Commentaire de la décision 2020-841 QPC

 

Le Conseil constitutionnel a été saisi le 13 février 2020 par le Conseil d'État (décision n^o 433539 du 12 février 2020) d'une question prioritaire de constitutionnalité (QPC) posée par les associations La Quadrature du Net, French Data Network, Franciliens.Net et Fédération des fournisseurs d'accès à Internet associatifs portant sur la conformité aux droits et libertés que la Constitution garantit des trois derniers alinéas de l'article L. 331-21 du code de la propriété intellectuelle (CPI), dans sa rédaction résultant de la loi n° 2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur internet.

 

Dans sa décision n° 2020-841 QPC du 20 mai 2020, le Conseil a déclaré contraires à la Constitution les troisième et quatrième alinéas de l'article L. 331-21 du CPI, dans cette rédaction, ainsi que le mot « notamment » figurant à son cinquième et dernier alinéa. Le reste du dernier alinéa a été déclaré conforme à la Constitution.

 

I. – Les dispositions contestées

 

A. – Historique et objet des dispositions contestées

 

1. – Les missions de la Haute autorité de diffusion des œuvres et de protection des droits sur internet (Hadopi)

 

* Créée par la loi n° 2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur internet, la Hadopi est une autorité publique indépendante qui, en vertu de l'article L. 331-13 du CPI, exerce trois missions générales :

 

« 1° Une mission d'encouragement au développement de l'offre légale et d'observation de l'utilisation licite et illicite des œuvres et des objets auxquels est attaché un droit d'auteur ou un droit voisin sur les réseaux de communications électroniques utilisés pour la fourniture de services de communication au public en ligne ;

 

« 2° Une mission de protection de ces œuvres et objets à l'égard des atteintes à ces droits commises sur les réseaux de communications électroniques utilisés pour la fourniture de services de communication au public en ligne ;

 

« 3° Une mission de régulation et de veille dans le domaine des mesures techniques de protection et d'identification des œuvres et des objets protégés par un droit d'auteur ou par un droit voisin ».

 

* En vertu de l'article L. 331-15 du CPI, ces missions sont exercées, sauf disposition législative contraire, par le « collège » de la Haute autorité, composé de neuf membres nommés pour un mandat de six ans par décret¹.

Outre ce collège, la Hadopi comporte une « commission de protection des droits », composée de trois membres également nommés pour six ans par décret : un membre en activité du Conseil d'État désigné par le vice-président du Conseil d'État, un membre en activité de la Cour de cassation désigné par le premier président de la Cour de cassation et un membre en activité de la Cour des comptes désigné par le premier président de la Cour des comptes.

 

La commission de protection des droits assure plus particulièrement la protection des objets et œuvres auxquels est attaché un droit d'auteur ou un droit voisin contre les atteintes à ces droits commises sur internet. À cette fin, elle est chargée de mettre en œuvre la procédure dite de réponse graduée, prévue à l'article L. 331–25 du CPI.

 

* La procédure de réponse graduée a pour objet d'assurer le respect de l'obligation, énoncée à l'article L.  336-3 du CPI et pesant sur le titulaire d'un accès à internet, de veiller à ce que cet accès ne soit pas utilisé pour télécharger ou mettre à disposition sur le réseau des œuvres ou des objets protégés par le droit d'auteur ou par un droit voisin sans l'autorisation des titulaires de ces droits.

 

La commission peut en effet être saisie de faits susceptibles de constituer un manquement à cette obligation soit par les agents assermentés désignés par les organismes de défense professionnelle, les organismes de gestion collective et le Centre national du cinéma et de l'image animée², soit par le procureur de la République (article L. 331-24 du CPI). Les faits en cause ne peuvent pas remonter à plus de six mois.

 

Lorsqu'elle est saisie de tels faits, la commission peut, en vertu du premier alinéa de l'article L. 331-25 du CPI, adresser par courriel au titulaire de l'abonnement à internet une « recommandation » rappelant l'obligation de surveillance de son accès à internet, lui enjoignant de la respecter et l'alertant sur les sanctions pénales encourues³.

 

La procédure s'arrête alors si aucun autre manquement à l'obligation de surveillance de son accès à internet n'est constaté. En revanche, en cas de renouvellement de faits susceptibles de constituer un tel manquement dans un délai de six mois, le deuxième alinéa du même article L. 331-25 prévoit que la commission peut adresser une nouvelle recommandation comportant les mêmes informations que la précédente par la voie électronique mais assortie, cette fois–ci, « d'une lettre remise contre signature ou de tout autre moyen propre à établir la preuve de la date de présentation de cette recommandation ».

 

* Dans l'hypothèse où, dans l'année suivant cette seconde recommandation, des faits susceptibles de constituer un manquement à l'obligation de surveillance de son accès à internet par le titulaire de l'abonnement sont à nouveau constatés, la commission de protection des droits peut saisir l'autorité judiciaire en vue de l'engagement de poursuites pénales sur le fondement de l'article R. 335-5 du CPI relatif à la contravention pour « négligence caractérisée ». 

 

Cette contravention sanctionne le titulaire d'un accès à internet n'ayant pas empêché l'utilisation de sa connexion à des fins de contrefaçon, sans motif légitime. La « négligence caractérisée » est plus précisément constituée, aux termes du paragraphe I de l'article R. 335-5 précité par le fait « soit de ne pas avoir mis en place un moyen de sécurisation de cet accès », « soit d'avoir manqué de diligence dans la mise en œuvre de ce moyen ». Elle est punie, à titre principal, de l'amende prévue pour les contraventions de la cinquième classe, soit une amende d'un montant de 1 500 euros pour une personne physique et de 7 500 euros pour une personne morale.

 

Une telle sanction ne peut toutefois être infligée, en vertu du paragraphe II de l'article R. 335-5, que si, d'une part, le titulaire de l'accès à internet, dans le cadre d'une procédure de réponse graduée, « s'est vu recommander par la commission de protection des droits de mettre en œuvre un moyen de sécurisation de son accès permettant de prévenir le renouvellement d'une utilisation de celui-ci à des fins de reproduction, de représentation ou de mise à disposition ou de communication au public d'œuvres ou d'objets protégés par un droit d'auteur ou par un droit voisin sans l'autorisation des titulaires des droits » et si, d'autre part, son accès à internet a une nouvelle fois été utilisé pour procéder à des téléchargements ou des mises à disposition contraires au droit d'auteur et aux droits voisins dans l'année ayant suivi cette recommandation.

 

C'est ainsi la répétition de manquements à l'obligation de surveillance de son accès à internet qui, seule, peut conduire à une sanction pénale pour négligence caractérisée et cette sanction ne peut être appliquée qu'en cas d'échec de la démarche pédagogique que représente la procédure de réponse graduée.

 

Il en va différemment du délit de contrefaçon, prévu aux articles L. 335-2, L. 335–3 et L. 335-4 du CPI, qui peut être sanctionné sans mise en œuvre préalable de la procédure de réponse graduée. Toutefois, cette dernière vise également à prévenir le renouvellement de ce délit et la commission de protection des droits peut, lorsque ses recommandations aux titulaires des abonnements n'ont pas été efficaces, saisir l'autorité judiciaire en vue de l'engagement de poursuites à l'encontre de l'auteur d'une mise à disposition illicite sur internet sur ce fondement. Une peine de trois ans d'emprisonnement et une amende de 300 000 euros (ou 1 500 000 euros s'agissant d'une personne morale) sont alors encourues à titre principal.

 

* En cas de négligence caractérisée comme en cas de délit de contrefaçon, une peine complémentaire de suspension de l'accès à internet peut en outre être prononcée.

 

Le législateur avait initialement prévu de confier le pouvoir de prononcer une telle sanction à la commission de protection des droits de la Hadopi. Cependant, dans sa décision n° 2009-580 DC du 10 juin 2009, le Conseil constitutionnel a relevé que le pouvoir de restreindre ou d'empêcher l'accès à internet pouvait limiter l'exercice, par toute personne, de son droit de s'exprimer et de communiquer librement, alors que la liberté de communication et d'expression, énoncée à l'article 11 de la Déclaration des droits de l'homme et du citoyen de 1789, implique aujourd'hui la liberté d'accéder à internet. Il a dès lors jugé que la loi ne pouvait, quelles que soient les garanties encadrant le prononcé des sanctions, confier de tels pouvoirs à une autorité administrative dans le but de protéger les droits d'auteur⁴.

 

Le législateur est donc à nouveau intervenu pour les confier à l'autorité judiciaire. La loi n° 2009-1311 du 28 octobre 2009 relative à la protection pénale de la propriété littéraire et artistique sur internet a ainsi institué deux peines complémentaires de suspension de l'accès à un service de communication au public en ligne : l'une, prévue à l'article L. 335-7 du CPI, destinée à réprimer le délit de contrefaçon commis au moyen de ce type de service, l'autre, contraventionnelle, prévue à l'article L. 335-7-1 du même code et devant notamment réprimer l'infraction de négligence caractérisée. Dans cette dernière hypothèse, la durée de la suspension ne peut excéder un mois.

 

Si la Hadopi n'est pas compétente pour prononcer les mesures de suspension de l'accès à internet, les membres de la commission des droits ainsi que ses agents assermentés peuvent constater les faits susceptibles de constituer une négligence caractérisée ou un délit de contrefaçon passible des peines complémentaires précitées⁵.

 

Ils peuvent également recueillir les observations des personnes ayant commis ces faits⁶.

 

Lorsqu'une mesure de suspension de l'accès à internet est adoptée par l'autorité judiciaire, la Hadopi en est informée et doit la notifier à l'opérateur de télécommunications afin qu'il la mette en œuvre dans un délai de quinze jours.

 

2. – Le droit de communication de la commission de protection des droits de la Hadopi (les dispositions contestées)

 

* En vertu du premier alinéa de l'article L. 331-21 du CPI, la Hadopi dispose, pour l'exercice des attributions de la commission de protection des droits, d'agents assermentés habilités par le président de la Haute autorité. Cette habilitation ne peut être accordée qu'après la réalisation d'une enquête administrative destinée à s'assurer que le comportement de la personne n'est pas incompatible avec l'exercice des missions qui pourraient lui être confiées⁷. Les agents assermentés, comme l'ensemble des membres et agents publics de la Haute autorité, sont astreints au secret professionnel pour les faits, actes ou renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions⁸.

 

Ce sont ces agents assermentés et les membres de la commission de protection des droits qui, conformément au deuxième alinéa de l'article L. 331-21 du CPI, reçoivent les saisines adressées à la commission en vue de la mise en œuvre de la procédure de réponse graduée et doivent procéder à l'examen des faits.

 

Pour être recevables, les saisines émanant des organismes de défense professionnelle, des organismes de gestion collective et du Centre national du cinéma et de l'image animée doivent comporter certaines données relatives aux faits susceptibles de constituer un manquement à l'obligation de surveillance de son accès à internet et aux œuvres protégées concernées par ces faits, à savoir :

• la date et l'heure des faits ;
• l'adresse IP des abonnés ;
• le protocole pair à pair utilisé ;
• le pseudonyme utilisé, le cas échéant, par l'abonné ;
• le nom du fichier tel que présent sur le poste de l'abonné ;
• le fournisseur d'accès à internet auprès duquel l'accès a été souscrit⁹.

 

À partir de ces informations ou de celles transmises, le cas échéant, par le procureur de la République, la commission de protection des droits et les agents assermentés habilités par le président de la Hadopi doivent identifier les titulaires des accès à internet ayant été utilisés pour télécharger ou mettre à disposition des œuvres ou objets protégés par le droit d'auteur sans les autorisations requises. À cette fin, ils disposent d'un droit de communication fondé sur le troisième alinéa de l'article L. 331-21 du CPI¹⁰.

 

* Le troisième alinéa de l'article L. 331-21 du CPI, dans sa rédaction résultant de la loi n° 2009-669 du 12 juin 2009 précitée, prévoit que les membres de la commission de protection des droits et les agents assermentés habilités « peuvent, pour les nécessités de la procédure, obtenir tous documents, quel qu'en soit le support, y compris les données conservées et traitées par les opérateurs de communications électroniques en application de l'article L. 34-1 du code des postes et des communications électroniques et les prestataires mentionnés aux 1 et 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique ».

 

Est ainsi institué, au bénéfice de la Hadopi, un droit de communication général, portant sur tout document nécessaire à la mise en œuvre de la procédure de réponse graduée. Le législateur a en outre précisé, par la référence à l'article L. 34-1 du code des postes et des communications électroniques (CPCE), que ce droit de communication porte notamment sur les données de connexion conservées par les opérateurs de communications électroniques.

 

En effet, l'article L. 34-1 du CPCE impose aux opérateurs de communication électronique, et notamment aux personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne, d'effacer ou de rendre anonyme toute donnée relative à une communication dès que celle-ci est achevée. Cependant, il apporte trois dérogations à cette règle. L'une d'elles est l'obligation pour les opérateurs de différer d'un an leur procédure d'effacement ou d'anonymisation des données de trafic, pour les besoins d'une enquête pénale ou de la lutte contre le téléchargement illégal ou pour la prévention de certains actes de piratage informatique. Cette autorisation a pour seul but de permettre la mise à disposition de ces données à l'autorité judiciaire, à la Hadopi ou à l'agence nationale de sécurité des systèmes d'information (Anssi).

 

Le paragraphe VI de l'article L. 34-1 du CPCE précise que les données ainsi temporairement conservées « portent exclusivement sur l'identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux ». Il ajoute qu'« elles ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications ».

 

En vertu du paragraphe II de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, les fournisseurs d'accès internet et les hébergeurs de contenu sont en outre autorisés à conserver « les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires ».

 

Le droit de communication prévu par les dispositions contestées peut donc porter sur ces catégories de données conservées, par exception, par les différents opérateurs.

 

Le quatrième alinéa de l'article L. 331-21 du CPI prévoit que la Hadopi peut recevoir une copie des documents ou informations délivrés.

 

* La commission de protection des droits se sert notamment du droit de communication qui lui est reconnu pour interroger les opérateurs de télécommunication afin d'obtenir les informations relatives à l'identité du titulaire de l'accès à internet ayant été utilisé pour les faits de contrefaçon¹¹.

À titre d'illustration, le dernier alinéa de l'article L. 331-21 du CPI précise certaines des informations qui peuvent être ainsi communiquées à la commission de protection des droits : « l'identité, l'adresse postale, l'adresse électronique et les coordonnées téléphoniques de l'abonné dont l'accès à des services de communication au public en ligne a été utilisé à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d'œuvres ou d'objets protégés sans l'autorisation des titulaires des droits prévus aux livres I^er et II lorsqu'elle est requise ». 

 

Ces exemples ne limitent pas le champ du droit de communication reconnu à la commission de protection des droits de la commission de la Hadopi, qui porte sur tous documents jugés nécessaires à la mise en œuvre de la procédure de réponse graduée.

 

* Enfin, l'article L. 331-29 du CPI autorise la création, par la Haute Autorité, d'un traitement automatisé de données à caractère personnel portant sur les personnes faisant l'objet d'une procédure de réponse graduée et dont les conditions de mise en œuvre doivent être définies par décret en Conseil d'État.

 

C'est sur ce fondement qu'a été adopté le décret n° 2010-236 du 5 mars 2010 relatif au traitement automatisé de données à caractère personnel dénommé « Système de gestion des mesures pour la protection des œuvres sur internet ». Son article premier indique que ce traitement a pour finalité « la mise en œuvre, par la commission de protection des droits de la Haute autorité pour la diffusion des œuvres et la protection des droits sur internet, de la procédure de recommandations prévue par l'article L. 331-25 du code de la propriété intellectuelle ».

 

Les données traitées dans ce cadre sont définies en annexe de ce décret. Son 2° mentionne, s'agissant des données relatives à l'abonné collectées auprès des opérateurs de télécommunications, les nom et prénom de l'abonné, ses adresses postale et électronique, ses coordonnées téléphoniques et l'adresse de son installation téléphonique.

 

B. – Origine de la QPC et question posée

 

Les associations La Quadrature du Net, French Data Network, Francilien.Net et la Fédération des fournisseurs d'accès à internet associatifs avaient demandé au Premier ministre d'abroger le décret n° 2010-236 du 5 mars 2010 relatif au traitement automatisé de données à caractère personnel autorisé par l'article L. 331-29 du code de la propriété intellectuelle dénommé « Système de gestion des mesures pour la protection des œuvres sur internet ».

 

Le silence gardé par le Premier ministre sur cette demande avait fait naître une décision implicite de rejet que les associations avaient contestée devant le Conseil d'État.

 

C'est à l'appui de ce recours qu'avait été soulevée la question de la conformité aux droits et libertés que la Constitution garantit des trois derniers alinéas de l'article L. 331-21 du CPI.

 

Par sa décision précitée du 12 février 2020, le Conseil d'État l'avait renvoyée au Conseil constitutionnel au motif que « si le Conseil constitutionnel, dans les motifs et le dispositif de sa décision n° 2009-580 DC du 10 juin 2009, a déclaré ces dispositions conformes à la Constitution, l'intervention des décisions du Conseil constitutionnel n° 2015-715 DC du 5 août 2015 et n° 2017-646/647 QPC du 21 juillet 2017 revêt le caractère d'un changement dans les circonstances de droit de nature à justifier que la conformité à la Constitution des trois derniers alinéas de l'article L. 331-21 du code de la propriété intellectuelle soit à nouveau examinée par le Conseil constitutionnel ». Il avait dès lors jugé que, « compte tenu de ce changement de circonstances, la question posée présente un caractère sérieux ».

 

 

II. – L'examen de la constitutionnalité des dispositions contestées

 

A. – Les griefs

 

* Les associations requérantes soutenaient d'abord qu'en conférant à la Hadopi un droit de communication portant sur tous documents, y compris les données de connexion détenues par les opérateurs de télécommunication, sans autre garantie que l'habilitation des agents en charge de leur collecte, les dispositions renvoyées portaient une atteinte disproportionnée au droit au respect de la vie privée. 

 

Elles soutenaient également que ces dispositions méconnaissaient le droit à la protection des données à caractère personnel dans la mesure où le champ du droit de communication institué au profit de la Hadopi n'était pas limité aux données utiles à l'identification d'auteurs d'infractions et concernait des informations auxquelles les services de police judiciaire avaient par ailleurs accès.

 

Enfin, les requérantes affirmaient que les dispositions renvoyées portaient une atteinte disproportionnée au droit au secret des correspondances en raison, d'une part, de la communication de données de connexion qui, selon elles, pouvaient révéler des informations relatives au contenu des correspondances, et, d'autre part, de l'accès à des documents faisant directement apparaître un tel contenu. 

 

B. – L'examen du grief tiré de la méconnaissance du droit au respect de la vie privée

 

Après avoir estimé que les méconnaissances graves du droit au respect de la vie privée affectent la liberté individuelle¹², le Conseil constitutionnel, à compter de 1999, a rattaché le droit au respect de la vie privée à l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789. Il a jugé que la liberté proclamée par cet article « implique le respect de la vie privée »¹³.

 

La notion de « vie privée » est entendue par le Conseil constitutionnel de façon classique : c'est la sphère d'intimité de chacun.

 

Le Conseil constitutionnel juge qu'il appartient au législateur d'assurer « la conciliation entre le respect de la vie privée et d'autres exigences constitutionnelles, telles que la recherche des auteurs d'infractions et la prévention d'atteintes à l'ordre public »¹⁴.

 

La question des droits de communication reconnus à certaines administrations ou autorités publiques a donné lieu à plusieurs décisions du Conseil constitutionnel rendues notamment sur le fondement du droit au respect de la vie privée. Il convient à cet égard de distinguer la jurisprudence relative à certains droits de communication et celle relative à la communication des données de connexion, qui a marqué un infléchissement sensible.

 

1. – La jurisprudence relative à certains droits de communication

 

* Le Conseil constitutionnel a déjà eu l'occasion de se prononcer à plusieurs reprises sur des dispositions organisant un droit de communication étendu au bénéfice d'agents publics.

 

Dans sa décision n° 2011-214 QPC du 27 janvier 2012¹⁵, il était saisi de l'article 65 du code des douanes, dans sa rédaction antérieure à la loi n° 2004-1485 du 30 décembre 2004 de finances rectificative pour 2004 et dans sa rédaction modifiée par cette loi. Ces dispositions fixent une liste de personnes qui, en raison de leur activité, sont tenues de communiquer aux agents de l'administration des douanes, sur demande de ces derniers, les documents de toute nature relatifs aux opérations intéressant cette administration. Il s'agit, par exemple, des destinataires ou expéditeurs de marchandises déclarées en douane, des compagnies de transport maritime, ferroviaire, routier ou aérien, et, plus généralement de « toutes les personnes physiques ou morales directement ou indirectement intéressées à des opérations régulières ou irrégulières relevant de la compétence du service des douanes ».

 

Dans cette décision, le Conseil n'a eu à connaître que de griefs tirés de la méconnaissance de la liberté individuelle, des droits de la défense et du principe selon lequel nul n'est tenu de s'accuser, qu'il a écartés. S'il ne s'est pas expressément prononcé sur le fondement du droit au respect de la vie privée, il a implicitement écarté l'éventualité d'une atteinte inconstitutionnelle à ce droit en déclarant ces dispositions conformes à la Constitution.

 

Saisi de la loi organique relative au Défenseur des droits, le Conseil a jugé conforme à la Constitution son article 20 aux termes duquel : « Les personnes physiques ou morales mises en cause communiquent au Défenseur des droits, sur sa demande motivée, toutes informations et pièces utiles à l'exercice de sa mission. / Le Défenseur des droits peut recueillir sur les faits portés à sa connaissance toute information qui lui apparaît nécessaire sans que son caractère secret ou confidentiel puisse lui être opposé, sauf en matière de secret concernant la défense nationale, la sûreté de l'État ou la politique extérieure. Le secret de l'enquête et de l'instruction ne peut lui être opposé. / Les informations couvertes par le secret médical ou par le secret professionnel applicable aux relations entre un avocat et son client ne peuvent lui être communiquées qu'à la demande expresse de la personne concernée. Toutefois, les informations couvertes par le secret médical peuvent lui être communiquées sans le consentement de la personne concernée lorsqu'elles sont relatives à des privations, sévices et violences physiques, sexuelles ou psychiques commis sur un mineur ou une personne qui n'est pas en mesure de se protéger en raison de son âge ou de son incapacité physique ou psychique » (décision n° 2011-626 DC du 29 mars 2011¹⁶).

 

Le Conseil a également eu à connaître du droit de communication reconnu aux agents de la direction générale de la concurrence, de la consommation et de la répression des fraudes, qui portait spécifiquement sur les livres, factures et autres documents professionnels d'un avocat (décision n° 2015-715 DC du 5 août 2015¹⁷). Le Conseil a relevé, d'une part, que ces investigations avaient pour seul objet de déterminer l'existence d'un manquement à l'obligation pour un avocat de conclure une convention d'honoraires avec ses clients. D'autre part, il a constaté que ces investigations devaient être conduites « dans le respect du secret professionnel […] lequel dispose que les consultations adressées par un avocat à son client ou destinées à celui-ci, les correspondances échangées entre le client et son avocat, entre l'avocat et ses confrères à l'exception pour ces dernières de celles portant la mention "officielle", les notes d'entretien et, plus généralement, toutes les pièces du dossier entre l'avocat et son client sont couvertes par le secret professionnel ». Il a conclu que les dispositions contestées ne méconnaissaient pas les droits de la défense et ne portaient pas une atteinte disproportionnée au droit au respect de la vie privée¹⁸.

 

Le Conseil a ensuite été saisi du droit de communication reconnu aux agents de l'Autorité de la concurrence, portant sur les livres, factures et autres documents professionnels appartenant à une entreprise ou un commerçant faisant l'objet d'une enquête (décision n° 2016-552 QPC du 8 juillet 2016¹⁹), qu'il a jugé conforme à la Constitution. Répondant plus particulièrement au grief tiré de la méconnaissance du droit au respect de la vie privée et au secret des correspondances, le Conseil constitutionnel, pour l'écarter, s'est notamment attaché à la nature particulière des documents dont la communication est demandée, documents professionnels ou de travail, et sur le fait que les dispositions en cause ne permettaient pas d'exiger la communication de documents protégés par le droit au respect de la vie privée ou le secret professionnel.

 

Récemment, le Conseil a également jugé conforme à la Constitution le droit de communication reconnu aux agents assermentés du service municipal du logement par l'article L. 651-7 du code de la construction et de l'habitation (décision n° 2019-772 QPC du 5 avril 2019²⁰). Ce droit de communication se bornait à prévoir que les agents en cause pouvaient se faire présenter par les propriétaires, locataires ou autres occupants toute pièce ou document établissant les conditions dans lesquelles les lieux sont occupés. Le Conseil constitutionnel, qui n'était pas saisi d'un grief relatif au droit au respect de la vie privée, a déclaré conformes à la Constitution les dispositions en cause, après avoir écarté des griefs tirés de la méconnaissance des droits de la défense, du droit à un procès équitable et du principe selon lequel nul n'est tenu de s'accuser²¹.

 

Enfin, dans la décision n° 2019-789 QPC du 14 juin 2019, qui était relative au droit de communication de certaines données reconnu aux agents des organismes de sécurité sociale, le Conseil constitutionnel a approfondi le contrôle qu'il opérait jusqu'à présent d'un point de vue substantiel, en s'attachant de manière explicite à la fois à la sensibilité des données communiquées et à l'adéquation entre leur communication et l'objet de la mission de contrôle dévolue à l'autorité qui bénéficiait de ce droit de communication.

 

S'agissant de la sensibilité des données bancaires susceptibles d'être communiquées, il a considéré que « la communication de données bancaires permet à titre principal aux organismes sociaux d'avoir connaissance des revenus, des dépenses et de la situation familiale de la personne objet de l'investigation » et qu'elle peut donc « révéler des informations relatives aux circonstances dans lesquelles la personne a dépensé ou perçu ses revenus »²². Sur la question de l'adéquation entre l'accès à ces données et la finalité poursuivie, le Conseil a observé que, ce faisant, leur communication « présente un lien direct avec l'évaluation de la situation de l'intéressé au regard du droit à prestation ou de l'obligation de cotisation »²³. Compte tenu des garanties par ailleurs prévues et en dépit de la sensibilité particulière des données en cause, le Conseil a alors estimé que la conciliation opérée par le législateur entre  le respect de la vie privée et l'objectif de valeur constitutionnelle de lutte contre la fraude en matière de protection sociale, n'était pas déséquilibrée²⁴.

 

2. – La jurisprudence relative aux données de connexion

 

* Par le passé, le Conseil constitutionnel avait jugé conforme à la Constitution le droit de communication des données de connexion reconnus aux agents de l'Autorité des marchés financiers (décision n°  2001-457 DC du 27 décembre 2001²⁵), de la Hadopi (décision n° 2009-580 DC du 10 juin 2009 précitée) et de l'administration des douanes (décision n° 2011-214 QPC précitée²⁶).

 

Le Conseil a toutefois opéré depuis un revirement de jurisprudence, qui rend compte de la très grande sensibilité des données de connexion.

* Dans sa décision n° 2015-715 DC du 5 août 2015²⁷, le Conseil constitutionnel a eu l'occasion de se prononcer sur une procédure de communication des données de connexion conçue en faveur de l'autorité de la concurrence, sur l'exact modèle du dispositif prévu en faveur des agents des douanes et du fisc, ainsi que de l'AMF et la Hadopi²⁸.

 

Le Conseil constitutionnel a jugé « que la communication des données de connexion est de nature à porter atteinte au droit au respect de la vie privée de la personne intéressée ; que, si le législateur a réservé à des agents habilités et soumis au respect du secret professionnel le pouvoir d'obtenir ces données et ne leur a pas conféré un pouvoir d'exécution forcée, il n'a assorti la procédure prévue par le 2° de l'article 216 d'aucune autre garantie ; qu'en particulier, le fait que les opérateurs et prestataires ne sont pas tenus de communiquer les données de connexion de leurs clients ne saurait constituer une garantie pour ces derniers ; que, dans ces conditions, le législateur n'a pas assorti la procédure prévue par le 2° de l'article 216 de garanties propres à assurer une conciliation équilibrée entre, d'une part, le droit au respect de la vie privée et, d'autre part, la prévention des atteintes à l'ordre public et la recherche des auteurs d'infractions ».

 

Comme l'a souligné le commentaire de la décision n° 2017-646/647 QPC du 21 juillet 2017 (p. 14), la décision du 5 août 2015 constituait un revirement jurisprudentiel par rapport aux décisions plus anciennes précitées. Toutefois, elle s'inscrivait dans un mouvement jurisprudentiel plus large, ayant élevé les exigences en matière de protection de la vie privée et tiré les conséquences des évolutions techniques : même si les données de connexion n'incluent pas le contenu des conversations ou de la correspondance échangées, elles comportent en effet des informations de plus en plus précises puisqu'elles permettent la localisation en temps réel de l'utilisateur ou du terminal utilisé. En outre, les capacités de traitement des masses de données ainsi produites ont atteint un tel niveau qu'elles permettent d'en tirer des informations de plus en plus précises sur les personnes concernées.

 

Une telle élévation du niveau d'exigence en matière d'accès aux données de connexion s'observe d'ailleurs aussi au niveau communautaire (CJUE, Tele2 Sverige AB, 21 décembre 2016²⁹).

 

* Dans sa décision n° 2017-646/647 QPC du 21 juillet 2017 relative au droit de communication des enquêteurs de l'AMF, le Conseil constitutionnel a confirmé cette évolution dans la conciliation qu'il opère entre le droit au respect de la vie privée et les objectifs de valeur constitutionnelle de sauvegarde de l'ordre public et de recherche des auteurs d'infractions.

 

Après avoir rappelé que « la communication des données de connexion est de nature à porter atteinte au droit au respect de la vie privée de la personne intéressée », il a censuré la seconde phrase du premier alinéa de l'article L. 621-10 du code monétaire et financier, considérant que « si le législateur a réservé à des agents habilités et soumis au respect du secret professionnel le pouvoir d'obtenir ces données dans le cadre d'une enquête et ne leur a pas conféré un pouvoir d'exécution forcée, il n'a assorti la procédure prévue par les dispositions en cause d'aucune autre garantie. Dans ces conditions, le législateur n'a pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation équilibrée entre, d'une part, le droit au respect de la vie privée et, d'autre part, la prévention des atteintes à l'ordre public et la recherche des auteurs d'infractions »³⁰.

 

* Faisant application de cette jurisprudence, le Conseil constitutionnel a également censuré, en 2017, les dispositions de la loi pour la confiance dans la vie politique qui visaient à permettre à la Haute autorité pour la transparence de la vie publique (HATVP) d'exercer directement le droit de communication de certains documents ou renseignement reconnu par l'article L. 96 G du livre des procédures fiscales, texte également rendu applicable par l'article L. 114-20 du code de la sécurité sociale : « La communication des données de connexion est de nature à porter atteinte au droit au respect de la vie privée des personnes faisant l'objet du contrôle. Faute d'avoir assorti la procédure prévue par les dispositions en cause de garanties suffisantes, le législateur a porté une atteinte disproportionnée à ce droit » (décision n° 2017–752 DC du 8 septembre 2017)³¹.

 

Dans sa décision n° 2018-764 QPC du 15 février 2019, le Conseil a ensuite déclaré contraires à la Constitution, pour des motifs analogues, les dispositions du i du 1° de l'article 65 du code des douanes qui accordaient un droit de communication aux agents des douanes, compte tenu de l'insuffisance des garanties qu'elles prévoyaient dans leur rédaction résultant de la loi n° 2016-1918 du 29 décembre 2016 de finances rectificative pour 2016 : « La communication des données de connexion est de nature à porter atteinte au droit au respect de la vie privée de la personne intéressée. Si le législateur a réservé à certains agents des douanes soumis au respect du secret professionnel le pouvoir d'obtenir ces données dans le cadre d'opérations intéressant leur service et ne leur a pas conféré un pouvoir d'exécution forcée, il n'a assorti la procédure prévue par les dispositions en cause d'aucune autre garantie. Dans ces conditions, le législateur n'a pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation équilibrée entre, d'une part, le droit au respect de la vie privée et, d'autre part, la prévention des atteintes à l'ordre public et la recherche des auteurs d'infractions »³².

 

La vigilance que marque cette jurisprudence à l'égard des droits de communication généraux des données de connexion s'est confirmée dans le nouveau cadre d'analyse qu'a retenu le Conseil constitutionnel dans sa décision n° 2019-789 QPC du 14 juin 2019 précédemment évoquée, relative au droit de communication des agents des organismes de sécurité sociale.

 

En effet, si, comme on l'a vu, le Conseil constitutionnel a considéré que la communication des données bancaires ne méconnaissait pas le droit au respect de la vie privée, en raison notamment, du lien direct entre ces données et l'objet des contrôles opérés par les agents des organismes de sécurité sociale, il a en revanche jugé ce droit de communication contraire à la Constitution s'agissant des données de connexion.

 

Le Conseil a constaté que, à la différence des données bancaires, « compte tenu de leur nature et des traitements dont elles peuvent faire l'objet », les données de connexion fournissaient sur les personnes en cause « des informations nombreuses et précises, particulièrement attentatoires à leur vie privée », ce qui en fait des données particulièrement sensibles. Il a également constaté qu'elles ne présentaient, par ailleurs, « pas de lien direct avec l'évaluation de la situation de l'intéressé au regard du droit à prestation ou de l'obligation de cotisation » : si l'accès à ces données pouvait être utile pour certaines enquêtes relatives à des faits de fraude, il ne l'était pas nécessairement dans l'exercice habituel du contrôle du droit à prestation ou de l'obligation de cotisation, contrairement à l'accès à des données bancaires retraçant les revenus sur lesquels se fondent ces derniers.

 

La sensibilité plus grande des données de connexion et le lien moins étroit entre ces données et les finalités du droit de communication expliquent ainsi que le Conseil ait adopté une position à leur égard différente de celle retenue pour les données bancaires.

 

* Le Conseil constitutionnel juge inopérant à l'égard des données de connexion le grief tiré de la méconnaissance du secret des correspondances. En effet, il estime que ces données ne recouvrent pas le contenu des correspondances, mais seulement les éléments extérieurs qui permettent d'identifier les personnes ayant échangé ou les circonstances de leur échange (durée, localisation etc.)³³.

 

3. – L'application à l'espèce

 

* La QPC à l'origine de la décision commentée portait sur des dispositions qui, dans la même rédaction que celle contestée par les associations requérantes, avaient déjà été déclarées conformes à la Constitution dans les motifs et le dispositif de la décision du Conseil constitutionnel n° 2009–580 DC du 10 juin 2009 précitée.

 

Le Conseil constitutionnel devait donc tout d'abord se prononcer sur l'existence de circonstances nouvelles justifiant leur réexamen.

 

En effet, conformément aux dispositions combinées du troisième alinéa de l'article 23-2 et du troisième alinéa de l'article 23-5 de l'ordonnance du 7 novembre 1958 mentionnée ci-dessus, le Conseil constitutionnel ne peut être saisi d'une QPC relative à une disposition qu'il a déjà déclarée conforme à la Constitution dans les motifs et le dispositif d'une de ses décisions que si un changement de circonstances est intervenu postérieurement à cette déclaration de conformité.

 

En l'espèce, comme il l'avait fait dans sa décision précitée n° 2018-764 QPC,  le Conseil a considéré qu'un tel changement de circonstances était constitué par la décision n° 2015-715 DC du 5 août 2015 précitée, dans laquelle il « a jugé contraires au droit au respect de la vie privée […] des dispositions instaurant un droit de communication des données de connexion au profit des agents de l'Autorité de la concurrence analogue à celui prévu par les dispositions contestées », et qu'était donc justifié « le réexamen des dispositions contestées » (paragr. 5).

 

* Après avoir admis la recevabilité de la QPC, le Conseil constitutionnel a énoncé les normes de référence de son contrôle en qualifiant pour la première fois d'objectif de valeur constitutionnelle la sauvegarde de la propriété intellectuelle. Il clarifie ainsi la valeur de cet objectif, déjà pris en compte dans les décisions n° 2004-499 DC du 29 juillet 2004 et n° 2009–580 DC du 10 juin 2009 précitées³⁴.

 

Le Conseil devait ensuite s'assurer qu'en conférant aux membres et agents de la commission de protection des droits de la Hadopi le droit de communication défini aux troisième, quatrième et cinquième alinéas de l'article L. 331-21 du CPI, le législateur avait assuré une conciliation entre cet objectif et le droit au respect de la vie privée qui n'était pas manifestement déséquilibrée.

 

* À cette fin, il a d'abord rappelé les missions de la commission de protection des droits, qui peut être saisie de manquements à l'obligation des titulaires d'un accès à internet de veiller à ce que cet accès ne fasse pas l'objet d'une utilisation portant atteinte à un droit d'auteur ou à un droit voisin. Il a souligné qu'elle doit alors, conformément à l'article L. 331-25 du CPI, « adresser aux auteurs des manquements à l'obligation précitée une recommandation leur rappelant le contenu de cette obligation, leur enjoignant de la respecter et leur indiquant les sanctions encourues à défaut » (paragr. 7).

 

Le rappel de ces missions devait permettre au Conseil de se prononcer sur la justification du droit de communication contesté et, notamment, sur l'existence d'un lien direct entre les données pouvant être communiquées et les missions confiées aux agents de la commission de protection des droits de la Hadopi.

 

Or, au regard de ce critère, déjà dégagé par la décision n° 2019-789 QPC du 14 juin 2019 précédemment évoquée, une distinction devait être opérée entre certaines données d'identification des abonnés, mentionnées à titre illustratif par le cinquième et dernier alinéa de l'article L. 331-21 du CPI, et les dispositions conférant un droit de communication général à la commission, incluant les données de connexion.

 

* S'agissant des données d'identification des abonnés mentionnées au cinquième alinéa de l'article L. 331-21 du CPI, le Conseil a d'abord constaté qu'« À l'exception du mot « notamment », les dispositions du dernier alinéa de l'article L. 331-21 du code de la propriété intellectuelle confèrent aux agents de la Haute autorité le droit d'obtenir communication, par les opérateurs de communication électronique, de l'identité, de l'adresse postale, de l'adresse électronique et des coordonnées téléphoniques de l'abonné dont l'accès à des services de communication au public en ligne a été utilisé en violation de l'obligation énoncée à l'article L. 336-3 » (paragr. 8).

 

Le Conseil a ensuite identifié l'objectif poursuivi par le dispositif en soulignant que « le législateur a entendu renforcer la lutte contre les pratiques de contrefaçon sur internet, qui répond à l'objectif de sauvegarde de la propriété intellectuelle » (paragr. 9), avant d'examiner les garanties qui entourent sa mise en œuvre.

 

Sur ce dernier point, il a relevé que le droit de communication des données d'identification précitées, « qui n'est pas assorti d'un pouvoir d'exécution forcée, n'est ouvert qu'aux agents publics de la Haute autorité, dûment habilités et assermentés, qui sont soumis, dans l'utilisation de ces données, au secret professionnel » (paragr. 10).

 

Il a également souligné, d'une part, que « le champ des informations en cause se limite à l'identité et aux coordonnées électroniques, téléphoniques et postales des auteurs des manquements à l'obligation énoncée à l'article L. 336-3 » et, d'autre part, que ces informations sont « nécessaires pour que leur soit adressé la recommandation » prévue à l'article L. 331-25 du CPI. Les données couvertes par le droit de communication présentaient ainsi « un lien direct avec l'objet de la procédure mise en œuvre par la commission de protection des droits » (paragr. 11).

 

Le Conseil en a déduit que « le législateur a assorti le droit de communication contesté de garanties propres à assurer, entre le respect de la vie privée et l'objectif de sauvegarde de la propriété intellectuelle, une conciliation qui n'est pas manifestement déséquilibrée » (paragr. 12).

 

Toutefois, cette appréciation portait uniquement sur les données mentionnées à titre illustratif par le cinquième alinéa de l'article L. 331-25 du CPI, et non sur l'ensemble des données susceptibles d'être communiquées sur le fondement de ce même alinéa qui, compte tenu de l'usage de l'adverbe « notamment », conférait à la commission de protection des droits de la Hadopi un droit de communication au champ beaucoup plus étendu.

 

C'est ce qui a conduit le Conseil à exclure du champ de sa déclaration de conformité cet adverbe en jugeant : « À l'exception du mot « notamment », le dernier alinéa de l'article L. 331-21 du code de la propriété intellectuelle, qui ne méconnaît pas non plus le secret des correspondances, ni aucun autre droit ou liberté que la Constitution garantit, est conforme à la Constitution » (paragr. 13).

 

* Le Conseil s'est ensuite prononcé sur le droit de communication général fondé sur les troisième et quatrième alinéas de l'article L. 331-21 du CPI et sur le mot « notamment » figurant au cinquième alinéa de ce même article, qui confèrent « aux agents de la Haute autorité le droit d'obtenir communication et copie de tous documents, quel qu'en soit le support, y compris les données de connexion détenues par les opérateurs de communication électronique » (paragr. 14).

 

Cet examen l'a amené à constater que ce droit poursuivait le même objectif de protection de la propriété intellectuelle que la communication des informations d'identification précédemment évoquée, qu'il était également entouré des garanties tenant à l'habilitation des agents susceptibles de l'exercer et ne pouvait être utilisé que pour les « nécessités de la procédure mise en œuvre par la commission de protection des droits » (paragr. 15).

 

Cependant, contrairement à la communication des données d'identification mentionnées au cinquième alinéa de l'article L. 331-21 du CPI, le droit de communication général accordé à la Hadopi se caractérisait par son champ particulièrement large, qui ne permettait pas de s'assurer de l'existence d'un lien direct entre les missions de la Hadopi et les données collectées.

 

Le Conseil a dès lors souligné qu'« en faisant porter le droit de communication sur "tous documents, quel qu'en soit le support" et en ne précisant pas les personnes auprès desquelles il est susceptible de s'exercer, le législateur n'a ni limité le champ d'exercice de ce droit de communication ni garanti que les documents en faisant l'objet présentent un lien direct avec le manquement à l'obligation énoncée à l'article L. 336-3 du code de la propriété intellectuelle, qui justifie la procédure mise en œuvre par la commission de protection des droits » (paragr. 16).

 

En outre, ce droit de communication présentait la particularité d'inclure dans son champ des données particulièrement sensibles : « les données de connexion détenues par les opérateurs de communication électronique ». Comme il l'avait fait pour d'autres droits de communication de connexion dont il avait eu à connaître, le Conseil a relevé que ces dernières, « compte tenu de leur nature et des traitements dont elles peuvent faire l'objet, […] fournissent sur les personnes en cause des informations nombreuses et précises, particulièrement attentatoires à leur vie privée », alors même qu'« elles ne présentent pas non plus nécessairement de lien direct avec le manquement à l'obligation énoncée à l'article L. 336-3 » (paragr. 17).

 

Au regard de ces éléments, il a jugé que « le législateur n'a pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation qui ne soit pas manifestement déséquilibrée entre le droit au respect de la vie privée et l'objectif de sauvegarde de la propriété intellectuelle » (paragr. 18).

 

Cette appréciation confirme la vigilance particulière du Conseil à l'encontre des droits de communication institués par le législateur, en particulier lorsqu'ils portent sur des données de connexion et, plus généralement, sur des données sensibles. Elle appelle la vigilance du législateur sur l'adéquation entre le périmètre des droits de communication en cause et les missions particulières justifiant leur institution, ainsi que sur la détermination des garanties correspondantes.

 

Dans la décision commentée, le Conseil a constaté, compte tenu de ce défaut d'adéquation et de l'insuffisance des garanties prévues, que les dispositions en cause devaient être déclarées contraires à la Constitution (paragr. 19).

 

Il a considéré, comme il l'avait fait dans ses précédentes décisions sur des droits de communication en vigueur³⁵, que « l'abrogation immédiate des dispositions déclarées contraires à la Constitution entraînerait des conséquences manifestement excessives » et qu'il y avait donc « lieu de reporter au 31 décembre 2020 la date de l'abrogation des dispositions contestées » (paragr. 21).

_______________________________________

¹ L'article L. 331-16 du code de la propriété intellectuelle dispose en effet : « Le collège de la Haute Autorité est composé de neuf membres, dont le président, nommés pour une durée de six ans par décret :

« 1° Un membre en activité du Conseil d'État désigné par le vice-président du Conseil d'État ;

« 2° Un membre en activité de la Cour de cassation désigné par le premier président de la Cour de cassation ;

« 3° Un membre en activité de la Cour des comptes désigné par le premier président de la Cour des comptes ;

« 4° Un membre du Conseil supérieur de la propriété littéraire et artistique désigné par le président du Conseil supérieur de la propriété littéraire et artistique ;

« 5° Trois personnalités qualifiées, désignées sur proposition conjointe des ministres chargés des communications électroniques, de la consommation et de la culture ;

« 6° Deux personnalités qualifiées, désignées respectivement par le président de l'Assemblée nationale et par le président du Sénat.

« Le président du collège est élu par les membres parmi les personnes mentionnées aux 1°, 2° et 3°.

« Pour les membres désignés en application des 1° à 4°, des membres suppléants sont désignés dans les mêmes conditions.

« Selon des modalités fixées par décret en Conseil d'État, le collège est renouvelé partiellement tous les trois ans.

« Le mandat des membres n'est pas renouvelable.

« Le président exerce ses fonctions à temps plein ».

² En application de l'article L. 331-2 du CPI, outre les procès-verbaux des officiers ou agents de police judiciaire, la preuve de la matérialité de toute infraction aux dispositions des livres I^er, II et III du CPI et donc notamment de la méconnaissance de l'article L. 336-3 peut résulter des constatations de ces agents assermentés.

³ Le premier alinéa de l'article L. 331-25 du code de la propriété intellectuelle ajoute que « cette recommandation contient également une information de l'abonné sur l'offre légale de contenus culturels en ligne, sur l'existence de moyens de sécurisation permettant de prévenir les manquements à l'obligation définie à l'article L. 336-3 ainsi que sur les dangers pour le renouvellement de la création artistique et pour l'économie du secteur culturel des pratiques ne respectant pas le droit d'auteur et les droits voisins ».

⁴ Décision n° 2009-580 DC du 10 juin 2009, Loi favorisant la diffusion et la protection de la création sur internet, cons. 16.

⁵ Article L. 331-21-1, al. 1 du CPI.

⁶ Article L. 331-21-1, al. 2 du CPI.

⁷ Article L. 331-22, al. 2 du CPI.

⁸ Article L. 331-22, al. 1 du CPI.

⁹ Ces catégories de données, dont la transmission est définie comme une condition de recevabilité des saisines par le premier alinéa de l'article R. 331-35 du CPI, sont définies au 1° de l'annexe au décret n° 2010-236 du 5 mars 2010 relatif au traitement automatisé de données à caractère personnel autorisé par l'article L. 331-29 du CPI dénommé « Système de gestion des mesures pour la protection des œuvres sur internet », auquel renvoie le premier alinéa de l'article R. 331-35 du CPI, qui fait de leur transmission une condition de recevabilité de la saisine.

¹⁰ L'expression « droit de communication » désigne la faculté reconnue à certains organismes ou administrations d'exiger d'une personne ou de tiers la communication d'informations ou de documents qu'ils détiennent, nécessaires à l'exercice, par ces organismes ou administrations, de leurs missions.

¹¹ La commission indique alors au fournisseur d'accès à internet l'adresse IP de l'abonné en cause pour que ce fournisseur identifie l'abonné qui en bénéficie.

¹² Décision n° 97-389 DC du 22 avril 1997, Loi portant diverses dispositions relatives à l'immigration, cons. 44.

¹³ Voir notamment les décisions n^os 99-416 DC du 23 juillet 1999, Loi portant création d'une couverture maladie universelle, cons. 45 ; 2004-492 DC du 2 mars 2004, Loi portant adaptation de la justice aux évolutions de la criminalité, cons. 75 ; 2010-604 DC du 25 février 2010, Loi renforçant la lutte contre les violences de groupes et la protection des personnes chargées d'une mission de service public, cons. 21.

¹⁴ Décision n° 2011-209 QPC du 17 janvier 2012, M. Jean-Claude G. (Procédure de dessaisissement d'armes), cons. 3.

¹⁵  Décision n° 2011-214 QPC du 27 janvier 2012, Société COVED SA (Droit de communication de l'administration des douanes).

¹⁶ Décision n° 2011-626 DC du 29 mars 2011, Loi organique relative au Défenseur des droits, cons. 13 et 17.

¹⁷ Décision n° 2015-715 DC du 5 août 2015, Loi pour la croissance, l'activité et l'égalité des chances économiques.

¹⁸ Ibidem, cons. 101.

¹⁹  Décision n° 2016-552 QPC du 8 juillet 2016, Société Brenntag (Droit de communication de documents des agents des services d'instruction de l'Autorité de la concurrence et des fonctionnaires habilités par le ministre chargé de l'économie), paragr. 8 à 10.

²⁰ Décision n° 2019-772 QPC du 5 avril 2019, M. Sing Kwon C. et autre (Visite des locaux à usage d'habitation par des agents municipaux).

²¹ Ibidem, paragr. 13 et 14.

²² Décision n° 2019-789 QPC du 14 juin 2019 précitée, paragr. 13 et 14.

²³ Ibidem, paragr. 13.

²⁴ Ibid., paragr. 14.

²⁵ Décision n° 2001-457 DC du 27 décembre 2001, Loi de finances rectificative pour 2001, cons. 6 à 9.

²⁶ Dans cette dernière décision, cette validation se déduit de la déclaration de conformité à la Constitution de l'article 65 du code des douanes, qui incluait le droit de communication des données de connexion.

²⁷ Décision n° 2015-715 DC du 5 août 2015, Loi pour la croissance, l'activité et l'égalité des chances économiques, cons. 134 à 138^.

²⁸ En effet, comme l'indiquait le rapport de la commission spéciale de l'Assemblée nationale, dans son commentaire de l'article qui introduisait ce dispositif, « Ces pouvoirs sont aujourd'hui reconnus à l'Autorité des marchés financiers, comme prévu à l'article L. 621-10 du code monétaire et financier, et à la Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet, ainsi qu'en dispose l'article L. 331-21 du code de la propriété intellectuelle, ainsi qu'aux administrations fiscale et douanière, en application des articles L. 83 et L. 96 G du livre des procédures fiscales et de l'article 65 du code des douanes » (Rapport [n° 2498 - XIV^e législature] de M. Richard Ferrand et al., fait au nom de la commission spéciale de l'Assemblée nationale chargée d'examiner le projet de loi pour la croissance et l'activité, tome 2, commentaire de l'article 59 ter).

²⁹ CJUE, Tele2 Sverige AB, 21 décembre 2016, C-203/15. Cet arrêt prolonge un raisonnement déjà tenu par la cour dans son arrêt Digital Rights Ireland, 8 avril 2014, C-293/12. Si la Cour estime que le respect du principe de proportionnalité impose qu'une ingérence grave soit justifiée, en matière de prévention, de recherche, de détection et de poursuite d'infractions pénales, par un objectif de lutte contre la criminalité devant également être qualifiée de « grave », elle a toutefois précisé que « lorsque l'ingérence que comporte un tel accès n'est pas grave, ledit accès est susceptible d'être justifié par un objectif de prévention, de recherche, de détection et de poursuite d'"infractions pénales" en général » (CJUE, 2 octobre 2018, Ministerio Fiscal, C-207/16, § 56-57).

³⁰ Décision n° 2017-646/647 QPC du 21 juillet 2017 précitée, paragr. 9.

³¹ Décision n° 2017-752 DC du 8 septembre 2017, Loi pour la confiance dans la vie politique, paragr. 83.

³² Décision n° 2018-764 QPC du 15 février 2019 précitée, paragr. 8.

³³ Décision n° 2017-648 QPC du 4 août 2017, La Quadrature du Net et autres (Accès administratif en temps réel aux données de connexion), paragr. 6.

³⁴ Décision n° 2004-499 DC du 29 juillet 2004 précitée, cons. 13 et décision n° 2009-580 DC du 10 juin 2009 précitée, cons. 13.

³⁵ Cf., par exemple, sa décision précitée n° 2017-646/647 QPC, paragr. 12.