L'article 64 B du code des douanes autorise la communication de l'ensemble des informations relatives à la circulation et à l’état des véhicules aux fonctionnaires des douanes, sur leur demande. D'une part, eu égard à la nature des données auxquelles ces agents peuvent ainsi accéder et à l'ampleur des traitements dont elles peuvent faire l'objet, ces dispositions mettent en cause les règles relatives aux « garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques », placées par l'article 34 de la Constitution dans le domaine de la loi. D'autre part, en instituant un droit de communication en vue de faciliter la recherche et la constatation d'infractions, ces dispositions figurent au nombre des règles concernant « la procédure pénale ». Par suite, elles ont un caractère législatif.

Dispositions conférant aux agents de la Haute autorité pour la diffusion des œuvres et la protection des droits sur internet (Hadopi) le droit d'obtenir communication et copie des données de connexion détenues par les opérateurs de communication électronique. En adoptant ces dispositions, le législateur a entendu renforcer la lutte contre les pratiques de contrefaçon sur internet, qui répond à l'objectif de sauvegarde de la propriété intellectuelle. En outre, ce droit de communication, qui n'est pas assorti d'un pouvoir d'exécution forcée, ne s'applique qu'aux agents publics de la Haute autorité, dûment habilités et assermentés, qui sont soumis, dans l'utilisation de ces données, au secret professionnel. Enfin, le troisième alinéa de l'article L. 331‑21 du code de la propriété intellectuelle subordonne son exercice aux nécessités de la procédure mise en œuvre par la commission de protection des droits. Toutefois, ce droit de communication peut s'exercer sur toutes les données de connexion détenues par les opérateurs de communication électronique. Or, compte tenu de leur nature et des traitements dont elles peuvent faire l'objet, de telles données fournissent sur les personnes concernées des informations nombreuses et précises, particulièrement attentatoires à leur vie privée. Elles ne présentent pas non plus nécessairement de lien direct avec le manquement à l'obligation de respect du droit d'auteur et des droits voisins énoncée à l'article L. 336‑3 du code de la propriété intellectuelle. Il résulte de ce qui précède que, dans ces conditions, le législateur n'a pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation qui ne soit pas manifestement déséquilibrée entre le droit au respect de la vie privée et l'objectif de sauvegarde de la propriété intellectuelle.

En autorisant, pour les nécessités d'une enquête ou d'une information relative à une infraction relevant de la criminalité ou de la délinquance organisée, le recours à des dispositifs techniques permettant d'accéder à données informatiques, de les enregistrer, de les conserver et de les transmettre telles qu'elles sont reçues et émises par des périphériques, y compris non audiovisuels, le législateur n'a pas méconnu le droit au respect de la vie privée.

La liberté proclamée par l'article 2 de la Déclaration de 1789 implique le droit au respect de la vie privée. Ce droit requiert que soit observée une particulière vigilance dans la transmission des informations nominatives à caractère médical entre les médecins prescripteurs, les professionnels de santé et les organismes de sécurité sociale. Il appartient toutefois au législateur de concilier, d'une part, le droit au respect de la vie privée et, d'autre part, les exigences de valeur constitutionnelle qui s'attachent tant à la protection de la santé qu'à l'équilibre financier de la sécurité sociale.

Les dispositions contestées permettent à l'autorité administrative, pour la prévention du terrorisme, d'obtenir le recueil en temps réel des données de connexion relatives, d'une part, à une personne préalablement identifiée susceptible d'être en lien avec une menace et, d'autre part, aux personnes appartenant à l'entourage de la personne concernée par l'autorisation lorsqu'il y a des raisons sérieuses de penser qu'elles sont susceptibles de fournir des informations au titre de la finalité qui motive l'autorisation. Cette technique de recueil de renseignement est autorisée pour une durée de quatre mois renouvelable, conformément à l'article L. 821‑4 du code de la sécurité intérieure.

D'une part, le recueil des données de connexion en temps réel ne peut être mis en œuvre que pour les besoins de la prévention du terrorisme. Ne peuvent, par ailleurs, être recueillis que les informations ou documents traités ou conservés par les opérateurs de télécommunication, les fournisseurs d'accès à un service de communication au public en ligne ou les hébergeurs de contenu sur un tel service.

D'autre part, cette technique de recueil de renseignement s'exerce dans les conditions prévues au chapitre Ier du titre II du livre VIII du code de la sécurité intérieure. En vertu de l'article L. 821‑4 de ce code, elle est autorisée par le Premier ministre ou les collaborateurs directs auxquels il a délégué cette compétence, sur demande écrite et motivée du ministre de la défense, du ministre de l'intérieur ou des ministres chargés de l'économie, du budget ou des douanes, après avis préalable de la Commission nationale de contrôle des techniques de renseignement. Elle est autorisée pour une durée de quatre mois renouvelable. En vertu du paragraphe II de l'article L. 851‑2, la procédure d'urgence absolue prévue à l'article L. 821‑5 de ce code n'est pas applicable. En application de l'article L. 871‑6 du même code, les opérations matérielles nécessaires à la mise en place de la technique mentionnée à l'article L. 851‑2 ne peuvent être exécutées, dans leurs réseaux respectifs, que par des agents qualifiés des services ou organismes placés sous l'autorité ou la tutelle du ministre chargé des communications électroniques ou des exploitants de réseaux ou fournisseurs de services de télécommunications.

Enfin, cette technique de renseignement est réalisée sous le contrôle de la Commission nationale de contrôle des techniques de renseignement. La composition et l'organisation de cette autorité administrative indépendante sont définies aux articles L. 831‑1 à L. 832‑5 du code de la sécurité intérieure dans des conditions qui assurent son indépendance. Ses missions sont définies aux articles L. 833‑1 à L. 833‑11 du même code dans des conditions qui assurent l'effectivité de son contrôle. Conformément aux dispositions de l'article L. 841‑1 du même code, le Conseil d'État peut être saisi par toute personne souhaitant vérifier qu'aucune technique de recueil de renseignement n'est irrégulièrement mise en œuvre à son égard ou par la Commission nationale de contrôle des techniques de renseignement.

Il résulte de ce qui précède que le législateur a assorti la procédure de réquisition des données de connexion, lorsqu'elle s'applique à une personne préalablement identifiée susceptible d'être en lien avec une menace, de garanties propres à assurer une conciliation qui n'est pas manifestement déséquilibrée entre, d'une part, la prévention des atteintes à l'ordre public et celle des infractions et, d'autre part, le droit au respect de la vie privée.

La Constitution n'exclut pas la possibilité pour le législateur de prévoir un régime d'état d'urgence. Il lui appartient, dans ce cadre, d'assurer la conciliation entre, d'une part, la sauvegarde des atteintes à l'ordre public et, d'autre part, le respect des droits et libertés reconnus à tous ceux qui résident sur le territoire de la République. Parmi ces droits et libertés figure le droit au respect de la vie privée, en particulier de l'inviolabilité du domicile, protégé par l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789.

Des dispositions instituant une procédure de Réquisition administrative de données de connexion excluant l'accès au contenu des correspondances ne sauraient méconnaître le droit au secret des correspondances.

Par la création d'un traitement de données à caractère personnel recensant les crédits à la consommation accordés aux personnes physiques n'agissant pas pour des besoins professionnels, le législateur a poursuivi un motif d'intérêt général de prévention du surendettement.

Toutefois, ce registre national est destiné à comprendre des données à caractère personnel d'un très grand nombre de personnes (plus de 12 millions), la durée de conservation est de plusieurs années (toute la durée du crédit ou du plan de surendettement), les motifs de consultation sont très nombreux (octroi d'un crédit à la consommation ou d'un prêt sur gage corporel, reconduction d'un contrat de crédit renouvelable, vérification triennale de solvabilité de l'emprunteur, vérification relative aux personnes se portant caution d'un prêt à la consommation …) et plusieurs dizaines de milliers d'agents des établissements de crédit seront habilités à consulter le registre.

Compte tenu de la nature des données enregistrées, de l'ampleur du traitement de données, de la fréquence de son utilisation, du grand nombre de personnes susceptibles d'y avoir accès et de l'insuffisance des garanties relatives à l'accès au registre, la création du registre national des crédits aux particuliers porte une atteinte au droit au respect de la vie privée qui ne peut être regardée comme proportionnée au but poursuivi.

La liberté proclamée par l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789 implique le droit au respect de la vie privée. Par suite, la collecte, l'enregistrement, la conservation, la consultation et la communication de données à caractère personnel doivent être justifiés par un motif d'intérêt général et mis en œuvre de manière adéquate et proportionnée à cet objectif.

Aucune norme constitutionnelle ne s'oppose par principe à l'utilisation à des fins administratives de données nominatives recueillies dans le cadre d'activités de police judiciaire. Toutefois, cette utilisation méconnaîtrait les exigences résultant des articles 2, 4, 9 et 16 de la Déclaration de 1789 si, par son caractère excessif, elle portait atteinte aux droits ou aux intérêts légitimes des personnes concernées.

L’article 12, paragraphe 1, du Traité instituant la communauté européenne (TCE) s’oppose à l’instauration par un État membre d’un système de traitement de données à caractère personnel spécifique aux citoyens de l’Union non‑ressortissants de cet État membre dans l’objectif de lutte contre la criminalité. Un tel traitement méconnaît le principe de non‑discrimination.

L'article 50 de la Charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens qu'il ne s'oppose pas à ce qu'une entreprise soit poursuivie, par l'autorité de concurrence d'un État membre, et se voit, le cas échéant, infliger une amende pour une infraction à l'article 101 TFUE et aux dispositions correspondantes du droit national de la concurrence, en raison d'un comportement qui a eu un objet ou un effet anticoncurrentiel sur le territoire de cet État membre. Ceci alors que ce comportement a déjà été mentionné, par une autorité de concurrence d'un autre État membre, dans une décision définitive que celle‑ci a adoptée, à l'égard de cette entreprise, au terme d'une procédure d'infraction à l'article 101 TFUE et aux dispositions correspondantes du droit de la concurrence de cet autre État membre, pour autant que cette décision ne repose pas sur le constat d'un objet ou d'un effet anticoncurrentiel sur le territoire du premier État membre.

1) La conservation et le stockage automatiques et continus du contenu de toutes les communications Internet (communications vocales, textuelles, visuelles, sonores, vidéo ou d'autres communications électroniques) pendant une durée de six mois et des données de connexion correspondantes pendant une durée d'un an. Elle concerne tous les utilisateurs, même en l'absence de soupçon raisonnable de participation à des activités criminelles ou à des activités mettant en danger la sécurité nationale, ou de toute autre raison de penser que la conservation des données peut contribuer à la lutte contre les formes graves de criminalité ou à la protection de la sécurité nationale. Il n'y a aucune limitation du champ d'application de la mesure en termes d'application territoriale ou temporelle ou de catégories de personnes susceptibles de voir leurs données à caractère personnel conservées. La Cour conclut que l'ingérence est exceptionnellement étendue et grave. La législation ne peut être considérée comme nécessaire dans une société démocratique et porte atteinte à l'essence même du droit au respect de la vie privée garanti par le article 8 de la Convention. L'État défendeur a donc outrepassé toute marge d'appréciation acceptable à cet égard.

2) Contrairement à la législation en cause qui prévoit un accès direct aux communications Internet par les services de sécurité sans autorisation judiciaire préalable, la Cour recommande une obligation de présenter une autorisation au fournisseurs de services de communication avant d'obtenir l'accès aux communications d'une personne en ce qu'elle constitue une garantie importante contre les abus des autorités répressives, en veillant à ce qu'une autorisation en bonne et due forme soit obtenue dans tous les cas de surveillance secrète.

3) L'obligation légale de déchiffrer les communications chiffrées de bout en bout risque d'équivaloir à une obligation pour les fournisseurs de tels services d'affaiblir le mécanisme d'encryption pour tous les utilisateurs et n'est donc pas proportionnée aux buts légitimes poursuivis.

Dans une jurisprudence constante, la Cour EDH juge que la conservation de photographies par la police, combinée à la possibilité de leur appliquer des techniques de reconnaissance faciale, constitue une ingérence dans l'exercice du droit à la vie privée. La Cour rappelle également qu'il est essentiel, dans le cadre de la mise en œuvre de la technologie de reconnaissance faciale, de disposer de règles détaillées régissant la portée et l'application des mesures ainsi que de garanties solides contre le risque d'abus et d'arbitraire. La nécessité de disposer de garanties est d'autant plus grande lorsque la technologie de reconnaissance faciale est utilisée en temps réel.

De telles mesures, particulièrement intrusives, requièrent un niveau élevé de justification pour qu'elles puissent être considérées comme « nécessaires dans une société démocratique », le niveau de justification le plus élevé étant requis pour l'utilisation de cette technologie.

Il ressort de la jurisprudence établie que les considérations liées à la vie privée entrent en jeu dans les situations où des informations ont été recueillies sur une personne bien précise, où des données à caractère personnel ont été traitées ou utilisées et où les éléments en question avaient été rendus publics d'une manière ou dans une mesure excédant ce à quoi les intéressés pouvaient raisonnablement s'attendre (Uzun c. Allemagne, n° 35623/05 §§ 44 – 46, CEDH 2010; voir également Rotaru c. Roumanie, précité, §§ 43 – 44, P.G. et J.H. c. Royaume‑Uni, précité, § 57, Amann, précité, §§ 65 – 67, et M.N. et autres c. Saint‑Marin, n° 28005/12 §§ 52 - 53, 7 juillet 2015).

La protection des données à caractère personnel joue un rôle fondamental pour l'exercice du droit au respect de la vie privée et familiale consacré par le article 8 de la Convention. La législation interne doit donc ménager des garanties appropriées pour empêcher toute utilisation de données à caractère personnel qui ne serait pas conforme aux garanties prévues dans cet article (S. et Marper, précité, § 103). Le article 8 de la Convention consacre donc le droit à une forme d'auto‑détermination informationnelle, qui autorise les personnes à invoquer leur droit à la vie privée en ce qui concerne des données qui, bien que neutres, sont collectées, traitées et diffusées à la collectivité, selon des formes ou modalités telles que leurs droits au titre de l'article 8 peuvent être mis en jeu.

Le simple fait de mémoriser des données relatives à la vie privée d'un individu constitue une ingérence au sens de l'article 8 de la Convention européenne des droits de l'homme qui garantit le droit au respect de la vie privée et familiale, du domicile et de la correspondance [...]. Peu importe que les informations mémorisées soient ou non utilisées par la suite [...]. Toutefois, pour déterminer si les informations à caractère personnel conservées par les autorités font entrer en jeu un aspect de la vie privée [...], la Cour européenne des droits de l'homme tiendra dûment compte du contexte particulier dans lequel ces informations ont été recueillies et conservées, de la nature des données consignées, de la manière dont elles sont utilisées et traitées et des résultats qui peuvent en être tirés.

Considérant qu'aux termes de l'article 5 de la convention pour la protection des personnes à l'égard du traitement automatisé de données à caractère personnel signée à Strasbourg le 28 janvier 1981, ratifiée en vertu de la loi du 19 octobre 1982 et publiée au Journal officiel en vertu du décret du 15 novembre 1985 : « les données à caractère personnel faisant l'objet d'un traitement automatisé sont : adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées ». Considérant que, pour l'application de ces stipulations, les données pertinentes au regard de la finalité d'un traitement automatisé d'informations nominatives sont celles qui sont en adéquation avec la finalité du traitement et qui sont proportionnées à cette finalité.

Considérant, en deuxième lieu, que les Articles 6 et 9 de la convention pour la protection des personnes à l’égard du traitement automatisé de données à caractère personnel signée à Strasbourg le 28 janvier 1981, ratifiée en vertu de la loi du 19 octobre 1982 et publiée au Journal Officiel en vertu du décret du 15 novembre 1985, n’autorisent le traitement des données nominatives qui font apparaître les origines raciales ou les opinions politiques, les convictions religieuses ou autres convictions, les données à caractère personnel relatives à la santé ou à la vie sexuelle que si ce traitement dérogatoire prévu « par la loi de la partie » constitue une mesure nécessaire, dans une société démocratique : a) à la protection de l’État, à la sûreté publique, aux intérêts monétaires de l’État ou à la répression des infractions pénales…

1) Il résulte des dispositions de l'article 2 de la loi n° 78‑17 du 6 janvier 1978, dans sa rédaction issue de la loi n° 2004‑801 du 6 août 2004, que cette loi s'applique y compris aux traitements non automatisés de données à caractère personnel, entendus comme toute opération ou ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.

2) Par suite, la collecte, la conservation et la consultation des empreintes digitales effectuées sur le fondement de l'article 5 du décret n° 55‑1397 du 22 octobre 1955 instituant la carte nationale d'identité, sous la responsabilité du ministre de l'intérieur, entrent dans le champ d'application de la loi du 6 janvier 1978, nonobstant la circonstance que ces fichiers ne sont pas numérisés et qu'ils ne sont constitués et conservés qu'au seul niveau des préfectures, pour l'arrondissement du chef‑lieu d'un département, ou des sous‑préfectures, et des consulats.

L'article 16, paragraphe 2, première phrase, TFUE et l'article 2, paragraphe 2, sous a) du RGPD doivent être interprétés en ce qu'une activité ne saurait être considérée comme située en dehors du champ d'application du droit de l'Union et comme échappant dès lors à l'application de ce règlement pour la seule raison qu'elle est exercée par une commission d'enquête mise en place par le parlement d'un État membre dans l'exercice de son pouvoir de contrôle du pouvoir exécutif.

L'article 2, paragraphe 2, sous a) du RGPD, lu à la lumière du considérant 16 de ce règlement, doit être interprété en ce que ne sauraient être considérées, en tant que telles, comme des activités relatives à la sécurité nationale situées en dehors du champ d'application du droit de l'Union, au sens de cette disposition, les activités d'une commission d'enquête mise en place par le parlement d'un État membre dans l'exercice de son pouvoir de contrôle du pouvoir exécutif, ayant pour objet d'enquêter sur les activités d'une autorité policière de protection de l'État en raison d'un soupçon d'influence politique sur cette autorité.