You are on page 1of 23

Conseil dtat

Section du contentieux

Requte introductive dinstance


introduite

PAR
1. French Data Network (Rseau de donnes franais), dite FDN.
Association rgie par la loi du 1er juillet 1901 tablie 16 rue de Cachy, 80090 Amiens,
enregistre en prfecture de la Somme sous le numro W751107563, oprateur dclar auprs de lARCEP sous la rfrence 07/1149, prise en la personne de son
prsident M. Fabien Sirjean.
Tel. : 06 36 18 91 00
Mail : president@fdn.fr / buro@fdn.fr
2. La Quadrature du Net
Association rgie par la loi du 1er juillet 1901 tablie au 60 rue des Orteaux 75019,
Paris, enregistre en prfecture de police de Paris sous le numro W751218406, prise
en la personne de son prsident M. Philippe Aigrain.
Tel. 06 73 60 88 43
Mail : contact@laquadrature.net
3. Fdration des fournisseurs daccs Internet associatifs, dite Fdration
FDN (FFDN).
Fdration rgie par la loi du 1er juillet 1901 tablie 16 rue de Cachy, 80090 Amiens,
enregistre en prfecture de la Somme sous le numro W751210904, regroupant 27
fournisseurs daccs associatifs franais, dclars auprs de lARCEP, et un fournisseur daccs associatif belge dclar auprs du rgulateur, prise en la personne de
son prsident M. Benjamin Bayart.
Tel : 06 60 24 24 94
Mail : contact@ffdn.org

CONTRE

Le dcret no 2014-1576 du 24 dcembre 2014 relatif laccs administratif


aux donnes de connexion publi au Journal officiel de la Rpublique franaise no 298
du 26 dcembre 2014, p. 22224.

1. FAITS
La loi no 2013-1168 de programmation militaire du 18 novembre 2013 (LPM) tablit les
objectifs de la politique de dfense franaise pour les annes 2014 2019. Son article 20
a, dune part, cr un chapitre VI Accs administratif aux donnes de connexion
au sein du titre IV du livre II du code de la scurit intrieure (CSI) contenant les
articles L. 246-1 5 CSI. Il a, dautre part, abrog les articles L. 222-2, L. 222-3 et
L. 243-12 CSI ainsi que larticle 6 II bis de la loi no 2004-575 du 21 juin 2004 pour la
confiance dans lconomie numrique (LCEN) et larticle L. 34-1-1 du code des postes et
des communications lectroniques (CPCE).
Larticle L. 246-4 CSI cr par la LPM, actuellement en vigueur, dispose que :
La Commission nationale de contrle des interceptions de scurit dispose dun
accs permanent au dispositif de recueil des informations ou documents mis en
uvre en vertu du prsent chapitre, afin de procder des contrles visant
sassurer du respect des conditions fixes aux articles L. 246-1 L. 246-3. En cas
de manquement, elle adresse une recommandation au Premier ministre. Celui-ci
fait connatre la commission, dans un dlai de quinze jours, les mesures prises
pour remdier au manquement constat.
Les modalits dapplication du prsent article sont fixes par dcret en Conseil
dtat, pris aprs avis de la Commission nationale de linformatique et des liberts
et de la Commission nationale de contrle des interceptions de scurit, qui prcise
notamment la procdure de suivi des demandes et les conditions et dure de
conservation des informations ou documents transmis.
Le dcret vis cet article est le dcret no 2014-1576 du 24 dcembre 2014 relatif
laccs administratif aux donnes de connexion publi au Journal officiel de la Rpublique
franaise no 298 du 26 dcembre 2014, p. 22.224.
Cest la dcision attaque.

2. DISCUSSION Intrt agir


2.1. French Data Network
FDN est une association loi 1901, et est un fournisseur daccs Internet. Elle existe,
et exerce son activit, depuis 1992, ce qui en fait le plus ancien fournisseur daccs
Internet encore en activit. Elle regroupe 450 adhrents et est administre de manire
entirement bnvole. Elle ne fournit daccs Internet qu ses membres. Son intrt
agir, en lespce est donc double.
Dune part, en tant quoprateur dun rseau de communication ouvert au public,
dclar auprs de lARCEP, parce que le dcret attaqu lui est applicable directement.
ce titre FDN fournit galement un certain nombre de services (courrier lectronique,
hbergement de sites web ou de serveurs, etc) ceux de ses membres qui en ont fait le
choix.
Dautre part, en tant quassociation, reprsentant ses membres, y compris ceux auxquels elle fournit un accs Internet. Ces abonns sont concerns au premier chef par la
conservation des donnes de connexion, et par les accs de ladministration ces donnes.
Lintrt agir de FDN a t reconnu par le Conseil dtat dans laffaire no 342405,
par exemple.

2.2. La Quadrature du Net


Lobjet gnral de la Quadrature du Net est la dfense des droits fondamentaux dans
lenvironnement numrique. ce titre, elle intervient dans les dbats rglementaires touchant au droit de lInternet au niveaux franais et europen, notamment en dveloppant
des analyses juridiques, en proposant et en valuant des amendements au cours des procdures lgislatives.
Ds 2008 et 2009, LQDN stait illustre comme lun des fers de lance de lopposition
loi HADOPI, selon lexpression du journal Le Figaro1 . Elle avait cette occasion port
de nombreux arguments juridiques plus tard valids dans la dcision no 2009-580 DC du
Conseil constitutionnel du 10 juin 2009. Son combat contre les excs du droit dauteur
1

https://www.laquadrature.net/fr/le-figaro-bataille-politique-autour-de-la-loiantipiratage

la galement conduite mener campagne contre le projet daccord multilatral ACTA,


rejet par le Parlement europen lt 2012.
Lun des axes fort de ses positions est la dfense dune protection judiciaire des droits
fondamentaux sur Internet, et notamment la libert dexpression et de communication.
ce titre, elle soppose la dlgation de la rpression des infractions aux acteurs privs
ou administratifs. En 2009, elle avait dans ce but propos et dfendu lamendement dit
138 lors de lexamen du Paquet Tlcom au Parlement europen. Ces derniers mois,
elle sest galement illustre dans les dbats parlementaires franais sur diffrents projets
et propositions de loi tendant tendre les obligations des hbergeurs en matire de
surveillance des contenus, pointant le risque de censure extrajudiciaire quemportaient de
telles mesures.
Cette dfense de ltat de droit la videmment conduite se mobiliser sur les questions de vie prive et de surveillance des communications sur Internet. Au niveau europen, elle mne par exemple campagne sur le projet de rglement relatif la protection
des donnes personnelles. Au niveau franais, LQDN sest notamment illustre par son
opposition la loi de programmation militaire (LPM) adopte fin 2013. Elle participe
depuis lObservatoire des Liberts Numriques, cr suite la mobilisation de la socit
civile contre larticle 20 de la LPM, aux cts entre autres de la Ligue des Droits de
lHomme et du Syndicat de la Magistrature. Rcemment, elle a encore t auditionne
par le Conseil dtat le 28 janvier 2014 en vue de llaboration de son tude annuelle
pour lanne 2014 intitule Le numrique et les droits fondamentaux .
Enfin, les statuts de lassociation lui confrent la possibilit dester en justice possibilit quelle entend exercer pour la premire fois loccasion de ce recours. Cela tant,
elle a dj eu loccasion dintervenir auprs de juridictions. En 2011, elle tait intervenue auprs du Conseil constitutionnel au travers dun mmoire en amicus curiae
pour pointer le caractre disproportionn et ds lors inconstitutionnel des mesures de
blocage administratif de sites inscrit larticle 4 de la loi LOPPSI2 . Actuellement, elle
participe une tierce intervention dune coalition dONG europennes auprs de la Cour
europenne des droits de lHomme, loccasion du recours de plusieurs associations britanniques contre le programme de surveillance dInternet TEMPORA, rvl par Edward
Snowden3 .
Ainsi, La Quadrature du Net introduit la prsente requte non seulement en conformit avec ses statuts, mais aussi en pleine cohrence avec ses activits.

2.3. Fdration des fournisseurs daccs Internet associatifs


La Fdration FDN regroupe 28 fournisseurs daccs Internet associatifs, 27 sont des
associations de droit franais (loi de 1901 ou droit spcifique dAlsace Moselle, selon), la
28e tant une association de droit belge. Toutes ces associations sont gres de manire
2

http://www.laquadrature.net/files/20110214_La%20Quadrature%20du%20Net_Amicus%
20curiae%20LOPPSI2.pdf
3
https://www.laquadrature.net/fr/la-quadrature-sengage-dans-la-luttejuridictionnelle-contre-la-surveillance-de-masse

bnvole et reprsentent, toutes ensemble, prs de 2000 adhrents. FDN est une des
associations membres, et fondatrice, de la Fdration FDN. Les associations membres de
la Fdration FDN sont toutes signataires dune charte par laquelle elles prennent des
engagements thiques et techniques.
Ici encore, lintrt agir de la Fdration FDN est double.
Dune part, en tant que reprsentant de 28 oprateurs, tous dclars auprs du rgulateur national, et presque tous de droit franais, donc concerns par le dcret attaqu
qui leur est applicable.
Dautre part, en tant que reprsentant, au travers de ses membres, de lensemble des
abonns et adhrents de ses associations membres, concerns par la conservation des
donnes de connexion, lintrusion quelle reprsente dans leur vie prive, et les accs de
ladministration ces donnes.

3. DISCUSSION Lgalit externe


La dcision attaque est entache de vices dincomptence et de procdure.

3.1. Le dcret attaqu est entach dincomptence matrielle.


Le dcret est entach dincomptence ratione materiae en ce quil comporte des dispositions dont la substance outrepasse largement le champ de larticle L. 246-4 CSI cr
par la LPM et sort du champ du pouvoir rglementaire autonome.
Larticle L. 246-4 CSI prcit, sur le fondement duquel le dcret attaqu est adopt,
ne porte que sur le rle allou la Commission nationale de contrle des interceptions
de scurit (CNCIS) dans le contrle quelle opre sur le recueil dinformations opr
en vertu du chapitre VI cr par larticle 20 de la loi de programmation militaire du
18 novembre 2013. Il confie au pouvoir rglementaire le soin dtablir les conditions dans
lesquelles la CNCIS peut effectuer ce contrle.
La notice prsentant le dcret1 , prcise que le dcret dfinit les donnes de connexion
pouvant tre recueillies et dresse la liste des services dont les agents individuellement
dsigns et dment habilits peuvent demander accder aux donnes de connexion .
Cette notice dcrit parfaitement lobjet des dispositions du dcret attaqu, lesquelles
excdent le champ de larticle L. 246-4 CSI pour combler les lacunes des articles L. 246-1
3 et L. 246-5.
Les dispositions du dcret attaqu dpassent donc trs largement la comptence du
pouvoir rglementaire. En cela, le dcret attaqu est entach dincomptence matrielle
et devra tre annul.
1

http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000029958091&categorieLien=
id, texte du dcret joint la procdure.

3.2. Le dcret attaqu est entach de vices de procdure.


Le dcret est vici en ce que le pouvoir rglementaire na pas respect la procdure
qui simposait son adoption.

3.2.1. Le dcret attaqu na pas t notifi la Commission


europenne.
La directive 98/34/CE du 22 juin 1998 modifie, en son article 1er 2) dfinit la notion
de service de la socit de linformation comme :
tout service prest normalement contre rmunration, distance par voie lectronique et la demande individuelle dun destinataire de services
Larticle 1er 5) dfinit la rgle relative aux services comme :
une exigence de nature gnrale relative laccs aux activits de services vises
au point 2 et leur exercice, notamment les dispositions relatives au prestataire
de services, aux services et au destinataire de services, lexclusion des rgles qui
ne visent pas spcifiquement les services dfinis au mme point
Larticle 1er 11) dfinit la rgle technique comme :
une spcification technique ou autre exigence ou une rgle relative aux services, y
compris les dispositions administratives qui sy appliquent, dont lobservation est
obligatoire de jure ou de facto, pour la commercialisation, la prestation de services,
ltablissement dun oprateur de services ou lutilisation dans un tat membre
ou dans une partie importante de cet tat, de mme que, sous rserve de celles
vises larticle 10, les dispositions lgislatives, rglementaires et administratives
des tats membres interdisant (...) de fournir ou dutiliser un service ou de stablir
comme prestataire de services
En lespce, les mesures cres par le dcret sont bien des rgles techniques au sens
de la directive. En effet, il sagit bien de dispositions administratives dont lobservation
est obligatoire et sappliquant des services tels que dfinis par la directive puisque
sont notamment viss les hbergeurs, tels que dfinis larticle 6, I, 1o de la LCEN et
prestataires de services de la socit de linformation par excellence.
Ds lors, le projet de dcret devait tre notifi la Commission europenne, larticle 8
de la directive 98/34/CE disposant quant lui que :
Sous rserve de larticle 10, les tats membres communiquent immdiatement
la Commission tout projet de rgle technique, sauf sil sagit dune simple transposition intgrale dune norme internationale ou europenne, auquel cas une simple
information quant la norme concerne suffit.
Ne sagissant ni dun cas vis larticle 10 ni dune transposition intgrale dune norme
internationale ou europenne, le dcret devait tre notifi la Commission europenne
6

conformment la procdure tablie par la directive 98/34/CE. Cette interprtation de


la directive 98/34/CE est dailleurs conforme la solution adopte par le Conseil dtat
dans son arrt du 10 juin 2013 rendu dans laffaire no 327375.
Le Gouvernement ayant manqu de le notifier la Commission europenne, le dcret
attaqu na pas t adopt conformment aux dispositions susvises de la directive 98/34
et doit donc tre annul.

3.2.2. Aucune tude dimpact na t ralise antrieurement


ladoption du dcret attaqu.
Daprs la circulaire du 17 fvrier 2011 relative la simplification des normes concernant les entreprises et les collectivits territoriales :
Llaboration de tout projet de loi, dordonnance, de dcret ou darrt comportant des mesures concernant les entreprises, cest--dire susceptibles davoir une
incidence sur elles, tout particulirement sur les petites et moyennes entreprises
et sur les entreprises du secteur industriel, appelle une analyse dimpact circonstancie.
Sagissant des projets dordonnance, de dcret et darrt, cette valuation pralable sera retrace dans la fiche dimpact de lannexe III de la prsente circulaire.
Le commissaire la simplification doit tre saisi du projet de texte et de lanalyse
dimpact correspondante :
[...]
sagissant des projets de dcret en Conseil dtat ou dordonnance, au plus
tard concomitamment la saisine des instances obligatoirement consultes si le
projet entre dans leur champ de comptence et pralablement lorganisation
dune runion interministrielle ou saisine du cabinet du Premier ministre pour
arbitrage et, en toute hypothse, la saisine du Conseil dtat.
Cette circulaire, adopte par le Premier ministre, cre une obligation pour lensemble
des composantes du gouvernement et de ladministration non seulement dlaborer une
fiche dimpact mais de saisir le commissaire la simplification du projet de dcret, tout
le moins lors de la saisine du Conseil dtat.
Cette obligation sapplique lorsque sont en cause des mesures concernant les entreprises et tout particulirement des petites et moyennes entreprises. Ce qui est le cas en
lespce puisque, comme en tmoigne lexistence mme dassociations comme celles de la
FFDN, les destinataires du dcret sont pour un trs grand nombre, et plus encore pour
ce qui concerne les hbergeurs, des petites et moyennes entreprises.
Le dcret attaqu, en ce quil comporte des mesures que de nombreux hbergeurs et
fournisseurs daccs dont un grand nombre sont des petites et moyennes entreprises,
voire des associations doivent respecter, devait tre prcd dune tude dimpact ainsi
que dune saisine du commissaire la simplification. Or, encore une fois, il nen a rien
t.
Ainsi, le dcret a t adopt en contradiction des dispositions contraignantes prcites
et devra donc tre annul.
7

4. DISCUSSION - Lgalit interne


La dcision attaque doit au surplus tre annule en ce quelle est contraire au droit
de lUnion europenne et la Convention europenne des droits de lHomme, la loi et
aux principes gnraux du droit.
titre liminaire, il doit dores et dj tre prcis que lapplication de la Charte des
droits fondamentaux de lUnion europenne la dcision attaque appelle ce quune
question prjudicielle soit adresse la Cour de justice de lUnion europenne. Par ailleurs,
les associations requrantes formeront une question prioritaire de constitutionnalit dans
un mmoire spar qui sera communiqu ultrieurement.

4.1. Le dcret attaqu est contraire la Charte des


droits fondamentaux et la Convention europenne de sauvegarde des droits de lhomme et
des liberts fondamentales.
La Charte des droits fondamentaux de lUnion europenne dispose que :
Article 7 Respect de la vie prive et familiale
Toute personne a droit au respect de sa vie prive et familiale, de son domicile et
de ses communications.
Article 8 Protection des donnes caractre personnel
Toute personne a droit la protection des donnes caractre personnel la concernant.
Ces donnes doivent tre traites loyalement, des fins dtermines et sur la base
du consentement de la personne concerne ou en vertu dun autre fondement
lgitime prvu par la loi. Toute personne a le droit daccder aux donnes collectes
la concernant et den obtenir la rectification.
Le respect de ces rgles est soumis au contrle dune autorit indpendante.
Article 11 Libert dexpression et dinformation
1.Toute personne a droit la libert dexpression. Ce droit comprend la libert
dopinion et la libert de recevoir ou de communiquer des informations ou des ides
sans quil puisse y avoir ingrence dautorits publiques et sans considration de
frontires.
8

2. La libert des mdias et leur pluralisme sont respects.


[...]
Article 52 Porte et interprtation des droits et des principes
Toute limitation de lexercice des droits et liberts reconnus par la prsente Charte
doit tre prvue par la loi et respecter le contenu essentiel desdits droits et liberts.
Dans le respect du principe de proportionnalit, des limitations ne peuvent tre
apportes que si elles sont ncessaires et rpondent effectivement des objectifs
dintrt gnral reconnus par lUnion ou au besoin de protection des droits et
liberts dautrui.
Dans son arrt du 8 avril 2014 (Digital Rights Ireland, C-293/12), la grande chambre
de la Cour de justice de lUnion europenne (CJUE) a invalid la directive 2006/24/CE
relative la conservation des donnes par les oprateurs de communications lectroniques,
la jugeant non conforme la Charte des droits fondamentaux de lUnion europenne (la
Charte).
Pour dclarer cette directive invalide, la CJUE a dabord estim que lobligation gnralise de conservation des donnes de connexion ainsi que laccs qui en tait donn aux
autorits nationales constituaient des ingrences dans les droits fondamentaux au respect
de la vie prive et familiale et la protection des donnes caractre personnel reconnus
aux articles 7 et 8 de la Charte. Comme la dcid la CJUE :
(...) la directive 2006/24 concerne de manire globale lensemble des personnes
faisant usage de services de communications lectroniques, sans toutefois que les
personnes dont les donnes sont conserves se trouvent, mme indirectement,
dans une situation susceptible de donner lieu des poursuites pnales. Elle sapplique donc mme des personnes pour lesquelles il nexiste aucun indice
de nature laisser croire que leur comportement puisse avoir un lien,
mme indirect ou lointain, avec des infractions graves. En outre, elle ne
prvoit aucune exception, de sorte quelle sapplique mme des personnes dont
les communications sont soumises, selon les rgles du droit national, au secret
professionnel. ( 58)
Suite linvalidation de la directive 2006/24, le droit de lUnion europenne applicable est dsormais celui de la directive 2002/58/CE du Parlement europen et du Conseil
du 12 juillet 2002 concernant le traitement des donnes caractre personnel et la protection de la vie prive dans le secteur des communications lectroniques (directive dite
ePrivacy ). Cette directive dispose dans son article 15 que :
Les tats membres peuvent adopter des mesures lgislatives visant limiter la
porte des droits et des obligations prvus aux articles 5 et 6, larticle 8, paragraphes 1, 2, 3 et 4, et larticle 9 de la prsente directive lorsquune telle
limitation constitue une mesure ncessaire, approprie et proportionne,
au sein dune socit dmocratique, pour sauvegarder la scurit nationale
cest--dire la sret de ltat la dfense et la scurit publique, ou assurer
la prvention, la recherche, la dtection et la poursuite dinfractions pnales ou
dutilisations non autorises du systme de communications lectroniques, comme
le prvoit larticle 13, paragraphe 1, de la directive 95/46/CE. cette fin, les
tats membres peuvent, entre autres, adopter des mesures lgislatives prvoyant
9

la conservation de donnes pendant une dure limite lorsque cela est justifi par
un des motifs noncs dans le prsent paragraphe. Toutes les mesures vises dans
le prsent paragraphe sont prises dans le respect des principes gnraux du droit
communautaire, y compris ceux viss larticle 6, paragraphes 1 et 2, du trait
sur lUnion europenne.
Ainsi, la dcision attaque doit tre conforme la Charte des droits fondamentaux,
la CEDH ainsi quaux principes gnraux du droit de lUnion europenne.
Lue la lumire de larrt du 8 avril 2014 rendu par la CJUE, et en particulier de ses
paragraphes 57 59, larticle 15 de la directive 2002/58/CE tend invalider le principe
mme dune obligation de conservation des donnes pour les personnes pour lesquelles
il nexiste aucun indice de nature laisser croire que leur comportement puisse avoir
un lien, mme indirect ou lointain, avec des infractions graves , pour privilgier des
dispositifs de conservation de donnes cibles, tant en termes temporels que sagissant
des personnes concernes (conservation sur injonction).
Or, le prsent dcret fournit ladministration un accs un ensemble de donnes
collectes dans le cadre dun dispositif de collecte gnralise des donnes de connexion,
y compris pour les personnes pour lesquelles il nexiste aucune suspicion dun lien direct
ou indirect avec des infractions graves. Tout comme la directive 2006/24/CE, le
dcret choue apporter les garanties requises par les articles 7, 8, 11 et 52,
paragraphe 1 de la Charte des droits fondamentaux tels quinterprts par
larrt du 8 avril 2014 de la CJUE. Ds lors, le dcret attaqu est contraire au droit
de lUnion europenne.
En tout tat de cause, si le Conseil dtat sinterroge sur la porte quil convient
de donner larrt de la CJUE du 8 avril 2014, la lettre et lesprit de la procdure du
renvoi prjudiciel devraient le conduire poser la CJUE la question de savoir si le
droit de lUnion europenne doit tre interprt en ce sens quil prohibe tout dispositif de
collecte gnralise des donnes de connexion pour lensemble des utilisateurs dInternet,
y compris ceux pour lesquels il nexiste aucune suspicion dinfraction.
De plus, bien que, dans son arrt du 8 avril 2014, la CJUE se soit contente dapprcier
la validit de la directive au regard des articles 7 et 8 de la Charte, la Cour na pas exclu
que les dispositions vises constituent galement une ingrence dans lexercice de la libert
dexpression, telle que reconnue larticle 11 de la Charte.
En cela, la CJUE sest inscrite dans le sillage dune jurisprudence bien tablie de la
Cour europenne des droits de lhomme relative tant larticle 8 qu larticle 10 de la
Convention europenne de sauvegarde des droits de lhomme et du citoyen (Conv. EDH).
La Conv. EDH dispose en effet que :
Article 8 Droit au respect de la vie prive et familiale
1. Toute personne a droit au respect de sa vie prive et familiale, de son domicile
et de sa correspondance.
2. Il ne peut y avoir ingrence dune autorit publique dans lexercice de ce droit
que pour autant que cette ingrence est prvue par la loi et quelle constitue une
mesure qui, dans une socit dmocratique, est ncessaire la scurit nationale,
la sret publique, au bien-tre conomique du pays, la dfense de lordre et
la prvention des infractions pnales, la protection de la sant ou de la morale,
10

ou la protection des droits et liberts dautrui.


Article 10 Libert dexpression
1. Toute personne a droit la libert dexpression. Ce droit comprend la libert
dopinion et la libert de recevoir ou de communiquer des informations ou des ides
sans quil puisse y avoir ingrence dautorits publiques et sans considration de
frontire. Le prsent article nempche pas les tats de soumettre les entreprises
de radiodiffusion, de cinma ou de tlvision un rgime dautorisations.
2. Lexercice de ces liberts comportant des devoirs et des responsabilits peut
tre soumis certaines formalits, conditions, restrictions ou sanctions prvues par
la loi, qui constituent des mesures ncessaires, dans une socit dmocratique,
la scurit nationale, lintgrit territoriale ou la sret publique, la dfense
de lordre et la prvention du crime, la protection de la sant ou de la morale,
la protection de la rputation ou des droits dautrui, pour empcher la divulgation dinformations confidentielles ou pour garantir lautorit et limpartialit du
pouvoir judiciaire.
De jurisprudence constante, la Cour europenne des droits de lhomme (Cour EDH)
considre que toute loi instaurant des mesures de surveillance des communications cre
par sa simple existence, pour tous ceux auxquels on pourrait lappliquer, une menace de
surveillance entravant forcment la libert de communication entre usagers des services
des postes et tlcommunications et constituant par l une ingrence dune autorit publique dans lexercice du droit des requrants au respect de leur vie prive et familiale ainsi
que de leur correspondance (CEDH, Klass et autres c. Allemagne, Pln., 6 septembre
1978, no 5029/71, 41 ; voir aussi CEDH Leander c. Sude, 26 mars 1987, no 9248/81,
48 ; Rotaru c. Roumanie, 4 mai 2000, no 28341/95, 46).
Les mesures de surveillance, lorsquelles constituent une ingrence dans lexercice du
droit au respect de la vie prive ou du droit la libert dexpression consacrs par la Conv.
EDH, doivent tre prvues par la loi, poursuivre un intrt lgitime et tre proportionnes
cet objectif, tel que lexige le 2 de ce mme article 8.
Or, le dcret met en uvre une ingrence extrajudiciaire disproportionne dans les
droits et liberts. Celle-ci nest ni prvue par la loi , ni proportionne aux buts quelle
poursuit, tel quexig tant par larticle 52, paragraphe 1 de la Charte que par les articles 8
et 10 de la Conv. EDH.

4.1.1. Lingrence par le dcret dans les droits fondamentaux


protgs en droit conventionnel nest pas prvue par la
loi.
La Cour EDH considre que, pour quune ingrence soit prvue par la loi au sens
de larticle 82 de la Conv. EDH, la loi doit user de termes assez clairs pour indiquer
tous de manire suffisante en quelles circonstances et sous quelles conditions elle habilite
la puissance publique oprer pareille atteinte secrte, et virtuellement dangereuse, au
droit au respect de la vie prive et de la correspondance (CEDH, Malone c. RoyaumeUni, 2 aot 1984, no 8691/79, 67). La Cour EDH prcise ainsi que les mots prvue
par la loi , au sens de larticle 82, veulent dabord que la mesure incrimine ait une
11

base en droit interne, mais ils ont trait aussi la qualit de la loi en cause : ils exigent
laccessibilit de celle-ci la personne concerne, qui de surcrot doit pouvoir en prvoir
les consquences pour elle (CEDH, Kruslin c/ France, 24 avril 1990, no 11801/85, 27).
Le dcret attaqu autorise laccs par les administrations numres larticle R. 246-2
du code de la scurit intrieure (CSI) aux donnes vises aux articles R. 10-13 et R. 10-14
du code des postes et des communications lectroniques (CPCE) ainsi qu larticle 1er
du dcret no 2011-219.
Or, ces donnes ne sont conserves qu la discrtion des oprateurs de communications
lectroniques et des hbergeurs.
En cela, le dcret manque de prvoir la porte de lingrence constitue la fois par la
conservation des donnes de connexion et laccs qui y est accord aux administrations.
4.1.1.1.

Les donnes numres aux articles R. 10-14 CPCE et 1er , 3o et 4o


du dcret no 2011-219 du 25 fvrier 2011 ne sont conserves qu
la discrtion des oprateurs de communications lectroniques et des
hbergeurs

Larticle R. 10-14 CPCE autorise les oprateurs de communications lectroniques


conserver certaines donnes concernant leurs clients, sans toutefois les y contraindre. En
effet, larticle R. 10-14 CPCE dispose que :
I.-En application du IV de larticle L. 34-1 les oprateurs de communications lectroniques sont autoriss conserver pour les besoins de leurs oprations de facturation et de paiement les donnes caractre technique permettant didentifier
lutilisateur ainsi que celles mentionnes aux b, c et d du I de larticle R. 10-13.
II.-Pour les activits de tlphonie, les oprateurs peuvent conserver, outre
les donnes mentionnes au I, les donnes caractre technique relatives la
localisation de la communication, lidentification du ou des destinataires de la
communication et les donnes permettant dtablir la facturation.
III.-Les donnes mentionnes aux I et II du prsent article ne peuvent tre
conserves que si elles sont ncessaires la facturation et au paiement
des services rendus. Leur conservation devra se limiter au temps strictement
ncessaire cette finalit sans excder un an.
IV.-Pour la scurit des rseaux et des installations, les oprateurs peuvent
conserver pour une dure nexcdant pas trois mois :
a) Les donnes permettant didentifier lorigine de la communication ;
b) Les caractristiques techniques ainsi que la date, lhoraire et la dure de chaque
communication ;
c) Les donnes caractre technique permettant didentifier le ou les destinataires
de la communication ;
d) Les donnes relatives aux services complmentaires demands ou utiliss et
leurs fournisseurs.
De mme, les points 3o et 4o de larticle 1er du dcret no 2011-219 listent des donnes que fournisseurs daccs Internet et hbergeurs peuvent conserver quant leurs
utilisateurs, sans toutefois y tre contraints.
12

Ainsi, larticle 1er du dcret no 2011-219 dispose que :


Les donnes mentionnes au II de larticle 6 de la loi du 21 juin 2004 susvise,
que les personnes sont tenues de conserver en vertu de cette disposition, sont les
suivantes :
[...]
3o Pour les personnes mentionnes aux 1 et 2 du I du mme article, les informations
fournies lors de la souscription dun contrat par un utilisateur ou lors de la cration
dun compte :
a) Au moment de la cration du compte, lidentifiant de cette connexion ;
b) Les nom et prnom ou la raison sociale ;
c) Les adresses postales associes ;
d) Les pseudonymes utiliss ;
e) Les adresses de courrier lectronique ou de compte associes ;
f) Les numros de tlphone ;
g) Le mot de passe ainsi que les donnes permettant de le vrifier ou de le modifier,
dans leur dernire version mise jour ;
4o Pour les personnes mentionnes aux 1 et 2 du I du mme article, lorsque
la souscription du contrat ou du compte est payante, les informations suivantes
relatives au paiement, pour chaque opration de paiement :
a) Le type de paiement utilis ;
b) La rfrence du paiement ;
c) Le montant ;
d) La date et lheure de la transaction.
Les donnes mentionnes aux 3o et 4o ne doivent tre conserves que
dans la mesure o les personnes les collectent habituellement.
Le dcret attaqu permet laccs administratif aux donnes que les oprateurs de communications lectroniques, les fournisseurs daccs Internet et les hbergeurs choisissent
de conserver quant leurs utilisateurs. Or, en ce quils procdent dune simple facult, ces
choix ne sont ni connus ni prvisibles pour ces utilisateurs, qui ignorent si des donnes
les concernant, et lesquelles, sont conserves par ces prestataires et donc accessibles par
ladministration. tout le moins, la dtermination des donnes conserves et accessibles
par ladministration nest pas dfinie par la loi.
Lingrence constitue par la demande daccs aux donnes telle que dfinie par le
prsent dcret nest donc pas prvue par la loi au sens de larticle 8 2 de la Conv.
EDH, tel quinterprt par la Cour EDH, puisque son tendue matrielle est laisse la
discrtion des oprateurs de communications lectroniques, fournisseurs daccs Internet
et hbergeurs.
Ainsi, le prsent dcret viole lensemble des dispositions de la Charte des droits fondamentaux et de la Conv. EDH susvises.

13

4.1.1.2.

Lobligation de conservation des donnes vises aux articles 1er , 1o


du dcret no 2011-219 du 25 fvrier 2011 et R. 10-13 CPCE est
imprcise.

Larticle 6 de la loi no 2004-575 du 21 juin 2004 pour la confiance dans lconomie


numrique (LCEN) prvoit que :
I.-1. Les personnes dont lactivit est doffrir un accs des services de communication au public en ligne [...]
2. Les personnes physiques ou morales qui assurent, mme titre gratuit, pour
mise disposition du public par des services de communication au public en ligne,
le stockage de signaux, dcrits, dimages, de sons ou de messages de toute nature
fournis par des destinataires de ces services [...]
II.- Les personnes mentionnes aux 1 et 2 du I dtiennent et conservent les
donnes de nature permettre lidentification de quiconque a contribu
la cration du contenu ou de lun des contenus des services dont elles
sont prestataires.
[...]
Un dcret en Conseil dtat, pris aprs avis de la Commission nationale de linformatique et des liberts, dfinit les donnes mentionnes au premier alina et
dtermine la dure et les modalits de leur conservation.
Le dcret no 2011-219, pris en application de cet article 6 II de la LCEN, prvoit au
point 1o de son premier article lobligation pour les fournisseurs daccs Internet de
conserver une liste de donnes permettant didentifier leurs abonns chacune de leur
connexion :
Les donnes mentionnes au II de larticle 6 de la loi du 21 juin 2004 susvise,
que les personnes sont tenues de conserver en vertu de cette disposition, sont les
suivantes :
1o Pour les personnes mentionnes au 1 du I du mme article et pour chaque
connexion de leurs abonns :
a) Lidentifiant de la connexion ;
b) Lidentifiant attribu par ces personnes labonn ;
c) Lidentifiant du terminal utilis pour la connexion lorsquelles y ont accs ;
d) Les dates et heure de dbut et de fin de la connexion ;
e) Les caractristiques de la ligne de labonn ;
Or, le champ des donnes dfini par ce dcret dpasse largement celui dfini par la
loi dans larticle 6 II de la LCEN. La loi ne vise que les donnes de nature permettre
lidentification de quiconque a contribu la cration d[un] contenu et non pas toute
donne permettant lidentification de tout abonn, chacune de ses connexions, quil
contribue ou non la cration dun contenu. Le point 1o de larticle premier du dcret
no 2011-219 cre une obligation que na pas prvue le lgislateur dans les dispositions que
le dcret est cens appliquer.
Ltendue matrielle de lingrence ralise par le dcret attaqu rsultant dun excs de pouvoir, cette ingrence nest une fois de plus pas prvue par la loi au sens des
dispositions conventionnelles prcites telles quinterprtes par la Cour EDH et la CJUE.
14

Il en va de mme lorsque le dcret attaqu renvoie larticle R. 10-13 CPCE pour dfinir le champ des donnes quil couvre. Larticle R. 10-13 CPCE a t pris en application
de larticle L. 34-1 III CPCE. Ce dernier article autorise les oprateurs de communications
lectroniques diffrer dun an leffacement de certaines donnes techniques relatives
leurs abonns, par drogation lobligation prvue larticle L. 34-1 II CPCE de les
effacer ou de les rendre anonymes immdiatement.
Larticle L. 34-1 CPCE prvoit en effet que :
II.-Les oprateurs de communications lectroniques, et notamment les personnes
dont lactivit est doffrir un accs des services de communication au public en
ligne, effacent ou rendent anonyme toute donne relative au trafic, sous rserve
des dispositions des III, IV, V et VI.
[...]
III.-Pour les besoins de la recherche, de la constatation et de la poursuite des
infractions pnales ou dun manquement lobligation dfinie larticle L. 336-3
du code de la proprit intellectuelle ou pour les besoins de la prvention des
atteintes aux systmes de traitement automatis de donnes prvues et rprimes
par les articles 323-1 323-3-1 du code pnal, et dans le seul but de permettre,
en tant que de besoin, la mise disposition de lautorit judiciaire ou de la haute
autorit mentionne larticle L. 331-12 du code de la proprit intellectuelle
ou de lautorit nationale de scurit des systmes dinformation mentionne
larticle L. 2321-1 du code de la dfense, il peut tre diffr pour une dure
maximale dun an aux oprations tendant effacer ou rendre anonymes certaines
catgories de donnes techniques. Un dcret en Conseil dtat, pris aprs avis de la
Commission nationale de linformatique et des liberts, dtermine, dans les limites
fixes par le VI, ces catgories de donnes et la dure de leur conservation, selon
lactivit des oprateurs et la nature des communications ainsi que les modalits
de compensation, le cas chant, des surcots identifiables et spcifiques des
prestations assures ce titre, la demande de ltat, par les oprateurs.
Larticle L. 34-1 III CPCE ne prvoit encore ici quune simple facult pour les oprateurs, et non une obligation. Pourtant, larticle R. 10-13 CPCE qui lapplique, prvoit
une obligation de conservation des donnes techniques par ces prestataires.
En effet, larticle R. 10-13 CPCE dispose :
I.-En application du III de larticle L. 34-1 les oprateurs de communications
lectroniques conservent pour les besoins de la recherche, de la constatation et
de la poursuite des infractions pnales :
a) Les informations permettant didentifier lutilisateur ;
b) Les donnes relatives aux quipements terminaux de communication utiliss ;
c) Les caractristiques techniques ainsi que la date, lhoraire et la dure de chaque
communication ;
d) Les donnes relatives aux services complmentaires demands ou utiliss et
leurs fournisseurs ;
e) Les donnes permettant didentifier le ou les destinataires de la communication.
II.-Pour les activits de tlphonie loprateur conserve les donnes mentionnes
au II et, en outre, celles permettant didentifier lorigine et la localisation de la
communication.
15

Ainsi, lobligation de conservation des donnes techniques mise la charge des oprateurs de communications lectroniques par larticle R. 10-13 CPCE dpasse les limites
poses par larticle L. 34-1 CPCE, qui ne prvoyait quune simple facult pour ces derniers. Ltendue de cette obligation tant ainsi aussi incertaine que son existence, il en
va de mme du champ des donnes conserves par ces prestataires auxquelles le dcret
attaqu autorise laccs par ladministration.
Ltendue matrielle de lingrence ralise par le dcret ntant donc ici pas clairement
dfinie, cette ingrence nest pas prvue par la loi au sens des dispositions de la Conv.
EDH et de la Charte des droits fondamentaux prcites, que le prsent dcret viole
nouveau.

4.1.2. Les limitations aux droits et liberts fondamentaux introduites par le dcret attaqu sont disproportionnes.
Les limitations aux droits et liberts fondamentaux ne sont valides que si elles respectent le principe de proportionnalit.
De jurisprudence constante, la Cour EDH considre au regard de larticle 82 de la
Conv. EDH, que, caractristique de ltat policier, le pouvoir de surveiller en secret les
citoyens nest tolrable daprs la Convention que dans la mesure strictement ncessaire
la sauvegarde des institutions dmocratiques (CEDH, Klass et autres c. Allemagne,
Pln., 6 septembre 1978, no 5029/71, 42). Elle considre ainsi qu une ingrence est
considre comme ncessaire dans une socit dmocratique pour atteindre un but
lgitime si elle rpond un besoin social imprieux et, en particulier, si elle est
proportionne au but lgitime poursuivi et si les motifs invoqus par les autorits nationales pour la justifier apparaissent pertinents et suffisants (CEDH, S et Marper c.
Royaume-Uni, 4 dcembre 2008, no 30562/04 et 30566/04, 101).
Tant la CJUE que la Cour EDH ont, au fil de leur jurisprudence, distingu plusieurs
critres leur permettant dvaluer la proportionnalit dune restriction. Pour sassurer de
la proportionnalit dune ingrence dans les droits et liberts fondamentaux, les juridictions sont notamment conduites examiner si lingrence est pertinente pour parvenir
au but vis et si ce but peut tre atteint de manire satisfaisante par dautres moyens,
moins restrictifs de droits. Dans le cadre de ce contrle, la CJUE et la Cour EDH sont
amenes examiner la dure de lingrence ainsi que les contrles pouvant tre oprs.
4.1.2.1.

Il existe des mesures alternatives pour atteindre les finalits poursuivies.

Confier lautorit administrative un accs une somme de donnes telle que celles
vises par le dcret nest pas ncessaire pour atteindre les finalits dfinies larticle
L. 241-2 auxquelles larticle L. 246-1 CSI renvoie notamment quant la lutte contre
le terrorisme, la criminalit et la dlinquance organises et la protection de la scurit
nationale.
En tmoigne le fait que dautres mesures permettent de poursuivre ces finalits. Ainsi,
plusieurs tats europens, dont lAutriche, la Belgique, lAllemagne, la Grce ou la Roumanie, ont renonc recourir la conservation gnralise des donnes techniques, pr16

frant des mesures cibles de conservation des donnes, parmi lesquelles linjonction faite
par les autorits un oprateurs de conserver les donnes ne concernant que certains
individus suspects. Dans son tude sur le numrique et les droits fondamentaux de
2014, le Conseil dtat expose dailleurs prcisment comment de telles mesures reposant
sur des injonctions pralables cibles seraient aussi envisageables en droit franais1 .
Ensuite, la conservation gnralise des donnes techniques ne permet pas datteindre
les finalits poursuivies par le prsent dcret plus efficacement que ne le peuvent ces
mesures cibles, que les tats prcits ont adoptes sans nuire leur capacit de lutte
contre les infractions graves. Ainsi, le gouvernement allemand publiait en 2008 une tude
concluant ce que seuls 4% des demandes daccs de donnes faites par les autorits
navaient pu tre satisfaites en raison de labsence dune obligation de conservation gnralise des donnes techniques2 .
Ces mesures alternatives cibles, adoptes par ces diffrents tats, constituent une
ingrence bien plus faible dans le droit au respect de la vie prive des utilisateurs que ne
constitue celle ralise par une conservation gnralise des donnes techniques, telle que
celle laquelle participe le prsent dcret.
Qui plus est, ce rgime tendu daccs administratif aux donnes de connexions na t
accompagn par aucune tude dimpact. Cela est dautant plus regrettable que le rgime
qui linspire, institu par la loi du 23 janvier 2006, nest encore qu exprimental comme
le rappelle la CNCIS dans son dernier rapport dactivit3 . Son largissement drastique
au travers du dcret attaqu intervient donc sans quaucune tude ne permette den
dmontrer lefficacit et le caractre ncessaire par rapport des mesures plus cibles, et
donc moins restrictives de liberts.
En ce que latteinte aux droits porte par le dcret dpasse trs largement celle cause
par des mesures alternatives, sans mme justifier ni plus forte raison dmontrer sa plus
grande efficacit du point de vue de lobjectif poursuivi, le dcret attaqu doit tre annul.
4.1.2.2.

La rquisition administrative des donnes est disproportionne au


regard de ltendue des services administratifs ayant accs aux donnes collectes et des finalits vises par le dcret.

La disproportion est dautant plus manifeste que, par rapport la loi du 23 janvier
2006, la loi de programmation militaire du 18 dcembre 2013 (LPM) a encore largi les
mesures de rquisition administrative.
Dune part, la LPM a augment le nombre de services administratifs pouvant requrir
ces donnes conserves. Ces services sont viss larticle L. 246-2 CSI, leur nombre slve
dsormais plusieurs dizaines en incluant des directions territoriales.
Dautre part, la LPM a largi les finalits pour lesquelles les donnes de connexion
peuvent tre demandes. En effet, les rquisitions administratives de donnes de connexion
1

http://www.ladocumentationfrancaise.fr/var/storage/rapports-publics/144000541/
0000.pdf, pp. 208 et s.
2
Max Planck Institute for Foreign and International Criminal Law, The Right of Discovery Concerning
Telecommunication Traffic Data According to 100g, 100h of the German Code of Criminal Procedure,
March 2008, http://dip21.bundestag.de/dip21/btd/16/084/1608434.pdf, p. 150.
3 e
22 rapport dactivit 2013-2014 de la CNCIS, p. 95 ; http://www.ladocumentationfrancaise.fr/
var/storage/rapports-publics/154000101/0000.pdf.

17

prvues par le dcret attaqu pourront intervenir dans un contexte identique celui des
interceptions de scurit, savoir, au del de la prvention du terrorisme, la recherche
des renseignements intressant la scurit nationale, la sauvegarde des lments essentiels
du potentiel scientifique et conomique de la France, la prvention de la criminalit et de
la dlinquance organises ou encore de la reconstitution ou du maintien de groupements
dissous.
4.1.2.3.

Les donnes sont conserves pour une dure excessive.

La dure de conservation des rponses fournies ladministration est disproportionne


en ce quil nest pas ncessaire pour ladministration de conserver les donnes concernes
pour une priode de trois ans, tel que prvu par le dcret.
En effet, larticle R. 246-6, alina 3 dispose que :
Le Premier ministre enregistre et conserve pendant une dure maximale de trois
ans, dans un traitement automatis quil met en uvre, les informations ou les
documents transmis par les oprateurs et les personnes mentionns larticle
L. 246-1.
Comme lobserve la CNIL dans son avis, le Gouvernement, loccasion des formalits pralables effectues pour les traitements actuellement mis en uvre, a retenu une
dure de conservation dun an. La CNIL avait en effet relev que cette dure tait suffisante au regard des obligations lgales et rglementaires imposes aux oprateurs, tout
en permettant la CNCIS de raliser ses missions de contrle a posteriori.
Rien ne justifie une dure de conservation de trois ans. Cette conservation centralise
de donnes extrmement sensible est la fois inutile pour parvenir au but recherch, elle
est aussi dangereuse.
Tout dabord, une dure unique de conservation des donnes tablie trois ans na aucun fondement pratique. Soit la personne dont les donnes sont demandes est considre
comme tant une personne risque et dans ce cas, le service administratif lorigine de la
demande pourra assurer une copie des donnes et les conserver dans ses fichiers propres
(typiquement un dossier denqute, une fiche S, etc.), soit il ne sagit pas dune personne
risque, et les donnes nont aucune raison dtre conserves sans tre exploites par
ailleurs par les services administratifs.
Concrtement, le dcret instaure un sas dans lequel les donnes sont conserves plus
longtemps que chez les oprateurs ou hbergeurs sans quaucune raison ne le justifie.
Par ailleurs, aucun systme informatique ne pouvant tre parfaitement scuris, quil
soit public ou priv, la conservation de donnes devrait se faire dans des conditions draconiennes pour limiter les atteintes aux droits des personnes en cas dintrusion frauduleuse
dans les systmes informatiques concerns. Une dure de conservation de trois ans est
dautant plus inutile et dangereuse que nulle part ne sont prvues dans la loi ou le dcret
les mesures qui devront assurer la protection technique de ces donnes vis--vis notamment daccs frauduleux.

18

4.1.2.4.

Le contrle sur les demandes de communications de donnes est


lacunaire.

De jurisprudence constante, la Cour EDH considre quune socit dmocratique implique, entre autres, quune ingrence de lexcutif dans les droits dun individu soit soumise un contrle efficace (CEDH, Klass et autres c. Allemagne, Pln., 6 septembre
1978, no 5029/71, 55).
De mme, dans son arrt du 8 avril 2014 dclarant linvalidit de la directive 2006/24/CE,
la CJUE se fondait notamment sur le fait que la directive nimposait aucun contrle pralable opr par une autorit administrative indpendante ou judiciaire sur les demandes
faites :
Surtout laccs aux donnes conserves par les autorits nationales comptentes
nest pas subordonn un contrle pralable effectu soit par une juridiction,
soit par une entit administrative indpendante dont la dcision vise limiter
laccs aux donnes et leur utilisation ce qui est strictement ncessaire aux fins
datteindre lobjectif poursuivi et intervient la suite dune demande motive de
ces autorits prsente dans le cadre de procdures de prvention, de dtection
ou de poursuites pnales. Il na pas non plus t prvu une obligation prcise des
tats membres visant tablir de telles limitations.
(62 de larrt du 8 avril 2014 prcit)
Tout dabord, le dcret attaqu contrevient aux articles 8 et 10 de la Conv. EDH,
ainsi quaux articles 7, 8, 11 et 52 de la Charte des droits fondamentaux en ce quil
instaure des modalits de communications des donnes de connexion conserves sans
instituer un contrle pralable indpendant sur les demandes de transmission. Le rgime
dautorisation par la personnalit qualifie institu par la loi du 23 janvier 2006 en
matire anti-terroriste et tendue par la LPM, napporte par les garanties suffisantes au
regard du droit europen.
Ensuite, pour ce qui est du contrle a posteriori, il savre lui aussi insuffisant pour
assurer la conventionnalit du dispositif.
En effet, le dcret attaqu ne fait que confier la CNCIS laccs aux traitements
mentionns aux articles R. 246-5 7 sans lui donner les moyens matriels lui permettant
de raliser un contrle efficace de ces traitements. Dans son tude annuelle pour lanne
2014, le Conseil dtat observait lui-mme que les moyens confrs la CNCIS, qui
nont pas volu depuis la loi du 10 juillet 1991, alors que son champ de comptence a
t considrablement tendu par la cration dune procdure daccs aux mtadonnes ,
ne sont manifestement pas suffisants pour assurer un contrle effectif de la surveillance
des communications , la CNCIS ntant compose que de trois membres, assists de cinq
collaborateurs, et devant traiter prs de 600 demandes par semaine. (pp. 211 et 212)
Ainsi, le dcret choue remplir ce qui tait pourtant le seul objectif qui lui tait
fix par la loi larticle L. 246-4 CSI et, en chouant soumettre laccs administratif
aux donnes de connexion un contrle efficace, autorise une ingrence disproportionne
dans les droits reconnus par les articles 8 et 10 de la Conv. EDH.

19

4.2. Le dcret attaqu est contraire larticle L. 246-4


CSI en ce quil manque dencadrer les procdures
de suivi des demandes et de conservation des documents transmis ladministration.
Le dcret ne prcise pas, comme ly oblige larticle L. 246-4 CSI, les procdures de
suivi des demandes par la CNCIS et les conditions de conservation des informations ou
documents transmis.
Larticle L. 246-4 du CSI prvoit que :
Les modalits dapplication [...] sont fixes par dcret en Conseil dtat, pris
aprs avis de la Commission nationale de linformatique et des liberts et de
la Commission nationale de contrle des interceptions de scurit, qui prcise
notamment la procdure de suivi des demandes et les conditions et dure de
conservation des informations ou documents transmis
Comme le rsume trs clairement la notice de prsentation du dcret attaqu, celui-ci
fixe les modalits de transmission des demandes la Commission nationale de contrle
des interceptions de scurit ainsi que celles du suivi gnral et du contrle du dispositif
par la commission . Cette notice prcise aussi que le prsent dcret est pris pour
lapplication de larticle L. 246-4 du code de la scurit intrieure (et de ce seul article).
Or, le dcret napporte aucune information en la matire. larticle R. 246-6, il
se borne rappeler que la transmission des informations ou des documents par les
oprateurs et les personnes mentionns larticle L. 246-1 au groupement interministriel
de contrle est effectue selon des modalits assurant leur scurit, leur intgrit et leur
suivi. .
Cette absence de dfinition des modalits de contrles de la CNCIS exige par larticle
L. 246-4 CSI a dailleurs pu tre observe par la CNIL dans son avis sur le projet de
dcret, lorsquelle remarque que le dossier qui lui a t soumis ne contient aucune
information technique sur les modalits de mises en uvre des rquisitions administratives
de donnes de connexion ou dinformations relatives laccs de la CNCIS aux traitements
automatiss prvus dans le cadre des articles L. 246-1 L. 246-3 du CSI. .
Ainsi, le pouvoir rglementaire parvient tout la fois excder le pouvoir qui lui est
confr au titre de larticle L. 246-4 CSI (voir supra sur la lgalit externe et lincomptence
du pouvoir rglementaire, au point 3.1 page 5), et manquer daccomplir loffice qui lui
est confi au titre du mme article.

4.3. Le dcret attaqu est contraire aux principes de


scurit juridique et de confiance lgitime.
Pour les raisons dj invoques tenant notamment limprcision des donnes auxquelles ladministration peut avoir accs, le dcret porte atteinte aux principes de scurit
juridique et de confiance lgitime (CE, Ass., Arrt du 24 mars 2006, KPMG, no 288460).
20

Par ces motifs, les exposants concluent ce que le Conseil dtat :


1. Annule le dcret attaqu avec toutes consquences de droit ;
2. Mette la charge de ltat le versement de la somme de 1024 e sur le fondement
de larticle L. 761-1 du code de justice administrative.
Le 18 fvrier 2015, Paris
Pour lassociation
French Data Network,
le Prsident,
Fabien Sirjean

Pour lassociation
La Quadrature du Net,
le Prsident,
Philippe Aigrain

Pour la
Fdration des fournisseurs daccs Internet associatif,
le Prsident,
Benjamin Bayart

21

Pices produites

1. Dcret no 2014-1576 du 24 dcembre 2014 relatif laccs administratif aux donnes


de connexion.
2. Statuts de lassociation French Data Network.
3. Extrait du compte rendu de la runion du bureau de FDN du 10 janvier 2015
donnant pouvoir au prsident.
4. Statuts de lassociation La Quadrature du Net.
5. Statuts de la Fdration des fournisseurs daccs Internet associatifs, dite Fdration FDN.
6. Charte de la Fdration FDN.
7. Compte rendu de la runion du bureau de la Fdration FDN du 3 fvrier 2015
donnant pouvoir au prsident.
8. La prsente requte.
Lensemble tant produit en 6 exemplaires.

22

You might also like