Il ajoute toutefois que, tant que la France sera soumise à une menace grave actuelle ou prévisible
sur sa sécurité nationale, le mécanisme de conservation rapide pourra s’appliquer aux données
conservées à ce titre. Aussi, tant que cette menace perdure, l’autorité judiciaire et les autorités
administratives indépendantes disposant d’un droit d’accès aux données de connexion en vertu
de la loi en vue de lutter contre les manquements graves aux règles dont elles ont la charge
d’assurer le respect sont donc en mesure d’accéder aux données nécessaires à la poursuite et à
la recherche des auteurs d’infractions pénales dont la gravité le justifie. Par conséquent, en l’état
actuel de la menace, il n’y a pas lieu de considérer que la mise à l’écart des dispositions
législatives qui imposent une conservation généralisée et indifférenciée des données de
connexion à des fins judiciaires, au motif qu’elles seraient contraires au droit de l’Union
européenne, priverait de garanties effectives les objectifs de valeur constitutionnelle invoqués.
2.
NECESSITE DE LEGIFERER ET OBJECTIFS POURSUIVIS
Dans sa décision précitée, le Conseil d’État désigne plusieurs dispositions législatives qui sont
contraires au droit de l’Union européenne et qu’il appartient, par conséquent, au législateur de
modifier.
Il s’agit tout d’abord des dispositions des articles L. 34-1 du CPCE et de l’article 6 de la LCEN
qui fixent les motifs pour lesquels les opérateurs et les fournisseurs d’accès à internet peuvent
différer l’effacement des données de connexion, et donc de les conserver de manière généralisée
et indifférenciée hors cas de menace grave, actuelle ou prévisible sur la sécurité nationale. Cela
concerne en particulier le III de l’article L. 34-1 qui impose cette conservation notamment pour
les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, ou d'un
manquement à l'obligation de respect du droit d’auteur sur internet ou pour les besoins de la
prévention des atteintes aux systèmes de traitement automatisé de données prévues et réprimées
par les articles 323-1 à 323-3-1 du code pénal.
Par ailleurs, la CJUE et le Conseil d’État ayant précisé le cadre juridique permettant de procéder
à la conservation généralisée et indifférenciée des données de connexion, en cas de menace
grave, il convient que le législateur en tire les conséquences, au moyen d’une disposition précise
et encadrée.
En outre, il importe de prévoir que les autorités qui disposent actuellement, en vertu de la loi,
d’un droit d’accès aux données de connexion conservées par les opérateurs, peuvent enjoindre
une « conservation rapide » de ces données, dans une finalités de répression de la criminalités
graves ou des manquements graves aux règles dont elles ont la charge d’assurer le respect.
Enfin, il convient également de préciser les catégories de données de connexion pouvant être
conservées de manière plus large au regard de leur nature, à savoir les informations relatives à
l’identité des utilisateurs, les informations fournies lors de la souscription du contrat et les
adresses IP.
210