Conseil d'État, Assemblée, 21/04/2021, 393099, P...
https://www.legifrance.gouv.fr/ceta/id/CETATEXT...
20. Il résulte de l'ensemble des dispositions mentionnées aux points précédents que le législateur a entendu imposer aux opérateurs
de communications électroniques, aux fournisseurs d'accès à internet et aux hébergeurs l'obligation de conserver de manière générale
et indifférenciée les données de connexion pour les besoins, d'une part, de la recherche, de la constatation et de la poursuite des
infractions, notamment pénales, et, d'autre part, des missions de défense et de promotion des intérêts fondamentaux de la Nation
confiées aux services de renseignement, dans les conditions et limites fixées par la loi et les dispositions réglementaires prises pour
son application.
En ce qui concerne les dispositions réglementaires dont il est demandé l'abrogation :
21. L'article R. 10-13 du code des postes et des communications électroniques, dont le refus d'abrogation est contesté sous les nos
393099, 424717 et 424718, énumère les données qui doivent être conservées, pour une durée d'un an à compter du jour de leur
enregistrement, par les opérateurs de communications électroniques aux fins mentionnées au point précédent. Sont concernées par
cette obligation : " a) Les informations permettant d'identifier l'utilisateur ; / b) Les données relatives aux équipements terminaux de
communication utilisés ; / c) Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication ; / d) Les
données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ; / e) Les données permettant d'identifier le
ou les destinataires de la communication ". Il prévoit également que, pour les activités de téléphonie, l'opérateur doit conserver les
données relatives au trafic " et, en outre, celles permettant d'identifier l'origine et la localisation de la communication ".
22. Pour l'application des dispositions de la loi du 21 juin 2004 pour la confiance dans l'économie numérique, l'article 1er du décret du
25 février 2011, dont le refus d'abrogation est contesté sous le n° 393099, prévoit que : " Les données mentionnées au II de l'article 6
de la loi du 21 juin 2004 susvisée, que les personnes sont tenues de conserver en vertu de cette disposition, sont les suivantes : / 1°
Pour les personnes mentionnées au 1 du I du même article et pour chaque connexion de leurs abonnés : / a) L'identifiant de la
connexion ; / b) L'identifiant attribué par ces personnes à l'abonné ; / c) L'identifiant du terminal utilisé pour la connexion lorsqu'elles y
ont accès ; / d) Les dates et heure de début et de fin de la connexion ; / e) Les caractéristiques de la ligne de l'abonné ; / 2° Pour les
personnes mentionnées au 2 du I du même article et pour chaque opération de création : / a) L'identifiant de la connexion à l'origine de
la communication ; / b) L'identifiant attribué par le système d'information au contenu, objet de l'opération ; / c) Les types de protocoles
utilisés pour la connexion au service et pour le transfert des contenus ; / d) La nature de l'opération ; / e) Les date et heure de
l'opération ; / f) L'identifiant utilisé par l'auteur de l'opération lorsque celui-ci l'a fourni ; / 3° Pour les personnes mentionnées aux 1 et 2
du I du même article, les informations fournies lors de la souscription d'un contrat par un utilisateur ou lors de la création d'un compte : /
a) Au moment de la création du compte, l'identifiant de cette connexion ; / b) Les nom et prénom ou la raison sociale ; / c) Les adresses
postales associées ; / d) Les pseudonymes utilisés ; / e) Les adresses de courrier électronique ou de compte associées ; / f) Les
numéros de téléphone ; / g) Les données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à
jour ; / 4° Pour les personnes mentionnées aux 1 et 2 du I du même article, lorsque la souscription du contrat ou du compte est
payante, les informations suivantes relatives au paiement, pour chaque opération de paiement : / a) Le type de paiement utilisé ; / b) La
référence du paiement ; / c) Le montant ; / d) La date et l'heure de la transaction ".
En ce qui concerne les exigences qui découlent du droit de l'Union européenne :
S'agissant des textes de droit dérivé applicables :
23. La directive du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et
la protection de la vie privée dans le secteur des communications électroniques, qui a été prise sur le fondement de l'article 95 du traité
instituant la Communauté européenne, désormais repris à l'article 114 du traité sur le fonctionnement de l'Union européenne, procède
de la volonté de rapprocher les législations des Etats membres afin de permettre l'établissement et le fonctionnement du marché
intérieur. Elle a pour objet, ainsi que l'énonce le paragraphe 1 de son article 3, le " traitement des données à caractère personnel dans
le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communication
dans la Communauté ". Aux termes de son article 5 : " 1. Les Etats membres garantissent, par la législation nationale, la confidentialité
des communications effectuées au moyen d'un réseau public de communications et de services de communications électroniques
accessibles au public, ainsi que la confidentialité des données relatives au trafic y afférentes. En particulier, ils interdisent à toute autre
personne que les utilisateurs d'écouter, d'intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou
de les soumettre à tout autre moyen d'interception ou de surveillance, sans le consentement des utilisateurs concernés sauf lorsque
cette personne y est légalement autorisée, conformément à l'article 15, paragraphe 1. Le présent paragraphe n'empêche pas le
stockage technique nécessaire à l'acheminement d'une communication, sans préjudice du principe de confidentialité ", tandis qu'en
vertu de son article 6 : " 1. Les données relatives au trafic concernant les abonnés et les utilisateurs traitées et stockées par le
fournisseur d'un réseau public de communications ou d'un service de communications électroniques accessibles au public doivent être
effacées ou rendues anonymes lorsqu'elles ne sont plus nécessaires à la transmission d'une communication sans préjudice des
paragraphes 2, 3 et 5, du présent article ainsi que de l'article 15, paragraphe 1 ". Toutefois, l'article 15 de la même directive prévoit que
" Les Etats membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux
articles 5 et 6, à l'article 8, paragraphes 1, 2, 3 et 4, et à l'article 9 de la présente directive lorsqu'une telle limitation constitue une
mesure nécessaire, appropriée et proportionnée, au sein d'une société démocratique, pour sauvegarder la sécurité nationale - c'està-dire la sûreté de l'Etat - la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite
d'infractions pénales ou d'utilisations non autorisées du système de communications électroniques, comme le prévoit l'article 13,
paragraphe 1, de la directive 95/46/CE. À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives
prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent
7 of 28
12/7/21, 10:17 AM