En l’espèce, M. X., l’association Internet sans frontière et une société ont formé un pourvoi en cassation devant le Conseil d’Etat. Ils demandent l’annulation pour excès de pouvoir des articles 1er à 9 du décret du 25 septembre 2011, relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne. Ils ont notamment invoqué la violation de l’article 7 de la loi Informatique et Libertés, qui dispose qu’un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou le respect d’une obligation légale du responsable du traitement. Ils soutiennent également que le décret a été pris en violation du principe de légalité des délits et des peines.
Dans un arrêt du 20 novembre 2013, le Conseil d’Etat rejette la demande d’annulation du décret sur la conservation des données d’identification et confirme ainsi sa légalité.
Le Conseil d’Etat refuse d’admettre le moyen tiré de la violation par le décret attaqué du principe de légalité des délits et des peines, puisque les sanctions pénales prévues à l’égard des fournisseurs d’accès internet et des hébergeurs ayant méconnu leur obligation de conservation des données, résulte des dispositions de l’article 6 de la loi du 21 juin 2004.
Le Conseil d’Etat relève que la loi Informatique et Libertés de 1978 prévoit, dans son article 32, une exception au principe d’obligation d’information pour « les données utilisées lors d’un traitement mis en œuvre pour le compte de l’Etat et intéressant la sûreté de l’Etat, la défense, la sécurité publique ou ayant pour objet l’exécution de condamnations pénales ou de mesures de sûreté, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement », ainsi que « les traitements de données ayant pour objet la prévention, la recherche, la constatation ou la poursuite d’infractions pénales ».
Or, selon le Conseil d’Etat, un traitement qui a pour objet de permettre la communication de données techniques de connexion permettant l’identification de personnes ayant contribué à la mise en ligne de contenus, dans le cadre de réquisitions judiciaires ou administratives relève de la défense ou de la sécurité publique, au sens de la loi Informatique et Libertés.
Le Conseil d’Etat conclut en relevant que le décret attaqué fixe la liste limitative des données qui doivent être conservées par les fournisseurs d’accès internet et les hébergeurs, ainsi que la durée de leur conservation et les modalités de leur communication. Or, le Conseil d’Etat retient que ce décret ne prévoit pas d’informer ou de recueillir le consentement des personnes concernées par les données collectées pour les finalités du traitement sous le contrôle de la Commission nationale de contrôle des interceptions de sécurité (CNCIS) et de la Commission nationale de l’informatique et des libertés (Cnil).
03/12/2013