Click here to load reader

Recours LPM

  • View
    4.002

  • Download
    1

Embed Size (px)

DESCRIPTION

Recours contre le décret LPM

Text of Recours LPM

  • Conseil dtatSection du contentieux

    Requte introductive dinstance

    introduite

    PAR

    1. French Data Network (Rseau de donnes franais), dite FDN.Association rgie par la loi du 1er juillet 1901 tablie 16 rue de Cachy, 80090 Amiens,enregistre en prfecture de la Somme sous le numro W751107563, oprateur d-clar auprs de lARCEP sous la rfrence 07/1149, prise en la personne de sonprsident M. Fabien Sirjean.Tel. : 06 36 18 91 00Mail : [email protected] / [email protected]

    2. La Quadrature du NetAssociation rgie par la loi du 1er juillet 1901 tablie au 60 rue des Orteaux 75019,Paris, enregistre en prfecture de police de Paris sous le numro W751218406, priseen la personne de son prsident M. Philippe Aigrain.Tel. 06 73 60 88 43Mail : [email protected]

    3. Fdration des fournisseurs daccs Internet associatifs, dite FdrationFDN (FFDN).Fdration rgie par la loi du 1er juillet 1901 tablie 16 rue de Cachy, 80090 Amiens,enregistre en prfecture de la Somme sous le numro W751210904, regroupant 27fournisseurs daccs associatifs franais, dclars auprs de lARCEP, et un fournis-seur daccs associatif belge dclar auprs du rgulateur, prise en la personne deson prsident M. Benjamin Bayart.Tel : 06 60 24 24 94Mail : [email protected]

    CONTRE

    Le dcret no 2014-1576 du 24 dcembre 2014 relatif laccs administratifaux donnes de connexion publi au Journal officiel de la Rpublique franaise no 298du 26 dcembre 2014, p. 22224.

  • 1. FAITS

    La loi no 2013-1168 de programmation militaire du 18 novembre 2013 (LPM) tablit lesobjectifs de la politique de dfense franaise pour les annes 2014 2019. Son article 20a, dune part, cr un chapitre VI Accs administratif aux donnes de connexion au sein du titre IV du livre II du code de la scurit intrieure (CSI) contenant lesarticles L. 246-1 5 CSI. Il a, dautre part, abrog les articles L. 222-2, L. 222-3 etL. 243-12 CSI ainsi que larticle 6 II bis de la loi no 2004-575 du 21 juin 2004 pour laconfiance dans lconomie numrique (LCEN) et larticle L. 34-1-1 du code des postes etdes communications lectroniques (CPCE).

    Larticle L. 246-4 CSI cr par la LPM, actuellement en vigueur, dispose que :

    La Commission nationale de contrle des interceptions de scurit dispose dunaccs permanent au dispositif de recueil des informations ou documents mis enuvre en vertu du prsent chapitre, afin de procder des contrles visant sassurer du respect des conditions fixes aux articles L. 246-1 L. 246-3. En casde manquement, elle adresse une recommandation au Premier ministre. Celui-cifait connatre la commission, dans un dlai de quinze jours, les mesures prisespour remdier au manquement constat.

    Les modalits dapplication du prsent article sont fixes par dcret en Conseildtat, pris aprs avis de la Commission nationale de linformatique et des libertset de la Commission nationale de contrle des interceptions de scurit, qui prcisenotamment la procdure de suivi des demandes et les conditions et dure deconservation des informations ou documents transmis.

    Le dcret vis cet article est le dcret no 2014-1576 du 24 dcembre 2014 relatif laccs administratif aux donnes de connexion publi au Journal officiel de la Rpubliquefranaise no 298 du 26 dcembre 2014, p. 22.224.

    Cest la dcision attaque.

    1

  • 2. DISCUSSION Intrt agir

    2.1. French Data Network

    FDN est une association loi 1901, et est un fournisseur daccs Internet. Elle existe,et exerce son activit, depuis 1992, ce qui en fait le plus ancien fournisseur daccs Internet encore en activit. Elle regroupe 450 adhrents et est administre de manireentirement bnvole. Elle ne fournit daccs Internet qu ses membres. Son intrt agir, en lespce est donc double.

    Dune part, en tant quoprateur dun rseau de communication ouvert au public,dclar auprs de lARCEP, parce que le dcret attaqu lui est applicable directement. ce titre FDN fournit galement un certain nombre de services (courrier lectronique,hbergement de sites web ou de serveurs, etc) ceux de ses membres qui en ont fait lechoix.

    Dautre part, en tant quassociation, reprsentant ses membres, y compris ceux aux-quels elle fournit un accs Internet. Ces abonns sont concerns au premier chef par laconservation des donnes de connexion, et par les accs de ladministration ces donnes.

    Lintrt agir de FDN a t reconnu par le Conseil dtat dans laffaire no 342405,par exemple.

    2.2. La Quadrature du Net

    Lobjet gnral de la Quadrature du Net est la dfense des droits fondamentaux danslenvironnement numrique. ce titre, elle intervient dans les dbats rglementaires tou-chant au droit de lInternet au niveaux franais et europen, notamment en dveloppantdes analyses juridiques, en proposant et en valuant des amendements au cours des pro-cdures lgislatives.

    Ds 2008 et 2009, LQDN stait illustre comme lun des fers de lance de lopposition loi HADOPI, selon lexpression du journal Le Figaro1. Elle avait cette occasion portde nombreux arguments juridiques plus tard valids dans la dcision no 2009-580 DC duConseil constitutionnel du 10 juin 2009. Son combat contre les excs du droit dauteur

    1https://www.laquadrature.net/fr/le-figaro-bataille-politique-autour-de-la-loi-antipiratage

    2

  • la galement conduite mener campagne contre le projet daccord multilatral ACTA,rejet par le Parlement europen lt 2012.

    Lun des axes fort de ses positions est la dfense dune protection judiciaire des droitsfondamentaux sur Internet, et notamment la libert dexpression et de communication. ce titre, elle soppose la dlgation de la rpression des infractions aux acteurs privsou administratifs. En 2009, elle avait dans ce but propos et dfendu lamendement dit 138 lors de lexamen du Paquet Tlcom au Parlement europen. Ces derniers mois,elle sest galement illustre dans les dbats parlementaires franais sur diffrents projetset propositions de loi tendant tendre les obligations des hbergeurs en matire desurveillance des contenus, pointant le risque de censure extrajudiciaire quemportaient detelles mesures.

    Cette dfense de ltat de droit la videmment conduite se mobiliser sur les ques-tions de vie prive et de surveillance des communications sur Internet. Au niveau euro-pen, elle mne par exemple campagne sur le projet de rglement relatif la protectiondes donnes personnelles. Au niveau franais, LQDN sest notamment illustre par sonopposition la loi de programmation militaire (LPM) adopte fin 2013. Elle participedepuis lObservatoire des Liberts Numriques, cr suite la mobilisation de la socitcivile contre larticle 20 de la LPM, aux cts entre autres de la Ligue des Droits delHomme et du Syndicat de la Magistrature. Rcemment, elle a encore t auditionnepar le Conseil dtat le 28 janvier 2014 en vue de llaboration de son tude annuellepour lanne 2014 intitule Le numrique et les droits fondamentaux .

    Enfin, les statuts de lassociation lui confrent la possibilit dester en justice possi-bilit quelle entend exercer pour la premire fois loccasion de ce recours. Cela tant,elle a dj eu loccasion dintervenir auprs de juridictions. En 2011, elle tait interve-nue auprs du Conseil constitutionnel au travers dun mmoire en amicus curiae pour pointer le caractre disproportionn et ds lors inconstitutionnel des mesures deblocage administratif de sites inscrit larticle 4 de la loi LOPPSI2. Actuellement, elleparticipe une tierce intervention dune coalition dONG europennes auprs de la Coureuropenne des droits de lHomme, loccasion du recours de plusieurs associations bri-tanniques contre le programme de surveillance dInternet TEMPORA, rvl par EdwardSnowden3.

    Ainsi, La Quadrature du Net introduit la prsente requte non seulement en confor-mit avec ses statuts, mais aussi en pleine cohrence avec ses activits.

    2.3. Fdration des fournisseurs daccs Internet as-sociatifs

    La Fdration FDN regroupe 28 fournisseurs daccs Internet associatifs, 27 sont desassociations de droit franais (loi de 1901 ou droit spcifique dAlsace Moselle, selon), la28e tant une association de droit belge. Toutes ces associations sont gres de manire

    2http://www.laquadrature.net/files/20110214_La%20Quadrature%20du%20Net_Amicus%20curiae%20LOPPSI2.pdf

    3https://www.laquadrature.net/fr/la-quadrature-sengage-dans-la-lutte-juridictionnelle-contre-la-surveillance-de-masse

    3

  • bnvole et reprsentent, toutes ensemble, prs de 2000 adhrents. FDN est une desassociations membres, et fondatrice, de la Fdration FDN. Les associations membres dela Fdration FDN sont toutes signataires dune charte par laquelle elles prennent desengagements thiques et techniques.

    Ici encore, lintrt agir de la Fdration FDN est double.Dune part, en tant que reprsentant de 28 oprateurs, tous dclars auprs du rgu-

    lateur national, et presque tous de droit franais, donc concerns par le dcret attaququi leur est applicable.

    Dautre part, en tant que reprsentant, au travers de ses membres, de lensemble desabonns et adhrents de ses associations membres, concerns par la conservation desdonnes de connexion, lintrusion quelle reprsente dans leur vie prive, et les accs deladministration ces donnes.

    4

  • 3. DISCUSSION Lgalit externe

    La dcision attaque est entache de vices dincomptence et de procdure.

    3.1. Le dcret attaqu est entach dincomptence ma-trielle.

    Le dcret est entach dincomptence ratione materiae en ce quil comporte des dis-positions dont la substance outrepasse largement le champ de larticle L. 246-4 CSI crpar la LPM et sort du champ du pouvoir rglementaire autonome.

    Larticle L. 246-4 CSI prcit, sur le fondement duquel le dcret attaqu est adopt,ne porte que sur le rle allou la Commission nationale de contrle des interceptionsde scurit (CNCIS) dans le contrle quelle opre sur le recueil dinformations opren vertu du chapitre VI cr par larticle 20 de la loi de programmation militaire du18 novembre 2013. Il confie au pouvoir rglementaire le soin dtablir les conditions danslesquelles la CNCIS peut effectuer ce contrle.

    La notice prsentant le dcret1, prcise que le dcret dfinit les donnes de connexionpouvant tre recueillies et dresse la liste des services dont les agents individuellementdsigns et dment habilits peuvent demander accder aux donnes de connexion .Cette notice dcrit parfaitement lobjet des dispositions du dcret attaqu, lesquellesexcdent le champ de larticle L. 246-4 CSI pour combler les lacunes des articles L. 246-1 3 et L. 246-5.

    Les dispositions du dcret attaqu dpassent donc trs largement la comptence dupouvoir rglementaire. En cela, le dcret attaqu est entach dincomptence matrielleet devra tre annul.

    1http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000029958091&categorieLien=id, texte du dcret joint la procdure.

    5

  • 3.2. Le dcret attaqu est entach de vices de proc-dure.

    Le dcret est vici en ce que le pouvoir rglementaire na pas respect la procdurequi simposait son adoption.

    3.2.1. Le dcret attaqu na pas t notifi la Commissioneuropenne.

    La directive 98/34/CE du 22 juin 1998 modifie, en son article 1er 2) dfinit la notionde service de la socit de linformation comme :

    tout service prest normalement contre rmunration, distance par voie lectro-nique et la demande individuelle dun destinataire de services

    Larticle 1er 5) dfinit la rgle relative aux services comme :

    une exigence de nature gnrale relative laccs aux activits de services visesau point 2 et leur exercice, notamment les dispositions relatives au prestatairede services, aux services et au destinataire de services, lexclusion des rgles quine visent pas spcifiquement les services dfinis au mme point

    Larticle 1er 11) dfinit la rgle technique comme :

    une spcification technique ou autre exigence ou une rgle relative aux services, ycompris les dispositions administratives qui sy appliquent, dont lobservation estobligatoire de jure ou de facto, pour la commercialisation, la prestation de services,ltablissement dun oprateur de services ou lutilisation dans un tat membreou dans une partie importante de cet tat, de mme que, sous rserve de cellesvises larticle 10, les dispositions lgislatives, rglementaires et administrativesdes tats membres interdisant (...) de fournir ou dutiliser un service ou de stablircomme prestataire de services

    En lespce, les mesures cres par le dcret sont bien des rgles techniques au sensde la directive. En effet, il sagit bien de dispositions administratives dont lobservationest obligatoire et sappliquant des services tels que dfinis par la directive puisquesont notamment viss les hbergeurs, tels que dfinis larticle 6, I, 1o de la LCEN etprestataires de services de la socit de linformation par excellence.

    Ds lors, le projet de dcret devait tre notifi la Commission europenne, larticle 8de la directive 98/34/CE disposant quant lui que :

    Sous rserve de larticle 10, les tats membres communiquent immdiatement la Commission tout projet de rgle technique, sauf sil sagit dune simple transpo-sition intgrale dune norme internationale ou europenne, auquel cas une simpleinformation quant la norme concerne suffit.

    Ne sagissant ni dun cas vis larticle 10 ni dune transposition intgrale dune normeinternationale ou europenne, le dcret devait tre notifi la Commission europenne

    6

  • conformment la procdure tablie par la directive 98/34/CE. Cette interprtation dela directive 98/34/CE est dailleurs conforme la solution adopte par le Conseil dtatdans son arrt du 10 juin 2013 rendu dans laffaire no 327375.

    Le Gouvernement ayant manqu de le notifier la Commission europenne, le dcretattaqu na pas t adopt conformment aux dispositions susvises de la directive 98/34et doit donc tre annul.

    3.2.2. Aucune tude dimpact na t ralise antrieurement ladoption du dcret attaqu.

    Daprs la circulaire du 17 fvrier 2011 relative la simplification des normes concer-nant les entreprises et les collectivits territoriales :

    Llaboration de tout projet de loi, dordonnance, de dcret ou darrt compor-tant des mesures concernant les entreprises, cest--dire susceptibles davoir uneincidence sur elles, tout particulirement sur les petites et moyennes entrepriseset sur les entreprises du secteur industriel, appelle une analyse dimpact circons-tancie.

    Sagissant des projets dordonnance, de dcret et darrt, cette valuation pra-lable sera retrace dans la fiche dimpact de lannexe III de la prsente circulaire.

    Le commissaire la simplification doit tre saisi du projet de texte et de lanalysedimpact correspondante :[...]

    sagissant des projets de dcret en Conseil dtat ou dordonnance, au plustard concomitamment la saisine des instances obligatoirement consultes si leprojet entre dans leur champ de comptence et pralablement lorganisationdune runion interministrielle ou saisine du cabinet du Premier ministre pourarbitrage et, en toute hypothse, la saisine du Conseil dtat.

    Cette circulaire, adopte par le Premier ministre, cre une obligation pour lensembledes composantes du gouvernement et de ladministration non seulement dlaborer unefiche dimpact mais de saisir le commissaire la simplification du projet de dcret, toutle moins lors de la saisine du Conseil dtat.

    Cette obligation sapplique lorsque sont en cause des mesures concernant les entre-prises et tout particulirement des petites et moyennes entreprises. Ce qui est le cas enlespce puisque, comme en tmoigne lexistence mme dassociations comme celles de laFFDN, les destinataires du dcret sont pour un trs grand nombre, et plus encore pource qui concerne les hbergeurs, des petites et moyennes entreprises.

    Le dcret attaqu, en ce quil comporte des mesures que de nombreux hbergeurs etfournisseurs daccs dont un grand nombre sont des petites et moyennes entreprises,voire des associations doivent respecter, devait tre prcd dune tude dimpact ainsique dune saisine du commissaire la simplification. Or, encore une fois, il nen a rient.

    Ainsi, le dcret a t adopt en contradiction des dispositions contraignantes prciteset devra donc tre annul.

    7

  • 4. DISCUSSION - Lgalit interne

    La dcision attaque doit au surplus tre annule en ce quelle est contraire au droitde lUnion europenne et la Convention europenne des droits de lHomme, la loi etaux principes gnraux du droit.

    titre liminaire, il doit dores et dj tre prcis que lapplication de la Charte desdroits fondamentaux de lUnion europenne la dcision attaque appelle ce quunequestion prjudicielle soit adresse la Cour de justice de lUnion europenne. Par ailleurs,les associations requrantes formeront une question prioritaire de constitutionnalit dansun mmoire spar qui sera communiqu ultrieurement.

    4.1. Le dcret attaqu est contraire la Charte desdroits fondamentaux et la Convention euro-penne de sauvegarde des droits de lhomme etdes liberts fondamentales.

    La Charte des droits fondamentaux de lUnion europenne dispose que :

    Article 7 Respect de la vie prive et familiale Toute personne a droit au respect de sa vie prive et familiale, de son domicile etde ses communications.

    Article 8 Protection des donnes caractre personnel Toute personne a droit la protection des donnes caractre personnel la concer-nant.

    Ces donnes doivent tre traites loyalement, des fins dtermines et sur la basedu consentement de la personne concerne ou en vertu dun autre fondementlgitime prvu par la loi. Toute personne a le droit daccder aux donnes collectesla concernant et den obtenir la rectification.

    Le respect de ces rgles est soumis au contrle dune autorit indpendante. Article 11 Libert dexpression et dinformation 1.Toute personne a droit la libert dexpression. Ce droit comprend la libertdopinion et la libert de recevoir ou de communiquer des informations ou des idessans quil puisse y avoir ingrence dautorits publiques et sans considration defrontires.

    8

  • 2. La libert des mdias et leur pluralisme sont respects.[...]

    Article 52 Porte et interprtation des droits et des principes Toute limitation de lexercice des droits et liberts reconnus par la prsente Chartedoit tre prvue par la loi et respecter le contenu essentiel desdits droits et liberts.Dans le respect du principe de proportionnalit, des limitations ne peuvent treapportes que si elles sont ncessaires et rpondent effectivement des objectifsdintrt gnral reconnus par lUnion ou au besoin de protection des droits etliberts dautrui.

    Dans son arrt du 8 avril 2014 (Digital Rights Ireland, C-293/12), la grande chambrede la Cour de justice de lUnion europenne (CJUE) a invalid la directive 2006/24/CErelative la conservation des donnes par les oprateurs de communications lectroniques,la jugeant non conforme la Charte des droits fondamentaux de lUnion europenne (laCharte).

    Pour dclarer cette directive invalide, la CJUE a dabord estim que lobligation gn-ralise de conservation des donnes de connexion ainsi que laccs qui en tait donn auxautorits nationales constituaient des ingrences dans les droits fondamentaux au respectde la vie prive et familiale et la protection des donnes caractre personnel reconnusaux articles 7 et 8 de la Charte. Comme la dcid la CJUE :

    (...) la directive 2006/24 concerne de manire globale lensemble des personnesfaisant usage de services de communications lectroniques, sans toutefois que lespersonnes dont les donnes sont conserves se trouvent, mme indirectement,dans une situation susceptible de donner lieu des poursuites pnales. Elle sap-plique donc mme des personnes pour lesquelles il nexiste aucun indicede nature laisser croire que leur comportement puisse avoir un lien,mme indirect ou lointain, avec des infractions graves. En outre, elle neprvoit aucune exception, de sorte quelle sapplique mme des personnes dontles communications sont soumises, selon les rgles du droit national, au secretprofessionnel. ( 58)

    Suite linvalidation de la directive 2006/24, le droit de lUnion europenne appli-cable est dsormais celui de la directive 2002/58/CE du Parlement europen et du Conseildu 12 juillet 2002 concernant le traitement des donnes caractre personnel et la pro-tection de la vie prive dans le secteur des communications lectroniques (directive dite ePrivacy ). Cette directive dispose dans son article 15 que :

    Les tats membres peuvent adopter des mesures lgislatives visant limiter laporte des droits et des obligations prvus aux articles 5 et 6, larticle 8, pa-ragraphes 1, 2, 3 et 4, et larticle 9 de la prsente directive lorsquune tellelimitation constitue une mesure ncessaire, approprie et proportionne,au sein dune socit dmocratique, pour sauvegarder la scurit nationale cest--dire la sret de ltat la dfense et la scurit publique, ou assurerla prvention, la recherche, la dtection et la poursuite dinfractions pnales oudutilisations non autorises du systme de communications lectroniques, commele prvoit larticle 13, paragraphe 1, de la directive 95/46/CE. cette fin, lestats membres peuvent, entre autres, adopter des mesures lgislatives prvoyant

    9

  • la conservation de donnes pendant une dure limite lorsque cela est justifi parun des motifs noncs dans le prsent paragraphe. Toutes les mesures vises dansle prsent paragraphe sont prises dans le respect des principes gnraux du droitcommunautaire, y compris ceux viss larticle 6, paragraphes 1 et 2, du traitsur lUnion europenne.

    Ainsi, la dcision attaque doit tre conforme la Charte des droits fondamentaux, la CEDH ainsi quaux principes gnraux du droit de lUnion europenne.

    Lue la lumire de larrt du 8 avril 2014 rendu par la CJUE, et en particulier de sesparagraphes 57 59, larticle 15 de la directive 2002/58/CE tend invalider le principemme dune obligation de conservation des donnes pour les personnes pour lesquellesil nexiste aucun indice de nature laisser croire que leur comportement puisse avoirun lien, mme indirect ou lointain, avec des infractions graves , pour privilgier desdispositifs de conservation de donnes cibles, tant en termes temporels que sagissantdes personnes concernes (conservation sur injonction).

    Or, le prsent dcret fournit ladministration un accs un ensemble de donnescollectes dans le cadre dun dispositif de collecte gnralise des donnes de connexion,y compris pour les personnes pour lesquelles il nexiste aucune suspicion dun lien directou indirect avec des infractions graves. Tout comme la directive 2006/24/CE, ledcret choue apporter les garanties requises par les articles 7, 8, 11 et 52,paragraphe 1 de la Charte des droits fondamentaux tels quinterprts parlarrt du 8 avril 2014 de la CJUE. Ds lors, le dcret attaqu est contraire au droitde lUnion europenne.

    En tout tat de cause, si le Conseil dtat sinterroge sur la porte quil convientde donner larrt de la CJUE du 8 avril 2014, la lettre et lesprit de la procdure durenvoi prjudiciel devraient le conduire poser la CJUE la question de savoir si ledroit de lUnion europenne doit tre interprt en ce sens quil prohibe tout dispositif decollecte gnralise des donnes de connexion pour lensemble des utilisateurs dInternet,y compris ceux pour lesquels il nexiste aucune suspicion dinfraction.

    De plus, bien que, dans son arrt du 8 avril 2014, la CJUE se soit contente dapprcierla validit de la directive au regard des articles 7 et 8 de la Charte, la Cour na pas excluque les dispositions vises constituent galement une ingrence dans lexercice de la libertdexpression, telle que reconnue larticle 11 de la Charte.

    En cela, la CJUE sest inscrite dans le sillage dune jurisprudence bien tablie de laCour europenne des droits de lhomme relative tant larticle 8 qu larticle 10 de laConvention europenne de sauvegarde des droits de lhomme et du citoyen (Conv. EDH).

    La Conv. EDH dispose en effet que :

    Article 8 Droit au respect de la vie prive et familiale 1. Toute personne a droit au respect de sa vie prive et familiale, de son domicileet de sa correspondance.

    2. Il ne peut y avoir ingrence dune autorit publique dans lexercice de ce droitque pour autant que cette ingrence est prvue par la loi et quelle constitue unemesure qui, dans une socit dmocratique, est ncessaire la scurit nationale, la sret publique, au bien-tre conomique du pays, la dfense de lordre et la prvention des infractions pnales, la protection de la sant ou de la morale,

    10

  • ou la protection des droits et liberts dautrui. Article 10 Libert dexpression 1. Toute personne a droit la libert dexpression. Ce droit comprend la libertdopinion et la libert de recevoir ou de communiquer des informations ou des idessans quil puisse y avoir ingrence dautorits publiques et sans considration defrontire. Le prsent article nempche pas les tats de soumettre les entreprisesde radiodiffusion, de cinma ou de tlvision un rgime dautorisations.

    2. Lexercice de ces liberts comportant des devoirs et des responsabilits peuttre soumis certaines formalits, conditions, restrictions ou sanctions prvues parla loi, qui constituent des mesures ncessaires, dans une socit dmocratique, la scurit nationale, lintgrit territoriale ou la sret publique, la dfensede lordre et la prvention du crime, la protection de la sant ou de la morale, la protection de la rputation ou des droits dautrui, pour empcher la divulga-tion dinformations confidentielles ou pour garantir lautorit et limpartialit dupouvoir judiciaire.

    De jurisprudence constante, la Cour europenne des droits de lhomme (Cour EDH)considre que toute loi instaurant des mesures de surveillance des communications crepar sa simple existence, pour tous ceux auxquels on pourrait lappliquer, une menace desurveillance entravant forcment la libert de communication entre usagers des servicesdes postes et tlcommunications et constituant par l une ingrence dune autorit pu-blique dans lexercice du droit des requrants au respect de leur vie prive et familiale ainsique de leur correspondance (CEDH, Klass et autres c. Allemagne, Pln., 6 septembre1978, no 5029/71, 41 ; voir aussi CEDH Leander c. Sude, 26 mars 1987, no 9248/81,48 ; Rotaru c. Roumanie, 4 mai 2000, no 28341/95, 46).

    Les mesures de surveillance, lorsquelles constituent une ingrence dans lexercice dudroit au respect de la vie prive ou du droit la libert dexpression consacrs par la Conv.EDH, doivent tre prvues par la loi, poursuivre un intrt lgitime et tre proportionnes cet objectif, tel que lexige le 2 de ce mme article 8.

    Or, le dcret met en uvre une ingrence extrajudiciaire disproportionne dans lesdroits et liberts. Celle-ci nest ni prvue par la loi , ni proportionne aux buts quellepoursuit, tel quexig tant par larticle 52, paragraphe 1 de la Charte que par les articles 8et 10 de la Conv. EDH.

    4.1.1. Lingrence par le dcret dans les droits fondamentauxprotgs en droit conventionnel nest pas prvue par laloi.

    La Cour EDH considre que, pour quune ingrence soit prvue par la loi au sensde larticle 82 de la Conv. EDH, la loi doit user de termes assez clairs pour indiquer tous de manire suffisante en quelles circonstances et sous quelles conditions elle habilitela puissance publique oprer pareille atteinte secrte, et virtuellement dangereuse, audroit au respect de la vie prive et de la correspondance (CEDH, Malone c. Royaume-Uni, 2 aot 1984, no 8691/79, 67). La Cour EDH prcise ainsi que les mots prvuepar la loi , au sens de larticle 82, veulent dabord que la mesure incrimine ait une

    11

  • base en droit interne, mais ils ont trait aussi la qualit de la loi en cause : ils exigentlaccessibilit de celle-ci la personne concerne, qui de surcrot doit pouvoir en prvoirles consquences pour elle (CEDH, Kruslin c/ France, 24 avril 1990, no 11801/85, 27).

    Le dcret attaqu autorise laccs par les administrations numres larticle R. 246-2du code de la scurit intrieure (CSI) aux donnes vises aux articles R. 10-13 et R. 10-14du code des postes et des communications lectroniques (CPCE) ainsi qu larticle 1erdu dcret no 2011-219.

    Or, ces donnes ne sont conserves qu la discrtion des oprateurs de communicationslectroniques et des hbergeurs.

    En cela, le dcret manque de prvoir la porte de lingrence constitue la fois par laconservation des donnes de connexion et laccs qui y est accord aux administrations.

    4.1.1.1. Les donnes numres aux articles R. 10-14 CPCE et 1er, 3o et 4odu dcret no 2011-219 du 25 fvrier 2011 ne sont conserves qula discrtion des oprateurs de communications lectroniques et deshbergeurs

    Larticle R. 10-14 CPCE autorise les oprateurs de communications lectroniques conserver certaines donnes concernant leurs clients, sans toutefois les y contraindre. Eneffet, larticle R. 10-14 CPCE dispose que :

    I.-En application du IV de larticle L. 34-1 les oprateurs de communications lec-troniques sont autoriss conserver pour les besoins de leurs oprations de fac-turation et de paiement les donnes caractre technique permettant didentifierlutilisateur ainsi que celles mentionnes aux b, c et d du I de larticle R. 10-13.

    II.-Pour les activits de tlphonie, les oprateurs peuvent conserver, outreles donnes mentionnes au I, les donnes caractre technique relatives lalocalisation de la communication, lidentification du ou des destinataires de lacommunication et les donnes permettant dtablir la facturation.

    III.-Les donnes mentionnes aux I et II du prsent article ne peuvent treconserves que si elles sont ncessaires la facturation et au paiementdes services rendus. Leur conservation devra se limiter au temps strictementncessaire cette finalit sans excder un an.

    IV.-Pour la scurit des rseaux et des installations, les oprateurs peuventconserver pour une dure nexcdant pas trois mois :a) Les donnes permettant didentifier lorigine de la communication ;b) Les caractristiques techniques ainsi que la date, lhoraire et la dure de chaquecommunication ;c) Les donnes caractre technique permettant didentifier le ou les destinatairesde la communication ;d) Les donnes relatives aux services complmentaires demands ou utiliss etleurs fournisseurs.

    De mme, les points 3o et 4o de larticle 1er du dcret no 2011-219 listent des don-nes que fournisseurs daccs Internet et hbergeurs peuvent conserver quant leursutilisateurs, sans toutefois y tre contraints.

    12

  • Ainsi, larticle 1er du dcret no 2011-219 dispose que :

    Les donnes mentionnes au II de larticle 6 de la loi du 21 juin 2004 susvise,que les personnes sont tenues de conserver en vertu de cette disposition, sont lessuivantes :[...]

    3o Pour les personnes mentionnes aux 1 et 2 du I du mme article, les informationsfournies lors de la souscription dun contrat par un utilisateur ou lors de la crationdun compte :

    a) Au moment de la cration du compte, lidentifiant de cette connexion ;b) Les nom et prnom ou la raison sociale ;c) Les adresses postales associes ;d) Les pseudonymes utiliss ;e) Les adresses de courrier lectronique ou de compte associes ;f) Les numros de tlphone ;g) Le mot de passe ainsi que les donnes permettant de le vrifier ou de le modifier,dans leur dernire version mise jour ;

    4o Pour les personnes mentionnes aux 1 et 2 du I du mme article, lorsquela souscription du contrat ou du compte est payante, les informations suivantesrelatives au paiement, pour chaque opration de paiement :a) Le type de paiement utilis ;b) La rfrence du paiement ;c) Le montant ;d) La date et lheure de la transaction.

    Les donnes mentionnes aux 3o et 4o ne doivent tre conserves quedans la mesure o les personnes les collectent habituellement.

    Le dcret attaqu permet laccs administratif aux donnes que les oprateurs de com-munications lectroniques, les fournisseurs daccs Internet et les hbergeurs choisissentde conserver quant leurs utilisateurs. Or, en ce quils procdent dune simple facult, ceschoix ne sont ni connus ni prvisibles pour ces utilisateurs, qui ignorent si des donnesles concernant, et lesquelles, sont conserves par ces prestataires et donc accessibles parladministration. tout le moins, la dtermination des donnes conserves et accessiblespar ladministration nest pas dfinie par la loi.

    Lingrence constitue par la demande daccs aux donnes telle que dfinie par leprsent dcret nest donc pas prvue par la loi au sens de larticle 8 2 de la Conv.EDH, tel quinterprt par la Cour EDH, puisque son tendue matrielle est laisse ladiscrtion des oprateurs de communications lectroniques, fournisseurs daccs Internetet hbergeurs.

    Ainsi, le prsent dcret viole lensemble des dispositions de la Charte des droits fon-damentaux et de la Conv. EDH susvises.

    13

  • 4.1.1.2. Lobligation de conservation des donnes vises aux articles 1er, 1odu dcret no 2011-219 du 25 fvrier 2011 et R. 10-13 CPCE estimprcise.

    Larticle 6 de la loi no 2004-575 du 21 juin 2004 pour la confiance dans lconomienumrique (LCEN) prvoit que :

    I.-1. Les personnes dont lactivit est doffrir un accs des services de commu-nication au public en ligne [...]

    2. Les personnes physiques ou morales qui assurent, mme titre gratuit, pourmise disposition du public par des services de communication au public en ligne,le stockage de signaux, dcrits, dimages, de sons ou de messages de toute naturefournis par des destinataires de ces services [...]

    II.- Les personnes mentionnes aux 1 et 2 du I dtiennent et conservent lesdonnes de nature permettre lidentification de quiconque a contribu la cration du contenu ou de lun des contenus des services dont ellessont prestataires.[...]

    Un dcret en Conseil dtat, pris aprs avis de la Commission nationale de lin-formatique et des liberts, dfinit les donnes mentionnes au premier alina etdtermine la dure et les modalits de leur conservation.

    Le dcret no 2011-219, pris en application de cet article 6 II de la LCEN, prvoit aupoint 1o de son premier article lobligation pour les fournisseurs daccs Internet deconserver une liste de donnes permettant didentifier leurs abonns chacune de leurconnexion :

    Les donnes mentionnes au II de larticle 6 de la loi du 21 juin 2004 susvise,que les personnes sont tenues de conserver en vertu de cette disposition, sont lessuivantes :1o Pour les personnes mentionnes au 1 du I du mme article et pour chaqueconnexion de leurs abonns :a) Lidentifiant de la connexion ;b) Lidentifiant attribu par ces personnes labonn ;c) Lidentifiant du terminal utilis pour la connexion lorsquelles y ont accs ;d) Les dates et heure de dbut et de fin de la connexion ;e) Les caractristiques de la ligne de labonn ;

    Or, le champ des donnes dfini par ce dcret dpasse largement celui dfini par laloi dans larticle 6 II de la LCEN. La loi ne vise que les donnes de nature permettrelidentification de quiconque a contribu la cration d[un] contenu et non pas toutedonne permettant lidentification de tout abonn, chacune de ses connexions, quilcontribue ou non la cration dun contenu. Le point 1o de larticle premier du dcretno 2011-219 cre une obligation que na pas prvue le lgislateur dans les dispositions quele dcret est cens appliquer.

    Ltendue matrielle de lingrence ralise par le dcret attaqu rsultant dun ex-cs de pouvoir, cette ingrence nest une fois de plus pas prvue par la loi au sens desdispositions conventionnelles prcites telles quinterprtes par la Cour EDH et la CJUE.

    14

  • Il en va de mme lorsque le dcret attaqu renvoie larticle R. 10-13 CPCE pour d-finir le champ des donnes quil couvre. Larticle R. 10-13 CPCE a t pris en applicationde larticle L. 34-1 III CPCE. Ce dernier article autorise les oprateurs de communicationslectroniques diffrer dun an leffacement de certaines donnes techniques relatives leurs abonns, par drogation lobligation prvue larticle L. 34-1 II CPCE de leseffacer ou de les rendre anonymes immdiatement.

    Larticle L. 34-1 CPCE prvoit en effet que :

    II.-Les oprateurs de communications lectroniques, et notamment les personnesdont lactivit est doffrir un accs des services de communication au public enligne, effacent ou rendent anonyme toute donne relative au trafic, sous rservedes dispositions des III, IV, V et VI.[...]

    III.-Pour les besoins de la recherche, de la constatation et de la poursuite desinfractions pnales ou dun manquement lobligation dfinie larticle L. 336-3du code de la proprit intellectuelle ou pour les besoins de la prvention desatteintes aux systmes de traitement automatis de donnes prvues et rprimespar les articles 323-1 323-3-1 du code pnal, et dans le seul but de permettre,en tant que de besoin, la mise disposition de lautorit judiciaire ou de la hauteautorit mentionne larticle L. 331-12 du code de la proprit intellectuelleou de lautorit nationale de scurit des systmes dinformation mentionne larticle L. 2321-1 du code de la dfense, il peut tre diffr pour une duremaximale dun an aux oprations tendant effacer ou rendre anonymes certainescatgories de donnes techniques. Un dcret en Conseil dtat, pris aprs avis de laCommission nationale de linformatique et des liberts, dtermine, dans les limitesfixes par le VI, ces catgories de donnes et la dure de leur conservation, selonlactivit des oprateurs et la nature des communications ainsi que les modalitsde compensation, le cas chant, des surcots identifiables et spcifiques desprestations assures ce titre, la demande de ltat, par les oprateurs.

    Larticle L. 34-1 III CPCE ne prvoit encore ici quune simple facult pour les op-rateurs, et non une obligation. Pourtant, larticle R. 10-13 CPCE qui lapplique, prvoitune obligation de conservation des donnes techniques par ces prestataires.

    En effet, larticle R. 10-13 CPCE dispose :

    I.-En application du III de larticle L. 34-1 les oprateurs de communicationslectroniques conservent pour les besoins de la recherche, de la constatation etde la poursuite des infractions pnales :a) Les informations permettant didentifier lutilisateur ;b) Les donnes relatives aux quipements terminaux de communication utiliss ;c) Les caractristiques techniques ainsi que la date, lhoraire et la dure de chaquecommunication ;d) Les donnes relatives aux services complmentaires demands ou utiliss etleurs fournisseurs ;e) Les donnes permettant didentifier le ou les destinataires de la communication.

    II.-Pour les activits de tlphonie loprateur conserve les donnes mentionnesau II et, en outre, celles permettant didentifier lorigine et la localisation de lacommunication.

    15

  • Ainsi, lobligation de conservation des donnes techniques mise la charge des op-rateurs de communications lectroniques par larticle R. 10-13 CPCE dpasse les limitesposes par larticle L. 34-1 CPCE, qui ne prvoyait quune simple facult pour ces der-niers. Ltendue de cette obligation tant ainsi aussi incertaine que son existence, il enva de mme du champ des donnes conserves par ces prestataires auxquelles le dcretattaqu autorise laccs par ladministration.

    Ltendue matrielle de lingrence ralise par le dcret ntant donc ici pas clairementdfinie, cette ingrence nest pas prvue par la loi au sens des dispositions de la Conv.EDH et de la Charte des droits fondamentaux prcites, que le prsent dcret viole nouveau.

    4.1.2. Les limitations aux droits et liberts fondamentaux intro-duites par le dcret attaqu sont disproportionnes.

    Les limitations aux droits et liberts fondamentaux ne sont valides que si elles res-pectent le principe de proportionnalit.

    De jurisprudence constante, la Cour EDH considre au regard de larticle 82 de laConv. EDH, que, caractristique de ltat policier, le pouvoir de surveiller en secret lescitoyens nest tolrable daprs la Convention que dans la mesure strictement ncessaire la sauvegarde des institutions dmocratiques (CEDH, Klass et autres c. Allemagne,Pln., 6 septembre 1978, no 5029/71, 42). Elle considre ainsi qu une ingrence estconsidre comme ncessaire dans une socit dmocratique pour atteindre un butlgitime si elle rpond un besoin social imprieux et, en particulier, si elle estproportionne au but lgitime poursuivi et si les motifs invoqus par les autorits natio-nales pour la justifier apparaissent pertinents et suffisants (CEDH, S et Marper c.Royaume-Uni, 4 dcembre 2008, no 30562/04 et 30566/04, 101).

    Tant la CJUE que la Cour EDH ont, au fil de leur jurisprudence, distingu plusieurscritres leur permettant dvaluer la proportionnalit dune restriction. Pour sassurer dela proportionnalit dune ingrence dans les droits et liberts fondamentaux, les juridic-tions sont notamment conduites examiner si lingrence est pertinente pour parvenirau but vis et si ce but peut tre atteint de manire satisfaisante par dautres moyens,moins restrictifs de droits. Dans le cadre de ce contrle, la CJUE et la Cour EDH sontamenes examiner la dure de lingrence ainsi que les contrles pouvant tre oprs.

    4.1.2.1. Il existe des mesures alternatives pour atteindre les finalits pour-suivies.

    Confier lautorit administrative un accs une somme de donnes telle que cellesvises par le dcret nest pas ncessaire pour atteindre les finalits dfinies larticleL. 241-2 auxquelles larticle L. 246-1 CSI renvoie notamment quant la lutte contrele terrorisme, la criminalit et la dlinquance organises et la protection de la scuritnationale.

    En tmoigne le fait que dautres mesures permettent de poursuivre ces finalits. Ainsi,plusieurs tats europens, dont lAutriche, la Belgique, lAllemagne, la Grce ou la Rou-manie, ont renonc recourir la conservation gnralise des donnes techniques, pr-

    16

  • frant des mesures cibles de conservation des donnes, parmi lesquelles linjonction faitepar les autorits un oprateurs de conserver les donnes ne concernant que certainsindividus suspects. Dans son tude sur le numrique et les droits fondamentaux de2014, le Conseil dtat expose dailleurs prcisment comment de telles mesures reposantsur des injonctions pralables cibles seraient aussi envisageables en droit franais1.

    Ensuite, la conservation gnralise des donnes techniques ne permet pas datteindreles finalits poursuivies par le prsent dcret plus efficacement que ne le peuvent cesmesures cibles, que les tats prcits ont adoptes sans nuire leur capacit de luttecontre les infractions graves. Ainsi, le gouvernement allemand publiait en 2008 une tudeconcluant ce que seuls 4% des demandes daccs de donnes faites par les autoritsnavaient pu tre satisfaites en raison de labsence dune obligation de conservation gn-ralise des donnes techniques2.

    Ces mesures alternatives cibles, adoptes par ces diffrents tats, constituent uneingrence bien plus faible dans le droit au respect de la vie prive des utilisateurs que neconstitue celle ralise par une conservation gnralise des donnes techniques, telle quecelle laquelle participe le prsent dcret.

    Qui plus est, ce rgime tendu daccs administratif aux donnes de connexions na taccompagn par aucune tude dimpact. Cela est dautant plus regrettable que le rgimequi linspire, institu par la loi du 23 janvier 2006, nest encore qu exprimental commele rappelle la CNCIS dans son dernier rapport dactivit3. Son largissement drastiqueau travers du dcret attaqu intervient donc sans quaucune tude ne permette dendmontrer lefficacit et le caractre ncessaire par rapport des mesures plus cibles, etdonc moins restrictives de liberts.

    En ce que latteinte aux droits porte par le dcret dpasse trs largement celle causepar des mesures alternatives, sans mme justifier ni plus forte raison dmontrer sa plusgrande efficacit du point de vue de lobjectif poursuivi, le dcret attaqu doit tre annul.

    4.1.2.2. La rquisition administrative des donnes est disproportionne auregard de ltendue des services administratifs ayant accs aux don-nes collectes et des finalits vises par le dcret.

    La disproportion est dautant plus manifeste que, par rapport la loi du 23 janvier2006, la loi de programmation militaire du 18 dcembre 2013 (LPM) a encore largi lesmesures de rquisition administrative.

    Dune part, la LPM a augment le nombre de services administratifs pouvant requrirces donnes conserves. Ces services sont viss larticle L. 246-2 CSI, leur nombre slvedsormais plusieurs dizaines en incluant des directions territoriales.

    Dautre part, la LPM a largi les finalits pour lesquelles les donnes de connexionpeuvent tre demandes. En effet, les rquisitions administratives de donnes de connexion

    1http://www.ladocumentationfrancaise.fr/var/storage/rapports-publics/144000541/0000.pdf, pp. 208 et s.

    2Max Planck Institute for Foreign and International Criminal Law, The Right of Discovery ConcerningTelecommunication Traffic Data According to 100g, 100h of the German Code of Criminal Procedure,March 2008, http://dip21.bundestag.de/dip21/btd/16/084/1608434.pdf, p. 150.

    322e rapport dactivit 2013-2014 de la CNCIS, p. 95 ; http://www.ladocumentationfrancaise.fr/var/storage/rapports-publics/154000101/0000.pdf.

    17

  • prvues par le dcret attaqu pourront intervenir dans un contexte identique celui desinterceptions de scurit, savoir, au del de la prvention du terrorisme, la recherchedes renseignements intressant la scurit nationale, la sauvegarde des lments essentielsdu potentiel scientifique et conomique de la France, la prvention de la criminalit et dela dlinquance organises ou encore de la reconstitution ou du maintien de groupementsdissous.

    4.1.2.3. Les donnes sont conserves pour une dure excessive.

    La dure de conservation des rponses fournies ladministration est disproportionneen ce quil nest pas ncessaire pour ladministration de conserver les donnes concernespour une priode de trois ans, tel que prvu par le dcret.

    En effet, larticle R. 246-6, alina 3 dispose que :

    Le Premier ministre enregistre et conserve pendant une dure maximale de troisans, dans un traitement automatis quil met en uvre, les informations ou lesdocuments transmis par les oprateurs et les personnes mentionns larticleL. 246-1.

    Comme lobserve la CNIL dans son avis, le Gouvernement, loccasion des formali-ts pralables effectues pour les traitements actuellement mis en uvre, a retenu unedure de conservation dun an. La CNIL avait en effet relev que cette dure tait suffi-sante au regard des obligations lgales et rglementaires imposes aux oprateurs, touten permettant la CNCIS de raliser ses missions de contrle a posteriori.

    Rien ne justifie une dure de conservation de trois ans. Cette conservation centralisede donnes extrmement sensible est la fois inutile pour parvenir au but recherch, elleest aussi dangereuse.

    Tout dabord, une dure unique de conservation des donnes tablie trois ans na au-cun fondement pratique. Soit la personne dont les donnes sont demandes est considrecomme tant une personne risque et dans ce cas, le service administratif lorigine de lademande pourra assurer une copie des donnes et les conserver dans ses fichiers propres(typiquement un dossier denqute, une fiche S, etc.), soit il ne sagit pas dune personne risque, et les donnes nont aucune raison dtre conserves sans tre exploites parailleurs par les services administratifs.

    Concrtement, le dcret instaure un sas dans lequel les donnes sont conserves pluslongtemps que chez les oprateurs ou hbergeurs sans quaucune raison ne le justifie.

    Par ailleurs, aucun systme informatique ne pouvant tre parfaitement scuris, quilsoit public ou priv, la conservation de donnes devrait se faire dans des conditions draco-niennes pour limiter les atteintes aux droits des personnes en cas dintrusion frauduleusedans les systmes informatiques concerns. Une dure de conservation de trois ans estdautant plus inutile et dangereuse que nulle part ne sont prvues dans la loi ou le dcretles mesures qui devront assurer la protection technique de ces donnes vis--vis notam-ment daccs frauduleux.

    18

  • 4.1.2.4. Le contrle sur les demandes de communications de donnes estlacunaire.

    De jurisprudence constante, la Cour EDH considre quune socit dmocratique im-plique, entre autres, quune ingrence de lexcutif dans les droits dun individu soit sou-mise un contrle efficace (CEDH, Klass et autres c. Allemagne, Pln., 6 septembre1978, no 5029/71, 55).

    De mme, dans son arrt du 8 avril 2014 dclarant linvalidit de la directive 2006/24/CE,la CJUE se fondait notamment sur le fait que la directive nimposait aucun contrle pra-lable opr par une autorit administrative indpendante ou judiciaire sur les demandesfaites :

    Surtout laccs aux donnes conserves par les autorits nationales comptentesnest pas subordonn un contrle pralable effectu soit par une juridiction,soit par une entit administrative indpendante dont la dcision vise limiterlaccs aux donnes et leur utilisation ce qui est strictement ncessaire aux finsdatteindre lobjectif poursuivi et intervient la suite dune demande motive deces autorits prsente dans le cadre de procdures de prvention, de dtectionou de poursuites pnales. Il na pas non plus t prvu une obligation prcise destats membres visant tablir de telles limitations. (62 de larrt du 8 avril 2014 prcit)

    Tout dabord, le dcret attaqu contrevient aux articles 8 et 10 de la Conv. EDH,ainsi quaux articles 7, 8, 11 et 52 de la Charte des droits fondamentaux en ce quilinstaure des modalits de communications des donnes de connexion conserves sansinstituer un contrle pralable indpendant sur les demandes de transmission. Le rgimedautorisation par la personnalit qualifie institu par la loi du 23 janvier 2006 enmatire anti-terroriste et tendue par la LPM, napporte par les garanties suffisantes auregard du droit europen.

    Ensuite, pour ce qui est du contrle a posteriori, il savre lui aussi insuffisant pourassurer la conventionnalit du dispositif.

    En effet, le dcret attaqu ne fait que confier la CNCIS laccs aux traitementsmentionns aux articles R. 246-5 7 sans lui donner les moyens matriels lui permettantde raliser un contrle efficace de ces traitements. Dans son tude annuelle pour lanne2014, le Conseil dtat observait lui-mme que les moyens confrs la CNCIS, qui nont pas volu depuis la loi du 10 juillet 1991, alors que son champ de comptence at considrablement tendu par la cration dune procdure daccs aux mtadonnes , ne sont manifestement pas suffisants pour assurer un contrle effectif de la surveillancedes communications , la CNCIS ntant compose que de trois membres, assists de cinqcollaborateurs, et devant traiter prs de 600 demandes par semaine. (pp. 211 et 212)

    Ainsi, le dcret choue remplir ce qui tait pourtant le seul objectif qui lui taitfix par la loi larticle L. 246-4 CSI et, en chouant soumettre laccs administratifaux donnes de connexion un contrle efficace, autorise une ingrence disproportionnedans les droits reconnus par les articles 8 et 10 de la Conv. EDH.

    19

  • 4.2. Le dcret attaqu est contraire larticle L. 246-4CSI en ce quil manque dencadrer les procduresde suivi des demandes et de conservation des do-cuments transmis ladministration.

    Le dcret ne prcise pas, comme ly oblige larticle L. 246-4 CSI, les procdures desuivi des demandes par la CNCIS et les conditions de conservation des informations oudocuments transmis.

    Larticle L. 246-4 du CSI prvoit que :

    Les modalits dapplication [...] sont fixes par dcret en Conseil dtat, prisaprs avis de la Commission nationale de linformatique et des liberts et dela Commission nationale de contrle des interceptions de scurit, qui prcisenotamment la procdure de suivi des demandes et les conditions et dure deconservation des informations ou documents transmis

    Comme le rsume trs clairement la notice de prsentation du dcret attaqu, celui-ci fixe les modalits de transmission des demandes la Commission nationale de contrledes interceptions de scurit ainsi que celles du suivi gnral et du contrle du dispositifpar la commission . Cette notice prcise aussi que le prsent dcret est pris pourlapplication de larticle L. 246-4 du code de la scurit intrieure (et de ce seul article).

    Or, le dcret napporte aucune information en la matire. larticle R. 246-6, ilse borne rappeler que la transmission des informations ou des documents par lesoprateurs et les personnes mentionns larticle L. 246-1 au groupement interministrielde contrle est effectue selon des modalits assurant leur scurit, leur intgrit et leursuivi. .

    Cette absence de dfinition des modalits de contrles de la CNCIS exige par larticleL. 246-4 CSI a dailleurs pu tre observe par la CNIL dans son avis sur le projet dedcret, lorsquelle remarque que le dossier qui lui a t soumis ne contient aucuneinformation technique sur les modalits de mises en uvre des rquisitions administrativesde donnes de connexion ou dinformations relatives laccs de la CNCIS aux traitementsautomatiss prvus dans le cadre des articles L. 246-1 L. 246-3 du CSI. .

    Ainsi, le pouvoir rglementaire parvient tout la fois excder le pouvoir qui lui estconfr au titre de larticle L. 246-4 CSI (voir supra sur la lgalit externe et lincomptencedu pouvoir rglementaire, au point 3.1 page 5), et manquer daccomplir loffice qui luiest confi au titre du mme article.

    4.3. Le dcret attaqu est contraire aux principes descurit juridique et de confiance lgitime.

    Pour les raisons dj invoques tenant notamment limprcision des donnes aux-quelles ladministration peut avoir accs, le dcret porte atteinte aux principes de scuritjuridique et de confiance lgitime (CE, Ass., Arrt du 24 mars 2006, KPMG, no 288460).

    20

  • Par ces motifs, les exposants concluent ce que le Conseil dtat :1. Annule le dcret attaqu avec toutes consquences de droit ;2. Mette la charge de ltat le versement de la somme de 1024 e sur le fondement

    de larticle L. 761-1 du code de justice administrative.Le 18 fvrier 2015, Paris

    Pour lassociationFrench Data Network,

    le Prsident,Fabien Sirjean

    Pour lassociationLa Quadrature du Net,

    le Prsident,Philippe Aigrain

    Pour laFdration des fournisseurs daccs Internet associatif,

    le Prsident,Benjamin Bayart

    21

  • Pices produites

    1. Dcret no 2014-1576 du 24 dcembre 2014 relatif laccs administratif aux donnesde connexion.

    2. Statuts de lassociation French Data Network.3. Extrait du compte rendu de la runion du bureau de FDN du 10 janvier 2015

    donnant pouvoir au prsident.4. Statuts de lassociation La Quadrature du Net.5. Statuts de la Fdration des fournisseurs daccs Internet associatifs, dite Fd-

    ration FDN.6. Charte de la Fdration FDN.7. Compte rendu de la runion du bureau de la Fdration FDN du 3 fvrier 2015

    donnant pouvoir au prsident.8. La prsente requte.

    Lensemble tant produit en 6 exemplaires.

    22