Conseil d'État, Assemblée, 21/04/2021, 393099, P...
https://www.legifrance.gouv.fr/ceta/id/CETATEXT...
92. Les associations requérantes soutiennent que l'article L. 822-2 du code de la sécurité intérieure méconnaît la directive du 12 juillet
2002 en tant que la durée de conservation des données collectées par les services de renseignement sur le fondement de l'article L.
851-1 qu'il prévoit est excessive. L'article R. 851-6 inséré au code de la sécurité intérieure par le décret du 29 janvier 2016 attaqué
dispose que : " II. - Le groupement interministériel de contrôle enregistre et conserve dans les mêmes conditions de durée que celles
prévues à l'article L. 822-2 pour les renseignements collectés, dans un traitement automatisé qu'il met en oeuvre, les demandes
tendant au recueil mentionné à l'article L. 851-1 ainsi que les décisions du Premier ministre ou de ses délégués relatives à ces
demandes ". Aux termes de l'article L. 822-2 du code de la sécurité intérieure dans sa rédaction applicable au litige : " I. - Les
renseignements collectés par la mise en oeuvre d'une technique de recueil de renseignement autorisée en application du chapitre Ier
du présent titre sont détruits à l'issue d'une durée de : (...) 3° Quatre ans à compter de leur recueil pour les informations ou documents
mentionnés à l'article L. 851-1. / Pour ceux des renseignements qui sont chiffrés, le délai court à compter de leur déchiffrement. Ils ne
peuvent être conservés plus de six ans à compter de leur recueil. / Dans une mesure strictement nécessaire aux besoins de l'analyse
technique et à l'exclusion de toute utilisation pour la surveillance des personnes concernées, les renseignements collectés qui
contiennent des éléments de cyberattaque ou qui sont chiffrés, ainsi que les renseignements déchiffrés associés à ces derniers,
peuvent être conservés au-delà des durées mentionnées au présent I ".
93. En vertu de son article 1er, paragraphe 3, la directive du 12 juillet 2002 " ne s'applique pas aux activités qui ne relèvent pas du
traité instituant la Communauté européenne (...) et, en tout état de cause, aux activités concernant la sécurité publique, la défense, la
sûreté de l'Etat (y compris la prospérité économique de l'Etat lorsqu'il s'agit d'activités liées à la sûreté de l'Etat) ou aux activités de
l'Etat dans des domaines relevant du droit pénal ". Il en résulte clairement que les dispositions de l'article L. 822-2 du code de la
sécurité intérieure ne relèvent pas du champ d'application de cette directive dès lors qu'elles fixent la durée pendant laquelle les
services de renseignement peuvent conserver les données collectées sur le fondement de l'article L. 851-1 du même code, sans régir
les activités des fournisseurs de services de communications électroniques en leur imposant des obligations spécifiques. Ces
dispositions ne sauraient donc être regardées comme mettant en oeuvre le droit de l'Union européenne et, par suite, les moyens tirés
de la méconnaissance de la directive du 12 juillet 2002 interprétée à la lumière de la Charte des droits fondamentaux de l'Union
européenne ne peuvent être utilement invoqués à leur encontre.
Quant au moyen tiré de l'insuffisance du contrôle de l'exploitation des données collectées par les services de renseignement et de celui
de la collecte et de l'exploitation des données transmises par des services étrangers :
94. Les associations requérantes soutiennent qu'en ne prévoyant pas de contrôle de l'exploitation des données collectées par les
services de renseignement sur le fondement du livre VIII du code de la sécurité intérieure, d'une part, ni de contrôle de la conservation
et de l'exploitation des données qui leur sont transmises par des services étrangers, d'autre part, les dispositions contestées
méconnaissent le droit de l'Union européenne. Toutefois, il résulte clairement de l'article 1er, paragraphe 3 de la directive cité au point
précédent que ni les règles relatives à l'exploitation par les services de renseignement des données collectées auprès des opérateurs
ni celles relatives à la collecte et à l'exploitation par eux de données transmises par des services de renseignement étrangers ne
régissent l'activité des fournisseurs de services de communications électroniques en leur imposant des obligations spécifiques. Il
s'ensuit que ces règles ne sauraient être regardées comme mettant en oeuvre le droit de l'Union européenne et que le moyen soulevé
ne peut être utilement invoqué à l'encontre des dispositions attaquées.
Quant aux moyens tirés de l'inconventionnalité de l'article L. 854-1 du code de la sécurité intérieure :
95. Les associations requérantes soutiennent à nouveau que l'article L. 854-1 du code de la sécurité intérieure méconnaît le droit de
l'Union européenne. Toutefois, ainsi que l'a jugé le Conseil d'Etat, statuant au contentieux, au point 21 de sa décision n° 394922 et
autres du 26 juillet 2018, ces dispositions ne sauraient être regardées comme mettant en oeuvre le droit de l'Union européenne et, par
suite, les moyens tirés de la méconnaissance de la directive du 12 juillet 2002 interprétée à la lumière de la Charte des droits
fondamentaux de l'Union européenne ne peuvent être utilement invoqués à leur encontre.
En ce qui concerne les conséquences des illégalités affectant les décrets du 11 décembre 2015 et du 29 janvier 2016 :
96. Ainsi qu'il a été rappelé au point 66, la France était confrontée, à la date de publication des décrets attaqués, à une menace grave,
réelle et actuelle pour sa sécurité nationale. Il ressort en outre des pièces du dossier que cette menace, dont les contours sont
rappelés aux points 44 et 66, s'est maintenue à un niveau élevé entre cette date et celle de la présente décision. Il s'ensuit que, tout au
long de cette période, le Gouvernement pouvait légalement imposer aux opérateurs de communications électroniques, aux
fournisseurs d'accès à internet et aux hébergeurs de contenu, la conservation généralisée et indifférenciée des données de trafic et de
localisation aux fins de sauvegarde de la sécurité nationale.
97. Comme précisé aux points 74, 77, 80 et 83 de la présente décision, les articles L. 851-1, L. 851-2, L. 851-4 et le IV de l'article L.
851-3 méconnaissent le droit de l'Union européenne, faute pour la Commission nationale de contrôle des techniques de renseignement
de disposer d'un pouvoir d'avis conforme. L'annulation des décrets attaqués en tant qu'ils permettent l'application de ces dispositions
sans contrôle préalable par une autorité administrative indépendante dotée d'un pouvoir d'avis conforme ou une juridiction, en dehors
des cas d'urgence dûment justifiée, ne saurait toutefois avoir pour conséquence d'entacher d'illégalité, pour le passé, l'usage par les
services de renseignement des techniques prévues par ces articles que dans les hypothèses où le Premier ministre les aurait mises en
oeuvre, en dehors des cas d'urgence dûment justifiée, malgré un avis défavorable de la commission. Or, il ressort des rapports publics
de la commission que l'avis rendu par celle-ci préalablement à la mise en oeuvre de ces techniques de renseignement, bien qu'étant
dépourvu d'effet contraignant, a été, dans les faits, systématiquement suivi par le Premier ministre. Il suit de là que l'annulation
20 of 28
12/7/21, 10:17 AM