Conseil d'État, Assemblée, 21/04/2021, 393099, P...
https://www.legifrance.gouv.fr/ceta/id/CETATEXT...
43. En premier lieu, les dispositions citées aux points 16, 18 et 19 imposent la conservation généralisée et indifférenciée, pour une
durée d'un an, des données énumérées à l'article R. 10-13 du code des postes et des communications électroniques et à l'article 1er
du décret du 25 février 2011 en vue de défendre et de promouvoir les intérêts fondamentaux de la Nation énumérés à l'article L. 811-3
du code de la sécurité intérieure, de même que pour les besoins de la recherche, de la constatation et de la poursuite d'infractions qui
mettent en cause la sécurité nationale, notamment les atteintes aux intérêts fondamentaux de la Nation figurant au titre Ier du livre IV
du code pénal et le terrorisme réprimé par les dispositions de son titre II. Dans cette mesure, cette obligation de conservation imposée
aux opérateurs, mise en oeuvre par des dispositions à caractère réglementaire susceptibles de faire l'objet d'un recours pour excès de
pouvoir devant le juge administratif, assorti, le cas échéant, d'une demande de suspension de leurs effets sur le fondement de l'article
L. 521-1 du code de justice administrative, ou d'un référé fondé sur l'article L. 521-2 du même code, est justifiée, dans son principe, par
l'objectif de sauvegarde de la sécurité nationale.
44. En deuxième lieu, il ressort des pièces du dossier, notamment des mesures d'instruction diligentées par la dixième chambre de la
section du contentieux, que la France est confrontée à une menace pour sa sécurité nationale, appréciée au regard de l'ensemble des
intérêts fondamentaux de la Nation listés à l'article L. 811-3 du code de la sécurité intérieure cité au point 19 qui, par son intensité,
revêt un caractère grave et réel. Cette menace est, à la date de la présente décision, non seulement prévisible mais aussi actuelle.
Cette menace procède d'abord de la persistance d'un risque terroriste élevé, ainsi qu'en témoigne notamment le fait que sont
survenues sur le sol national au cours de l'année 2020 six attaques abouties ayant causé sept morts et onze blessés. Deux nouveaux
attentats ont déjà été déjoués en 2021. Le plan Vigipirate a été mis en oeuvre au niveau " Urgence attentat " entre le 29 octobre 2020
et le 4 mars 2021 puis au niveau " Sécurité renforcée - risque attentat " depuis le 5 mars 2021, attestant d'un niveau de menace
terroriste durablement élevé sur le territoire. Par ailleurs, la France est particulièrement exposée au risque d'espionnage et d'ingérence
étrangère, en raison notamment de ses capacités et de ses engagements militaires et de son potentiel technologique et économique.
De nombreuses entreprises françaises, tant des grands groupes que des petites et moyennes entreprises, font ainsi l'objet d'actions
malveillantes, visant leur savoir-faire et leur potentiel d'innovation, à travers des opérations d'espionnage industriel ou scientifique, de
sabotage, d'atteintes à la réputation ou de débauchage d'experts. La France est également confrontée à des menaces graves pour la
paix publique, liées à une augmentation de l'activité de groupes radicaux et extrémistes. Ces menaces sont de nature à justifier
l'obligation de conservation généralisée et indifférenciée des données de connexion listées à l'article R. 10-13 du code des postes et
des communications électroniques autres que les données relatives à l'identité civile et aux adresses IP. En outre, il ne ressort pas des
pièces du dossier que la durée de conservation de ces données, fixée à un an, ne serait pas strictement nécessaire aux besoins de la
sauvegarde de la sécurité nationale.
45. En troisième lieu, toutefois, ni l'article L. 34-1 du code des postes et des communications électroniques, ni l'article 6 de la loi du 21
juin 2004 pour la confiance dans l'économie numérique ne prévoient un réexamen périodique, au regard des risques pour la sécurité
nationale, de la nécessité de maintenir l'obligation faite aux personnes concernées de conserver les données de connexion. Les
dispositions de ces articles, ainsi, par suite, que celles de l'article R. 10-13 du code des postes et des communications électroniques et
du décret du 25 février 2011, en tant qu'elles ne subordonnent pas le maintien en vigueur de cette obligation au constat, à échéance
régulière, qui ne saurait raisonnablement excéder un an, de la persistance d'une menace grave, réelle et actuelle ou prévisible, pour la
sécurité nationale sont, dans cette mesure, contraires au droit de l'Union européenne. Par ailleurs, le fait d'imposer aux pouvoirs
publics un tel réexamen n'affecte pas, par lui-même, les exigences constitutionnelles mentionnées au point 9.
46. Il résulte de ce qui précède que, s'agissant de l'objectif de sauvegarde de la sécurité nationale, le refus d'abroger l'article R. 10-13
du code des postes et des communications électroniques et l'article 1er du décret du 25 février 2011 doit être annulé en tant seulement
que leurs dispositions ne prévoient pas un réexamen périodique de l'existence d'une menace grave, réelle et actuelle ou prévisible
pour la sécurité nationale, s'agissant des données qu'elles mentionnent autres que celles afférentes à l'identité civile, aux comptes et
aux paiements des utilisateurs et aux adresses IP. Il y a lieu d'enjoindre au Gouvernement de compléter ces dispositions dans un délai
de six mois à compter de la présente décision. Dans la mesure où il résulte de la présente décision, ainsi qu'il a été dit au point 44, que
la réalité et la gravité de la menace pesant sur la sécurité nationale justifient l'obligation de conservation généralisée et indifférenciée
de l'ensemble des données de connexion à cette fin, les opérateurs ne sauraient, avant l'expiration de ce délai, se soustraire à cette
obligation et aux sanctions dont sa méconnaissance est assortie au motif que la durée de l'injonction qui leur est faite n'a pas été
limitée dans le temps par le pouvoir réglementaire.
Quant à la conservation générale et indifférenciée de ces données de connexion aux fins de lutte contre la criminalité et de prévention
des menaces à l'ordre public :
47. Les dispositions mentionnées aux points 16 et 18 organisent également la conservation généralisée et indifférenciée des données
de connexion pour les besoins de la recherche, de la constatation et de la poursuite d'infractions pénales, ou de manquements à
certaines législations particulières, ne mettant pas en jeu la sécurité nationale.
48. Ainsi qu'il a été rappelé aux points 30 à 34, le droit de l'Union européenne, tel qu'interprété par la Cour de justice, s'oppose à une
obligation de conservation généralisée et indifférenciée des données de connexion, autres que celles d'identification des utilisateurs et
les adresses IP, aux fins de lutte contre la criminalité et la prévention des menaces pour la sécurité publique, quel que soit le degré de
gravité de cette criminalité ou de ces menaces.
49. Le Premier ministre soutient en défense que l'obligation pour le juge d'écarter les dispositions du droit national imposant une
conservation généralisée et indifférenciée des données de connexion pour des finalités autres que de sauvegarde de la sécurité
nationale priverait de garanties effectives les objectifs de valeur constitutionnelle de prévention des atteintes à l'ordre public,
11 of 28
12/7/21, 10:17 AM