Tables CNIL

Cette application facilite et enrichit la navigation dans les Tables Informatique et Libertés publiées par la CNIL. Elles assemblent l’essentiel de la jurisprudence française et européenne et des décisions pertinentes de l'autorité administrative en matière de protection des données à caractère personnel, et constituent à cet égard un outil précieux pour les DPO et les avocats

Dernière mise à jour : Version du 20/02/2026 – V 2.3 [PDF]

12 décisions

Décisions de jurisprudence

Juridiction
Toutes les juridictions

CEDH13 février 2024CEDH, 13 février 2024, Podchasov c. Russie, n° 33696/19, points 70, 73 et 79(source)

1) Législation nationale prévoyant une obligation extrêmement large de conservation de toutes les communications Internet de tous les utilisateurs Violation de l'article 8 CEDH – 2) Accès direct aux communications sans présentation d'une autorisation d'interception aux fournisseurs de services – Absence de garanties adéquates et suffisantes contre les abus liés à l'accès des autorités répressives aux communications Internet et aux données de communication connexes stockées – 3) Obligation légale de déchiffrer les communications cryptées de bout en bout – Disproportion

1) La législation contestée exige la conservation et le stockage automatiques et continus du contenu de toutes les communications Internet (communications vocales, textuelles, visuelles, sonores, vidéo ou d'autres communications électroniques) pendant une durée de six mois et des données de connexion correspondantes pendant une durée d'un an. Elle concerne tous les utilisateurs, même en l'absence de soupçon raisonnable de participation à des activités criminelles ou à des activités mettant en danger la sécurité nationale, ou de toute autre raison de penser que la conservation des données peut contribuer à la lutte contre les formes graves de criminalité ou à la protection de la sécurité nationale. Il n'y a aucune limitation du champ d'application de la mesure en termes d'application territoriale ou temporelle ou de catégories de personnes susceptibles de voir leurs données à caractère personnel conservées. La Cour conclut que l'ingérence est exceptionnellement étendue et grave. La législation ne peut être considérée comme nécessaire dans une société démocratique et porte atteinte à l'essence même du droit au respect de la vie privée garanti par le article 8 CEDH. L'État défendeur a donc outrepassé toute marge d'appréciation acceptable à cet égard.

2) Contrairement à la législation en cause qui prévoit un accès direct aux communications Internet et par les services de sécurité sans autorisation judiciaire préalable, la Cour recommande une obligation de présenter une autorisation d'interception au fournisseur de services de communication avant d'obtenir l'accès aux communications d'une personne en ce qu'elle constitue une garantie importante contre les abus des autorités répressives, en veillant à ce qu'une autorisation en bonne et due forme soit obtenue dans tous les cas de surveillance secrète.

3) L'obligation légale de déchiffrer les communications chiffrées de bout en bout risque d'équivaloir à une obligation pour les fournisseurs de tels services d'affaiblir le mécanisme de chiffrement pour tous les utilisateurs et n'est donc pas proportionnée aux buts légitimes poursuivis.

CJUE2 mars 2021CJUE, grande chambre, 2 mars 2021, Prokuratuur, C-746/18(source)

Article 15, paragraphe 1, directive 2002/58/CE 1) Législation permettant l'accès d'autorités publiques aux données de trafic et de localisation – Prévention, recherche, détection, poursuite d'infractions pénales – Illicéité en l'absence de limitation à certaines procédures – 2) Réglementation donnant compétence au ministère public pour autoriser l'accès d'une autorité publique aux données de trafic et de localisation – Illicéité

L'article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002 (directive vie privée et communications électroniques), lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens :

1) qu’il s’oppose à une réglementation nationale permettant l'accès d'autorités publiques à un ensemble de données de trafic ou de données de localisation, susceptibles de fournir des informations sur les communications effectuées par un utilisateur d'un moyen de communication électronique ou sur la localisation des équipements terminaux qu'il utilise et de permettre de tirer des conclusions précises sur sa vie privée, à des fins de prévention, recherche, détection et poursuite d'infractions pénales, sans que cet accès soit circonscrit à des procédures visant à la lutte contre la criminalité grave ou à la prévention de menaces graves contre la sécurité publique, ce indépendamment de la durée de la période pour laquelle l'accès auxdites données est sollicité et de la quantité ou de la nature des données disponibles pour une telle période ;

2) qu’il s’oppose à une réglementation nationale donnant compétence au ministère public, dont la mission est de diriger la procédure d’instruction pénale et d’exercer, le cas échéant, l’action publique lors d’une procédure ultérieure, pour autoriser l'accès d'une autorité publique aux données relatives au trafic et aux données de localisation aux fins d’une instruction pénale.

CJUE6 octobre 2020CJUE, grande chambre, 6 octobre 2020, Privacy International, C-623/17(source)

Directive 2002/58 1) Champ d'application – Réglementation nationale imposant aux fournisseurs de services de communications électroniques de transmettre des données relatives au trafic et à la localisation aux services de sécurité et de renseignement – Objectif de protection de la sécurité nationale – Inclusion – 2) Faculté pour les États membres de limiter la portée de certains droits et obligations – Réglementation nationale imposant aux fournisseurs de services de communications électroniques la transmission généralisée et indifférenciée des données relatives au trafic et à la localisation aux services de sécurité et de renseignement – Objectif de protection de la sécurité nationale – Inadmissibilité

1) L'article 1er, paragraphe 3, l'article 3 et l'article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lus à la lumière de l'article 4, paragraphe 2, TUE, doivent être interprétés en ce sens que relève du Champ d'application de cette directive une Réglementation nationale permettant à une autorité étatique d'imposer aux fournisseurs de services de communications électroniques de transmettre aux services de sécurité et de renseignement des données relatives au trafic et des données de localisation aux fins de la sauvegarde de la sécurité nationale.

2) L'article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière de l'article 4, paragraphe 2, TUE ainsi que des articles 7, 8 et 11 et de l'article 52, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens qu'il s'oppose à une Réglementation nationale permettant à une autorité étatique d'imposer, aux fins de la sauvegarde de la sécurité nationale, aux fournisseurs de services de communications électroniques la transmission généralisée et indifférenciée des données relatives au trafic et des données de localisation aux services de sécurité et de renseignement.

CJUE2 octobre 2018CJUE, grande chambre, 2 octobre 2018, Ministerio Fiscal, C-207/16(source)

Accès aux données visant à l'identification des titulaires des cartes SIM Finalité de lutte contre tout type d'infraction – Atteinte proportionnée à la vie privée

L'accès d'autorités publiques aux données visant à l'identification des titulaires des cartes SIM activées avec un téléphone mobile volé, telles que les nom, prénom et, le cas échéant, adresse de ces titulaires, comporte une ingérence dans les droits fondamentaux de ces derniers qui ne présente pas une gravité telle que cet accès devrait être limité, en matière de prévention, de recherche, de détection et de poursuite d'infractions pénales, à la lutte contre la criminalité grave.

CJUE21 décembre 2016CJUE, grande chambre, 21 décembre 2016, Tele2 Sverige, C-203/15 et C-698/15(source)

Réglementation nationale prévoyant l'accès des autorités nationales aux données relatives au trafic et des données de localisation Accès aux données non limités à des fins précises – Absence de contrôle préalable par une juridiction ou une autorité administrative indépendante – Absence d'exigence de conservation des données sur le territoire de l'Union – Incompatibilité avec le droit de l'Union

L'article 15, paragraphe 1, de la directive 2002/58/CE du 12 juillet 2002 s'oppose à une réglementation nationale régissant la protection et la sécurité des données relatives au trafic et des données de localisation, en particulier l'accès des autorités nationales compétentes aux données conservées, sans limiter, dans le cadre de la lutte contre la criminalité, cet accès aux seules fins de lutte contre la criminalité grave, sans soumettre ledit accès à un contrôle préalable par une juridiction ou une autorité administrative indépendante, et sans exiger que les données en cause soient conservées sur le territoire de l'Union.

CC17 juin 2022CC, 2022-1000 QPC, 17 juin 2022, M. Ibrahim K., points 10-17(source)

Accès aux données de connexion dans le cadre de la procédure pénale Réquisition de données de connexion à l'initiative du juge d'instruction ou d'un officier de police judiciaire autorisé par une commission rogatoire délivrée par ce magistrat – Information judiciaire – Conciliation équilibrée entre l'objectif de valeur constitutionnelle de recherche des auteurs d'infractions et le droit au respect de la vie privée

Dans le cadre d'une instruction, les dispositions contestées autorisent le juge d'instruction ainsi que l'officier de police judiciaire à se faire communiquer des données de connexion ou à y avoir accès. Les données de connexion comportent notamment les informations relatives à l'identification des personnes, à leur localisation et à leurs contacts téléphoniques et numériques ainsi qu’aux services de communication au public en ligne qu’elles consultent. Compte tenu de leur nature, de leur diversité et des traitements dont elles peuvent faire l'objet, les données de connexion fournissent sur les personnes en cause ainsi que, le cas échéant, sur des tiers, des informations nombreuses et précises, particulièrement attentatoires à leur vie privée. Toutefois, en premier lieu, en adoptant les dispositions contestées, le législateur a poursuivi l'objectif de valeur constitutionnelle de recherche des auteurs d'infractions. En second lieu, la réquisition de données de connexion intervient à l'initiative du juge d'instruction, magistrat du siège dont l'indépendance est garantie par la Constitution, ou d'un officier de police judiciaire qui y a été autorisé par une commission rogatoire délivrée par ce magistrat. D'une part, ces dispositions ne permettent la réquisition de données de connexion que dans le cadre d’une information judiciaire, dont l'ouverture n'est obligatoire qu'en matière criminelle et pour certains délits. Si une information peut également être ouverte pour les autres infractions, le juge d'instruction ne peut informer, en tout état de cause, qu’en vertu d’un réquisitoire du procureur de la République ou, en matière délictuelle et dans les conditions prévues aux articles 85 et suivants du code de procédure pénale, à la suite d’une plainte avec constitution de partie civile. D'autre part, dans le cas où la réquisition de données de connexion est mise en œuvre par un officier de police judiciaire en exécution d'une commission rogatoire, cette commission rogatoire, datée et signée par le magistrat, précise la nature de l'infraction, objet des poursuites, et fixe le délai dans lequel elle doit être retournée avec les procès‑verbaux dressés pour son exécution par l'officier de police judiciaire. Ces réquisitions doivent se rattacher directement à la répression de cette infraction et sont, conformément à l'article 152 du code de procédure pénale, mises en œuvre sous la direction et le contrôle du juge d'instruction. En outre, conformément aux articles 175‑2 et 221‑1 du code de procédure pénale, la durée de l'information ne doit pas, sous le contrôle de la chambre de l'instruction, excéder un délai raisonnable au regard de la gravité des faits reprochés à la personne mise en examen, de la complexité des investigations nécessaires à la manifestation de la vérité et de l'exercice des droits de la défense. Dès lors, les dispositions contestées opèrent une conciliation équilibrée entre l'objectif de valeur constitutionnelle de recherche des auteurs d'infractions et le droit au respect de la vie privée.

CC20 mai 2022CC, 2022-993 QPC, 20 mai 2022, M. Lofti H, points 10-14(source)

Accès aux données de connexion dans le cadre de la procédure pénale Cas des enquêtes de flagrance, limitée s dans le temps – Encadrement des réquisitions – Conformité au droit au respect de la vie privée

Sont déclarées conformes à la Constitution et ne méconnaissent pas le droit au respect de la vie privée des dispositions permettant au procureur de la République ou à l'officier de police judiciaire, ou, sous le contrôle de ce dernier, à l'agent de police judiciaire, par tout moyen, de requérir de toute personne, de tout établissement ou organisme privé ou public, ou de toute administration publique qui sont susceptibles de détenir des informations intéressantes pour l'enquête, y compris celles issues d'un système informatique ou d'un traitement de données nominatives, de lui remettre ces informations, notamment sous forme numérique, le cas échéant selon des normes fixées par voie réglementaire, sans que puisse lui être opposée une obligation au secret professionnel lorsqu'elles poursuivent l'objectif de valeur constitutionnelle de recherche des auteurs d'infraction et dès lors que d'une part, ces dispositions ne permettent les réquisitions de données que dans le cadre d'une enquête de police portant sur un crime flagrant ou un délit flagrant puni d'une peine d'emprisonnement, et, d'autre part, la durée de cette enquête est limitée à huit jours. Celle-ci ne peut être prolongée, pour une nouvelle durée maximale de huit jours, sur décision du procureur de la République, que si l'enquête porte sur un crime ou un délit puni d'une peine d'emprisonnement égale ou supérieure à cinq ans et si les investigations ne peuvent être différées.

Ces réquisitions ne peuvent intervenir qu'à l'initiative du procureur de la République, d'un officier de police judiciaire ou, sous le contrôle de ce dernier, d'un agent de police judiciaire. Ces officiers et agents sont placés sous la direction du procureur de la République ; les réquisitions sont mises en œuvre sous le contrôle d'un magistrat de l'ordre judiciaire auquel il revient, en application de l'article 39-3 du code de procédure pénale, de contrôler la proportionnalité des actes d'investigation au regard de la nature et de la gravité des faits.

CC0 mai 2020CC, 2020-841 QPC, 20 mai 2020, La Quadrature du Net et autre s, points 9-10, 14-18 Voir aussi: CC, 2018-764 QPC, 15 février 2019, M. Paulo M., point 8; CC, 2017-753 DC, 8 septembre 2017, Loi organique pour la confiance dans la vie politique, points 57-59; CC, 2017-646/647 QP C, 21 juillet 2017, M. Alexis K. et autre, points 8-9; CC, 2015-715 DC, 5 août 2015(source)

Droit d'obtenir communication des données de connexion conféré aux agents de la Hadopi Objectif de sauvegarde de la propriété intellectuelle – Informations particulièrement attentatoires à la vie privée – Absence de lien direct avec le manquement – Absence de garanties propres à assurer une conciliation entre le droit au respect de la vie privée et l'objectif de sauvegarde de la propriété intellectuelle – Non-conformité

Dispositions conférant aux agents de la Haute autorité pour la diffusion des œuvres et la protection des droits sur internet (Hadopi) le droit d'obtenir communication des données de connexion détenues par les opérateurs de communication électronique.

En adoptant ces dispositions, le législateur a voulu renforcer la lutte contre les pratiques de contrefaçon sur internet, qui répond à l'objectif de sauvegarde de la propriété intellectuelle. En outre, ce droit de communication, qui n'est pas assorti d'un pouvoir d'exécution forcée, n'est ouvert qu'aux agents publics de la Haute autorité, dûment habilités et assurés, qui sont soumis, dans l'utilisation de ces données, au secret professionnel. Enfin, le troisième alinéa de l'article L. 331‑21 du code de la propriété intellectuelle subordonne son exercice aux nécessités de la procédure mise en œuvre par la commission de protection des droits.

Toutefois, ce droit de communication peut s'exercer sur toutes les données de connexion détenues par les opérateurs de communication électronique. Or, compte tenu de leur nature et des traitements dont elles peuvent faire l'objet, de telles données fournissent sur les personnes en cause des informations nombreuses et précises, particulièrement attentatoires à leur vie privée. Elles ne présentent pas non plus nécessairement de lien direct avec le manquement à l'obligation de respect du droit d'auteur et des droits voisins énoncée à l'article L. 336‑3.

Il résulte de ce qui précède que, dans ces conditions, le législateur n'a pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation qui ne soit pas manifestement déséquilibrée entre le droit au respect de la vie privée et l'objectif de sauvegarde de la propriété intellectuelle.

CC14 juin 2019CC, 2019-789 QPC, 14 juin 2019, Mme Hanen S., point 15(source)

Sécurité sociale Droit de communication des données de connexion des assurés sociaux reconnu aux agents des organismes de la sécurité sociale – Absence de garanties propres à assurer une conciliation entre droit au respect de la vie privée et la lut te contre la fraude en matière de protection sociale – Non - conformité

Compte tenu de leur nature et des traitements dont elles peuvent faire l'objet, les données de connexion fournissent sur les personnes en cause des informations nombreuses et précises, particulièrement attentatoires à leur vie privée. Par ailleurs, elles ne présentent pas de lien direct avec l'évaluation de la situation de l'intéressé au regard du droit à prestation ou de l'obligation de cotisation. Dans ces conditions, en instaurant un tel droit de communication de données de connexion, le législateur n'a pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation équilibrée entre le droit au respect de la vie privée et la lutte contre la fraude en matière de protection sociale.

CC4 août 2017CC, 2017-648 QPC, 4 août 2017, La Quadrature du Net et autres, points 5, 7-11(source)

Accès en temps réel aux données de trafic et de localisation Prévention du terrorisme – Conformité partielle

Les dispositions contestées permettent à l'autorité administrative, pour la prévention du terrorisme, d'obtenir le recueil en temps réel des données de connexion relatives, d'une part, à une personne préalablement identifiée susceptible d'être en lien avec une menace et, d'autre part, aux personnes appartenant à l'entourage de la personne concernée par l'autorisation lorsqu'il y a des raisons sérieuses de penser qu'elles sont susceptibles de fournir des informations à titre de la finalité qui motive l'autorisation. Cette technique de recueil de renseignement est autorisée pour une durée de quatre mois renouvelable, conformément à l'article L. 821‑4 du code de la sécurité intérieure.

D'une part, le recueil des données de connexion en temps réel ne peut être mis en œuvre que pour les besoins de la prévention du terrorisme. Ne peuvent, par ailleurs, être recueillis que les informations ou documents traités ou conservés par les opérateurs de télécommunication, les fournisseurs d'accès à un service de communication au public en ligne ou les hébergeurs de contenu sur un tel service.

D'autre part, cette technique de recueil de renseignement s'exerce dans les conditions prévues au premier chapitre I du titre II du livre VIII du code de la sécurité intérieure. En vertu de l'article L. 821‑4 de ce code, elle est autorisée par le Premier ministre ou les collaborateurs directs auxquels il a délégué cette compétence, sur demande écrite et motivée du ministre de la défense, du ministre de l'intérieur ou des ministres chargés de l'économie, du budget ou des douanes, après avis préalable de la Commission nationale de contrôle des techniques de renseignement. Elle est autorisée pour une durée de quatre mois renouvelable. En vertu du paragraphe II de l'article L. 851‑2, la procédure d'urgence absolue prévue à l'article L. 821‑5 de ce code n'est pas applicable. En application de l'article L. 871‑6 du même code, les opérations matérielles nécessaires à la mise en place de la technique mentionnée à l'article L. 851‑2 ne peuvent être exécutées, dans leurs réseaux respectifs, que par des agents qualifiés des services ou organismes placés sous l'autorité ou la tutelle du ministre chargé des communications électroniques ou des exploitants de réseaux ou fournisseurs de services de télécommunications.

Enfin, cette technique de renseignement est réalisée sous le contrôle de la Commission nationale de contrôle des techniques de renseignement. La composition et l'organisation de cette autorité administrative indépendante sont définies aux articles L. 831‑1 à L. 832‑5 du code de la sécurité intérieure dans des conditions qui assurent son indépendance. Ses missions sont définies aux articles L. 833‑1 à L. 833‑11 du même code dans des conditions qui assurent l'efficacité de son contrôle. Conformément aux dispositions de l'article L. 841‑1 du même code, le Conseil d'État peut être saisi par toute personne souhaitant vérifier qu'aucune technique de recueil de renseignement n'est irrégulièrement mise en œuvre à son égard ou par la Commission nationale de contrôle des techniques de renseignement.

Il résulte de ce qui précède que le législateur a assorti la procédure de réquisition des données de connexion, lorsqu'elle s'applique à une personne préalablement identifiée susceptible d'être en lien avec une menace, de garanties propres à assurer une conciliation qui n'est pas manifestement déséquilibrée entre, d'une part, la prévention des atteintes à l'ordre public et celle des infractions et, d'autre part, le droit au respect de la vie privée.

En revanche, en application des dispositions contestées, cette procédure de réquisition s'applique également aux personnes appartenant à l'entourage de la personne concernée par l'autorisation, dont il existe des raisons sérieuses de penser qu'elles sont susceptibles de fournir des informations au titre de la finalité qui motive l'autorisation. Ce faisant, le législateur a permis que fasse l'objet de cette technique de renseignement un nombre élevé de personnes, sans que leur lien avec la menace soit nécessairement étroit. Ainsi, faute d'avoir prévu que le nombre d'autorisations simultanément en vigueur doive être limité, le législateur n'a pas opéré une conciliation équilibrée entre, d'une part, la prévention des atteintes à l'ordre public et des infractions et, d'autre part, le droit au respect de la vie privée.

Cass4 avril 2012Cass, soc., 4 avril 2012, n°10-20.845, B., points 3-4(source)

Salariés protégés Exclusion de l'interception des communications téléphoniques et l'identification des correspondants – Examen par l'employeur des relevés de communications – Illégalité

Pour l'accomplissement de leur mission légale et la préservation de la confidentialité qui s'y attache, les salariés protégés, au nombre desquels se trouvent les membres du conseil et les administrateurs des caisses de sécurité sociale, doivent pouvoir disposer sur leur lieu de travail d'un matériel ou procédé excluant l'interception des communications téléphoniques par l'employeur et l'identification des correspondants. Viole dès lors l'article L. 2411‑1 13° du code du travail, ainsi que les articles 6, 17 et 21 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, et l’article 7 de la délibération n°2005‑019 du 3 février 2005 de la Commission nationale de l'informatique et des libertés. La cour d’appel, qui, pour débouter un salarié administrateur de l’URSSAF, de sa demande de résiliation judiciaire de son contrat de travail, retient que l’employeur s’était contenté d’examiner les relevés des communications téléphoniques du téléphone mobile mis à disposition du salarié par l’entreprise, alors qu’il résultait de ses constatations que l’examen par l’employeur des relevés litigieux permettait l’identification des correspondants du salarié.

CE21 avril 2021CE, Assemblée, 21 avril 2021, French Data Network et autres, n° 393099, Rec., points 44-46(source)

Annulation du refus d'abroger les dispositions réglementaires en tant qu'elles ne prévoient pas un réexamen périodique de l'existence d'une menace pour la sécurité nationale justifiant l'obligation pour les opérateurs de conserver de manière généralisée et indifférenciée les données de trafic et de localisation 1) Injonction de compléter ces dispositions dans un délai de six mois – 2) Opérateurs pouvant se soustraire à cette obligation avant l'expiration de ce délai – Absence dans la mesure où une telle menace a été constatée par le juge

Par son arrêt du 6 octobre 2020 La Quadrature du Net et autres (C‑511/18, C‑512/18, C‑520/18), la Cour de justice de l'Union européenne (CJUE) a dit pour droit que la directive 2002/58/CE du 12 juillet 2002 ne s'opposait pas à ce que des mesures législatives permettent, aux fins de sauvegarde de la sécurité nationale, d'imposer aux opérateurs la conservation généralisée et indifférenciée des données de trafic et des données de localisation, sous réserve qu'une décision soumise à un contrôle effectif constate l'existence d'une menace grave pour la sécurité nationale qui s'avère réelle et actuelle ou prévisible, pour une durée limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace. Il ressort en outre du point 135 de cet arrêt que la responsabilité des États membres en matière de sécurité nationale, au sens du droit de l'Union, correspond à l'intérêt primordial de protéger les fonctions essentielles de l'État et les intérêts fondamentaux de la société, et inclut la prévention et la répression d'activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d'un pays, et en particulier à menacer directement la société, la population ou l'État en tant que tel, telles que notamment des activités de terrorisme.

1) Ni l'article L. 34‑1 du code des postes et des communications électroniques (CPCE) ni l'article 6 de la loi n° 2004‑575 du 21 juin 2004 ne prévoient un réexamen périodique, au regard des risques pour la sécurité nationale, de la nécessité de maintenir l'obligation faite aux personnes concernées de conserver les données de connexion. Ces articles, ainsi, par suite, que l'article R. 10‑13 du CPCE et le décret n° 2011‑219 du 25 février 2011, en tant qu'ils ne subordonnent pas le maintien en vigueur de cette obligation au constat, à échéance régulière, qui ne saurait raisonnablement excéder un an, de la persistance d'une menace grave, réelle et actuelle ou prévisible, pour la sécurité nationale sont, dans cette mesure, contraires au droit de l'Union européenne. Il résulte de ce qui précède que, s'agissant de l'objectif de sauvegarde de la sécurité nationale, le refus d'abroger l'article R. 10‑13 du CPCE et l'article 1er du décret du 25 février 2011 doit être annulé en tant que leurs dispositions ne prévoient pas un réexamen périodique de l'existence d'une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale, s'agissant des données qu'elles mentionnent autres que celles afférentes à l'identité civile, aux comptes et aux paiements des utilisateurs et aux adresses IP. Il y a lieu d'enjoindre au gouvernement de compléter ces dispositions dans un délai de six mois à compter de la présente décision.

2) Il ressort des pièces du dossier que la France est, à la date de la présente décision, confrontée à une menace grave, réelle et non seulement prévisible mais actuelle pour sa sécurité nationale, appréciée au regard de l'ensemble des intérêts fondamentaux de la Nation listés à l'article L. 811‑3 du code de la sécurité intérieure (CSI) qui, par son intensité, revêt un caractère grave et réel. Cette menace est, à la date de la présente décision, non seulement prévisible mais aussi actuelle. Cette menace procède d'abord de la persistance d'un risque terroriste élevé, ainsi qu'en témoigne notamment le fait que sont survenues sur le sol national au cours de l'année 2020 six attaques abouties ayant causé sept morts et onze blessés. Par ailleurs, la France est particulièrement exposée au risque d'espionnage et d'ingérence étrangère, en raison notamment de ses capacités et de ses engagements militaires et de son potentiel technologique et économique. La France est également confrontée à des menaces graves pour la paix publique, liées à une augmentation de l'activité de groupes radicaux et extrémistes. Dans la mesure où il résulte de la présente décision que la réalité et la gravité de la menace pesant sur la sécurité nationale justifient l'obligation de conserver généralisée et indifférenciée de l'ensemble des données de connexion à cette fin, les opérateurs ne sauraient, avant l'expiration du délai de six mois laissé au gouvernement pour compléter les dispositions litigieuses, se soustraire à cette obligation et aux sanctions dont sa méconnaissance est assortie au motif que la durée de l'injonction qui leur est faite n'a pas été limitée dans le temps par le pouvoir réglementaire.