Conseil d'État
N° 459724
ECLI:FR:CECHR:2023:459724.20230630
Inédit au recueil Lebon
10ème - 9ème chambres réunies
M. Rémy Schwartz, président
Mme Alexandra Bratos, rapporteur
M. Laurent Domingo, rapporteur public
Lecture du vendredi 30 juin 2023
Vu les procédures suivantes :
1° Sous le numéro 459724, par une requête sommaire, un mémoire complémentaire et un mémoire en réplique, enregistrés les 22 décembre 2021, 21 mars et 18 octobre 2022 au secrétariat du contentieux du Conseil d'Etat, les sociétés Free, Free mobile et Scaleway demandent au Conseil d'Etat :
1°) d'annuler le décret n° 2021-1362 du 20 octobre 2021 relatif à la conservation des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne, pris en application du II de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique ;
2°) de mettre à la charge de l'Etat la somme de 10 000 euros au titre de l'article L. 761-1 du code de justice administrative.
2° Sous le numéro 459726, par une requête sommaire, un mémoire complémentaire, un nouveau mémoire et un mémoire en réplique, enregistrés les 22 décembre 2021, 21 mars, 25 juillet et 18 octobre 2022 au secrétariat du contentieux du Conseil d'Etat, les sociétés Free et Free mobile demandent au Conseil d'Etat :
1°) d'annuler le décret n° 2021-1361 du 20 octobre 2021 relatif aux catégories de données conservées par les opérateurs de communications électroniques, pris en application de l'article L. 34-1 du code des postes et des communications électroniques ;
2°) de mettre à la charge de l'Etat la somme de 10 000 euros au titre de l'article L. 761-1 du code de justice administrative.
....................................................................................
Vu les autres pièces des dossiers ;
Vu :
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- la charte des droits fondamentaux de l'Union européenne ;
- le règlement (UE) 2016/679 u Parlement européen et du Conseil du 27 avril 2016 ;
- la directive 2022/58/CE du Parlement européen et du Conseil du 12 juillet 2002 ;
- le code des postes et des communications électroniques ;
- la loi n° 2004-575 du 21 juin 2004 ;
- la loi n° 2021-998 du 30 juillet 2021 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de Mme Alexandra Bratos, auditrice,
- les conclusions de M. Laurent Domingo, rapporteur public ;
Considérant ce qui suit :
1. Les sociétés requérantes contestent les dispositions réglementaires fixant les catégories de données de connexion que les opérateurs de communications électroniques, les fournisseurs d'accès à internet et les hébergeurs de contenus, sont tenus ou peuvent être tenus, selon les cas, de conserver, sous certaines conditions prévues par la loi. Sous le n° 459724, les sociétés Free, Free mobile et Scaleway demandent l'annulation du décret n° 2021-1362 du 20 octobre 2021 relatif à la conservation des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne, pris en application du II de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique. Sous le n° 459726, les sociétés Free et Free mobile demandent l'annulation du décret n° 2021-1361 du 20 octobre 2021 relatif aux catégories de données conservées par les opérateurs de communications électroniques, pris en application de l'article L. 34-1 du code des postes et des communications électroniques.
2. Les requêtes présentent à juger des questions communes. Il y a lieu de les joindre pour statuer par une seule décision.
Sur le cadre juridique applicable :
3. L'article L. 34-1 du code des postes et des communications électroniques, dans sa version résultant de la loi n° 2021-998 du 30 juillet 2021, dispose que : " II. - Les opérateurs de communications électroniques, et notamment les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne, effacent ou rendent anonymes, sous réserve des II bis à VI, les données relatives aux communications électroniques. (...) / II bis.- Les opérateurs de communications électroniques sont tenus de conserver : / 1° Pour les besoins des procédures pénales, de la prévention des menaces contre la sécurité publique et de la sauvegarde de la sécurité nationale, les informations relatives à l'identité civile de l'utilisateur, jusqu'à l'expiration d'un délai de cinq ans à compter de la fin de validité de son contrat ; / 2° Pour les mêmes finalités que celles énoncées au 1° du présent II bis, les autres informations fournies par l'utilisateur lors de la souscription d'un contrat ou de la création d'un compte ainsi que les informations relatives au paiement, jusqu'à l'expiration d'un délai d'un an à compter de la fin de validité de son contrat ou de la clôture de son compte ; / 3° Pour les besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale, les données techniques permettant d'identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, jusqu'à l'expiration d'un délai d'un an à compter de la connexion ou de l'utilisation des équipements terminaux. / III.- Pour des motifs tenant à la sauvegarde de la sécurité nationale, lorsqu'est constatée une menace grave, actuelle ou prévisible, contre cette dernière, le Premier ministre peut enjoindre par décret aux opérateurs de communications électroniques de conserver, pour une durée d'un an, certaines catégories de données de trafic, en complément de celles mentionnées au 3° du II bis, et de données de localisation précisées par décret en Conseil d'Etat. / L'injonction du Premier ministre, dont la durée d'application ne peut excéder un an, peut être renouvelée si les conditions prévues pour son édiction continuent d'être réunies. Son expiration est sans incidence sur la durée de conservation des données mentionnées au premier alinéa du présent III. (...) / Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés et de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, détermine, selon l'activité des opérateurs et la nature des communications, les informations et catégories de données conservées en application des II bis et III ainsi que les modalités de compensation des surcoûts identifiables et spécifiques des prestations assurées à ce titre, à la demande de l'Etat, par les opérateurs (...) ". L'article L. 34-2 du même code dispose à son premier alinéa que : " La prescription est acquise, au profit des opérateurs mentionnés à l'article L. 33-1, pour toutes demandes en restitution du prix de leurs prestations de communications électroniques présentées après un délai d'un an à compter du jour du paiement ".
4. Le 2° de l'article L. 39-3 du code des postes et des communications électroniques punit d'un an d'emprisonnement et de 75 000 euros d'amende le fait pour un opérateur de communications électroniques ou ses agents de ne pas procéder à la conservation des données techniques dans les conditions où cette conservation est exigée par la loi.
5. Le premier alinéa du II de l'article 6 de la loi du 21 juin 2004 pour la confiance dans l'économie numérique prévoit par ailleurs que les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne et les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services " détiennent et conservent les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires ", " dans les conditions fixées au II bis, III et III bis du code des postes et des communications électroniques ".
Sur les dispositions contestées :
6. L'article R. 10-12 du code des postes et des communications électroniques, dans sa version résultant du décret n° 2021-1361 du 20 octobre 2021, dispose que : " Les données de trafic et de localisation, mentionnées aux IV et V de l'article R. 10-13 et à l'article R. 10-14, s'entendent des informations rendues disponibles par les procédés de communication électronique, susceptibles d'être enregistrées par l'opérateur à l'occasion des communications électroniques dont il assure la transmission ". L'article R. 10-13 énumère les données que les opérateurs de télécommunications électroniques sont tenus ou peuvent être tenues de conserver aux fins mentionnées au point 3. Il dispose, dans sa version résultant du décret attaqué, que : " I.- Les informations relatives à l'identité civile de l'utilisateur, au sens du 1° du II bis de l'article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver, sont : / 1° Les nom et prénom, la date et le lieu de naissance pour une personne physique ou la raison sociale, ainsi que les nom, prénom, date et lieu de naissance de la personne agissant en son nom, lorsque le compte est ouvert au nom d'une personne morale ; / 2° La ou les adresses postales associées ; / 3° La ou les adresses de courrier électronique de l'utilisateur et du ou des comptes associés le cas échéant ; / 4° Le ou les numéros de téléphone. / II.- Les autres informations fournies par l'utilisateur lors de la souscription d'un contrat ou de la création d'un compte, mentionnées au 2° du II bis de l'article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver, sont : / 1° L'identifiant utilisé ; / 2° Le ou les pseudonymes utilisés ; / 3° Les données destinées à permettre à l'utilisateur de vérifier son mot de passe ou de le modifier, le cas échéant par l'intermédiaire d'un double système d'identification de l'utilisateur, dans leur dernière version mise à jour. / III.- Les informations relatives au paiement mentionnées au 2° du II bis de l'article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver, pour chaque opération de paiement, lorsque la souscription du contrat ou la création du compte est payante, sont : / 1° Le type de paiement utilisé ; / 2° La référence du paiement ; / 3° Le montant ; / 4° La date, l'heure et le lieu en cas de transaction physique. / IV.- Les données techniques permettant d'identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, mentionnées au 3° du II bis de l'article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver, sont : / 1° L'adresse IP attribuée à la source de la connexion et le port associé ; / 2° Le numéro d'identifiant de l'utilisateur ; / 3° Le numéro d'identification du terminal ; / 4° Le numéro de téléphone à l'origine de la communication. / V.- Les données de trafic et de localisation mentionnées au III de l'article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver sur injonction du Premier ministre, sont : / 1° Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication ; / 2° Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ; / 3° Les données techniques permettant d'identifier le ou les destinataires de la communication, mentionnées aux 1° à 4° du IV du présent article ; / 4° Pour les opérations effectuées à l'aide de téléphones mobiles, les données permettant d'identifier la localisation de la communication. / VI. - Les surcoûts identifiables et spécifiques supportés par les opérateurs requis par les autorités judiciaires pour la fourniture des données relevant des catégories mentionnées au présent article sont compensés selon les modalités prévues à l'article R. 213-1 du code de procédure pénale ".
7. Le décret n° 2021-1362 du 20 octobre 2021 énumère les données que les fournisseurs d'accès à internet et les hébergeurs sont tenus de conserver aux fins mentionnées aux points 3 et 5. Sont concernées les " informations relatives à l'identité civile de l'utilisateur ", les " autres informations fournies par l'utilisateur lors de la souscription d'un contrat ou de la création d'un compte ", les " informations relatives au paiement ", les " données techniques permettant d'identifier la source de connexion ou celles relatives aux équipements terminaux utilisés " et les " données de trafic et de localisation ". Les " données techniques permettant d'identifier la source de connexion ou celles relatives aux équipements terminaux utilisés " sont définies à l'article 5 comme suit : " 1° Pour les personnes mentionnées au 1 du I de l'article 6 de la loi du 21 juin 2004 susvisée et pour chaque connexion de leurs abonnés : / a) L'identifiant de la connexion ; / b) L'identifiant attribué par ces personnes à l'abonné ; / c) L'adresse IP attribuée à la source de la connexion et le port associé ; / 2° Pour les personnes mentionnées au 2 du I de l'article 6 de la loi du 21 juin 2004 susvisée et pour chaque opération de création d'un contenu telle que définie à l'article 6 : / a) L'identifiant de la connexion à l'origine de la communication ; / b) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus (...) ". Les " données de trafic et de localisation " sont définies à l'article 6 comme suit : " 1° Pour les personnes mentionnées au 1 du I de l'article 6 de la loi du 21 juin 2004 susvisée et pour chaque connexion de leurs abonnés : / a) Les dates et heure de début et de fin de la connexion ; / b) Les caractéristiques de la ligne de l'abonné ; / 2° Pour les personnes mentionnées au 2 du I de l'article 6 de la loi du 21 juin 2004 susvisée et pour chaque opération de création d'un contenu : / a) L'identifiant attribué par le système d'information au contenu, objet de l'opération ; / b) La nature de l'opération ; / c) Les date et heure de l'opération ; / d) L'identifiant utilisé par l'auteur de l'opération lorsque celui-ci l'a fourni (...) ". L'article 7 du même décret dispose que : " La contribution à une création de contenu mentionnée au dernier alinéa des articles 5 et 6 du présent décret comprend les opérations portant sur : / 1° Des créations initiales de contenus ; / 2° Des modifications des contenus et de données liées aux contenus ; / 3° Des suppressions de contenus ". L'article 8 du même décret dispose que : " Les données mentionnées aux articles 2 à 6 ne doivent être conservées que dans la mesure où elles sont collectées par les personnes mentionnées aux 1 et 2 du I de l'article 6 de la loi du 21 juin 2004 susvisée lorsqu'elles assurent la mise en oeuvre des services de communication au public en ligne ". L'article 9 abroge le décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne, précédemment applicable.
Sur la légalité des décrets attaqués :
En ce qui concerne les moyens de légalité externe :
8. D'une part, si le décret n° 2021-1361 a modifié, à son article 7, la rédaction de l'article R. 213-1 du code de procédure pénale, relatif à la fixation des tarifs de remboursement des frais résultant pour les opérateurs de communication électronique des réquisitions judiciaires dont ils peuvent être l'objet, qui renvoie lui-même à un arrêté conjoint du ministre de l'économie, des finances et de l'industrie et du ministre de la justice pour la fixation de ces tarifs, la modification qui a été apportée à l'article R. 213-1 a eu pour seul objet de mettre à jour les renvois que comporte cet article aux dispositions de l'article 34-1 du code des postes et des communications électroniques. Les sociétés requérantes ne sont donc pas fondées à soutenir qu'il aurait dû être revêtu du contreseing du ministre de la justice. D'autre part, le décret n° 2021-1362, qui, en tout état de cause, a été contresigné par le ministre chargé des douanes, n'appelle aucune mesure d'exécution relevant du ministre de l'intérieur, du ministre de la justice ou du ministre des armées. Par suite, les moyens tirés de ce que les décrets contestés n'auraient pas été contresignés par les ministres chargés de leur exécution ne peuvent qu'être écartés.
En ce qui concerne les moyens de légalité interne :
9. Il résulte des dispositions de l'article 8 du décret n° 2021-1362, citées au point 7, que les fournisseurs et hébergeurs de contenus soumis à l'obligation de conservation des données de connexion ne sont tenus de conserver que les données qu'ils sont amenés à collecter dans le cadre de leur activité. Si, s'agissant des dispositions issues du décret n° 2021-1361 codifiées dans le code des postes et des communications électroniques, citées au point 6, l'article R. 10-12, qui définit les données de trafic et de localisation au sens des IV et V de l'article R. 10-13, indique qu'il s'agit " des informations rendues disponibles par les procédés de communication électronique, susceptibles d'être enregistrées par l'opérateur à l'occasion des communications électroniques dont il assure la transmission ", cette précision ne saurait être interprétée comme imposant aux opérateurs de communications électroniques de conserver des données autres que celles qu'ils sont amenés à collecter dans le cadre de leur activité en ce qui concerne celles mentionnées aux I, II et III du même article R. 10-13. Il suit de là que les moyens des requêtes critiquant les décrets attaqués au motif qu'ils contraindraient les opérateurs de communications électroniques ainsi que les fournisseurs et hébergeurs de contenus à collecter et conserver des données qu'ils ne collecteraient pas dans le cadre de leur activité ne peuvent qu'être écartés.
Quant aux données relatives à l'identité civile de l'utilisateur :
10. L'obligation de conservation des données relatives à l'identité civile de l'utilisateur mentionnées au I de l'article R. 10-13 du code des postes et des communications électroniques et à l'article 2 du décret n° 2021-1362, alors même qu'elle peut conduire, selon les cas, à conserver une ou plusieurs adresses postales ou électroniques, de comptes associés et de numéros de téléphone, ne saurait être regardée comme disproportionnée au regard des finalités poursuivies. Si les sociétés requérantes soutiennent que ces données seraient définies de façon imprécise, notamment s'agissant de celles relatives au ou aux comptes associés au courrier électronique de l'utilisateur, cette notion, qui renvoie à l'hypothèse dans laquelle il ressort que plusieurs comptes sont regroupés pour la facturation dans un compte unique, ne soulève aucune difficulté d'interprétation. La circonstance que les opérateurs ne seraient pas tenus de certifier ou vérifier les adresses postales et électroniques ne suffit pas à priver de nécessité leur conservation.
Quant aux données relatives aux autres informations fournies par l'utilisateur lors de la souscription du contrat ou la création d'un compte :
11. En ce qui concerne les données relatives aux autres informations fournies par l'utilisateur lors de la souscription du contrat ou de la création d'un compte, mentionnées au II de l'article R. 10-13 du code des postes et des communications électroniques et à l'article 3 du décret n° 2021-1362, il ressort des pièces du dossier que les " données destinées à permettre à l'utilisateur de vérifier son mot de passe ou de le modifier ", qui recouvrent les canaux de communication déclarés au préalable par l'utilisateur pour permettre la récupération de comptes, ne permettent nullement de conserver les mots de passe et données d'authentification des utilisateurs. Il ressort, en outre, des dispositions combinées des premier et deuxième alinéas du II de l'article R. 10-13 du code des postes et des communications électroniques et de l'article 3 du décret n° 2021-1362 du 20 octobre 2021 que l'identifiant conservé est l'identifiant utilisé lors de la souscription d'un contrat ou de la souscription d'un compte.
Quant aux données relatives au paiement :
12. Les requérantes contestent l'obligation de conserver les informations relatives au paiement, mentionnées au III de l'article R. 10-13 du code des postes et des communications électroniques et à l'article 4 du décret n° 2021-1362. Elles soutiennent, sous le n° 459726, que cette conservation, dont l'article L.34-1 du code des postes et des communications électroniques a prévu qu'elle s'impose jusqu'à l'expiration d'un délai d'un an à compter de la fin de validité du contrat ou de la clôture du compte, méconnaîtrait, en raison de son caractère excessif, le droit de l'Union européenne. Toutefois, la contrariété d'une disposition législative au droit de l'Union ne peut être utilement invoquée à l'appui de conclusions dirigées contre un acte réglementaire que si ce dernier a été pris pour son application ou si en elle constitue la base légale. Il suit de là que les sociétés requérantes ne peuvent utilement soutenir par la voie de l'exception, à l'appui de leurs conclusions dirigées contre le III de l'article R. 10-13 du code des postes et des communications électroniques, que les dispositions de l'article L. 34-1 de ce code sont contraires au droit de l'Union, celles-ci ne renvoyant à un décret en Conseil d'Etat que le soin de préciser les informations et catégories de données conservées et les modalités de compensation des surcoûts, et non la durée de conservation de ces données, laquelle est déterminée directement par la loi.
13. Par ailleurs, il ressort des pièces du dossier, et notamment de la mesure d'instruction diligentée par la 10ème chambre de la section du contentieux, que la conservation des données relatives à la date, à l'heure et au lieu des transactions physiques, mentionnées au 4° du III de l'article R. 10-3 du code des postes et des communications électroniques et au 4° de l'article 4 du décret n° 2021-1362, permet de conduire des investigations sur site dans le cadre d'enquêtes pénales et de détecter, pour les services de renseignement, la souscription d'abonnements multiples sur le même point de vente, pour les besoins des procédures pénales, de la prévention des menaces contre la sécurité publique et de la sauvegarde de la sécurité nationale. Il résulte des dispositions du b) de l'article 2 de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques que la notion de " données de localisation " recouvre " toutes les données traitées dans un réseau de communications électroniques indiquant la position géographique de l'équipement terminal d'un utilisateur d'un service de communications électroniques accessible au public ". Contrairement à ce qui est soutenu, les données relatives au lieu d'une transaction physique ne sauraient donc être regardées comme des données de localisation, dont la conservation ne pourrait avoir pour finalité que la lutte contre la criminalité et la délinquance grave, la prévention des menaces graves contre la sécurité publique et la sauvegarde de la sécurité nationale. Ces données sont, par suite, adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités poursuivies.
Quant aux données relatives à la source de connexion et aux équipements terminaux utilisés :
14. En ce qui concerne les données relatives à la source de connexion et aux équipements terminaux utilisés, mentionnées au IV de l'article R. 10-13 du code des postes et des communications électroniques et à l'article 5 du décret n° 2021-1362, il ressort des pièces du dossier et notamment de la mesure d'instruction diligentée par la 10ème chambre de la section du contentieux que l'identifiant de connexion renvoie à l'adresse IP publique, soit le numéro d'identification permanent ou provisoire attribué par le fournisseur d'accès à internet ou l'opérateur de communications électroniques à chaque dispositif connecté sur internet. Il en ressort également que les dispositions qui mentionnent " l'adresse IP attribuée à la source de la connexion et le port associé " doivent s'entendre comme visant à la fois l'IP publique et, lorsque elle est partagée entre plusieurs terminaux dans le cas des réseaux locaux, l'IP privée, seul moyen d'identifier la source de communication et, par suite, la personne physique concernée qui est à l'origine de cette communication. Si les sociétés requérantes soutiennent que la réglementation actuelle ne permet pas, dans le champ du IV de l'article R. 10-13 du code des postes et des communications électroniques et dans celui de l'article 5 du décret n° 2021-1362, de limiter la collecte à l'adresse IP de la source de communication, il ressort bien des dispositions attaquées que sont couvertes les seules adresses IP à l'origine de la communication, par opposition aux obligations de conservation prévues par le V de l'article R. 10-13, qui permet également la conservation des données techniques permettant d'identifier le ou les destinataires de la communication. Il en ressort enfin que le numéro d'identification du terminal recouvre notamment les données relatives aux connexions internet fixes par wi-fi. Les moyens tirés de l'absence de nécessité de conservation de ces données et de l'imprécision du texte ne peuvent, par suite, qu'être écartés.
Quant aux données de trafic ou de localisation :
15. En ce qui concerne les données de trafic ou de localisation, mentionnées au V de l'article R. 10-13 du code des postes et des communications électroniques et à l'article 6 du décret n° 2021-1362, il ressort des pièces du dossier que les " caractéristiques techniques " correspondent aux données collectées par l'opérateur pour effectuer et justifier la facturation de l'abonné et gérer son réseau, tels que le sens de l'appel, le type d'appel, le rôle de l'abonné, le type de communication ou le volume de données échangées. Il ressort, par ailleurs, de la mesure supplémentaire d'instruction diligentée par la 10ème chambre de la section du contentieux que les " services complémentaires " demandés ou utilisés, dont la nature est évolutive, l'offre variable selon les opérateurs et dont l'identification fait d'ailleurs l'objet d'un dialogue continu entre l'Etat et les personnes soumises à l'obligation de conservation mentionnées au point 3, correspondent à des services complémentaires à la fourniture de communication par internet ou par téléphonie, tels que, notamment, les renvois d'appels ou le recours à un commutateur téléphonique privé. Les données en cause, qui constituent parfois les seuls éléments de preuve permettant de prévenir et de réprimer des agissements menaçant la sauvegarde de la sécurité nationale, sont nécessaires au regard des finalités poursuivies. Les moyens tirés de l'absence de nécessité de conservation de ces données et de l'imprécision du texte, qui se borne au demeurant à reprendre une terminologie résultant déjà du texte antérieur, ne peuvent, par suite, qu'être écartés.
Quant à la notion de " contribution à une création de contenu " :
16. Si les sociétés requérantes estiment que l'article 7 du décret n° 2021-1362 étend la notion de " création de contenu " aux modifications et aux suppressions de contenus, il ressort des pièces du dossier que la définition retenue est identique à celle résultant du décret abrogé du 25 février 2011. Ces dispositions ne sauraient, en tout état de cause, être interprétées comme imposant la conservation de données au-delà des délais prévus aux articles 5 et 6 du décret attaqué.
Quant aux autres moyens de légalité interne :
17. En premier lieu, les dispositions des décrets attaqués ont pour seul objet de définir les données de connexion entrant dans le champ de l'obligation de conservation au regard des finalités poursuivies et n'ont pas d'incidence sur les conditions d'accès à de telles données. Le moyen tiré de ce qu'en ne définissant pas ces conditions d'accès, il aurait méconnu les exigences du droit de l'Union européenne ne peut donc qu'être écarté. De même, ainsi qu'il a été dit aux points 9 à 16, les dispositions contestées ne sauraient être regardées comme insuffisamment précises. Par suite, le moyen tiré de ce que les décrets seraient entachés d' " incompétence négative " et de méconnaissance du principe de légalité des délits et des peines ne peut, en tout état de cause, qu'être écarté. Enfin, la circonstance que le décret ne précise pas les modalités de conservation des données est sans incidence sur sa légalité.
18. En deuxième lieu, si la conservation des données de connexion selon les modalités définies aux points 3 à 5 constitue une ingérence dans le droit au respect de la vie privée garanti par l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, cette ingérence résulte de la loi. Elle est légitime, en ce qu'elle poursuit des finalités tenant à la recherche des auteurs d'infractions pénales, la prévention des menaces contre la sécurité publique, la lutte contre la criminalité et la délinquance grave et à la sauvegarde la sécurité nationale. Elle est nécessaire dans une société démocratique, et est proportionnée, en ce qu'elle ne permet la conservation des données techniques permettant d'identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés que pour les besoins de lutte contre la criminalité et la délinquance grave, la prévention des menaces graves contre la sécurité publique et la sauvegarde de la sécurité nationale, et la conservation de certaines données de trafic et de localisation, sur injonction du Premier ministre, que pour des motifs tenant à la sauvegarde de la sécurité nationale, lorsqu'est constatée une menace grave, actuelle ou prévisible, pour une durée d'un an maximum, cette durée pouvant être renouvelée si les conditions prévues pour son édiction continuent d'être réunies. Par suite, le moyen tiré de la méconnaissance, par l'article L. 34-1 du code des postes et télécommunications électroniques et ses décrets d'application, de l'article 8 de la convention ne peut qu'être écarté.
19. En troisième lieu, eu égard à l'incidence pratique limitée des modifications apportées par les décrets contestés au regard du droit antérieur pour les personnes soumises à l'obligation de conservation des données de connexion, il n'y avait pas lieu de les assortir de mesures transitoires. Par suite, le moyen tiré de la méconnaissance du principe de sécurité juridique ne peut qu'être écarté.
20. Il résulte de ce qui précède que les requêtes des sociétés requérantes doivent être rejetées, y compris leurs conclusions présentées au titre de l'article L. 761-1 du code de justice administrative.
D E C I D E :
--------------
Article 1er : Les requêtes des sociétés Free, Free mobile et Scaleway sont rejetées.
Article 2 : La présente décision sera notifiée à la société Free, première dénommée, pour l'ensemble des requérantes, à la Première ministre, au ministre de l'économie, des finances et de la souveraineté industrielle et numérique et à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 19 juin 2023 où siégeaient : M. Rémy Schwartz, président adjoint de la section du contentieux, présidant ; M. Bertrand Dacosta, Mme Anne Egerszegi, présidents de chambre ; Mme Nathalie Escaut, M. Nicolas Polge, M. Vincent Daumas, Mme Rozen Noguellou, conseillers d'Etat ; Mme Christelle Thomas, maître des requêtes et Mme Alexandra Bratos, auditrice-rapporteure.
Rendu le 30 juin 2023.
Le président :
Signé : M. Rémy Schwartz
La rapporteure :
Signé : Mme Alexandra Bratos
La secrétaire :
Signé : Mme Claudine Ramalahanoharana
N° 459724
ECLI:FR:CECHR:2023:459724.20230630
Inédit au recueil Lebon
10ème - 9ème chambres réunies
M. Rémy Schwartz, président
Mme Alexandra Bratos, rapporteur
M. Laurent Domingo, rapporteur public
Lecture du vendredi 30 juin 2023
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
AU NOM DU PEUPLE FRANCAIS
Vu les procédures suivantes :
1° Sous le numéro 459724, par une requête sommaire, un mémoire complémentaire et un mémoire en réplique, enregistrés les 22 décembre 2021, 21 mars et 18 octobre 2022 au secrétariat du contentieux du Conseil d'Etat, les sociétés Free, Free mobile et Scaleway demandent au Conseil d'Etat :
1°) d'annuler le décret n° 2021-1362 du 20 octobre 2021 relatif à la conservation des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne, pris en application du II de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique ;
2°) de mettre à la charge de l'Etat la somme de 10 000 euros au titre de l'article L. 761-1 du code de justice administrative.
2° Sous le numéro 459726, par une requête sommaire, un mémoire complémentaire, un nouveau mémoire et un mémoire en réplique, enregistrés les 22 décembre 2021, 21 mars, 25 juillet et 18 octobre 2022 au secrétariat du contentieux du Conseil d'Etat, les sociétés Free et Free mobile demandent au Conseil d'Etat :
1°) d'annuler le décret n° 2021-1361 du 20 octobre 2021 relatif aux catégories de données conservées par les opérateurs de communications électroniques, pris en application de l'article L. 34-1 du code des postes et des communications électroniques ;
2°) de mettre à la charge de l'Etat la somme de 10 000 euros au titre de l'article L. 761-1 du code de justice administrative.
....................................................................................
Vu les autres pièces des dossiers ;
Vu :
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- la charte des droits fondamentaux de l'Union européenne ;
- le règlement (UE) 2016/679 u Parlement européen et du Conseil du 27 avril 2016 ;
- la directive 2022/58/CE du Parlement européen et du Conseil du 12 juillet 2002 ;
- le code des postes et des communications électroniques ;
- la loi n° 2004-575 du 21 juin 2004 ;
- la loi n° 2021-998 du 30 juillet 2021 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de Mme Alexandra Bratos, auditrice,
- les conclusions de M. Laurent Domingo, rapporteur public ;
Considérant ce qui suit :
1. Les sociétés requérantes contestent les dispositions réglementaires fixant les catégories de données de connexion que les opérateurs de communications électroniques, les fournisseurs d'accès à internet et les hébergeurs de contenus, sont tenus ou peuvent être tenus, selon les cas, de conserver, sous certaines conditions prévues par la loi. Sous le n° 459724, les sociétés Free, Free mobile et Scaleway demandent l'annulation du décret n° 2021-1362 du 20 octobre 2021 relatif à la conservation des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne, pris en application du II de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique. Sous le n° 459726, les sociétés Free et Free mobile demandent l'annulation du décret n° 2021-1361 du 20 octobre 2021 relatif aux catégories de données conservées par les opérateurs de communications électroniques, pris en application de l'article L. 34-1 du code des postes et des communications électroniques.
2. Les requêtes présentent à juger des questions communes. Il y a lieu de les joindre pour statuer par une seule décision.
Sur le cadre juridique applicable :
3. L'article L. 34-1 du code des postes et des communications électroniques, dans sa version résultant de la loi n° 2021-998 du 30 juillet 2021, dispose que : " II. - Les opérateurs de communications électroniques, et notamment les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne, effacent ou rendent anonymes, sous réserve des II bis à VI, les données relatives aux communications électroniques. (...) / II bis.- Les opérateurs de communications électroniques sont tenus de conserver : / 1° Pour les besoins des procédures pénales, de la prévention des menaces contre la sécurité publique et de la sauvegarde de la sécurité nationale, les informations relatives à l'identité civile de l'utilisateur, jusqu'à l'expiration d'un délai de cinq ans à compter de la fin de validité de son contrat ; / 2° Pour les mêmes finalités que celles énoncées au 1° du présent II bis, les autres informations fournies par l'utilisateur lors de la souscription d'un contrat ou de la création d'un compte ainsi que les informations relatives au paiement, jusqu'à l'expiration d'un délai d'un an à compter de la fin de validité de son contrat ou de la clôture de son compte ; / 3° Pour les besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale, les données techniques permettant d'identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, jusqu'à l'expiration d'un délai d'un an à compter de la connexion ou de l'utilisation des équipements terminaux. / III.- Pour des motifs tenant à la sauvegarde de la sécurité nationale, lorsqu'est constatée une menace grave, actuelle ou prévisible, contre cette dernière, le Premier ministre peut enjoindre par décret aux opérateurs de communications électroniques de conserver, pour une durée d'un an, certaines catégories de données de trafic, en complément de celles mentionnées au 3° du II bis, et de données de localisation précisées par décret en Conseil d'Etat. / L'injonction du Premier ministre, dont la durée d'application ne peut excéder un an, peut être renouvelée si les conditions prévues pour son édiction continuent d'être réunies. Son expiration est sans incidence sur la durée de conservation des données mentionnées au premier alinéa du présent III. (...) / Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés et de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, détermine, selon l'activité des opérateurs et la nature des communications, les informations et catégories de données conservées en application des II bis et III ainsi que les modalités de compensation des surcoûts identifiables et spécifiques des prestations assurées à ce titre, à la demande de l'Etat, par les opérateurs (...) ". L'article L. 34-2 du même code dispose à son premier alinéa que : " La prescription est acquise, au profit des opérateurs mentionnés à l'article L. 33-1, pour toutes demandes en restitution du prix de leurs prestations de communications électroniques présentées après un délai d'un an à compter du jour du paiement ".
4. Le 2° de l'article L. 39-3 du code des postes et des communications électroniques punit d'un an d'emprisonnement et de 75 000 euros d'amende le fait pour un opérateur de communications électroniques ou ses agents de ne pas procéder à la conservation des données techniques dans les conditions où cette conservation est exigée par la loi.
5. Le premier alinéa du II de l'article 6 de la loi du 21 juin 2004 pour la confiance dans l'économie numérique prévoit par ailleurs que les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne et les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services " détiennent et conservent les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires ", " dans les conditions fixées au II bis, III et III bis du code des postes et des communications électroniques ".
Sur les dispositions contestées :
6. L'article R. 10-12 du code des postes et des communications électroniques, dans sa version résultant du décret n° 2021-1361 du 20 octobre 2021, dispose que : " Les données de trafic et de localisation, mentionnées aux IV et V de l'article R. 10-13 et à l'article R. 10-14, s'entendent des informations rendues disponibles par les procédés de communication électronique, susceptibles d'être enregistrées par l'opérateur à l'occasion des communications électroniques dont il assure la transmission ". L'article R. 10-13 énumère les données que les opérateurs de télécommunications électroniques sont tenus ou peuvent être tenues de conserver aux fins mentionnées au point 3. Il dispose, dans sa version résultant du décret attaqué, que : " I.- Les informations relatives à l'identité civile de l'utilisateur, au sens du 1° du II bis de l'article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver, sont : / 1° Les nom et prénom, la date et le lieu de naissance pour une personne physique ou la raison sociale, ainsi que les nom, prénom, date et lieu de naissance de la personne agissant en son nom, lorsque le compte est ouvert au nom d'une personne morale ; / 2° La ou les adresses postales associées ; / 3° La ou les adresses de courrier électronique de l'utilisateur et du ou des comptes associés le cas échéant ; / 4° Le ou les numéros de téléphone. / II.- Les autres informations fournies par l'utilisateur lors de la souscription d'un contrat ou de la création d'un compte, mentionnées au 2° du II bis de l'article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver, sont : / 1° L'identifiant utilisé ; / 2° Le ou les pseudonymes utilisés ; / 3° Les données destinées à permettre à l'utilisateur de vérifier son mot de passe ou de le modifier, le cas échéant par l'intermédiaire d'un double système d'identification de l'utilisateur, dans leur dernière version mise à jour. / III.- Les informations relatives au paiement mentionnées au 2° du II bis de l'article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver, pour chaque opération de paiement, lorsque la souscription du contrat ou la création du compte est payante, sont : / 1° Le type de paiement utilisé ; / 2° La référence du paiement ; / 3° Le montant ; / 4° La date, l'heure et le lieu en cas de transaction physique. / IV.- Les données techniques permettant d'identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, mentionnées au 3° du II bis de l'article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver, sont : / 1° L'adresse IP attribuée à la source de la connexion et le port associé ; / 2° Le numéro d'identifiant de l'utilisateur ; / 3° Le numéro d'identification du terminal ; / 4° Le numéro de téléphone à l'origine de la communication. / V.- Les données de trafic et de localisation mentionnées au III de l'article L. 34-1, que les opérateurs de communications électroniques sont tenus de conserver sur injonction du Premier ministre, sont : / 1° Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication ; / 2° Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ; / 3° Les données techniques permettant d'identifier le ou les destinataires de la communication, mentionnées aux 1° à 4° du IV du présent article ; / 4° Pour les opérations effectuées à l'aide de téléphones mobiles, les données permettant d'identifier la localisation de la communication. / VI. - Les surcoûts identifiables et spécifiques supportés par les opérateurs requis par les autorités judiciaires pour la fourniture des données relevant des catégories mentionnées au présent article sont compensés selon les modalités prévues à l'article R. 213-1 du code de procédure pénale ".
7. Le décret n° 2021-1362 du 20 octobre 2021 énumère les données que les fournisseurs d'accès à internet et les hébergeurs sont tenus de conserver aux fins mentionnées aux points 3 et 5. Sont concernées les " informations relatives à l'identité civile de l'utilisateur ", les " autres informations fournies par l'utilisateur lors de la souscription d'un contrat ou de la création d'un compte ", les " informations relatives au paiement ", les " données techniques permettant d'identifier la source de connexion ou celles relatives aux équipements terminaux utilisés " et les " données de trafic et de localisation ". Les " données techniques permettant d'identifier la source de connexion ou celles relatives aux équipements terminaux utilisés " sont définies à l'article 5 comme suit : " 1° Pour les personnes mentionnées au 1 du I de l'article 6 de la loi du 21 juin 2004 susvisée et pour chaque connexion de leurs abonnés : / a) L'identifiant de la connexion ; / b) L'identifiant attribué par ces personnes à l'abonné ; / c) L'adresse IP attribuée à la source de la connexion et le port associé ; / 2° Pour les personnes mentionnées au 2 du I de l'article 6 de la loi du 21 juin 2004 susvisée et pour chaque opération de création d'un contenu telle que définie à l'article 6 : / a) L'identifiant de la connexion à l'origine de la communication ; / b) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus (...) ". Les " données de trafic et de localisation " sont définies à l'article 6 comme suit : " 1° Pour les personnes mentionnées au 1 du I de l'article 6 de la loi du 21 juin 2004 susvisée et pour chaque connexion de leurs abonnés : / a) Les dates et heure de début et de fin de la connexion ; / b) Les caractéristiques de la ligne de l'abonné ; / 2° Pour les personnes mentionnées au 2 du I de l'article 6 de la loi du 21 juin 2004 susvisée et pour chaque opération de création d'un contenu : / a) L'identifiant attribué par le système d'information au contenu, objet de l'opération ; / b) La nature de l'opération ; / c) Les date et heure de l'opération ; / d) L'identifiant utilisé par l'auteur de l'opération lorsque celui-ci l'a fourni (...) ". L'article 7 du même décret dispose que : " La contribution à une création de contenu mentionnée au dernier alinéa des articles 5 et 6 du présent décret comprend les opérations portant sur : / 1° Des créations initiales de contenus ; / 2° Des modifications des contenus et de données liées aux contenus ; / 3° Des suppressions de contenus ". L'article 8 du même décret dispose que : " Les données mentionnées aux articles 2 à 6 ne doivent être conservées que dans la mesure où elles sont collectées par les personnes mentionnées aux 1 et 2 du I de l'article 6 de la loi du 21 juin 2004 susvisée lorsqu'elles assurent la mise en oeuvre des services de communication au public en ligne ". L'article 9 abroge le décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne, précédemment applicable.
Sur la légalité des décrets attaqués :
En ce qui concerne les moyens de légalité externe :
8. D'une part, si le décret n° 2021-1361 a modifié, à son article 7, la rédaction de l'article R. 213-1 du code de procédure pénale, relatif à la fixation des tarifs de remboursement des frais résultant pour les opérateurs de communication électronique des réquisitions judiciaires dont ils peuvent être l'objet, qui renvoie lui-même à un arrêté conjoint du ministre de l'économie, des finances et de l'industrie et du ministre de la justice pour la fixation de ces tarifs, la modification qui a été apportée à l'article R. 213-1 a eu pour seul objet de mettre à jour les renvois que comporte cet article aux dispositions de l'article 34-1 du code des postes et des communications électroniques. Les sociétés requérantes ne sont donc pas fondées à soutenir qu'il aurait dû être revêtu du contreseing du ministre de la justice. D'autre part, le décret n° 2021-1362, qui, en tout état de cause, a été contresigné par le ministre chargé des douanes, n'appelle aucune mesure d'exécution relevant du ministre de l'intérieur, du ministre de la justice ou du ministre des armées. Par suite, les moyens tirés de ce que les décrets contestés n'auraient pas été contresignés par les ministres chargés de leur exécution ne peuvent qu'être écartés.
En ce qui concerne les moyens de légalité interne :
9. Il résulte des dispositions de l'article 8 du décret n° 2021-1362, citées au point 7, que les fournisseurs et hébergeurs de contenus soumis à l'obligation de conservation des données de connexion ne sont tenus de conserver que les données qu'ils sont amenés à collecter dans le cadre de leur activité. Si, s'agissant des dispositions issues du décret n° 2021-1361 codifiées dans le code des postes et des communications électroniques, citées au point 6, l'article R. 10-12, qui définit les données de trafic et de localisation au sens des IV et V de l'article R. 10-13, indique qu'il s'agit " des informations rendues disponibles par les procédés de communication électronique, susceptibles d'être enregistrées par l'opérateur à l'occasion des communications électroniques dont il assure la transmission ", cette précision ne saurait être interprétée comme imposant aux opérateurs de communications électroniques de conserver des données autres que celles qu'ils sont amenés à collecter dans le cadre de leur activité en ce qui concerne celles mentionnées aux I, II et III du même article R. 10-13. Il suit de là que les moyens des requêtes critiquant les décrets attaqués au motif qu'ils contraindraient les opérateurs de communications électroniques ainsi que les fournisseurs et hébergeurs de contenus à collecter et conserver des données qu'ils ne collecteraient pas dans le cadre de leur activité ne peuvent qu'être écartés.
Quant aux données relatives à l'identité civile de l'utilisateur :
10. L'obligation de conservation des données relatives à l'identité civile de l'utilisateur mentionnées au I de l'article R. 10-13 du code des postes et des communications électroniques et à l'article 2 du décret n° 2021-1362, alors même qu'elle peut conduire, selon les cas, à conserver une ou plusieurs adresses postales ou électroniques, de comptes associés et de numéros de téléphone, ne saurait être regardée comme disproportionnée au regard des finalités poursuivies. Si les sociétés requérantes soutiennent que ces données seraient définies de façon imprécise, notamment s'agissant de celles relatives au ou aux comptes associés au courrier électronique de l'utilisateur, cette notion, qui renvoie à l'hypothèse dans laquelle il ressort que plusieurs comptes sont regroupés pour la facturation dans un compte unique, ne soulève aucune difficulté d'interprétation. La circonstance que les opérateurs ne seraient pas tenus de certifier ou vérifier les adresses postales et électroniques ne suffit pas à priver de nécessité leur conservation.
Quant aux données relatives aux autres informations fournies par l'utilisateur lors de la souscription du contrat ou la création d'un compte :
11. En ce qui concerne les données relatives aux autres informations fournies par l'utilisateur lors de la souscription du contrat ou de la création d'un compte, mentionnées au II de l'article R. 10-13 du code des postes et des communications électroniques et à l'article 3 du décret n° 2021-1362, il ressort des pièces du dossier que les " données destinées à permettre à l'utilisateur de vérifier son mot de passe ou de le modifier ", qui recouvrent les canaux de communication déclarés au préalable par l'utilisateur pour permettre la récupération de comptes, ne permettent nullement de conserver les mots de passe et données d'authentification des utilisateurs. Il ressort, en outre, des dispositions combinées des premier et deuxième alinéas du II de l'article R. 10-13 du code des postes et des communications électroniques et de l'article 3 du décret n° 2021-1362 du 20 octobre 2021 que l'identifiant conservé est l'identifiant utilisé lors de la souscription d'un contrat ou de la souscription d'un compte.
Quant aux données relatives au paiement :
12. Les requérantes contestent l'obligation de conserver les informations relatives au paiement, mentionnées au III de l'article R. 10-13 du code des postes et des communications électroniques et à l'article 4 du décret n° 2021-1362. Elles soutiennent, sous le n° 459726, que cette conservation, dont l'article L.34-1 du code des postes et des communications électroniques a prévu qu'elle s'impose jusqu'à l'expiration d'un délai d'un an à compter de la fin de validité du contrat ou de la clôture du compte, méconnaîtrait, en raison de son caractère excessif, le droit de l'Union européenne. Toutefois, la contrariété d'une disposition législative au droit de l'Union ne peut être utilement invoquée à l'appui de conclusions dirigées contre un acte réglementaire que si ce dernier a été pris pour son application ou si en elle constitue la base légale. Il suit de là que les sociétés requérantes ne peuvent utilement soutenir par la voie de l'exception, à l'appui de leurs conclusions dirigées contre le III de l'article R. 10-13 du code des postes et des communications électroniques, que les dispositions de l'article L. 34-1 de ce code sont contraires au droit de l'Union, celles-ci ne renvoyant à un décret en Conseil d'Etat que le soin de préciser les informations et catégories de données conservées et les modalités de compensation des surcoûts, et non la durée de conservation de ces données, laquelle est déterminée directement par la loi.
13. Par ailleurs, il ressort des pièces du dossier, et notamment de la mesure d'instruction diligentée par la 10ème chambre de la section du contentieux, que la conservation des données relatives à la date, à l'heure et au lieu des transactions physiques, mentionnées au 4° du III de l'article R. 10-3 du code des postes et des communications électroniques et au 4° de l'article 4 du décret n° 2021-1362, permet de conduire des investigations sur site dans le cadre d'enquêtes pénales et de détecter, pour les services de renseignement, la souscription d'abonnements multiples sur le même point de vente, pour les besoins des procédures pénales, de la prévention des menaces contre la sécurité publique et de la sauvegarde de la sécurité nationale. Il résulte des dispositions du b) de l'article 2 de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques que la notion de " données de localisation " recouvre " toutes les données traitées dans un réseau de communications électroniques indiquant la position géographique de l'équipement terminal d'un utilisateur d'un service de communications électroniques accessible au public ". Contrairement à ce qui est soutenu, les données relatives au lieu d'une transaction physique ne sauraient donc être regardées comme des données de localisation, dont la conservation ne pourrait avoir pour finalité que la lutte contre la criminalité et la délinquance grave, la prévention des menaces graves contre la sécurité publique et la sauvegarde de la sécurité nationale. Ces données sont, par suite, adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités poursuivies.
Quant aux données relatives à la source de connexion et aux équipements terminaux utilisés :
14. En ce qui concerne les données relatives à la source de connexion et aux équipements terminaux utilisés, mentionnées au IV de l'article R. 10-13 du code des postes et des communications électroniques et à l'article 5 du décret n° 2021-1362, il ressort des pièces du dossier et notamment de la mesure d'instruction diligentée par la 10ème chambre de la section du contentieux que l'identifiant de connexion renvoie à l'adresse IP publique, soit le numéro d'identification permanent ou provisoire attribué par le fournisseur d'accès à internet ou l'opérateur de communications électroniques à chaque dispositif connecté sur internet. Il en ressort également que les dispositions qui mentionnent " l'adresse IP attribuée à la source de la connexion et le port associé " doivent s'entendre comme visant à la fois l'IP publique et, lorsque elle est partagée entre plusieurs terminaux dans le cas des réseaux locaux, l'IP privée, seul moyen d'identifier la source de communication et, par suite, la personne physique concernée qui est à l'origine de cette communication. Si les sociétés requérantes soutiennent que la réglementation actuelle ne permet pas, dans le champ du IV de l'article R. 10-13 du code des postes et des communications électroniques et dans celui de l'article 5 du décret n° 2021-1362, de limiter la collecte à l'adresse IP de la source de communication, il ressort bien des dispositions attaquées que sont couvertes les seules adresses IP à l'origine de la communication, par opposition aux obligations de conservation prévues par le V de l'article R. 10-13, qui permet également la conservation des données techniques permettant d'identifier le ou les destinataires de la communication. Il en ressort enfin que le numéro d'identification du terminal recouvre notamment les données relatives aux connexions internet fixes par wi-fi. Les moyens tirés de l'absence de nécessité de conservation de ces données et de l'imprécision du texte ne peuvent, par suite, qu'être écartés.
Quant aux données de trafic ou de localisation :
15. En ce qui concerne les données de trafic ou de localisation, mentionnées au V de l'article R. 10-13 du code des postes et des communications électroniques et à l'article 6 du décret n° 2021-1362, il ressort des pièces du dossier que les " caractéristiques techniques " correspondent aux données collectées par l'opérateur pour effectuer et justifier la facturation de l'abonné et gérer son réseau, tels que le sens de l'appel, le type d'appel, le rôle de l'abonné, le type de communication ou le volume de données échangées. Il ressort, par ailleurs, de la mesure supplémentaire d'instruction diligentée par la 10ème chambre de la section du contentieux que les " services complémentaires " demandés ou utilisés, dont la nature est évolutive, l'offre variable selon les opérateurs et dont l'identification fait d'ailleurs l'objet d'un dialogue continu entre l'Etat et les personnes soumises à l'obligation de conservation mentionnées au point 3, correspondent à des services complémentaires à la fourniture de communication par internet ou par téléphonie, tels que, notamment, les renvois d'appels ou le recours à un commutateur téléphonique privé. Les données en cause, qui constituent parfois les seuls éléments de preuve permettant de prévenir et de réprimer des agissements menaçant la sauvegarde de la sécurité nationale, sont nécessaires au regard des finalités poursuivies. Les moyens tirés de l'absence de nécessité de conservation de ces données et de l'imprécision du texte, qui se borne au demeurant à reprendre une terminologie résultant déjà du texte antérieur, ne peuvent, par suite, qu'être écartés.
Quant à la notion de " contribution à une création de contenu " :
16. Si les sociétés requérantes estiment que l'article 7 du décret n° 2021-1362 étend la notion de " création de contenu " aux modifications et aux suppressions de contenus, il ressort des pièces du dossier que la définition retenue est identique à celle résultant du décret abrogé du 25 février 2011. Ces dispositions ne sauraient, en tout état de cause, être interprétées comme imposant la conservation de données au-delà des délais prévus aux articles 5 et 6 du décret attaqué.
Quant aux autres moyens de légalité interne :
17. En premier lieu, les dispositions des décrets attaqués ont pour seul objet de définir les données de connexion entrant dans le champ de l'obligation de conservation au regard des finalités poursuivies et n'ont pas d'incidence sur les conditions d'accès à de telles données. Le moyen tiré de ce qu'en ne définissant pas ces conditions d'accès, il aurait méconnu les exigences du droit de l'Union européenne ne peut donc qu'être écarté. De même, ainsi qu'il a été dit aux points 9 à 16, les dispositions contestées ne sauraient être regardées comme insuffisamment précises. Par suite, le moyen tiré de ce que les décrets seraient entachés d' " incompétence négative " et de méconnaissance du principe de légalité des délits et des peines ne peut, en tout état de cause, qu'être écarté. Enfin, la circonstance que le décret ne précise pas les modalités de conservation des données est sans incidence sur sa légalité.
18. En deuxième lieu, si la conservation des données de connexion selon les modalités définies aux points 3 à 5 constitue une ingérence dans le droit au respect de la vie privée garanti par l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, cette ingérence résulte de la loi. Elle est légitime, en ce qu'elle poursuit des finalités tenant à la recherche des auteurs d'infractions pénales, la prévention des menaces contre la sécurité publique, la lutte contre la criminalité et la délinquance grave et à la sauvegarde la sécurité nationale. Elle est nécessaire dans une société démocratique, et est proportionnée, en ce qu'elle ne permet la conservation des données techniques permettant d'identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés que pour les besoins de lutte contre la criminalité et la délinquance grave, la prévention des menaces graves contre la sécurité publique et la sauvegarde de la sécurité nationale, et la conservation de certaines données de trafic et de localisation, sur injonction du Premier ministre, que pour des motifs tenant à la sauvegarde de la sécurité nationale, lorsqu'est constatée une menace grave, actuelle ou prévisible, pour une durée d'un an maximum, cette durée pouvant être renouvelée si les conditions prévues pour son édiction continuent d'être réunies. Par suite, le moyen tiré de la méconnaissance, par l'article L. 34-1 du code des postes et télécommunications électroniques et ses décrets d'application, de l'article 8 de la convention ne peut qu'être écarté.
19. En troisième lieu, eu égard à l'incidence pratique limitée des modifications apportées par les décrets contestés au regard du droit antérieur pour les personnes soumises à l'obligation de conservation des données de connexion, il n'y avait pas lieu de les assortir de mesures transitoires. Par suite, le moyen tiré de la méconnaissance du principe de sécurité juridique ne peut qu'être écarté.
20. Il résulte de ce qui précède que les requêtes des sociétés requérantes doivent être rejetées, y compris leurs conclusions présentées au titre de l'article L. 761-1 du code de justice administrative.
D E C I D E :
--------------
Article 1er : Les requêtes des sociétés Free, Free mobile et Scaleway sont rejetées.
Article 2 : La présente décision sera notifiée à la société Free, première dénommée, pour l'ensemble des requérantes, à la Première ministre, au ministre de l'économie, des finances et de la souveraineté industrielle et numérique et à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 19 juin 2023 où siégeaient : M. Rémy Schwartz, président adjoint de la section du contentieux, présidant ; M. Bertrand Dacosta, Mme Anne Egerszegi, présidents de chambre ; Mme Nathalie Escaut, M. Nicolas Polge, M. Vincent Daumas, Mme Rozen Noguellou, conseillers d'Etat ; Mme Christelle Thomas, maître des requêtes et Mme Alexandra Bratos, auditrice-rapporteure.
Rendu le 30 juin 2023.
Le président :
Signé : M. Rémy Schwartz
La rapporteure :
Signé : Mme Alexandra Bratos
La secrétaire :
Signé : Mme Claudine Ramalahanoharana