c.henin

Les questions de la conservation et de l’accès aux données de connexion ne cessent de faire l’actualité.

On sait désormais que le droit de l’union européenne[1], d’une part, s’oppose, sauf en cas de menace grave, réelle et actuelle ou prévisible pour la sécurité nationale, à une conservation généralisée et indifférenciée, à titre préventif, des données de trafic et de localisation aux fins de lutte contre la criminalité, quel que soit son degré de gravité[2], d’autre part, n’autorise l’accès aux données de trafic et de localisation que si celui-ci est limité aux procédures concernant la lutte contre la criminalité grave et est soumis à un contrôle préalable d’une juridiction ou d’une autorité administrative indépendante.

On sait également que la Chambre criminelle de la Cour de cassation a fait application des principes dégagés par la CJUE et fixé le nouveau cadre interne en matière de conservation et d’accès aux données de connexion dans ses arrêts du 12 juillet 2022[3] ; principes dont elle a pu récemment déduire qu’une commission rogatoire rédigée en des termes généraux équivaut à une absence de contrôle préalable par une juridiction aux fins d’autorisation de l’accès aux données de trafic et de localisation.

Il se pourrait, à la lecture des conclusions de l’avocat général Maciej SZPUNAR publiées le 27 octobre 2022[4], que la jurisprudence de la Cour de justice de l’Union européenne (CJUE) soit aménagée selon la nature des droits en cause ou, plus vraisemblablement, selon le type d’infractions (en ligne ou non) et les moyens requis pour identifier le ou les auteurs.

En effet, saisie par le Conseil d’Etat de questions préjudicielles posées dans le cadre du recours formé par La Quadrature du Net, La Fédération des fournisseurs d’accès à internet associatifs, Franciliens.net et French Data Network, contre le refus du Premier ministre d’abroger le décret n° 2010-236 du 5 mars 2010[5], Monsieur Maciej SZPUNAR propose à la Cour, ni plus, ni moins, que de consacrer une première exception à sa jurisprudence relative à la conservation et à l’accès aux données de connexion.

Pour les requérants, le décret n° 2010-236 est contraire au droit européen dans la mesure où la « réponse graduée »[6] permet de recouper l’adresse IP de l’auteur d’une infraction et les données d’identité civiles alors que la Cour a précisément proscrit, sauf en cas de menace pour la sécurité nationale, la conservation généralisée et indifférenciée des données de connexion.

L’intérêt de cette affaire tient notamment à un risque que beaucoup de praticiens du droit ont évoqué et que la Conférence Nationale des Procureurs de la République avait relayé le 15 juillet 2022, même s’il s’agissait alors des réquisitions de téléphonie. Ce risque, c’est ici celui de ne pas pouvoir identifier les auteurs d’une infraction en ligne à défaut de conservation des adresses IP.

L’avocat général, Monsieur Maciej SZPUNAR, ne dit pas autre chose et évoque dans ses conclusions « Les limites de la jurisprudence relative à l’interprétation de l’article 15, paragraphe 1, de la directive 2002/58 s’agissant de mesures visant la conservation des adresses IP attribuées à la source d’une connexion » et, plus spécifiquement, le « risque d’une impunité systémique pour les infractions constituées exclusivement en ligne ».

En effet, ainsi que le relève l’avocat général, dans le cas particulier d’une infraction commise en ligne, l’interdiction généralisée de la conservation des données de connexion « est la source de difficultés pratiques » :

« 78. (…)

Ainsi que le souligne la Cour elle-même, dans le cas d’une infraction commise exclusivement en ligne, l’adresse IP peut constituer le seul moyen d’investigation permettant l’identification de la personne à laquelle cette adresse était attribuée au moment de la commission de cette infraction.

79. Pour autant, il me semble que cet élément n’est pas entièrement pris en compte dans la mise en balance des intérêts en cause. Dès lors que la Cour limite tout de même la possibilité de conservation des adresses IP au cadre de la lutte contre la criminalité grave, elle exclut dans le même temps que ces données puissent être conservées afin de lutter contre des infractions pénales en général, alors que certaines de ces infractions ne peuvent être prévenues, détectées ou sanctionnées que grâce auxdites données.
80. En d’autres termes, la jurisprudence de la Cour pourrait conduire à priver les autorités nationales du seul moyen d’identification des auteurs d’infractions en ligne ne relevant toutefois pas de la criminalité grave, telles que les infractions aux droits de propriété intellectuelle. Il en résulterait de fait une impunité systémique pour les infractions commises exclusivement en ligne, au-delà d’ailleurs des seules infractions aux droits de propriété intellectuelle. Je songe notamment aux actes de diffamation commis en ligne. Le droit de l’Union prévoit certes des injonctions à l’encontre des intermédiaires dont les services sont utilisés pour la commission de telles infractions, mais il pourrait résulter de la jurisprudence de la Cour que les auteurs mêmes de ces actes pourraient n’être jamais poursuivis.
81. Sauf à admettre que toute une série d’infractions pénales ne puisse jamais faire l’objet de poursuites, je suis d’avis que l’équilibre entre les différents intérêts en présence devrait faire l’objet d’une nouvelle analyse.
82. Ces différentes considérations me conduisent à proposer à la Cour un certain aménagement de la jurisprudence relative aux mesures nationales visant la conservation des adresses IP interprétées à la lumière de l’article 15, paragraphe 1, de la directive 2002/58.»

L’aménagement proposé consiste à interpréter l’article 15, paragraphe 1, de la directive 2002/58 :

« comme ne s’opposant pas à des mesures prévoyant une conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion, pour une période temporellement limitée au strict nécessaire, aux fins d’assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales en ligne pour lesquelles l’adresse IP constitue le seul moyen d’investigation permettant l’identification de la personne[7] à laquelle cette adresse était attribuée au moment de la commission de l’infraction. »

Certains y verront une première entorse inacceptable à la protection de la vie privée. D’autres se satisferont, d’une part, que cet « aménagement » de la jurisprudence très stricte de la CJUE ne soit proposé que pour des infractions en ligne circonscrites aux atteintes à la propriété intellectuelles, d’autre part, que Monsieur Maciej SZPUNAR suggère que la notion de « criminalité grave » reçoive « une interprétation autonome »[8] et « ne saurait dépendre des conceptions de chaque État membre sauf à permettre un contournement des exigences de l’article 15, paragraphe 1, de la directive 2002/58 selon que les États membres adoptent une conception extensive ou non de la lutte contre la criminalité grave ».

Ceux qui restent demeureront inquiets de l’absence de définition de cette notion mais verront dans les conclusions de l’avocat général l’amorce d’un mouvement vers une interdiction de la conservation des données, voire de leur accès, qui serait à la carte et non plus indifférenciée ; et ce dans le seul objectif de permettre l’identification des auteurs d’infractions, que celles-ci relèvent ou non de la criminalité grave.

La réponse de la CJUE est très attendue et donnera un indice quant à sa possible évolution dans les mois et années à venir.

[1] CJUE, 6 octobre 2020, La Quadrature du Net e.a, French Data Network e.a, C- 511/18, C- 512/18, C- 520/18.

[2] Note explicative relative aux arrêts de la chambre criminelle du 12 juillet 2022 (pourvois n° 21-83.710, 21-83.820, 21-84.096 et 20-86.652)

[3] Voir nos précédentes news, ici, ou encore là.

[4] Conclusions de Monsieur Matiej SZPUNAR, avocat général, sur l’affaire C-470/21, CJUE, 27 octobre 2022.

[5] Décret n° 2010-236 du 5 mars 2010 relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331-23 du code de la propriété intellectuelle dénommé  » Système de gestion des mesures pour la protection des œuvres sur internet « .

[6] Le décret n° 2010-236 du 5 mars 2010 précise les conditions de mise en œuvre du dispositif dit de « réponse graduée » issu des lois Hadopi de 2009 (désormais à la disposition de l’ARCOM) ; dispositif « visant à assurer le respect du droit d’auteur sur Internet, d’abord par l’envoi d’avertissements et, en cas d’échec, par la transmission à l’autorité judiciaire du dossier révélant des faits de nature à caractériser une infraction ».

[7] Mis en gras et souligné par nos soins.

[8] Cf. point 74 des conclusions.

Le 25 octobre 2022[1], la Chambre criminelle de la Cour de cassation a rendu sa décision sur le pourvoi formé contre un arrêt de la Chambre de l’instruction de Paris ayant refusé de prononcer l’annulation des procès-verbaux d’exploitation des données de connexion du requérant ; lequel était mis en examen des chefs de « vols, recel, modification frauduleuse des données d’un système de traitement automatisé mis en œuvre par l’Etat, en bande organisée, et association de malfaiteurs ».

Cet arrêt est l’occasion pour la Chambre criminelle d’appliquer les principes qu’elle a dégagés dans ses très commentées décisions du 12 juillet 2022 et que la Haute juridiction rappelle en ces termes :

« 10. L’article L. 34-1, III, du code des postes et des communications électroniques, dans sa version issue de la loi n° 2013-1168 du 18 décembre 2013, mis en œuvre par l’article R. 10-13 dudit code, tel qu’il résultait du décret n° 2012-436 du 30 mars 2012, est contraire au droit de l’Union européenne en ce qu’il imposait aux opérateurs de services de télécommunications électroniques, aux fins de lutte contre la criminalité, la conservation généralisée et indifférenciée des données de connexion, à l’exception des données relatives à l’identité civile, aux informations relatives aux comptes et aux paiements, ainsi qu’en matière de criminalité grave, de celles relatives aux adresses IP attribuées à la source d’une connexion.

11. En revanche, la France se trouvant exposée, depuis décembre 1994, à une menace grave et réelle, actuelle ou prévisible à la sécurité nationale, les textes précités de droit interne étaient conformes au droit de l’Union en ce qu’ils imposaient aux opérateurs de services de télécommunications électroniques de conserver de façon généralisée et indifférenciée les données de trafic et de localisation, aux fins de la recherche, de la constatation et de la poursuite des infractions portant atteinte aux intérêts fondamentaux de la Nation et des actes de terrorisme, incriminés aux articles 410-1 à 422-7 du code pénal.
12. Les articles 60-1 et 60-2, 77-1-1 et 77-1-2, 99-3 et 99-4 du code de procédure pénale, dans leur version antérieure à la loi n° 2022-299 du 2 mars 2022, lus en combinaison avec le sixième alinéa du paragraphe III de l’article préliminaire du code de procédure pénale, permettaient aux autorités compétentes, de façon conforme au droit de l’Union, pour la lutte contre la criminalité grave, en vue de l’élucidation d’une infraction déterminée, d’ordonner la conservation rapide, au sens de l’article 16 de la Convention du Conseil de l’Europe sur la cybercriminalité du 23 novembre 2001, des données de connexion, même conservées aux fins de sauvegarde de la sécurité nationale.
13. Il appartient à la juridiction, lorsqu’elle est saisie d’un moyen en ce sens, de vérifier, d’une part, que les éléments de fait justifiant la nécessité d’une telle mesure d’investigation répondent à un critère de criminalité grave, dont l’appréciation relève du droit national, d’autre part, que la conservation rapide des données de trafic et de localisation et l’accès à celles-ci respectent les limites du strict nécessaire.
14. S’agissant de la gravité des faits, il appartient au juge de motiver sa décision au regard de la nature des agissements de la personne poursuivie, de l’importance du dommage qui en résulte, des circonstances de la commission des faits et de la durée de la peine encourue.
15. Enfin, l’existence d’un grief pris de l’absence de contrôle préalable par une juridiction ou une entité administrative indépendante n’est établie que lorsque l’accès a porté sur des données irrégulièrement conservées, pour une finalité moins grave que celle ayant justifié la conservation hors hypothèse de la conservation rapide, n’a pas été circonscrit à une procédure visant à la lutte contre la criminalité grave ou a excédé les limites du strict nécessaire.»

Au vu de ces principes, la Chambre criminelle juge que l’arrêt de la Chambre de cassation encoure la cassation et ce pour de multiples motifs dont le dernier est particulièrement instructif :

• en premier lieu, la Chambre de l’instruction a estimé pouvoir écarter la nullité des réquisitions litigieuses au motif que, au jour où elle a statué[2], le délai accordé par le Conseil d’Etat au gouvernement pour modifier le droit interne n’était pas épuisé et que, dès lors, elle pouvait en faire application. La Chambre criminelle considère que la juridiction d’appel, « saisie d’un moyen pris de l’illégalité des dispositions de l’article R.10-13 du code des postes et télécommunicationcomme contraire aux exigences de l’Union européenne », était pourtant tenue « d’en apprécier la pertinence » et d’assurer la primauté du droit de l’Union sur le fondement de l’article 111-5 du code pénal :

« Les juridictions pénales sont compétentes pour interpréter les actes administratifs, réglementaires ou individuels et pour en apprécier la légalité lorsque, de cet examen, dépend la solution du procès pénal qui leur est soumis. »

Il est ainsi rappelé à la Chambre de l’instruction qu’il lui appartient de procéder à un contrôle de conventionnalité et ce quand bien même les dispositions en cause ne devaient être abrogées qu’après le prononcé de sa décision.

• en deuxième lieu, la Chambre criminelle dit pour droit que la notion de « criminalité grave » ne peut résulter des seules qualifications retenues pour les faits objet de la procédure. Aussi, « s’agissant de la conservation de l’adresse IP du requérant, ainsi que de ses données de trafic et de localisation», la Chambre de l’instruction a obligation de vérifier que lesdits faits :

« relevaient de la criminalité grave, au regard de la nature des agissements en cause, de l’importance du dommage en résultant, des circonstances de la commission des faits et de la durée de la peine encourue »

Dit autrement, l’énoncé des chefs de mis en examen ne suffisent pas à déterminer, « à l’évidence », une appartenance à la « criminalité grave ».

• en troisième et dernier lieu, outre le rappel – s’agissant de la conservation des données de trafic et de localisation – du contrôle du respect des « limites du strict nécessaire» que devait opérer la Chambre de l’instruction sur ladite conservation et l’accès aux données, la Chambre criminelle apporte une précision d’importance quant à l’un des principes majeurs définis dans ses arrêts du 12 juillet 2022.

En effet, la Cour de cassation souligne qu’une commission rogatoire rédigée en des termes généraux équivaut à une absence de contrôle préalable par une juridiction aux fins d’autorisation de l’accès aux données de trafic et de localisation :

« la Cour de cassation est en mesure de s’assurer, par l’examen de la procédure, dont elle a le contrôle, qu’il ne résulte d’aucune pièce que le magistrat instructeur, qui a délivré une commission rogatoire rédigée en des termes généraux, ait autorisé les officiers de police judiciaire à procéder aux réquisitions adressées aux opérateurs de télécommunications, en en fixant la durée et le périmètre. 

27. Il s’ensuit que l’accès aux données de connexion n’a pas été réalisé de façon conforme au droit de l’Union européenne. Une telle irrégularité n’est de nature à entraîner la nullité que si l’existence d’un grief est établie, conformément au paragraphe 15 de cet arrêt. »

On rappellera, cependant, que l’absence d’un tel contrôle n’entraine pas nécessairement la nullité. Ainsi que le rappelle la Chambre criminelle, il revenait bien à la Chambre de l’instruction de rechercher si le grief soulevé par le requérant était ou non établi :

« Enfin, la chambre de l’instruction ne pouvait, sans méconnaître le principe d’équivalence du droit européen, énoncer qu’en cas de méconnaissance de celui-ci, il appartiendrait à la juridiction de jugement d’apprécier la valeur probante des procès-verbaux dressés, mais devait rechercher si un grief était établi, conformément au paragraphe 15 de cet arrêt et, en ce cas, prononcer la nullité des actes litigieux. »

La Chambre de l’instruction de la Cour d’appel de Paris, autrement composée, aura l’occasion d’opérer ce contrôle dans le cadre du renvoi décidé, dans la présente affaire, par la Chambre criminelle de la Cour de cassation.

[1] Cass. Crim., 25 octobre 2022, n° 21-87.397.

[2] Par un arrêt du 21 avril 2021, French Data Network, n° 393099 , le Conseil d’Etat a annulé les décisions du Premier ministre refusant d’abroger l’ « article R. 10-13 du code des postes et des communications électroniques et le décret du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne, en tant que ces dispositions réglementaires, d’une part, ne limitent pas les finalités de l’obligation de conservation généralisée et indifférenciée des données de trafic et de localisation autres que les données d’identité civile, les coordonnées de contact et de paiement, les données relatives aux contrats et aux comptes et les adresses IP à la sauvegarde de la sécurité ». La Haute juridiction administrative a accordé au gouvernement un délai de 6 mois à compter de sa décision pour procéder auxdites abrogations ; la Chambre de l’instruction ayant statué le 2 décembre 2021, le délai de 6 mois n’était pas encore épuisé.

Depuis la loi du 9 mars 2004 (loi dite Perben) entrée en vigueur le 31 décembre 2005, les personnes morales sont responsables pénalement pour toutes les infractions pénales.

Les dispositions de l’article 121-2 du Code pénal précise que la responsabilité pénale des personnes morales est engagée lorsque « des infractions a été commises, pour leur compte, par leurs organes ou représentants ».

La Cour de cassation censure systématiquement les décisions dans lesquelles les juridictions du fond n’ont pas précisément identifié l’organe ou le représentant de la personne morale ayant agi pour son compte [1].

L’ « organe » au sens de cet article vise « tout un ensemble de personnes ou toute personne chargée, par la loi ou les statuts de la personne morale, de son administration, de sa direction ou de son contrôle » [2], comme par exemple le directeur général de la personne morale.

Le représentant est celui qui dispose « de la compétence, de l’autorité et des moyens nécessaires, ayant reçu une délégation de pouvoirs, de droit ou de fait, de la part des organes de la personne morale » [3].

Au sein d’un groupe de sociétés, la jurisprudence admet que le délégataire ne soit pas nécessairement le préposé du délégant au sens strict du droit du travail et qu’il reçoive délégation du dirigeant de la société mère afin d’accomplir sa mission dans une ou plusieurs filiales [4].

Depuis un arrêt très remarqué du 21 juin 2022 [5], l’organe ou le représentant susceptible d’engager la responsabilité pénale d’une société peut être la société mère, présidente de la société fille ayant commis l’infraction : il n’est donc plus indispensable que la juridiction de fond identifie une personne physique.

Dans cet arrêt, un salarié de la société fille, exploitant un site d’industrie textile, avait subi un accident du travail sur une machine. La société mère, la société fille et le directeur du site étaient poursuivis des chefs de blessures involontaires suivies d’une incapacité totale de travail supérieure à trois mois et de non-respect des mesures relatives à l’hygiène, la sécurité et les conditions de travail.

La Cour de cassation devait examiner deux moyens : le premier relatif à la responsabilité pénale de la société fille et le second, concernant la responsabilité pénale de la société mère.

◾ Sur le premier moyen, la Cour d’appel a constaté qu’aucune délégation de pouvoirs n’avait été consentie au directeur d’usine et donc qu’il appartenait à l’employeur, la société fille, d’exercer elle-même « la surveillance indispensable à l’application effective de la réglementation relative à l’hygiène, à la sécurité et aux conditions de travail ».

Puis, elle a jugé que « la société [mère], présidente de la société [fille], est sa représentante légale et son organe au sens de l’article 121-2 du Code pénal ».

Pour la première fois, la Cour de cassation a validé le raisonnement de la Cour d’appel selon lequel une société mère qui assure la présidence d’une société fille, est un organe de celle-ci, susceptible de commettre des infractions pour son compte et donc d’engager la responsabilité pénale de la société fille. Elle a donc confirmé l’arrêt d’appel en ce qu’il avait déclaré coupable la société fille des infractions pour lesquelles elle était poursuivie.

◾ Sur le second moyen, la Cour de cassation a cassé l’arrêt d’appel qui avait déclaré pénalement responsable la société mère, faute pour la Cour d’appel d’avoir identifié l’organe ou le représentant de la société mère ayant agi pour son compte pour commettre l’infraction.

Désormais, une société mère d’un groupe, présidente d’une filiale est un organe de la société filiale au sens de l’article 121-2 du Code pénal. Néanmoins, la société mère n’engera sa propre responsabilité pénale que si les juridictions identifient son organe ou son représentant ayant commis l’infraction pour son compte.

Cet arrêt illustre une nouvelle fois l’impérieuse nécessité de mettre en place des délégations de pouvoirs effectives et efficaces au sein des groupes de sociétés afin d’optimiser la répartition de la responsabilité pénale des dirigeants et désormais des sociétés au sein d’un groupe.

[1] Cass. crim., 12 janv. 2016, n° 14-84.442 ; Cass. crim., 10 nov. 2015, n° 14-86.799 ; Cass. crim., 29 mars 2022, n° 21-82.717 ; Cass. crim., 9 mars 2021, n° 20-83.304.

[2] Roger Bernardini, Rép. pén. Dalloz, Personne morale, n° 53

[3] Cass. crim., 17 oct. 2017, n° 16-80.821 ; Cass. crim., 17 oct. 2017, n° 16-87.249 ; Cass. crim., 26 juin 2001, n° 00-83.466

[4] Cass. Soc. 19 janvier 2005, n°02-45.675.

[5] Cass. crim., 21 juin 2022, n° 20-86.857.

Considérant qu’une société exploitant une place de marché numérique (« marketplace ») et son application associée trompaient les consommateurs sur la nature des produits vendus, sur les risques inhérents à leur utilisation et les contrôles effectués, le service national des enquêtes de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) a demandé à ladite société, sur le fondement de l’article L.441-1 du code de la consommation, de cesser ces pratiques.

Estimant que la société concernée n’avait pas déféré à son injonction, l’administration a enjoint, en application de l’article L.521-3-1 du code de la consommation, à Google, Qwant, Microsoft et Apple, de procéder au déréférencement de l’adresse du site internet en cause de leurs moteurs de recherche et de leurs magasins d’applications.

La société exploitante ayant vu rejetée par le juge administratif des référés sa demande de suspension de la décision de déréférencement, celle-ci s’est pourvue en cassation devant le Conseil d’Etat contre l’ordonnance par laquelle il était également refusé de transmettre au Conseil constitutionnel une question prioritaire de constitutionnalité (QPC) portant sur la conformité des dispositions du a) du 2° de l’article L.521-3-1 du code de la consommation.

Par un arrêt du 22 juillet 2022 (CE, 22 juillet 2022, n° 459960), la Haute juridiction administrative a renvoyé la QPC au Conseil constitutionnel, lequel a rendu sa décision le 21 octobre 2022 (Cons. Const., 21 octobre 2022, n° 2022-1016 QPC) sur les dispositions suivantes :

« Le a du 2° de l’article L. 521-3-1 du code de la consommation, dans sa rédaction issue de la loi du 3 décembre 2020 mentionnée ci-dessus, prévoit que, lorsque sont constatées certaines infractions aux dispositions du même code, l’autorité administrative chargée de la concurrence et de la consommation peut : « Notifier aux personnes relevant du I de l’article L. 111-7 du présent code les adresses électroniques des interfaces en ligne dont les contenus sont manifestement illicites pour qu’elles prennent toute mesure utile destinée à faire cesser leur référencement. »

Au soutien de la QPC, la société requérante soutenait :

◼ d’abord, qu’à défaut de l’intervention d’un juge et d’une limitation dans le temps et aux seuls contenus manifestement illicites, les dispositions permettant à l’administration d’ordonner le déréférencement méconnaîtraient la liberté d’expression et de communication (article 11 de la Déclaration des droits de l’homme et du citoyen de 1789) ainsi que la liberté d’entreprendre (article 4 de la DDHC)

◼ ensuite, les dispositions déférées violeraient le droit à un recours juridictionnel effectif, les droits de la défense, le principe de sécurité juridique et le « droit à une bonne administration», « dès lors qu’elles ne prévoient pas que la décision ordonnant le déréférencement doit être motivée et précédée d’une procédure contradictoire. ».

S’agissant du grief tiré de la méconnaissance de la liberté d’expression et de la communication, le Conseil constitutionnel précise que, compte tenu de l’état actuel des moyens de communication et de l’importance prise par les services de communication au public en ligne, « ce droit implique la liberté d’accéder à ces services et de s’y exprimer ».

Toutefois, comme pour tout droit et liberté, le législateur peut, sur le fondement de l’article 34 de la Constitution, encadrer leur exercice et, ainsi, « instituer des dispositions destinées à faire cesser des abus de l’exercice de la liberté d’expression et de communication qui portent atteinte à l’ordre public et aux droits des tiers ».

Si les dispositions de l’article L.521-3-1 du code de la consommation portent effectivement à la liberté d’expression et de communication, il demeure qu’elles poursuivent un objectif d’intérêt général, à savoir « renforcer la protection des consommateurs et assurer la loyauté des transactions commerciales en ligne ».

Au surplus, pour juger que l’injonction de déréférencement constitue une atteinte nécessaire, adaptée et proportionnée à cet objectif, les sages de la rue de Montpensier précisent que :

« 9. En deuxième lieu, d’une part, la mesure de déréférencement ne s’applique qu’à des sites internet ou à des applications, exploités à des fins commerciales par un professionnel ou pour son compte, et permettant aux consommateurs d’accéder aux biens ou services qu’ils proposent, lorsqu’ont été constatées à partir de ces interfaces des pratiques caractérisant certaines infractions punies d’une peine d’au moins deux ans d’emprisonnement et de nature à porter une atteinte grave à la loyauté des transactions ou à l’intérêt des consommateurs. D’autre part, seules peuvent faire l’objet d’un déréférencement les adresses électroniques des interfaces en ligne dont les contenus présentent un caractère manifestement illicite.

« 10. En troisième lieu, les dispositions contestées ne peuvent être mises en œuvre que si l’auteur de la pratique frauduleuse constatée sur cette interface n’a pu être identifié ou s’il n’a pas déféré à une injonction de mise en conformité prise après une procédure contradictoire et qui peut être contestée devant le juge compétent.

« 11. En quatrième lieu, le délai fixé par l’autorité administrative pour procéder au déréférencement ne peut être inférieur à quarante-huit heures. Ce délai permet aux personnes intéressées de contester utilement cette décision par la voie d’un recours en référé sur le fondement des articles L. 521-1 et L. 521-2 du code de justice administrative

« 12. En dernier lieu, les dispositions contestées permettent, sous le contrôle du juge qui s’assure de sa proportionnalité, que la mesure de déréférencement s’applique à tout ou partie de l’interface en ligne.»

L’article L.521-3-1 du code de la consommation ne méconnaît donc ni la liberté d’expression et de communication, ni le droit à un recours juridictionnel effectif ; lequel existe devant le juge administratif des référés (référé-suspension ou référé-liberté) qui dispose des moyens pour agir en urgence et pour contrôler la proportionnalité de l’injonction.

En ce qui concerne la liberté d’entreprendre, le Conseil constitutionnel juge qu’elle n’est pas méconnue dès lors que l’injonction de l’administration ne porte que sur le déférencement de l’adresse des sites concernés et, partant, qu’elle ne les prive pas d’exercer leur activité commerciale.