Conseil d'État, Assemblée, 21/04/2021, 393099, P...
https://www.legifrance.gouv.fr/ceta/id/CETATEXT...
soumise à un contrôle juridictionnel effectif, de procéder, pour une durée déterminée, à la conservation rapide des données relatives au
trafic et des données de localisation dont disposent ces fournisseurs de services / dès lors que ces mesures assurent, par des règles
claires et précises, que la conservation des données en cause est subordonnée au respect des conditions matérielles et procédurales
y afférentes et que les personnes concernées disposent de garanties effectives contre les risques d'abus ".
28. Si la Cour a également dit pour droit que " l'article 23, paragraphe 1, du règlement 2016/679, lu à la lumière des articles 7, 8 et 11
ainsi que de l'article 52, paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens qu'il s'oppose à une
réglementation nationale imposant aux fournisseurs d'accès à des services de communication au public en ligne et aux fournisseurs de
services d'hébergement la conservation généralisée et indifférenciée, notamment, des données à caractère personnel afférentes à ces
services ", elle a relevé, au point 211 de sa décision, qui constitue le soutien nécessaire de cette partie du dispositif, que : " les
constatations et les appréciations faites dans le cadre de la réponse apportée aux premières questions dans les affaires C511/18 et
C512/18 ainsi qu'aux première et deuxième questions dans l'affaire C520/18 s'appliquent mutatis mutandis à l'article 23 du règlement
2016/679 ". Il en ressort clairement que les conditions permettant de déroger aux droits et obligations prévus aux articles 12 à 22 du
RGPD sur le fondement de l'article 23 du règlement et celles permettant de déroger à l'interdiction de conservation généralisée et
indifférenciée des données relatives au trafic et des données de localisation sur le fondement de l'article 15, paragraphe 1 de la
directive du 12 juillet 2002 sont identiques.
29. Il résulte de ce qui a été dit aux points 27 et 28 que l'article 15, paragraphe 1, de la directive du 12 juillet 2002 et l'article 23 du
RGPD, tels qu'interprétés par la Cour de justice dans son arrêt du 6 octobre 2020, limitent la possibilité d'imposer aux opérateurs de
communications électroniques, aux fournisseurs d'accès à internet et aux hébergeurs la conservation des données de connexion de
leurs utilisateurs. L'encadrement précisé par la Cour de justice diffère selon la nature des données en cause, les finalités poursuivies et
le type de conservation.
30. En premier lieu, le droit de l'Union européenne s'oppose à ce que soit imposée aux opérateurs la conservation généralisée et
indifférenciée des données de trafic et de localisation autres que les adresses IP, y compris aux fins de lutte contre la criminalité grave.
Toutefois, il est possible d'imposer aux opérateurs une conservation ciblée de ces données, en fonction de catégories de personnes,
dont des éléments objectifs permettent d'établir que leurs données sont susceptibles de révéler un lien au moins indirect avec des
actes de criminalité grave, de contribuer, d'une manière ou d'une autre, à la lutte contre cette criminalité ou de prévenir un risque grave
pour la sécurité publique, d'une part, ou en fonction de zones géographiques caractérisées par un risque élevé de préparation ou de
commission d'actes de criminalité grave, d'autre part.
31. En revanche et en deuxième lieu, le droit de l'Union européenne permet d'imposer aux opérateurs la conservation généralisée et
indifférenciée des données de trafic et de localisation autres que les adresses IP aux seules fins de sauvegarde de la sécurité nationale
lorsqu'un Etat est confronté à une menace grave pour la sécurité nationale qui s'avère réelle et actuelle ou prévisible, sur injonction
d'une autorité publique, soumise à un contrôle effectif d'une juridiction ou d'une autorité administrative indépendante, chargée
notamment de vérifier la réalité de la menace, pour une période limitée au strict nécessaire, mais renouvelable en cas de persistance
de la menace.
32. En troisième lieu, le droit de l'Union européenne permet d'imposer aux opérateurs une " conservation rapide " des données de trafic
et de localisation, c'est-à-dire une obligation à effet immédiat de conserver en l'état et pour une durée limitée au strict nécessaire
certaines des données dont ils disposent, sous le contrôle d'un juge, lorsque ces données sont susceptibles de contribuer à
l'élucidation d'une infraction grave ou à la prévention de menaces graves contre la sécurité publique. Ces données ne sont pas limitées
aux personnes soupçonnées d'être les auteurs de l'infraction, mais peuvent être étendues à d'autres personnes pour les besoins de
l'enquête, sur le fondement de critères objectifs.
33. En quatrième lieu, la conversation généralisée et indifférenciée des adresses IP peut être imposée aux fournisseurs d'accès à
internet et aux hébergeurs, pour une période limitée au strict nécessaire, dès lors qu'elle peut constituer, comme le relève la Cour au
point 154 de sa décision, le seul moyen d'investigation permettant l'identification d'une personne ayant commis une infraction en ligne.
Toutefois, dès lors qu'une telle conservation emporte une ingérence grave dans les droits fondamentaux des personnes concernées,
elle ne saurait être justifiée qu'aux fins de lutte contre la criminalité grave, pour la prévention des menaces graves contre la sécurité
publique et pour la sauvegarde de la sécurité nationale.
34. En dernier lieu, la conservation généralisée et indifférenciée des données relatives à l'identité civile des utilisateurs est possible,
sans délai particulier, aux fins de prévention des menaces à la sécurité publique, de recherche, de détection et de poursuite des
infractions pénales en général et de sauvegarde de la sécurité nationale. Ainsi que la Cour le relève au point 157 de sa décision,
l'ingérence qu'emporte la conservation de telles données ne saurait, en principe, être qualifiée de grave dès lors que ces données ne
permettent pas, à elles seules, de connaître la date, l'heure, la durée et les destinataires des communications effectuées, non plus que
les endroits où ces communications ont eu lieu ou la fréquence de celles-ci avec certaines personnes.
En ce qui concerne la compatibilité avec le droit de l'Union européenne des dispositions en litige :
S'agissant de la conservation générale et indifférenciée des données relatives à l'identité civile, aux paiements, aux contrats et aux
comptes de l'abonné :
35. Ainsi qu'il a été dit au point 34, les données relatives à l'identité civile des utilisateurs de moyens de communications électroniques
9 of 28
12/7/21, 10:17 AM