Conseil d'État, Assemblée, 21/04/2021, 393099, P...
https://www.legifrance.gouv.fr/ceta/id/CETATEXT...
S'agissant des personnes susceptibles d'accéder aux données de trafic et de localisation :
86. Aux termes de l'article L. 811-4 du code de la sécurité intérieure : " Un décret en Conseil d'Etat, pris après avis de la Commission
nationale de contrôle des techniques de renseignement, désigne les services, autres que les services spécialisés de renseignement,
relevant des ministres de la défense, de l'intérieur et de la justice ainsi que des ministres chargés de l'économie, du budget ou des
douanes, qui peuvent être autorisés à recourir aux techniques mentionnées au titre V du présent livre dans les conditions prévues au
même livre. Il précise, pour chaque service, les finalités mentionnées à l'article L. 811-3 et les techniques qui peuvent donner lieu à
autorisation ". Les associations requérantes soutiennent qu'en ne limitant pas le nombre de personnes pouvant accéder aux données
de connexion et les exploiter, ces dispositions méconnaissent les droits au respect de la vie privée et familiale et à la protection des
données à caractère personnel respectivement protégés par les articles 7 et 8 de la Charte des droits fondamentaux de l'Union
européenne.
87. Dans son arrêt du 8 avril 2014, Digital Rights Ireland Ltd (C-293/12 et C-594/12), la Cour de justice de l'Union européenne a dit
pour droit que la directive 2006/24/CE du Parlement et du Conseil du 15 mars 2006 sur la conservation de données générées ou
traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de
communications, et modifiant la directive 2002/58/CE était invalide, au motif notamment qu'elle ne prévoyait " aucun critère objectif
permettant de limiter le nombre de personnes disposant de l'autorisation d'accès et d'utilisation ultérieure des données conservées au
strict nécessaire au regard de l'objectif poursuivi ".
88. En premier lieu, le décret du 11 décembre 2015 attaqué énumère limitativement, par technique de renseignement et par finalité
poursuivie, les services autorisés à recourir aux techniques du titre V du livre VIII de la partie législative du code de la sécurité
intérieure. Le décret du 29 janvier 2016 également attaqué insère quant à lui au code de la sécurité intérieure un article R. 821-1 qui
dispose que : " Seuls peuvent mettre en oeuvre les techniques de recueil de renseignement mentionnées au titre V du présent livre les
agents individuellement désignés et habilités par le ministre ou, par délégation, par le directeur dont ils relèvent ". De même, s'agissant
plus précisément des méthodes de renseignement prévues par les articles L. 851-1, L. 851-2 et L. 851-4 du code, les articles R. 851-1,
R. 851-1-1 et R. 851-2 du code issus des décrets attaqués prévoient également que seuls les agents individuellement désignés et
habilités peuvent y recourir. Il résulte enfin du principe de proportionnalité, rappelé à l'article L. 801-1 du code, que le nombre des
agents habilités ne saurait excéder celui nécessaire à l'exercice de ces activités.
89. En second lieu, il appartient au juge administratif, lorsqu'il est saisi d'un moyen en ce sens, de vérifier que l'accès aux données de
connexion des personnes énumérées par les décrets pris pour l'application de l'article L. 811-4 et des articles L. 851-1 à L. 851-4 du
code de la sécurité intérieure est limité au strict nécessaire au regard des finalités poursuivies. Il s'ensuit que le moyen tiré de ce que
ce décret méconnaîtrait les articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne au motif qu'il ne limiterait pas le
nombre de personnes pouvant accéder aux données de connexion et les exploiter doit être écarté.
S'agissant de l'information des personnes ayant fait l'objet d'une technique de renseignement :
90. Au point 190 de son arrêt du 6 octobre 2020 précité, la Cour de justice de l'Union européenne précise qu'il " importe que les
autorités nationales compétentes procédant au recueil en temps réel des données relatives au trafic et des données de localisation en
informent les personnes concernées, dans le cadre des procédures nationales applicables, pour autant que et dès le moment où cette
communication n'est pas susceptible de compromettre les missions qui incombent à ces autorités ".
91. L'article 32 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dispose, dans sa version
applicable au litige que : " I. - La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est
informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant : 1° De l'identité du responsable du
traitement et, le cas échéant, de celle de son représentant ; / 2° De la finalité poursuivie par le traitement auquel les données sont
destinées (...) V. - Les dispositions du I ne s'appliquent pas aux données recueillies dans les conditions prévues au III et utilisées lors
d'un traitement mis en oeuvre pour le compte de l'Etat et intéressant la sûreté de l'Etat, la défense, la sécurité publique ou ayant pour
objet l'exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect
des fins poursuivies par le traitement ". Il résulte de ces dispositions que l'obligation d'information des personnes prévue par le I de cet
article ne s'applique pas aux traitements mentionnés au V lorsqu'une telle limitation est nécessaire au respect des finalités poursuivies
par ces traitements. En revanche, cette information est garantie dès lors qu'elle n'est plus susceptible de compromettre le respect des
fins poursuivies par ces mêmes traitements. Ces dispositions doivent être regardées comme prévoyant, le cas échéant, l'information
des personnes ayant fait l'objet d'un traitement de leurs données personnelles dans le cadre d'une des techniques de renseignement
mentionnées aux articles L. 851-1 à L. 851-4 du code de la sécurité intérieure pour autant que et dès le moment où cette
communication n'est pas susceptible de compromettre les missions qui incombent aux services de renseignement, ainsi que l'exige la
Cour de justice de l'Union européenne dans les motifs de son arrêt rappelés au point précédent. Il s'ensuit que les associations
requérantes ne sont pas fondées à soutenir que les décrets attaqués méconnaîtraient le droit de l'Union, faute de prévoir une telle
communication.
S'agissant des moyens dirigés contre des dispositions du code de la sécurité intérieure qui ne relèvent pas du champ de la directive du
12 juillet 2002 :
Quant à la durée de conservation des données recueillies sur le fondement de l'article L. 851-1 par les services de renseignement :
19 of 28
12/7/21, 10:17 AM