Conseil d'État, 10ème - 9ème chambres réunies, 26/07/2018, 393099, Inédit au recueil Lebon

Texte intégral

RÉPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS

Vu la procédure suivante :

Par une requête sommaire, un mémoire complémentaire et quatre autres mémoires, enregistrés les 1er septembre et 27 novembre 2015, le 24 mai 2016, le 25 juillet 2016, le 7 février 2017 et le 10 juillet 2018 au secrétariat du contentieux du Conseil d'Etat, French Data Network, la Quadrature du Net et la Fédération des fournisseurs d'accès à Internet associatifs demandent au Conseil d'Etat :

1°) d'annuler pour excès de pouvoir la décision implicite de rejet résultant du silence gardé par le Premier ministre sur leur demande tendant à l'abrogation de l'article R. 10-13 du code des postes et des communications électroniques et du décret n° 2011-219 du 25 février 2011 ;

2°) d'enjoindre au Premier ministre d'abroger ces dispositions ;

3°) de mettre à la charge de l'Etat la somme de 1 024 euros au titre de l'article L. 761-1 du code de justice administrative.


Vu les autres pièces du dossier ;

Vu :
- la Charte des droits fondamentaux de l'Union européenne ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- la directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 ;
- la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 ;
- le code des postes et des communications électroniques ;
- la loi n° 2004-575 du 21 juin 2004 ;
- la loi n° 2013-1168 du 18 décembre 2013 ;
- le décret n° 2011-219 du 25 février 2011 ;
- l'arrêt de la Cour de justice de l'Union européenne du 21 décembre 2016, Tele2 Sverige AB c/ Post-och telestyrelsen et Secretary of State for the Home Department c/ Tom Watson et autres (C-203/15 et C-698/15) ;
- le code de justice administrative ;



Après avoir entendu en séance publique :

- le rapport de M. Vincent Villette, maître des requêtes,

- les conclusions de M. Edouard Crépey, rapporteur public ;




Considérant ce qui suit :

1. Privacy International et le Center for Democracy and Technology ont intérêt à l'annulation de la décision attaquée. Ainsi, leur intervention est recevable.

2. French Data Network, la Quadrature du Net et la Fédération des fournisseurs d'accès à internet associatifs ont demandé au Premier ministre d'abroger l'article R. 10-13 du code des postes et des communications électroniques et le décret du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne. Ces trois associations attaquent la décision implicite de rejet née du silence gardé par le Premier ministre sur leur demande.

3. L'autorité compétente, saisie d'une demande tendant à l'abrogation d'un règlement illégal, est tenue d'y déférer, soit que, réserve faite des vices de forme et de procédure dont il serait entaché, ce règlement ait été illégal dès la date de sa signature, soit que l'illégalité résulte de circonstances de droit ou de fait postérieures à cette date.

Sur le refus d'abroger l'article R. 10-13 du code des postes et des communications électroniques :

4. Aux termes de l'article L. 34-1 du code des postes et des communications électroniques dans sa rédaction applicable : " I.-Le présent article s'applique au traitement des données à caractère personnel dans le cadre de la fourniture au public de services de communications électroniques ; il s'applique notamment aux réseaux qui prennent en charge les dispositifs de collecte de données et d'identification. / II.-Les opérateurs de communications électroniques, et notamment les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne, effacent ou rendent anonyme toute donnée relative au trafic, sous réserve des dispositions des III, IV, V et VI. / Les personnes qui fournissent au public des services de communications électroniques établissent, dans le respect des dispositions de l'alinéa précédent, des procédures internes permettant de répondre aux demandes des autorités compétentes. / Les personnes qui, au titre d'une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l'intermédiaire d'un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions applicables aux opérateurs de communications électroniques en vertu du présent article. / III.-Pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ou d'un manquement à l'obligation définie à l'article L. 336-3 du code de la propriété intellectuelle ou pour les besoins de la prévention des atteintes aux systèmes de traitement automatisé de données prévues et réprimées par les articles 323-1 à 323-3-1 du code pénal, et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l'autorité judiciaire ou de la haute autorité mentionnée à l'article L. 331-12 du code de la propriété intellectuelle ou de l'autorité nationale de sécurité des systèmes d'information mentionnée à l'article L. 2321-1 du code de la défense, il peut être différé pour une durée maximale d'un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques. Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, détermine, dans les limites fixées par le VI, ces catégories de données et la durée de leur conservation, selon l'activité des opérateurs et la nature des communications ainsi que les modalités de compensation, le cas échéant, des surcoûts identifiables et spécifiques des prestations assurées à ce titre, à la demande de l'Etat, par les opérateurs. ". L'article R. 10-13 de ce même code, dont les requérants ont demandé l'abrogation, met en oeuvre les dispositions précitées du III de l'article L. 34-1, notamment en énumérant les données qui doivent être conservées par les opérateurs de communications électroniques et en fixant à un an leur durée de conservation.

5. En premier lieu, contrairement à ce que soutiennent les intervenants, le fait que l'obligation de conservation décrite au point précédent revête un caractère général sans être limitée à des personnes ou circonstances particulières n'est pas, par lui-même, contraire aux exigences découlant des stipulations de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.

6. En second lieu, d'une part, aux termes de l'article 4 du Traité sur l'Union européenne, l'Union " respecte les fonctions essentielles de l'Etat, notamment celles qui ont pour objet d'assurer son intégrité territoriale, de maintenir l'ordre public et de sauvegarder la sécurité nationale. En particulier, la sécurité nationale reste de la seule responsabilité de chaque Etat membre ". L'article 51 de la Charte des droits fondamentaux de l'Union européenne prévoit que " 1. Les dispositions de la présente Charte s'adressent aux institutions, organes et organismes de l'Union dans le respect du principe de subsidiarité, ainsi qu'aux Etats membres uniquement lorsqu'ils mettent en oeuvre le droit de l'Union. (...) 2. La présente Charte n'étend pas le champ d'application du droit de l'Union au-delà des compétences de l'Union, ni ne crée aucune compétence ni aucune tâche nouvelles pour l'Union et ne modifie pas les compétences et tâches définies dans les traités ". Aux termes de son article 54 : " Aucune des dispositions de la présente Charte ne doit être interprétée comme impliquant un droit quelconque de se livrer à une activité ou d'accomplir un acte visant à la destruction des droits ou libertés reconnus dans la présente Charte (...) ".

7. D'autre part, la directive du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, qui a été prise sur le fondement de l'article 95 du traité instituant la Communauté européenne, désormais repris à l'article 114 du traité sur le fonctionnement de l'Union européenne, procède de la volonté de rapprocher les législations des Etats membres afin de permettre l'établissement et le fonctionnement du marché intérieur. Elle a pour objet, ainsi que l'énonce le paragraphe 1 de son article 3, le " traitement des données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communication dans la Communauté ". Mais, ainsi que le rappelle son article 1er, paragraphe 3, elle " ne s'applique pas aux activités qui ne relèvent pas du traité instituant la Communauté européenne (...) et, en tout état de cause, aux activités concernant la sécurité publique, la défense, la sûreté de l'État (y compris la prospérité économique de l'État lorsqu'il s'agit d'activités liées à la sûreté de l'État) ou aux activités de l'État dans des domaines relevant du droit pénal ". Par ailleurs, son article 15 prévoit que " Les États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations prévus aux articles 5 et 6, à l'article 8, paragraphes 1, 2, 3 et 4, et à l'article 9 de la présente directive lorsqu'une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d'une société démocratique, pour sauvegarder la sécurité nationale - c'est-à-dire la sûreté de l'État - la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d'infractions pénales ou d'utilisations non autorisées du système de communications électroniques, comme le prévoit l'article 13, paragraphe 1, de la directive 95/46/CE. À cette fin, les États membres peuvent, entre autres, adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe. Toutes les mesures visées dans le présent paragraphe sont prises dans le respect des principes généraux du droit communautaire, y compris ceux visés à l'article 6, paragraphes 1 et 2, du traité sur l'Union européenne ". Les Etats membres sont ainsi autorisés, pour des motifs tenant à la sûreté de l'Etat ou à la lutte contre les infractions pénales, à déroger, notamment, à l'obligation de confidentialité des données à caractère personnel, ainsi que de confidentialité des données relatives au trafic y afférentes, qui découlent de l'article 5, paragraphe 1 de la directive.

En ce qui concerne l'obligation de conservation généralisée et indifférenciée :

8. Par son arrêt du 21 décembre 2016, Tele2 Sverige AB c/ Post-och telestyrelsen et Secretary of State for the Home Department c/ Tom Watson et autres (C-203/15 et C-698/15), la Cour de justice de l'Union européenne a dit pour droit que l'article 15, paragraphe 1, de cette directive, " lu à la lumière des articles 7, 8 et 11 ainsi que de l'article 52, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens qu'il s'oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l'ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ".

9. D'une part, il est constant qu'une telle conservation préventive et indifférenciée permet à l'autorité judiciaire d'accéder aux données relatives aux communications qu'un individu a effectuées avant d'être suspecté d'avoir commis une infraction pénale. Une telle conservation présente dès lors une utilité sans équivalent pour la recherche, la constatation et la poursuite des infractions pénales.

10. D'autre part, ainsi que l'a relevé la Cour de justice de l'Union européenne dans son arrêt du 21 décembre 2016, une telle conservation, dès lors qu'elle ne révèle pas le contenu d'une communication, n'est pas de nature à porter atteinte au " contenu essentiel " des droits consacrés par les articles 7 et 8 de la Charte. En outre, la Cour a depuis lors rappelé, dans son avis 1/15 du 26 juillet 2017, que ces droits " n'apparaissent pas comme étant des prérogatives absolues " et qu'un objectif d'intérêt général de l'Union est susceptible de justifier des ingérences, même graves, dans ces droits fondamentaux, après avoir relevé que " la protection de la sécurité publique contribue également à la protection des droits et des libertés d'autrui " et que " l'article 6 de la Charte énonce le droit de toute personne non seulement à la liberté, mais également à la sûreté ".

11. Dans ces conditions la question de déterminer si l'obligation de conservation généralisée et indifférenciée, imposée aux fournisseurs sur le fondement des dispositions permissives de l'article 15, paragraphe 1, de la directive du 12 juillet 2002, ne doit pas être regardée, notamment eu égard aux garanties et contrôles dont sont assortis ensuite le recueil et l'utilisation de ces données de connexion, comme une ingérence justifiée par le droit à la sûreté garanti à l'article 6 de la Charte des droits fondamentaux de l'Union européenne et les exigences de la sécurité nationale, dont la responsabilité incombe aux seuls Etats-membres en vertu de l'article 4 du traité sur l'Union européenne, soulève une première difficulté d'interprétation du droit de l'Union européenne.

Sur le refus d'abroger les dispositions du chapitre Ier du décret du 25 février 2011 :

12. Le premier alinéa du II de l'article 6 de la loi du 21 juin 2004 pour la confiance dans l'économie numérique prévoit que les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne et les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services " détiennent et conservent les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires ". Le troisième alinéa du II prévoit que l'autorité judiciaire peut requérir communication auprès de ces personnes des données mentionnées au premier alinéa. Le dernier alinéa du II dispose qu'un décret en Conseil d'Etat " définit les données mentionnées au premier alinéa et détermine la durée et les modalités de leur conservation ". Le premier chapitre du décret du 25 février 2011 a été pris à cette fin.

13. Le II de l'article 6 de la loi du 21 juin 2004, qui impose une obligation de détention et de conservation des seules données relatives à la création de contenu, n'entre pas dans le champ d'application de la directive du 12 juillet 2002, clairement réservé, aux termes de son article 3, paragraphe 1, " au traitement des données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications dans la Communauté ".

14. En revanche, les dispositions précitées du II de l'article 6 de la loi du 21 juin 2004 relèvent, de façon claire, du champ d'application de la directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur, laquelle a, aux termes de son article 1er, paragraphe 1, " pour objectif de contribuer au bon fonctionnement du marché intérieur en assurant la libre circulation des services de la société de l'information entre les Etats membres ". Les articles 12 et 14 de cette directive sont relatifs aux services respectivement fournis par les fournisseurs de services de communication au public et par les prestataires au titre de l'hébergement. L'article 15, paragraphe 1, de cette directive prévoit que " Les États membres ne doivent pas imposer aux prestataires, pour la fourniture des services visée aux articles 12, 13 et 14, une obligation générale de surveiller les informations qu'ils transmettent ou stockent, ou une obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites ". Aux termes du paragraphe 2 de ce même article : " Les États membres peuvent instaurer, pour les prestataires de services de la société de l'information, l'obligation d'informer promptement les autorités publiques compétentes d'activités illicites alléguées qu'exerceraient les destinataires de leurs services ou d'informations illicites alléguées que ces derniers fourniraient ou de communiquer aux autorités compétentes, à leur demande, les informations permettant d'identifier les destinataires de leurs services avec lesquels ils ont conclu un accord d'hébergement. ". Ainsi, la directive n'instaure pas, par elle-même, une interdiction de principe quant à la conservation des données relatives à la création de contenu, à laquelle il pourrait seulement être dérogé par exception.

15. La question de déterminer si ces dispositions précitées de la directive du 8 juin 2000 lues à la lumière des articles 6, 7, 8 et 11 ainsi que de l'article 52, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne, doivent être interprétées en ce sens qu'elles permettent à un Etat d'instaurer une réglementation nationale imposant aux personnes rappelées au point 12 de conserver les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires, afin que l'autorité judiciaire puisse, le cas échéant, en requérir communication en vue de faire respecter les règles relatives à la responsabilité civile ou pénale, soulève une seconde difficulté sérieuse d'interprétation du droit de l'Union européenne.

16. Les deux questions énoncées aux points 11 et 15 sont déterminantes pour la solution complète du litige que doit trancher le Conseil d'Etat. Elles présentent, ainsi qu'il a été dit, des difficultés sérieuses d'interprétation du droit de l'Union européenne. Il y a lieu, par suite, d'en saisir la Cour de justice de l'Union européenne en application de l'article 267 du traité sur le fondement de l'Union européenne et, jusqu'à ce que celle-ci se soit prononcée, de surseoir à statuer sur la requête des associations requérantes.




D E C I D E :
--------------

Article 1er : L'intervention de Privacy International et du Center for Democracy and Technology est admise.
Article 2 : Il est sursis à statuer sur la requête de French Data Network, la Quadrature du net et la Fédération des fournisseurs d'accès à Internet associatifs, jusqu'à ce que la Cour de justice de l'Union européenne se soit prononcée sur la question suivante :
1° L'obligation de conservation généralisée et indifférenciée, imposée aux fournisseurs sur le fondement des dispositions permissives de l'article 15, paragraphe 1, de la directive du 12 juillet 2002, ne doit-elle pas être regardée, notamment eu égard aux garanties et contrôles dont sont assortis ensuite le recueil et l'utilisation de ces données de connexion, comme une ingérence justifiée par le droit à la sûreté garanti à l'article 6 de la Charte des droits fondamentaux de l'Union européenne et les exigences de la sécurité nationale, dont la responsabilité incombe aux seuls Etats-membres en vertu de l'article 4 du traité sur l'Union européenne '
2° Les dispositions de la directive du 8 juin 2000, lues à la lumière des articles 6, 7, 8 et 11 ainsi que de l'article 52, paragraphe 1, de la charte des droits fondamentaux de l'Union européenne, doivent-elles être interprétées en ce sens qu'elles permettent à un Etat d'instaurer une réglementation nationale imposant aux personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne et aux personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services, de conserver les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires, afin que l'autorité judiciaire puisse, le cas échéant, en requérir communication en vue de faire respecter les règles relatives à la responsabilité civile ou pénale '
Article 3 : La présente décision sera notifiée à French Data Network, à la Quadrature du net, à la Fédération des fournisseurs d'accès à Internet associatifs, au Premier ministre, à la garde des sceaux, ministre de la justice, et au greffier de la Cour de justice de l'Union européenne.

ECLI:FR:CECHR:2018:393099.20180726
Retourner en haut de la page