Conseil d'État, Assemblée, 21/04/2021, 393099, P...
https://www.legifrance.gouv.fr/ceta/id/CETATEXT...
peuvent faire l'objet, sans limitation de durée, d'une conservation généralisée et indifférenciée pour les besoins de toute procédure
pénale, de la prévention de toute menace contre la sécurité publique et de la sauvegarde de la sécurité nationale. Il suit de là que
l'article R. 10-13 du code des postes et des communications électroniques et l'article 1er du décret du 25 février 2011, en tant qu'ils
prévoient l'obligation pour les opérateurs de conserver de telles données, ne sont pas contraires au droit de l'Union européenne.
36. En outre, il résulte clairement de la directive du 12 juillet 2002 et du RGPD qu'ils ne s'opposent pas à une obligation de
conservation généralisée et indifférenciée, pour une durée d'un an, des informations autres que celles relatives à l'identité civile
fournies lors de la souscription d'un contrat par un utilisateur ou lors de la création d'un compte, d'une part, et des données relatives
aux paiements, d'autre part, mentionnées respectivement aux 3° et 4° de l'article 1er du décret du 25 février 2011.
S'agissant de la conservation générale et indifférenciée des adresses IP :
37. Il résulte de l'arrêt de la Cour de justice précité que, dans la mesure où elles ne révèlent aucune information sur les tierces
personnes ayant été en contact avec la personne à l'origine de la communication, et où elles peuvent constituer le seul moyen
d'investigation permettant l'identification de la personne à laquelle cette adresse était attribuée au moment de la commission de cette
infraction, les adresses IP attribuées à la source d'une connexion peuvent faire l'objet d'une obligation de conservation généralisée et
indifférenciée à des fins de lutte contre la criminalité grave ou de prévention des menaces graves contre la sécurité publique, pour une
période temporellement limitée au strict nécessaire.
38. Si la conservation généralisée et indifférenciée des adresses IP ne saurait être justifiée par les besoins de la lutte contre l'ensemble
des infractions pénales, il ne résulte pas des énonciations de l'arrêt de la Cour de justice de l'Union européenne que le législateur
serait tenu d'énumérer les infractions relevant du champ de la criminalité grave en se référant à des catégories strictement prédéfinies
en droit interne. Le rattachement d'une infraction pénale à la criminalité grave a donc vocation à s'apprécier de façon concrète, sous le
contrôle du juge pénal, au regard de la nature de l'infraction commise et de l'ensemble des faits de l'espèce. Une obligation de
conservation généralisée et indifférenciée des adresses IP peut ainsi être imposée aux opérateurs, dès lors que les conditions d'accès
à ces données par les services d'enquête sont fixées en fonction de la gravité des infractions susceptibles de le justifier, dans le
respect du principe de proportionnalité, lequel fait partie des principes généraux du droit de l'Union européenne.
39. Les associations requérantes soutiennent que les dispositions attaquées relatives à la conservation des adresses IP
méconnaissent le droit de l'Union européenne dès lors qu'elles ne circonscrivent pas cette conservation aux seules fins de lutte contre
la criminalité grave. Or, aux termes de l'article préliminaire du code de procédure pénale : " Au cours de la procédure pénale, les
mesures portant atteinte à la vie privée d'une personne ne peuvent être prises, sur décision ou sous le contrôle effectif de l'autorité
judiciaire, que si elles sont, au regard des circonstances de l'espèce, nécessaires à la manifestation de la vérité et proportionnées à la
gravité de l'infraction ". Conformément au principe de proportionnalité consacré par cet article, l'obligation de conservation résultant du
III de l'article L. 34-1 du code des postes et des communications électroniques et du II de l'article 6 de la loi du 21 juin 2004 n'est donc
imposée aux opérateurs, sous le contrôle des juridictions compétentes, que pour les besoins de la recherche, de la constatation et de
la poursuite d'infractions pénales susceptibles de présenter un degré de gravité suffisant pour justifier l'ingérence dans les droits
protégés par les articles 4, 7 et 11 de la Charte des droits fondamentaux de l'Union européenne. Seules de telles infractions pouvant
légalement justifier l'accès des services d'enquêtes aux données conservées par les opérateurs, il s'ensuit que la conservation des
adresses IP imposée de façon généralisée et indifférenciée aux opérateurs ne saurait être regardée comme méconnaissant les
exigences de la directive du 12 juillet 2002.
40. En outre, il résulte du III de l'article R. 10-13 du code des postes et des communications électroniques et de l'article 3 du décret du
25 février 2011 que les adresses IP ne peuvent être conservées qu'un an. Il ne ressort pas des pièces du dossier que cette durée de
conservation ne serait pas strictement nécessaire aux besoins de la lutte contre la criminalité grave et de la prévention des menaces
graves pour la sécurité publique.
41. Il résulte de ce qui précède que l'article R. 10-13 du code des postes et des communications électroniques et le décret du 25 février
2011, en tant qu'ils prévoient une obligation de conservation généralisée et indifférenciée des adresses IP, ne sont pas contraires au
droit de l'Union européenne.
S'agissant de la conservation générale et indifférenciée des données de trafic et de localisation autres que les adresses IP :
42. Ainsi qu'il a été dit au point 31, la Cour a dit pour droit que la directive ne s'opposait pas à ce que des mesures législatives
permettent, aux fins de sauvegarde de la sécurité nationale, d'imposer aux opérateurs la conservation généralisée et indifférenciée des
données de trafic et des données de localisation, sous réserve qu'une décision soumise à un contrôle effectif constate l'existence d'une
menace grave pour la sécurité nationale qui s'avère réelle et actuelle ou prévisible, pour une durée limitée au strict nécessaire, mais
renouvelable en cas de persistance de la menace. Il ressort en outre du point 135 de son arrêt du 6 octobre 2020 que la responsabilité
des Etats membres en matière de sécurité nationale, au sens du droit de l'Union, correspond à l'intérêt primordial de protéger les
fonctions essentielles de l'Etat et les intérêts fondamentaux de la société, et inclut la prévention et la répression d'activités de nature à
déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d'un pays, et en particulier
à menacer directement la société, la population ou l'Etat en tant que tel, telles que notamment des activités de terrorisme.
Quant à la conservation générale et indifférenciée de ces données de connexion aux fins de sauvegarde de la sécurité nationale :
10 of 28
12/7/21, 10:17 AM