Professional Documents
Culture Documents
Section du contentieux
PAR
1. French Data Network (Rseau de donnes franais), dite FDN.
Association rgie par la loi du 1er juillet 1901 tablie 16 rue de Cachy, 80090 Amiens,
enregistre en prfecture de la Somme sous le numro W751107563, oprateur dclar auprs de lARCEP sous la rfrence 07/1149, prise en la personne de son
prsident M. Fabien Sirjean.
Tel. : 06 36 18 91 00
Mail : president@fdn.fr / buro@fdn.fr
2. La Quadrature du Net
Association rgie par la loi du 1er juillet 1901 tablie au 60 rue des Orteaux 75019,
Paris, enregistre en prfecture de police de Paris sous le numro W751218406, prise
en la personne de son prsident M. Philippe Aigrain.
Tel. 06 73 60 88 43
Mail : contact@laquadrature.net
3. Fdration des fournisseurs daccs Internet associatifs, dite Fdration
FDN (FFDN).
Fdration rgie par la loi du 1er juillet 1901 tablie 16 rue de Cachy, 80090 Amiens,
enregistre en prfecture de la Somme sous le numro W751210904, regroupant 27
fournisseurs daccs associatifs franais, dclars auprs de lARCEP, et un fournisseur daccs associatif belge dclar auprs du rgulateur, prise en la personne de
son prsident M. Benjamin Bayart.
Tel : 06 60 24 24 94
Mail : contact@ffdn.org
CONTRE
1. FAITS
La loi no 2013-1168 de programmation militaire du 18 novembre 2013 (LPM) tablit les
objectifs de la politique de dfense franaise pour les annes 2014 2019. Son article 20
a, dune part, cr un chapitre VI Accs administratif aux donnes de connexion
au sein du titre IV du livre II du code de la scurit intrieure (CSI) contenant les
articles L. 246-1 5 CSI. Il a, dautre part, abrog les articles L. 222-2, L. 222-3 et
L. 243-12 CSI ainsi que larticle 6 II bis de la loi no 2004-575 du 21 juin 2004 pour la
confiance dans lconomie numrique (LCEN) et larticle L. 34-1-1 du code des postes et
des communications lectroniques (CPCE).
Larticle L. 246-4 CSI cr par la LPM, actuellement en vigueur, dispose que :
La Commission nationale de contrle des interceptions de scurit dispose dun
accs permanent au dispositif de recueil des informations ou documents mis en
uvre en vertu du prsent chapitre, afin de procder des contrles visant
sassurer du respect des conditions fixes aux articles L. 246-1 L. 246-3. En cas
de manquement, elle adresse une recommandation au Premier ministre. Celui-ci
fait connatre la commission, dans un dlai de quinze jours, les mesures prises
pour remdier au manquement constat.
Les modalits dapplication du prsent article sont fixes par dcret en Conseil
dtat, pris aprs avis de la Commission nationale de linformatique et des liberts
et de la Commission nationale de contrle des interceptions de scurit, qui prcise
notamment la procdure de suivi des demandes et les conditions et dure de
conservation des informations ou documents transmis.
Le dcret vis cet article est le dcret no 2014-1576 du 24 dcembre 2014 relatif
laccs administratif aux donnes de connexion publi au Journal officiel de la Rpublique
franaise no 298 du 26 dcembre 2014, p. 22.224.
Cest la dcision attaque.
https://www.laquadrature.net/fr/le-figaro-bataille-politique-autour-de-la-loiantipiratage
http://www.laquadrature.net/files/20110214_La%20Quadrature%20du%20Net_Amicus%
20curiae%20LOPPSI2.pdf
3
https://www.laquadrature.net/fr/la-quadrature-sengage-dans-la-luttejuridictionnelle-contre-la-surveillance-de-masse
bnvole et reprsentent, toutes ensemble, prs de 2000 adhrents. FDN est une des
associations membres, et fondatrice, de la Fdration FDN. Les associations membres de
la Fdration FDN sont toutes signataires dune charte par laquelle elles prennent des
engagements thiques et techniques.
Ici encore, lintrt agir de la Fdration FDN est double.
Dune part, en tant que reprsentant de 28 oprateurs, tous dclars auprs du rgulateur national, et presque tous de droit franais, donc concerns par le dcret attaqu
qui leur est applicable.
Dautre part, en tant que reprsentant, au travers de ses membres, de lensemble des
abonns et adhrents de ses associations membres, concerns par la conservation des
donnes de connexion, lintrusion quelle reprsente dans leur vie prive, et les accs de
ladministration ces donnes.
http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000029958091&categorieLien=
id, texte du dcret joint la procdure.
la conservation de donnes pendant une dure limite lorsque cela est justifi par
un des motifs noncs dans le prsent paragraphe. Toutes les mesures vises dans
le prsent paragraphe sont prises dans le respect des principes gnraux du droit
communautaire, y compris ceux viss larticle 6, paragraphes 1 et 2, du trait
sur lUnion europenne.
Ainsi, la dcision attaque doit tre conforme la Charte des droits fondamentaux,
la CEDH ainsi quaux principes gnraux du droit de lUnion europenne.
Lue la lumire de larrt du 8 avril 2014 rendu par la CJUE, et en particulier de ses
paragraphes 57 59, larticle 15 de la directive 2002/58/CE tend invalider le principe
mme dune obligation de conservation des donnes pour les personnes pour lesquelles
il nexiste aucun indice de nature laisser croire que leur comportement puisse avoir
un lien, mme indirect ou lointain, avec des infractions graves , pour privilgier des
dispositifs de conservation de donnes cibles, tant en termes temporels que sagissant
des personnes concernes (conservation sur injonction).
Or, le prsent dcret fournit ladministration un accs un ensemble de donnes
collectes dans le cadre dun dispositif de collecte gnralise des donnes de connexion,
y compris pour les personnes pour lesquelles il nexiste aucune suspicion dun lien direct
ou indirect avec des infractions graves. Tout comme la directive 2006/24/CE, le
dcret choue apporter les garanties requises par les articles 7, 8, 11 et 52,
paragraphe 1 de la Charte des droits fondamentaux tels quinterprts par
larrt du 8 avril 2014 de la CJUE. Ds lors, le dcret attaqu est contraire au droit
de lUnion europenne.
En tout tat de cause, si le Conseil dtat sinterroge sur la porte quil convient
de donner larrt de la CJUE du 8 avril 2014, la lettre et lesprit de la procdure du
renvoi prjudiciel devraient le conduire poser la CJUE la question de savoir si le
droit de lUnion europenne doit tre interprt en ce sens quil prohibe tout dispositif de
collecte gnralise des donnes de connexion pour lensemble des utilisateurs dInternet,
y compris ceux pour lesquels il nexiste aucune suspicion dinfraction.
De plus, bien que, dans son arrt du 8 avril 2014, la CJUE se soit contente dapprcier
la validit de la directive au regard des articles 7 et 8 de la Charte, la Cour na pas exclu
que les dispositions vises constituent galement une ingrence dans lexercice de la libert
dexpression, telle que reconnue larticle 11 de la Charte.
En cela, la CJUE sest inscrite dans le sillage dune jurisprudence bien tablie de la
Cour europenne des droits de lhomme relative tant larticle 8 qu larticle 10 de la
Convention europenne de sauvegarde des droits de lhomme et du citoyen (Conv. EDH).
La Conv. EDH dispose en effet que :
Article 8 Droit au respect de la vie prive et familiale
1. Toute personne a droit au respect de sa vie prive et familiale, de son domicile
et de sa correspondance.
2. Il ne peut y avoir ingrence dune autorit publique dans lexercice de ce droit
que pour autant que cette ingrence est prvue par la loi et quelle constitue une
mesure qui, dans une socit dmocratique, est ncessaire la scurit nationale,
la sret publique, au bien-tre conomique du pays, la dfense de lordre et
la prvention des infractions pnales, la protection de la sant ou de la morale,
10
base en droit interne, mais ils ont trait aussi la qualit de la loi en cause : ils exigent
laccessibilit de celle-ci la personne concerne, qui de surcrot doit pouvoir en prvoir
les consquences pour elle (CEDH, Kruslin c/ France, 24 avril 1990, no 11801/85, 27).
Le dcret attaqu autorise laccs par les administrations numres larticle R. 246-2
du code de la scurit intrieure (CSI) aux donnes vises aux articles R. 10-13 et R. 10-14
du code des postes et des communications lectroniques (CPCE) ainsi qu larticle 1er
du dcret no 2011-219.
Or, ces donnes ne sont conserves qu la discrtion des oprateurs de communications
lectroniques et des hbergeurs.
En cela, le dcret manque de prvoir la porte de lingrence constitue la fois par la
conservation des donnes de connexion et laccs qui y est accord aux administrations.
4.1.1.1.
13
4.1.1.2.
Il en va de mme lorsque le dcret attaqu renvoie larticle R. 10-13 CPCE pour dfinir le champ des donnes quil couvre. Larticle R. 10-13 CPCE a t pris en application
de larticle L. 34-1 III CPCE. Ce dernier article autorise les oprateurs de communications
lectroniques diffrer dun an leffacement de certaines donnes techniques relatives
leurs abonns, par drogation lobligation prvue larticle L. 34-1 II CPCE de les
effacer ou de les rendre anonymes immdiatement.
Larticle L. 34-1 CPCE prvoit en effet que :
II.-Les oprateurs de communications lectroniques, et notamment les personnes
dont lactivit est doffrir un accs des services de communication au public en
ligne, effacent ou rendent anonyme toute donne relative au trafic, sous rserve
des dispositions des III, IV, V et VI.
[...]
III.-Pour les besoins de la recherche, de la constatation et de la poursuite des
infractions pnales ou dun manquement lobligation dfinie larticle L. 336-3
du code de la proprit intellectuelle ou pour les besoins de la prvention des
atteintes aux systmes de traitement automatis de donnes prvues et rprimes
par les articles 323-1 323-3-1 du code pnal, et dans le seul but de permettre,
en tant que de besoin, la mise disposition de lautorit judiciaire ou de la haute
autorit mentionne larticle L. 331-12 du code de la proprit intellectuelle
ou de lautorit nationale de scurit des systmes dinformation mentionne
larticle L. 2321-1 du code de la dfense, il peut tre diffr pour une dure
maximale dun an aux oprations tendant effacer ou rendre anonymes certaines
catgories de donnes techniques. Un dcret en Conseil dtat, pris aprs avis de la
Commission nationale de linformatique et des liberts, dtermine, dans les limites
fixes par le VI, ces catgories de donnes et la dure de leur conservation, selon
lactivit des oprateurs et la nature des communications ainsi que les modalits
de compensation, le cas chant, des surcots identifiables et spcifiques des
prestations assures ce titre, la demande de ltat, par les oprateurs.
Larticle L. 34-1 III CPCE ne prvoit encore ici quune simple facult pour les oprateurs, et non une obligation. Pourtant, larticle R. 10-13 CPCE qui lapplique, prvoit
une obligation de conservation des donnes techniques par ces prestataires.
En effet, larticle R. 10-13 CPCE dispose :
I.-En application du III de larticle L. 34-1 les oprateurs de communications
lectroniques conservent pour les besoins de la recherche, de la constatation et
de la poursuite des infractions pnales :
a) Les informations permettant didentifier lutilisateur ;
b) Les donnes relatives aux quipements terminaux de communication utiliss ;
c) Les caractristiques techniques ainsi que la date, lhoraire et la dure de chaque
communication ;
d) Les donnes relatives aux services complmentaires demands ou utiliss et
leurs fournisseurs ;
e) Les donnes permettant didentifier le ou les destinataires de la communication.
II.-Pour les activits de tlphonie loprateur conserve les donnes mentionnes
au II et, en outre, celles permettant didentifier lorigine et la localisation de la
communication.
15
Ainsi, lobligation de conservation des donnes techniques mise la charge des oprateurs de communications lectroniques par larticle R. 10-13 CPCE dpasse les limites
poses par larticle L. 34-1 CPCE, qui ne prvoyait quune simple facult pour ces derniers. Ltendue de cette obligation tant ainsi aussi incertaine que son existence, il en
va de mme du champ des donnes conserves par ces prestataires auxquelles le dcret
attaqu autorise laccs par ladministration.
Ltendue matrielle de lingrence ralise par le dcret ntant donc ici pas clairement
dfinie, cette ingrence nest pas prvue par la loi au sens des dispositions de la Conv.
EDH et de la Charte des droits fondamentaux prcites, que le prsent dcret viole
nouveau.
4.1.2. Les limitations aux droits et liberts fondamentaux introduites par le dcret attaqu sont disproportionnes.
Les limitations aux droits et liberts fondamentaux ne sont valides que si elles respectent le principe de proportionnalit.
De jurisprudence constante, la Cour EDH considre au regard de larticle 82 de la
Conv. EDH, que, caractristique de ltat policier, le pouvoir de surveiller en secret les
citoyens nest tolrable daprs la Convention que dans la mesure strictement ncessaire
la sauvegarde des institutions dmocratiques (CEDH, Klass et autres c. Allemagne,
Pln., 6 septembre 1978, no 5029/71, 42). Elle considre ainsi qu une ingrence est
considre comme ncessaire dans une socit dmocratique pour atteindre un but
lgitime si elle rpond un besoin social imprieux et, en particulier, si elle est
proportionne au but lgitime poursuivi et si les motifs invoqus par les autorits nationales pour la justifier apparaissent pertinents et suffisants (CEDH, S et Marper c.
Royaume-Uni, 4 dcembre 2008, no 30562/04 et 30566/04, 101).
Tant la CJUE que la Cour EDH ont, au fil de leur jurisprudence, distingu plusieurs
critres leur permettant dvaluer la proportionnalit dune restriction. Pour sassurer de
la proportionnalit dune ingrence dans les droits et liberts fondamentaux, les juridictions sont notamment conduites examiner si lingrence est pertinente pour parvenir
au but vis et si ce but peut tre atteint de manire satisfaisante par dautres moyens,
moins restrictifs de droits. Dans le cadre de ce contrle, la CJUE et la Cour EDH sont
amenes examiner la dure de lingrence ainsi que les contrles pouvant tre oprs.
4.1.2.1.
Confier lautorit administrative un accs une somme de donnes telle que celles
vises par le dcret nest pas ncessaire pour atteindre les finalits dfinies larticle
L. 241-2 auxquelles larticle L. 246-1 CSI renvoie notamment quant la lutte contre
le terrorisme, la criminalit et la dlinquance organises et la protection de la scurit
nationale.
En tmoigne le fait que dautres mesures permettent de poursuivre ces finalits. Ainsi,
plusieurs tats europens, dont lAutriche, la Belgique, lAllemagne, la Grce ou la Roumanie, ont renonc recourir la conservation gnralise des donnes techniques, pr16
frant des mesures cibles de conservation des donnes, parmi lesquelles linjonction faite
par les autorits un oprateurs de conserver les donnes ne concernant que certains
individus suspects. Dans son tude sur le numrique et les droits fondamentaux de
2014, le Conseil dtat expose dailleurs prcisment comment de telles mesures reposant
sur des injonctions pralables cibles seraient aussi envisageables en droit franais1 .
Ensuite, la conservation gnralise des donnes techniques ne permet pas datteindre
les finalits poursuivies par le prsent dcret plus efficacement que ne le peuvent ces
mesures cibles, que les tats prcits ont adoptes sans nuire leur capacit de lutte
contre les infractions graves. Ainsi, le gouvernement allemand publiait en 2008 une tude
concluant ce que seuls 4% des demandes daccs de donnes faites par les autorits
navaient pu tre satisfaites en raison de labsence dune obligation de conservation gnralise des donnes techniques2 .
Ces mesures alternatives cibles, adoptes par ces diffrents tats, constituent une
ingrence bien plus faible dans le droit au respect de la vie prive des utilisateurs que ne
constitue celle ralise par une conservation gnralise des donnes techniques, telle que
celle laquelle participe le prsent dcret.
Qui plus est, ce rgime tendu daccs administratif aux donnes de connexions na t
accompagn par aucune tude dimpact. Cela est dautant plus regrettable que le rgime
qui linspire, institu par la loi du 23 janvier 2006, nest encore qu exprimental comme
le rappelle la CNCIS dans son dernier rapport dactivit3 . Son largissement drastique
au travers du dcret attaqu intervient donc sans quaucune tude ne permette den
dmontrer lefficacit et le caractre ncessaire par rapport des mesures plus cibles, et
donc moins restrictives de liberts.
En ce que latteinte aux droits porte par le dcret dpasse trs largement celle cause
par des mesures alternatives, sans mme justifier ni plus forte raison dmontrer sa plus
grande efficacit du point de vue de lobjectif poursuivi, le dcret attaqu doit tre annul.
4.1.2.2.
La disproportion est dautant plus manifeste que, par rapport la loi du 23 janvier
2006, la loi de programmation militaire du 18 dcembre 2013 (LPM) a encore largi les
mesures de rquisition administrative.
Dune part, la LPM a augment le nombre de services administratifs pouvant requrir
ces donnes conserves. Ces services sont viss larticle L. 246-2 CSI, leur nombre slve
dsormais plusieurs dizaines en incluant des directions territoriales.
Dautre part, la LPM a largi les finalits pour lesquelles les donnes de connexion
peuvent tre demandes. En effet, les rquisitions administratives de donnes de connexion
1
http://www.ladocumentationfrancaise.fr/var/storage/rapports-publics/144000541/
0000.pdf, pp. 208 et s.
2
Max Planck Institute for Foreign and International Criminal Law, The Right of Discovery Concerning
Telecommunication Traffic Data According to 100g, 100h of the German Code of Criminal Procedure,
March 2008, http://dip21.bundestag.de/dip21/btd/16/084/1608434.pdf, p. 150.
3 e
22 rapport dactivit 2013-2014 de la CNCIS, p. 95 ; http://www.ladocumentationfrancaise.fr/
var/storage/rapports-publics/154000101/0000.pdf.
17
prvues par le dcret attaqu pourront intervenir dans un contexte identique celui des
interceptions de scurit, savoir, au del de la prvention du terrorisme, la recherche
des renseignements intressant la scurit nationale, la sauvegarde des lments essentiels
du potentiel scientifique et conomique de la France, la prvention de la criminalit et de
la dlinquance organises ou encore de la reconstitution ou du maintien de groupements
dissous.
4.1.2.3.
18
4.1.2.4.
De jurisprudence constante, la Cour EDH considre quune socit dmocratique implique, entre autres, quune ingrence de lexcutif dans les droits dun individu soit soumise un contrle efficace (CEDH, Klass et autres c. Allemagne, Pln., 6 septembre
1978, no 5029/71, 55).
De mme, dans son arrt du 8 avril 2014 dclarant linvalidit de la directive 2006/24/CE,
la CJUE se fondait notamment sur le fait que la directive nimposait aucun contrle pralable opr par une autorit administrative indpendante ou judiciaire sur les demandes
faites :
Surtout laccs aux donnes conserves par les autorits nationales comptentes
nest pas subordonn un contrle pralable effectu soit par une juridiction,
soit par une entit administrative indpendante dont la dcision vise limiter
laccs aux donnes et leur utilisation ce qui est strictement ncessaire aux fins
datteindre lobjectif poursuivi et intervient la suite dune demande motive de
ces autorits prsente dans le cadre de procdures de prvention, de dtection
ou de poursuites pnales. Il na pas non plus t prvu une obligation prcise des
tats membres visant tablir de telles limitations.
(62 de larrt du 8 avril 2014 prcit)
Tout dabord, le dcret attaqu contrevient aux articles 8 et 10 de la Conv. EDH,
ainsi quaux articles 7, 8, 11 et 52 de la Charte des droits fondamentaux en ce quil
instaure des modalits de communications des donnes de connexion conserves sans
instituer un contrle pralable indpendant sur les demandes de transmission. Le rgime
dautorisation par la personnalit qualifie institu par la loi du 23 janvier 2006 en
matire anti-terroriste et tendue par la LPM, napporte par les garanties suffisantes au
regard du droit europen.
Ensuite, pour ce qui est du contrle a posteriori, il savre lui aussi insuffisant pour
assurer la conventionnalit du dispositif.
En effet, le dcret attaqu ne fait que confier la CNCIS laccs aux traitements
mentionns aux articles R. 246-5 7 sans lui donner les moyens matriels lui permettant
de raliser un contrle efficace de ces traitements. Dans son tude annuelle pour lanne
2014, le Conseil dtat observait lui-mme que les moyens confrs la CNCIS, qui
nont pas volu depuis la loi du 10 juillet 1991, alors que son champ de comptence a
t considrablement tendu par la cration dune procdure daccs aux mtadonnes ,
ne sont manifestement pas suffisants pour assurer un contrle effectif de la surveillance
des communications , la CNCIS ntant compose que de trois membres, assists de cinq
collaborateurs, et devant traiter prs de 600 demandes par semaine. (pp. 211 et 212)
Ainsi, le dcret choue remplir ce qui tait pourtant le seul objectif qui lui tait
fix par la loi larticle L. 246-4 CSI et, en chouant soumettre laccs administratif
aux donnes de connexion un contrle efficace, autorise une ingrence disproportionne
dans les droits reconnus par les articles 8 et 10 de la Conv. EDH.
19
Pour lassociation
La Quadrature du Net,
le Prsident,
Philippe Aigrain
Pour la
Fdration des fournisseurs daccs Internet associatif,
le Prsident,
Benjamin Bayart
21
Pices produites
22