Conseil d'État
N° 428028
ECLI:FR:CECHR:2021:428028.20211230
Inédit au recueil Lebon
10ème - 9ème chambres réunies
Mme Myriam Benlolo Carabot, rapporteur
M. Arnaud Skzryerbak, rapporteur public
Lecture du jeudi 30 décembre 2021
Vu la procédure suivante :
Par une requête et un mémoire complémentaire, enregistrés les 14 février et 14 mai 2019 au secrétariat du contentieux du Conseil d'Etat, la Quadrature du Net, Franciliens.Net et la Fédération des fournisseurs d'accès à internet associatifs demandent au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir le décret n° 2018-1136 du 13 décembre 2018 pris pour l'application de l'article L. 2321-2-1 du code de la défense et des articles L. 33-14 et L. 36-14 du code des postes et des communications électroniques ;
2°) à titre subsidiaire, de renvoyer à la Cour de justice de l'Union européenne plusieurs questions préjudicielles portant sur l'interprétation de la directive (UE) 2016/80 du 27 avril 2016;
3°) de mettre à la charge de l'Etat la somme de 1 024 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- la Constitution ;
- la Charte des droits fondamentaux de l'Union européenne ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- le traité sur le fonctionnement de l'Union européenne ;
- le traité sur l'Union européenne ;
- la directive (CE) 2002/21 du 7mars 2002 ;
- la directive (UE) 2015/1535 du 9 septembre 2015 ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- la loi n° 2018-133 du 26 février 2018 ;
- la loi n° 2018-607 du 13 juillet 2018 ;
- le code de la défense ;
- le code des postes et des communications électroniques ;
- le code de justice administrative.
Après avoir entendu en séance publique :
- le rapport de Mme Myriam Benlolo Carabot, maître des requêtes en service extraordinaire,
- les conclusions de M. Arnaud Skzryerbak, rapporteur public ;
Considérant ce qui suit :
1. Les associations la Quadrature du Net, Franciliens.Net et la Fédération des fournisseurs d'accès à internet associatifs demandent au Conseil d'Etat d'annuler pour excès de pouvoir le décret du 13 décembre 2018 pris pour l'application de l'article L. 2321-2-1 du code de la défense et des articles L. 33-14 et L. 36-14 du code des postes et des communications électroniques, issus de l'article 34 de la loi du 13 juillet 2018 relative à la programmation militaire pour les années 2019 à 2025 et portant diverses dispositions intéressant la défense. Ces dispositions législatives ont pour objet de permettre aux opérateurs de communications électroniques de recourir sur les réseaux qu'ils exploitent à des dispositifs permettant de détecter les événements susceptibles d'affecter la sécurité des systèmes d'information de leurs abonnés et à l'Agence nationale pour la sécurité des systèmes d'information (ANSSI) de mettre en place les mêmes dispositifs sur les réseaux des opérateurs et des hébergeurs en cas de menace sur les systèmes d'information des autorités publiques et de certains opérateurs économiques.
Sur la question prioritaire de constitutionnalité soulevée par l'association La Quadrature du Net et autres :
2. Aux termes du premier alinéa de l'article 23-5 de l'ordonnance du 7 novembre 1958 portant loi organique sur le Conseil constitutionnel : " Le moyen tiré de ce qu'une disposition législative porte atteinte aux droits et libertés garantis par la Constitution peut être soulevé (...) à l'occasion d'une instance devant le Conseil d'Etat (...) ". Il résulte des dispositions de ce même article que le Conseil constitutionnel est saisi de la question prioritaire de constitutionnalité à la triple condition que la disposition contestée soit applicable au litige ou à la procédure, qu'elle n'ait pas déjà été déclarée conforme à la Constitution dans les motifs et le dispositif d'une décision du Conseil constitutionnel, sauf changement des circonstances, et que la question soit nouvelle ou présente un caractère sérieux.
3. L'article L. 2321-2-1 du code de la défense dispose que : " Lorsqu'elle a connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 ou des opérateurs mentionnés à l'article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, l'autorité nationale de sécurité des systèmes d'information peut mettre en oeuvre, sur le réseau d'un opérateur de communications électroniques ou sur le système d'information d'une personne mentionnée aux 1 ou 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, des dispositifs mettant en oeuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information des autorités publiques et opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du présent code ou à l'article 5 de la loi n° 2018-133 du 26 février 2018 précitée. Ces dispositifs sont mis en oeuvre pour la durée et dans la mesure strictement nécessaire à la caractérisation de la menace. / Les agents de l'autorité nationale de sécurité des systèmes d'information individuellement désignés et spécialement habilités sont autorisés, aux seules fins de prévenir et de caractériser la menace affectant les systèmes d'information des autorités publiques ou des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du présent code ou des opérateurs mentionnés à l'article 5 de la loi n° 2018-133 du 26 février 2018 précitée, à procéder au recueil et à l'analyse des seules données techniques pertinentes, à l'exclusion de toute autre exploitation. / Les données techniques recueillies directement par l'autorité nationale de sécurité des systèmes d'information en application du premier alinéa du présent article ou obtenues en application du deuxième alinéa de l'article L. 2321-3 ne peuvent être conservées plus de dix ans. / Les données recueillies autres que celles directement utiles à la prévention et à la caractérisation des menaces sont immédiatement détruites. / Un décret en Conseil d'Etat définit les modalités d'application du présent article. ".
4. Aux termes de l'article L. 33-14 du code des postes et des communications électroniques : " Pour les besoins de la sécurité et de la défense des systèmes d'information, les opérateurs de communications électroniques peuvent recourir, sur les réseaux de communications électroniques qu'ils exploitent, après en avoir informé l'autorité nationale de sécurité des systèmes d'information, à des dispositifs mettant en oeuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information de leurs abonnés. / A la demande de l'autorité nationale de sécurité des systèmes d'information, lorsque celle-ci a connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information, les opérateurs de communications électroniques ayant mis en oeuvre les dispositifs prévus au premier alinéa procèdent, aux fins de prévenir la menace, à leur exploitation, en recourant, le cas échéant, à des marqueurs techniques que cette autorité leur fournit. / Par dérogation au II de l'article L. 34-1, les opérateurs de communications électroniques sont autorisés à conserver, pour une durée maximale de six mois, les données techniques strictement nécessaires à la caractérisation d'un évènement détecté par les dispositifs mentionnés au premier alinéa du présent article. Les données recueillies dans le cadre de l'exploitation de ces dispositifs autres que celles directement utiles à la prévention et à la caractérisation des menaces sont immédiatement détruites. / Lorsque sont détectés des événements susceptibles d'affecter la sécurité des systèmes d'information, les opérateurs de communications électroniques en informent sans délai l'autorité nationale de sécurité des systèmes d'information. / A la demande de l'autorité nationale de sécurité des systèmes d'information, les opérateurs de communications électroniques informent leurs abonnés de la vulnérabilité de leurs systèmes d'information ou des atteintes qu'ils ont subies. / Les modalités d'application du présent article sont précisées par décret en Conseil d'Etat. Celui-ci détermine notamment les catégories de données pouvant être conservées par les opérateurs de communications électroniques. ".
5. L'article L. 36-14 du code des postes et des télécommunications électroniques confie à la formation de règlement des différends, de poursuite et d'instruction de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) la mission de contrôle de l'ANSSI. Il dispose que la formation de règlement des différends, de poursuite et d'instruction de l'ARCEP : " 1° Est informée sans délai, par l'autorité nationale de sécurité des systèmes d'information, des mesures mises en oeuvre en application de l'article L. 2321-2-1 du code de la défense ainsi que des demandes formulées en application du deuxième alinéa de l'article L. 2321-3 du même code ; 2° Dispose d'un accès complet et permanent aux données recueillies ou obtenues en application des mêmes articles L. 2321-2-1 et L. 2321-3 ainsi qu'aux dispositifs de traçabilité des données collectées et peut solliciter de l'autorité nationale de sécurité des systèmes d'information tous les éléments nécessaires à l'accomplissement de sa mission ; 3° Peut, à la demande de son président, se faire assister par des experts individuellement désignés et habilités au secret de la défense nationale ; 4° Peut adresser, à tout moment, à l'autorité nationale de sécurité des systèmes d'information toute recommandation qu'elle juge nécessaire aux fins d'assurer la régularité des mesures mises en oeuvre en application des dispositions mentionnées au 1° du présent article. Elle est informée, sans délai, des suites données à ces recommandations. / Lorsque l'autorité nationale de sécurité des systèmes d'information ne donne pas suite à ces recommandations ou que la formation de règlement des différends, de poursuite et d'instruction estime insuffisantes les suites données à ces recommandations, la formation peut enjoindre à l'autorité nationale de sécurité des systèmes d'information d'interrompre les opérations ou de détruire les données mentionnées aux articles L. 2321-2-1 et L. 2321-3 du code de la défense. / Le Conseil d'Etat peut être saisi par le président de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse d'un recours lorsque l'autorité nationale de sécurité des systèmes d'information ne se conforme pas à une injonction qui lui est adressée en vertu du présent article. / L'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse remet chaque année au Gouvernement et au Parlement, dans le respect du secret de la défense nationale, un rapport d'activité sur les conditions d'exercice et les résultats du contrôle exercé au titre du présent article. / Elle peut adresser au Premier ministre, au président de l'Assemblée nationale et au président du Sénat, à tout moment, les observations qu'elle juge utiles. ".
6. Il incombe au législateur d'assurer la conciliation entre, d'une part, la sauvegarde des intérêts fondamentaux de la Nation et la prévention des atteintes à l'ordre public, nécessaires à la sauvegarde de droits et de principes de valeur constitutionnelle, et, d'autre part, l'exercice des droits et des libertés constitutionnellement garantis, au nombre desquels figurent le droit au respect de la vie privée, le droit à la protection des données personnelles et le secret des correspondances, protégés par les articles 2 et 4 de la Déclaration des droits de l'homme et du citoyen du 26 août 1789, et la liberté d'expression proclamée par son article 11. Les atteintes que la loi peut porter à ces droits et libertés doivent être justifiées par un motif d'intérêt général et être adéquates et proportionnées au regard de l'objectif poursuivi.
7. En premier lieu, il résulte des dispositions précitées aux points 3 et 4 qu'elles ont pour finalités, d'une part, en ce qui concerne l'article L. 2321-2-1 du code de la défense, la prévention et la détection de menaces susceptibles de porter atteinte à la sécurité des systèmes d'information des autorités publiques, des opérateurs nationaux d'importance vitale mentionnés aux articles L. 1332-1 et L. 1332-2 du même code ou des opérateurs offrant des services essentiels au fonctionnement de la société ou de l'économie mentionnés à l'article 5 de la loi du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, et, d'autre part, en ce qui concerne l'article L. 33-14 du code des postes et des télécommunications électroniques, la détection d'événements susceptibles d'affecter la sécurité des systèmes d'information des abonnés des opérateurs de communications électroniques. Ces dispositions, qui se bornent à prévoir la faculté ou l'obligation pour les opérateurs de communication électronique, à la seule fin de détecter des tentatives d'attaque visant des systèmes d'information et en cas de menaces sur ces derniers, de recourir à des dispositifs mettant en oeuvre des marqueurs techniques, sont ainsi justifiées par un motif d'intérêt général.
8. En deuxième lieu, l'exploitation de ces dispositifs de marqueurs techniques, dont les conditions de mise en oeuvre sont déterminées par décret en Conseil d'Etat, n'est possible, dans le cadre de l'article L. 2321-2-1 du code de la défense, que pour la durée et dans la mesure strictement nécessaire à la caractérisation de la menace, par des agents de l'ANSSI individuellement désignés et spécialement habilités. Les données recueillies autres que celles directement utiles à la prévention et à la caractérisation des menaces sont immédiatement détruites. Quant aux dispositifs prévus dans le cadre de l'article L. 33-14 du code des postes et des communications électroniques, ils ne peuvent être mis en oeuvre qu'à l'initiative des opérateurs, après information ou à la demande de l'ANSSI. La conservation des données techniques strictement nécessaires à la caractérisation d'un événement détecté est limitée à six mois et les données recueillies autres que celles directement utiles à la prévention et à la caractérisation des menaces sont immédiatement détruites. Les abonnés sont informés de la vulnérabilité de leur système d'information à la demande de l'ANSSI. Tous les dispositifs sont soumis au contrôle et au pouvoir de sanction de l'ARCEP, autorité administrative indépendante, sur le fondement des articles L. 36-11 et L. 36-14 du code des postes et des télécommunications électroniques. Il en résulte que l'association La Quadrature du Net et autres ne sont pas fondées à soutenir qu'en ne prévoyant pas de garanties appropriées et en ne définissant pas précisément les notions de " marqueur technique " et de " menace ", le législateur serait resté en-deçà de sa compétence et aurait méconnu le principe de clarté de la loi, le droit au respect de la vie privée, le droit à la protection des données personnelles, le droit au secret des correspondances et le droit à la liberté d'expression protégés par les articles 2, 4 et 11 de la Déclaration des droits de l'homme et du citoyen.
9. En troisième lieu, les dispositions contestées ne font nullement obstacle à l'exercice par les personnes concernées ou les opérateurs des voies de recours de droit commun. L'association La Quadrature du Net et autres ne sont dès lors pas fondées à soutenir qu'en ce qu'elles ne prévoient pas de mécanisme de recours, elles méconnaîtraient le droit au recours effectif garanti par l'article 16 de la Déclaration des droits de l'homme et du citoyen.
10. Il résulte de tout ce qui précède que la question prioritaire de constitutionnalité soulevée, qui n'est pas nouvelle, ne présente pas de caractère sérieux. Il n'y a pas lieu, par suite, de la renvoyer au Conseil constitutionnel.
Sur les autres moyens de la requête :
En ce qui concerne la légalité externe du décret attaqué :
11. En premier lieu, en application de l'article 5 de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information, tout Etat membre qui souhaite adopter une nouvelle règle technique au sens de cette directive ou modifier une règle technique existante doit, sauf s'il s'agit d'une simple transposition intégrale d'une norme internationale ou européenne, en informer la Commission européenne dans les conditions prévues par cet article. Constitue notamment une règle technique au sens de la directive, selon les termes du f) du 1 de son article premier, " une spécification technique ou autre exigence ou une règle relative aux services, y compris les dispositions administratives qui s'y appliquent, dont l'observation est obligatoire de jure ou de facto, pour la commercialisation, la prestation de services, l'établissement d'un opérateur de services ou l'utilisation dans un Etat membre ou dans une partie importante de cet Etat ". La " règle relative aux services " est définie au e) du même article comme : " une exigence de nature générale relative à l'accès aux activités de services (...) et à leur exercice, notamment les dispositions relatives au prestataire de services, aux services et au destinataire de services, à l'exclusion des règles qui ne visent pas spécifiquement les services définis audit point./ Aux fins de la présente définition: i) une règle est considérée comme visant spécifiquement les services de la société de l'information lorsque, au regard de sa motivation et du texte de son dispositif, elle a pour finalité et pour objet spécifiques, dans sa totalité ou dans certaines dispositions ponctuelles, de réglementer de manière explicite et ciblée ces services ". Selon le b) du même article, on entend par " service ", pour l'application de la directive : " tout service de la société de l'information, c'est-à-dire tout service presté normalement contre rémunération, à distance par voie électronique et à la demande individuelle d'un destinataire de services ". La directive précise au 3 de son article 1er qu'elle " ne s'applique pas à des règles concernant des questions qui font l'objet d'une réglementation de l'Union en matière de services de télécommunication, tels que visés par la directive 2002/21/CE du Parlement européen et du Conseil " relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques. On entend par " service de communications électroniques " pour l'application de la directive 2002/21 " le service fourni normalement contre rémunération qui consiste entièrement ou principalement en la transmission de signaux sur des réseaux de communications électroniques, y compris les services de télécommunications et les services de transmission sur les réseaux utilisés pour la radiodiffusion, mais qui exclut les services consistant à fournir des contenus à l'aide de réseaux et de services de communications électroniques ou à exercer une responsabilité éditoriale sur ces contenus; il ne comprend pas les services de la société de l'information tels que définis à l'article 1er de la directive 98/34/CE qui ne consistent pas entièrement ou principalement en la transmission de signaux sur des réseaux de communications électroniques ".
12. Les dispositions du décret attaqué, qui définissent les modalités de mise en oeuvre de dispositifs de détection sur le réseau d'un opérateur de communication électronique ou sur le système d'information d'un fournisseur de services de communication en ligne, et, à ce titre, portent notamment sur des " services de communications électroniques " au sens de la directive 2002/21 précitée, ne sont dès lors et dans cette mesure pas régies par la directive (UE) 2015/1535. En tout état de cause, en ce qu'elles portent sur la sécurité des réseaux et des systèmes d'information, elles n'ont ni pour objet ni pour effet d'interdire ou de restreindre l'accès aux services de l'information. Elles sont en outre sans incidence sur les caractéristiques du service offert au consommateur. Elles ne peuvent dès lors être regardées comme définissant une exigence de nature générale visant spécifiquement l'accès à un service de la société de l'information et son exercice ni, par suite, comme une règle technique relevant de l'article 5 de la directive 2015/1535 du 9 septembre 2015. Le moyen tiré du vice de procédure qui résulterait de l'absence de notification à la Commission européenne sur le fondement de cet article 5 doit en conséquence être écarté.
13. En second lieu, le décret attaqué ne prévoit pas la mise en oeuvre de traitements à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales et n'est donc pas régi par la directive (UE) 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l'égard de ces traitements, ni, par suite, par les articles 70-1 et suivants de la loi du 6 janvier 1978 dans leur rédaction alors applicable. Le moyen tiré de l'absence de transmission d'une étude d'impact à la Commission nationale de l'informatique et des libertés, en méconnaissance des articles 70-1 et 70-4 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, est ainsi, et en tout état de cause, inopérant.
En ce qui concerne la légalité interne du décret attaqué :
14. En premier lieu, contrairement à ce qu'allèguent les associations requérantes, la circonstance que les dispositions contestées ne prévoiraient pas la possibilité pour les abonnés des opérateurs de communications électroniques de s'opposer à la mise en oeuvre de marqueurs techniques, lorsque celle-ci a pour finalité de les protéger contre d'éventuelles attaques informatiques et non simplement de surveiller des systèmes informatiques soupçonnés d'être impliqués dans de telles attaques, ne porte en tout état de cause par elle-même aucune atteinte à l'objectif de valeur constitutionnelle de clarté, d'intelligibilité et de prévisibilité de la norme.
15. En deuxième lieu, les traitements dont les dispositions attaquées impliquent la mise en oeuvre sont régis, selon les cas, soit, lorsqu'ils relèvent des opérateurs de communications électroniques, par le règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données (RGPD), soit, lorsqu'ils intéressent la sûreté de l'Etat, par les dispositions particulières de la loi du 6 janvier 1978 qui leurs sont applicables. Les dispositions contestées n'ont ni pour objet ni pour effet d'y déroger en ce qui concerne les conditions dans lesquelles les personnes concernées sont informées de l'existence du traitement et peuvent exercer un droit d'opposition. Le moyen tiré de la méconnaissance des articles 5 et 21 du RGPD doit en conséquence être écarté. En tout état de cause, le moyen tiré de la méconnaissance de l'article 13 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données est inopérant.
16. En troisième lieu, les définitions législatives et réglementaires données aux termes de " marqueurs " et de " menaces susceptibles de porter atteinte à la sécurité des informations " permettent d'en définir le sens et la portée. Les " marqueurs " sont définis à l'article R. 9-12-2 du code des postes et des communications électroniques, issu de l'article 2 du décret attaqué, comme des " éléments techniques caractéristiques d'un mode opératoire d'attaque informatique, permettant de détecter une activité malveillante ou d'identifier une menace ", visant " à détecter les communications ou programmes informatiques malveillants et à recueillir et analyser les seules données techniques nécessaires à la prévention et à la caractérisation des menaces ", données dont le contenu est précisé par l'article R.10-15 du même code. Il ressort en outre des deux alinéas de l'article L. 33-14 du code des postes et des communications électroniques précités, éclairés par les travaux parlementaires de l'article 34 de la loi de programmation militaire pour 2019-2025, que la notion de " menace " se définit comme tout événement susceptible de porter atteinte à la sécurité des systèmes d'information des abonnés, c'est-à-dire " toute occurrence identifiée de l'état d'un réseau indiquant une violation possible de la politique de sécurité de l'information ou un échec des mesures de sécurité ou encore une situation inconnue jusqu'alors et pouvant relever de la sécurité de l'information ". Le moyen tiré de la méconnaissance, du fait du caractère imprécis de ces termes, des dispositions de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ne peut, par suite, qu'être écarté.
17. En quatrième lieu, il résulte des dispositions citées au point 5 que le législateur a doté l'ARCEP d'un pouvoir d'information et de contrôle sur la mise en oeuvre par l'ANSSI des dispositions des articles L. 2321-2-1 et L. 2321-3 du code de la défense. L'ARCEP, qui dispose d'un accès complet et permanent aux données recueillies par l'ANSSI, exerce à l'égard de celle-ci un pouvoir de recommandation et, le cas échéant, d'injonction. Les dispositions réglementaires contestées, et notamment l'article 9-12-6 du code des postes et des communications électroniques, précisent le contenu des informations qui doivent être systématiquement transmises à l'ARCEP pour lui permettre d'exercer son contrôle. En outre, en application des dispositions du titre IV de la loi du 6 janvier 1978, un contrôle par la Commission nationale de l'informatique et des libertés est assuré pour la mise en oeuvre des dispositifs de l'article L. 33-14 du code des postes et des communications électroniques et de l'article L. 2321-2-1 du code de la défense. Il en résulte que le moyen tiré de ce que l'ARCEP n'aurait pas accès à l'ensemble des données utiles et ne serait pas à même de prendre des mesures correctrices, et de ce que serait méconnu l'article 8 de la Charte des droits fondamentaux de l'Union européenne, qui prévoit que le respect des règles relatives à la protection des données personnelles est soumis au contrôle d'une autorité indépendante, manque en tout état de cause en fait.
18. En cinquième lieu, le moyen tiré de la méconnaissance de l'article 47 de la Charte des droits fondamentaux de l'Union européenne, relatif au droit au recours effectif, au motif que les dispositions contestées n'ouvrent aucune possibilité de recours juridictionnel aux personnes concernées ou aux opérateurs, ne peut qu'être écarté pour les raisons mentionnées au point 9.
19. Enfin, les questions préjudicielles que les associations requérantes demandent au Conseil d'Etat de poser à la Cour de justice de l'Union européenne portent sur la directive (UE) 2026/680 du 27 avril 2016, qui n'est pas applicable au litige.
20. Il résulte de ce qui précède que les requêtes doivent être rejetées, y compris les conclusions présentées au titre de l'article L. 761-1 du code de justice administrative.
D E C I D E :
--------------
Article 1er : Il n'y a pas lieu de transmettre la question prioritaire de constitutionnalité soulevée par l'association La Quadrature du Net, Franciliens.Net et la Fédération des fournisseurs d'accès à internet associatifs.
Article 2 : La requête de la Quadrature du Net, de Franciliens.Net et de la Fédération des fournisseurs d'accès à internet associatifs est rejetée.
Article 3 : La présente décision sera notifiée à la Quadrature du Net, premier requérant dénommé, et au Premier ministre.
Copie en sera adressée au Conseil constitutionnel, à la ministre des armées, au ministre de l'économie, des finances et de la relance à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 17 décembre 2021 où siégeaient : M. Rémy Schwartz, président adjoint de la section du contentieux, présidant ; M. G... F..., M. Frédéric Aladjidi, présidents de chambre ; Mme I... B..., M. J... C..., Mme A... K... M. D... E..., Mme Isabelle Lemesle, conseillers d'Etat et Mme Myriam Benlolo Carabot, maître des requêtes en service extraordinaire-rapporteure.
Rendu le 30 décembre 2021.
Le président :
Signé : M. Rémy Schwartz
La rapporteure :
Signé : Mme Myriam Benlolo Carabot
La secrétaire :
Signé : Mme H... L...
N° 428028
ECLI:FR:CECHR:2021:428028.20211230
Inédit au recueil Lebon
10ème - 9ème chambres réunies
Mme Myriam Benlolo Carabot, rapporteur
M. Arnaud Skzryerbak, rapporteur public
Lecture du jeudi 30 décembre 2021
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
AU NOM DU PEUPLE FRANCAIS
Vu la procédure suivante :
Par une requête et un mémoire complémentaire, enregistrés les 14 février et 14 mai 2019 au secrétariat du contentieux du Conseil d'Etat, la Quadrature du Net, Franciliens.Net et la Fédération des fournisseurs d'accès à internet associatifs demandent au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir le décret n° 2018-1136 du 13 décembre 2018 pris pour l'application de l'article L. 2321-2-1 du code de la défense et des articles L. 33-14 et L. 36-14 du code des postes et des communications électroniques ;
2°) à titre subsidiaire, de renvoyer à la Cour de justice de l'Union européenne plusieurs questions préjudicielles portant sur l'interprétation de la directive (UE) 2016/80 du 27 avril 2016;
3°) de mettre à la charge de l'Etat la somme de 1 024 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- la Constitution ;
- la Charte des droits fondamentaux de l'Union européenne ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- le traité sur le fonctionnement de l'Union européenne ;
- le traité sur l'Union européenne ;
- la directive (CE) 2002/21 du 7mars 2002 ;
- la directive (UE) 2015/1535 du 9 septembre 2015 ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- la loi n° 2018-133 du 26 février 2018 ;
- la loi n° 2018-607 du 13 juillet 2018 ;
- le code de la défense ;
- le code des postes et des communications électroniques ;
- le code de justice administrative.
Après avoir entendu en séance publique :
- le rapport de Mme Myriam Benlolo Carabot, maître des requêtes en service extraordinaire,
- les conclusions de M. Arnaud Skzryerbak, rapporteur public ;
Considérant ce qui suit :
1. Les associations la Quadrature du Net, Franciliens.Net et la Fédération des fournisseurs d'accès à internet associatifs demandent au Conseil d'Etat d'annuler pour excès de pouvoir le décret du 13 décembre 2018 pris pour l'application de l'article L. 2321-2-1 du code de la défense et des articles L. 33-14 et L. 36-14 du code des postes et des communications électroniques, issus de l'article 34 de la loi du 13 juillet 2018 relative à la programmation militaire pour les années 2019 à 2025 et portant diverses dispositions intéressant la défense. Ces dispositions législatives ont pour objet de permettre aux opérateurs de communications électroniques de recourir sur les réseaux qu'ils exploitent à des dispositifs permettant de détecter les événements susceptibles d'affecter la sécurité des systèmes d'information de leurs abonnés et à l'Agence nationale pour la sécurité des systèmes d'information (ANSSI) de mettre en place les mêmes dispositifs sur les réseaux des opérateurs et des hébergeurs en cas de menace sur les systèmes d'information des autorités publiques et de certains opérateurs économiques.
Sur la question prioritaire de constitutionnalité soulevée par l'association La Quadrature du Net et autres :
2. Aux termes du premier alinéa de l'article 23-5 de l'ordonnance du 7 novembre 1958 portant loi organique sur le Conseil constitutionnel : " Le moyen tiré de ce qu'une disposition législative porte atteinte aux droits et libertés garantis par la Constitution peut être soulevé (...) à l'occasion d'une instance devant le Conseil d'Etat (...) ". Il résulte des dispositions de ce même article que le Conseil constitutionnel est saisi de la question prioritaire de constitutionnalité à la triple condition que la disposition contestée soit applicable au litige ou à la procédure, qu'elle n'ait pas déjà été déclarée conforme à la Constitution dans les motifs et le dispositif d'une décision du Conseil constitutionnel, sauf changement des circonstances, et que la question soit nouvelle ou présente un caractère sérieux.
3. L'article L. 2321-2-1 du code de la défense dispose que : " Lorsqu'elle a connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 ou des opérateurs mentionnés à l'article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, l'autorité nationale de sécurité des systèmes d'information peut mettre en oeuvre, sur le réseau d'un opérateur de communications électroniques ou sur le système d'information d'une personne mentionnée aux 1 ou 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, des dispositifs mettant en oeuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information des autorités publiques et opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du présent code ou à l'article 5 de la loi n° 2018-133 du 26 février 2018 précitée. Ces dispositifs sont mis en oeuvre pour la durée et dans la mesure strictement nécessaire à la caractérisation de la menace. / Les agents de l'autorité nationale de sécurité des systèmes d'information individuellement désignés et spécialement habilités sont autorisés, aux seules fins de prévenir et de caractériser la menace affectant les systèmes d'information des autorités publiques ou des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du présent code ou des opérateurs mentionnés à l'article 5 de la loi n° 2018-133 du 26 février 2018 précitée, à procéder au recueil et à l'analyse des seules données techniques pertinentes, à l'exclusion de toute autre exploitation. / Les données techniques recueillies directement par l'autorité nationale de sécurité des systèmes d'information en application du premier alinéa du présent article ou obtenues en application du deuxième alinéa de l'article L. 2321-3 ne peuvent être conservées plus de dix ans. / Les données recueillies autres que celles directement utiles à la prévention et à la caractérisation des menaces sont immédiatement détruites. / Un décret en Conseil d'Etat définit les modalités d'application du présent article. ".
4. Aux termes de l'article L. 33-14 du code des postes et des communications électroniques : " Pour les besoins de la sécurité et de la défense des systèmes d'information, les opérateurs de communications électroniques peuvent recourir, sur les réseaux de communications électroniques qu'ils exploitent, après en avoir informé l'autorité nationale de sécurité des systèmes d'information, à des dispositifs mettant en oeuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information de leurs abonnés. / A la demande de l'autorité nationale de sécurité des systèmes d'information, lorsque celle-ci a connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information, les opérateurs de communications électroniques ayant mis en oeuvre les dispositifs prévus au premier alinéa procèdent, aux fins de prévenir la menace, à leur exploitation, en recourant, le cas échéant, à des marqueurs techniques que cette autorité leur fournit. / Par dérogation au II de l'article L. 34-1, les opérateurs de communications électroniques sont autorisés à conserver, pour une durée maximale de six mois, les données techniques strictement nécessaires à la caractérisation d'un évènement détecté par les dispositifs mentionnés au premier alinéa du présent article. Les données recueillies dans le cadre de l'exploitation de ces dispositifs autres que celles directement utiles à la prévention et à la caractérisation des menaces sont immédiatement détruites. / Lorsque sont détectés des événements susceptibles d'affecter la sécurité des systèmes d'information, les opérateurs de communications électroniques en informent sans délai l'autorité nationale de sécurité des systèmes d'information. / A la demande de l'autorité nationale de sécurité des systèmes d'information, les opérateurs de communications électroniques informent leurs abonnés de la vulnérabilité de leurs systèmes d'information ou des atteintes qu'ils ont subies. / Les modalités d'application du présent article sont précisées par décret en Conseil d'Etat. Celui-ci détermine notamment les catégories de données pouvant être conservées par les opérateurs de communications électroniques. ".
5. L'article L. 36-14 du code des postes et des télécommunications électroniques confie à la formation de règlement des différends, de poursuite et d'instruction de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) la mission de contrôle de l'ANSSI. Il dispose que la formation de règlement des différends, de poursuite et d'instruction de l'ARCEP : " 1° Est informée sans délai, par l'autorité nationale de sécurité des systèmes d'information, des mesures mises en oeuvre en application de l'article L. 2321-2-1 du code de la défense ainsi que des demandes formulées en application du deuxième alinéa de l'article L. 2321-3 du même code ; 2° Dispose d'un accès complet et permanent aux données recueillies ou obtenues en application des mêmes articles L. 2321-2-1 et L. 2321-3 ainsi qu'aux dispositifs de traçabilité des données collectées et peut solliciter de l'autorité nationale de sécurité des systèmes d'information tous les éléments nécessaires à l'accomplissement de sa mission ; 3° Peut, à la demande de son président, se faire assister par des experts individuellement désignés et habilités au secret de la défense nationale ; 4° Peut adresser, à tout moment, à l'autorité nationale de sécurité des systèmes d'information toute recommandation qu'elle juge nécessaire aux fins d'assurer la régularité des mesures mises en oeuvre en application des dispositions mentionnées au 1° du présent article. Elle est informée, sans délai, des suites données à ces recommandations. / Lorsque l'autorité nationale de sécurité des systèmes d'information ne donne pas suite à ces recommandations ou que la formation de règlement des différends, de poursuite et d'instruction estime insuffisantes les suites données à ces recommandations, la formation peut enjoindre à l'autorité nationale de sécurité des systèmes d'information d'interrompre les opérations ou de détruire les données mentionnées aux articles L. 2321-2-1 et L. 2321-3 du code de la défense. / Le Conseil d'Etat peut être saisi par le président de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse d'un recours lorsque l'autorité nationale de sécurité des systèmes d'information ne se conforme pas à une injonction qui lui est adressée en vertu du présent article. / L'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse remet chaque année au Gouvernement et au Parlement, dans le respect du secret de la défense nationale, un rapport d'activité sur les conditions d'exercice et les résultats du contrôle exercé au titre du présent article. / Elle peut adresser au Premier ministre, au président de l'Assemblée nationale et au président du Sénat, à tout moment, les observations qu'elle juge utiles. ".
6. Il incombe au législateur d'assurer la conciliation entre, d'une part, la sauvegarde des intérêts fondamentaux de la Nation et la prévention des atteintes à l'ordre public, nécessaires à la sauvegarde de droits et de principes de valeur constitutionnelle, et, d'autre part, l'exercice des droits et des libertés constitutionnellement garantis, au nombre desquels figurent le droit au respect de la vie privée, le droit à la protection des données personnelles et le secret des correspondances, protégés par les articles 2 et 4 de la Déclaration des droits de l'homme et du citoyen du 26 août 1789, et la liberté d'expression proclamée par son article 11. Les atteintes que la loi peut porter à ces droits et libertés doivent être justifiées par un motif d'intérêt général et être adéquates et proportionnées au regard de l'objectif poursuivi.
7. En premier lieu, il résulte des dispositions précitées aux points 3 et 4 qu'elles ont pour finalités, d'une part, en ce qui concerne l'article L. 2321-2-1 du code de la défense, la prévention et la détection de menaces susceptibles de porter atteinte à la sécurité des systèmes d'information des autorités publiques, des opérateurs nationaux d'importance vitale mentionnés aux articles L. 1332-1 et L. 1332-2 du même code ou des opérateurs offrant des services essentiels au fonctionnement de la société ou de l'économie mentionnés à l'article 5 de la loi du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, et, d'autre part, en ce qui concerne l'article L. 33-14 du code des postes et des télécommunications électroniques, la détection d'événements susceptibles d'affecter la sécurité des systèmes d'information des abonnés des opérateurs de communications électroniques. Ces dispositions, qui se bornent à prévoir la faculté ou l'obligation pour les opérateurs de communication électronique, à la seule fin de détecter des tentatives d'attaque visant des systèmes d'information et en cas de menaces sur ces derniers, de recourir à des dispositifs mettant en oeuvre des marqueurs techniques, sont ainsi justifiées par un motif d'intérêt général.
8. En deuxième lieu, l'exploitation de ces dispositifs de marqueurs techniques, dont les conditions de mise en oeuvre sont déterminées par décret en Conseil d'Etat, n'est possible, dans le cadre de l'article L. 2321-2-1 du code de la défense, que pour la durée et dans la mesure strictement nécessaire à la caractérisation de la menace, par des agents de l'ANSSI individuellement désignés et spécialement habilités. Les données recueillies autres que celles directement utiles à la prévention et à la caractérisation des menaces sont immédiatement détruites. Quant aux dispositifs prévus dans le cadre de l'article L. 33-14 du code des postes et des communications électroniques, ils ne peuvent être mis en oeuvre qu'à l'initiative des opérateurs, après information ou à la demande de l'ANSSI. La conservation des données techniques strictement nécessaires à la caractérisation d'un événement détecté est limitée à six mois et les données recueillies autres que celles directement utiles à la prévention et à la caractérisation des menaces sont immédiatement détruites. Les abonnés sont informés de la vulnérabilité de leur système d'information à la demande de l'ANSSI. Tous les dispositifs sont soumis au contrôle et au pouvoir de sanction de l'ARCEP, autorité administrative indépendante, sur le fondement des articles L. 36-11 et L. 36-14 du code des postes et des télécommunications électroniques. Il en résulte que l'association La Quadrature du Net et autres ne sont pas fondées à soutenir qu'en ne prévoyant pas de garanties appropriées et en ne définissant pas précisément les notions de " marqueur technique " et de " menace ", le législateur serait resté en-deçà de sa compétence et aurait méconnu le principe de clarté de la loi, le droit au respect de la vie privée, le droit à la protection des données personnelles, le droit au secret des correspondances et le droit à la liberté d'expression protégés par les articles 2, 4 et 11 de la Déclaration des droits de l'homme et du citoyen.
9. En troisième lieu, les dispositions contestées ne font nullement obstacle à l'exercice par les personnes concernées ou les opérateurs des voies de recours de droit commun. L'association La Quadrature du Net et autres ne sont dès lors pas fondées à soutenir qu'en ce qu'elles ne prévoient pas de mécanisme de recours, elles méconnaîtraient le droit au recours effectif garanti par l'article 16 de la Déclaration des droits de l'homme et du citoyen.
10. Il résulte de tout ce qui précède que la question prioritaire de constitutionnalité soulevée, qui n'est pas nouvelle, ne présente pas de caractère sérieux. Il n'y a pas lieu, par suite, de la renvoyer au Conseil constitutionnel.
Sur les autres moyens de la requête :
En ce qui concerne la légalité externe du décret attaqué :
11. En premier lieu, en application de l'article 5 de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information, tout Etat membre qui souhaite adopter une nouvelle règle technique au sens de cette directive ou modifier une règle technique existante doit, sauf s'il s'agit d'une simple transposition intégrale d'une norme internationale ou européenne, en informer la Commission européenne dans les conditions prévues par cet article. Constitue notamment une règle technique au sens de la directive, selon les termes du f) du 1 de son article premier, " une spécification technique ou autre exigence ou une règle relative aux services, y compris les dispositions administratives qui s'y appliquent, dont l'observation est obligatoire de jure ou de facto, pour la commercialisation, la prestation de services, l'établissement d'un opérateur de services ou l'utilisation dans un Etat membre ou dans une partie importante de cet Etat ". La " règle relative aux services " est définie au e) du même article comme : " une exigence de nature générale relative à l'accès aux activités de services (...) et à leur exercice, notamment les dispositions relatives au prestataire de services, aux services et au destinataire de services, à l'exclusion des règles qui ne visent pas spécifiquement les services définis audit point./ Aux fins de la présente définition: i) une règle est considérée comme visant spécifiquement les services de la société de l'information lorsque, au regard de sa motivation et du texte de son dispositif, elle a pour finalité et pour objet spécifiques, dans sa totalité ou dans certaines dispositions ponctuelles, de réglementer de manière explicite et ciblée ces services ". Selon le b) du même article, on entend par " service ", pour l'application de la directive : " tout service de la société de l'information, c'est-à-dire tout service presté normalement contre rémunération, à distance par voie électronique et à la demande individuelle d'un destinataire de services ". La directive précise au 3 de son article 1er qu'elle " ne s'applique pas à des règles concernant des questions qui font l'objet d'une réglementation de l'Union en matière de services de télécommunication, tels que visés par la directive 2002/21/CE du Parlement européen et du Conseil " relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques. On entend par " service de communications électroniques " pour l'application de la directive 2002/21 " le service fourni normalement contre rémunération qui consiste entièrement ou principalement en la transmission de signaux sur des réseaux de communications électroniques, y compris les services de télécommunications et les services de transmission sur les réseaux utilisés pour la radiodiffusion, mais qui exclut les services consistant à fournir des contenus à l'aide de réseaux et de services de communications électroniques ou à exercer une responsabilité éditoriale sur ces contenus; il ne comprend pas les services de la société de l'information tels que définis à l'article 1er de la directive 98/34/CE qui ne consistent pas entièrement ou principalement en la transmission de signaux sur des réseaux de communications électroniques ".
12. Les dispositions du décret attaqué, qui définissent les modalités de mise en oeuvre de dispositifs de détection sur le réseau d'un opérateur de communication électronique ou sur le système d'information d'un fournisseur de services de communication en ligne, et, à ce titre, portent notamment sur des " services de communications électroniques " au sens de la directive 2002/21 précitée, ne sont dès lors et dans cette mesure pas régies par la directive (UE) 2015/1535. En tout état de cause, en ce qu'elles portent sur la sécurité des réseaux et des systèmes d'information, elles n'ont ni pour objet ni pour effet d'interdire ou de restreindre l'accès aux services de l'information. Elles sont en outre sans incidence sur les caractéristiques du service offert au consommateur. Elles ne peuvent dès lors être regardées comme définissant une exigence de nature générale visant spécifiquement l'accès à un service de la société de l'information et son exercice ni, par suite, comme une règle technique relevant de l'article 5 de la directive 2015/1535 du 9 septembre 2015. Le moyen tiré du vice de procédure qui résulterait de l'absence de notification à la Commission européenne sur le fondement de cet article 5 doit en conséquence être écarté.
13. En second lieu, le décret attaqué ne prévoit pas la mise en oeuvre de traitements à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales et n'est donc pas régi par la directive (UE) 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l'égard de ces traitements, ni, par suite, par les articles 70-1 et suivants de la loi du 6 janvier 1978 dans leur rédaction alors applicable. Le moyen tiré de l'absence de transmission d'une étude d'impact à la Commission nationale de l'informatique et des libertés, en méconnaissance des articles 70-1 et 70-4 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, est ainsi, et en tout état de cause, inopérant.
En ce qui concerne la légalité interne du décret attaqué :
14. En premier lieu, contrairement à ce qu'allèguent les associations requérantes, la circonstance que les dispositions contestées ne prévoiraient pas la possibilité pour les abonnés des opérateurs de communications électroniques de s'opposer à la mise en oeuvre de marqueurs techniques, lorsque celle-ci a pour finalité de les protéger contre d'éventuelles attaques informatiques et non simplement de surveiller des systèmes informatiques soupçonnés d'être impliqués dans de telles attaques, ne porte en tout état de cause par elle-même aucune atteinte à l'objectif de valeur constitutionnelle de clarté, d'intelligibilité et de prévisibilité de la norme.
15. En deuxième lieu, les traitements dont les dispositions attaquées impliquent la mise en oeuvre sont régis, selon les cas, soit, lorsqu'ils relèvent des opérateurs de communications électroniques, par le règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données (RGPD), soit, lorsqu'ils intéressent la sûreté de l'Etat, par les dispositions particulières de la loi du 6 janvier 1978 qui leurs sont applicables. Les dispositions contestées n'ont ni pour objet ni pour effet d'y déroger en ce qui concerne les conditions dans lesquelles les personnes concernées sont informées de l'existence du traitement et peuvent exercer un droit d'opposition. Le moyen tiré de la méconnaissance des articles 5 et 21 du RGPD doit en conséquence être écarté. En tout état de cause, le moyen tiré de la méconnaissance de l'article 13 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données est inopérant.
16. En troisième lieu, les définitions législatives et réglementaires données aux termes de " marqueurs " et de " menaces susceptibles de porter atteinte à la sécurité des informations " permettent d'en définir le sens et la portée. Les " marqueurs " sont définis à l'article R. 9-12-2 du code des postes et des communications électroniques, issu de l'article 2 du décret attaqué, comme des " éléments techniques caractéristiques d'un mode opératoire d'attaque informatique, permettant de détecter une activité malveillante ou d'identifier une menace ", visant " à détecter les communications ou programmes informatiques malveillants et à recueillir et analyser les seules données techniques nécessaires à la prévention et à la caractérisation des menaces ", données dont le contenu est précisé par l'article R.10-15 du même code. Il ressort en outre des deux alinéas de l'article L. 33-14 du code des postes et des communications électroniques précités, éclairés par les travaux parlementaires de l'article 34 de la loi de programmation militaire pour 2019-2025, que la notion de " menace " se définit comme tout événement susceptible de porter atteinte à la sécurité des systèmes d'information des abonnés, c'est-à-dire " toute occurrence identifiée de l'état d'un réseau indiquant une violation possible de la politique de sécurité de l'information ou un échec des mesures de sécurité ou encore une situation inconnue jusqu'alors et pouvant relever de la sécurité de l'information ". Le moyen tiré de la méconnaissance, du fait du caractère imprécis de ces termes, des dispositions de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ne peut, par suite, qu'être écarté.
17. En quatrième lieu, il résulte des dispositions citées au point 5 que le législateur a doté l'ARCEP d'un pouvoir d'information et de contrôle sur la mise en oeuvre par l'ANSSI des dispositions des articles L. 2321-2-1 et L. 2321-3 du code de la défense. L'ARCEP, qui dispose d'un accès complet et permanent aux données recueillies par l'ANSSI, exerce à l'égard de celle-ci un pouvoir de recommandation et, le cas échéant, d'injonction. Les dispositions réglementaires contestées, et notamment l'article 9-12-6 du code des postes et des communications électroniques, précisent le contenu des informations qui doivent être systématiquement transmises à l'ARCEP pour lui permettre d'exercer son contrôle. En outre, en application des dispositions du titre IV de la loi du 6 janvier 1978, un contrôle par la Commission nationale de l'informatique et des libertés est assuré pour la mise en oeuvre des dispositifs de l'article L. 33-14 du code des postes et des communications électroniques et de l'article L. 2321-2-1 du code de la défense. Il en résulte que le moyen tiré de ce que l'ARCEP n'aurait pas accès à l'ensemble des données utiles et ne serait pas à même de prendre des mesures correctrices, et de ce que serait méconnu l'article 8 de la Charte des droits fondamentaux de l'Union européenne, qui prévoit que le respect des règles relatives à la protection des données personnelles est soumis au contrôle d'une autorité indépendante, manque en tout état de cause en fait.
18. En cinquième lieu, le moyen tiré de la méconnaissance de l'article 47 de la Charte des droits fondamentaux de l'Union européenne, relatif au droit au recours effectif, au motif que les dispositions contestées n'ouvrent aucune possibilité de recours juridictionnel aux personnes concernées ou aux opérateurs, ne peut qu'être écarté pour les raisons mentionnées au point 9.
19. Enfin, les questions préjudicielles que les associations requérantes demandent au Conseil d'Etat de poser à la Cour de justice de l'Union européenne portent sur la directive (UE) 2026/680 du 27 avril 2016, qui n'est pas applicable au litige.
20. Il résulte de ce qui précède que les requêtes doivent être rejetées, y compris les conclusions présentées au titre de l'article L. 761-1 du code de justice administrative.
D E C I D E :
--------------
Article 1er : Il n'y a pas lieu de transmettre la question prioritaire de constitutionnalité soulevée par l'association La Quadrature du Net, Franciliens.Net et la Fédération des fournisseurs d'accès à internet associatifs.
Article 2 : La requête de la Quadrature du Net, de Franciliens.Net et de la Fédération des fournisseurs d'accès à internet associatifs est rejetée.
Article 3 : La présente décision sera notifiée à la Quadrature du Net, premier requérant dénommé, et au Premier ministre.
Copie en sera adressée au Conseil constitutionnel, à la ministre des armées, au ministre de l'économie, des finances et de la relance à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 17 décembre 2021 où siégeaient : M. Rémy Schwartz, président adjoint de la section du contentieux, présidant ; M. G... F..., M. Frédéric Aladjidi, présidents de chambre ; Mme I... B..., M. J... C..., Mme A... K... M. D... E..., Mme Isabelle Lemesle, conseillers d'Etat et Mme Myriam Benlolo Carabot, maître des requêtes en service extraordinaire-rapporteure.
Rendu le 30 décembre 2021.
Le président :
Signé : M. Rémy Schwartz
La rapporteure :
Signé : Mme Myriam Benlolo Carabot
La secrétaire :
Signé : Mme H... L...