Conseil d'État, Assemblée, 21/04/2021, 393099, P...
https://www.legifrance.gouv.fr/ceta/id/CETATEXT...
techniquement envisageable, ferait ainsi obstacle à l'action des services d'enquête dans les autres parties du territoire national lorsque
de telles infractions y seraient commises. Enfin, aucune présomption de dangerosité ne saurait être légalement retenue à l'encontre de
personnes en fonction de leur lieu de résidence ou d'activité professionnelle pour justifier la conservation de leurs données de trafic et
de localisation. Une différence de traitement instaurée sur ces fondements serait contraire au principe constitutionnel d'égalité devant la
loi.
55. En quatrième lieu, la Cour de justice a admis, au regard de la directive 2002/58 et du RGPD, le recours à une injonction faite aux
fournisseurs de services de communications électroniques, par le biais d'une décision de l'autorité compétente soumise à un contrôle
juridictionnel effectif, de procéder, pour une durée déterminée, à la conservation rapide des données de trafic et des données de
localisation dont disposent ces fournisseurs de services, au sens de l'article 16 de la convention sur la cybercriminalité, faite à
Budapest le 23 novembre 2001. Les stipulations de cette convention, à laquelle la France est partie, lui font obligation d'adopter les
mesures nécessaires pour permettre à ses autorités, aux fins d'enquêtes et de procédures pénales et en vue d'assurer la collecte des
preuves électroniques de toute infraction pénale, d'ordonner ou d'imposer d'une autre manière la conservation rapide de données de
trafic, stockées au moyen d'un système informatique, et, en particulier pour obliger la personne qui les détient ou les contrôle à
conserver et protéger l'intégrité de ces données pendant une durée aussi longue que nécessaire, au maximum de quatre-vingt-dix
jours, le cas échéant renouvelable, afin de permettre aux autorités compétentes d'obtenir leur divulgation. Selon la Cour de justice, une
telle conservation rapide peut non seulement porter sur les données des personnes concrètement soupçonnées d'avoir projeté ou
commis une infraction pénale ou une atteinte à la sécurité nationale, mais aussi sur les données d'autres personnes, pour autant
qu'elles peuvent, sur la base d'éléments objectifs et non discriminatoires, contribuer à l'élucidation de cette infraction ou de cette
atteinte à la sécurité nationale, telles que les données de la victime de celle-ci et de son entourage social ou professionnel, ou encore
des données relatives à des zones géographiques déterminées, telles que les lieux de la commission et de la préparation de
l'infraction. Au point 164 de sa décision, la Cour précise ainsi que : " Dans la mesure où la finalité d'une telle conservation rapide ne
correspond plus à celles pour lesquelles les données ont été collectées et conservées initialement et où tout traitement de données
doit, en vertu de l'article 8, paragraphe 2, de la Charte, répondre à des fins déterminées, les États membres doivent préciser, dans leur
législation, la finalité pour laquelle la conservation rapide des données peut avoir lieu. Eu égard au caractère grave de l'ingérence dans
les droits fondamentaux consacrés aux articles 7 et 8 de la Charte qu'est susceptible de comporter une telle conservation, seule la lutte
contre la criminalité grave et, a fortiori, la sauvegarde de la sécurité nationale sont de nature à justifier cette ingérence. En outre, afin
d'assurer que l'ingérence que comporte une mesure de ce type soit limitée au strict nécessaire, il convient, d'une part, que l'obligation
de conservation porte sur les seules données de trafic et données de localisation susceptibles de contribuer à l'élucidation de
l'infraction pénale grave ou de l'atteinte à la sécurité nationale concernée. D'autre part, la durée de conservation des données doit être
limitée au strict nécessaire, celle-ci pouvant néanmoins être prolongée lorsque les circonstances et l'objectif poursuivi par ladite mesure
le justifient ". Il s'ensuit que, lorsqu'est en cause une infraction suffisamment grave pour justifier l'ingérence dans la vie privée induite
par la conservation des données de connexion, dans le respect du principe de proportionnalité rappelé aux points 38 et 39, l'autorité
judiciaire peut, sans méconnaître ni la directive du 12 juillet 2002, ni le RGPD, enjoindre aux opérateurs de communications
électroniques, aux fournisseurs d'accès à internet et aux hébergeurs de sites internet de procéder à la conservation rapide des
données de trafic et de localisation qu'ils détiennent, soit pour leurs besoins propres, soit au titre d'une obligation de conservation
imposée aux fins de sauvegarde de la sécurité nationale.
56. La conservation rapide des données de connexion est ainsi de nature à faire obstacle à la disparition des informations nécessaires
à la recherche, à la constatation et à la poursuite des auteurs d'infractions pénales à compter de la date et de l'heure à laquelle il est
enjoint à un opérateur d'y procéder, à la suite de la commission d'une infraction ou du recueil d'éléments donnant à penser qu'une telle
infraction est projetée, ainsi qu'à l'effacement ou à l'anonymisation des données relatives à des communications antérieures
lorsqu'elles ont été conservées par les opérateurs. Cependant, sur ce dernier point, l'efficacité du dispositif est subordonnée à la
condition que les données aient été effectivement conservées. A défaut, la conservation rapide ne permet pas aux services d'enquête
et à l'autorité judiciaire d'exploiter des données relatives aux communications effectuées avant qu'elle soit ordonnée.
57. Il résulte de ce qui précède que ni l'accès aux données de connexion conservées volontairement par les opérateurs, ni la possibilité
de leur imposer une obligation de conservation ciblée, ni le recours à la technique de la conservation rapide ne permettent, par euxmêmes, de garantir le respect des objectifs de valeur constitutionnelle de prévention des atteintes à l'ordre public, notamment celle des
atteintes à la sécurité des personnes et des biens, ainsi que de recherche des auteurs d'infractions, notamment pénales. Toutefois,
d'une part, à la date de la présente décision, l'état des menaces pesant sur la sécurité nationale rappelées au point 44 justifie
légalement que soit imposée aux opérateurs la conservation générale et indifférenciée des données de connexion. D'autre part, la
conservation rapide des données susceptibles de contribuer à la recherche, la constatation et la poursuite des infractions pénales,
dans le respect du principe de proportionnalité prévu par le code de procédure pénale conformément à ce qui a été rappelé au point
39, est possible dans les conditions prévues par la directive du 12 juillet 2002 et le RGPD, y compris, comme l'a jugé la Cour ainsi qu'il
a été rappelé au point 55, lorsque cette conservation rapide porte sur des données initialement conservées aux fins de sauvegarde de
la sécurité nationale. L'autorité judiciaire est donc en mesure d'accéder aux données nécessaires à la poursuite et à la recherche des
auteurs d'infractions pénales dont la gravité le justifie. Le même principe s'applique nécessairement aux autorités administratives
indépendantes disposant d'un droit d'accès aux données de connexion en vertu de la loi en vue de lutter contre les manquements
graves aux règles dont elles ont la charge d'assurer le respect. Dans ces conditions, le Premier ministre n'est pas fondé à soutenir
qu'en l'état, la mise à l'écart des dispositions contestées du droit national, au motif qu'elles seraient contraires au droit de l'Union
européenne, priverait de garanties effectives les objectifs de valeur constitutionnelle invoqués.
58. Il résulte de tout ce qui précède que le Gouvernement ne pouvait pas imposer aux opérateurs de communications électroniques,
aux fournisseurs d'accès à internet et aux hébergeurs la conservation généralisée et indifférenciée des données de connexion, autres
13 of 28
12/7/21, 10:17 AM