de la menace pesant sur la sécurité nationale justifient l’obligation de conservation généralisée et indifférenciée de l’ensemble des données de connexion à cette fin, les opérateurs ne sauraient, avant l’expiration de ce délai, se soustraire à cette obligation et aux sanctions dont sa méconnaissance est assortie au motif que la durée de l’injonction qui leur est faite n’a pas été limitée dans le temps par le pouvoir réglementaire.

Quant à la conservation générale et indifférenciée de ces données de connexion aux fins de lutte contre la criminalité et de prévention des menaces à l’ordre public :

47. Les dispositions mentionnées aux points 16 et 18 organisent également la conservation généralisée et indifférenciée des données de connexion pour les besoins de la recherche, de la constatation et de la poursuite d’infractions pénales, ou de manquements à certaines législations particulières, ne mettant pas en jeu la sécurité nationale.

48. Ainsi qu’il a été rappelé aux points 30 à 34, le droit de l’Union européenne, tel qu’interprété par la Cour de justice, s’oppose à une obligation de conservation généralisée et indifférenciée des données de connexion, autres que celles d’identification des utilisateurs et les adresses IP, aux fins de lutte contre la criminalité et la prévention des menaces pour la sécurité publique, quel que soit le degré de gravité de cette criminalité ou de ces menaces.

49. Le Premier ministre soutient en défense que l’obligation pour le juge d’écarter les dispositions du droit national imposant une conservation généralisée et indifférenciée des données de connexion pour des finalités autres que de sauvegarde de la sécurité nationale priverait de garanties effectives les objectifs de valeur constitutionnelle de prévention des atteintes à l’ordre public, notamment des atteintes à la sécurité des personnes et des biens, et de recherche des auteurs d’infractions pénales.

50. En premier lieu, il ressort des pièces du dossier, notamment des mesures d’instruction diligentées par la dixième chambre de la section du contentieux, ainsi que des échanges intervenus au cours de la séance orale d’instruction qui s’est tenue le 22 mars 2021, que l’obligation de conservation généralisée et indifférenciée des données de connexion pour une période d’un an, imposée aux opérateurs sur le fondement des dispositions mentionnées aux points 16, 18, 21 et 22, est une condition déterminante de succès des enquêtes conduites en vue de la recherche, de la constatation et de la poursuite des auteurs d’infractions à caractère criminel et délictuel. L’exploitation ultérieure de ces données, en particulier des données de localisation du détenteur d’un équipement terminal, est en effet, dans de très nombreuses hypothèses, l’unique moyen de retrouver leurs auteurs. Il ne ressort en outre pas des pièces du dossier que des méthodes alternatives puissent utilement s’y substituer. Par construction, les méthodes d’investigation traditionnelles, telles que les filatures et les surveillances, outre les aléas auxquelles elles sont confrontées, ne permettent pas d’apporter d’éléments sur des événements passés et sont inefficaces pour les infractions dématérialisées. Les méthodes d’investigation scientifique, telles que la recherche d’empreintes digitales et de traces génétiques, ne peuvent être efficaces que si des éléments matériels sont laissés par les auteurs d’infraction. À l’inverse, s’il existe des méthodes d’investigation complexes présentant une réelle efficacité pour l’élucidation des crimes et délits, comme la captation de données en temps réel, elles sont plus intrusives et plus attentatoires aux libertés. L’accès différé aux données de connexion revêt une importance d’autant plus cruciale que l’utilisation des moyens de communications électroniques, notamment cryptées, constitue un instrument qui facilite la commission de ces crimes et délits et rend plus difficile la recherche de leurs auteurs. Il permet, à l’inverse, de lever les soupçons pesant sur des personnes suspectées, à tort, d’y être impliquées.

51. En deuxième lieu, les articles 5, 6 et 9 de la directive n° 2002/58 ménagent, il est vrai, aux opérateurs la faculté de conserver certaines données pour les besoins de l’acheminement des communications et des opérations de facturation et de paiement des services rendus. Ces dispositions sont transposées au IV de l’article L. 34-1 et à l’article R. 10-14 du Code des postes et des communications électroniques. Il résulte de ces dispositions, combinées avec l’article L. 34-2 du même code, que les données nécessaires aux opérations relatives à la facturation et au paiement des factures sont susceptibles d’être conservées jusqu’à l’expiration du délai de prescription des demandes en restitution du prix des prestations formées par les utilisateurs, fixé à un an à compter du jour du paiement, ou des demandes de paiement des prestations formulées par les opérateurs, également fixé à un an à compter de la date d’exigibilité des sommes. Toutefois, il ressort des pièces du dossier que seule une partie des données couvertes par l’article R. 10-13 est volontairement conservée par les opérateurs pour leurs besoins propres ou pour la sécurité des réseaux et installations au titre du seul article R. 10-14, et pour des durées moindres. En particulier, les données de connexion relatives aux appels entrants et celles relatives à la géolocalisation ne font que très rarement l’objet d’une conservation à ce titre de la part des opérateurs. De même, les données relatives aux appels sortants dans le cadre de forfaits illimités ne sont pas conservées dès lors qu’elles ne sont pas utiles à la facturation. Or le recueil de ces données contribue de façon déterminante à l’efficacité des enquêtes pénales.

52. En troisième lieu, il résulte de la jurisprudence de la Cour de justice que la directive ne s’oppose pas à une conservation ciblée des données relatives au trafic et des données de localisation qui soit délimitée, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique, pour une période temporellement limitée au strict nécessaire, mais renouvelable, en vue de lutter contre la criminalité grave ou de prévenir des menaces graves contre la sécurité publique.

53. Il ressort cependant des pièces du dossier, notamment des éléments recueillis auprès de la Fédération française des télécoms, qu’une telle conservation ciblée se heurte à des obstacles techniques qui en compromettent manifestement la mise en œuvre. En ce qui concerne une conservation ciblée selon des critères géographiques, il apparaît que l’implantation des relais de téléphonie mobile et de leurs cellules est propre à chaque opérateur, que le mode de propagation des ondes radio émises par les relais de téléphonie mobile n’est pas compatible avec des limites géographiques prédéfinies et que l’information de localisation n’est pas systématiquement présente dans les données collectées. Les sociétés Free Mobile et Free indiquent, quant à elles, que les données de connexion stockées dans leur système d’information ne sont pas associées à une zone géographique particulière, qu’au surplus cette localisation est changeante dans le temps et qu’elles ne sont en mesure d’établir une corrélation entre la « cellule » radio à laquelle sont associées des données de connexion et la localisation géographique de cette cellule qu’au cas par cas, en réponse à une réquisition judiciaire. Quant à une conservation ciblée sur des personnes, la Fédération française des télécoms fait valoir qu’elle se heurterait au fait que les informations contenues dans les données de trafic ne permettent pas d’effectuer un tri selon des catégories de personnes. Les sociétés Free et Free Mobile précisent, pour leur part, que les personnes sont identifiées par des données – le numéro de téléphone, le numéro IMSI et le numéro IMEI – qui peuvent varier dans le temps et que ces données sont gérées de façon étanche pour répondre aux exigences du RGPD.

54. En outre, une conservation ciblée, à la supposer techniquement possible, présenterait un intérêt opérationnel particulièrement incertain, dès lors qu’elle ne permettrait pas, y compris en cas de faits particulièrement graves, d’accéder aux données de connexion d’une personne suspectée d’une infraction qui n’aurait pas été préalablement identifiée comme étant susceptible de commettre un tel acte. Ainsi, notamment pour les cas de primo-délinquants, mais également lorsque les auteurs d’infractions pénales ont recours à des téléphones dotés de cartes prépayées qu’ils n’utilisent que pour une durée limitée et qui, par construction, n’auraient pu être préalablement identifiés, les services d’enquête judiciaire ne pourraient pas accéder aux données de connexion indispensables à l’élucidation des affaires dont ils sont saisis. Par ailleurs, il est impossible de définir par avance des zones géographiques où, par nature, aucun acte de criminalité grave susceptible de justifier la conservation des données de connexion ne pourrait survenir. Une obligation de conservation des données de connexion limitée à certaines zones géographiques, à supposer même qu’elle soit techniquement envisageable, ferait ainsi obstacle à l’action des services d’enquête dans les autres parties du territoire national lorsque de telles infractions y seraient commises. Enfin, aucune présomption de dangerosité ne saurait être légalement retenue à l’encontre de personnes en fonction de leur lieu de résidence ou d’activité professionnelle pour justifier la conservation de leurs données de trafic et de localisation. Une différence de traitement instaurée sur ces fondements serait contraire au principe constitutionnel d’égalité devant la loi.

55. En quatrième lieu, la Cour de justice a admis, au regard de la directive n° 2002/58 et du RGPD, le recours à une injonction faite aux fournisseurs de services de communications électroniques, par le biais d’une décision de l’autorité compétente soumise à un contrôle juridictionnel effectif, de procéder, pour une durée déterminée, à la conservation rapide des données de trafic et des données de localisation dont disposent ces fournisseurs de services, au sens de l’article 16 de la convention sur la cybercriminalité, faite à Budapest le 23 novembre 2001. Les stipulations de cette convention, à laquelle la France est partie, lui font obligation d’adopter les mesures nécessaires pour permettre à ses autorités, aux fins d’enquêtes et de procédures pénales et en vue d’assurer la collecte des preuves électroniques de toute infraction pénale, d’ordonner ou d’imposer d’une autre manière la conservation rapide de données de trafic, stockées au moyen d’un système informatique, et, en particulier pour obliger la personne qui les détient ou les contrôle à conserver et protéger l’intégrité de ces données pendant une durée aussi longue que nécessaire, au maximum de quatre-vingt-dix jours, le cas échéant renouvelable, afin de permettre aux autorités compétentes d’obtenir leur divulgation. Selon la Cour de justice, une telle conservation rapide peut non seulement porter sur les données des personnes concrètement soupçonnées d’avoir projeté ou commis une infraction pénale ou une atteinte à la sécurité nationale, mais aussi sur les données d’autres personnes, pour autant qu’elles peuvent, sur la base d’éléments objectifs et non discriminatoires, contribuer à l’élucidation de cette infraction ou de cette atteinte à la sécurité nationale, telles que les données de la victime de celle-ci et de son entourage social ou professionnel, ou encore des données relatives à des zones géographiques déterminées, telles que les lieux de la commission et de la préparation de l’infraction. Au point 164 de sa décision, la Cour précise ainsi que : « Dans la mesure où la finalité d’une telle conservation rapide ne correspond plus à celles pour lesquelles les données ont été collectées et conservées initialement et où tout traitement de données doit, en vertu de l’article 8, paragraphe 2, de la charte, répondre à des fins déterminées, les États membres doivent préciser, dans leur législation, la finalité pour laquelle la conservation rapide des données peut avoir lieu. Eu égard au caractère grave de l’ingérence dans les droits fondamentaux consacrés aux articles 7 et 8 de la charte qu’est susceptible de comporter une telle conservation, seule la lutte contre la criminalité grave et, a fortiori, la sauvegarde de la sécurité nationale sont de nature à justifier cette ingérence. En outre, afin d’assurer que l’ingérence que comporte une mesure de ce type soit limitée au strict nécessaire, il convient, d’une part, que l’obligation de conservation porte sur les seules données de trafic et données de localisation susceptibles de contribuer à l’élucidation de l’infraction pénale grave ou de l’atteinte à la sécurité nationale concernée. D’autre part, la durée de conservation des données doit être limitée au strict nécessaire, celle-ci pouvant néanmoins être prolongée lorsque les circonstances et l’objectif poursuivi par ladite mesure le justifient ». Il s’ensuit que, lorsqu’est en cause une infraction suffisamment grave pour justifier l’ingérence dans la vie privée induite par la conservation des données de connexion, dans le respect du principe de proportionnalité rappelé aux points 38 et 39, l’autorité judiciaire peut, sans méconnaître ni la directive du 12 juillet 2002, ni le RGPD, enjoindre aux opérateurs de communications électroniques, aux fournisseurs d’accès à internet et aux hébergeurs de sites internet de procéder à la conservation rapide des données de trafic et de localisation qu’ils détiennent, soit pour leurs besoins propres, soit au titre d’une obligation de conservation imposée aux fins de sauvegarde de la sécurité nationale.

56. La conservation rapide des données de connexion est ainsi de nature à faire obstacle à la disparition des informations nécessaires à la recherche, à la constatation et à la poursuite des auteurs d’infractions pénales à compter de la date et de l’heure à laquelle il est enjoint à un opérateur d’y procéder, à la suite de la commission d’une infraction ou du recueil d’éléments donnant à penser qu’une telle infraction est projetée, ainsi qu’à l’effacement ou à l’anonymisation des données relatives à des communications antérieures lorsqu’elles ont été conservées par les opérateurs. Cependant, sur ce dernier point, l’efficacité du dispositif est subordonnée à la condition que les données aient été effectivement conservées. À défaut, la conservation rapide ne permet pas aux services d’enquête et à l’autorité judiciaire d’exploiter des données relatives aux communications effectuées avant qu’elle soit ordonnée.

57. Il résulte de ce qui précède que ni l’accès aux données de connexion conservées volontairement par les opérateurs, ni la possibilité de leur imposer une obligation de conservation ciblée, ni le recours à la technique de la conservation rapide ne permettent, par eux-mêmes, de garantir le respect des objectifs de valeur constitutionnelle de prévention des atteintes à l’ordre public, notamment celle des atteintes à la sécurité des personnes et des biens, ainsi que de recherche des auteurs d’infractions, notamment pénales. Toutefois, d’une part, à la date de la présente décision, l’état des menaces pesant sur la sécurité nationale rappelées au point 44 justifie légalement que soit imposée aux opérateurs la conservation générale et indifférenciée des données de connexion. D’autre part, la conservation rapide des données susceptibles de contribuer à la recherche, la constatation et la poursuite des infractions pénales, dans le respect du principe de proportionnalité prévu par le Code de procédure pénale conformément à ce qui a été rappelé au point 39, est possible dans les conditions prévues par la directive du 12 juillet 2002 et le RGPD, y compris, comme l’a jugé la Cour ainsi qu’il a été rappelé au point 55, lorsque cette conservation rapide porte sur des données initialement conservées aux fins de sauvegarde de la sécurité nationale. L’autorité judiciaire est donc en mesure d’accéder aux données nécessaires à la poursuite et à la recherche des auteurs d’infractions pénales dont la gravité le justifie. Le même principe s’applique nécessairement aux autorités administratives indépendantes disposant d’un droit d’accès aux données de connexion en vertu de la loi en vue de lutter contre les manquements graves aux règles dont elles ont la charge d’assurer le respect. Dans ces conditions, le Premier ministre n’est pas fondé à soutenir qu’en l’état, la mise à l’écart des dispositions contestées du droit national, au motif qu’elles seraient contraires au droit de l’Union européenne, priverait de garanties effectives les objectifs de valeur constitutionnelle invoqués.

58. Il résulte de tout ce qui précède que le gouvernement ne pouvait pas imposer aux opérateurs de communications électroniques, aux fournisseurs d’accès à internet et aux hébergeurs la conservation généralisée et indifférenciée des données de connexion, autres que les données mentionnées aux points 33, 34 et 36, relatives à l’identité civile, aux adresses IP et aux informations relatives aux comptes et aux paiements, aux fins de lutte contre la criminalité et de prévention des menaces à l’ordre public sans méconnaître le droit de l’Union européenne. Il ressort du point précédent qu’à la date de la présente décision, et aussi longtemps que l’existence d’une menace grave sur la sécurité nationale justifie la conservation généralisée et indifférenciée des données de connexion, l’application du droit de l’Union européenne, en conduisant à écarter le droit national, ne prive pas de garanties effectives les objectifs de valeur constitutionnelle invoqués par le Premier ministre en défense. Il y a dès lors lieu d’écarter les articles L. 34-1 du Code des postes et des communications électroniques et 6 de la loi du 21 juin 2004 en tant qu’ils poursuivent une finalité autre que celle de la sauvegarde de la sécurité nationale. Par suite, les associations requérantes sont fondées à soutenir que les dispositions du I et du II de l’article R. 10-13 du Code des postes et des communications électroniques d’une part, et du 1° et du 2° de l’article 1er du décret du 25 février 2011 sont entachées d’illégalité dans cette mesure. C’est donc à tort que le Premier ministre a refusé d’en prononcer l’abrogation dans cette même mesure.

59. Il y a lieu de décider que le Premier ministre disposera d’un délai d’au plus six mois à compter de la notification de la présente décision pour limiter les finalités poursuivies par ces articles et adapter le cadre réglementaire relatif à la conservation des données de connexion. Il n’y a pas lieu, dans les circonstances de l’espèce, d’assortir cette injonction d’une astreinte.

III. Sur les traitements mis en œuvre par les services de renseignement sur les données de connexion :

60. Les associations requérantes contestent la conformité au droit de l’Union européenne de quatre techniques de renseignement. La première, définie par l’article L. 851-1 du Code de la sécurité intérieure, permet aux services de renseignement d’accéder aux données de trafic et de localisation conservées par les opérateurs de communications électroniques, les fournisseurs d’accès à internet et les hébergeurs de contenu. La deuxième, définie à l’article L. 851-2 du code leur permet, pour les seuls besoins de prévention du terrorisme, de recueillir en temps réel ces données pour les personnes préalablement identifiées comme présentant une menace. La troisième, prévue par l’article L. 851-3 du code, permet la mise en place de traitements automatisés sur les données de connexion conservées par les opérateurs afin de détecter des connexions susceptibles de révéler une menace terroriste. Enfin, l’article L. 851-4 permet aux services de renseignement de recueillir en temps réel les données techniques relatives à la localisation des équipements terminaux de communications électroniques. Les associations requérantes soutiennent que ces dispositions méconnaissent le droit de l’Union européenne tel qu’interprété par l’arrêt de la Cour de justice du 6 octobre 2020. Il y a lieu d’apprécier, en premier lieu, l’opérance des moyens invoqués, en deuxième lieu, la conformité au droit de l’Union de chacune de ces méthodes de renseignement et, en troisième lieu, d’examiner les autres moyens invoqués tirés de ce que les garanties procédurales encadrant les dispositions législatives du livre VIII du code de la sécurité intérieure seraient insuffisantes au regard du droit de l’Union.

En ce qui concerne l’opérance du moyen tiré de ce que les dispositions législatives du code de la sécurité intérieure seraient incompatibles avec le droit de l’Union européenne :

61. Sous les nos 394922, 397844 et 397851, les associations requérantes soutiennent, par la voie de l’exception, que les articles L. 851-1 à L. 851-4 du Code de la sécurité intérieure seraient incompatibles avec le droit de l’Union européenne.

62. La contrariété d’une disposition législative aux stipulations d’un traité international ou au droit de l’Union européenne ne peut être utilement invoquée à l’appui de conclusions dirigées contre un acte réglementaire que si ce dernier a été pris pour son application ou si en elle constitue la base légale.

63. Le décret du 28 septembre 2015 désigne, en application de l’article L. 811-2 du Code de la sécurité intérieure, les services spécialisés de renseignement et prévoit les modalités d’application des articles L. 853-1 à L. 853-3 du code. Il suit de là que les associations requérantes ne sauraient utilement contester, par la voie de l’exception, l’incompatibilité avec le droit de l’Union européenne des articles L. 851-1 à L. 851-4 à l’appui de leurs conclusions dirigées contre ce décret, qui n’a pas été pris pour l’application de ces articles et dont ceux-ci ne constituent pas la base légale. La requête présentée sous le n° 394922 doit, par suite, être rejetée.

64. L’article 3 du décret du 11 décembre 2015 relatif à la désignation des services autres que les services spécialisés de renseignement, autorisés à recourir aux techniques mentionnées au titre V du livre VIII du Code de la sécurité intérieure, pris en application de l’article L. 811-4 du Code de la sécurité intérieure, insère dans le code des articles R. 851-1 et R. 851-2 qui désignent les services autres que les services spécialisés de renseignement qui peuvent, pour des finalités qu’ils précisent, recourir aux techniques définies par les articles L. 851-1 et L. 851-4 du code. Les autres dispositions du décret ne sont pas prises pour l’application des articles L. 851-1 à L. 851-4 et ces articles n’en constituent pas la base légale. Il suit de là que l’association Igwan.net ne saurait utilement contester, par la voie de l’exception, l’incompatibilité avec le droit de l’Union européenne des articles L. 851-1 et L. 851-4 du Code de la sécurité intérieure qu’à l’appui de ses conclusions dirigées contre les dispositions de l’article 3 du décret contesté en tant qu’il insère les articles R. 851-1 et R. 851-2 dans ce code. Ses conclusions dirigées contre les autres dispositions de ce décret ne peuvent, dès lors, qu’être rejetées.

65. L’article 1er du décret du 29 janvier 2016 relatif aux techniques de recueil de renseignement insère au code de la sécurité intérieure un article R. 823-1 qui précise le rôle du groupement interministériel de contrôle. Aux termes du 3° de cet article, ce service est chargé de : « Recueillir et conserver les informations ou documents mentionnés à l’article L. 851-1 dans les conditions fixées au chapitre Ier du titre V du présent livre ». Par ailleurs, l’article 2 du décret insère au même code un article R. 851-1-1, qui désigne les services autres que les services spécialisés de renseignement pouvant être autorisés à utiliser la technique mentionnée à l’article L. 851-2 du Code de la sécurité intérieure au titre de la prévention du terrorisme, et des articles R. 851-5 à R. 851-10 qui précisent notamment les conditions d’application des articles L. 851-1 à L. 851-4. Les autres dispositions du décret ne sont pas prises pour l’application des articles L. 851-1 à L. 851-4 et ces articles n’en constituent pas la base légale. Il suit de là que les associations requérantes ne peuvent utilement contester, par la voie de l’exception, l’incompatibilité avec le droit de l’Union européenne des articles L. 851-1 à L. 851-4 du Code de la sécurité intérieure qu’à l’appui de leurs conclusions dirigées contre l’article 1er du décret attaqué en tant qu’il insère au code le 3° de l’article R. 823-1 et contre l’article 2 en tant qu’il insère au même code les articles R. 851-1-1 et R. 851-5 à R. 851-10. Leurs conclusions dirigées contre les autres dispositions de ce décret ne peuvent, dès lors, qu’être rejetées.

En ce qui concerne la conformité au droit de l’Union des techniques de renseignement prévues aux articles L. 851-1 à L. 851-4 du Code de la sécurité intérieure :

S’agissant de l’accès administratif par les services de renseignement aux données de trafic et de localisation prévu par l’article L. 851-1 du Code de la sécurité intérieure :

Quant au moyen tiré de ce que les dispositions attaquées organisent l’accès à des données conservées en méconnaissance du droit de l’Union :

66. Il ressort clairement des pièces du dossier qu’en 2015 et 2016, date à laquelle les décrets attaqués ont été adoptés, la France était confrontée à une menace grave, réelle et actuelle pour sa sécurité nationale, ainsi qu’en témoignent notamment l’attentat ayant visé « Charlie Hebdo » survenu le 7 janvier 2015 et la série d’attentats du 13 novembre 2015. Il s’ensuit que le livre VIII du Code de la sécurité intérieure pouvait, ainsi qu’il a été dit précédemment, imposer aux opérateurs de communications électroniques, aux fournisseurs d’accès à internet et aux hébergeurs la conservation généralisée et indifférenciée des données de trafic et de localisation aux fins de sauvegarde de la sécurité nationale.

Quant aux finalités poursuivies par les services de renseignement :

67. Dans sa rédaction applicable au litige, l’article L. 851-1 du Code de la sécurité intérieure dispose que : « Dans les conditions prévues au chapitre Ier du titre II du présent livre, peut être autorisé le recueil, auprès des opérateurs de communications électroniques et des personnes mentionnées à l’article L. 34-1 du Code des postes et des communications électroniques ainsi que des personnes mentionnées aux 1 et 2 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, des informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques, y compris les données techniques relatives à l’identification des numéros d’abonnement ou de connexion à des services de communications électroniques, au recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée, à la localisation des équipements terminaux utilisés ainsi qu’aux communications d’un abonné portant sur la liste des numéros appelés et appelants, la durée et la date des communications […] ». En application de l’article L. 811-3 du même code : « Pour le seul exercice de leurs missions respectives, les services spécialisés de renseignement peuvent recourir aux techniques mentionnées au titre V du présent livre pour le recueil des renseignements relatifs à la défense et à la promotion des intérêts fondamentaux de la Nation suivants : / 1° L’indépendance nationale, l’intégrité du territoire et la défense nationale ; / 2° Les intérêts majeurs de la politique étrangère, l’exécution des engagements européens et internationaux de la France et la prévention de toute forme d’ingérence étrangère ; / 3° Les intérêts économiques, industriels et scientifiques majeurs de la France ; / 4° La prévention du terrorisme ; / 5° La prévention : / a) Des atteintes à la forme républicaine des institutions ; / b) Des actions tendant au maintien ou à la reconstitution de groupements dissous en application de l’article L. 212-1 ; / c) Des violences collectives de nature à porter gravement atteinte à la paix publique ; / 6° La prévention de la criminalité et de la délinquance organisées ; / 7° La prévention de la prolifération des armes de destruction massive ». Dès lors que ces finalités concourent à la défense des intérêts fondamentaux de la Nation, elles doivent être regardées comme relevant de la sauvegarde de la sécurité nationale au sens de l’article 15 de la directive du 12 juillet 2002.

Quant à l’existence d’un contrôle préalable :

68. Par son arrêt du 21 décembre 2016 Tele2 Sverige AB c/ Post-och telestyrelsen et Secretary of State for the Home Department c/ Tom Watson et autres (nos C-203/15 et C 698/15), la Cour de justice de l’Union européenne a dit pour droit que l’article 15 de la directive du 12 juillet 2002 devait : « être interprété en ce sens qu’il s’oppose à une réglementation nationale régissant la protection et la sécurité des données relatives au trafic et des données de localisation, en particulier l’accès des autorités nationales compétentes aux données conservées, sans limiter, dans le cadre de la lutte contre la criminalité, cet accès aux seules fins de lutte contre la criminalité grave, sans soumettre ledit accès à un contrôle préalable par une juridiction ou une autorité administrative indépendante ». Le point 120 de cet arrêt précise que « Aux fins de garantir, en pratique, le plein respect de ces conditions, il est essentiel que l’accès des autorités nationales compétentes aux données conservées soit, en principe, sauf cas d’urgence dûment justifiés, subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante, et que la décision de cette juridiction ou de cette entité intervienne à la suite d’une demande motivée de ces autorités présentée, notamment, dans le cadre de procédures de prévention, de détection ou de poursuites pénales ». Si la Cour de justice n’a rappelé cette règle dans son arrêt du 6 octobre 2020 qu’à propos du recueil en temps réel des données de connexion par les services de renseignement, elle a réitéré le principe du contrôle préalable de l’accès des autorités nationales aux données de connexion par une juridiction ou une autorité administrative indépendante dans son arrêt du 2 mars 2021, H. K. / Prokuratuur (n° C-746/18).

69. Il résulte de ce qui a été dit au point précédent que l’accès des services de renseignement aux données de trafic et de localisation conservées par les opérateurs de communications électroniques sur le fondement des articles L. 34-1 du Code des postes et des communications électroniques et 6 de la loi du 21 juin 2004, pour les finalités mentionnées à l’article L. 811-3 du Code de la sécurité intérieure, qui toutes relèvent de la sauvegarde de la sécurité nationale, est possible sans méconnaître les dispositions de l’article 15, paragraphe 1, de la directive du 12 juillet 2002 et de l’article 23 du RGPD, à condition que cet accès soit soumis, sauf en cas d’urgence dûment justifiée, à un contrôle préalable par une juridiction ou une autorité administrative indépendante dotée d’un pouvoir contraignant et s’opère sur le fondement de critères objectifs et non discriminatoires.

70. D’une part, en vertu des articles L. 821-1 à L. 821-8 du Code de la sécurité intérieure, la mise en œuvre des techniques de renseignement prévues aux articles L. 851-1 à L. 851-4 du code est soumise à l’autorisation préalable du Premier ministre, après avis de la Commission nationale de contrôle des techniques de renseignement, laquelle contrôle notamment le respect du principe de proportionnalité de l’atteinte à la vie privée qu’entrainent ces techniques, en vertu de l’article L. 801-1 du code. Cette autorisation est délivrée sur demande écrite et motivée du ministre de la Défense, du ministre de l’Intérieur ou des ministres chargés de l’Économie, du Budget ou des Douanes. L’autorisation de mise en œuvre de ces techniques est délivrée pour une durée maximale de quatre mois. Si, en cas d’urgence absolue et pour les seules finalités mentionnées aux points 1°, 4° et a) du 5° de l’article L. 811-3, le recours à ces techniques de renseignement peut être autorisé sans avis préalable de la Commission nationale de contrôle des techniques de renseignement, le Premier ministre lui fait parvenir, dans un délai maximal de vingt-quatre heures, tous les éléments de motivation de la demande et ceux justifiant le caractère d’urgence absolue. Enfin, l’article L. 822-2 du code précise les délais dans lesquels les renseignements collectés doivent être détruits.

71. D’autre part, aux termes de l’article L. 833-4 du Code de la sécurité intérieure : « De sa propre initiative ou lorsqu’elle est saisie d’une réclamation de toute personne souhaitant vérifier qu’aucune technique de renseignement n’est irrégulièrement mise en œuvre à son égard, la commission procède au contrôle de la ou des techniques invoquées en vue de vérifier qu’elles ont été ou sont mises en œuvre dans le respect du présent livre. Elle notifie à l’auteur de la réclamation qu’il a été procédé aux vérifications nécessaires, sans confirmer ni infirmer leur mise en œuvre ». Le Conseil d’État peut en outre être saisi, conformément à l’article L. 841-1 par : « 1° Toute personne souhaitant vérifier qu’aucune technique de renseignement n’est irrégulièrement mise en œuvre à son égard et justifiant de la mise en œuvre préalable de la procédure prévue à l’article L. 833-4 ; / 2° La Commission nationale de contrôle des techniques de renseignement, dans les conditions prévues à l’article L. 833-8 ». Enfin, l’article L. 833-8 du code prévoit que : « Le Conseil d’État peut être saisi d’un recours prévu au 2° de l’article L. 841-1 soit par le président de la commission lorsque le Premier ministre ne donne pas suite aux avis ou aux recommandations de la commission ou que les suites qui y sont données sont estimées insuffisantes, soit par au moins trois membres de la commission ».

72. Il résulte de l’article L. 801-1 du Code de la sécurité intérieure que l’autorité publique ne peut porter atteinte au respect de la vie privée, dans toutes ses composantes, notamment la protection des données à caractère personnel, que dans les seuls cas de nécessité d’intérêt public prévus par la loi, dans les limites fixées par celle-ci et dans le respect du principe de proportionnalité. À ce titre, l’autorisation et la mise en œuvre sur le territoire national de la technique de renseignement prévue à l’article L. 851-1 de ce code ne peuvent être décidées que si elles procèdent d’une autorité ayant légalement compétence pour le faire, s’inscrivent dans les missions confiées aux services de renseignement, respectent la procédure d’autorisation et les règles de conservation par les services de renseignement définies au titre II du livre VIII de ce code, sont justifiées par les menaces, les risques et les enjeux liés aux intérêts fondamentaux de la Nation mentionnés à l’article L. 811-3, et si les atteintes qu’elles portent au respect de la vie privée sont proportionnées aux motifs invoqués.

73. La mise en œuvre de la technique de renseignement prévue à l’article L. 851-1 du Code de la sécurité intérieure ne donne pas lieu au contrôle préalable par une juridiction ou par une autorité administrative indépendante dotée d’un pouvoir contraignant, dès lors que la Commission nationale de contrôle des techniques de renseignement n’émet qu’un avis simple ou des recommandations non contraignantes et que la saisine du Conseil d’État ne lui est ouverte, dans les conditions prévues au chapitre III bis du titre VII du livre VII du Code de justice administrative, qu’après la délivrance de l’autorisation par le Premier ministre et, le cas échéant, sa mise en œuvre. En revanche, les exigences rappelées au point 68 sont respectées en cas d’urgence dûment justifiée, dans la mesure où, d’une part, le président de la commission ou trois de ses membres peuvent saisir le Conseil d’État à bref délai lorsque l’avis de cette commission ou, dans les cas d’urgence absolue mentionnés à l’article L. 821-5 du Code de la sécurité intérieure, la recommandation de la commission tendant à l’interruption de la mise en œuvre de la technique de renseignement litigieuse, n’a pas été suivi et où, d’autre part, il appartient à la formation spécialisée dans le contentieux des techniques de renseignement de se prononcer dans les plus brefs délais.

74. La directive du 12 juillet 2002 et le RGPD, tels qu’interprétés par la Cour de justice, imposent la mise en place d’un contrôle juridictionnel ou assuré par une autorité administrative indépendante dotée d’un pouvoir contraignant préalablement à l’accès différé aux données de connexion par les services de renseignement, en-dehors des cas d’urgence dûment justifiée. Cette obligation impose d’écarter les dispositions législatives contestées dans la seule mesure où elles ne prévoient pas un tel contrôle préalable, ce qui n’est pas susceptible de priver de garanties effectives les exigences constitutionnelles mentionnées au point 9. Il suit de là que le décret du 29 janvier 2016 relatif aux techniques de recueil de renseignement doit être annulé en tant qu’il permet l’accès en temps différé aux données de connexion par les services de renseignement, sans donner un caractère contraignant à l’avis de la Commission nationale de contrôle des techniques de renseignement, en-dehors des cas d’urgence dûment justifiée.

S’agissant de l’analyse automatisée des données de trafic et de localisation prévue à l’article L. 851-3 du Code de la sécurité intérieure :

75. Aux termes de l’article L. 851-3 du Code de la sécurité intérieure, dans sa rédaction applicable au litige : « I.- Dans les conditions prévues au chapitre Ier du titre II du présent livre et pour les seuls besoins de la prévention du terrorisme, il peut être imposé aux opérateurs et aux personnes mentionnés à l’article L. 851-1 la mise en œuvre sur leurs réseaux de traitements automatisés destinés, en fonction de paramètres précisés dans l’autorisation, à détecter des connexions susceptibles de révéler une menace terroriste. / Ces traitements automatisés utilisent exclusivement les informations ou documents mentionnés à l’article L. 851-1, sans recueillir d’autres données que celles qui répondent à leurs paramètres de conception et sans permettre l’identification des personnes auxquelles les informations ou documents se rapportent. […] II.- La Commission nationale de contrôle des techniques de renseignement émet un avis sur la demande d’autorisation relative aux traitements automatisés et les paramètres de détection retenus. Elle dispose d’un accès permanent, complet et direct à ces traitements ainsi qu’aux informations et données recueillies. Elle est informée de toute modification apportée aux traitements et paramètres et peut émettre des recommandations […] IV.- Lorsque les traitements mentionnés au I du présent article détectent des données susceptibles de caractériser l’existence d’une menace à caractère terroriste, le Premier ministre ou l’une des personnes déléguées par lui peut autoriser, après avis de la Commission nationale de contrôle des techniques de renseignement donné dans les conditions prévues au chapitre Ier du titre II du présent livre, l’identification de la ou des personnes concernées et le recueil des données y afférentes. Ces données sont exploitées dans un délai de soixante jours à compter de ce recueil et sont détruites à l’expiration de ce délai, sauf en cas d’éléments sérieux confirmant l’existence d’une menace terroriste attachée à une ou plusieurs des personnes concernées ».

76. Dans son arrêt du 6 octobre 2020 précité, la Cour a dit pour droit que : « L’article 15, paragraphe 1, de la directive n° 2002/58, telle que modifiée par la directive n° 2009/136, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale imposant aux fournisseurs de services de communications électroniques de recourir, d’une part, à l’analyse automatisée […] des données relatives au trafic et des données de localisation […] lorsque / le recours à l’analyse automatisée est limité à des situations dans lesquelles un État membre se trouve confronté à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, le recours à cette analyse pouvant faire l’objet d’un contrôle effectif, soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, visant à vérifier l’existence d’une situation justifiant ladite mesure ainsi que le respect des conditions et des garanties devant être prévues ».

77. Il ne peut être recouru à l’analyse automatisée des données de trafic et de localisation prévue à l’article L. 851-3 du Code de la sécurité intérieure que pour les seuls besoins de la prévention du terrorisme. La mise en œuvre de cette méthode n’est possible qu’après avis de la Commission nationale de contrôle des techniques de renseignement, laquelle est chargée, notamment, de vérifier qu’elle est mise en œuvre pour cette seule finalité et qu’elle repose sur des critères objectifs et non discriminatoires. À cette occasion, la Commission vérifie l’existence et l’actualité de la menace grave pour la sécurité nationale susceptible de justifier une telle mesure. Si l’avis de la Commission n’est pas doté d’un effet contraignant, le Conseil d’État peut être saisi d’un recours dans les conditions prévues à l’article L. 833-8 précité. Cette procédure respecte l’exigence qu’une telle méthode de renseignement puisse faire l’objet d’un contrôle effectif par une juridiction ou une autorité administrative indépendante. En revanche, si, en vertu du IV de l’article L. 851-3, lorsqu’une menace est détectée par un traitement automatisé, le Premier ministre peut autoriser l’identification des personnes concernées et le recueil des données y afférentes après un réexamen individuel, cette identification n’est pas subordonnée à un contrôle préalable exercé par une juridiction ou par une autorité administrative indépendante dotée d’un pouvoir contraignant. Il s’ensuit que le IV de l’article L. 851-3 du Code de la sécurité intérieure méconnaît l’article 15, paragraphe 1, de la directive du 12 juillet 2002 et l’article 23 du RGPD dans cette mesure. Il doit donc être écarté dans cette mesure seule, ce qui n’est pas susceptible de priver de garanties effectives les exigences constitutionnelles mentionnées au point 9, et les décrets attaqués doivent être annulés en tant seulement qu’ils permettent la mise en œuvre de traitements automatisés sans prévoir un tel contrôle avant l’identification des personnes dont les données sont susceptibles de révéler une menace à caractère terroriste.

S’agissant du recueil en temps réel des données de trafic et de localisation prévu aux articles L. 851-2 et L. 851-4 du Code de la sécurité intérieure :

78. Par son arrêt du 6 octobre 2020 précité, la Cour de justice de l’Union européenne a dit pour droit que : « L’article 15, paragraphe 1, de la directive n° 2002/58, telle que modifiée par la directive n° 2009/136, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale imposant aux fournisseurs de services de communications électroniques de recourir […] au recueil en temps réel, notamment, des données relatives au trafic et des données de localisation et, d’autre part, au recueil en temps réel des données techniques relatives à la localisation des équipements terminaux utilisés, lorsque […] – le recours à un recueil en temps réel des données relatives au trafic et des données de localisation est limité aux personnes à l’égard desquelles il existe une raison valable de soupçonner qu’elles sont impliquées d’une manière ou d’une autre dans des activités de terrorisme et est soumis à un contrôle préalable, effectué, soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, afin de s’assurer qu’un tel recueil en temps réel n’est autorisé que dans la limite de ce qui est strictement nécessaire. En cas d’urgence dûment justifiée, le contrôle doit intervenir dans de brefs délais ».

Quant à l’article L. 851-2 du Code de la sécurité intérieure :

79. Dans sa rédaction applicable au litige, l’article L. 851-2 du Code de la sécurité intérieure dispose que : « I.- Dans les conditions prévues au chapitre Ier du titre II du présent livre et pour les seuls besoins de la prévention du terrorisme, peut être individuellement autorisé le recueil en temps réel, sur les réseaux des opérateurs et des personnes mentionnés à l’article L. 851-1, des informations ou documents mentionnés au même article L. 851-1 relatifs à une personne préalablement identifiée comme présentant une menace. / II.- Par dérogation à l’article L. 821-4, l’autorisation est délivrée pour une durée de deux mois, renouvelable dans les mêmes conditions de durée ».

80. Il résulte de ce que la Cour a dit pour droit, et qui a été rappelé au point 78 de la présente décision, que le droit de l’Union européenne autorise le recueil en temps réel des données de trafic et de localisation lorsque celui-ci est limité aux personnes à l’égard desquelles il existe une raison valable de soupçonner qu’elles sont impliquées d’une manière ou d’une autre dans des activités de terrorisme. Il s’ensuit que la technique définie à l’article L. 851-2 du Code de la sécurité intérieure, dans sa rédaction applicable à la date des décrets contestés, n’est pas contraire, dans son principe, aux dispositions de l’article 15, paragraphe 1, de la directive du 12 juillet 2002 et de l’article 23 du RGPD telles qu’interprétées par la Cour de justice de l’Union européenne. En revanche, le recueil en temps réel des données de trafic et de localisation doit être soumis au contrôle préalable d’une juridiction ou d’une autorité administrative indépendante dont la décision est dotée d’un effet contraignant. Or, d’une part, les avis que rend la Commission nationale de contrôle des techniques de renseignement ne sont pas contraignants et, d’autre part, l’article L. 833-8 du Code de la sécurité intérieure ne prévoit pas de saisine systématique du Conseil d’État lorsque le Premier ministre ne donne pas suite aux avis ou aux recommandations de la commission. Il s’ensuit que l’article L. 851-2 du Code de la sécurité intérieure méconnaît les dispositions de la directive en tant qu’il ne prévoit pas de contrôle préalable par une autorité administrative indépendante dotée d’un pouvoir d’avis conforme ou une juridiction. Il doit donc être écarté dans cette mesure seule et les décrets attaqués doivent être annulés en tant seulement qu’ils permettent la mise en œuvre du recueil en temps réel des données de trafic et de localisation sans prévoir un tel contrôle. La mise à l’écart du droit national par le juge dans cette mesure n’est pas de nature à priver de garanties effectives les objectifs de valeur constitutionnelle cités au point 9.

Quant à l’article L. 851-4 du Code de la sécurité intérieure :

81. Dans sa rédaction applicable au litige, l’article L. 851-4 du Code de la sécurité intérieure dispose que : « Dans les conditions prévues au chapitre Ier du titre II du présent livre, les données techniques relatives à la localisation des équipements terminaux utilisés mentionnées à l’article L. 851-1 peuvent être recueillis sur sollicitation du réseau et transmis en temps réel par les opérateurs à un service du Premier ministre ».

82. Il résulte de ce que la Cour a dit pour droit et qui a été rappelé au point 78 que l’article 15 de la directive du 12 juillet 2002 autorise le recueil en temps réel des données de localisation pour la prévention du terrorisme. Toutefois, il ne ressort pas de l’arrêt de la Cour de justice de l’Union européenne du 6 octobre 2020 que la directive interdirait le recours à cette méthode de renseignement pour la défense et la promotion des autres intérêts fondamentaux de la Nation définis à l’article L. 811-3 du Code de la sécurité intérieure, dans le respect du principe de proportionnalité des atteintes à la vie privée rappelé à l’article L. 801-1 du code. Il s’ensuit que les associations requérantes ne sont pas fondées à soutenir que l’article L. 851-4 du Code de la sécurité intérieure méconnaîtrait le droit de l’Union européenne en tant qu’il poursuivrait des finalités trop larges.

83. En revanche, et pour les mêmes motifs que ceux précisés au point 80 de la présente décision, l’article L. 851-4 du Code de la sécurité intérieure méconnaît les dispositions de la directive en tant qu’il ne prévoit pas de contrôle préalable du recueil en temps réel des données de localisation par une autorité administrative indépendante dotée d’un pouvoir contraignant ou une juridiction. Il doit donc être écarté dans cette seule mesure, ce qui n’est pas susceptible de priver de garanties effectives les exigences constitutionnelles mentionnées au point 9, et les décrets attaqués doivent être annulés en tant seulement qu’ils permettent sa mise en œuvre sans prévoir un tel contrôle.

En ce qui concerne les moyens tirés de ce que les techniques du livre VIII du Code de la sécurité intérieure seraient entourées de garanties procédurales insuffisantes :

S’agissant du moyen tiré de ce que les dispositions attaquées organisent l’accès aux données des personnes dont les communications sont soumises au secret professionnel, conservées en méconnaissance du droit de l’Union :

84. D’une part, il découle clairement de l’article 15 de la directive du 12 juillet 2002 que le droit de l’Union européenne ne s’oppose pas à ce que les données de connexion des personnes dont les communications sont soumises au secret professionnel fassent l’objet d’une obligation de conservation en cas de menace grave, réelle et actuelle ou prévisible pour la sécurité nationale. Il résulte de l’état de la menace rappelé aux points 44 et 66 que le pouvoir réglementaire pouvait légalement imposer aux opérateurs cités aux articles L. 34-1 du Code des postes et des communications et 6 de la loi du 21 juin 2004 de conserver les données de trafic et de localisation de ces personnes.

85. D’autre part, les requérants soutiennent que les articles L. 851-1 à L. 851-4 du Code de la sécurité intérieure méconnaissent le droit de l’Union européenne faute de prévoir des garanties légales pour le traitement des données de connexion des personnes dont les communications sont soumises au secret professionnel. Or, l’article L. 821-7 du Code de la sécurité intérieure dispose, dans sa rédaction applicable au litige, que : « Un parlementaire, un magistrat, un avocat ou un journaliste ne peut être l’objet d’une demande de mise en œuvre, sur le territoire national, d’une technique de recueil de renseignement mentionnée au titre V du présent livre à raison de l’exercice de son mandat ou de sa profession. Lorsqu’une telle demande concerne l’une de ces personnes ou ses véhicules, ses bureaux ou ses domiciles, l’avis de la Commission nationale de contrôle des techniques de renseignement est examiné en formation plénière. L’article L. 821-5 n’est pas applicable. […] Les transcriptions des renseignements collectés en application du présent article sont transmises à la commission, qui veille au caractère nécessaire et proportionné des atteintes, le cas échéant, portées aux garanties attachées à l’exercice de ces activités professionnelles ou mandats ». Il s’ensuit que le moyen invoqué à ce titre manque en fait.

S’agissant des personnes susceptibles d’accéder aux données de trafic et de localisation :

86. Aux termes de l’article L. 811-4 du Code de la sécurité intérieure : « Un décret en Conseil d’État, pris après avis de la Commission nationale de contrôle des techniques de renseignement, désigne les services, autres que les services spécialisés de renseignement, relevant des ministres de la Défense, de l’Intérieur et de la Justice ainsi que des ministres chargés de l’Économie, du Budget ou des Douanes, qui peuvent être autorisés à recourir aux techniques mentionnées au titre V du présent livre dans les conditions prévues au même livre. Il précise, pour chaque service, les finalités mentionnées à l’article L. 811-3 et les techniques qui peuvent donner lieu à autorisation ». Les associations requérantes soutiennent qu’en ne limitant pas le nombre de personnes pouvant accéder aux données de connexion et les exploiter, ces dispositions méconnaissent les droits au respect de la vie privée et familiale et à la protection des données à caractère personnel respectivement protégés par les articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne.

87. Dans son arrêt du 8 avril 2014, Digital Rights Ireland Ltd (nos C-293/12 et C-594/12), la Cour de justice de l’Union européenne a dit pour droit que la directive n° 2006/24/CE du Parlement et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive n° 2002/58/CE était invalide, au motif notamment qu’elle ne prévoyait « aucun critère objectif permettant de limiter le nombre de personnes disposant de l’autorisation d’accès et d’utilisation ultérieure des données conservées au strict nécessaire au regard de l’objectif poursuivi ».

88. En premier lieu, le décret du 11 décembre 2015 attaqué énumère limitativement, par technique de renseignement et par finalité poursuivie, les services autorisés à recourir aux techniques du titre V du livre VIII de la partie législative du Code de la sécurité intérieure. Le décret du 29 janvier 2016 également attaqué insère quant à lui au Code de la sécurité intérieure un article R. 821-1 qui dispose que : « Seuls peuvent mettre en œuvre les techniques de recueil de renseignement mentionnées au titre V du présent livre les agents individuellement désignés et habilités par le ministre ou, par délégation, par le directeur dont ils relèvent ». De même, s’agissant plus précisément des méthodes de renseignement prévues par les articles L. 851-1, L. 851-2 et L. 851-4 du code, les articles R. 851-1, R. 851-1-1 et R. 851-2 du code issus des décrets attaqués prévoient également que seuls les agents individuellement désignés et habilités peuvent y recourir. Il résulte enfin du principe de proportionnalité, rappelé à l’article L. 801-1 du code, que le nombre des agents habilités ne saurait excéder celui nécessaire à l’exercice de ces activités.

89. En second lieu, il appartient au juge administratif, lorsqu’il est saisi d’un moyen en ce sens, de vérifier que l’accès aux données de connexion des personnes énumérées par les décrets pris pour l’application de l’article L. 811-4 et des articles L. 851-1 à L. 851-4 du Code de la sécurité intérieure est limité au strict nécessaire au regard des finalités poursuivies. Il s’ensuit que le moyen tiré de ce que ce décret méconnaîtrait les articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne au motif qu’il ne limiterait pas le nombre de personnes pouvant accéder aux données de connexion et les exploiter doit être écarté.

S’agissant de l’information des personnes ayant fait l’objet d’une technique de renseignement :

90. Au point 190 de son arrêt du 6 octobre 2020 précité, la Cour de justice de l’Union européenne précise qu’il « importe que les autorités nationales compétentes procédant au recueil en temps réel des données relatives au trafic et des données de localisation en informent les personnes concernées, dans le cadre des procédures nationales applicables, pour autant que et dès le moment où cette communication n’est pas susceptible de compromettre les missions qui incombent à ces autorités ».

91. L’article 32 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dispose, dans sa version applicable au litige que : « I. – La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant : 1° De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ; / 2° De la finalité poursuivie par le traitement auquel les données sont destinées […] V. – Les dispositions du I ne s’appliquent pas aux données recueillies dans les conditions prévues au III et utilisées lors d’un traitement mis en œuvre pour le compte de l’État et intéressant la sûreté de l’État, la défense, la sécurité publique ou ayant pour objet l’exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement ». Il résulte de ces dispositions que l’obligation d’information des personnes prévue par le I de cet article ne s’applique pas aux traitements mentionnés au V lorsqu’une telle limitation est nécessaire au respect des finalités poursuivies par ces traitements. En revanche, cette information est garantie dès lors qu’elle n’est plus susceptible de compromettre le respect des fins poursuivies par ces mêmes traitements. Ces dispositions doivent être regardées comme prévoyant, le cas échéant, l’information des personnes ayant fait l’objet d’un traitement de leurs données personnelles dans le cadre d’une des techniques de renseignement mentionnées aux articles L. 851-1 à L. 851-4 du Code de la sécurité intérieure pour autant que et dès le moment où cette communication n’est pas susceptible de compromettre les missions qui incombent aux services de renseignement, ainsi que l’exige la Cour de justice de l’Union européenne dans les motifs de son arrêt rappelés au point précédent. Il s’ensuit que les associations requérantes ne sont pas fondées à soutenir que les décrets attaqués méconnaîtraient le droit de l’Union, faute de prévoir une telle communication.

S’agissant des moyens dirigés contre des dispositions du Code de la sécurité intérieure qui ne relèvent pas du champ de la directive du 12 juillet 2002 :

Quant à la durée de conservation des données recueillies sur le fondement de l’article L. 851-1 par les services de renseignement :

92. Les associations requérantes soutiennent que l’article L. 822-2 du Code de la sécurité intérieure méconnaît la directive du 12 juillet 2002 en tant que la durée de conservation des données collectées par les services de renseignement sur le fondement de l’article L. 851-1 qu’il prévoit est excessive. L’article R. 851-6 inséré au Code de la sécurité intérieure par le décret du 29 janvier 2016 attaqué dispose que : « II. – Le groupement interministériel de contrôle enregistre et conserve dans les mêmes conditions de durée que celles prévues à l’article L. 822-2 pour les renseignements collectés, dans un traitement automatisé qu’il met en œuvre, les demandes tendant au recueil mentionné à l’article L. 851-1 ainsi que les décisions du Premier ministre ou de ses délégués relatives à ces demandes ». Aux termes de l’article L. 822-2 du Code de la sécurité intérieure dans sa rédaction applicable au litige : « I. – Les renseignements collectés par la mise en œuvre d’une technique de recueil de renseignement autorisée en application du chapitre Ier du présent titre sont détruits à l’issue d’une durée de : […] 3° Quatre ans à compter de leur recueil pour les informations ou documents mentionnés à l’article L. 851-1. / Pour ceux des renseignements qui sont chiffrés, le délai court à compter de leur déchiffrement. Ils ne peuvent être conservés plus de six ans à compter de leur recueil. / Dans une mesure strictement nécessaire aux besoins de l’analyse technique et à l’exclusion de toute utilisation pour la surveillance des personnes concernées, les renseignements collectés qui contiennent des éléments de cyberattaque ou qui sont chiffrés, ainsi que les renseignements déchiffrés associés à ces derniers, peuvent être conservés au-delà des durées mentionnées au présent I ».

93. En vertu de son article 1er, paragraphe 3, la directive du 12 juillet 2002 « ne s’applique pas aux activités qui ne relèvent pas du traité instituant la Communauté européenne […] et, en tout état de cause, aux activités concernant la sécurité publique, la défense, la sûreté de l’État (y compris la prospérité économique de l’État lorsqu’il s’agit d’activités liées à la sûreté de l’État) ou aux activités de l’État dans des domaines relevant du droit pénal ». Il en résulte clairement que les dispositions de l’article L. 822-2 du Code de la sécurité intérieure ne relèvent pas du champ d’application de cette directive dès lors qu’elles fixent la durée pendant laquelle les services de renseignement peuvent conserver les données collectées sur le fondement de l’article L. 851-1 du même code, sans régir les activités des fournisseurs de services de communications électroniques en leur imposant des obligations spécifiques. Ces dispositions ne sauraient donc être regardées comme mettant en œuvre le droit de l’Union européenne et, par suite, les moyens tirés de la méconnaissance de la directive du 12 juillet 2002 interprétée à la lumière de la charte des droits fondamentaux de l’Union européenne ne peuvent être utilement invoqués à leur encontre.

Quant au moyen tiré de l’insuffisance du contrôle de l’exploitation des données collectées par les services de renseignement et de celui de la collecte et de l’exploitation des données transmises par des services étrangers :

94. Les associations requérantes soutiennent qu’en ne prévoyant pas de contrôle de l’exploitation des données collectées par les services de renseignement sur le fondement du livre VIII du Code de la sécurité intérieure, d’une part, ni de contrôle de la conservation et de l’exploitation des données qui leur sont transmises par des services étrangers, d’autre part, les dispositions contestées méconnaissent le droit de l’Union européenne. Toutefois, il résulte clairement de l’article 1er, paragraphe 3 de la directive citée au point précédent que ni les règles relatives à l’exploitation par les services de renseignement des données collectées auprès des opérateurs ni celles relatives à la collecte et à l’exploitation par eux de données transmises par des services de renseignement étrangers ne régissent l’activité des fournisseurs de services de communications électroniques en leur imposant des obligations spécifiques. Il s’ensuit que ces règles ne sauraient être regardées comme mettant en œuvre le droit de l’Union européenne et que le moyen soulevé ne peut être utilement invoqué à l’encontre des dispositions attaquées.

Quant aux moyens tirés de l’inconventionnalité de l’article L. 854-1 du Code de la sécurité intérieure :

95. Les associations requérantes soutiennent à nouveau que l’article L. 854-1 du Code de la sécurité intérieure méconnaît le droit de l’Union européenne. Toutefois, ainsi que l’a jugé le Conseil d’État, statuant au contentieux, au point 21 de sa décision n° 394922 et autres du 26 juillet 2018, ces dispositions ne sauraient être regardées comme mettant en œuvre le droit de l’Union européenne et, par suite, les moyens tirés de la méconnaissance de la directive du 12 juillet 2002 interprétée à la lumière de la charte des droits fondamentaux de l’Union européenne ne peuvent être utilement invoqués à leur encontre.

En ce qui concerne les conséquences des illégalités affectant les décrets du 11 décembre 2015 et du 29 janvier 2016 :

96. Ainsi qu’il a été rappelé au point 66, la France était confrontée, à la date de publication des décrets attaqués, à une menace grave, réelle et actuelle pour sa sécurité nationale. Il ressort en outre des pièces du dossier que cette menace, dont les contours sont rappelés aux points 44 et 66, s’est maintenue à un niveau élevé entre cette date et celle de la présente décision. Il s’ensuit que, tout au long de cette période, le gouvernement pouvait légalement imposer aux opérateurs de communications électroniques, aux fournisseurs d’accès à internet et aux hébergeurs de contenu, la conservation généralisée et indifférenciée des données de trafic et de localisation aux fins de sauvegarde de la sécurité nationale.

97. Comme précisé aux points 74, 77, 80 et 83 de la présente décision, les articles L. 851-1, L. 851-2, L. 851-4 et le IV de l’article L. 851-3 méconnaissent le droit de l’Union européenne, faute pour la Commission nationale de contrôle des techniques de renseignement de disposer d’un pouvoir d’avis conforme. L’annulation des décrets attaqués en tant qu’ils permettent l’application de ces dispositions sans contrôle préalable par une autorité administrative indépendante dotée d’un pouvoir d’avis conforme ou une juridiction, en dehors des cas d’urgence dûment justifiée, ne saurait toutefois avoir pour conséquence d’entacher d’illégalité, pour le passé, l’usage par les services de renseignement des techniques prévues par ces articles que dans les hypothèses où le Premier ministre les aurait mises en œuvre, en dehors des cas d’urgence dûment justifiée, malgré un avis défavorable de la commission. Or, il ressort des rapports publics de la commission que l’avis rendu par celle-ci préalablement à la mise en œuvre de ces techniques de renseignement, bien qu’étant dépourvu d’effet contraignant, a été, dans les faits, systématiquement suivi par le Premier ministre. Il suit de là que l’annulation rétroactive des décrets attaqués, qui n’impliquerait par elle-même la suppression d’aucune donnée recueillie par les services de renseignement sur leur fondement, n’emporterait pas de conséquences manifestement excessives pas plus qu’elle ne priverait de garanties effectives les exigences constitutionnelles mentionnées au point 9.

98. Par ailleurs, l’annulation des décrets attaqués, compte tenu de sa portée, implique seulement, dans l’attente de l’intervention des textes nécessaires à la mise en conformité des dispositions du droit national avec le droit de l’Union européenne, qu’en cas d’avis défavorable de la Commission nationale de contrôle des techniques de renseignement, le Premier ministre ne pourra légalement autoriser la mise en œuvre des techniques de renseignement mentionnées aux articles L. 851-1, L. 851-2, L. 851-4 et au IV de l’article L. 851-3 avant l’intervention de la décision du Conseil d’État, qu’il appartiendra alors à la commission de saisir en application de l’article L. 833-8 du même code. Dans ces conditions, il n’y a pas lieu de différer dans le temps les effets de l’annulation ainsi prononcée.

IV. Sur les conclusions tendant à l’application des dispositions de l’article L. 761-1 du Code de justice administrative :

99. Il y a lieu de mettre à la charge de l’État la somme de 3 000 euros à verser à chacune des associations requérantes ainsi que la somme de 1 500 euros à verser aux sociétés Free Mobile et Free au titre de l’article L. 761-1 du Code de justice administrative.

Décide :

Article 1er : Sont annulées les décisions du Premier ministre refusant d’abroger l’article R. 10-13 du Code des postes et des communications électroniques et le décret du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne, en tant que ces dispositions réglementaires, d’une part, ne limitent pas les finalités de l’obligation de conservation généralisée et indifférenciée des données de trafic et de localisation autres que les données d’identité civile, les coordonnées de contact et de paiement, les données relatives aux contrats et aux comptes et les adresses IP à la sauvegarde de la sécurité nationale et, d’autre part, ne prévoient pas un réexamen périodique de l’existence d’une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale.

Article 2 : Il est enjoint au Premier ministre de procéder à cette abrogation dans un délai de six mois à compter de la présente décision.

Article 3 : Les décrets du 11 décembre 2015 et du 29 janvier 2016 sont annulés en tant seulement qu’ils permettent la mise en œuvre des dispositions des articles L. 851-1, L. 851-2, L. 851-4 et du IV de l’article L. 851-3 du Code de la sécurité intérieure sans contrôle préalable par une autorité administrative indépendante dotée d’un pouvoir d’avis conforme ou une juridiction, en dehors des cas d’urgence dûment justifiée.

Article 4 : La requête n° 394922 est rejetée.

Article 5 : L’État versera la somme de 3 000 euros à l’association La Quadrature du Net, 3 000 euros à l’association French Data Network, 3 000 euros à la Fédération des fournisseurs d’accès à internet associatifs, 3 000 euros à l’association Igwan.net, 1 500 euros à la société Free Mobile et 1 500 euros à la société Free au titre de l’article L. 761-1 du code de justice administrative.

Article 6 : Le surplus des conclusions des requêtes est rejeté.

(…)

CE, ass., 21 avr. 2021, no 393099

Le droit français impose aux opérateurs de télécommunication de conserver pendant 1 an toutes les données de connexion des utilisateurs pour les besoins du renseignement et des enquêtes pénales1. Ces « métadonnées », qui ne portent pas sur le contenu des échanges, comprennent trois catégories : les données d’identité qui permettent d’identifier l’utilisateur d’un moyen de communication électronique, les données relatives au trafic (« fadettes ») et les données de localisation qui elles résultent du « bornage » d’un appareil par l’antenne relais à laquelle il s’est connecté.

Des associations actives dans le domaine de la protection des données personnelles, qui reprochaient au gouvernement de ne pas se conformer à la jurisprudence de la Cour de justice de l’Union européenne (CJUE) qui limite les possibilités d’imposer une conservation de ces données, ont saisi le Conseil d’État de recours contre plusieurs décrets. Elles ont contesté des dispositions réglementaires imposant aux opérateurs de télécommunication de conserver de manière généralisée et indifférenciée, pour une durée de 1 an, les données de trafic et de localisation. Elles ont également contesté les dispositions réglementaires permettant aux services de renseignement d’avoir accès à ces données.

Le Conseil d’État, qui a décidé de surseoir à statuer, s’est adressé en 20182 à la CJUE pour l’inviter à préciser la portée des règles figurant dans la directive n° 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, dite directive Vie privée et communications électroniques ou ePrivacy3 ainsi que dans le règlement général sur la protection des données (RGPD).

Dans sa décision rendue le 6 octobre 2020, la grande chambre de la CJUE est venue détailler les limites des pouvoirs reconnus aux États membres de l’Union européenne s’agissant du traitement des données personnelles aux fins de sauvegarde de la sécurité nationale et de la lutte contre la criminalité4.

La CJUE a confirmé que le droit de l’Union européenne s’oppose à une réglementation nationale imposant à un fournisseur de services de communications électroniques, à des fins de lutte contre les infractions en général ou de sauvegarde de la sécurité nationale, la conservation généralisée et indifférenciée de données relatives au trafic et à la localisation. En revanche, dans des situations dans lesquelles un État membre ferait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, celui-ci aura alors la possibilité de déroger à l’obligation d’assurer la confidentialité des données afférentes aux communications électroniques. Il pourra effectivement imposer une conservation généralisée et indifférenciée de ces données pour une durée temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace.

À la suite des précisions apportées par la CJUE, le Conseil d’État statuant en assemblée du contentieux a été amené à examiner la conformité du cadre juridique français au droit de l’Union européenne. Dans sa décision – fleuve (39 pages) – rendue le 21 avril 2021, il a affirmé la primauté de la Constitution française sur le droit européen et a précisé qu’il lui appartient de vérifier que l’application de ce droit, tel que précisé par la CJUE, ne compromet pas en pratique des exigences constitutionnelles qui ne sont pas garanties de façon équivalente par le droit de l’Union européenne. Selon le juge administratif, la conservation généralisée des données de connexion imposée aux opérateurs de télécommunication par le droit français se trouve aujourd’hui justifiée par la menace existante pour la sécurité nationale et cela conformément aux dérogations autorisées par la CJUE. Le gouvernement sera contraint de justifier chaque année par décret motivé de la permanence de cette menace.

Après avoir rappelé la position de la Cour de justice de l’Union européenne relative à la conservation des données de connexion (I), nous verrons que le Conseil d’État s’est refusé à exercer un contrôle ultra vires (II).Nous observerons ensuite qu’il a souhaité affirmer la primauté du texte constitutionnel français sur le droit de l’Union européenne (III) et qu’il s’est livré à une interprétation de la jurisprudence de la CJUE lui permettant de concilier le respect du droit de l’Union européenne et l’efficacité de la lutte contre la criminalité (IV).

I – La décision de la Cour de justice de l’Union européenne du 6 octobre 2020

Dans son arrêt La Quadrature du Net et autres du 6 octobre 2020, la CJUE est venue répondre aux questions préjudicielles qui lui ont été posées par le Conseil d’État. Ce dernier lui avait notamment demandé si l’obligation de conservation généralisée et indifférenciée des données imposée aux opérateurs ne devait pas être regardée « dans un contexte marqué par des menaces graves et persistantes pour la sécurité nationale (…) comme une ingérence justifiée par le droit à la sûreté garanti à l’article 6 de la Charte des droits fondamentaux de l’Union européenne et les exigences de la sécurité nationale, dont la responsabilité incombe aux seuls États membres en vertu de l’article 4 du traité sur l’Union européenne ».

Il ressort de la décision La Quadrature du Net et autres que la CJUE ne revient pas sur son arrêt Tele2 Sverige5 du 21 décembre 2016 dans lequel elle avait clairement condamné le principe d’une conservation généralisée des données de connexion des utilisateurs des moyens de communications électroniques6.

L’arrêt La Quadrature du Net et autres du 6 octobre 2020 affirme que ces derniers « sont en droit de s’attendre, en principe, à ce que leurs communications et les données y afférentes restent, en l’absence de leur consentement, anonymes et ne puissent pas faire l’objet d’un enregistrement » (pt 109). Il indique que « la conservation des données relatives au trafic et des données de localisation à des fins policières est susceptible, à elle seule, de porter atteinte au droit au respect des communications, consacré à l’article 7 de la charte [des droits fondamentaux], et d’entraîner des effets dissuasifs sur l’exercice par les utilisateurs des moyens de communications électroniques de leur liberté d’expression, garantie à l’article 11 de celle-ci » (pt 118).Toutefois, selon la CJUE, ces droits fondamentaux « n’apparaissent pas comme étant des prérogatives absolues » et « doivent être pris en considération par rapport à leur fonction dans la société » (pt 120). Ils doivent donc être conciliés avec le droit à la sûreté.

Pour les juges de Luxembourg, la conservation généralisée et indifférenciée de données relatives au trafic et à la localisation ne peut être imposée aux opérateurs de télécommunication que pour les besoins de la sécurité nationale en cas de menace grave.

L’objectif de sauvegarde de la sécurité nationale est « susceptible de justifier des mesures comportant des ingérences dans les droits fondamentaux plus graves que celles que pourraient justifier [l]es autres objectifs » (pt 136).

La CJUE souligne que la directive Vie privée et communications électroniques du 12 juillet 2002 « ne s’oppose pas, en principe, à une mesure législative qui autorise les autorités compétentes à enjoindre aux fournisseurs de services de communications électroniques de procéder à la conservation des données relatives au trafic et des données de localisation de l’ensemble des utilisateurs des moyens de communications électroniques pendant une période limitée, dès lors qu’il existe des circonstances suffisamment concrètes permettant de considérer que l’État membre concerné fait face à une menace grave (…) pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible » (pt 137).

La décision faisant injonction aux fournisseurs de services de communications électroniques de procéder à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, doit « faire l’objet d’un contrôle effectif soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant » (pt 139). Cette décision ne peut être prise que « pour une période temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de cette menace » (pt 138).

Afin de lutter contre la criminalité grave ou de prévenir des menaces graves contre la sécurité publique, les États membres de l’Union européenne peuvent imposer « la conservation ciblée de données dans certaines zones ou pour certaines catégories de personnes pré-identifiées comme présentant des risques particuliers ». La CJUE exige que la conservation ciblée de données relatives au trafic et de données de localisation repose sur des « éléments objectifs et non discriminatoires ». Elle précise également que la durée des mesures de conservation ciblée des données « ne saurait dépasser celle qui est strictement nécessaire » (pt 151), un « renouvellement éventuel » étant envisageable en cas de persistance de la menace.

De plus, comme le prévoit la convention de Budapest sur la cybercriminalité du 23 novembre 20017, qui a été ratifiée par la France, les autorités nationales peuvent demander aux opérateurs de télécommunication de geler les données de trafic et de localisation relatives à une personne, pour les besoins d’une enquête pénale, sur une courte période (méthode dite de « conservation rapide » des données). La Cour de justice de l’Union européenne reconnaît aux États membres de l’Union européenne la « possibilité, au moyen d’une décision de l’autorité compétente soumise à un contrôle juridictionnel effectif, d’enjoindre aux fournisseurs de services de communications électroniques de procéder, pour une durée déterminée, à la conservation rapide des données relatives au trafic et des données de localisation dont ils disposent » (pt 163).

Enfin, on observera que, dans un arrêt du 2 mars 20218, la CJUE a confirmé l’interprétation de la directive ePrivacy qu’elle a donnée dans son arrêt La Quadrature du Net et autres. Elle a notamment jugé que « l’accès, à des fins pénales, à un ensemble de données de communications électroniques relatives au trafic ou à la localisation, permettant de tirer des conclusions précises sur la vie privée, n’est autorisé qu’en vue de lutter contre la criminalité grave ou de prévenir des menaces graves contre la sécurité publique »9.

II – Le refus du Conseil d’État d’exercer un contrôle ultra vires

La haute juridiction administrative n’a pas souhaité exercer un contrôle ultra vires. Elle a clairement refusé de contrôler que les organes de l’Union européenne, et notamment la CJUE, n’ont pas excédé leurs compétences.

Elle n’a pas suivi le gouvernement qui lui demandait de juger que l’arrêt La Quadrature du Net et autres de la CJUE du 6 octobre 2020 ne respecte pas la répartition des compétences entre l’Union européenne et ses États membres.

Dans ses conclusions rendues le 16 avril 2021, Alexandre Lallet, rapporteur public au Conseil d’État, a d’ailleurs évoqué le caractère inédit d’une telle demande : « Pour la première fois depuis la signature du traité de Rome, [le gouvernement] vous demande (…) de ne pas appliquer une décision de la Cour de justice de l’Union européenne » car il estime qu’elle « compromet purement et simplement l’exercice de leurs missions tant par les services de renseignement que par les services d’enquête judiciaire »10.

Le gouvernement a soutenu que « la réponse apportée par la Cour de justice de l’Union européenne aux questions préjudicielles qui lui étaient posées a manifestement méconnu le principe d’attribution prévu à l’article 5 du traité sur l’Union européenne (TUE) en empiétant sur les compétences appartenant aux États membres en vertu de l’article 4 paragraphe 2 de ce traité »11.

On rappellera que selon l’article 4, paragraphe 2, du TUE, « l’Union respecte l’égalité des États membres devant les traités et leur identité nationale inhérente à leurs structures fondamentales, politiques et constitutionnelles, y compris leur système d’autonomie locale et régionale. Elle respecte les fonctions essentielles de l’État, notamment celles de sauvegarder l’intégrité territoriale, de maintenir l’ordre public et de sauvegarder la sécurité nationale. En particulier, la sécurité nationale reste la responsabilité exclusive de chaque État membre ».

Dans son arrêt French Data Network et autres, le Conseil d’État a souligné qu’« il n’appartient pas au juge administratif de s’assurer du respect, par le droit dérivé de l’Union européenne ou par la Cour de justice elle-même, de la répartition des compétences entre l’Union européenne et les États membres » (pt 8). Il a indiqué qu’il « ne saurait ainsi exercer un contrôle sur la conformité au droit de l’Union des décisions de la Cour de justice et, notamment, priver de telles décisions de la force obligatoire dont elles sont revêtues, rappelée par l’article 91 de son règlement de procédure, au motif que celle-ci aurait excédé sa compétence en conférant à un principe ou à un acte du droit de l’Union une portée excédant le champ d’application prévu par les traités » (pt 8).

Ce faisant, la décision French Data Network et autres du juge administratif français se distingue de l’arrêt du 5 mai 2020 de la Cour constitutionnelle fédérale d’Allemagne (BVerfG) concernant le programme d’achat d’actifs du secteur public sur les marchés secondaires, dit « PSPP » de la Banque centrale européenne (BCE)12. En effet, dans cette célèbre décision, la Cour de Karlsruhe a écarté au titre de l’ultra vires la décision de la BCE portant sur le programme PSPP et l’arrêt Weiss de la CJUE du 11 décembre 2018 qui avait affirmé que ce programme n’enfreignait pas le droit de l’Union européenne13.

III – Le droit de l’Union européenne et les exigences constitutionnelles

Le Conseil d’État vient réaffirmer avec force que « la Constitution française demeure la norme suprême du droit national »14. Il souligne que « tout en consacrant l’existence d’un ordre juridique de l’Union européenne intégré à l’ordre juridique interne, (…) l’article 88-1 confirme la place de la Constitution au sommet de ce dernier » (pt 5).

Il précise également qu’« il appartient au juge administratif, s’il y a lieu, de retenir de l’interprétation que la Cour de justice de l’Union européenne a donné des obligations résultant du droit de l’Union la lecture la plus conforme aux exigences constitutionnelles autres que celles qui découlent de l’article 88-1, dans la mesure où les énonciations des arrêts de la Cour le permettent. Dans le cas où l’application d’une directive ou d’un règlement européen, tel qu’interprété par la Cour de justice de l’Union européenne, aurait pour effet de priver de garanties effectives l’une de ces exigences constitutionnelles, qui ne bénéficierait pas, en droit de l’Union, d’une protection équivalente, le juge administratif, saisi d’un moyen en ce sens, doit l’écarter dans la stricte mesure où le respect de la Constitution l’exige » (pt 5).

L’arrêt French data network et autres du 21 avril 2021 s’inscrit ici dans le sillage de la jurisprudence Arcelor. Dans son arrêt Arcelor, rendu le 8 février 200715, le Conseil d’État est venu définir les modalités de la conciliation du principe de suprématie de la Constitution avec l’exigence de transposition des directives européennes. Comme l’a rappelé Jean-Marc Sauvé, il a jugé que « pour examiner si un acte de transposition des dispositions précises et inconditionnelles d’une directive méconnaît un principe de valeur constitutionnelle, il doit d’abord rechercher si un principe similaire existe et se trouve effectivement protégé en droit de l’Union, auquel cas il lui revient de contrôler la conformité de la directive à ce principe, le cas échéant en posant une question préjudicielle à la Cour de justice de l’Union (…). Si, en revanche, le principe constitutionnel invoqué ne fait pas l’objet d’une protection effective en droit de l’Union, le juge administratif accepte de contrôler directement la conformité à la Constitution de l’acte contesté »16.

En l’espèce, l’État soutenait que les dispositions réglementaires, contestées au motif qu’elles seraient contraires au droit de l’Union européenne, ne sauraient être écartées sans priver de garanties effectives les objectifs de valeur constitutionnelle de sauvegarde des intérêts fondamentaux de la Nation, de prévention des atteintes à l’ordre public et de recherche des auteurs d’infractions pénales et de lutte contre le terrorisme.

L’arrêt French data network et autres du 21 avril 2021 rappelle que la sauvegarde des intérêts fondamentaux de la Nation, la prévention des atteintes à l’ordre public, la lutte contre le terrorisme ainsi que la recherche des auteurs d’infractions pénales sont des exigences constitutionnelles. Elles constituent « des objectifs de valeur constitutionnelle, nécessaires à la sauvegarde de droits et de principes de même valeur, qui doivent être conciliés avec l’exercice des libertés constitutionnellement garanties, au nombre desquelles figurent la liberté individuelle, la liberté d’aller et venir et le respect de la vie privée » (pt 9).

Le Conseil d’État observe que ces exigences constitutionnelles ne bénéficient pas en droit de l’Union européenne d’une « protection équivalente »17 à celle que garantit la Constitution du 4 octobre 1958 (pt 10). « Il doit donc s’assurer que les limites définies par la CJUE ne mettent pas en péril ces exigences constitutionnelles »18.

IV – L’interprétation de l’arrêt de la CJUE par le Conseil d’État

Le juge administratif n’a pas eu besoin de recourir à la fameuse clause de sauvegarde constitutionnelle, laquelle clause lui permet de vérifier si une disposition réglementaire adoptée en application d’une directive européenne respecte bien une exigence prévue par le droit constitutionnel français qui ne disposerait pas d’une « protection comparable » en droit de l’Union européenne.

Le Conseil d’État s’est appuyé sur la décision La Quadrature du Net et autres de la CJUE, qui précise les conditions très strictes dans lesquelles les États membres de l’Union européenne sont autorisés à déroger à l’obligation d’assurer la confidentialité des données afférentes aux communications électroniques en enjoignant aux services de communications électroniques une conservation généralisée et indifférenciée de ces données. Mais si le juge administratif a bien pris en compte l’arrêt La Quadrature du Net et autres de la CJUE, il ne l’a pas appliqué à la lettre.

A – La conservation généralisée des données de connexion justifiée par une menace existante pour la sécurité nationale

Le Conseil d’État a relevé que la conservation généralisée des données de connexion actuellement imposée aux opérateurs de télécommunication par le droit français est justifiée par une menace pour la sécurité nationale, comme cela est requis par la CJUE.

Il a considéré que cette menace est ininterrompue depuis les attentats de 2015. Elle « est, à la date de la présente décision, non seulement prévisible mais aussi actuelle ». Le juge administratif a constaté qu’elle procède d’abord « de la persistance d’un risque terroriste élevé ». Mais il a également indiqué que la France « est particulièrement exposée au risque d’espionnage et d’ingérence étrangère, en raison notamment de ses capacités et de ses engagements militaires et de son potentiel technologique et économique » et qu’elle est « confrontée à des menaces graves pour la paix publique, liées à une augmentation de l’activité de groupes radicaux et extrémistes » (pt 44).

S’agissant de la durée de conservation des données de connexion, le Conseil d’État a précisé qu’il ne ressort pas des pièces du dossier que « la durée de conservation de ces données, fixée à un an, ne serait pas strictement nécessaire aux besoins de la sauvegarde de la sécurité nationale » (pt 44).

Il est à noter que l’interprétation large de la notion de « menace » pour la sécurité nationale par le Conseil d’État a été critiquée par les associations requérantes. La Quadrature du Net, qui est l’une des associations à l’origine de la procédure initiée il y a 6 ans, a vu dans l’arrêt French data network et autres la consécration d’un « état d’urgence permanent »19.

Conformément aux exigences de la CJUE, le Conseil d’État a imposé au gouvernement de procéder, sous le contrôle du juge administratif, à un réexamen périodique de l’existence de la menace pour la sécurité nationale. Le gouvernement devra modifier les dispositions réglementaires contestées afin d’intégrer cette exigence de réévaluation régulière.

La décision du juge administratif a donné raison aux associations requérantes en annulant les décisions du Premier ministre refusant d’abroger l’article R. 10-13 du Code des postes et des communications électroniques 20 et le décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne. Il est enjoint au Premier ministre de procéder à l’abrogation de ces dispositions réglementaires dans un délai de 6 mois dans la mesure où elles « ne prévoient pas un réexamen périodique de l’existence d’une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale » et « ne limitent pas les finalités de l’obligation de conservation généralisée et indifférenciée des données de trafic et de localisation autres que les données d’identité civile, les coordonnées de contact et de paiement, les données relatives aux contrats et aux comptes et les adresses IP à la sauvegarde de la sécurité nationale ».

B – La conservation des données de connexion et la lutte contre les infractions pénales

Le Conseil d’État a jugé « illégale » l’obligation de conservation généralisée des données (hormis les données peu sensibles : état civil, adresse IP, comptes et paiements) pesant sur les opérateurs de télécommunication pour les besoins autres que ceux de la sécurité nationale, en particulier la poursuite des infractions pénales.

Pour ces infractions, le juge administratif a affirmé que la solution préconisée par la CJUE de conservation ciblée en amont des données n’est pas matériellement possible. Il a jugé que la conservation ciblée des données de certaines catégories de personnes ou recueillies dans certaines zones géographiques à risque « présenterait un intérêt opérationnel particulièrement incertain, dès lors qu’elle ne permettrait pas, y compris en cas de faits particulièrement graves, d’accéder aux données de connexion d’une personne suspectée d’une infraction qui n’aurait pas été préalablement identifiée comme étant susceptible de commettre un tel acte » (pt 54).

En revanche, la méthode de « conservation rapide » des données de trafic et des données de localisation autorisée par le droit de l’Union européenne « peut à ce jour s’appuyer sur le stock de données conservées de façon généralisée pour les besoins de la sécurité nationale, et peut être utilisée pour la poursuite des infractions pénales »21.

En ce qui concerne la distinction établie par la CJUE entre la « criminalité grave » et la « criminalité ordinaire », pour laquelle aucune conservation ou utilisation de données de connexion n’est autorisée, le Conseil d’État a rappelé que « le principe de proportionnalité entre gravité de l’infraction et importance des mesures d’enquête mises en œuvre, qui gouverne la procédure pénale, justifie également que le recours aux données de connexion soit limité aux poursuites d’infractions d’un degré de gravité suffisant »22.

Selon le Conseil d’État, la décision de la CJUE n’oblige pas le législateur à énumérer les infractions relevant du champ de la criminalité grave en se référant à « des catégories strictement prédéfinies en droit interne ». « Le rattachement d’une infraction pénale à la criminalité grave a (…) vocation à s’apprécier de façon concrète, sous le contrôle du juge pénal, au regard de la nature de l’infraction commise et de l’ensemble des faits de l’espèce » (pt 38).

C – L’accès des services de renseignement aux données de connexion

S’agissant de l’exploitation des données de connexion par les services de renseignement, le Conseil d’État a constaté que le contrôle préalable par une autorité administrative indépendante prévu par le droit français n’est pas suffisant, dans la mesure où l’avis émis par la Commission nationale de contrôle des techniques de renseignement (CNCTR)23 avant toute autorisation n’est qu’un avis consultatif. Le cadre réglementaire existant devra donc être modifié dans un délai de 6 mois afin d’attribuer un caractère contraignant aux avis rendus par la CNCTR. Le Conseil d’État qui a suivi la jurisprudence de la CJUE, a jugé que le droit national doit « être modifié, même si, en pratique, le Premier ministre n’a jamais outrepassé un avis défavorable de la CNCTR pour l’accès des services de renseignement à des données de connexion ».

Il a annulé les décrets du 11 décembre 2015 et du 29 janvier 2016 dans la mesure où ils permettent « la mise en œuvre des dispositions des articles L. 851-1, L. 851-2, L. 851-4 et du IV de l’article L. 851-3 du Code de la sécurité intérieure sans contrôle préalable par une autorité administrative indépendante dotée d’un pouvoir d’avis conforme ou une juridiction, en dehors des cas d’urgence dûment justifiée ».

On notera qu’en 2015, lors du débat au Parlement concernant le projet de loi relatif au renseignement, des parlementaires n’étaient pas parvenus à faire adopter des amendements donnant à la CNCTR le pouvoir de donner un avis conforme. Ainsi, l’Assemblée nationale avait rejeté un amendement visant à octroyer à la CNCTR « un véritable pouvoir de contrôle, en exigeant que son avis lie le gouvernement au lieu d’être simplement consultatif »24.

En conclusion, il apparaît que cette décision très attendue du Conseil d’État est particulièrement importante car elle permet de concilier la protection des droits fondamentaux et l’accès aux données de connexions par les autorités compétentes à des fins de sécurité nationale et de lutte contre la criminalité. On retiendra que la plus haute juridiction administrative a refusé d’exercer un contrôle ultra vires à l’allemande qui aurait entraîné une guerre ouverte avec les juges de Luxembourg. Mais elle a néanmoins opté pour un « dialogue rugueux »25 avec la CJUE et a souligné l’inefficacité de certaines solutions proposées par la Cour de justice de l’Union européenne. Ce faisant, force est constater que la décision French data network et autres du Conseil d’État se distingue nettement de la décision de la Cour constitutionnelle belge du 22 avril 202126. Celle-ci a fait une lecture très différente de l’arrêt La Quadrature du Net et autres de la CJUE en annulant les dispositions de la loi belge du 29 mai 2016 qui imposaient une conservation généralisée et indifférenciée des données de connexion27.

Notes de bas de pages

1.
Ces données de connexion sont devenues un élément essentiel pour les enquêtes pénales, quatre enquêtes sur cinq reposant sur l’exploitation de ces données. En 2020, 2,5 millions de réquisitions judiciaires ont été transmises aux plateformes des opérateurs contre 1,8 million en 2017 (V. les conclusions du rapporteur public Alexandre Lallet, avr. 2021, p. 2).
2.
CE, 26 juill. 2018, nos 394922, 394925, 397844 et 397851, Quadrature du Net et a. et Igwan.net.
3.
Cette directive n° 2002/58/CE du 12 juillet 2002, modifiée par la directive n° 2009/136/CE du 25 novembre 2009, a été transposée en droit français par l’ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques.
4.
CJUE, 6 oct. 2020, nos C-511/18, C-512/18 et C-520/18, La Quadrature du Net et a.
5.
CJUE, 21 déc. 2016, n° C-203/15. Cette décision a été critiquée par le rapport qui a été rendu par la mission d’information parlementaire sur l’évaluation de la loi du 24 juillet 2015 relative au renseignement. Selon la mission d’information, la décision Tele2 Sverige « s’apparente à un hold-up jurisprudentiel de la Cour de justice de l’Union européenne qui a débordé de sa compétence en méconnaissance des stipulations du Traité sur l’Union européenne, réservant la sécurité nationale à la compétence des États membres ». Elle est « une épée de Damoclès pour les services de renseignement » (V. rapp. AN n° 3069, 10 juin 2020).
6.
Dans cet arrêt Tele2 Sverige, la grande chambre de la CJUE a affirmé que le droit de l’UE s’oppose « à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ». Cette décision s’inscrit dans le prolongement de l’arrêt Digital Rights Ireland du 8 avril 2014 de la CJUE qui avait invalidé la directive n° 2006/24/CE du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications. Ce texte obligeait les opérateurs de télécommunication à conserver les données relatives aux communications de leurs abonnées pour une « durée minimale de six mois et maximale de deux ans » en vue de leur exploitation « à des fins de recherche, de détection et de poursuite d’infractions graves ».
7.
Le décret portant publication de cette convention du Conseil de l’Europe a été publié au Journal Officiel du 24 mai 2006 (D. n° 2006-580, 23 mai 2006, portant publication de la Convention sur la cybercriminalité, faite à Budapest le 23 novembre 2001 : JO, 24 mai 2006, p. 7568).
8.
CJUE, 2 mars 2021, n° C-746/18, H. K. c/ Prokuratuur.
9.
CJUE, 2 mars 2021, communiqué de presse n° 29/21.
10.
V. les conclusions du rapporteur public Alexandre Lallet, avr. 2021, p. 23.
11.
Le gouvernement a également fait valoir que cette réponse de la CJUE n’était pas de nature « à garantir l’effectivité des objectifs de valeur constitutionnelle de sauvegarde des intérêts fondamentaux de la Nation, de prévention des infractions et de recherche des auteurs d’infractions pénales et de lutte contre le terrorisme, composante de l’objectif de valeur constitutionnelle de protection de l’ordre public ».
12.
BVerfG, 5 mai 2020, 2 BvR 859/15, 2 BvR 1651/15, 2 BvR 2006/15, 2 BvR 980/16.
13.
V. J.-C. Zarka, « L’arrêt du 5 mai 2020 de la Cour constitutionnelle fédérale d’Allemagne concernant le programme PSPP de la Banque centrale européenne », LPA 3 juill. 2020, n° 154f6, p. 7.
14.
CE, 21 avr. 2021, communiqué de presse.
15.
CE, 8 févr. 2007, n° 287110, Sté Arcelor Atlantique et Lorraine et a. : Lebon, p. 56.
16.
Discours prononcé le 19 octobre 2017 par Jean-Marc Sauvé, alors vice-président du Conseil d’État, au Congrès du 25e anniversaire de l’Académie de droit européen (ERA) à Trèves : « L’autorité du droit de l’Union européenne : le point de vue des juridictions constitutionnelles et suprêmes », disponible à l’adresse suivante : https://lext.so/qFfn37.
17.
V. F.-X. Millet, « Réflexions sur la notion de protection équivalente des droits fondamentaux », RFDA 2012, p. 307.
18.
CE, 21 avr. 2021, communiqué de presse.
19.
V. J.-B. Jacquin, « Le Conseil d’État autorise la conservation des données de connexion », Le Monde, 23 avr. 2021.
20.
L’actuel article R. 10-13 du Code des postes et des communications électroniques contraint les opérateurs de communications électroniques à conserver pendant 1 an « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales », un certain nombre de données de leurs clients.
21.
CE, 21 avr. 2021, communiqué de presse.
22.
CE, 21 avr. 2021, communiqué de presse.
23.
Créée par la loi n° 2015-912 du 24 juillet 2015 relative au renseignement, la CNCTR qui est composée de magistrats, de parlementaires et d’une personnalité qualifiée, est chargée du contrôle externe de la légalité de l’activité des services de renseignement.
24.
V. amendement n° 289, 9 avr. 2015, sur le projet de loi relatif au renseignement, déposé par des députés du groupe socialiste, écologiste et républicain, disponible à l’adresse suivante : https://lext.so/FaRvM_.
25.
Pour reprendre l’expression du vice-président du Conseil d’État, Bruno Lasserre (V. J.-B. Jacquin, « Le Conseil d’État autorise la conservation des données de connexion », Le Monde, 23 avr. 2021).
26.
Cour const. belge, 22 avr. 2021, n° 57/2021.
27.
V. M.-C. de Montecler, « Conservation des données : la Cour constitutionnelle belge donne sa lecture de l’arrêt La Quadrature du net », AJDA 2021, p. 897.

Référence : AJU001a6

Plan

Partager cet article