1) La législation contestée exige la conservation et le stockage automatiques et continus du contenu de toutes les communications Internet (communications vocales, textuelles, visuelles, sonores, vidéo ou d'autres communications électroniques) pendant une durée de six mois et des données de connexion correspondantes pendant une durée d'un an. Elle concerne tous les utilisateurs, même en l'absence de soupçon raisonnable de participation à des activités criminelles ou à des activités mettant en danger la sécurité nationale, ou de toute autre raison de penser que la conservation des données peut contribuer à la lutte contre les formes graves de criminalité ou à la protection de la sécurité nationale. Il n'y a aucune limitation du champ d'application de la mesure en termes d'application territoriale ou temporelle ou de catégories de personnes susceptibles de voir leurs données à caractère personnel conservées. La Cour conclut que l'ingérence est exceptionnellement étendue et grave. La législation ne peut être considérée comme nécessaire dans une société démocratique et porte atteinte à l'essence même du droit au respect de la vie privée garanti par l'article 8 de la Convention. L'État défendeur a donc outrepassé toute marge d'appréciation acceptable à cet égard.

2) Contrairement à la législation en cause qui prévoit un accès direct aux communications Internet par les services de sécurité sans autorisation judiciaire préalable, la Cour recommande une obligation de présenter une autorisation d'interception au fournisseur de services de communication avant d'obtenir l'accès aux communications d'une personne en ce qu'elle constitue une garantie importante contre les abus des autorités répressives, en veillant à ce qu'une autorisation en bonne et due forme soit obtenue dans tous les cas de surveillance secrète.

3) L'obligation légale de décrypter les communications chiffrées de bout en bout risque d'équivaloir à une obligation pour les fournisseurs de tels services d'affaiblir le mécanisme de chiffrement pour tous les utilisateurs et n'est donc pas proportionnée aux buts légitimes poursuivis.

La possibilité pour les États membres de justifier une limitation aux droits et aux obligations prévues, notamment, aux articles 5, 6 et 9 de la Directive 2002/58 doit être appréciée en mesurant la gravité de l'ingérence que comporte une telle limitation et en vérifiant que l'importance de l'objectif d'intérêt général poursuivi par cette limitation est en relation avec cette gravité. En outre, la Cour a déjà jugé que l'accès à des données relatives au trafic et à des données de localisation conservées par des fournisseurs en application d'une mesure prise au titre de l'article 15, paragraphe 1, de la Directive 2002/58, qui doit s'effectuer dans le plein respect des conditions résultant de la jurisprudence ayant interprété cette directive, ne peut en principe être justifié que par l'objectif d'intérêt général pour lequel cette conservation a été imposée à ces fournisseurs. Il n'en va autrement que si l'importance de l'objectif poursuivi par l'accès dépasse celle de l'objectif ayant justifié la conservation (arrêt du 5 avril 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, point 98). Or, ces considérations s'appliquent mutatis mutandis à une utilisation ultérieure des données relatives au trafic et à des données de localisation conservées par des fournisseurs de services de communications électroniques en application d'une mesure prise au titre de l'article 15, paragraphe 1, de la Directive 2002/58 aux fins de la lutte contre la criminalité grave. Celui‑ci doit être interprété en ce sens qu'il s'oppose à ce que des données à caractère personnel relatives à des communications électroniques qui ont été conservées, en application d'une mesure législative prise au titre de cette disposition, par les fournisseurs de services de communications électroniques et qui ont par la suite été mises à la disposition, en application de cette mesure, des autorités compétentes à des fins de la lutte contre la criminalité grave puissent être utilisées dans le cadre d'enquêtes relatives à des fautes de service apparentées à la corruption.

La loi déférée insère dans le code de procédure pénale des dispositions permettant, dans le cadre d'une enquête ou d'une instruction, l'activation à distance d'appareils électroniques à l'insu de leur propriétaire ou possesseur afin, d'une part, de procéder à sa localisation en temps réel et, d'autre part, de procéder à la sonorisation et à la captation d'images.

1) En premier lieu, ces dispositions ont pour objet de faciliter la mise en place ou la désinstallation des moyens techniques permettant, selon les cas, la géolocalisation ou la sonorisation et la captation d’images.

En deuxième lieu, il ne peut être recouru à l'activation à distance d'un appareil électronique, s'agissant de la géolocalisation, que lorsque les nécessités de l'enquête ou de l'instruction relative à un crime ou à un délit puni d'au moins cinq ans d'emprisonnement l'exigent et, s'agissant de la sonorisation et de la captation d’images, que si la nature et la gravité des faits le justifient.

En troisième lieu, d'une part, cette activation à distance ne peut être autorisée que par le juge des libertés et de la détention, à la requête du procureur de la République, ou par le juge d'instruction et aux seules fins de procéder à la localisation en temps réel ou à la sonorisation et à la captation d’images de la personne. La décision d'autorisation doit comporter tous les éléments permettant d'identifier l'appareil concerné. D'autre part, la durée de l’autorisation de procéder à la sonorisation et à la captation d’images, qui doit être strictement proportionnée à l'objectif recherché, ne peut excéder quinze jours renouvelable une fois, au cours d'une enquête, et deux mois renouvelable sans que la durée totale des opérations excède six mois, au cours d'une information judiciaire.

En quatrième lieu, d'une part, l'activation à distance d'un appareil électronique ne peut, à peine de nullité, concerner les appareils électroniques utilisés par un membre du Parlement, un magistrat, un avocat, un journaliste, un commissaire de justice ou un médecin. S'agissant de la sonorisation et de la captation d’images, il est en outre prévu, à peine de nullité, que ne peuvent être transcrites les données relatives aux échanges avec un avocat qui relèvent de l'exercice des droits de la défense et qui sont couvertes par le secret professionnel de la défense et du conseil, hors les cas prévus à l'article 56‑1‑2 du code de procédure pénale. Il en va de même des données relatives aux échanges avec un journaliste permettant d'identifier une source ou des données collectées à partir d'un appareil qui se trouvait dans l'un des lieux protégés au titre des articles 56‑1, 56‑2, 56‑3 et 56‑5 du même code. D'autre part, le juge compétent ordonne la destruction dans les meilleurs délais des données qui ne peuvent être transcrites, ainsi que des procès‑verbaux et des données collectées lorsque les opérations ont été réalisées dans des conditions irrégulières.

Dès lors, les dispositions contestées, en tant qu'elles autorisent l'activation à distance d'appareils électroniques aux seules fins de géolocalisation, ne méconnaissent pas le droit au respect de la vie privée.

2) En revanche, l'activation à distance d'appareils électroniques afin de capter des sons et des images sans qu'il soit nécessaire pour les enquêteurs d'accéder physiquement à des lieux privés en vue de la mise en place de dispositifs de sonorisation et de captation, est de nature à porter une atteinte particulièrement importante au droit au respect de la vie privée dans la mesure où elle permet l'enregistrement, dans tout lieu où l'appareil connecté détenu par une personne privée peut se trouver, y compris des lieux d'habitation, de paroles et d'images concernant aussi bien les personnes visées par les investigations que des tiers. Dès lors, en permettant de recourir à cette activation à distance non seulement pour les infractions les plus graves mais pour l'ensemble des infractions relevant de la délinquance ou de la criminalité organisée, le législateur a permis qu'il soit porté au droit au respect de la vie privée une atteinte qui ne peut être regardée comme proportionnée au but poursuivi. Les dispositions contestées ne sont donc pas conformes à la Constitution.

Les dispositions contestées permettent à l'autorité administrative, pour la prévention du terrorisme, d'obtenir le recueil en temps réel des données de connexion relatives, d'une part, à une personne préalablement identifiée susceptible d'être en lien avec une menace et, d'autre part, aux personnes appartenant à l'entourage de la personne concernée par l'autorisation lorsqu'il y a des raisons sérieuses de penser qu'elles sont susceptibles de fournir des informations au titre de la finalité qui motive l'autorisation. Cette technique de recueil de renseignement est autorisée pour une durée de quatre mois renouvelable, conformément à l'article L. 821 - 4 du code de la sécurité intérieure.

D'une part, le recueil des données de connexion en temps réel ne peut être mis en œuvre que pour les besoins de la prévention du terrorisme. Ne peuvent, par ailleurs, être recueillis que les informations ou documents traités ou conservés par les opérateurs de télécommunication, les fournisseurs d'accès à un service de communication au public en ligne ou les hébergeurs de contenu sur un tel service.

D'autre part, cette technique de recueil de renseignement s'exerce dans les conditions prévues au premier chapitre I du titre II du livre VIII du code de la sécurité intérieure. En vertu de l'article L. 821 - 4 de ce code, elle est autorisée par le Premier ministre ou les collaborateurs directs aux quels il a délégué cette compétence, sur demande écrite et motivée du ministre de la défense, du ministre de l'intérieur ou des ministres chargés de l'économie, du budget ou des douanes, après avis préalable de la Commission nationale de contrôle des techniques de renseignement. Elle est autorisée pour une durée de quatre mois renouvelable. En vertu du paragraphe II de l'article L. 851 - 2, la procédure d'urgence absolue prévue à l'article L. 821 - 5 de ce code n'est pas applicable. En application de l'article L. 871 - 6 du même code, les opérations matérielles nécessaires à la mise en place de la technique mentionnée à l'article L. 851 - 2 ne peuvent être exécutées, dans leurs réseaux respectifs, que par des agents qualifiés des services ou organismes placés sous l'autorité ou la tutelle du ministre chargé des communications électroniques ou des exploitants de réseaux ou fournisseurs de services de télécommunications.

Enfin, cette technique de renseignement est réalisée sous le contrôle de la Commission nationale de contrôle des techniques de renseignement. La composition et l'organisation de cette autorité administrative indépendante sont définies aux articles L. 831 - 1 à L. 832 - 5 du code de la sécurité intérieure dans des conditions qui assurent son indépendance. Ses missions sont définies aux articles L. 833 - 1 à L. 833 - 11 du même code dans des conditions qui assurent l'effectivité de son contrôle. Conformément aux dispositions de l'article L. 841 - 1 du même code, le Conseil d'État peut être saisi par toute personne souhaitant vérifier qu'aucune technique de recueil de renseignement n'est irrégulièrement mise en œuvre à son égard ou par la Commission nationale de contrôle des techniques de renseignement.

Il résulte de ce qui précède que le législateur a assorti la procédure de réquisition des données de connexion, lorsqu'elle s'applique à une personne préalablement identifiée susceptible d'être en lien avec une menace, de garanties propres à assurer une conciliation qui n'est pas manifestement déséquilibrée entre, d'une part, la prévention des atteintes à l'ordre public et celle des infractions et, d'autre part, le droit au respect de la vie privée.

En revanche, en application des dispositions contestées, cette procédure de réquisition s'applique également aux personnes appartenant à l'entourage de la personne concernée par l'autorisation, dont il existe des raisons sérieuses de penser qu'elles sont susceptibles de fournir des informations au titre de la finalité qui motive l'autorisation. Ce faisant, le législateur a permis que fasse l'objet de cette technique de renseignement un nombre élevé de personnes, sans que leur lien avec la menace soit nécessairement étroit. Ainsi, faute d'avoir prévu que le nombre d'autorisations simultanément en vigueur doive être limité, le législateur n'a pas opéré une conciliation équilibrée entre, d'une part, la prévention des atteintes à l'ordre public et des infractions et, d'autre part, le droit au respect de la vie privée.

Des dispositions instituant une procédure de réquisition administrative de données de connexion excluant l'accès au contenu des correspondances ne sauraient méconnaître le droit au secret des correspondances.

Le paragraphe I de l'article L. 852‑1 du code de la sécurité intérieure autorise les interceptions administratives de correspondances émises par la voie des communications électroniques ; les personnes appartenant à l'entourage d'une personne concernée par l'autorisation d'interception peuvent également faire l'objet de ces interceptions lorsqu'elles sont susceptibles de fournir des informations au titre de la finalité qui motive l'autorisation. Le paragraphe II de ce même article prévoit que, pour les finalités mentionnées aux 1°, 4° et a) du 5° de l'article L. 811‑3, l'utilisation d'un appareil ou dispositif permettant d'intercepter, sans le consentement de leur auteur, des paroles ou des correspondances émises, transmises ou reçues par la voie électronique ou d'accéder à des données informatiques peut être autorisée afin d'intercepter des correspondances émises ou reçues par un équipement terminal. Ces techniques de recueil de renseignement s'exercent, sauf disposition spécifique, dans les conditions prévues au chapitre I du titre II du code de la sécurité intérieure :

• elles sont autorisées par le Premier ministre, sur demande écrite et motivée du ministre de la défense, du ministre de l'intérieur ou des ministres chargés de l'économie, du budget ou des douanes, après avis préalable de la Commission nationale de contrôle des techniques de renseignement et ne peuvent être mises en œuvre que par des agents individuellement désignés et habilités ;

• elles sont réalisées sous le contrôle de la Commission nationale de contrôle des techniques de renseignement dont la composition et l'organisation sont définies aux articles L. 831‑1 à L. 832‑5 dans des conditions qui assurent son indépendance et dont les missions sont définies aux articles L. 833‑1 à L. 833‑11 dans des conditions qui assurent l'effectivité de son contrôle ;

• conformément aux dispositions de l'article L. 841‑1, le Conseil d'État peut être saisi par toute personne souhaitant vérifier qu'aucune technique de recueil de renseignement n'est irrégulièrement mise en œuvre à son égard ou par la Commission nationale de contrôle des techniques de renseignement ;

• en application des dispositions de l'article L. 871‑6, les opérations matérielles nécessaires à la mise en place de ces techniques ne peuvent être exécutées, dans leurs réseaux respectifs, que par des agents qualifiés des services ou organismes placés sous l'autorité ou la tutelle du ministre chargé des communications électroniques ou des exploitants de réseaux ou fournisseurs de services de télécommunications.

Par ailleurs, ces techniques ne peuvent être mises en œuvre que pour les finalités énumérées à l'article L. 811‑3 ; le nombre maximal des autorisations d'interception en vigueur simultanément est arrêté par le Premier ministre après avis de la Commission nationale de contrôle des techniques de renseignement ; afin de faciliter le contrôle de cette commission, l'exécution de ces interceptions est centralisée ; en outre, en ce qui concerne les interceptions réalisées au moyen de la technique prévue au paragraphe II de l'article L. 851‑2, l'autorisation ne peut être délivrée que pour certaines des finalités mentionnées à l'article L. 811‑3, qui sont relatives à la prévention d'atteintes particulièrement graves à l'ordre public ; les correspondances ainsi interceptées sont détruites dès qu'il apparaît qu'elles sont sans lien avec l'autorisation délivrée et au plus tard trente jours à compter de leur recueil.

Il résulte de ce qui précède que le législateur n'a pas, par les dispositions précitées, opéré une conciliation manifestement déséquilibrée entre, d'une part, la prévention des atteintes à l'ordre public et celle des infractions, et d'autre part, le droit au respect de la vie privée et le secret des correspondances.

Par son arrêt du 6 octobre 2020 La Quadrature du Net et autres (C‑511/18, C‑512/18, C‑520/18), la Cour de justice de l'Union européenne (CJUE) a dit pour droit que la directive 2002/58/CE du 12 juillet 2002 ne s'opposait pas à ce que des mesures législatives permettent, aux fins de sauvegarde de la sécurité nationale, d'imposer aux opérateurs la conservation généralisée et indifférenciée des données de trafic et des données de localisation, sous réserve qu'une décision soumise à un contrôle effectif constate l'existence d'une menace grave pour la sécurité nationale qui s'avère réelle et actuelle ou prévisible, pour une durée limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace. Il ressort en outre du point 135 de cet arrêt que la responsabilité des États membres en matière de sécurité nationale, au sens du droit de l'Union, correspond à l'intérêt primordial de protéger les fonctions essentielles de l'État et les intérêts fondamentaux de la société, et inclut la prévention et la répression d'activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d'un pays, et en particulier à menacer directement la société, la population ou l'État en tant que tel, telles que notamment des activités de terrorisme.

1) Ni l'article L. 34‑1 du code des postes et des communications électroniques (CPCE) ni l'article 6 de la loi n° 2004‑575 du 21 juin 2004 ne prévoient un réexamen périodique, au regard des risques pour la sécurité nationale, de la nécessité de maintenir l'obligation faite aux personnes concernées de conserver les données de connexion. Ces articles, ainsi, par suite que l'article R. 10‑13 du CPCE et le décret n° 2011‑219 du 25 février 2011, en tant qu'ils ne subordonnent pas le maintien en vigueur de cette obligation au constat, à échéance régulière, qui ne saurait raisonnablement excéder un an, de la persistance d'une menace grave, réelle et actuelle ou prévisible, pour la sécurité nationale sont, dans cette mesure, contraires au droit de l'Union européenne. Il résulte de ce qui précède que, s'agissant de l'objectif de sauvegarde de la sécurité nationale, le refus d'abroger l'article R. 10‑13 du CPCE et l'article 1 du décret du 25 février 2011 doit être annulé en tant seulement que leurs dispositions ne prévoient pas un réexamen périodique de l'existence d'une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale, s'agissant des données qu'elles mentionnent autres que celles afférentes à l'identité civile, aux comptes et aux paiements des utilisateurs et aux adresses IP. Il y a lieu d'enjoindre au Gouvernement de compléter ces dispositions dans un délai de six mois à compter de la présente décision.

2) Il ressort des pièces du dossier que la France est, à la date de la présente décision, confrontée à une menace grave, réelle et non seulement prévisible mais actuelle pour sa sécurité nationale, appréciée au regard de l'ensemble des intérêts fondamentaux de la Nation listés à l'article L. 811‑3 du code de la sécurité intérieure (CSI) qui, par son intensité, revêt un caractère grave et réel. Cette menace est, à la date de la présente décision, non seulement prévisible mais aussi actuelle. Cette menace procède d'abord de la persistance d'un risque terroriste élevé, ainsi qu'en témoigne notamment le fait que sont survenues sur le sol national au cours de l'année 2020 six attaques abouties ayant causé sept morts et onze blessés. Par ailleurs, la France est particulièrement exposée au risque d'espionnage et d'ingérence étrangère, en raison notamment de ses capacités et de ses engagements militaires et de son potentiel technologique et économique. La France est également confrontée à des menaces graves pour la paix publique, liées à une augmentation de l'activité de groupes radicaux et extrémistes. Dans la mesure où il résulte de la présente décision que la réalité et la gravité de la menace pesant sur la sécurité nationale justifient l'obligation de conservation généralisée et indifférenciée de l'ensemble des données de connexion à cette fin, les opérateurs ne sauraient, avant l'expiration du délai de six mois laissé au Gouvernement pour compléter les dispositions litigieuses, se soustraire à cette obligation et aux sanctions dont sa méconnaissance est assortie au motif que la durée de l'injonction qui leur est faite n'a pas été limitée dans le temps par le pouvoir réglementaire.