Vu la procédure suivante :
Par une requête sommaire, un mémoire complémentaire et un mémoire en réplique, enregistrés les 11 septembre et 8 décembre 2023 et le 17 juin 2024 au secrétariat du contentieux du Conseil d'Etat, le syndicat professionnel " Syndicat des éditeurs de logiciels de loisirs " (SELL) demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir le décret n° 2023-588 du 11 juillet 2023 pris pour application de l'article 1er de la loi n° 2022-300 du 2 mars 2022 visant à renforcer le contrôle parental sur les moyens d'accès à internet ;
2°) à titre subsidiaire, de saisir à titre préjudiciel la Cour de justice de l'Union européenne de la question suivante :
" Les dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) doivent-elles être interprétées en ce sens qu'elles s'opposent à une règlementation nationale d'un Etat membre prohibant par principe la collecte et le traitement des données à caractère personnel des utilisateurs mineurs lors de la mise en œuvre de dispositifs de contrôle parental intégrés à des équipements terminaux destinés à l'utilisation de services de communication au public en ligne donnant accès à des services et des contenus susceptibles de nuire à l'épanouissement physique, mental ou moral des mineurs ' "
3°) de mettre à la charge de l'Etat la somme de 7 500 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- la directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 ;
- la directive 2014/53/UE du Parlement européen et du Conseil du 16 avril 2014 ;
- la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- le règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 ;
- le code des postes et des communications électroniques ;
- la loi n° 2022-300 du 2 mars 2022 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de Mme Alexandra Bratos, auditrice,
- les conclusions de Mme Esther de Moustier, rapporteure publique ;
La parole ayant été donnée, après les conclusions, à la SCP Rocheteau, Uzan-Sarano et Goulet, avocat du Syndicat des éditeurs de logiciels de loisirs ;
Considérant ce qui suit :
1. Le syndicat des éditeurs de logiciels de loisirs (" SELL ") demande l'annulation pour excès de pouvoir du décret du 11 juillet 2023 pris pour l'application de l'article 1er de la loi du 2 mars 2022 visant à renforcer le contrôle parental sur les moyens d'accès à internet. Eu égard aux moyens soulevés, la requête doit être regardée comme dirigée contre les II et III de l'article R. 20-29-10-1 du code des postes et des communications électroniques, créé par le décret attaqué.
Sur l'intervention :
2. L'Alliance française des industries du numérique (" AFNUM ") justifie d'un intérêt suffisant à l'annulation du décret attaqué. Toutefois, une intervention ne peut être admise que si son auteur se contente de s'associer aux conclusions du requérant, sans présenter de conclusions d'annulation plus étendues. Par suite, l'intervention de l'AFNUM n'est recevable qu'en tant qu'elle est dirigée contre les II et III de l'article R. 20-29-10-1 du code des postes et des communications électroniques.
Sur le cadre juridique :
3. D'une part, aux termes du I de l'article L. 34-9-3 du code des postes et des communications électroniques, dans sa version résultant du I de l'article 1er de la loi du 2 mars 2022 : " I.- Les équipements terminaux destinés à l'utilisation de services de communication au public en ligne donnant accès à des services et des contenus susceptibles de nuire à l'épanouissement physique, mental ou moral des mineurs sont équipés d'un dispositif aisément accessible et compréhensible permettant à leurs utilisateurs de restreindre ou de contrôler l'accès de telles personnes à ces services et contenus. / L'activation du dispositif prévu au premier alinéa du présent I est proposée à l'utilisateur lors de la première mise en service de l'équipement. Les données personnelles des mineurs collectées ou générées lors de l'activation de ce dispositif ne doivent pas, y compris après la majorité des intéressés, être utilisées à des fins commerciales, telles que le marketing direct, le profilage et la publicité ciblée sur le comportement. / Les fabricants s'assurent, lors de la mise sur le marché de leurs équipements terminaux, que les systèmes d'exploitation installés sur ces équipements intègrent le dispositif prévu au même premier alinéa. L'activation, l'utilisation et, le cas échéant, la désinstallation de ce dispositif sont permises sans surcoût pour l'utilisateur (...) ". D'autre part, aux termes du II du même article L. 34-9-3 du code des postes et des communications électroniques : " Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, détermine : / 1° Les modalités d'application du I, y compris les fonctionnalités minimales et les caractéristiques techniques du dispositif prévu au premier alinéa du même I, ainsi que les moyens mis en œuvre par le fabricant pour faciliter l'utilisation de ce dispositif ; (...) ".
4. L'article 2 de la loi du 2 mars 2022 complète l'article L. 43 du code des postes et des communications électroniques aux fins de prévoir un mécanisme de contrôle, par l'Agence nationale des fréquences, des obligations prévues à l'article 1er mentionnées au point précédent et de sanction, le cas échéant, en cas de méconnaissance de celles-ci.
5. Aux termes de l'article R. 20-29-10-1 du code des postes et des communications électroniques, créé par l'article 5 du décret attaqué : " I.- La conformité des dispositifs permettant de contrôler l'accès des mineurs à des services ou contenus dont les équipements terminaux mentionnés à l'article L. 34-9-3 sont équipés, exige que l'activation du dispositif soit proposée lors de la première mise en service de l'équipement terminal et que soit respectées les fonctionnalités et caractéristiques techniques tenant à : / 1° La possibilité de bloquer le téléchargement de contenus mis à disposition par des boutiques d'applications logicielles lorsque la mise à disposition du contenu est légalement interdite aux mineurs ou régie par l'article 32 de la loi n° 98-468 du 17 juin 1998 relative à la prévention et à la répression des infractions sexuelles ainsi qu'à la protection des mineurs ou inscrite sur une liste établie par l'éditeur en application de loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique ; / 2° La possibilité de bloquer l'accès aux contenus installés dont la mise à disposition est légalement interdite aux mineurs ou régie par l'article 32 de la loi n° 98-468 du 17 juin 1998 relative à la prévention et à la répression des infractions sexuelles ainsi qu'à la protection des mineurs ou inscrite sur une liste établie par l'éditeur en application de loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique. / II.- Les fonctionnalités et caractéristiques techniques des dispositifs de contrôle parental intégrées au terminal en application du I : / 1° Sont mises en œuvre localement sans entraîner de collecte ou de traitement de données à caractère personnel de l'utilisateur mineur par des serveurs. Ces dispositions ne font pas obstacle à la création d'un compte sur un serveur pour accéder à des boutiques d'applications logicielles ; / 2° Ne donnent pas lieu à un traitement de données à caractère personnel de l'utilisateur mineur à l'exception de ses données d'identification strictement nécessaires au fonctionnement du dispositif de contrôle parental. / III.- Les autres fonctionnalités et caractéristiques techniques des dispositifs de contrôle parental, intégrées au terminal sur une base volontaire : / 1° Ne peuvent donner lieu à un traitement de données à caractère personnel de l'utilisateur mineur, à l'exception de celles nécessaires au fonctionnement du dispositif de contrôle parental. Ces dispositions ne font pas obstacle à la création d'un compte sur un serveur lorsque l'activation de ce dispositif de contrôle parental le nécessite ; / 2° Ne peuvent donner lieu à une collecte de données sur l'utilisateur mineur à des fins commerciales, telles que le marketing direct, le profilage ou la publicité ciblée sur le comportement ". Aux termes de l'article 7 de ce même décret, celui-ci entre en vigueur douze mois après sa publication au Journal officiel de la République française.
6. Ces dispositions ont pour objet d'imposer l'installation, avant leur commercialisation, sur tous les équipements terminaux destinés à l'utilisation de services de communication au public en ligne, de dispositifs de contrôle parental. A cette fin, le II impose l'installation d'un dispositif de base, décrit au I du même article, qui doit pouvoir être mis en œuvre localement. Il ressort des écritures du ministre, non contestées sur ce point, que cette exigence de mise en œuvre locale consiste à permettre d'assurer son activation dès la première mise en service de l'équipement sans connexion à Internet. La mise en œuvre de ce dispositif de base ne doit pas entraîner de collecte ou de traitement de données à caractère personnel de l'utilisateur mineur par des serveurs, à l'exception, le cas échéant, comme le prévoit le 2° de ce II, des données d'identification indispensables au fonctionnement du dispositif de contrôle parental. Le III de l'article R. 20-29-10-1 prévoit la possibilité de préinstaller sur les équipements visés d'autres fonctionnalités de contrôle parental sur une base volontaire, dont l'activation peut nécessiter la création d'un compte à distance, et précise que ces fonctionnalités peuvent donner lieu au traitement des données à caractère personnel de l'utilisateur mineur qui, au-delà de ses seules données d'identification, sont nécessaires au fonctionnement du dispositif de contrôle parental, sous réserve qu'il n'en soit pas fait un usage commercial.
Sur la requête :
7. En premier lieu, il ressort des pièces du dossier que les autorités françaises ont notifié à la Commission européenne le 14 octobre 2022 les dispositions de l'article R. 20-29-10-1 du code des postes et des communications électroniques, dans une version antérieure à celle résultant du décret attaqué, laquelle prévoyait la possibilité de déroger à l'interdiction de procéder au traitement de données à caractère personnel de l'utilisateur mineur en cas d'impossibilité technique. Il ne ressort pas des écritures que la suppression de cette mention changerait de manière significative la portée de la règle technique introduite. Par suite, le moyen tiré de la méconnaissance de l'article 5 de la directive (UE) 2015/1535 ne peut qu'être écarté.
8. En deuxième lieu, le pouvoir réglementaire, à qui il revenait de déterminer les fonctionnalités minimales et caractéristiques techniques des dispositifs de contrôle parental préinstallés sur les équipements terminaux définis aux points 3 à 6 pouvait, sans excéder sa compétence, encadrer la collecte et le traitement des données personnelles des utilisateurs mineurs, alors même que le législateur n'a expressément interdit que leur utilisation à des fins commerciales. Par suite, le moyen tiré de ce que le pouvoir réglementaire aurait méconnu la portée de l'habilitation législative qu'il tient de la loi du 2 mars 2022 ne peut qu'être écarté.
9. En troisième lieu, le considérant 38 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE du 24 octobre 1995, dit règlement général sur la protection des données (RGPD), énonce que : " Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel. Cette protection spécifique devrait, notamment, s'appliquer à l'utilisation de données à caractère personnel relatives aux enfants à des fins de marketing ou de création de profils de personnalité ou d'utilisateur et à la collecte de données à caractère personnel relatives aux enfants lors de l'utilisation de services proposés directement à un enfant (...) ". En vertu de l'article 5 du RGPD : " Les données à caractère personnel doivent être : (...) / c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ". Ces dispositions ne font pas obstacle à ce que soit autorisé l'enregistrement, dans un traitement automatisé, de données relatives à des mineurs, sous réserve que, conformément aux exigences générales applicables aux traitements de données à caractère personnel, l'ingérence dans l'exercice du droit de toute personne au respect de sa vie privée réponde à des finalités légitimes et que le choix, la collecte et le traitement des données soient effectués de manière adéquate et proportionnée au regard de ces finalités.
10. Les dispositions issues du décret attaqué permettent d'assurer, dans le respect du principe de minimisation des données, lu à la lumière du préambule du RGPD, et notamment de son considérant 38, que les données des personnes mineures collectées et traitées, dans les conditions rappelées au point 6, sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Par suite, le moyen tiré de ce que les dispositions contestées méconnaitraient le RGPD ne peut qu'être écarté.
11. En quatrième lieu, les articles 34 et 35 du traité sur le fonctionnement de l'Union européenne interdisent les restrictions quantitatives à l'importation et à l'exportation entre les États membres ainsi que toutes mesures d'effet équivalent. Aux termes de l'article 36 du même traité, ces dispositions ne font cependant pas obstacle aux interdictions ou restrictions d'importation, d'exportation ou de transit " justifiées par des raisons de moralité publique, d'ordre public, de sécurité publique, de protection de la santé et de la vie des personnes et des animaux ou de préservation des végétaux, de protection des trésors nationaux ayant une valeur artistique, historique ou archéologique ou de protection de la propriété industrielle et commerciale. Toutefois, ces interdictions ou restrictions ne doivent constituer ni un moyen de discrimination arbitraire ni une restriction déguisée dans le commerce entre les États membres ". Il résulte de la jurisprudence de la Cour de justice de l'Union européenne, d'une part, que la notion de " mesure d'effet équivalent " inclut toute réglementation commerciale des Etats membres susceptible d'entraver directement ou indirectement, actuellement ou potentiellement, le commerce intracommunautaire, et, d'autre part, qu'une réglementation nationale qui constitue une mesure d'effet équivalent à des restrictions quantitatives est autorisée lorsqu'elle est indistinctement applicable aux produits nationaux et importés et qu'elle est nécessaire pour satisfaire à l'une des raisons d'intérêt général qu'elle retient ou à des exigences impératives d'intérêt général, comme la protection des mineurs contre les programmes, jeux ou applications dont le contenu est susceptible de nuire à leur bien-être et à leur épanouissement. Les dispositions en cause doivent être propres à garantir la réalisation de l'objectif poursuivi et ne pas aller au-delà de ce qui est nécessaire pour qu'il soit atteint.
12. L'article R. 20-29-10-1 du code des postes et des communications électroniques, créé par le décret attaqué, précise les modalités de l'obligation de pré-installation, prévue par la loi, d'un dispositif de contrôle parental intégré sur l'ensemble des équipements terminaux commercialisés en France. L'encadrement qu'il prévoit, dont l'objectif est d'assurer une activation du dispositif de contrôle parental localement, dès la première utilisation de l'équipement terminal, dans les conditions définies au point 6, en limitant le traitement des données des utilisateurs mineurs, s'applique indistinctement aux produits nationaux et importés. Cet encadrement est justifié par un motif impérieux d'intérêt général tenant, d'une part, à la préservation de la santé des personnes mineures et à leur protection contre les programmes, jeux ou applications dont le contenu est susceptible de nuire à leur bien-être et à leur épanouissement et, d'autre part, à la protection de leurs données à caractère personnel. Si le SELL soutient que la nature des restrictions ainsi apportées à l'utilisation des données des personnes mineures est de nature à entraver le commerce à l'intérieur de l'Union européenne, ces restrictions sont, dans le respect des règles rappelées au point 11, en rapport direct avec l'objectif poursuivi et proportionnées à cet objectif. Par suite, le moyen tiré de la méconnaissance des articles 34, 35 et 36 du TFUE ne peut qu'être écarté.
13. En cinquième lieu, ainsi qu'il a été dit, le décret attaqué a pour objet d'imposer que tout équipement terminal commercialisé en France soit associé à un système d'exploitation comportant un dispositif de contrôle parental obligatoire répondant à des fonctionnalités et caractéristiques techniques minimales, dont notamment une mise en œuvre locale, c'est-à-dire une activation ne nécessitant pas de connexion à Internet. Un tel dispositif, qui ne repose pas sur la prestation d'un service à distance, n'entre pas dans le champ de la directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur, dite " directive sur le commerce électronique ". Si des prestations complémentaires peuvent être intégrées au terminal sur une base volontaire, et donner lieu, le cas échéant, à une prestation de services à distance entrant dans le champ de cette directive, les restrictions prévues par le décret attaqué sont relatives aux traitements de données personnelles pouvant être mis en œuvre dans ce cadre. Or il résulte, d'une part, des dispositions de l'article 1er de la directive 2000/31/CE sur le commerce électronique que celle-ci n'est pas applicable aux questions relatives aux traitements de données personnelles, régies par le RGPD, et, d'autre part, de celles de l'article 2 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE, dit " règlement sur les services numériques ", que ce règlement s'entend sans préjudice des règles établies par le droit de l'Union en matière de protection des données à caractère personnel. Par suite, les moyens tirés de la méconnaissance des articles 3 et 4 de la directive 2000/31/CE du 8 juin 2000 et du règlement (UE) 2022/2065 du 19 octobre 2022 ne peuvent qu'être écartés.
14. En sixième lieu, en définissant les obligations pesant sur les dispositifs de contrôle parental préinstallés de manière obligatoire ou intégrées au terminal sur une base volontaire en matière de collecte et traitement des données, telles que précisées par le point 6, le législateur et le pouvoir réglementaire ont défini avec une précision suffisante le champ et la portée de l'obligation qu'ils énoncent, dont la méconnaissance est susceptible d'être contrôlée puis, le cas échéant, sanctionnée par l'Agence nationale des fréquences. Il en résulte que les moyens tirés de la méconnaissance du principe de légalité des délits et des peines, d'une part, et de la méconnaissance de l'objectif de valeur constitutionnelle d'accessibilité et d'intelligibilité de la norme, d'autre part, ne peuvent également qu'être écartés.
15. En septième lieu, le SELL ne saurait utilement soutenir que le décret attaqué méconnaît la liberté d'entreprendre et la liberté du commerce et de l'industrie, dès lors que les restrictions apportées par les II et III de l'article R. 20-29-10-1 du code des postes et des communications électroniques au traitement de données à caractère personnel des utilisateurs mineurs sont proportionnées à l'objectif poursuivi, tenant à la protection de l'intérêt supérieur de l'enfant, et qu'il ne ressort pas des pièces du dossier qu'il serait techniquement impossible de se conformer aux exigences du décret attaqué.
16. Il résulte de tout ce qui précède, sans qu'il soit besoin de statuer sur la fin de non-recevoir soulevée en défense ni, en l'absence de difficulté sérieuse d'interprétation, de saisir la Cour de justice de l'Union européenne à titre préjudiciel, que la requête du SELL doit être rejetée.
17. Les dispositions de l'article L. 761-1 du code de justice administrative font obstacle à ce qu'une somme soit mise à ce titre à la charge de l'Etat qui n'est pas, dans la présente instance, la partie perdante.
D E C I D E :
--------------
Article 1er : L'intervention de l'Alliance française des industries du numérique est admise en tant qu'elle est dirigée contre les II et III de l'article R. 20-29-10-1 du code des postes et des communications électroniques.
Article 2 : La requête du syndicat des éditeurs de logiciels de loisirs est rejetée.
Article 3 : La présente décision sera notifiée au syndicat des éditeurs de logiciels de loisirs, au ministre de l'économie, des finances et de la souveraineté industrielle et numérique et à l'Alliance française des industries du numérique.
Copie en sera adressée au Premier ministre.
Délibéré à l'issue de la séance du 3 juillet 2024 où siégeaient : M. Pierre Collin, président adjoint de la section du contentieux, présidant ; M. Bertrand Dacosta, Mme Anne Egerszegi, présidents de chambre ; M. Olivier Yeznikian, M. Nicolas Polge, M. Vincent Daumas, Mme Rozen Noguellou, M. Didier Ribes, conseillers d'Etat et Mme Alexandra Bratos, auditrice-rapporteure.
Rendu le 26 juillet 2024.
Le président :
Signé : M. Pierre Collin
La rapporteure :
Signé : Mme Alexandra Bratos
La secrétaire :
Signé : Mme Magali Méaulle