— 53 —
de connexion), y compris à des fins de sécurité nationale. C’est pour connaître les
implications de cette décision sur la législation française que le Conseil d’État, saisi
de recours déposés par plusieurs associations et opérateurs, a posé en 2018 une
question préjudicielle à la Cour, qui y a répondu par l’arrêt La quadrature du Net du
6 octobre 2020.
1. La directive 2002/58/CE du Parlement européen et du Conseil du
12 juillet 2002 concernant le traitement des données à caractère
personnel et la protection de la vie privée, dite ePrivacy
Comme l’a rappelé le Conseil d’État dans la question préjudicielle posée à
la CJUE en 20181, la directive 2002/58/CE du Parlement européen et du Conseil du
12 juillet 2002 concernant le traitement des données à caractère personnel et la
protection de la vie privée dans le secteur des communications électroniques,
procède de la volonté de rapprocher les législations des États membres afin de
permettre l’établissement et le fonctionnement du marché intérieur.
Elle a pour objet, ainsi que l’énonce le paragraphe 1 de son article 3, le
« traitement des données à caractère personnel dans le cadre de la fourniture de
services de communications électroniques accessibles au public sur les réseaux
publics de communication dans la Communauté ». Mais, ainsi que le rappelle son
article 1er, paragraphe 3, elle « ne s’applique pas aux activités qui ne relèvent pas
du traité instituant la Communauté européenne [...] et, en tout état de cause, aux
activités concernant la sécurité publique, la défense, la sûreté de l’État (y compris
la prospérité économique de l’État lorsqu’il s’agit d’activités liées à la sûreté de
l’État) ou aux activités de l’État dans des domaines relevant du droit pénal ». Par
ailleurs, son article 15 prévoit que « Les États membres peuvent adopter des
mesures législatives visant à limiter la portée des droits et des obligations prévus
aux articles 5 et 6, à l’article 8, paragraphes 1, 2, 3 et 4, et à l’article 9 de la présente
directive lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et
proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité
nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou
assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales
ou d’utilisations non autorisées du système de communications électroniques,
comme le prévoit l’article 13, paragraphe 1, de la directive 95/46/CE. À cette fin,
les États membres peuvent, entre autres, adopter des mesures législatives prévoyant
la conservation de données pendant une durée limitée lorsque cela est justifié par
un des motifs énoncés dans le présent paragraphe. Toutes les mesures visées dans
le présent paragraphe sont prises dans le respect des principes généraux du droit
communautaire, y compris ceux visés à l’article 6, paragraphes 1 et 2, du traité sur
l’Union européenne ».
1
Questions préjudicielles à la CJUE sur la conservation des données de connexion,
Arrêt rendu par Conseil d'État 10e et 9e chambres réunies, 26-07-2018, n° 394922 394925 397844 397851,
mentionné aux tables.