Base de jurisprudence

Ariane Web: Conseil d'État 347349, lecture du 20 novembre 2013, ECLI:FR:CESJS:2013:347349.20131120

Décision n° 347349
20 novembre 2013
Conseil d'État

N° 347349
ECLI:FR:CESJS:2013:347349.20131120
Inédit au recueil Lebon
10ème sous-section jugeant seule
M. Frédéric Bereyziat, rapporteur
Mme Delphine Hedary, rapporteur public


Lecture du mercredi 20 novembre 2013
REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS



Vu 1°), sous le numéro 347349 la requête, enregistrée au secrétariat du contentieux du Conseil d 'Etat le 9 mars 2011, présentée par MJ..., demeurant... ;
M. J...demande au Conseil d'Etat :

1) d'annuler pour excès de pouvoir les articles 1er à 9 du décret n°2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne ;

2) d'inscrire dans la Constitution la faculté pour tout citoyen français d'exiger la tenue d'un référendum ;


Vu 2°), sous le numéro 348851 la requête enregistrée au secrétariat du contentieux du Conseil d'Etat le 3 juin 2011 présentée par l'association Internet sans frontière représentée par son président M. L...F...domicilié... ;
l'association Internet sans frontière demande au Conseil d'Etat d'annuler pour excès de pouvoir le décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne ;

....................................................................................

Vu 3°), sous le n° 348891, la requête sommaire et le mémoire complémentaire, enregistrés au secrétariat du contentieux du Conseil d'Etat les 2 mai et 15 juillet 2011 présentés pour la société OVH dont le siège est 2 rue Kellermann 59100 Roubaix, représentée par son président en exercice ;
la société OVH demande au Conseil d'Etat :

1) d'annuler pour excès de pouvoir le décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne ;

2) de mettre à la charge de l'Etat la somme de 5 000 euros au titre des dispositions de l'article L. 761-1 du code de justice administrative ;


....................................................................................

Vu les autres pièces des dossiers;

Vu la Constitution, notamment son Préambule ;

Vu le traité sur l'Union européenne ;

Vu la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 ;

Vu la directive 2000/31/CE du Parlement européen et du Conseil du 8 juin ;

Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 ;

Vu la directive 2006/24/CE du Parlement européen et du Conseil du 15 mars ;

Vu l'ordonnance n° 58-1067 du 7 novembre 1958 portant loi organique sur le Conseil constitutionnel ;

Vu la loi n°78-17 du 6 janvier 1978 ;

Vu la loi n°2004-575 du 21 juin 2004 ;

Vu le code de justice administrative ;



Après avoir entendu en séance publique :

- le rapport de M. Frédéric Bereyziat, Maître des Requêtes,

- les conclusions de Mme Delphine Hedary, rapporteur public ;

La parole ayant été donnée, avant et après les conclusions, à la SCP Waquet, Farge, Hazan, avocat de la société OVH;



1. Considérant que les requêtes de M.J..., de l'association " Internet sans Frontière " et de la société OVH sont dirigées contre le même décret ; qu'il y a lieu de les joindre pour statuer par une même décision ;

S'agissant des conclusions tendant à la modification de la Constitution :

2. Considérant qu'il n'appartient pas à la juridiction administrative de connaître des conclusions tendant à la modification de la Constitution ; que les conclusions de M. J... sur ce point doivent, par suite, être rejetées ;

S'agissant des conclusions tendant à l'annulation du décret du 25 février 2001 :

Sur la légalité externe du décret attaqué :

3. Considérant qu'il résulte d'une ampliation certifiée conforme à l'original par le secrétariat général du gouvernement que le décret attaqué porte la signature de M. I...C..., Premier ministre, ainsi que de M. E...H..., Garde des sceaux, ministre de la justice et des libertés, de M. A...M..., ministre de l'intérieur, de l'outre-mer, des collectivités territoriales et de l'immigration, de Mme K...G..., ministre de l'économie, des finances et de l'industrie et de M. I...B..., ministre du budget, des comptes publics, de la fonction publique et de la réforme de l'Etat, porte-parole du Gouvernement ; qu'ainsi le moyen tiré de l'absence de signature du décret par son auteur manque en fait ;

4. Considérant que si la SAS société OVH soutient que le décret attaqué serait entaché d'irrégularité du fait de la composition irrégulière de la Commission nationale de contrôle des interceptions de sécurité (CNCIS), de la Commission nationale de l'informatique et des libertés (CNIL) et de l'Autorité de régulation des communications électroniques et des postes (ARCEP), qui ont été consultées préalablement pour avis, elle n'apporte au soutien de ses allégations aucune précision permettant d'en apprécier le bien-fondé ; que, par suite, ce moyen ne peut être accueilli ;

5. Considérant que si l'association " Internet sans Frontière " soutient que le numéro d'enregistrement du décret attaqué dans le système normalisé de numérotation des textes officiels français publiés au Journal officiel de la République française, dit numéro " NOR ", n'est pas cohérent avec la date de signature de ce décret, une telle incohérence, à la supposer avérée, est en tout état de cause sans incidence sur la légalité de ce dernier ;

Sur la légalité interne du décret attaqué :

6. Considérant qu'aux termes de l'article 6 de la loi du 21 juin 2004 : " I.-1. Les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne informent leurs abonnés de l'existence de moyens techniques permettant de restreindre l'accès à certains services ou de les sélectionner et leur proposent au moins un de ces moyens./ Les personnes visées à l'alinéa précédent les informent également de l'existence de moyens de sécurisation permettant de prévenir les manquements à l'obligation définie à l'article L. 336-3 du code de la propriété intellectuelle et leur proposent au moins un des moyens figurant sur la liste prévue au deuxième alinéa de l'article L. 331-26 du même code./ 2. Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d'un destinataire de ces services si elles n'avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l'accès impossible./ L'alinéa précédent ne s'applique pas lorsque le destinataire du service agit sous l'autorité ou le contrôle de la personne visée audit alinéa (...) II.- Les personnes mentionnées aux 1 et 2 du I détiennent et conservent les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires (...) Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, définit les données mentionnées au premier alinéa et détermine la durée et les modalités de leur conservation/ II bis - Afin de prévenir les actes de terrorisme, les agents individuellement désignés et dûment habilités des services de police et de gendarmerie nationales spécialement chargés de ces missions peuvent exiger des prestataires mentionnés aux 1 et 2 du I la communication des données conservées et traitées par ces derniers en application du présent article./ Les demandes des agents sont motivées et soumises à la décision de la personnalité qualifiée instituée par l'article L. 34-1-1 du code des postes et des communications électroniques selon les modalités prévues par le même article. (...)/ Les modalités d'application des dispositions du présent II bis sont fixées par décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés et de la Commission nationale de contrôle des interceptions de sécurité, qui précise notamment la procédure de suivi des demandes et les conditions et durée de conservation des données transmises " ; que le décret attaqué a été pris pour l'application des dispositions du dernier alinéa du II et du II bis de l'article 6 de la loi du 21 juin 2004 ;

En ce qui concerne la méconnaissance de l'article 34 de la Constitution et du principe de légalité des délits et des peines :

7. Considérant que le moyen tiré de la non-conformité à la Constitution des dispositions précitées de l'article 6 de la loi du 21 juin 2004 ne peut être accueilli, faute d'avoir été présenté par un écrit distinct et motivé, comme le prescrit à peine d'irrecevabilité l'article 23-5 de l'ordonnance du 7 novembre 1958 portant loi organique sur le Conseil constitutionnel ; qu'en tout état de cause, le Conseil constitutionnel a déclaré cet article conforme à la Constitution dans ses décisions n° 2004-496 DC du 10 juin 2004 et n° 2005-532 DC du 19 janvier 2006 ;

8. Considérant que l'article 1er du décret attaqué énumère les données mentionnées au II de l'article 6 de la loi du 21 juin 2004 que les personnes sont tenues de conserver en vertu de ces dispositions, pour chaque connexion de leurs abonnés concernant les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne, pour chaque opération de création concernant les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services, et à la souscription d'un contrat par un utilisateur ou lors de la création d'un compte concernant l'ensemble de ces personnes ; qu'en définissant ainsi la nature des données collectées par les fournisseurs d'accès internet et les hébergeurs, ainsi que le moment de leur collecte, le décret attaqué se borne à établir la liste limitative des données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont ceux-ci sont prestataires et qui doivent être conservées, conformément au souhait du législateur tel qu'exprimé au dernier alinéa du II de l'article 6 de la loi du 21 juin 2004 ; que, par suite, n'est pas fondé le moyen tiré de ce que les dispositions de l'article 1er du décret attaqué relèveraient de la loi et seraient entachées d'incompétence ;

9. Considérant qu'il est soutenu que le décret attaqué méconnaîtrait les dispositions de l'article 34 de la Constitution, dans la mesure où il prévoirait des sanctions pénales sanctionnant la méconnaissance de l'obligation de conservation des données faites aux fournisseurs d'accès internet et aux hébergeurs ; que toutefois ce moyen ne saurait être accueilli dès lors que ces sanctions résultent des dispositions du VI.-1. de l'article 6 de la loi du 21 juin 2004 aux termes desquelles " est puni d'un an d'emprisonnement et de 75 000 euros d'amende le fait, pour une personne physique ou le dirigeant de droit ou de fait d'une personne morale exerçant l'une des activités définies aux 1 et 2 du I (...) de ne pas avoir conservé les éléments d'information visés au II (...) " ; que, pour le même motif, le moyen tiré de la violation par le décret attaqué du principe de légalité des délits et des peines ne peut qu'être écarté ;

En ce qui concerne la violation de l'objectif à valeur constitutionnelle d'accessibilité et d'intelligibilité de la norme :

10. Considérant que, contrairement à ce que soutient la société OVH, les données énumérées à l'article 1er du décret ne sont pas entachées d'une imprécision qui ferait obstacle à la bonne compréhension par les fournisseurs d'accès internet et les hébergeurs de leur obligation de les conserver ; que, par suite, doit être écarté le moyen tiré de la violation de l'objectif à valeur constitutionnelle d'accessibilité et d'intelligibilité de la norme ;

En ce qui concerne la méconnaissance des règles relatives à l'interdiction de l'interception des données ainsi qu'à l'information et au consentement des personnes concernées :

11. Considérant, d'une part, qu'aux termes du § 15 de la directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 : " Le secret des communications est garanti par l'article 5 de la directive 97/66/CE. Conformément à cette directive, les États membres doivent interdire tout type d'interception illicite ou la surveillance de telles communications par d'autres que les expéditeurs et les récepteurs, sauf lorsque ces activités sont légalement autorisées " ; que l'article 7 de la loi du 6 janvier 1978 dispose qu'un traitement de données à caractère personnel " doit avoir reçu le consentement de la personne concernée ou satisfaire à l'une des conditions suivantes : 1° le respect d'une obligation légale incombant au responsable du traitement (...) " ; que l'article 32 de la même loi exclut de l'obligation d'information qui incombe au responsable du traitement " les données utilisées lors d'un traitement mis en oeuvre pour le compte de l'Etat et intéressant la sûreté de l'Etat, la défense, la sécurité publique ou ayant pour objet l'exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement ", ainsi que " les traitements de données ayant pour objet la prévention, la recherche, la constatation ou la poursuite d'infractions pénales " ; que son article 41 garantit un droit d'accès indirect " lorsqu'un traitement intéresse la sûreté, la défense ou la sécurité publique " ;

12. Considérant, d'autre part, que les dispositions précitées des II et II bis de l'article 6 de la loi n° 2004-575 du 21 juin 2004, qui transpose cette directive, ont pour objet de permettre la communication, dans le cadre de réquisitions judiciaires ou administratives, de données techniques de connexion permettant l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont les fournisseurs d'accès internet et les hébergeurs sont prestataires ; qu'un tel traitement de données doit être regardé comme intéressant la sûreté, la défense ou la sécurité publique, au sens des dispositions précitées de la loi du 6 janvier 1978 ;

13. Considérant qu'il résulte de ces dispositions que c'est à bon droit que le décret attaqué pris pour l'application de ces dispositions, qui fixe la liste limitative des données qui doivent devant être conservées par les fournisseurs d'accès internet et les hébergeurs, ainsi que la durée de leur conservation et les modalités de leur communication, ne prévoit ni d'informer, ni de recueillir le consentement des personnes concernées par les données collectées pour les finalités du traitement, sous le contrôle de la Commission nationale de contrôle des interceptions de sécurité (CNCIS) et de la Commission nationale de l'informatique et des libertés (CNIL) ;

14. Considérant qu'il résulte de ce qui précède que les requérants ne sont pas fondés à demander l'annulation du décret qu'ils attaquent ;

Sur les conclusions présentées au titre des dispositions de l'article L. 761-1 du code de justice administrative :

15. Considérant que les dispositions de l'article L. 761-1 du code de justice administrative font obstacle à ce qu'une somme soit mise à ce titre à la charge de l'Etat qui n'est pas, dans la présente instance, la partie perdante ;



D E C I D E :
--------------
Article 1er : Les conclusions de M. J...tendant à la modification de la Constitution sont rejetées comme étant portées devant une juridiction incompétente pour en connaître.
Article 2 : Les requêtes de M.J..., de l'association " Internet sans Frontière " et de la société OVH tendant à l'annulation du décret n° 2011-219 du 25 février 2011 sont rejetées.
Article 3 : Le surplus des conclusions de la société OVH est rejeté.
Article 4 : La présente décision sera notifiée à M. D...J..., à l'association " Internet sans Frontière ", à la société par actions simplifiée OVH et à la Commission nationale de l'informatique et des libertés.
Copie en sera adressée pour information au Premier ministre.