Conseil d'État, 10ème - 9ème SSR, 12/02/2016, 388134, Inédit au recueil Lebon

Références

Conseil d'État

N° 388134   
ECLI:FR:XX:2016:388134.20160212
Inédit au recueil Lebon
10ème - 9ème SSR
M. Vincent Villette, rapporteur
M. Edouard Crépey, rapporteur public
SCP SPINOSI, SUREAU, avocats


lecture du vendredi 12 février 2016
REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS



Texte intégral

Vu la procédure suivante :

1° Sous le n° 388134, par une requête, un mémoire complémentaire et un mémoire en réplique, enregistrés le 19 février et le 15 avril 2015 et le 22 janvier 2016, au secrétariat du contentieux du Conseil d'Etat, l'association French Data Network (Réseau Français de Données), l'association La Quadrature du Net et la Fédération des fournisseurs d'accès à internet associatifs demandent au Conseil d'Etat :

1°) d'annuler pour excès de pouvoir le décret n° 2014-1576 du 24 décembre 2014 relatif à l'accès administratif aux données de connexion ;

2°) de mettre à la charge de l'Etat la somme de 1 024 euros au titre des dispositions de l'article L. 761-1 du code de justice administrative.


2° Sous le n° 388255, par une requête et un mémoire en réplique, enregistrés le 24 février et le 6 novembre 2015, l'association Reporters sans frontières demande au Conseil d'Etat :

1°) d'annuler pour excès de pouvoir le décret n° 2014-1576 du 24 décembre 2014 relatif à l'accès administratif aux données de connexion ;

2°) de mettre à la charge de l'Etat la somme de 512 euros au titre des dispositions de l'article L. 761-1 du code de justice administrative.


....................................................................................

Vu les autres pièces des dossiers ;

Vu :
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- la Charte des droits fondamentaux de l'Union européenne ;
- la directive 98/34/CE du parlement européen et du conseil du 22 juin 1998 ;
- la directive 2002/58/CE du parlement européen et du conseil du 12 juillet 2002 ;
- le code de la sécurité intérieure, notamment ses articles L. 246-1 à L. 246-5 ;
- la loi du 29 juillet 1881 sur la liberté de la presse ;
- la décision du 5 juin 2015 par laquelle le Conseil d'Etat statuant au contentieux a renvoyé au Conseil constitutionnel la question prioritaire de constitutionnalité soulevée par les associations French Date Network, la Quadrature du Net et la Fédération des fournisseurs d'accès à internet associatifs ;
- la décision n° 2015-478 QPC du 24 juillet 2015 statuant sur la question prioritaire de constitutionnalité ainsi soulevée ;
- le code de justice administrative ;



Après avoir entendu en séance publique :

- le rapport de M. Vincent Villette, auditeur,

- les conclusions de M. Edouard Crépey, rapporteur public ;

La parole ayant été donnée, avant et après les conclusions, à la SCP Spinosi, Sureau, avocat de l'association French Data Network (Réseau Français de Données), de l'association La Quadrature du Net et de la Fédération des fournisseurs d'accès à internet associatifs ;




1. Considérant que la requête commune de l'association French Data Network (Réseau Français de Données), de l'association La Quadrature du Net et de la Fédération des fournisseurs d'accès à internet associatifs ainsi que celle de l'association Reporters sans frontières sont dirigées contre le même décret du 24 décembre 2014 relatif à l'accès administratif aux données de connexion ; qu'il y a lieu de les joindre pour statuer par une seule décision ;

Sur la légalité externe :

2. Considérant, en premier lieu, que la circonstance que seul l'article L. 246-4 du code de la sécurité intérieure prévoit expressément l'intervention d'un décret en Conseil d'Etat pour définir ses modalités d'application ne prive pas le pouvoir réglementaire de l'étendue de la compétence qu'il détient pour prendre les mesures nécessaires à l'application des lois ; qu'ainsi, contrairement à ce qui est soutenu, le décret attaqué pouvait compétemment préciser, pour la mise en oeuvre de l'ensemble des articles L. 246-1 à L. 246-4 du code de la sécurité intérieure, la procédure de suivi des demandes d'accès administratif aux données de connexion ainsi que les conditions et durée de conservation des informations ou documents transmis dans ce cadre ;

3. Considérant, en deuxième lieu, que dès lors que les dispositions du décret attaqué, qui portent sur l'accès administratif aux données de connexion, n'édictent pas de " règles techniques " relatives aux prestations de service assurées par les opérateurs au profit de leurs clients au sens de la directive du 22 juin 1998, les associations requérantes ne sauraient utilement invoquer à son encontre le moyen tiré de la méconnaissance de l'obligation de notification préalable du projet de décret à la Commission européenne instituée par l'article 8 de cette directive ;

4. Considérant, en troisième lieu, que les associations requérantes ne sauraient utilement invoquer à l'encontre du décret attaqué la méconnaissance de la circulaire du 17 février 2011 relative à la simplification des normes concernant les entreprises et les collectivités territoriales, adressée par le Premier ministre aux ministres, qui se borne à fixer des orientations pour l'organisation du travail gouvernemental ;

Sur la légalité interne :

En ce qui concerne les moyens tirés de l'atteinte disproportionnée portée par le décret attaqué au droit au respect de la vie privée et familiale, au droit à la protection des données à caractère personnel et à la liberté d'expression, tels qu'ils sont garantis par les articles 8 et 10 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales et par les articles 7, 8 et 11 de la Charte des droits fondamentaux :

5. Considérant, en premier lieu, que le décret attaqué encadre l'accès administratif aux données de connexion, pour la poursuite des finalités établies à l'article L. 241-2 du code de la sécurité intérieure dont, notamment, la sécurité nationale et la prévention du terrorisme ; qu'il est constant que l'accès administratif aux données de connexion, tel qu'il est précisé par le décret attaqué, contribue à la réalisation de cet objectif, qui est d'intérêt général ;

6. Considérant, en second lieu, que le décret attaqué définit, à l'article R. 246-1 qu'il insère dans le code de la sécurité intérieure, les " informations et documents " qui, à l'exclusion de tout autre, et en particulier de ceux relatifs au contenu des correspondances, peuvent faire l'objet d'une demande de recueil ; que l'obligation faite aux opérateurs et aux personnes mentionnées à l'article L. 246-1 de conserver, pour un an, ces données, est fondée sur des règles précises et contraignantes, dont la méconnaissance est sanctionnée dans les conditions fixées par les dispositions de l'article L. 39-3 du code des postes et des communications électroniques ; que, dans ces conditions, est en mesure d'être connue l'étendue maximale des données susceptibles de faire l'objet d'une collecte, pour la poursuite des finalités rappelées au point précédent et sur demande des seuls agents habilités à cette fin ;

7. Considérant que le décret attaqué énumère, au I de l'article R. 246-2 qu'il insère dans ce même code, l'ensemble des services dont les agents peuvent solliciter l'accès aux données de connexion ; que ces services ont des missions se rattachant à la poursuite des finalités précédemment rappelées ; qu'en outre, le II de ce même article précise qu'au sein des services ainsi identifiés, seuls les agents individuellement désignés et dûment habilités par le directeur dont ils relèvent peuvent solliciter ces informations et ces documents ; que ces demandes sont enregistrées et conservées dans un traitement de données mis en oeuvre par le Premier ministre, de telle sorte que la Commission nationale de contrôle des interceptions de sécurité puisse y accéder et, le cas échéant, demander des éclaircissements ; qu'il suit de là que, contrairement à ce qui est soutenu, le décret attaqué définit, avec une précision suffisante, les conditions dans lesquelles les agents et services sont susceptibles de solliciter l'accès aux données de connexion ;

8. Considérant qu'en vertu des articles R. 246-5 et R. 246-6 du code de la sécurité intérieure issu du décret attaqué, des traitements automatisés sont mis en oeuvre par le Premier ministre pour enregistrer et conserver, pour une durée maximale de trois ans, d'une part, " les demandes des agents et les décisions de la personnalité qualifiée ou de ses adjoints ", d'autre part " les informations ou les documents transmis par les opérateurs et les personnes mentionnées à l'article L. 246-1 " ; qu'il ressort des pièces du dossier, et notamment de la délibération de la Commission nationale de l'informatique et des libertés du 4 décembre 2014, que cette période de trois ans, qui permet aux services d'avoir accès aux données pendant toute la durée de leurs investigations relatives à la poursuite des finalités d'intérêt général listées à l'article L. 241-2 du même code, constitue une durée maximale, à l'issue de laquelle les données sont automatiquement effacées ; qu'à cet égard, l'article R. 246-5 prévoit que " le directeur du groupement interministériel de contrôle adresse chaque année à la Commission nationale de contrôle des interceptions de sécurité un procès-verbal certifiant que l'effacement a été effectué " ; que, dans ces conditions, la durée de conservation prévue par le décret attaqué, qui permet, au demeurant, à la Commission nationale de contrôle des interceptions de sécurité d'exercer son contrôle de manière plus approfondie, n'est pas excessive ;

9. Considérant qu'il ressort de l'article R. 246-6 déjà mentionné que les demandes formulées par les agents habilités des services désignés sont soumises à l'approbation d'une personnalité qualifiée, dont les modalités de désignation sont établies à l'article R. 246-3 du même code, créé par le décret attaqué ; que cette personnalité qualifiée, ainsi que ses adjoints, sont choisis, sous le contrôle du juge, par la Commission nationale de contrôle des interceptions de sécurité en raison de leur compétence et de leur impartialité ; que, par un nouvel article R. 246-7 inséré au sein de ce même code, le décret attaqué prévoit une procédure spécifique pour les demandes de recueil d'informations ou de documents " impliquant sollicitation du réseau et transmission en temps réel ", qui requièrent l'approbation du Premier ministre ; que, par ailleurs, aux termes de l'article R. 246-8 du code de la sécurité intérieure : " la Commission nationale de contrôle des interceptions de sécurité dispose d'un accès permanent aux traitements automatisés mentionnés aux articles R. 246-5, R. 246-6 et R. 246-7 " ; qu'en outre, toute décision faisant droit, dans les conditions énoncées ci-dessus, à une demande d'accès administratif aux données de connexion est susceptible d'être contestée devant le juge administratif ; que, dans ces conditions, le moyen tiré de ce que le décret attaqué n'aurait pas apporté de garanties suffisantes de nature à permettre un contrôle effectif des demandes d'accès administratif aux données de connexion doit être écarté ;

10. Considérant qu'il résulte de tout ce qui précède que le décret attaqué ne porte pas une atteinte disproportionnée aux droits et libertés garantis par la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ; que doivent, pour les mêmes motifs et en tout état de cause, être écartés les moyens, soulevés par les associations requérantes, et tirés de la méconnaissance des articles 7, 8 et 11 de la Charte des droits fondamentaux de l'Union européenne, respectivement relatifs au respect de la vie privée et familiale, à la protection des données à caractère personnel et à la liberté d'expression et d'information ;

En ce qui concerne le moyen tiré de la méconnaissance du droit au secret des sources des journalistes :

11. Considérant, d'une part, qu'aucune disposition constitutionnelle ne consacre un droit au secret des sources des journalistes ;

12. Considérant, d'autre part, qu'en l'absence de dispositions contraires dans la loi qui constitue le fondement du décret attaqué, ce dernier ne peut recevoir application que dans le respect de l'article 2 de la loi du 29 juillet 1881, aux termes duquel : " (...) Il ne peut être porté atteinte directement ou indirectement au secret des sources que si un impératif prépondérant d'intérêt public le justifie et si les mesures envisagées sont strictement nécessaires et proportionnées au but légitime poursuivi. Cette atteinte ne peut en aucun cas consister en une obligation pour le journaliste de révéler ses sources (...) ", qu'il ne porte en lui-même aucune atteinte excessive au droit à la liberté d'expression, garanti notamment par l'article 10 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, dès lors que la procédure de réquisition administrative des données de connexion qu'il définit n'est autorisée qu'en vue de la poursuite des seules finalités mentionnées à l'article L. 241-2 du code de la sécurité intérieure, selon les modalités rappelées aux points précédents ;

En ce qui concerne le moyen tiré de la méconnaissance de la directive 2002/58/CE :

13. Considérant qu'aux termes de l'article 5 de la directive 2002/58/CE : " Les États membres garantissent, par la législation nationale, (...) la confidentialité des données relatives au trafic (...). En particulier, ils interdisent à toute autre personne que les utilisateurs d'écouter, d'intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d'interception ou de surveillance, sans le consentement des utilisateurs concernés sauf lorsque cette personne y est légalement autorisée, conformément à l'article 15, paragraphe 1. " ; qu'en vertu de son article 15 : " Les États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l'article 8, paragraphes 1, 2, 3 et 4, et à l'article 9 de la présente directive lorsqu'une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d'une société démocratique, pour sauvegarder la sécurité nationale - c'est-à-dire la sûreté de l'État - la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d'infractions pénales ou d'utilisations non autorisées du système de communications électroniques, comme le prévoit l'article 13, paragraphe 1, de la directive 95/46/CE. À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe " ; qu'il résulte de ces dispositions que, contrairement à ce que soutiennent les associations requérantes, cette directive ne fait pas obstacle à ce qu'un Etat membre puisse organiser la conservation préventive des données de connexion en vue de leur réquisition administrative, dès lors que la procédure ainsi prévue respecte les conditions énoncées par l'article 15 ainsi qu'il résulte des points 6 à 10 de la présente décision ;

En ce qui concerne les autres moyens des requêtes :

14. Considérant qu'aucune disposition ni aucun principe n'imposait au pouvoir réglementaire d'épuiser, par le décret attaqué, l'habilitation qu'il tenait des dispositions législatives ; qu'ainsi, le moyen des associations requérantes tiré de l'erreur de droit dont serait entaché le décret attaqué, faute d'épuiser les modalités d'application pour la fixation desquelles l'article L. 246-4 du code de la sécurité intérieure a renvoyé à un décret en Conseil d'Etat, ne peut qu'être écarté ;

15. Considérant que le moyen tiré de ce que le décret attaqué porterait atteinte au principe de sécurité juridique n'est pas assorti des précisions permettant d'en apprécier le bien-fondé et ne peut, par suite, qu'être écarté ; qu'il en va de même, en tout état de cause, du moyen tiré d'une méconnaissance du principe de confiance légitime ;

16. Considérant, enfin, que par sa décision n° 2015-478 QPC du 24 juillet 2015, le Conseil constitutionnel a déclaré conforme à la Constitution les dispositions des articles L. 246-1 et L. 246-3 du code de la sécurité intérieure ; que, par suite, le moyen tiré de ce que le décret aurait été pris en application de dispositions législatives inconstitutionnelles doit être écarté ;

17. Considérant qu'il résulte de tout ce qui précède les associations requérantes ne sont pas fondées à demander l'annulation du décret qu'elles attaquent ; que leurs conclusions présentées au titre des dispositions de l'article L. 761-1 du code de justice administrative ne peuvent, par suite, qu'être rejetées ;




D E C I D E :
--------------

Article 1er : Les requêtes de l'association French Data Network (Réseau Français de Données), de l'association La Quadrature du Net, de la Fédération des fournisseurs d'accès à internet associatifs, ainsi que de l'association Reporters sans frontières sont rejetées.
Article 2 : La présente décision sera notifiée à l'association French Data Network (Réseau Français de Données), à l'association La Quadrature du Net, à la Fédération des fournisseurs d'accès à internet associatifs, à l'association Reporters sans frontières, au Premier ministre, au ministre de la défense, au ministre de l'intérieur, à la ministre des outre-mer et au ministre de l'économie, de l'industrie et du numérique.