-
Conseil dtatSection du contentieux
Requte introductive dinstance
introduite
PAR
1. French Data Network (Rseau de donnes franais), dite
FDN.Association rgie par la loi du 1er juillet 1901 tablie 16 rue
de Cachy, 80090 Amiens,enregistre en prfecture de la Somme sous le
numro W751107563, oprateur d-clar auprs de lARCEP sous la rfrence
07/1149, prise en la personne de sonprsident M. Fabien Sirjean.Tel.
: 06 36 18 91 00Mail : [email protected] / [email protected]
2. La Quadrature du NetAssociation rgie par la loi du 1er
juillet 1901 tablie au 60 rue des Orteaux 75019,Paris, enregistre
en prfecture de police de Paris sous le numro W751218406, priseen
la personne de son prsident M. Philippe Aigrain.Tel. 06 73 60 88
43Mail : [email protected]
3. Fdration des fournisseurs daccs Internet associatifs, dite
FdrationFDN (FFDN).Fdration rgie par la loi du 1er juillet 1901
tablie 16 rue de Cachy, 80090 Amiens,enregistre en prfecture de la
Somme sous le numro W751210904, regroupant 27fournisseurs daccs
associatifs franais, dclars auprs de lARCEP, et un fournis-seur
daccs associatif belge dclar auprs du rgulateur, prise en la
personne deson prsident M. Benjamin Bayart.Tel : 06 60 24 24 94Mail
: [email protected]
CONTRE
Le dcret no 2014-1576 du 24 dcembre 2014 relatif laccs
administratifaux donnes de connexion publi au Journal officiel de
la Rpublique franaise no 298du 26 dcembre 2014, p. 22224.
-
1. FAITS
La loi no 2013-1168 de programmation militaire du 18 novembre
2013 (LPM) tablit lesobjectifs de la politique de dfense franaise
pour les annes 2014 2019. Son article 20a, dune part, cr un
chapitre VI Accs administratif aux donnes de connexion au sein du
titre IV du livre II du code de la scurit intrieure (CSI) contenant
lesarticles L. 246-1 5 CSI. Il a, dautre part, abrog les articles
L. 222-2, L. 222-3 etL. 243-12 CSI ainsi que larticle 6 II bis de
la loi no 2004-575 du 21 juin 2004 pour laconfiance dans lconomie
numrique (LCEN) et larticle L. 34-1-1 du code des postes etdes
communications lectroniques (CPCE).
Larticle L. 246-4 CSI cr par la LPM, actuellement en vigueur,
dispose que :
La Commission nationale de contrle des interceptions de scurit
dispose dunaccs permanent au dispositif de recueil des informations
ou documents mis enuvre en vertu du prsent chapitre, afin de
procder des contrles visant sassurer du respect des conditions
fixes aux articles L. 246-1 L. 246-3. En casde manquement, elle
adresse une recommandation au Premier ministre. Celui-cifait
connatre la commission, dans un dlai de quinze jours, les mesures
prisespour remdier au manquement constat.
Les modalits dapplication du prsent article sont fixes par dcret
en Conseildtat, pris aprs avis de la Commission nationale de
linformatique et des libertset de la Commission nationale de
contrle des interceptions de scurit, qui prcisenotamment la
procdure de suivi des demandes et les conditions et dure
deconservation des informations ou documents transmis.
Le dcret vis cet article est le dcret no 2014-1576 du 24 dcembre
2014 relatif laccs administratif aux donnes de connexion publi au
Journal officiel de la Rpubliquefranaise no 298 du 26 dcembre 2014,
p. 22.224.
Cest la dcision attaque.
1
-
2. DISCUSSION Intrt agir
2.1. French Data Network
FDN est une association loi 1901, et est un fournisseur daccs
Internet. Elle existe,et exerce son activit, depuis 1992, ce qui en
fait le plus ancien fournisseur daccs Internet encore en activit.
Elle regroupe 450 adhrents et est administre de manireentirement
bnvole. Elle ne fournit daccs Internet qu ses membres. Son intrt
agir, en lespce est donc double.
Dune part, en tant quoprateur dun rseau de communication ouvert
au public,dclar auprs de lARCEP, parce que le dcret attaqu lui est
applicable directement. ce titre FDN fournit galement un certain
nombre de services (courrier lectronique,hbergement de sites web ou
de serveurs, etc) ceux de ses membres qui en ont fait lechoix.
Dautre part, en tant quassociation, reprsentant ses membres, y
compris ceux aux-quels elle fournit un accs Internet. Ces abonns
sont concerns au premier chef par laconservation des donnes de
connexion, et par les accs de ladministration ces donnes.
Lintrt agir de FDN a t reconnu par le Conseil dtat dans laffaire
no 342405,par exemple.
2.2. La Quadrature du Net
Lobjet gnral de la Quadrature du Net est la dfense des droits
fondamentaux danslenvironnement numrique. ce titre, elle intervient
dans les dbats rglementaires tou-chant au droit de lInternet au
niveaux franais et europen, notamment en dveloppantdes analyses
juridiques, en proposant et en valuant des amendements au cours des
pro-cdures lgislatives.
Ds 2008 et 2009, LQDN stait illustre comme lun des fers de lance
de lopposition loi HADOPI, selon lexpression du journal Le Figaro1.
Elle avait cette occasion portde nombreux arguments juridiques plus
tard valids dans la dcision no 2009-580 DC duConseil
constitutionnel du 10 juin 2009. Son combat contre les excs du
droit dauteur
1https://www.laquadrature.net/fr/le-figaro-bataille-politique-autour-de-la-loi-antipiratage
2
-
la galement conduite mener campagne contre le projet daccord
multilatral ACTA,rejet par le Parlement europen lt 2012.
Lun des axes fort de ses positions est la dfense dune protection
judiciaire des droitsfondamentaux sur Internet, et notamment la
libert dexpression et de communication. ce titre, elle soppose la
dlgation de la rpression des infractions aux acteurs privsou
administratifs. En 2009, elle avait dans ce but propos et dfendu
lamendement dit 138 lors de lexamen du Paquet Tlcom au Parlement
europen. Ces derniers mois,elle sest galement illustre dans les
dbats parlementaires franais sur diffrents projetset propositions
de loi tendant tendre les obligations des hbergeurs en matire
desurveillance des contenus, pointant le risque de censure
extrajudiciaire quemportaient detelles mesures.
Cette dfense de ltat de droit la videmment conduite se mobiliser
sur les ques-tions de vie prive et de surveillance des
communications sur Internet. Au niveau euro-pen, elle mne par
exemple campagne sur le projet de rglement relatif la protectiondes
donnes personnelles. Au niveau franais, LQDN sest notamment
illustre par sonopposition la loi de programmation militaire (LPM)
adopte fin 2013. Elle participedepuis lObservatoire des Liberts
Numriques, cr suite la mobilisation de la socitcivile contre
larticle 20 de la LPM, aux cts entre autres de la Ligue des Droits
delHomme et du Syndicat de la Magistrature. Rcemment, elle a encore
t auditionnepar le Conseil dtat le 28 janvier 2014 en vue de
llaboration de son tude annuellepour lanne 2014 intitule Le
numrique et les droits fondamentaux .
Enfin, les statuts de lassociation lui confrent la possibilit
dester en justice possi-bilit quelle entend exercer pour la premire
fois loccasion de ce recours. Cela tant,elle a dj eu loccasion
dintervenir auprs de juridictions. En 2011, elle tait interve-nue
auprs du Conseil constitutionnel au travers dun mmoire en amicus
curiae pour pointer le caractre disproportionn et ds lors
inconstitutionnel des mesures deblocage administratif de sites
inscrit larticle 4 de la loi LOPPSI2. Actuellement, elleparticipe
une tierce intervention dune coalition dONG europennes auprs de la
Coureuropenne des droits de lHomme, loccasion du recours de
plusieurs associations bri-tanniques contre le programme de
surveillance dInternet TEMPORA, rvl par EdwardSnowden3.
Ainsi, La Quadrature du Net introduit la prsente requte non
seulement en confor-mit avec ses statuts, mais aussi en pleine
cohrence avec ses activits.
2.3. Fdration des fournisseurs daccs Internet as-sociatifs
La Fdration FDN regroupe 28 fournisseurs daccs Internet
associatifs, 27 sont desassociations de droit franais (loi de 1901
ou droit spcifique dAlsace Moselle, selon), la28e tant une
association de droit belge. Toutes ces associations sont gres de
manire
2http://www.laquadrature.net/files/20110214_La%20Quadrature%20du%20Net_Amicus%20curiae%20LOPPSI2.pdf
3https://www.laquadrature.net/fr/la-quadrature-sengage-dans-la-lutte-juridictionnelle-contre-la-surveillance-de-masse
3
-
bnvole et reprsentent, toutes ensemble, prs de 2000 adhrents.
FDN est une desassociations membres, et fondatrice, de la Fdration
FDN. Les associations membres dela Fdration FDN sont toutes
signataires dune charte par laquelle elles prennent desengagements
thiques et techniques.
Ici encore, lintrt agir de la Fdration FDN est double.Dune part,
en tant que reprsentant de 28 oprateurs, tous dclars auprs du
rgu-
lateur national, et presque tous de droit franais, donc concerns
par le dcret attaququi leur est applicable.
Dautre part, en tant que reprsentant, au travers de ses membres,
de lensemble desabonns et adhrents de ses associations membres,
concerns par la conservation desdonnes de connexion, lintrusion
quelle reprsente dans leur vie prive, et les accs deladministration
ces donnes.
4
-
3. DISCUSSION Lgalit externe
La dcision attaque est entache de vices dincomptence et de
procdure.
3.1. Le dcret attaqu est entach dincomptence ma-trielle.
Le dcret est entach dincomptence ratione materiae en ce quil
comporte des dis-positions dont la substance outrepasse largement
le champ de larticle L. 246-4 CSI crpar la LPM et sort du champ du
pouvoir rglementaire autonome.
Larticle L. 246-4 CSI prcit, sur le fondement duquel le dcret
attaqu est adopt,ne porte que sur le rle allou la Commission
nationale de contrle des interceptionsde scurit (CNCIS) dans le
contrle quelle opre sur le recueil dinformations opren vertu du
chapitre VI cr par larticle 20 de la loi de programmation militaire
du18 novembre 2013. Il confie au pouvoir rglementaire le soin
dtablir les conditions danslesquelles la CNCIS peut effectuer ce
contrle.
La notice prsentant le dcret1, prcise que le dcret dfinit les
donnes de connexionpouvant tre recueillies et dresse la liste des
services dont les agents individuellementdsigns et dment habilits
peuvent demander accder aux donnes de connexion .Cette notice dcrit
parfaitement lobjet des dispositions du dcret attaqu,
lesquellesexcdent le champ de larticle L. 246-4 CSI pour combler
les lacunes des articles L. 246-1 3 et L. 246-5.
Les dispositions du dcret attaqu dpassent donc trs largement la
comptence dupouvoir rglementaire. En cela, le dcret attaqu est
entach dincomptence matrielleet devra tre annul.
1http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000029958091&categorieLien=id,
texte du dcret joint la procdure.
5
-
3.2. Le dcret attaqu est entach de vices de proc-dure.
Le dcret est vici en ce que le pouvoir rglementaire na pas
respect la procdurequi simposait son adoption.
3.2.1. Le dcret attaqu na pas t notifi la
Commissioneuropenne.
La directive 98/34/CE du 22 juin 1998 modifie, en son article
1er 2) dfinit la notionde service de la socit de linformation comme
:
tout service prest normalement contre rmunration, distance par
voie lectro-nique et la demande individuelle dun destinataire de
services
Larticle 1er 5) dfinit la rgle relative aux services comme :
une exigence de nature gnrale relative laccs aux activits de
services visesau point 2 et leur exercice, notamment les
dispositions relatives au prestatairede services, aux services et
au destinataire de services, lexclusion des rgles quine visent pas
spcifiquement les services dfinis au mme point
Larticle 1er 11) dfinit la rgle technique comme :
une spcification technique ou autre exigence ou une rgle
relative aux services, ycompris les dispositions administratives
qui sy appliquent, dont lobservation estobligatoire de jure ou de
facto, pour la commercialisation, la prestation de
services,ltablissement dun oprateur de services ou lutilisation
dans un tat membreou dans une partie importante de cet tat, de mme
que, sous rserve de cellesvises larticle 10, les dispositions
lgislatives, rglementaires et administrativesdes tats membres
interdisant (...) de fournir ou dutiliser un service ou de
stablircomme prestataire de services
En lespce, les mesures cres par le dcret sont bien des rgles
techniques au sensde la directive. En effet, il sagit bien de
dispositions administratives dont lobservationest obligatoire et
sappliquant des services tels que dfinis par la directive
puisquesont notamment viss les hbergeurs, tels que dfinis larticle
6, I, 1o de la LCEN etprestataires de services de la socit de
linformation par excellence.
Ds lors, le projet de dcret devait tre notifi la Commission
europenne, larticle 8de la directive 98/34/CE disposant quant lui
que :
Sous rserve de larticle 10, les tats membres communiquent
immdiatement la Commission tout projet de rgle technique, sauf sil
sagit dune simple transpo-sition intgrale dune norme internationale
ou europenne, auquel cas une simpleinformation quant la norme
concerne suffit.
Ne sagissant ni dun cas vis larticle 10 ni dune transposition
intgrale dune normeinternationale ou europenne, le dcret devait tre
notifi la Commission europenne
6
-
conformment la procdure tablie par la directive 98/34/CE. Cette
interprtation dela directive 98/34/CE est dailleurs conforme la
solution adopte par le Conseil dtatdans son arrt du 10 juin 2013
rendu dans laffaire no 327375.
Le Gouvernement ayant manqu de le notifier la Commission
europenne, le dcretattaqu na pas t adopt conformment aux
dispositions susvises de la directive 98/34et doit donc tre
annul.
3.2.2. Aucune tude dimpact na t ralise antrieurement ladoption
du dcret attaqu.
Daprs la circulaire du 17 fvrier 2011 relative la simplification
des normes concer-nant les entreprises et les collectivits
territoriales :
Llaboration de tout projet de loi, dordonnance, de dcret ou
darrt compor-tant des mesures concernant les entreprises,
cest--dire susceptibles davoir uneincidence sur elles, tout
particulirement sur les petites et moyennes entrepriseset sur les
entreprises du secteur industriel, appelle une analyse dimpact
circons-tancie.
Sagissant des projets dordonnance, de dcret et darrt, cette
valuation pra-lable sera retrace dans la fiche dimpact de lannexe
III de la prsente circulaire.
Le commissaire la simplification doit tre saisi du projet de
texte et de lanalysedimpact correspondante :[...]
sagissant des projets de dcret en Conseil dtat ou dordonnance,
au plustard concomitamment la saisine des instances obligatoirement
consultes si leprojet entre dans leur champ de comptence et
pralablement lorganisationdune runion interministrielle ou saisine
du cabinet du Premier ministre pourarbitrage et, en toute hypothse,
la saisine du Conseil dtat.
Cette circulaire, adopte par le Premier ministre, cre une
obligation pour lensembledes composantes du gouvernement et de
ladministration non seulement dlaborer unefiche dimpact mais de
saisir le commissaire la simplification du projet de dcret, toutle
moins lors de la saisine du Conseil dtat.
Cette obligation sapplique lorsque sont en cause des mesures
concernant les entre-prises et tout particulirement des petites et
moyennes entreprises. Ce qui est le cas enlespce puisque, comme en
tmoigne lexistence mme dassociations comme celles de laFFDN, les
destinataires du dcret sont pour un trs grand nombre, et plus
encore pource qui concerne les hbergeurs, des petites et moyennes
entreprises.
Le dcret attaqu, en ce quil comporte des mesures que de nombreux
hbergeurs etfournisseurs daccs dont un grand nombre sont des
petites et moyennes entreprises,voire des associations doivent
respecter, devait tre prcd dune tude dimpact ainsique dune saisine
du commissaire la simplification. Or, encore une fois, il nen a
rient.
Ainsi, le dcret a t adopt en contradiction des dispositions
contraignantes prciteset devra donc tre annul.
7
-
4. DISCUSSION - Lgalit interne
La dcision attaque doit au surplus tre annule en ce quelle est
contraire au droitde lUnion europenne et la Convention europenne
des droits de lHomme, la loi etaux principes gnraux du droit.
titre liminaire, il doit dores et dj tre prcis que lapplication
de la Charte desdroits fondamentaux de lUnion europenne la dcision
attaque appelle ce quunequestion prjudicielle soit adresse la Cour
de justice de lUnion europenne. Par ailleurs,les associations
requrantes formeront une question prioritaire de constitutionnalit
dansun mmoire spar qui sera communiqu ultrieurement.
4.1. Le dcret attaqu est contraire la Charte desdroits
fondamentaux et la Convention euro-penne de sauvegarde des droits
de lhomme etdes liberts fondamentales.
La Charte des droits fondamentaux de lUnion europenne dispose
que :
Article 7 Respect de la vie prive et familiale Toute personne a
droit au respect de sa vie prive et familiale, de son domicile etde
ses communications.
Article 8 Protection des donnes caractre personnel Toute
personne a droit la protection des donnes caractre personnel la
concer-nant.
Ces donnes doivent tre traites loyalement, des fins dtermines et
sur la basedu consentement de la personne concerne ou en vertu dun
autre fondementlgitime prvu par la loi. Toute personne a le droit
daccder aux donnes collectesla concernant et den obtenir la
rectification.
Le respect de ces rgles est soumis au contrle dune autorit
indpendante. Article 11 Libert dexpression et dinformation 1.Toute
personne a droit la libert dexpression. Ce droit comprend la
libertdopinion et la libert de recevoir ou de communiquer des
informations ou des idessans quil puisse y avoir ingrence dautorits
publiques et sans considration defrontires.
8
-
2. La libert des mdias et leur pluralisme sont
respects.[...]
Article 52 Porte et interprtation des droits et des principes
Toute limitation de lexercice des droits et liberts reconnus par la
prsente Chartedoit tre prvue par la loi et respecter le contenu
essentiel desdits droits et liberts.Dans le respect du principe de
proportionnalit, des limitations ne peuvent treapportes que si
elles sont ncessaires et rpondent effectivement des objectifsdintrt
gnral reconnus par lUnion ou au besoin de protection des droits
etliberts dautrui.
Dans son arrt du 8 avril 2014 (Digital Rights Ireland,
C-293/12), la grande chambrede la Cour de justice de lUnion
europenne (CJUE) a invalid la directive 2006/24/CErelative la
conservation des donnes par les oprateurs de communications
lectroniques,la jugeant non conforme la Charte des droits
fondamentaux de lUnion europenne (laCharte).
Pour dclarer cette directive invalide, la CJUE a dabord estim
que lobligation gn-ralise de conservation des donnes de connexion
ainsi que laccs qui en tait donn auxautorits nationales
constituaient des ingrences dans les droits fondamentaux au
respectde la vie prive et familiale et la protection des donnes
caractre personnel reconnusaux articles 7 et 8 de la Charte. Comme
la dcid la CJUE :
(...) la directive 2006/24 concerne de manire globale lensemble
des personnesfaisant usage de services de communications
lectroniques, sans toutefois que lespersonnes dont les donnes sont
conserves se trouvent, mme indirectement,dans une situation
susceptible de donner lieu des poursuites pnales. Elle sap-plique
donc mme des personnes pour lesquelles il nexiste aucun indicede
nature laisser croire que leur comportement puisse avoir un
lien,mme indirect ou lointain, avec des infractions graves. En
outre, elle neprvoit aucune exception, de sorte quelle sapplique
mme des personnes dontles communications sont soumises, selon les
rgles du droit national, au secretprofessionnel. ( 58)
Suite linvalidation de la directive 2006/24, le droit de lUnion
europenne appli-cable est dsormais celui de la directive 2002/58/CE
du Parlement europen et du Conseildu 12 juillet 2002 concernant le
traitement des donnes caractre personnel et la pro-tection de la
vie prive dans le secteur des communications lectroniques
(directive dite ePrivacy ). Cette directive dispose dans son
article 15 que :
Les tats membres peuvent adopter des mesures lgislatives visant
limiter laporte des droits et des obligations prvus aux articles 5
et 6, larticle 8, pa-ragraphes 1, 2, 3 et 4, et larticle 9 de la
prsente directive lorsquune tellelimitation constitue une mesure
ncessaire, approprie et proportionne,au sein dune socit
dmocratique, pour sauvegarder la scurit nationale cest--dire la
sret de ltat la dfense et la scurit publique, ou assurerla
prvention, la recherche, la dtection et la poursuite dinfractions
pnales oudutilisations non autorises du systme de communications
lectroniques, commele prvoit larticle 13, paragraphe 1, de la
directive 95/46/CE. cette fin, lestats membres peuvent, entre
autres, adopter des mesures lgislatives prvoyant
9
-
la conservation de donnes pendant une dure limite lorsque cela
est justifi parun des motifs noncs dans le prsent paragraphe.
Toutes les mesures vises dansle prsent paragraphe sont prises dans
le respect des principes gnraux du droitcommunautaire, y compris
ceux viss larticle 6, paragraphes 1 et 2, du traitsur lUnion
europenne.
Ainsi, la dcision attaque doit tre conforme la Charte des droits
fondamentaux, la CEDH ainsi quaux principes gnraux du droit de
lUnion europenne.
Lue la lumire de larrt du 8 avril 2014 rendu par la CJUE, et en
particulier de sesparagraphes 57 59, larticle 15 de la directive
2002/58/CE tend invalider le principemme dune obligation de
conservation des donnes pour les personnes pour lesquellesil
nexiste aucun indice de nature laisser croire que leur comportement
puisse avoirun lien, mme indirect ou lointain, avec des infractions
graves , pour privilgier desdispositifs de conservation de donnes
cibles, tant en termes temporels que sagissantdes personnes
concernes (conservation sur injonction).
Or, le prsent dcret fournit ladministration un accs un ensemble
de donnescollectes dans le cadre dun dispositif de collecte
gnralise des donnes de connexion,y compris pour les personnes pour
lesquelles il nexiste aucune suspicion dun lien directou indirect
avec des infractions graves. Tout comme la directive 2006/24/CE,
ledcret choue apporter les garanties requises par les articles 7,
8, 11 et 52,paragraphe 1 de la Charte des droits fondamentaux tels
quinterprts parlarrt du 8 avril 2014 de la CJUE. Ds lors, le dcret
attaqu est contraire au droitde lUnion europenne.
En tout tat de cause, si le Conseil dtat sinterroge sur la porte
quil convientde donner larrt de la CJUE du 8 avril 2014, la lettre
et lesprit de la procdure durenvoi prjudiciel devraient le conduire
poser la CJUE la question de savoir si ledroit de lUnion europenne
doit tre interprt en ce sens quil prohibe tout dispositif
decollecte gnralise des donnes de connexion pour lensemble des
utilisateurs dInternet,y compris ceux pour lesquels il nexiste
aucune suspicion dinfraction.
De plus, bien que, dans son arrt du 8 avril 2014, la CJUE se
soit contente dapprcierla validit de la directive au regard des
articles 7 et 8 de la Charte, la Cour na pas excluque les
dispositions vises constituent galement une ingrence dans lexercice
de la libertdexpression, telle que reconnue larticle 11 de la
Charte.
En cela, la CJUE sest inscrite dans le sillage dune
jurisprudence bien tablie de laCour europenne des droits de lhomme
relative tant larticle 8 qu larticle 10 de laConvention europenne
de sauvegarde des droits de lhomme et du citoyen (Conv. EDH).
La Conv. EDH dispose en effet que :
Article 8 Droit au respect de la vie prive et familiale 1. Toute
personne a droit au respect de sa vie prive et familiale, de son
domicileet de sa correspondance.
2. Il ne peut y avoir ingrence dune autorit publique dans
lexercice de ce droitque pour autant que cette ingrence est prvue
par la loi et quelle constitue unemesure qui, dans une socit
dmocratique, est ncessaire la scurit nationale, la sret publique,
au bien-tre conomique du pays, la dfense de lordre et la prvention
des infractions pnales, la protection de la sant ou de la
morale,
10
-
ou la protection des droits et liberts dautrui. Article 10
Libert dexpression 1. Toute personne a droit la libert dexpression.
Ce droit comprend la libertdopinion et la libert de recevoir ou de
communiquer des informations ou des idessans quil puisse y avoir
ingrence dautorits publiques et sans considration defrontire. Le
prsent article nempche pas les tats de soumettre les entreprisesde
radiodiffusion, de cinma ou de tlvision un rgime
dautorisations.
2. Lexercice de ces liberts comportant des devoirs et des
responsabilits peuttre soumis certaines formalits, conditions,
restrictions ou sanctions prvues parla loi, qui constituent des
mesures ncessaires, dans une socit dmocratique, la scurit
nationale, lintgrit territoriale ou la sret publique, la dfensede
lordre et la prvention du crime, la protection de la sant ou de la
morale, la protection de la rputation ou des droits dautrui, pour
empcher la divulga-tion dinformations confidentielles ou pour
garantir lautorit et limpartialit dupouvoir judiciaire.
De jurisprudence constante, la Cour europenne des droits de
lhomme (Cour EDH)considre que toute loi instaurant des mesures de
surveillance des communications crepar sa simple existence, pour
tous ceux auxquels on pourrait lappliquer, une menace
desurveillance entravant forcment la libert de communication entre
usagers des servicesdes postes et tlcommunications et constituant
par l une ingrence dune autorit pu-blique dans lexercice du droit
des requrants au respect de leur vie prive et familiale ainsique de
leur correspondance (CEDH, Klass et autres c. Allemagne, Pln., 6
septembre1978, no 5029/71, 41 ; voir aussi CEDH Leander c. Sude, 26
mars 1987, no 9248/81,48 ; Rotaru c. Roumanie, 4 mai 2000, no
28341/95, 46).
Les mesures de surveillance, lorsquelles constituent une
ingrence dans lexercice dudroit au respect de la vie prive ou du
droit la libert dexpression consacrs par la Conv.EDH, doivent tre
prvues par la loi, poursuivre un intrt lgitime et tre proportionnes
cet objectif, tel que lexige le 2 de ce mme article 8.
Or, le dcret met en uvre une ingrence extrajudiciaire
disproportionne dans lesdroits et liberts. Celle-ci nest ni prvue
par la loi , ni proportionne aux buts quellepoursuit, tel quexig
tant par larticle 52, paragraphe 1 de la Charte que par les
articles 8et 10 de la Conv. EDH.
4.1.1. Lingrence par le dcret dans les droits fondamentauxprotgs
en droit conventionnel nest pas prvue par laloi.
La Cour EDH considre que, pour quune ingrence soit prvue par la
loi au sensde larticle 82 de la Conv. EDH, la loi doit user de
termes assez clairs pour indiquer tous de manire suffisante en
quelles circonstances et sous quelles conditions elle habilitela
puissance publique oprer pareille atteinte secrte, et virtuellement
dangereuse, audroit au respect de la vie prive et de la
correspondance (CEDH, Malone c. Royaume-Uni, 2 aot 1984, no
8691/79, 67). La Cour EDH prcise ainsi que les mots prvuepar la loi
, au sens de larticle 82, veulent dabord que la mesure incrimine
ait une
11
-
base en droit interne, mais ils ont trait aussi la qualit de la
loi en cause : ils exigentlaccessibilit de celle-ci la personne
concerne, qui de surcrot doit pouvoir en prvoirles consquences pour
elle (CEDH, Kruslin c/ France, 24 avril 1990, no 11801/85, 27).
Le dcret attaqu autorise laccs par les administrations numres
larticle R. 246-2du code de la scurit intrieure (CSI) aux donnes
vises aux articles R. 10-13 et R. 10-14du code des postes et des
communications lectroniques (CPCE) ainsi qu larticle 1erdu dcret no
2011-219.
Or, ces donnes ne sont conserves qu la discrtion des oprateurs
de communicationslectroniques et des hbergeurs.
En cela, le dcret manque de prvoir la porte de lingrence
constitue la fois par laconservation des donnes de connexion et
laccs qui y est accord aux administrations.
4.1.1.1. Les donnes numres aux articles R. 10-14 CPCE et 1er, 3o
et 4odu dcret no 2011-219 du 25 fvrier 2011 ne sont conserves qula
discrtion des oprateurs de communications lectroniques et
deshbergeurs
Larticle R. 10-14 CPCE autorise les oprateurs de communications
lectroniques conserver certaines donnes concernant leurs clients,
sans toutefois les y contraindre. Eneffet, larticle R. 10-14 CPCE
dispose que :
I.-En application du IV de larticle L. 34-1 les oprateurs de
communications lec-troniques sont autoriss conserver pour les
besoins de leurs oprations de fac-turation et de paiement les
donnes caractre technique permettant didentifierlutilisateur ainsi
que celles mentionnes aux b, c et d du I de larticle R. 10-13.
II.-Pour les activits de tlphonie, les oprateurs peuvent
conserver, outreles donnes mentionnes au I, les donnes caractre
technique relatives lalocalisation de la communication,
lidentification du ou des destinataires de lacommunication et les
donnes permettant dtablir la facturation.
III.-Les donnes mentionnes aux I et II du prsent article ne
peuvent treconserves que si elles sont ncessaires la facturation et
au paiementdes services rendus. Leur conservation devra se limiter
au temps strictementncessaire cette finalit sans excder un an.
IV.-Pour la scurit des rseaux et des installations, les
oprateurs peuventconserver pour une dure nexcdant pas trois mois
:a) Les donnes permettant didentifier lorigine de la communication
;b) Les caractristiques techniques ainsi que la date, lhoraire et
la dure de chaquecommunication ;c) Les donnes caractre technique
permettant didentifier le ou les destinatairesde la communication
;d) Les donnes relatives aux services complmentaires demands ou
utiliss etleurs fournisseurs.
De mme, les points 3o et 4o de larticle 1er du dcret no 2011-219
listent des don-nes que fournisseurs daccs Internet et hbergeurs
peuvent conserver quant leursutilisateurs, sans toutefois y tre
contraints.
12
-
Ainsi, larticle 1er du dcret no 2011-219 dispose que :
Les donnes mentionnes au II de larticle 6 de la loi du 21 juin
2004 susvise,que les personnes sont tenues de conserver en vertu de
cette disposition, sont lessuivantes :[...]
3o Pour les personnes mentionnes aux 1 et 2 du I du mme article,
les informationsfournies lors de la souscription dun contrat par un
utilisateur ou lors de la crationdun compte :
a) Au moment de la cration du compte, lidentifiant de cette
connexion ;b) Les nom et prnom ou la raison sociale ;c) Les
adresses postales associes ;d) Les pseudonymes utiliss ;e) Les
adresses de courrier lectronique ou de compte associes ;f) Les
numros de tlphone ;g) Le mot de passe ainsi que les donnes
permettant de le vrifier ou de le modifier,dans leur dernire
version mise jour ;
4o Pour les personnes mentionnes aux 1 et 2 du I du mme article,
lorsquela souscription du contrat ou du compte est payante, les
informations suivantesrelatives au paiement, pour chaque opration
de paiement :a) Le type de paiement utilis ;b) La rfrence du
paiement ;c) Le montant ;d) La date et lheure de la
transaction.
Les donnes mentionnes aux 3o et 4o ne doivent tre conserves
quedans la mesure o les personnes les collectent
habituellement.
Le dcret attaqu permet laccs administratif aux donnes que les
oprateurs de com-munications lectroniques, les fournisseurs daccs
Internet et les hbergeurs choisissentde conserver quant leurs
utilisateurs. Or, en ce quils procdent dune simple facult, ceschoix
ne sont ni connus ni prvisibles pour ces utilisateurs, qui ignorent
si des donnesles concernant, et lesquelles, sont conserves par ces
prestataires et donc accessibles parladministration. tout le moins,
la dtermination des donnes conserves et accessiblespar
ladministration nest pas dfinie par la loi.
Lingrence constitue par la demande daccs aux donnes telle que
dfinie par leprsent dcret nest donc pas prvue par la loi au sens de
larticle 8 2 de la Conv.EDH, tel quinterprt par la Cour EDH,
puisque son tendue matrielle est laisse ladiscrtion des oprateurs
de communications lectroniques, fournisseurs daccs Internetet
hbergeurs.
Ainsi, le prsent dcret viole lensemble des dispositions de la
Charte des droits fon-damentaux et de la Conv. EDH susvises.
13
-
4.1.1.2. Lobligation de conservation des donnes vises aux
articles 1er, 1odu dcret no 2011-219 du 25 fvrier 2011 et R. 10-13
CPCE estimprcise.
Larticle 6 de la loi no 2004-575 du 21 juin 2004 pour la
confiance dans lconomienumrique (LCEN) prvoit que :
I.-1. Les personnes dont lactivit est doffrir un accs des
services de commu-nication au public en ligne [...]
2. Les personnes physiques ou morales qui assurent, mme titre
gratuit, pourmise disposition du public par des services de
communication au public en ligne,le stockage de signaux, dcrits,
dimages, de sons ou de messages de toute naturefournis par des
destinataires de ces services [...]
II.- Les personnes mentionnes aux 1 et 2 du I dtiennent et
conservent lesdonnes de nature permettre lidentification de
quiconque a contribu la cration du contenu ou de lun des contenus
des services dont ellessont prestataires.[...]
Un dcret en Conseil dtat, pris aprs avis de la Commission
nationale de lin-formatique et des liberts, dfinit les donnes
mentionnes au premier alina etdtermine la dure et les modalits de
leur conservation.
Le dcret no 2011-219, pris en application de cet article 6 II de
la LCEN, prvoit aupoint 1o de son premier article lobligation pour
les fournisseurs daccs Internet deconserver une liste de donnes
permettant didentifier leurs abonns chacune de leurconnexion :
Les donnes mentionnes au II de larticle 6 de la loi du 21 juin
2004 susvise,que les personnes sont tenues de conserver en vertu de
cette disposition, sont lessuivantes :1o Pour les personnes
mentionnes au 1 du I du mme article et pour chaqueconnexion de
leurs abonns :a) Lidentifiant de la connexion ;b) Lidentifiant
attribu par ces personnes labonn ;c) Lidentifiant du terminal
utilis pour la connexion lorsquelles y ont accs ;d) Les dates et
heure de dbut et de fin de la connexion ;e) Les caractristiques de
la ligne de labonn ;
Or, le champ des donnes dfini par ce dcret dpasse largement
celui dfini par laloi dans larticle 6 II de la LCEN. La loi ne vise
que les donnes de nature permettrelidentification de quiconque a
contribu la cration d[un] contenu et non pas toutedonne permettant
lidentification de tout abonn, chacune de ses connexions,
quilcontribue ou non la cration dun contenu. Le point 1o de
larticle premier du dcretno 2011-219 cre une obligation que na pas
prvue le lgislateur dans les dispositions quele dcret est cens
appliquer.
Ltendue matrielle de lingrence ralise par le dcret attaqu
rsultant dun ex-cs de pouvoir, cette ingrence nest une fois de plus
pas prvue par la loi au sens desdispositions conventionnelles
prcites telles quinterprtes par la Cour EDH et la CJUE.
14
-
Il en va de mme lorsque le dcret attaqu renvoie larticle R.
10-13 CPCE pour d-finir le champ des donnes quil couvre. Larticle
R. 10-13 CPCE a t pris en applicationde larticle L. 34-1 III CPCE.
Ce dernier article autorise les oprateurs de
communicationslectroniques diffrer dun an leffacement de certaines
donnes techniques relatives leurs abonns, par drogation lobligation
prvue larticle L. 34-1 II CPCE de leseffacer ou de les rendre
anonymes immdiatement.
Larticle L. 34-1 CPCE prvoit en effet que :
II.-Les oprateurs de communications lectroniques, et notamment
les personnesdont lactivit est doffrir un accs des services de
communication au public enligne, effacent ou rendent anonyme toute
donne relative au trafic, sous rservedes dispositions des III, IV,
V et VI.[...]
III.-Pour les besoins de la recherche, de la constatation et de
la poursuite desinfractions pnales ou dun manquement lobligation
dfinie larticle L. 336-3du code de la proprit intellectuelle ou
pour les besoins de la prvention desatteintes aux systmes de
traitement automatis de donnes prvues et rprimespar les articles
323-1 323-3-1 du code pnal, et dans le seul but de permettre,en
tant que de besoin, la mise disposition de lautorit judiciaire ou
de la hauteautorit mentionne larticle L. 331-12 du code de la
proprit intellectuelleou de lautorit nationale de scurit des
systmes dinformation mentionne larticle L. 2321-1 du code de la
dfense, il peut tre diffr pour une duremaximale dun an aux
oprations tendant effacer ou rendre anonymes certainescatgories de
donnes techniques. Un dcret en Conseil dtat, pris aprs avis de
laCommission nationale de linformatique et des liberts, dtermine,
dans les limitesfixes par le VI, ces catgories de donnes et la dure
de leur conservation, selonlactivit des oprateurs et la nature des
communications ainsi que les modalitsde compensation, le cas chant,
des surcots identifiables et spcifiques desprestations assures ce
titre, la demande de ltat, par les oprateurs.
Larticle L. 34-1 III CPCE ne prvoit encore ici quune simple
facult pour les op-rateurs, et non une obligation. Pourtant,
larticle R. 10-13 CPCE qui lapplique, prvoitune obligation de
conservation des donnes techniques par ces prestataires.
En effet, larticle R. 10-13 CPCE dispose :
I.-En application du III de larticle L. 34-1 les oprateurs de
communicationslectroniques conservent pour les besoins de la
recherche, de la constatation etde la poursuite des infractions
pnales :a) Les informations permettant didentifier lutilisateur ;b)
Les donnes relatives aux quipements terminaux de communication
utiliss ;c) Les caractristiques techniques ainsi que la date,
lhoraire et la dure de chaquecommunication ;d) Les donnes relatives
aux services complmentaires demands ou utiliss etleurs fournisseurs
;e) Les donnes permettant didentifier le ou les destinataires de la
communication.
II.-Pour les activits de tlphonie loprateur conserve les donnes
mentionnesau II et, en outre, celles permettant didentifier
lorigine et la localisation de lacommunication.
15
-
Ainsi, lobligation de conservation des donnes techniques mise la
charge des op-rateurs de communications lectroniques par larticle
R. 10-13 CPCE dpasse les limitesposes par larticle L. 34-1 CPCE,
qui ne prvoyait quune simple facult pour ces der-niers. Ltendue de
cette obligation tant ainsi aussi incertaine que son existence, il
enva de mme du champ des donnes conserves par ces prestataires
auxquelles le dcretattaqu autorise laccs par ladministration.
Ltendue matrielle de lingrence ralise par le dcret ntant donc
ici pas clairementdfinie, cette ingrence nest pas prvue par la loi
au sens des dispositions de la Conv.EDH et de la Charte des droits
fondamentaux prcites, que le prsent dcret viole nouveau.
4.1.2. Les limitations aux droits et liberts fondamentaux
intro-duites par le dcret attaqu sont disproportionnes.
Les limitations aux droits et liberts fondamentaux ne sont
valides que si elles res-pectent le principe de
proportionnalit.
De jurisprudence constante, la Cour EDH considre au regard de
larticle 82 de laConv. EDH, que, caractristique de ltat policier,
le pouvoir de surveiller en secret lescitoyens nest tolrable daprs
la Convention que dans la mesure strictement ncessaire la
sauvegarde des institutions dmocratiques (CEDH, Klass et autres c.
Allemagne,Pln., 6 septembre 1978, no 5029/71, 42). Elle considre
ainsi qu une ingrence estconsidre comme ncessaire dans une socit
dmocratique pour atteindre un butlgitime si elle rpond un besoin
social imprieux et, en particulier, si elle estproportionne au but
lgitime poursuivi et si les motifs invoqus par les autorits
natio-nales pour la justifier apparaissent pertinents et suffisants
(CEDH, S et Marper c.Royaume-Uni, 4 dcembre 2008, no 30562/04 et
30566/04, 101).
Tant la CJUE que la Cour EDH ont, au fil de leur jurisprudence,
distingu plusieurscritres leur permettant dvaluer la
proportionnalit dune restriction. Pour sassurer dela
proportionnalit dune ingrence dans les droits et liberts
fondamentaux, les juridic-tions sont notamment conduites examiner
si lingrence est pertinente pour parvenirau but vis et si ce but
peut tre atteint de manire satisfaisante par dautres moyens,moins
restrictifs de droits. Dans le cadre de ce contrle, la CJUE et la
Cour EDH sontamenes examiner la dure de lingrence ainsi que les
contrles pouvant tre oprs.
4.1.2.1. Il existe des mesures alternatives pour atteindre les
finalits pour-suivies.
Confier lautorit administrative un accs une somme de donnes
telle que cellesvises par le dcret nest pas ncessaire pour
atteindre les finalits dfinies larticleL. 241-2 auxquelles larticle
L. 246-1 CSI renvoie notamment quant la lutte contrele terrorisme,
la criminalit et la dlinquance organises et la protection de la
scuritnationale.
En tmoigne le fait que dautres mesures permettent de poursuivre
ces finalits. Ainsi,plusieurs tats europens, dont lAutriche, la
Belgique, lAllemagne, la Grce ou la Rou-manie, ont renonc recourir
la conservation gnralise des donnes techniques, pr-
16
-
frant des mesures cibles de conservation des donnes, parmi
lesquelles linjonction faitepar les autorits un oprateurs de
conserver les donnes ne concernant que certainsindividus suspects.
Dans son tude sur le numrique et les droits fondamentaux de2014, le
Conseil dtat expose dailleurs prcisment comment de telles mesures
reposantsur des injonctions pralables cibles seraient aussi
envisageables en droit franais1.
Ensuite, la conservation gnralise des donnes techniques ne
permet pas datteindreles finalits poursuivies par le prsent dcret
plus efficacement que ne le peuvent cesmesures cibles, que les tats
prcits ont adoptes sans nuire leur capacit de luttecontre les
infractions graves. Ainsi, le gouvernement allemand publiait en
2008 une tudeconcluant ce que seuls 4% des demandes daccs de donnes
faites par les autoritsnavaient pu tre satisfaites en raison de
labsence dune obligation de conservation gn-ralise des donnes
techniques2.
Ces mesures alternatives cibles, adoptes par ces diffrents tats,
constituent uneingrence bien plus faible dans le droit au respect
de la vie prive des utilisateurs que neconstitue celle ralise par
une conservation gnralise des donnes techniques, telle quecelle
laquelle participe le prsent dcret.
Qui plus est, ce rgime tendu daccs administratif aux donnes de
connexions na taccompagn par aucune tude dimpact. Cela est dautant
plus regrettable que le rgimequi linspire, institu par la loi du 23
janvier 2006, nest encore qu exprimental commele rappelle la CNCIS
dans son dernier rapport dactivit3. Son largissement drastiqueau
travers du dcret attaqu intervient donc sans quaucune tude ne
permette dendmontrer lefficacit et le caractre ncessaire par
rapport des mesures plus cibles, etdonc moins restrictives de
liberts.
En ce que latteinte aux droits porte par le dcret dpasse trs
largement celle causepar des mesures alternatives, sans mme
justifier ni plus forte raison dmontrer sa plusgrande efficacit du
point de vue de lobjectif poursuivi, le dcret attaqu doit tre
annul.
4.1.2.2. La rquisition administrative des donnes est
disproportionne auregard de ltendue des services administratifs
ayant accs aux don-nes collectes et des finalits vises par le
dcret.
La disproportion est dautant plus manifeste que, par rapport la
loi du 23 janvier2006, la loi de programmation militaire du 18
dcembre 2013 (LPM) a encore largi lesmesures de rquisition
administrative.
Dune part, la LPM a augment le nombre de services administratifs
pouvant requrirces donnes conserves. Ces services sont viss
larticle L. 246-2 CSI, leur nombre slvedsormais plusieurs dizaines
en incluant des directions territoriales.
Dautre part, la LPM a largi les finalits pour lesquelles les
donnes de connexionpeuvent tre demandes. En effet, les rquisitions
administratives de donnes de connexion
1http://www.ladocumentationfrancaise.fr/var/storage/rapports-publics/144000541/0000.pdf,
pp. 208 et s.
2Max Planck Institute for Foreign and International Criminal
Law, The Right of Discovery ConcerningTelecommunication Traffic
Data According to 100g, 100h of the German Code of Criminal
Procedure,March 2008,
http://dip21.bundestag.de/dip21/btd/16/084/1608434.pdf, p. 150.
322e rapport dactivit 2013-2014 de la CNCIS, p. 95 ;
http://www.ladocumentationfrancaise.fr/var/storage/rapports-publics/154000101/0000.pdf.
17
-
prvues par le dcret attaqu pourront intervenir dans un contexte
identique celui desinterceptions de scurit, savoir, au del de la
prvention du terrorisme, la recherchedes renseignements intressant
la scurit nationale, la sauvegarde des lments essentielsdu
potentiel scientifique et conomique de la France, la prvention de
la criminalit et dela dlinquance organises ou encore de la
reconstitution ou du maintien de groupementsdissous.
4.1.2.3. Les donnes sont conserves pour une dure excessive.
La dure de conservation des rponses fournies ladministration est
disproportionneen ce quil nest pas ncessaire pour ladministration
de conserver les donnes concernespour une priode de trois ans, tel
que prvu par le dcret.
En effet, larticle R. 246-6, alina 3 dispose que :
Le Premier ministre enregistre et conserve pendant une dure
maximale de troisans, dans un traitement automatis quil met en
uvre, les informations ou lesdocuments transmis par les oprateurs
et les personnes mentionns larticleL. 246-1.
Comme lobserve la CNIL dans son avis, le Gouvernement, loccasion
des formali-ts pralables effectues pour les traitements
actuellement mis en uvre, a retenu unedure de conservation dun an.
La CNIL avait en effet relev que cette dure tait suffi-sante au
regard des obligations lgales et rglementaires imposes aux
oprateurs, touten permettant la CNCIS de raliser ses missions de
contrle a posteriori.
Rien ne justifie une dure de conservation de trois ans. Cette
conservation centralisede donnes extrmement sensible est la fois
inutile pour parvenir au but recherch, elleest aussi
dangereuse.
Tout dabord, une dure unique de conservation des donnes tablie
trois ans na au-cun fondement pratique. Soit la personne dont les
donnes sont demandes est considrecomme tant une personne risque et
dans ce cas, le service administratif lorigine de lademande pourra
assurer une copie des donnes et les conserver dans ses fichiers
propres(typiquement un dossier denqute, une fiche S, etc.), soit il
ne sagit pas dune personne risque, et les donnes nont aucune raison
dtre conserves sans tre exploites parailleurs par les services
administratifs.
Concrtement, le dcret instaure un sas dans lequel les donnes
sont conserves pluslongtemps que chez les oprateurs ou hbergeurs
sans quaucune raison ne le justifie.
Par ailleurs, aucun systme informatique ne pouvant tre
parfaitement scuris, quilsoit public ou priv, la conservation de
donnes devrait se faire dans des conditions draco-niennes pour
limiter les atteintes aux droits des personnes en cas dintrusion
frauduleusedans les systmes informatiques concerns. Une dure de
conservation de trois ans estdautant plus inutile et dangereuse que
nulle part ne sont prvues dans la loi ou le dcretles mesures qui
devront assurer la protection technique de ces donnes vis--vis
notam-ment daccs frauduleux.
18
-
4.1.2.4. Le contrle sur les demandes de communications de donnes
estlacunaire.
De jurisprudence constante, la Cour EDH considre quune socit
dmocratique im-plique, entre autres, quune ingrence de lexcutif
dans les droits dun individu soit sou-mise un contrle efficace
(CEDH, Klass et autres c. Allemagne, Pln., 6 septembre1978, no
5029/71, 55).
De mme, dans son arrt du 8 avril 2014 dclarant linvalidit de la
directive 2006/24/CE,la CJUE se fondait notamment sur le fait que
la directive nimposait aucun contrle pra-lable opr par une autorit
administrative indpendante ou judiciaire sur les demandesfaites
:
Surtout laccs aux donnes conserves par les autorits nationales
comptentesnest pas subordonn un contrle pralable effectu soit par
une juridiction,soit par une entit administrative indpendante dont
la dcision vise limiterlaccs aux donnes et leur utilisation ce qui
est strictement ncessaire aux finsdatteindre lobjectif poursuivi et
intervient la suite dune demande motive deces autorits prsente dans
le cadre de procdures de prvention, de dtectionou de poursuites
pnales. Il na pas non plus t prvu une obligation prcise destats
membres visant tablir de telles limitations. (62 de larrt du 8
avril 2014 prcit)
Tout dabord, le dcret attaqu contrevient aux articles 8 et 10 de
la Conv. EDH,ainsi quaux articles 7, 8, 11 et 52 de la Charte des
droits fondamentaux en ce quilinstaure des modalits de
communications des donnes de connexion conserves sansinstituer un
contrle pralable indpendant sur les demandes de transmission. Le
rgimedautorisation par la personnalit qualifie institu par la loi
du 23 janvier 2006 enmatire anti-terroriste et tendue par la LPM,
napporte par les garanties suffisantes auregard du droit
europen.
Ensuite, pour ce qui est du contrle a posteriori, il savre lui
aussi insuffisant pourassurer la conventionnalit du dispositif.
En effet, le dcret attaqu ne fait que confier la CNCIS laccs aux
traitementsmentionns aux articles R. 246-5 7 sans lui donner les
moyens matriels lui permettantde raliser un contrle efficace de ces
traitements. Dans son tude annuelle pour lanne2014, le Conseil dtat
observait lui-mme que les moyens confrs la CNCIS, qui nont pas volu
depuis la loi du 10 juillet 1991, alors que son champ de comptence
at considrablement tendu par la cration dune procdure daccs aux
mtadonnes , ne sont manifestement pas suffisants pour assurer un
contrle effectif de la surveillancedes communications , la CNCIS
ntant compose que de trois membres, assists de cinqcollaborateurs,
et devant traiter prs de 600 demandes par semaine. (pp. 211 et
212)
Ainsi, le dcret choue remplir ce qui tait pourtant le seul
objectif qui lui taitfix par la loi larticle L. 246-4 CSI et, en
chouant soumettre laccs administratifaux donnes de connexion un
contrle efficace, autorise une ingrence disproportionnedans les
droits reconnus par les articles 8 et 10 de la Conv. EDH.
19
-
4.2. Le dcret attaqu est contraire larticle L. 246-4CSI en ce
quil manque dencadrer les procduresde suivi des demandes et de
conservation des do-cuments transmis ladministration.
Le dcret ne prcise pas, comme ly oblige larticle L. 246-4 CSI,
les procdures desuivi des demandes par la CNCIS et les conditions
de conservation des informations oudocuments transmis.
Larticle L. 246-4 du CSI prvoit que :
Les modalits dapplication [...] sont fixes par dcret en Conseil
dtat, prisaprs avis de la Commission nationale de linformatique et
des liberts et dela Commission nationale de contrle des
interceptions de scurit, qui prcisenotamment la procdure de suivi
des demandes et les conditions et dure deconservation des
informations ou documents transmis
Comme le rsume trs clairement la notice de prsentation du dcret
attaqu, celui-ci fixe les modalits de transmission des demandes la
Commission nationale de contrledes interceptions de scurit ainsi
que celles du suivi gnral et du contrle du dispositifpar la
commission . Cette notice prcise aussi que le prsent dcret est pris
pourlapplication de larticle L. 246-4 du code de la scurit
intrieure (et de ce seul article).
Or, le dcret napporte aucune information en la matire. larticle
R. 246-6, ilse borne rappeler que la transmission des informations
ou des documents par lesoprateurs et les personnes mentionns
larticle L. 246-1 au groupement interministrielde contrle est
effectue selon des modalits assurant leur scurit, leur intgrit et
leursuivi. .
Cette absence de dfinition des modalits de contrles de la CNCIS
exige par larticleL. 246-4 CSI a dailleurs pu tre observe par la
CNIL dans son avis sur le projet dedcret, lorsquelle remarque que
le dossier qui lui a t soumis ne contient aucuneinformation
technique sur les modalits de mises en uvre des rquisitions
administrativesde donnes de connexion ou dinformations relatives
laccs de la CNCIS aux traitementsautomatiss prvus dans le cadre des
articles L. 246-1 L. 246-3 du CSI. .
Ainsi, le pouvoir rglementaire parvient tout la fois excder le
pouvoir qui lui estconfr au titre de larticle L. 246-4 CSI (voir
supra sur la lgalit externe et lincomptencedu pouvoir rglementaire,
au point 3.1 page 5), et manquer daccomplir loffice qui luiest
confi au titre du mme article.
4.3. Le dcret attaqu est contraire aux principes descurit
juridique et de confiance lgitime.
Pour les raisons dj invoques tenant notamment limprcision des
donnes aux-quelles ladministration peut avoir accs, le dcret porte
atteinte aux principes de scuritjuridique et de confiance lgitime
(CE, Ass., Arrt du 24 mars 2006, KPMG, no 288460).
20
-
Par ces motifs, les exposants concluent ce que le Conseil dtat
:1. Annule le dcret attaqu avec toutes consquences de droit ;2.
Mette la charge de ltat le versement de la somme de 1024 e sur le
fondement
de larticle L. 761-1 du code de justice administrative.Le 18
fvrier 2015, Paris
Pour lassociationFrench Data Network,
le Prsident,Fabien Sirjean
Pour lassociationLa Quadrature du Net,
le Prsident,Philippe Aigrain
Pour laFdration des fournisseurs daccs Internet associatif,
le Prsident,Benjamin Bayart
21
-
Pices produites
1. Dcret no 2014-1576 du 24 dcembre 2014 relatif laccs
administratif aux donnesde connexion.
2. Statuts de lassociation French Data Network.3. Extrait du
compte rendu de la runion du bureau de FDN du 10 janvier 2015
donnant pouvoir au prsident.4. Statuts de lassociation La
Quadrature du Net.5. Statuts de la Fdration des fournisseurs daccs
Internet associatifs, dite Fd-
ration FDN.6. Charte de la Fdration FDN.7. Compte rendu de la
runion du bureau de la Fdration FDN du 3 fvrier 2015
donnant pouvoir au prsident.8. La prsente requte.
Lensemble tant produit en 6 exemplaires.
22