Le Conseil d’État était saisi par plusieurs associations de défense des droits et libertés des personnes de la non-conformité au droit européen et donc de l’abrogation – pour faire simple, notamment des articles R.10-13 du code des postes et des communications électroniques et du décret du 25 février 2011, pris respectivement en application de l’article L.34-1 du même code et de l’article 6.II de la loi du 2 juin 2004 dite « LCEN », déterminant les données dites de « connexion », que les opérateurs de services de communication au public en ligne doivent conserver en application de deux textes légaux précités.
Ces données sont, en pratique, essentielles pour identifier notamment les auteurs d’infractions sur internet, et donc dans la lutte contre les contenus illicites, quel que soit le fondement de cette illicéité.
C’est dire l’importance de la décision du Conseil d’État, l’abrogation du dispositif légal français étant de nature à priver les victimes de ces contenus de la faculté d’identifier leurs auteurs (sur requête de l’autorité judiciaire), et ainsi d’agir à leur encontre.
Par décision avant dire droit du 26 juillet 2018, le Conseil d’État avait posé plusieurs questions préjudicielles à la CJUE en interprétation des textes européens en cause, principalement l’article 15 de la directive 2002/58/CE du 12 juillet 2002 dite « directive vie privée et communications électroniques », et l’article 23 du RGPD.
La Cour de Justice s’est prononcée par un arrêt du 6 octobre 2020 (Aff. Jointes C-511/18, C-512/18, C-520-18), dont la première lecture pouvait laisser penser que le dispositif français était condamné, puisqu’elle a jugé, pour l’essentiel, que le droit européen excluait la conservation générale et indifférenciée des données de connexion – ce que semblaient bien organiser les textes français précités.
Interprétant cet arrêt dans sa décision du 21 avril dernier, le Conseil d’État sauve cependant l’essentiel du dispositif, en ne déclarant non conformes au droit européen que certains aspects limités de ces textes.
Pour cela, il distingue, à l’instar des textes européens, selon les catégories de données en cause.
En premier lieu, il estime que les données relatives à l’identité civile des utilisateurs de moyens de communication électroniques peuvent faire l’objet, en droit européen, d’une obligation générale et indifférenciée de conservation sans limitation de durée, notamment pour les besoins de toute procédure pénale et de la prévention de toute menace contre la sécurité publique. Il en déduit que les textes légaux et règlementaires français contestés sont, pour ces données et pour ces finalités, conformes au droit de l’Union.
En second lieu, il juge également qu’une obligation de conservation générale et indifférenciée des adresses IP est légitimement imposée aux opérateurs, au regard du droit européen tel qu’interprété par Cour de justice, dès lors qu’elle est limitée aux besoins de la recherche, la constatation et la poursuite d’infractions d’une gravité suffisante pour justifier l’ingérence qui en résulte dans les droits et libertés des personnes protégés par la Charte des droits fondamentaux de l’Union. Autrement dit, cette obligation est proportionnée à sa finalité, qui est légitime.
En troisième lieu, le Conseil d’État juge que les textes français, en imposant une obligation générale et indifférenciée des données de localisation et de trafic autres que les adresses IP, sans prévoir un réexamen périodique du dispositif au regard des risques existants par ailleurs pour la sécurité nationale, sont, dans cette mesure, contraire au droit de l’Union. Il enjoint donc au Gouvernement de compléter ces textes dans un délai de six mois à compter de sa décision.
En quatrième et dernier lieu, il juge encore que les textes nationaux en cause, en ce qu’ils prévoient à la charge des opérateurs une obligation de conservation générale et indifférenciée des données de connexion autres que celles relevant des précédentes catégories, pour toute autre finalité que l’existence d’une menace grave pour sécurité nationale (i.e. le terrorisme), est contraire au droit de l’Union. Le Gouvernement dont donc les abroger, dans cette mesure, dans un délai de six mois à compter de la décision du Conseil d’État.
Mais, comme ce dernier décide par ailleurs que cette même obligation est justifiée pour lutter contre le terrorisme, les opérateurs devront continuer à conserver lesdites données, qui sont souvent essentielles à l’identification d’auteurs d’infractions.
Certes, ils ne pourront les communiquer que dans le cadre de la lutte contre le terrorisme.
Cependant, comme la Cour de justice, dont son arrêt du 6 octobre 2020, admet qu’il puisse être fait obligation aux opérateurs de conserver de manière ciblée ces données notamment à des fins de prévention des atteintes à la sécurité des personnes et des biens et de recherche des auteurs d’infractions, il suffira que le juge ordonne une telle obligation aux opérateurs (qui conservent lesdites données pour lutter contre le terrorisme), pour ensuite solliciter auprès d’eux leur communication, notamment pour identifier les auteurs d’infractions.
Le Conseil d’État relève expressément, dans l’arrêt rapporté, cette solution de contournement, bien qu’il ne la qualifie pas de telle.
Est ainsi préservé l’essentiel du dispositif légal permettant d’identifier les auteurs de contenus illicites en ligne.