Conseil d'État, Assemblée, 21/04/2021, 393099, P...
https://www.legifrance.gouv.fr/ceta/id/CETATEXT...
opérateurs et aux personnes mentionnés à l'article L. 851-1 la mise en oeuvre sur leurs réseaux de traitements automatisés destinés,
en fonction de paramètres précisés dans l'autorisation, à détecter des connexions susceptibles de révéler une menace terroriste. / Ces
traitements automatisés utilisent exclusivement les informations ou documents mentionnés à l'article L. 851-1, sans recueillir d'autres
données que celles qui répondent à leurs paramètres de conception et sans permettre l'identification des personnes auxquelles les
informations ou documents se rapportent. (...) II.- La Commission nationale de contrôle des techniques de renseignement émet un avis
sur la demande d'autorisation relative aux traitements automatisés et les paramètres de détection retenus. Elle dispose d'un accès
permanent, complet et direct à ces traitements ainsi qu'aux informations et données recueillies. Elle est informée de toute modification
apportée aux traitements et paramètres et peut émettre des recommandations (...) IV.- Lorsque les traitements mentionnés au I du
présent article détectent des données susceptibles de caractériser l'existence d'une menace à caractère terroriste, le Premier ministre
ou l'une des personnes déléguées par lui peut autoriser, après avis de la Commission nationale de contrôle des techniques de
renseignement donné dans les conditions prévues au chapitre Ier du titre II du présent livre, l'identification de la ou des personnes
concernées et le recueil des données y afférentes. Ces données sont exploitées dans un délai de soixante jours à compter de ce
recueil et sont détruites à l'expiration de ce délai, sauf en cas d'éléments sérieux confirmant l'existence d'une menace terroriste
attachée à une ou plusieurs des personnes concernées ".
76. Dans son arrêt du 6 octobre 2020 précité, la Cour a dit pour droit que : " L'article 15, paragraphe 1, de la directive 2002/58, telle
que modifiée par la directive 2009/136, lu à la lumière des articles 7, 8 et 11 ainsi que de l'article 52, paragraphe 1, de la charte des
droits fondamentaux, doit être interprété en ce sens qu'il ne s'oppose pas à une réglementation nationale imposant aux fournisseurs de
services de communications électroniques de recourir, d'une part, à l'analyse automatisée (...) des données relatives au trafic et des
données de localisation (...) lorsque / le recours à l'analyse automatisée est limité à des situations dans lesquelles un Etat membre se
trouve confronté à une menace grave pour la sécurité nationale qui s'avère réelle et actuelle ou prévisible, le recours à cette analyse
pouvant faire l'objet d'un contrôle effectif, soit par une juridiction, soit par une entité administrative indépendante, dont la décision est
dotée d'un effet contraignant, visant à vérifier l'existence d'une situation justifiant ladite mesure ainsi que le respect des conditions et
des garanties devant être prévues ".
77. Il ne peut être recouru à l'analyse automatisée des données de trafic et de localisation prévue à l'article L. 851-3 du code de la
sécurité intérieure que pour les seuls besoins de la prévention du terrorisme. La mise en oeuvre de cette méthode n'est possible
qu'après avis de la Commission nationale de contrôle des techniques de renseignement, laquelle est chargée, notamment, de vérifier
qu'elle est mise en oeuvre pour cette seule finalité et qu'elle repose sur des critères objectifs et non discriminatoires. A cette occasion,
la Commission vérifie l'existence et l'actualité de la menace grave pour la sécurité nationale susceptible de justifier une telle mesure. Si
l'avis de la Commission n'est pas doté d'un effet contraignant, le Conseil d'Etat peut être saisi d'un recours dans les conditions prévues
à l'article L. 833-8 précité. Cette procédure respecte l'exigence qu'une telle méthode de renseignement puisse faire l'objet d'un contrôle
effectif par une juridiction ou une autorité administrative indépendante. En revanche, si, en vertu du IV de l'article L. 851-3, lorsqu'une
menace est détectée par un traitement automatisé, le Premier ministre peut autoriser l'identification des personnes concernées et le
recueil des données y afférentes après un réexamen individuel, cette identification n'est pas subordonnée à un contrôle préalable
exercé par une juridiction ou par une autorité administrative indépendante dotée d'un pouvoir contraignant. Il s'ensuit que le IV de
l'article L. 851-3 du code de la sécurité intérieure méconnaît l'article 15, paragraphe 1, de la directive du 12 juillet 2002 et l'article 23 du
RGPD dans cette mesure. Il doit donc être écarté dans cette mesure seule, ce qui n'est pas susceptible de priver de garanties
effectives les exigences constitutionnelles mentionnées au point 9, et les décrets attaqués doivent être annulés en tant seulement qu'ils
permettent la mise en oeuvre de traitements automatisés sans prévoir un tel contrôle avant l'identification des personnes dont les
données sont susceptibles de révéler une menace à caractère terroriste.
S'agissant du recueil en temps réel des données de trafic et de localisation prévu aux articles L. 851-2 et L. 851-4 du code de la
sécurité intérieure :
78. Par son arrêt du 6 octobre 2020 précité, la Cour de justice de l'Union européenne a dit pour droit que : " L'article 15, paragraphe 1,
de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière des articles 7, 8 et 11 ainsi que de l'article 52,
paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens qu'il ne s'oppose pas à une réglementation
nationale imposant aux fournisseurs de services de communications électroniques de recourir (...) au recueil en temps réel,
notamment, des données relatives au trafic et des données de localisation et, d'autre part, au recueil en temps réel des données
techniques relatives à la localisation des équipements terminaux utilisés, lorsque (...) - le recours à un recueil en temps réel des
données relatives au trafic et des données de localisation est limité aux personnes à l'égard desquelles il existe une raison valable de
soupçonner qu'elles sont impliquées d'une manière ou d'une autre dans des activités de terrorisme et est soumis à un contrôle
préalable, effectué, soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d'un effet
contraignant, afin de s'assurer qu'un tel recueil en temps réel n'est autorisé que dans la limite de ce qui est strictement nécessaire. En
cas d'urgence dûment justifiée, le contrôle doit intervenir dans de brefs délais ".
Quant à l'article L. 851-2 du code de la sécurité intérieure :
79. Dans sa rédaction applicable au litige, l'article L. 851-2 du code de la sécurité intérieure dispose que : " I.- Dans les conditions
prévues au chapitre Ier du titre II du présent livre et pour les seuls besoins de la prévention du terrorisme, peut être individuellement
autorisé le recueil en temps réel, sur les réseaux des opérateurs et des personnes mentionnés à l'article L. 851-1, des informations ou
documents mentionnés au même article L. 851-1 relatifs à une personne préalablement identifiée comme présentant une menace. / II.Par dérogation à l'article L. 821-4, l'autorisation est délivrée pour une durée de deux mois, renouvelable dans les mêmes conditions de
durée ".
17 of 28
12/7/21, 10:17 AM