Conseil d'État, Assemblée, 21/04/2021, 393099, P...
https://www.legifrance.gouv.fr/ceta/id/CETATEXT...
paragraphe. Toutes les mesures visées dans le présent paragraphe sont prises dans le respect des principes généraux du droit
communautaire, y compris ceux visés à l'article 6, paragraphes 1 et 2, du traité sur l'Union européenne ".
24. Il résulte des articles 1er et 2 de cette directive, tels qu'interprétés par la Cour de justice de l'Union européenne, que les
dispositions précitées s'appliquent aux opérateurs de services de communications électroniques, c'est-à-dire aux services qui
consistent entièrement ou principalement en la transmission de signaux sur des réseaux de communications électroniques, tels que les
services d'accès à internet. Les opérateurs mentionnés à l'article L. 34-1 du code des postes et des communications électroniques,
notamment les fournisseurs d'accès à internet et les opérateurs de téléphonie, ainsi que les personnes dont l'activité est d'offrir un
accès à des services de communication au public en ligne au sens du paragraphe 1 du I de l'article 6 de la loi du 21 juin 2004 pour la
confiance dans l'économie numérique, ce qui vise en particulier les fournisseurs d'accès à internet, relèvent du champ d'application de
cette directive. Tel n'est pas le cas, en revanche, des " hébergeurs ", c'est-à-dire des personnes physiques ou morales qui assurent,
même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux,
d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services, mentionnées au paragraphe
2 du I du même article 6, dès lors que leurs services ne consistent pas entièrement ou principalement en la transmission de signaux
sur des réseaux de communications électroniques.
25. L'article 23 du règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à
l'égard du traitement de données à caractère personnel et à la libre circulation de ces données (RGPD) prévoit que : " 1. Le droit de
l'Union ou le droit de l'Etat membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures
législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l'article 34, ainsi qu'à l'article 5 dans la mesure
où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu'une telle limitation
respecte l'essence des libertés et droits fondamentaux et qu'elle constitue une mesure nécessaire et proportionnée dans une société
démocratique pour garantir : / a) la sécurité nationale ; / b) la défense nationale ; / c) la sécurité publique ; / d) la prévention et la
détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la
protection contre les menaces pour la sécurité publique et la prévention de telles menaces (...) ". Les hébergeurs mentionnés au point
précédent constituent, au titre de cette activité, des responsables de traitement de données à caractère personnel, comme tels soumis
aux dispositions de ce règlement.
26. Il ressort des dispositions citées aux points précédents que les Etats membres sont autorisés, pour des motifs tenant à la
sauvegarde de la sécurité nationale, à la sûreté de l'Etat ou à la lutte contre les infractions pénales, à prévoir une dérogation, d'une
part, à l'obligation de confidentialité des données à caractère personnel et, d'autre part, à celle de confidentialité des données relatives
au trafic y afférentes, qui découlent toutes deux de l'article 5, paragraphe 1, de la directive, ainsi qu'aux droits et obligations prévues
aux articles 12 à 22 du RGPD.
S'agissant de la réponse apportée par la Cour de justice de l'Union européenne aux questions préjudicielles posées par le Conseil
d'Etat :
27. Par son arrêt du 6 octobre 2020 La Quadrature du Net et autres (C-511/18, C-512/18, C-520/18), la Cour de justice de l'Union
européenne a, en réponse aux questions que lui avait posées le Conseil d'Etat dans sa décision avant-dire droit du 26 juillet 2018, dit
pour droit que : " 1) L'article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002,
concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications
électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement
européen et du Conseil, du 25 novembre 2009, lu à la lumière des articles 7, 8 et 11 ainsi que de l'article 52, paragraphe 1, de la charte
des droits fondamentaux de l'Union européenne, doit être interprété en ce sens qu'il s'oppose à des mesures législatives prévoyant,
aux fins prévues à cet article 15, paragraphe 1, à titre préventif, une conservation généralisée et indifférenciée des données relatives
au trafic et des données de localisation. En revanche, l'article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la
directive 2009/136, lu à la lumière des articles 7, 8 et 11 ainsi que de l'article 52, paragraphe 1, de la charte des droits fondamentaux,
ne s'oppose pas à des mesures législatives / - permettant, aux fins de la sauvegarde de la sécurité nationale, le recours à une
injonction faite aux fournisseurs de services de communications électroniques de procéder à une conservation généralisée et
indifférenciée des données relatives au trafic et des données de localisation, dans des situations où l'État membre concerné fait face à
une menace grave pour la sécurité nationale qui s'avère réelle et actuelle ou prévisible, la décision prévoyant cette injonction pouvant
faire l'objet d'un contrôle effectif, soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d'un
effet contraignant, visant à vérifier l'existence d'une de ces situations ainsi que le respect des conditions et des garanties devant être
prévues, et ladite injonction ne pouvant être émise que pour une période temporellement limitée au strict nécessaire, mais
renouvelable en cas de persistance de cette menace ; / - prévoyant, aux fins de la sauvegarde de la sécurité nationale, de la lutte
contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation ciblée des données
relatives au trafic et des données de localisation qui soit délimitée, sur la base d'éléments objectifs et non discriminatoires, en fonction
de catégories de personnes concernées ou au moyen d'un critère géographique, pour une période temporellement limitée au strict
nécessaire, mais renouvelable ; / - prévoyant, aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité grave
et de la prévention des menaces graves contre la sécurité publique, une conservation généralisée et indifférenciée des adresses IP
attribuées à la source d'une connexion, pour une période temporellement limitée au strict nécessaire ; / - prévoyant, aux fins de la
sauvegarde de la sécurité nationale, de la lutte contre la criminalité et de la sauvegarde de la sécurité publique, une conservation
généralisée et indifférenciée des données relatives à l'identité civile des utilisateurs de moyens de communications électroniques, et / permettant, aux fins de la lutte contre la criminalité grave et, a fortiori, de la sauvegarde de la sécurité nationale, le recours à une
injonction faite aux fournisseurs de services de communications électroniques, par le biais d'une décision de l'autorité compétente
8 of 28
12/7/21, 10:17 AM