Articles L. 34-1, III et R. 10-13 du code des postes et communications électroniques ; articles 60-1, 60-2, 77-1-1, 77-1-2, 99-3 et 99-4, 593 et 802 du code de procédure pénale.

https://eur-lex.europa.eu/legal-content/fr/TXT/?uri=CELEX:32009L0136

https://eur-lex.europa.eu/legal-content/fr/TXT/?uri=CELEX:62018CJ0746

https://eur-lex.europa.eu/legal-content/fr/TXT/?uri=CELEX:61977CJ0106

https://eur-lex.europa.eu/legal-content/fr/TXT/?uri=CELEX:62018CJ0511

https://eur-lex.europa.eu/legal-content/fr/TXT/?uri=CELEX:12007P011

https://eur-lex.europa.eu/legal-content/fr/TXT/?uri=CELEX:12007P008

https://eur-lex.europa.eu/legal-content/fr/TXT/?uri=CELEX:12007P007

https://eur-lex.europa.eu/legal-content/fr/TXT/?uri=CELEX:12007P052

https://eur-lex.europa.eu/legal-content/fr/TXT/?uri=CELEX:32002L0058

https://eur-lex.europa.eu/legal-content/fr/TXT/?uri=CELEX:62020CJ0140

Article 8 de la Convention de sauvegarde des droits de l'homme et des libertés fondamentales ; Convention du Conseil de l'Europe sur la cyber-criminalité, signée à Budapest le 23 novembre 2001.

Le principe de primauté du droit de l'Union européenne impose d'assurer le plein effet de ses dispositions en laissant, au besoin, inappliquée toute réglementation contraire de la législation nationale. Doivent être écartés, comme contraires au droit de l'Union européenne, lequel s'oppose à une conservation généralisée et indifférenciée, à titre préventif, des données de trafic et de localisation aux fins de lutte contre la criminalité, quel que soit son degré de gravité, l'article L. 34-1, III, du code des postes et communications électroniques, dans sa version issue de la loi n° 2013-1168 du 18 décembre 2013, ainsi que l'article R. 10-13 dudit code, en ce qu'ils imposaient aux opérateurs de services de communications électroniques, aux fins de lutte contre la criminalité, la conservation généralisée et indifférenciée des données de connexion, à l'exception des données relatives à l'identité civile, aux informations relatives aux comptes et aux paiements, ainsi qu'en matière de criminalité grave, à celles relatives aux adresses IP attribuées à la source d'une connexion. En revanche et dès lors que le droit de l'Union européenne admet la conservation généralisée et indifférenciée des données de connexion aux fins de sauvegarde de la sécurité nationale, est conforme au droit de l'Union l'obligation faite aux opérateurs de télécommunications électroniques de conserver ces données de manière généralisée et indifférenciée en raison de la menace grave, réelle et actuelle ou prévisible à laquelle la France se trouve exposée depuis décembre 1994, du fait du terrorisme et de l'activité de groupes radicaux et extrémistes. Par ailleurs, le droit de l'Union européenne, qui autorise la délivrance d'une injonction tendant à la conservation rapide des données relatives au trafic et des données de localisation stockées par les opérateurs, soit pour leurs besoins propres, soit au titre d'une obligation de conservation imposée aux fins de sauvegarde de la sécurité nationale, permet d'accéder auxdites données pour l'élucidation d'une infraction déterminée. A cet égard, les articles 60-1 et 60-2 applicables en enquête de flagrance, 77-1-1 et 77-1-2 relatifs aux enquêtes préliminaires, 99-3 et 99-4 concernant l'ouverture d'une information du code de procédure pénale, doivent être analysés comme valant injonction de conservation rapide. Il appartient donc à la juridiction, saisie d'une contestation sur le recueil des données de connexion, de vérifier que, d'une part, la conservation rapide respecte les limites du strict nécessaire, d'autre part, les faits relèvent de la criminalité grave, au regard de la nature des agissements en cause, de l'importance du dommage qui en résulte, des circonstances de la commission des faits et de la durée de la peine encourue. S'agissant de l'autorisation d'accéder aux données de connexion qui, selon la jurisprudence de la Cour de justice de l'Union européenne (CJUE), ne peut relever de la compétence du ministère public, ne sont pas conformes au droit de l'Union les articles 60-1, 60-2, 77-1-1 et 77-1-2 du code de procédure pénale, en ce qu'ils ne prévoient pas, préalablement à l'accès aux données, un contrôle par une juridiction ou une entité administrative indépendante. En revanche, le juge d'instruction, qui n'exerce pas l'action publique mais statue de façon impartiale sur le sort de celle-ci, est habilité à contrôler l'accès aux données de connexion. En cas d'irrégularité affectant la conservation ou l'accès aux données de connexion, le principe d'effectivité posé par la Cour de justice de l'Union européenne (CJUE) est respecté, la législation française, et notamment les articles 156 et suivants du code de procédure pénale, offrant à toute personne mise en examen ou poursuivie la possibilité de contester efficacement la pertinence des éléments de preuve résultant de l'exploitation des données de connexion. Par ailleurs, dès lors que les modalités de conservation et d'accès aux données de connexion ont pour objet la protection du droit au respect de la vie privée, du droit à la protection des données à caractère personnel et du droit à la liberté d'expression, leur méconnaissance n'affecte qu'un intérêt privé, de sorte que le requérant à la nullité n'est recevable que s'il prétend être titulaire ou utilisateur de l'une des lignes identifiées ou s'il établit qu'il a été porté atteinte à sa vie privée. L'existence d'un grief pris de l'absence de contrôle préalable par une juridiction ou une entité administrative indépendante n'est établie que lorsque l'accès a porté sur des données irrégulièrement conservées, pour une finalité moins grave que celle ayant justifié la conservation hors hypothèse de la conservation rapide, n'a pas été circonscrit à une procédure visant à la lutte contre la criminalité grave ou a excédé les limites du strict nécessaire.