Le Conseil d'État (section de l'intérieur) a donné un avis favorable à un projet de décret portant création d'un traitement automatisé de données à caractère personnel dénommé « Automatisation de la consultation centralisée de renseignements et de données » (ACCReD).

Le projet crée un traitement automatisé de données à caractère personnel permettant, à l'occasion de la réalisation d'enquêtes administratives sur le fondement des articles L. 114‑1, L. 114‑2 et L. 211‑11‑1 du code de la sécurité intérieure, de consulter automatiquement d'autres traitements automatisés de données à caractère personnel ou d'entrer en relation avec eux. Cette consultation peut prendre la forme d'une consultation automatique ou d'une mise en relation. En application des dispositions du 5° de l'article 6 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, les responsables de tout traitement doivent veiller à ne conserver les données du traitement que pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. La fixation, par ces responsables, d'une durée maximale de conservation des données est donc obligatoire, même si, comme c'est possible pour ceux des traitements intéressant la sûreté de l'État ou la sécurité publique mentionnés à l'article 1er du décret du 15 mai 2007, cette durée peut ne pas être mentionnée dans l'acte réglementaire autorisant le traitement.

Mais le Conseil d'État considère que la collecte, dans le cadre de ces mêmes traitements, de données relatives à des personnes âgées de moins de 13 ans, doit s'accompagner de la fixation, par l'acte réglementaire autorisant ce traitement, d'une durée de conservation de ces données.

Faute de dispositions expresses la régissant, la durée de conservation des empreintes digitales relevées sur le fondement de l'article 5 du décret du 22 octobre 1955 est illimitée. Une telle durée de conservation ne peut être regardée comme nécessaire aux finalités du fichier, eu égard à la durée de validité de la carte nationale d'identité et au délai dans lequel tout détenteur d'une carte nationale d'identité périmée peut en solliciter le renouvellement. Elle est donc illégale.

Eu égard à la finalité du fichier ayant notamment trait à la gestion des contentieux entre l'administration pénitentiaire et les personnes placées sous main de justice, la durée de conservation de deux ans prévue à l'article R. 57-9-21 à compter de la date de levée de l'écrou n'est pas excessive. En revanche, la conservation ultérieure de ces données pour un délai de huit ans, qui poursuit, selon la garde des sceaux, la conduite éventuelle de contentieux, est dépourvue de fondement légal dès lors que cette finalité n'est pas explicitée par le décret attaqué et que la durée de conservation ainsi définie ne s'y rattache pas spécifiquement.

Si les données relatives à l'identification des élèves peuvent être conservées au sein de la « Base nationale des identifiants des élèves » pendant la durée du cycle d’étude — premier cycle dans l’état actuel du fichier, cycle complet d’étude en cas de généralisation de l’utilisation de l’identifiant à l’enseignement secondaire et à l’enseignement supérieur — une durée totale de conservation de 35 ans n’apparaît pas nécessaire aux finalités du traitement et est donc excessive au regard des dispositions du 5° de l’article 6 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Ce vice entache d’illégalité l’ensemble de la décision mettant en œuvre le traitement.

En l'absence de justification de l'extension à 3 ans, à compter de l'éloignement effectif, de la Durée de conservation des données relatives à l'identification de l'étranger et de ses enfants, aux caractéristiques de la mesure d'éloignement, à la soustraction éventuelle de l'étranger à l'exécution de cette mesure, à l'exercice de recours contentieux et à la demande de laissez-passer auprès des autorités consulaires du pays vers lequel l'éloignement est ordonné, celle-ci ne répond pas à l'exigence de stricte nécessité découlant de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Illégalité du décret dans cette mesure.

Afin d'assurer l'effectivité du droit d'opposition, le responsable de traitement peut créer une « liste repoussoir » lui permettant de ne pas utiliser à nouveau les données de contact si elles venaient à lui être transmises à nouveau par une autre personne que la personne concernée. La CNIL recommande de conserver l'inscription à la « liste repoussoir » de la personne ayant fait opposition pendant une durée minimale de trois ans et de ne conserver que les empreintes de l'adresse ou du numéro utilisé pour la prospection. Cela permet de prendre en compte l'opposition dans le temps sans conserver de données directement identifiantes.

Le fait que le point de départ de la durée de conservation des Géolocalisation soit lié non pas au contrat de location mais à la fin de la relation commerciale avec l'utilisateur ne permet pas de respecter le principe selon lequel les données à caractère personnel ne doivent pas être conservées pour une durée qui excède celle nécessaire au regard des finalités pour lesquelles elles sont traitées. En l'espèce, la société a conservé les données de Géolocalisation en cause pour une durée qui excédait celle nécessaire au regard des finalités pour lesquelles elles étaient traitées et a ainsi méconnu ses obligations au regard de l'article 5.1.e du RGPD.

L'anonymisation peut être considérée comme un moyen permettant de se conformer aux obligations en matière de limitation de la durée de conservation lorsqu'à l'issue d'une période de conservation en base active pendant la durée d'une relation contractuelle, une société procède à un premier tri des données en anonymisant les données non pertinentes et en conservant, en base d'archivage intermédiaire, les données permettant de répondre aux obligations légales ou lorsqu'elles présentent un intérêt administratif pour la société, et lorsqu'à l'issue de cette période d'archivage intermédiaire les données sont automatiquement anonymisées.

Cas d'un traitement de l'État permettant d'enregistrer des informations sur les ressortissants français et leurs ayants droit ainsi que documents relatifs à une situation de crise à l'étranger en vue d'en faciliter la gestion et d'informer et associer les personnes concernées.

1) Une fois que les données ne sont plus utilisées dans le cadre de la gestion opérationnelle liée à l'événement survenu à l'étranger ou pour réaliser les statistiques prévues, il est recommandé de mettre en place un archivage intermédiaire afin de limiter la consultation de ces données à des personnes spécifiquement habilitées. En gardant à l'écart entre la durée d'utilisation opérationnelle des données et leur durée de conservation en base intermédiaire (10 ans), le principe d'un tel archivage intermédiaire devrait, dans l'espèce, être inscrit dans le décret portant création du traitement, à titre de garantie apportée aux personnes concernées.

2) S'agissant de l'archivage définitif au titre de l'application des règles régissant les archives publiques issues du code du patrimoine, un acte réglementaire régissant un traitement public réservé toujours implicitement l'application des obligations du code du patrimoine et l'archivage définitif n'a pas besoin d'être expressément prévu par l'acte réglementaire.

La durée de conservation des données à caractère personnel doit être déterminée en fonction de la finalité poursuivie par le traitement. Lorsque cette finalité est atteinte, les données doivent en principe être supprimées, anonymisées ou faire l'objet d'un archivage intermédiaire lorsque leur conservation est nécessaire pour le respect d'obligations légales ou à des fins précontentieuses ou contentieuses.

L'effectivité de la mise en œuvre d'une politique de durée de conservation des données est le pendant nécessaire de sa définition et permet d'assurer que les données sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Cela permet notamment de réduire les risques d'usage non autorisé des données en cause, par un salarié ou par un tiers.

Cas d’une personne ayant souscrit une ligne téléphonique principale et une ligne téléphonique secondaire dans le cadre d’un abonnement téléphonique et qui résilie seulement la ligne principale ou secondaire.

Si l’information qu’une personne a été titulaire d’une ligne mobile résiliée peut effectivement être conservée à des fins d’exécution du contrat, à des fins comptables ou encore pour la gestion du contentieux, il n’est en revanche pas nécessaire de continuer à traiter cette information, notamment le numéro de la ligne résiliée, dans le cadre de l’émission des facturations en cours et de la faire apparaître sur ces dernières, alors que l’utilisation d’un identifiant permettant d’identifier le débiteur des différentes lignes mobiles (principales et secondaires) peut être mobilisée à la place. Il appartient au responsable du traitement de prévoir, dès la conception, des mesures organisationnelles et techniques pour ne plus traiter ces données dans ce cadre à la suite d’une demande de résiliation d’une ligne principale par la personne concernée.

Le projet de décret vise à permettre la mise en œuvre d'une application informatique, dénommée « StopCovid », qui pourra être téléchargée sur les téléphones mobiles et qui permettra d'informer les utilisateurs de ces téléphones du fait qu'ils ont été à proximité de personnes diagnostiquées positives au virus du covid‑19 via la technologie « Bluetooth ». Ni les personnes dépistées, ni les cas contacts ne sont identifiés ; les utilisateurs de l'application ne disposent que de très peu d'informations les concernant et le projet de décret consacre le caractère libre et volontaire du téléchargement et de l'utilisation de l'application.

Eu égard à l'objectif de protection de la santé publique poursuivi, le décret ne méconnaît pas ni le droit au respect de la vie privée ni le RGPD. En particulier, la durée du traitement, fixée à six mois après la fin de l'état d'urgence sanitaire, ainsi que la durée de conservation de l'historique de proximité des utilisateurs, fixée à quinze jours à compter de l'émission des données, paraît adaptée.

Le Conseil d'État estime en outre que ce projet ne porte pas secret médical garanti par l'article L. 1110‑4 du code de la santé publique, lequel ne s'impose qu'aux professionnels.

En revanche, le Conseil d'État émet un avis défavorable à une disposition prévoyant que le téléchargement et l'utilisation de l'application ne peuvent donner lieu à des avantages ou droits spécifiques qui seraient refusés aux personnes n'ayant pas téléchargé ou n'utilisant pas l'application et qu'aucun tiers ne peut obliger une personne à utiliser l'application, ni exercer un droit de regard sur l'existence de l'application ou son contenu, dès lors que ces dispositions édictent des interdictions, notamment applicables aux relations entre personnes privées, qui relèvent des principes fondamentaux des obligations civiles et commerciales dont la détermination est réservée au législateur par l'article 34 de la Constitution.

Toutefois, des limites sont posées par la législation en vigueur à des pratiques consistant pour des personnes privées à subordonner des droits ou avantages à l'utilisation de cette application.

Décret n° 2018‑1254 du 26 décembre 2018 prévoyant l’accès des commissaires aux comptes, dans le cadre de leur mission légale de certification des comptes des établissements publics de santé, et des prestataires extérieurs, aux fins de traitement des données, aux données du dossier médical des patients, lesquelles portent sur l’identité du patient, son lieu de résidence, ses pathologies et les actes de diagnostic et de soins réalisés au cours de son séjour dans l’établissement.

1) Il résulte de l’article L. 823‑9 du code de commerce que les commissaires aux comptes doivent seulement, pour l’accomplissement de leur mission légale de certification des comptes des établissements publics de santé, être en mesure de justifier que les comptes annuels de ces établissements sont réguliers et sincères et donnent une image fidèle du résultat des opérations de l’exercice écoulé ainsi que de leur situation financière et de leur patrimoine.

Il ressort des pièces du dossier, notamment des observations de caractère général présentées par le Haut Conseil du commissariat aux comptes (H3C) en application de l’article R. 625‑3 du code de justice administrative, que l’accès à l’ensemble des données de santé, issues du dossier médical des patients, mentionnées à l’article R. 6113‑1 du code de la santé publique (CSP), est nécessaire à l’accomplissement de cette mission, pour un échantillon de dossiers permettant de vérifier par sondage la fiabilité et la traçabilité des données utilisées pour le calcul des recettes de l’établissement, depuis l’admission du patient jusqu’à la facturation.

En revanche, il n’en ressort pas que cette mission ne puisse être accomplie à partir de données faisant l’objet de mesures de protection techniques et organisationnelles adéquates, telles que – à défaut du recours, à titre d’expériment, à un médecin responsable de l’information médicale dans un autre établissement – la pseudonymisation des données, dont l’article 25 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) prévoit la mise en œuvre pour protéger les droits de la personne concernée et garantir, à cette fin, que les personnes dont les données sont traitées ne puissent être identifiées.

Par suite, si le décret attaqué a pu, sans méconnaître la portée de l’article L. 6113‑7 du CSP, pour encadrer les conditions dans lesquelles les commissaires aux comptes ont accès à ces données, se borner, d’une part, à prévoir qu’ils peuvent seulement les consulter, dans le cadre de leur mission légale, sans création ni modification de données, avec une information adaptée des patients, en limitant la conservation à la durée strictement nécessaire à cette mission et en rappelant l’obligation de secret à laquelle ils sont soumis, et d’autre part, à limiter leur accès aux seules données « nécessaires… » dans la stricte limite de ce qui est nécessaire à leurs missions, sans exclure par principe leur accès à aucune de ces données, il est en revanche entaché d’illégalité en tant qu’il ne prévoit pas de mesures techniques et organisationnelles propres à garantir la protection du droit de la personne concernée au respect du secret médical rappelé par l’article L. 1110‑4 du CSP.

2) En se bornant à prévoir que les prestataires extérieurs qui contribuent au traitement des données à caractère personnel mentionnées à l’article R. 6113‑1 du CSP sont placés sous la responsabilité du médecin responsable de l’information médicale, qu’ils interviennent dans le cadre de leur contrat de sous‑traitance, qu’ils sont soumis à l’obligation de secret, dont la méconnaissance est punie conformément aux articles 226‑13 et 226‑14 du code pénal, qu’ils peuvent accéder « aux seules données à caractère personnel nécessaires… » dans la stricte limite de ce qui est nécessaire à leurs missions et qu’ils ne peuvent conserver les données mises à disposition par l’établissement au-delà de la durée strictement nécessaire aux activités qui leur ont été confiées par contrat, sans prévoir de mesures techniques et organisationnelles propres à assurer que seules sont traitées, avec des garanties suffisantes, les données identifiables qui sont nécessaires au regard des finalités du traitement ni de dispositions destinées à garantir qu’ils accomplissent effectivement ces activités sous l’autorité du praticien responsable de l’information médicale, quel qu’en soit le lieu, le décret attaqué n’a pas prévu de garanties suffisantes pour assurer que l’accès aux données n’excède pas celui qui est strictement nécessaire à l’exercice de la mission qui leur est reconnue par la loi.

Secret médical, Accès aux données du dossier médical des patients, commissaires aux comptes, mesures techniques et organisationnelles, prestataires extérieurs, garanties suffisantes, exercice de leur mission

L'article 4, paragraphe 1, sous c) et e), de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, lu en combinaison avec les articles 5 et 10, l'article 13, paragraphe 2, sous b), ainsi que l'article 16, paragraphes 2 et 3, de celle‑ci, et à la lumière des articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens qu'il s'oppose à une législation nationale qui prévoit la conservation, par les autorités de police, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, de données à caractère personnel, notamment de données biométriques et génétiques, concernant des personnes ayant fait l'objet d'une condamnation pénale définitive pour une infraction pénale intentionnelle relevant de l'action publique, et ce jusqu'au décès de la personne concernée, y compris en cas de réhabilitation de celle‑ci, sans mettre à la charge du responsable du traitement l'obligation de vérifier régulièrement si cette conservation est toujours nécessaire, ni reconnaître à ladite personne le droit à l'effacement de ces données, dès lors que leur conservation n'est plus nécessaire au regard des finalités pour lesquelles elles ont été traitées, ou, le cas échéant, à la limitation du traitement de celles‑ci.

Le recueil et la conservation de divers types de données personnelles s'analysent comme une ingérence dans le droit du requérant au respect de sa vie privée. La prise d'empreintes palmaires, en particulier, constitue une mesure qui, sur le plan de son intensité et de l'utilisation future éventuelle des données recueillies, est très similaire à celle de la prise d'empreintes digitales. Par conséquent, les mêmes considérations doivent s'appliquer. Il y a lieu de considérer que le signalement du requérant et son enregistrement dans les fichiers de la police aux fins d'une identification future sont comparables à la prise d'une photographie, quoique moins intrusifs. L'article 8 est donc applicable à cette mesure. L'ingérence litigieuse était conforme à la loi et avait pour objectif la prévention du crime ainsi que la protection des droits d'autrui en facilitant les enquêtes relatives à de futures infractions.

La mesure litigieuse ménageait un juste équilibre entre des intérêts publics et privés concurrents et relève donc de la marge d'appréciation de l'État défendeur.

Pour apprécier la proportionnalité de l'ingérence, il est important que le recueil et la conservation des données d'identification dont il est question en l'espèce – photographies, empreintes digitales et palmaires et signalement – aient constitué une ingérence moins intrusive que le recueil d'échantillons cellulaires et la conservation de profils ADN, qui contiennent des informations beaucoup plus sensibles.

En ce qui concerne la durée de la conservation des données d'identification en question, le droit interne pertinent prévoit des délais précis au terme desquels la nécessité de conserver les données doit être réexaminée. L'objet de la conservation ainsi que le type et l'importance du motif de la conservation doivent être pris en compte dans cette appréciation. Dans une affaire comme celle du requérant – un délinquant adulte dont les infractions ne sont ni mineures ni particulièrement graves selon la définition de la directive applicable – la règle veut que les données personnelles soient supprimées au bout de cinq ans en l'absence d'ouverture d'une nouvelle enquête pénale visant le requérant dans ce délai. Le requérant peut donc obtenir la suppression de ses données dans les fichiers de police si son comportement démontre que les données ne sont plus nécessaires au travail de la police. La présente affaire se distingue par conséquent d'affaires telles que S. et Marper et Gaughran c. Royaume‑Uni, qui concernaient la conservation de données pour une durée indéterminée, ou M.K. c. France, dans laquelle il avait été constaté qu'en pratique, les données étaient conservées pendant vingt‑cinq ans.

En outre, en l'espèce, la nécessité de conserver les données en question peut faire l'objet d'un réexamen – par la police, susceptible de contrôle juridictionnel. Rien n'indique que les données d'identification sont insuffisamment protégées contre des abus tels qu'un accès ou une diffusion non autorisés.

Au vu du degré relativement limité de l'intrusion et de la durée du recueil des données d'identification en question, de l'effet limité sur la vie quotidienne du requérant de la conservation des données dans une base de données interne de la police et de la présence de garanties, la mesure litigieuse constituait une ingérence proportionnée dans le droit du requérant au respect de sa vie privée.

Etaient conservés, sans limitation de durée et sans possibilité de réexamen, le profil ADN, les empreintes digitales et la photographie du requérant qui avait été reconnu coupable de conduite en état d'ivresse en Irlande du Nord et dont la condamnation avait été rayée de son casier judiciaire à l'expiration du délai prévu par la loi.

La Cour EDH a conclu à la violation de l'article 8 de la Convention.

La conservation du profil ADN et des empreintes digitales du requérant s'analyse en une atteinte à son droit au respect de sa vie privée. La conservation des données biométriques et des photographies poursuivait un but légitime, à savoir la prévention des infractions pénales.

Les États jouissent d'une marge d'appréciation réduite lorsqu'ils sont appelés à fixer des limites concernant la conservation des données biométriques de personnes ayant été condamnées. Néanmoins, la durée de conservation de ces données ne constitue pas nécessairement un critère déterminant lorsqu'il s'agit de rechercher si un État a outrepassé sa marge d'appréciation en la matière. La question de savoir si les règles mises en place tiennent compte de la gravité de l'infraction commise et de la nécessité de conserver les données en question, et si des garanties effectives ont été mises en place revêt également de l'importance. Lorsqu'un État se place aux confins de sa marge d'appréciation en s'attribuant le pouvoir le plus étendu en matière de conservation des données, c'est‑à‑dire le pouvoir de conserver des données sans limitation de durée, l'existence de certaines garanties effectives devient déterminante.

Les autorités ont conservé les données biométriques et la photographie du requérant sans prendre en considération ni la gravité de l'infraction commise ni la nécessité de conserver ces données sans limitation de durée. En outre, la police n'avait le pouvoir d'effacer les données biométriques et les photographies de personnes reconnues coupables que dans des cas exceptionnels. Par ailleurs, aucune disposition ne permettait au requérant de présenter une demande d'effacement si la conservation des données le concernant n'apparaissait plus pertinente compte tenu de la finalité du fichier, au regard de la nature de l'infraction qu'il avait commise, de son âge lors de sa commission, du temps écoulé depuis lors et de sa personnalité actuelle. En conséquence, il apparaît que les possibilités de réexamen étaient tellement restreintes qu'elles en devenaient presque hypothétiques.

Le caractère indifférencié des pouvoirs de conservation du profil ADN, des empreintes digitales et de la photographie du requérant au motif qu'il avait été reconnu coupable d'une infraction, entre‑temps radiée de son casier judiciaire, sans examen de la gravité de l'infraction commise ni de la nécessité de conserver indéfiniment les données en question, et sans possibilité réelle de réexamen de la mesure litigieuse, n'a pas ménagé un juste équilibre entre les intérêts publics et privés concurrents en jeu. L'État jouissait d'une marge d'appréciation légèrement plus ample en ce qui concerne la conservation des empreintes digitales et des photographies. Néanmoins, cette marge d'appréciation n'était pas suffisamment ample pour que la conservation des données concernées puisse être considérée comme proportionnée compte tenu des circonstances de la cause, notamment de l'absence de garanties suffisantes, et plus particulièrement de l'absence de possibilité réelle de réexamen de la mesure litigieuse.

L'État défendeur a donc outrepassé la marge d'appréciation acceptable à cet égard. Partant, la conservation litigieuse s'analyse en une atteinte disproportionnée au droit du requérant au respect de sa vie privée et ne peut passer pour nécessaire dans une société démocratique.

Les dispositions contestées modifient l'article 9 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés afin de fixer le régime des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes, lorsque ces traitements ne sont pas mis en œuvre par les autorités compétentes à des fins pénales au sens de la directive européenne du 27 avril 2016.

1) En premier lieu, d'une part, en adoptant ces dispositions, le législateur a entendu permettre la mise en œuvre de traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes par des personnes collaborant au service public de la justice, telles que des associations d'aide aux victimes ou d'accompagnement de personnes placées sous main de justice. Il a également entendu ouvrir cette faculté aux personnes victimes ou mises en cause dans une procédure pénale, afin de leur permettre de préparer ou de mettre en œuvre un recours en justice. Ce faisant, le législateur a poursuivi des objectifs d'intérêt général.

2) En second lieu, d'une part, en prévoyant qu'elles s'appliquent aux personnes morales de droit privé collaborant au service public de la justice appartenant à des catégories dont la liste est fixée par décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, ainsi qu'aux personnes agissant soit en tant que victimes ou mises en cause soit pour le compte de ces dernières, les dispositions contestées circonscrivent suffisamment le champ des personnes ainsi autorisées à mettre en œuvre un traitement de données à caractère personnel en matière pénale. D'autre part, la mise en œuvre de ces traitements ne peut être effectuée, dans le premier cas, que dans la mesure strictement nécessaire à la mission exercée par la personne collaborant au service public de la justice et, dans le second, que pour une durée strictement proportionnée aux finalités poursuivies par les personnes victimes ou mises en cause. Dans ce dernier cas, la communication à un tiers n'est possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite des mêmes finalités. Enfin, la mise en œuvre de ces traitements de données est subordonnée au respect des garanties prévues par le règlement européen du 27 avril 2016, en particulier les conditions posées à ses articles 5 et 6, et à celles prévues par la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Le législateur, qui n'était pas tenu de prévoir un dispositif d'autorisation préalable des traitements de données en cause, n'a donc pas méconnu le droit au respect de la vie privée.

1) La législation contestée exige la conservation et le stockage automatiques et continus du contenu de toutes les communications Internet (communications vocales, textuelles, visuelles, sonores, vidéo ou d'autres communications électroniques) pendant une durée de six mois et des données de connexion correspondantes pendant une durée d'un an. Elle concerne tous les utilisateurs, même en l'absence de soupçon raisonnable de participation à des activités criminelles ou à des activités mettant en danger la sécurité nationale, ou de toute autre raison de penser que la conservation des données peut contribuer à la lutte contre les formes graves de criminalité ou à la protection de la sécurité nationale. Il n'y a aucune limitation du champ d'application de la mesure en termes d'application territoriale ou temporelle ou de catégories de personnes susceptibles de voir leurs données à caractère personnel conservées. La Cour conclut que l'ingérence est exceptionnellement étendue et grave. La législation ne peut être considérée comme nécessaire dans une société démocratique et porte atteinte à l'essence même du droit au respect de la vie privée garanti par le article 8 CEDH. L'État défendeur a donc outrepassé toute marge d'appréciation acceptable à cet égard.

2) Contrairement à la législation en cause qui prévoit un accès direct aux communications Internet et par les services de sécurité sans autorisation judiciaire préalable, la Cour recommande une obligation de présenter une autorisation d'interception au fournisseur de services de communication avant d'obtenir l'accès aux communications d'une personne en ce qu'elle constitue une garantie importante contre les abus des autorités répressives, en veillant à ce qu'une autorisation en bonne et due forme soit obtenue dans tous les cas de surveillance secrète.

3) L'obligation légale de déchiffrer les communications chiffrées de bout en bout risque d'équivaloir à une obligation pour les fournisseurs de tels services d'affaiblir le mécanisme de chiffrement pour tous les utilisateurs et n'est donc pas proportionnée aux buts légitimes poursuivis.

L'article 15, paragraphe 1, de la directive 2002/58/CE du 12 juillet 2002 s'oppose à une réglementation nationale régissant la protection et la sécurité des données relatives au trafic et des données de localisation, en particulier l'accès des autorités nationales compétentes aux données conservées, sans limiter, dans le cadre de la lutte contre la criminalité, cet accès aux seules fins de lutte contre la criminalité grave, sans soumettre ledit accès à un contrôle préalable par une juridiction ou une autorité administrative indépendante, et sans exiger que les données en cause soient conservées sur le territoire de l'Union.

Dans le cadre d'une instruction, les dispositions contestées autorisent le juge d'instruction ainsi que l'officier de police judiciaire à se faire communiquer des données de connexion ou à y avoir accès. Les données de connexion comportent notamment les informations relatives à l'identification des personnes, à leur localisation et à leurs contacts téléphoniques et numériques ainsi qu’aux services de communication au public en ligne qu’elles consultent. Compte tenu de leur nature, de leur diversité et des traitements dont elles peuvent faire l'objet, les données de connexion fournissent sur les personnes en cause ainsi que, le cas échéant, sur des tiers, des informations nombreuses et précises, particulièrement attentatoires à leur vie privée. Toutefois, en premier lieu, en adoptant les dispositions contestées, le législateur a poursuivi l'objectif de valeur constitutionnelle de recherche des auteurs d'infractions. En second lieu, la réquisition de données de connexion intervient à l'initiative du juge d'instruction, magistrat du siège dont l'indépendance est garantie par la Constitution, ou d'un officier de police judiciaire qui y a été autorisé par une commission rogatoire délivrée par ce magistrat. D'une part, ces dispositions ne permettent la réquisition de données de connexion que dans le cadre d’une information judiciaire, dont l'ouverture n'est obligatoire qu'en matière criminelle et pour certains délits. Si une information peut également être ouverte pour les autres infractions, le juge d'instruction ne peut informer, en tout état de cause, qu’en vertu d’un réquisitoire du procureur de la République ou, en matière délictuelle et dans les conditions prévues aux articles 85 et suivants du code de procédure pénale, à la suite d’une plainte avec constitution de partie civile. D'autre part, dans le cas où la réquisition de données de connexion est mise en œuvre par un officier de police judiciaire en exécution d'une commission rogatoire, cette commission rogatoire, datée et signée par le magistrat, précise la nature de l'infraction, objet des poursuites, et fixe le délai dans lequel elle doit être retournée avec les procès‑verbaux dressés pour son exécution par l'officier de police judiciaire. Ces réquisitions doivent se rattacher directement à la répression de cette infraction et sont, conformément à l'article 152 du code de procédure pénale, mises en œuvre sous la direction et le contrôle du juge d'instruction. En outre, conformément aux articles 175‑2 et 221‑1 du code de procédure pénale, la durée de l'information ne doit pas, sous le contrôle de la chambre de l'instruction, excéder un délai raisonnable au regard de la gravité des faits reprochés à la personne mise en examen, de la complexité des investigations nécessaires à la manifestation de la vérité et de l'exercice des droits de la défense. Dès lors, les dispositions contestées opèrent une conciliation équilibrée entre l'objectif de valeur constitutionnelle de recherche des auteurs d'infractions et le droit au respect de la vie privée.