Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CJUE, n° C-354/24, Conclusions de l'avocat général de la Cour, 19 mars 2026
CJUE, Demande (JO) 15 mai 2024
>
CJUE, Conclusions de l'avocat général 19 mars 2026

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Rejeté
    Absence de justification du risque pour la sécurité nationale

    La cour a estimé que les autorités avaient le droit d'évaluer les risques pour la sécurité nationale et que leur décision était fondée sur une évaluation appropriée.

  • Accepté
    Violation de la liberté de fournir des services de communications électroniques

    La cour a reconnu que la procédure d'autorisation constituait une restriction, mais a jugé qu'elle était justifiée par des raisons de sécurité nationale.

Commentaires2

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 
1Cúirt Bhreithiúnais an Aontais Eorpaigh
CJUE · 10 mars 2026
2Cour de justice de l’Union européenne
CJUE
Testez Doctrine gratuitement
pendant 7 jours
Démarrer
Vous avez déjà un compte ?Connexion

Sur la décision

Référence :
CJUE, 19 mars 2026, C-354/24
Numéro(s) : C-354/24
Conclusions de l'avocate générale Mme T. Ćapeta, présentées le 19 mars 2026.###
Précédents jurisprudentiels : 100.
101.
103.
105.
106.
109.
110.
111.
114.
18.
18 décembre 2025, Slagelse Almennyttige Boligselskab, Afdeling Schackenborgvænge ( C-417/23, EU:C:2025:1017
27 février 2025, T – 2 ( C-562/23, EU:C:2025:126
27 Voir, récemment, arrêt du 29 juillet 2024, protectus ( C-185/23, EU:C:2024:657
31 Arrêt du 15 juillet 2021, Ministrstvozaobrambo ( C-742/19, EU:C:2021:597
33 Voir arrêt du 15 juillet 2021, Ministrstvo za obrambo ( C-742/19, EU:C:2021:597
34
35
41
42
4 juin 2013, ZZ ( C-300/11, EU:C:2013:363
51
53
55
56
60 Voir arrêt du 10 juillet 2025, INTERZERO e.a. ( C-254/23, EU:C:2025:569
64.
67.
69.
80.
82.
86.
87.
91.
92.
94.
95.
97.
99.
Bordessa e.a. ( C-358/93 et C-416/93, EU:C:1995:54
BPC Lux 2 e.a. ( C-83/20, EU:C:2022:346
C-135/17, EU:C:2019:136
Campus Oil e.a. ( 72/83, EU:C:1984:256
Chao Gómez ( C-570/07 et C-571/07, EU:C:2010:300
CIA Security International ( C-194/94, EU:C:1996:172
Commission/Allemagne ( 205/84, EU:C:1986:463
Commission ( C-402/05 P et C-415/05 P, EU:C:2008:461
Commission/Hongrie ( Transparence associative ) ( C-78/18, EU:C:2020:476
Église de scientologie ( C-54/99, EU:C:2000:124
Google, C-193/18, EU:C:2019:498
INTERZERO e.a. ( C-254/23, EU:C:2025:569
Ministrstvo za obrambo, C-742/19, EU:C:2021:597
Ministrstvo za obrambo ( C-742/19, EU:C:2021:597
Neves 77 Solutions ( C-351/22, EU:C:2024:7233
Radiosistemi ( C-388/00 et C-429/00, EU:C:2002:390
Safe Interenvíos ( C-235/14, EU:C:2016:154
Sirdar ( C-273/97, EU:C:1999:523, point 15 ), du 6 octobre 2020, Privacy International, C-623/17 ( EU:C:2020:790
Skype Communications ( C-142/18, EU:C:2019:460
Technische Universität München, C-269/90, EU:C:1991:438
Identifiant CELEX : 62024CC0354
Identifiant européen : ECLI:EU:C:2026:222
Télécharger le PDF original fourni par la juridiction

Sur les parties

Avocat général : Ćapeta

Texte intégral

Édition provisoire

CONCLUSIONS DE L’AVOCATE GÉNÉRALE

MME TAMARA ĆAPETA

présentées le 19 mars 2026 (1)

Affaire C-354/24

Elisa Eesti AS

contre

Vabariigi Valitsuse julgeolekukomisjoni küberjulgeoleku nõukogu,

Tarbijakaitse ja Tehnilise Järelevalve Amet

[demande de décision préjudicielle formée par le Tallinna Halduskohus (tribunal administratif de Tallinn, Estonie)]

« Renvoi préjudiciel – Services de télécommunications – Directive (UE) 2018/1972 – Article 40, paragraphe 1, et article 41, paragraphe 1 – Sécurité des réseaux et des services – Fonctionnalité 5G – Procédure d’autorisation – Fournisseurs “à haut risque” de matériel et de logiciels – Interdiction d’utiliser du matériel informatique et des logiciels “à haut risque” pour des raisons de sécurité nationale – Article 4, paragraphe 2, TUE – Article 17, paragraphe 1, de la Charte – Proportionnalité – Intensité du contrôle – Mesures positives en cas d’influence ou de contrôle exercé par un État tiers »

I. Introduction

1. De quelle manière les mesures prises par un État membre en vue de protéger sa sécurité nationale interagissent-elles avec une législation de l’Union qui vise à assurer le fonctionnement du marché intérieur des réseaux et des services de communications électroniques ?

2. Surtout, de telles mesures nationales sortent-elles du champ d’application de la directive (UE) 2018/1972 (code des communications électroniques européen, ci-après le « CCEE ») dès lors qu’elles ont été prises pour des raisons de sécurité nationale (2), de sorte qu’elles échappent à tout contrôle juridictionnel de leur proportionnalité au titre du droit de l’Union ?

3. Ces questions se posent à propos d’une législation adoptée en Estonie aux fins de la mise en place d’une procédure d’autorisation préalable pour l’utilisation de matériel informatique et de logiciels dans le cadre de la fourniture de réseaux et de services de communications électroniques. Cette procédure permet aux autorités compétentes d’interdire l’utilisation de certains équipements jugés à risque pour la sécurité nationale.

4. La requérante au principal, Elisa Eesti AS (ci-après la « requérante »), filiale de la société finlandaise de télécommunications Elisa Oyj, est l’un des trois fournisseurs de réseaux et de services de télécommunications mobiles nationaux en Estonie. Elle conteste devant le Tallinna Halduskohus (tribunal administratif de Tallinn, Estonie) (ci-après la « juridiction de renvoi ») la décision prise par les autorités estoniennes compétentes de lui refuser l’autorisation d’utiliser certains matériels et logiciels 2G-4G et 5G dans son réseau de télécommunications. Cette décision avait été adoptée, entre autres, parce que les équipements en question étaient fabriqués par une société chinoise de télécommunications, Huawei Corporation (ci-après « Huawei »), que les autorités estoniennes considéraient comme un fournisseur « à haut risque ».

II. Le cadre juridique et factuel du litige au principal et les questions préjudicielles posées

A. Généralités sur les infrastructures et technologies de télécommunications 5G

5. Le contexte de la présente affaire appelle, pour être compris, un minimum d’explications sur l’infrastructure qui sous-tend la fonctionnalité 5G. C’est par là que je commencerai.

6. Un réseau de télécommunications mobile se compose traditionnellement de deux parties. La première partie, fondamentale, est le cœur de réseau. Celui-ci contient l’équipement central qui contrôle l’ensemble du réseau et constitue le principal moyen d’interconnexion des points de terminaison du trafic, assurant l’agrégation et l’acheminement à grande vitesse du trafic réseau (3). La seconde partie de cette infrastructure est le réseau d’accès radio. Cette dernière est composée de stations de base qui divisent une zone de service plus large en « cellules », et auxquelles des appareils mobiles, tels que les téléphones portables, peuvent se connecter via le réseau mobile d’un État membre (4). Cette partie du réseau mobile est parfois appelée réseau « périphérique ».

7. Les technologies de télécommunications sont désignées sous le terme de « générations ». La 2G, la 3G et la 4G constituent des générations successives de technologies de réseaux mobiles numériques. La cinquième génération – la 5G – est destinée à remplacer à terme la norme 4G (5). La technologie 5G se caractérise par des capacités en matière de données et des vitesses de débit très importantes et une moindre latence (délai).

8. La Commission européenne voit dans la technologie 5G un élément important de la mise en place de réseaux à haut débit et à forte capacité dans l’Union, laquelle profitera à l’économie et à la société dans son ensemble (6).

9. Ainsi qu’il ressort de l’ordonnance de renvoi et du dossier national, on distingue parmi les technologies 5G les fonctionnalités 5G « non autonomes » et les fonctionnalités 5G « autonomes ». La 5G non autonome correspond à la technologie déployée sur la couche de réseau existante de l’infrastructure 2G-4G (7). La communication s’effectue donc toujours vers et depuis la « périphérie » et le « cœur » du réseau de communications électroniques. Les réseaux 5G autonomes établissent leur propre réseau radio et ne dépendent donc pas de l’infrastructure 2G-4G « plus ancienne » ou du cœur de réseau. Les appareils 5G autonomes établissent donc une infrastructure de réseau propre et indépendante, sans passer d’abord par le cœur de réseau. Ils peuvent ainsi communiquer directement entre eux sans passer par le « cœur » de l’infrastructure de télécommunications. Grâce à cette caractéristique, la technologie 5G autonome permettra de connecter plus de dispositifs que jamais dans l’« internet des objets » (8).

10. D’après l’ordonnance de renvoi et le dossier de l’affaire, le cœur de réseau de la requérante est composé de matériels et de logiciels fabriqués par la société suédoise Telefonaktiebolaget LM Ericsson (ci-après « Ericsson ») et par la société finlandaise Nokia Corporation (ci-après « Nokia »), tandis que son réseau d’accès radio est composé de matériels et de logiciels fabriqués par la société chinoise Huawei.

11. Le présent litige porte exclusivement sur le réseau d’accès radio de la requérante, c’est-à-dire son réseau périphérique.

B. Contexte juridique et factuel de la procédure au principal

12. Le 23 mars 2022 (9), la requérante a introduit une demande auprès de la Tarbijakaitse ja Tehnilise Järelevalve Amet (Autorité de protection des consommateurs et de régulation technique, ci-après la « TTJA ») en vue d’obtenir l’autorisation d’utiliser, dans son réseau périphérique, i) du matériel et des logiciels Huawei 2G-4G déjà présents dans ce réseau et ii) du matériel et des logiciels Huawei 5G qui devaient être introduits dans ledit réseau à partir du 1er juin 2022 (ci-après, ensemble, les « matériels et logiciels litigieux »).

13. Cette demande a été introduite en vertu de l’elektroonilise side seadus (loi estonienne sur les communications électroniques, ci-après l’« ESS ») (10). La juridiction de renvoi explique que l’ESS opère notamment la transposition du CCEE.

14. Le chapitre 8 de l’ESS établit certaines exigences applicables à la fourniture de services de communications électroniques en Estonie. L’article 872, paragraphe 1, de l’ESS impose aux entreprises de communications de prendre des mesures techniques et organisationnelles appropriées pour gérer les risques liés à la sécurité et à l’intégrité des réseaux et des services de communications. L’article 872, paragraphe 1, de l’ESS exige que le matériel et les logiciels utilisés dans un réseau de communications aux fins de la fourniture d’un service de communication ne présentent pas de risque pour la sécurité nationale. Par conséquent, conformément à l’article 873, paragraphe 6, de l’ESS, toute entreprise de communications doit recueillir l’autorisation de la TTJA pour pouvoir utiliser du matériel ou des logiciels dans un réseau de communications.

15. Selon l’article 873, paragraphe 2, de l’ESS, l’existence d’un risque pour la sécurité nationale est déterminée sur la base du risque élevé présenté par le fabricant ou le prestataire de maintenance ou d’assistance (point 1 de cette disposition) ou du risque lié aux caractéristiques techniques ou à la configuration du matériel ou du logiciel (point 2 de ladite disposition). L’existence d’un risque élevé lié au fabricant ou au prestataire de maintenance ou d’assistance s’apprécie sur le fondement de douze critères énoncés à l’article 873, paragraphe 2, de l’ESS (11).

16. L’article 1965 de l’ESS prévoit certaines périodes transitoires fixes, qui s’appliquent lorsque du matériel ou un logiciel est considéré comme présentant un risque pour la sécurité nationale : celles-ci courent jusqu’au 31 décembre 2025 en ce qui concerne la technologie 5G (12) et jusqu’au 31 décembre 2029 en ce qui concerne le matériel et les logiciels 2G, 3G et 4G (13).

17. L’article 874 de l’ESS dispose que, dès réception d’une demande d’autorisation d’utilisation de matériel ou de logiciels dans un réseau de communications, la TTJA recueille auprès du Vabariigi Valitsuse julgeolekukomisjoni küberjulgeoleku nõukogu (Conseil de cybersécurité de la Commission de sécurité du gouvernement de la République d’Estonie) (ci-après le « KJN ») un avis sur la question de savoir si le matériel ou les logiciels visés dans cette demande représentent un risque pour la sécurité nationale.

18. Dans sa décision no 1 du 27 octobre 2022, le KJN a conclu à l’existence d’un tel risque pour tous les matériels et logiciels litigieux (14). Selon l’ordonnance de renvoi, l’existence d’un tel risque a été établie pour l’ensemble des douze critères énumérés à l’article 873, paragraphe 3, de l’ESS (15). Cet organe a également proposé que la TTJA autorise l’utilisation de la fonctionnalité 5G jusqu’au 31 décembre 2025 et celle de la fonctionnalité 2G-4G jusqu’au 31 décembre 2029 (ci-après la « décision du KJN »).

19. Dans sa décision no 1-7/22-436 du 25 novembre 2022, la TTJA a estimé que la totalité du matériel et des logiciels visés dans la demande d’autorisation de la requérante représentait un risque pour la sécurité nationale de l’Estonie. Elle a donc délivré à la requérante une autorisation d’utilisation limitée dans le temps, valable jusqu’au 31 décembre 2025 pour la fonctionnalité 5G et jusqu’au 31 décembre 2029 pour la fonctionnalité 2G-4G, conformément à l’article 1965 de l’ESS (ci-après la « décision de la TTJA »).

20. Le 1er décembre 2022, la requérante a saisi la juridiction de renvoi d’un recours contre les décisions du KJN et de la TTJA (ci-après, ensemble, « décisions contestées »). La requérante affirme notamment que le KJN et la TTJA n’ont pas démontré l’existence d’un risque pour la sécurité nationale de l’Estonie, la probabilité que le risque allégué se concrétise ou l’ampleur des dommages pouvant résulter des matériels et logiciels litigieux. Elle fait également valoir que, compte tenu de la brièveté de la période transitoire, les décisions contestées sont constitutives d’une interdiction rétroactive d’utiliser les matériels et logiciels litigieux, qui conduit à la priver de sa propriété. De ce fait, une indemnisation s’impose. La requérante conteste en outre la validité des décisions contestées, arguant de ce que la loi en vertu de laquelle celles-ci ont été adoptées n’a pas été notifiée à la Commission, de sorte qu’elle est incompatible avec la directive (UE) 2015/1535 (16). Enfin, elle soutient que les décisions contestées constituent une restriction apportée à la liberté de fournir des réseaux et des services de communications électroniques, au sens de l’article 12, paragraphe 1, du CCEE, et que toute restriction apportée à cette liberté doit être dûment justifiée, ce qu’ont omis de faire les autorités compétentes.

21. Le KJN et la TTJA contestent ces arguments. Ils font valoir en substance que les décisions contestées sont fondées sur une évaluation des risques pour laquelle un risque probable ou prévisible suffit. Ces décisions relèvent de la compétence exclusive de l’Estonie, qui n’est soumise qu’à un contrôle juridictionnel restreint. Le KJN et la TTJA relèvent également que la durée de la période transitoire accordée dans les décisions contestées correspond à la durée maximale autorisée par l’article 1965 de l’ESS. Ces parties contestent l’argument tiré de ce que ces décisions seraient incompatibles avec la directive 2015/1535 et le CCEE.

22. Dans ces circonstances, le Tallinna Halduskohus (tribunal administratif de Tallinn) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1) Un ensemble de dispositions nationales (article 873, paragraphes 2, 3, 6, 7 et 8, article 874, paragraphes 1 à 4, et article 1965, paragraphes 1 à 4, de [l’ESS]), qui, afin de garantir la sécurité nationale, oblige un opérateur de télécommunications à demander l’autorisation d’utiliser du matériel et des logiciels dans son réseau de communications, relève-t-il du champ d’application [du CCEE] ?

2) En cas de réponse affirmative à la question précédente, l’article 1er, paragraphe 3, sous c), [du CCEE], lu en combinaison avec l’article 4, paragraphe 2, TUE, doit-il être interprété en ce sens que l’introduction de telles restrictions relève de la compétence exclusive des États membres et constitue une mesure purement nationale à laquelle les exigences [du CCEE] ne s’appliquent pas ?

3) En cas de réponse négative à la question [2], l’ensemble de dispositions nationales (article 873, paragraphes 2, 3, 6, 7 et 8, article 874, paragraphes 1 à 4, et article 1965, paragraphes 1 à 4, de l’ESS) qui ne permet pas à un opérateur de télécommunications d’utiliser du matériel et des logiciels dans son réseau de communications sans avoir obtenu auprès de l’organe administratif compétent l’autorisation d’utiliser le matériel et les logiciels en question, constitue-t-il une restriction à la liberté de fournir des réseaux et des services de communications électroniques au sens de l’article 12, paragraphe 1, [du CCEE] ?

4) En cas de réponse affirmative à la question [3], de telles dispositions nationales doivent-elles être écartées si elles n’ont pas été préalablement notifiées à la [Commission] conformément à l’article 12, paragraphe 1, [du CCEE] ?

5) En cas de réponse affirmative à la question [2], l’article 36 TFUE et le principe de proportionnalité s’accommodent-ils de dispositions nationales qui, afin de garantir la sécurité nationale, obligent un opérateur de télécommunications à demander une autorisation pour l’utilisation de matériel et de logiciels dans son réseau de télécommunications, et qui, dans le cadre de l’évaluation de la menace présentée par du matériel et des logiciels à haut risque, n’exigent pas de l’organe administratif qu’il apprécie (a) dans quelle mesure il y a projection, sur le matériel et les logiciels concrètement concernés, des risques liés au fabricant ; (b) la fonctionnalité, l’emplacement et l’importance du matériel et des logiciels concrètement concernés dans le cadre de la fourniture du service de communications, et (c) dans quelle mesure il y a projection sur le fabricant des problèmes liés à l’État d’établissement ?

6) Y a-t-il privation de propriété au sens de l’article 17, paragraphe 1, deuxième phrase, de la charte des droits fondamentaux de l’Union européenne [ci-après la “Charte”] lorsque l’utilisation de matériel ou logiciels présents et utilisés de manière active dans un réseau de communications avant l’introduction de l’obligation d’obtenir une autorisation est autorisée pour une durée inférieure à la durée de vie utile de ce matériel ou de ces logiciels, sachant que le matériel ou le logiciel en question a été acquis légalement ? »

23. Des observations écrites ont été déposées devant la Cour par la requérante, les gouvernements tchèque, danois, estonien, espagnol, français, italien, finlandais et suédois ainsi que par la Commission. La requérante, le KJN, les gouvernements estonien, danois, allemand, espagnol, français, italien, finlandais et suédois ainsi que la Commission ont été entendus lors de l’audience qui s’est tenue le 11 novembre 2025.

III. Analyse

24. Je structurerai mon analyse de la manière suivante.

25. Les deux premières questions de la juridiction de renvoi ont trait à l’applicabilité du CCEE. La première porte ainsi sur le point de savoir si un régime législatif qui soumet à autorisation préalable l’utilisation de matériels et de logiciels dans le cadre de la fourniture de réseaux et de services de communications électroniques, tel que celui instauré par l’ESS, relève du champ d’application matériel du CCEE. Je traiterai cette question dans la section III.A. La seconde question concerne le point de savoir si de telles mesures sont néanmoins exclues du champ d’application de cette directive dès lors qu’elles ont été prises pour des raisons de sécurité nationale. Je traiterai cette question dans la section III.B. La conclusion que je tire en ce qui concerne ces deux questions est que le CCEE s’applique au présent cas d’espèce.

26. Dès lors que le CCEE s’applique, une troisième question se pose, qui est celle de savoir si les mesures contestées constituent une restriction apportée à la liberté de fournir des réseaux et des services de communications électroniques au sens de l’article 12, paragraphe 1, du CCEE. Je répondrai à cette question par l’affirmative dans la section III.C. Cela m’amènera à la quatrième question, qui porte sur le point de savoir si ces mesures devaient être notifiées à la Commission et, si oui, quelles sont les conséquences qui s’attachent à l’absence de notification desdites mesures. Je traiterai cette question dans la section III.D.

27. Si, comme je le pense, les mesures nationales en cause constituent une restriction à la liberté de fournir des réseaux et des services de communications électroniques, il se posera alors une autre question de taille, qui est celle de savoir si de telles mesures peuvent être justifiées et quelle pourrait être, dans ce cas, leur justification. Une telle justification pourrait se fonder sur l’article 12, paragraphe 1, du CCEE ; cette disposition renvoie à cet égard à l’article 52, paragraphe 1, TFUE. Cependant, la juridiction de renvoi ne demande pas à être éclairée quant aux modalités du contrôle de proportionnalité exercé au titre de l’article 12, paragraphe 1, du CCEE. Son interrogation, telle qu’elle l’exprime au travers de la cinquième question posée, touche en fait à la libre circulation des marchandises, et vaut sous réserve que la Cour conclue à l’inapplicabilité du CCEE. Comme je proposerai de conclure à l’applicabilité du CCEE, il ne sera pas nécessaire de répondre à la cinquième question telle qu’elle a été posée à la Cour. Néanmoins, cette question conserve, au fond, un intérêt pour la juridiction de renvoi pour ce qui concerne la justification tirée de l’article 12, paragraphe 1, du CCEE, lu en combinaison avec l’article 52, paragraphe 1, TFUE. Par conséquent, au lieu de répondre à la cinquième question telle qu’elle a été posée à la Cour, je proposerai de la reformuler de telle manière qu’elle se réfère aux dispositions précitées (et non aux articles 34 et 36 TFUE). Je traiterai la question ainsi reformulée à la section III.E.

28. Enfin, par sa sixième question, la juridiction de renvoi demande à la Cour de l’aider à déterminer si, compte tenu des circonstances de l’espèce, les mesures en cause conduisent, de fait, à priver la requérante de sa propriété, auquel cas, selon elle, une indemnisation adéquate s’impose en application de l’article 17, paragraphe 1, de la Charte. Dans le cadre de la section III.F, je proposerai à la Cour de répondre en ce sens que la mesure en cause ne constitue pas une telle privation, mais qu’elle représente une atteinte à l’usage d’un bien, qui peut toutefois être justifiée, de sorte qu’elle n’appelle pas d’indemnisation au titre de l’article 17, paragraphe 1, de la Charte.

A. Sur la première question préjudicielle

29. Par sa première question, la juridiction de renvoi demande, en substance, si les dispositions concernées de l’ESS, sur le fondement desquelles les mesures contestées ont été prises, entrent dans le champ d’application du CCEE.

30. Les parties qui ont présenté des observations dans le cadre de la présente procédure sont partagées quant à la manière dont il convient de répondre à cette question. La requérante, les gouvernements estonien et français ainsi que la Commission considèrent, en substance, que le CCEE s’applique aux mesures en cause. Le gouvernement estonien, rejoint en cela par la Commission, explique notamment que l’ESS a été adoptée, en fait, pour mettre en œuvre le CCEE. À l’inverse, les gouvernements danois, tchèque, italien, suédois et finlandais estiment en substance que le CCEE ne s’applique pas, étant donné que la mesure d’autorisation en cause a été prise en vue de protéger la sécurité nationale de l’Estonie. Le gouvernement espagnol, quant à lui, fait valoir en substance que les mesures adoptées à des fins de protection de la sécurité nationale n’entrent pas dans le champ du CCEE, mais que cela ne dispense pas les États membres de se conformer au CCEE, qui s’applique au présent cas d’espèce.

31. Je considère quant à moi que le CCEE s’applique et que les mesures en cause entrent dans le champ d’application ratione materiae de cette directive.

32. Le CCEE constitue le principal acte de législation en matière de communications électroniques. Il établit un cadre juridique harmonisé aux fins de la mise en place d’un marché intérieur des réseaux et des services de communications électroniques (17). Il vise, à cet effet, à éliminer les entraves à la fourniture de réseaux et de services de communications électroniques en interdisant les restrictions imposées par les États membres et en établissant des règles communes (18).

33. Ce cadre s’applique également aux réseaux mobiles dont il est ici question (19).

34. En principe, toutes les règles nationales qui ont trait à la régulation des réseaux et des services de communications électroniques entrent dans le champ du CCEE.

35. L’un des objectifs du CCEE est d’assurer la sécurité du marché intérieur des réseaux et des services de communications électroniques. Cette directive vise ainsi, aux termes de son article 1er, paragraphe 2, sous a), à « mettre en œuvre un marché intérieur des réseaux et des services de communications électroniques qui aboutisse au déploiement et à la pénétration de réseaux à très haute capacité, à l’instauration d’une concurrence durable, à l’interopérabilité des services de communications électroniques, à l’accessibilité, à la sécurité des réseaux et services, tout en procurant des avantages aux utilisateurs finaux » (20).

36. À cette fin, l’article 40, paragraphe 1, du CCEE fait expressément obligation aux États membres de veiller à ce que les fournisseurs de réseaux ou de services de communications électroniques publics ou accessibles au public prennent des mesures techniques et organisationnelles adéquates et proportionnées pour gérer les risques en matière de sécurité des réseaux et des services de manière appropriée. Compte tenu des « possibilités techniques les plus récentes », ces mesures garantissent « un niveau de sécurité adapté au risque existant », et sont notamment aptes à prévenir et à limiter l’impact des incidents de sécurité pour les utilisateurs et pour d’autres réseaux et services.

37. Les dispositions nationales adoptées en vue d’atteindre l’objectif de « sécurité des réseaux et services » doivent donc être considérées comme entrant dans le champ d’application du CCEE.

38. La notion de « sécurité des réseaux et services » est définie à l’article 2, point 21, du CCEE comme renvoyant à « la capacité des réseaux et services de communications électroniques de résister, à un niveau de confiance donné, à toute action qui compromet la disponibilité, l’authenticité, l’intégrité ou la confidentialité de ces réseaux et services, de données stockées, transmises ou traitées ou des services connexes offerts par ces réseaux ou services de communications électroniques ou rendus accessibles via de tels réseaux ou services ».

39. Cette définition doit être lue en combinaison avec celles données des notions de « réseau de communications électroniques » (21) et de « service de communications électroniques » (22).

40. La première de ces notions est définie en des termes larges et recouvre notamment les équipements physiques nécessaires à la fourniture du réseau (c’est-à-dire également le matériel et les logiciels qui y sont inclus) (23). La seconde renvoie à la transmission de signaux au moyen d’une infrastructure physique, notion interprétée par la Cour comme englobant les logiciels utilisés notamment pour accéder à Internet (24).

41. Il s’ensuit que la notion de « sécurité des réseaux », telle que définie à l’article 2, point 21, du CCEE, doit être interprétée comme englobant la sécurité des éléments tant matériels que logiciels d’un réseau de communications électroniques.

42. Aux fins de la mise en œuvre de l’article 40, paragraphe 1, du CCEE, l’article 41, paragraphe 1, de celui-ci impose aux États membres de veiller à ce que les autorités compétentes aient le pouvoir de donner des instructions contraignantes, y compris concernant les mesures requises pour empêcher qu’un incident de sécurité ne se produise lorsqu’une « menace importante » a été identifiée.

43. Aucune précision n’est apportée quant aux règles que les États membres doivent adopter à cet égard. Le droit de l’Union laisse ainsi aux États membres le soin de décider de la manière dont il y aura lieu de mettre en œuvre ces exigences pour assurer la sécurité de leurs réseaux et services.

44. En l’occurrence, il ressort de l’ordonnance de renvoi ainsi que des observations de la requérante, du gouvernement estonien et du KJN, telles qu’elles ont été confirmées lors de l’audience, que les dispositions en cause visent à transposer le CCEE, et plus particulièrement l’article 40, paragraphe 1, et l’article 41, paragraphe 1, de celui-ci, en droit estonien.

45. Il n’y a aucune raison de croire que la transposition de l’article 40, paragraphe 1, et de l’article 41, paragraphe 1, du CCEE ne pourrait pas, entre autres options possibles, prendre la forme d’une procédure d’autorisation préalable pour l’utilisation de matériels et de logiciels dans le cadre de la fourniture de réseaux et de services de communications électroniques, telle que celle instaurée par l’ESS.

46. Cela n’est d’ailleurs pas contesté en l’espèce.

47. Compte tenu de ce qui précède, je propose à la Cour de répondre par l’affirmative à la première question posée par la juridiction de renvoi, et de dire qu’il y a lieu d’interpréter le CCEE en ce sens qu’il s’applique à un ensemble de dispositions nationales, qui, afin de garantir la sécurité du réseau national de télécommunications électroniques et de ses services, oblige un opérateur désireux de fournir un tel réseau ou service à demander l’autorisation d’utiliser du matériel et des logiciels dans son réseau de communications.

B. Sur la deuxième question préjudicielle

48. Par sa deuxième question, qu’elle pose en cas de réponse affirmative à la première question, la juridiction de renvoi sollicite en substance un éclairage sur le point de savoir si l’article 4, paragraphe 2, TUE et l’article 1er, paragraphe 3, sous c), du CCEE ont pour effet de faire entrer les mesures d’autorisation en cause dans le champ de la compétence exclusive des États membres, auquel le CCEE ne s’applique pas, dès lors que ces mesures ont été prises en vue de garantir la sécurité nationale.

49. Cette question appelle une réponse brève.

50. Aux termes de l’article 4, paragraphe 2, dernière phrase, TUE, la sécurité nationale reste de la seule responsabilité de chaque État membre. Cette idée se retrouve à l’article 1er, paragraphe 3, sous c), du CCEE, qui prévoit que le CCEE est sans préjudice des mesures prises par les États membres à des fins de maintien de l’ordre public, de sécurité publique et de défense.

51. Par conséquent, et nonobstant les différences terminologiques qui existent entre ces deux dispositions (25), je partage l’avis de la Commission et du gouvernement français selon lequel l’article 1er, paragraphe 3, sous c), du CCEE fait en substance écho à l’article 4, paragraphe 2, TUE.

52. Ces deux dispositions doivent-elles être interprétées en ce sens qu’il faudrait exclure du champ d’application du CCEE les mesures prises à des fins de sécurité nationale ?

53. La requérante, les gouvernements estonien, espagnol et français ainsi que la Commission considèrent que, si les États membres sont seuls compétents pour décider des mesures qui visent à protéger leur sécurité nationale, cela ne les dispense pas de se conformer au CCEE. L’article 4, paragraphe 2, TUE et l’article 1er, paragraphe 3, sous c), du CCEE n’ont donc pas pour effet de soustraire la mesure d’autorisation en cause à l’application du droit de l’Union. Les gouvernements danois, tchèque, italien, suédois et finlandais soulignent à l’inverse que l’article 4, paragraphe 2, TUE et l’article 1er, paragraphe 3, sous c), du CCEE excluent l’application du droit de l’Union, puisque les mesures en cause ont été prises en vue de protéger la sécurité nationale de l’Estonie.

54. Selon moi, il ressort déjà de la jurisprudence de la Cour que l’article 4, paragraphe 2, TUE n’a pas pour effet de placer les mesures de sécurité nationale hors de portée du droit de l’Union (26).

55. En fait, cette disposition confirme que l’Union n’est pas compétente pour décider de ce qui est nécessaire pour la sécurité des États membres et de ce qu’il convient de faire pour la protéger. Toutefois, même si la sécurité nationale reste de la seule responsabilité de chaque État membre en vertu de l’article 4, paragraphe 2, TUE, « le seul fait qu’une mesure nationale a été prise aux fins de la protection de la sécurité nationale ne saurait entraîner l’inapplicabilité du droit de l’Union et dispenser les États membres du respect nécessaire de ce droit » (27).

56. Dès lors, même si l’Estonie a adopté la législation en cause en vue de protéger sa sécurité nationale, cela ne signifie pas que le CCEE est inapplicable à cette législation et aux mesures qui ont été adoptées sur son fondement.

57. Autrement dit, lorsque des mesures adoptées pour protéger la sécurité nationale sont en conflit avec le droit de l’Union, ce conflit peut être justifié par l’intérêt public de la protection de la sécurité nationale ; néanmoins, pour pouvoir être considérées comme légales, ces mesures doivent satisfaire au critère de proportionnalité. J’y reviendrai au moment de répondre à la cinquième question.

58. En l’espèce, comme je l’ai expliqué, le gouvernement estonien estime précisément que la législation en cause protège les intérêts de la sécurité nationale, mais que, dans le même temps, elle a été adoptée aux fins de mise en œuvre du CCEE (28). De fait, pour justifier la décision prise par ses administrations nationales de considérer que les matériels et logiciels litigieux présentent un « risque élevé » pour la sécurité de l’infrastructure de télécommunications nationale, le gouvernement estonien s’appuie sur des instruments non contraignants du droit de l’Union élaborés par la Commission (29) et un groupe de coopération d’agences nationales de sécurité (30).

59. Il y a donc convergence entre les intérêts de sécurité nationale de l’Estonie et les exigences de sécurité fixées au niveau de l’Union.

60. En cela, la présente affaire se distingue de celle qui a donné lieu à l’arrêt Ministrstvo za obrambo (31). Dans cet arrêt, la Cour a estimé que certaines catégories d’activités militaires échappent au champ d’application de la directive 2003/88/CE concernant certains aspects de l’aménagement du temps de travail (32), « lorsque ces activités sont à ce point spécifiques qu’elles s’opposent de manière contraignante et permanente au respect des exigences imposées par cette directive » (33).

61. Compte tenu de ce qui précède, je propose à la Cour de répondre par la négative à la deuxième question posée, et de constater que l’article 4, paragraphe 2, TUE et l’article 1er, paragraphe 3, sous c), du CCEE doivent être interprétés en ce sens que le CCEE n’est pas inapplicable à une mesure qui soumet à autorisation l’utilisation de matériels et de logiciels dans le cadre de la fourniture d’un réseau ou d’un service de communications électroniques public ou accessible au public, même lorsque cette mesure a été adoptée en vue de protéger des intérêts de sécurité nationale.

C. Sur la troisième question préjudicielle

62. Il découle de mes réponses aux deux premières questions que l’ESS et les décisions contestées, qui ont été adoptées sur le fondement de l’ESS, relèvent du champ d’application du CCEE. Cela m’amène à la troisième question.

63. Par sa troisième question, la juridiction de renvoi demande, en substance, si une mesure nationale qui soumet à autorisation préalable l’utilisation de matériels et de logiciels constitue une restriction à la liberté de fournir des réseaux et des services de communications électroniques au sens de l’article 12, paragraphe 1, du CCEE.

64. La requérante estime qu’il y a lieu de répondre à cette question par l’affirmative. Elle fait valoir que l’article 12, paragraphe 1, du CCEE impose aux États membres de garantir la liberté de fournir des services de communications électroniques, que la procédure d’autorisation prévue par l’ESS conduit à restreindre. Les gouvernements estonien, espagnol, français et italien ainsi que la Commission rejettent cette analyse. Ils font valoir, en substance, que la procédure d’autorisation prévue par l’ESS constitue une condition préalable à l’exercice de la liberté de fournir des services de communications électroniques, et non une restriction, dès lors que cette liberté s’exerce, en vertu de l’article 12, paragraphe 1, du CCEE, « sous réserve des conditions fixées dans [cette] directive ». L’une de ces conditions étant la sécurité des réseaux et des services de communications électroniques, les États membres peuvent légitimement prévoir une procédure d’autorisation telle que celle en cause au principal (34).

65. D’après les positions en présence, la Cour a le choix entre deux qualifications possibles de la mesure d’autorisation en cause au titre de l’article 12, paragraphe 1, du CCEE : i) celle de condition applicable à la fourniture de réseaux et de services de communications électroniques ou ii) celle de restriction apportée à la fourniture de ces réseaux et services.

66. Je suis d’avis qu’une telle exigence constitue une restriction apportée à la fourniture desdits réseaux et services, au sens de l’article 12, paragraphe 1, du CCEE. Néanmoins, je considère que cette restriction est justifiée.

67. Il me semble utile, à cet égard, de rappeler les deux premières phrases de l’article 12, paragraphe 1, du CCEE :

« Les États membres garantissent la liberté de fournir des réseaux et des services de communications électroniques, sous réserve des conditions fixées dans la présente directive. À cette fin, les États membres n’empêchent pas une entreprise de fournir des réseaux ou des services de communications électroniques, sauf lorsque cela est nécessaire pour les raisons énoncées à l’article 52, paragraphe 1, du traité sur le fonctionnement de l’Union européenne » (35).

68. L’idée qui sous-tend cette disposition est que, en principe, les États membres doivent permettre aux entreprises de fournir des réseaux et des services de communications électroniques, sous réserve de certaines conditions.

69. Ils ne sauraient en outre empêcher ces entreprises d’exercer cette liberté par une restriction que le CCEE lui-même n’a pas directement imposée à titre de condition applicable à la fourniture de tels réseaux et services.

70. L’article 12, paragraphe 1, du CCEE, tout en imposant une intégration négative (c’est-à-dire l’interdiction pour les États membres de prendre des mesures qui entravent la liberté de fournir des réseaux et des services de communications électroniques) (36), reconnaît l’importance qui s’attache à une intégration positive (c’est-à-dire l’harmonisation des exigences de sécurité comme condition de fourniture de réseaux et de services de communications électroniques).

71. Or, malgré l’exigence de sécurité des réseaux et des services, il n’y a pas d’intégration positive en la matière au niveau de l’Union.

72. Le CCEE ne prévoit pas de mesures qui permettraient de garantir cette sécurité. Il en laisse l’initiative aux États membres en les contraignant, par son article 40, paragraphe 1, et son article 41, paragraphe 1, à faire les choix qui s’imposent en la matière.

73. En d’autres termes, si, en vertu du CCEE, la sécurité des réseaux et des services est une condition de la fourniture de ces réseaux et services, tel n’est pas le cas d’une autorisation préalable pour l’utilisation de matériels et de logiciels dans le cadre de la fourniture desdits réseaux et services.

74. S’il en allait autrement, c’est-à-dire si toute mesure prise par un État membre pour assurer la sécurité de ses réseaux et services était automatiquement considérée comme une condition du bon fonctionnement du marché intérieur des réseaux et des services de communications électroniques, les États membres pourraient aisément créer des entraves à la libre circulation (37).

75. L’idée que les mesures choisies par les États membres pourraient ainsi échapper automatiquement au contrôle juridictionnel de leur proportionnalité serait difficilement compatible avec la finalité de l’article 12, paragraphe 1, du CCEE, qui est d’empêcher qu’il ne soit fait obstacle à la liberté de fournir des réseaux et services de communications électroniques.

76. L’interprétation que je propose de retenir repose donc sur l’idée qu’une mesure nationale donnée, prise en vue d’assurer la sécurité des réseaux et des services d’un État membre, peut néanmoins être qualifiée de restriction à la liberté de fournir des réseaux et des services de communications électroniques prohibée par l’article 12, paragraphe 1, du CCEE, même si le CCEE impose aux États membres d’assurer la sécurité de leurs réseaux.

77. Toute disposition qui subordonne l’accès au marché intérieur à l’obtention d’une autorisation préalable est considérée, en principe, comme un obstacle à la libre circulation, qu’il s’agisse de celle des marchandises (38), des services (39) ou des capitaux (40), ou comme un obstacle à la liberté d’établissement (41). Une telle disposition aura toujours pour effet de rendre moins attrayant l’exercice d’une liberté et plus difficile l’accès aux marchés pertinents.

78. Force est de constater à cet égard qu’une procédure d’autorisation préalable, telle que celle en cause, qui permet aux autorités compétentes d’interdire l’utilisation de certains matériels et logiciels en raison du « risque élevé » qu’ils présentent, constitue une mesure qui, en principe, entrave la libre circulation des réseaux et des services de communications électroniques, dès lors qu’elle est susceptible de rendre moins attrayants ou plus difficiles l’accès au service en question et la fourniture de ce service.

79. Dès lors, une telle mesure est en principe interdite par l’article 12, paragraphe 1, du CCEE.

80. La législation estonienne en cause est donc susceptible de restreindre la liberté de fournir des réseaux et des services de communications électroniques en violation de l’article 12, paragraphe 1, première phrase, du CCEE.

81. Cela étant, conformément à l’article 12, paragraphe 1, du CCEE, une telle mesure peut être justifiée par l’une des raisons énoncées à l’article 52, paragraphe 1, TFUE.

82. Le contrôle de proportionnalité qui en découle, et qui repose notamment sur des considérations de sécurité nationale, relève de la compétence de la juridiction de renvoi. Celle-ci n’a pas sollicité l’éclairage de la Cour sur cet aspect précis de l’article 12, paragraphe 1, du CCEE. Cependant, dans le cadre de la réponse que je proposerai d’apporter à la cinquième question posée, j’apporterai quelques indications qui pourraient également lui être utiles à cet égard.

83. Compte tenu de ce qui précède, je propose que la Cour réponde à la troisième question par l’affirmative : l’article 12, paragraphe 1, du CCEE doit être interprété en ce sens qu’un ensemble de dispositions nationales qui subordonne l’utilisation de matériels et de logiciels dans le cadre de la fourniture de réseaux et de services de communications électroniques à l’obtention d’une autorisation administrative constitue une restriction à la liberté de fournir de tels réseaux et services au sens de cette disposition. Une telle restriction peut être justifiée pour les raisons énoncées à l’article 52, paragraphe 1, TFUE.

D. Sur la quatrième question préjudicielle

84. L’article 12, paragraphe 1, troisième phrase, du CCEE impose aux États membres de motiver dûment, et de notifier à la Commission, toute restriction apportée à la liberté de fournir des réseaux et services de communications électroniques.

85. Au vu de cette disposition, la juridiction de renvoi souhaite savoir, par sa quatrième question, quelles sont les conséquences qui s’attachent à l’absence de notification d’une restriction apportée au droit consacré à l’article 12, paragraphe 1, du CCEE, telle que celle qui résulte d’un ensemble de dispositions qui soumet à autorisation préalable l’utilisation de matériels et de logiciels dans les réseaux de communications électroniques. Surtout, la juridiction de renvoi souhaite savoir si l’absence de notification entraîne l’inapplicabilité d’une telle mesure.

86. Selon la requérante, la législation en cause n’a pas été notifiée à la Commission. La procédure d’autorisation instituée par l’ESS ne lui est donc pas opposable. Les gouvernements estonien, espagnol, français et italien ainsi que la Commission, rejoints en cela, lors de l’audience, par la TTJA ainsi que par les gouvernements allemand et finlandais, soutiennent qu’aucune notification n’était nécessaire, puisque, selon eux, l’autorisation requise par l’ESS constitue non pas une restriction, mais une condition fixée par le CCEE pour la fourniture de réseaux et de services de communications électroniques.

87. Je pense au contraire, comme je l’ai expliqué au moment d’examiner la troisième question, qu’une mesure d’autorisation préalable, telle que celle introduite en Estonie par l’ESS, constitue une restriction apportée à la liberté de fournir des réseaux et des services de communications électroniques. Dès lors, il me semble qu’une telle mesure aurait dû être notifiée à la Commission.

88. Toutefois, je tiens à observer que le dossier de l’affaire ne permet pas d’établir avec certitude si cette mesure a bien été notifiée. Le gouvernement estonien indique qu’une version provisoire de l’ESS, régime d’autorisation inclus, a été communiquée à la Commission en 2020 (42), avant son entrée en vigueur en 2022. La requérante conteste toutefois que cette notification ait été faite. Il appartient à la juridiction de renvoi de s’en assurer.

89. Cela étant, quand bien même le gouvernement estonien aurait omis de notifier l’exigence légale d’autorisation préalable à la Commission, cette omission n’entraînerait pas, à mon avis, l’inapplicabilité des dispositions correspondantes de l’ESS à l’égard de la requérante, en ce sens qu’elle ne produirait pas les mêmes effets que ceux qui s’attachent à l’absence de notification d’une exigence technique au titre de la directive 2015/1535.

90. Premièrement, la directive 2015/1535 exclut expressément de son champ d’application les aspects liés aux réseaux et services de communications électroniques. L’article 1er, paragraphe 3, de cette directive dispose que celle-ci « ne s’applique pas à des règles concernant des questions qui font l’objet d’une réglementation de l’Union en matière de services de télécommunication, tels que visés par la [directive ayant précédé le CCEE] ».

91. En matière de règles et de normes techniques relatives aux réseaux et services de communications électroniques, le CCEE constitue donc une lex specialis par rapport à la directive 2015/1535.

92. Deuxièmement, comme l’explique la Commission, on ne saurait établir la moindre analogie entre, d’une part, un défaut de notification au titre de l’article 12, paragraphe 1, du CCEE et, d’autre part, la méconnaissance de la procédure de notification mise en place par la directive 2015/1535 et de la jurisprudence qui s’y rapporte, selon laquelle l’absence de notification d’une norme technique entraîne son inapplicabilité à l’égard des particuliers (43).

93. En effet, à la différence de la directive 2015/1535, l’article 12, paragraphe 1, du CCEE ne subordonne pas l’applicabilité des conditions relatives à la fourniture de réseaux et de services de communications électroniques à l’approbation de la Commission ou à l’écoulement d’un délai minimal.

94. Dès lors, l’absence de notification d’une restriction apportée à la liberté de fournir des réseaux et des services de communications électroniques au titre de l’article 12, paragraphe 1, du CCEE ne conduit pas à l’impossibilité de soumettre la requérante à la procédure d’autorisation prévue par l’ESS.

95. Compte tenu de ce qui précède, je propose à la Cour de répondre à la quatrième question en ce sens que le fait qu’une restriction apportée à la liberté de fournir des réseaux de communications électroniques n’ait pas été notifiée à la Commission conformément à l’article 12, paragraphe 1, du CCEE n’entraîne pas l’inapplicabilité des dispositions nationales qui n’ont pas été notifiées.

E. Sur la cinquième question préjudicielle

96. La cinquième question, ainsi qu’elle a été formulée par la juridiction de renvoi, porte sur des mesures nationales qui restreignent la libre circulation des marchandises prévue à l’article 34 TFUE, mais qui peuvent être justifiées sur le fondement de l’article 36 TFUE. Cette question a été posée à la Cour pour le cas où celle-ci conclurait à l’inapplicabilité du CCEE.

97. Toutefois, comme je l’ai indiqué, je considère que le CCEE est applicable en l’espèce. En principe, il n’y a donc pas lieu pour la Cour de répondre à la cinquième question posée.

98. Cela étant, la réponse à cette question permettrait, au fond, à la juridiction de renvoi de déterminer si les mesures contestées introduites par l’ESS peuvent être justifiées au titre de l’article 12, paragraphe 1, du CCEE, en vertu duquel elles constituent une restriction.

99. Étant donné que la Cour dispose de la faculté de reformuler une question qui lui est posée d’une manière qu’elle juge utile pour la solution du litige dont est saisie la juridiction de renvoi, je lui proposerai d’en faire ici usage (44).

100. La cinquième question porterait ainsi, une fois reformulée, sur le point de savoir si l’article 12, paragraphe 1, du CCEE et le principe de proportionnalité s’accommodent de dispositions nationales qui, afin de garantir la sécurité nationale, obligent un opérateur de télécommunications à demander une autorisation pour l’utilisation de matériel et de logiciels dans son réseau de télécommunications, et qui, dans le cadre de l’évaluation de la menace présentée par du matériel et des logiciels à haut risque, n’exigent pas de l’organe administratif qu’il apprécie a) dans quelle mesure il y a projection, sur le matériel et les logiciels concrètement concernés, des risques liés au fabricant ; b) la fonctionnalité, l’emplacement et l’importance du matériel et des logiciels concrètement concernés dans le cadre de la fourniture du service de communications, et c) dans quelle mesure il y a projection sur le fabricant des problèmes liés à l’État d’établissement.

101. Il importe à cet égard de souligner que la juridiction de renvoi ne cherche pas à obtenir une réponse sur la proportionnalité des décisions contestées adoptées sur le fondement de l’ESS. Son interrogation porte en fait sur le point de savoir si la procédure d’autorisation régie par l’ESS, sur laquelle se fondent les décisions contestées, peut être justifiée si elle ne comporte pas l’obligation, pour les autorités compétentes, de s’assurer d’abord de la réalité du risque pour la sécurité nationale, avant de rejeter la demande d’autorisation sur ce fondement. Ce n’est que si l’ESS est jugée valable de ce point de vue que la question de la proportionnalité de sa mise en œuvre se pose.

102. Une mesure restreignant la liberté de fournir des réseaux et des services de communications électroniques au sens de l’article 12, paragraphe 1, du CCEE, peut être justifiée par les raisons énoncées à l’article 52, paragraphe 1, TFUE, c’est-à-dire par des raisons d’ordre public, de sécurité publique et de santé publique.

103. En l’espèce, le gouvernement estonien justifie la restriction introduite par l’ESS par des considérations qui tiennent à la sécurité nationale (entendue comme sécurité de l’infrastructure de télécommunications nationale), ainsi que par le fait que ces mesures mettent en œuvre le CCEE, et plus particulièrement l’article 40, paragraphe 1, et l’article 41, paragraphe 1, de cette directive.

104. On ne saurait nier l’importance considérable qui s’attache à la sécurité des réseaux de communications dans les sociétés démocratiques contemporaines : une infrastructure de télécommunications sûre et fiable est non seulement indispensable à l’exercice effectif d’un certain nombre de valeurs et de droits fondamentaux de l’Union, dont la démocratie et la liberté d’expression, mais également un gage de stabilité sociale, puisque les influences ou perturbations subies par les infrastructures de télécommunications d’un État membre peuvent avoir des répercussions plus larges sur d’autres secteurs de l’économie ou de la vie quotidienne des citoyens de l’Union (45).

105. J’observe également que la Cour a déjà reconnu que la sécurité de l’infrastructure de télécommunications d’un État membre peut constituer un élément de la sécurité publique d’un État membre (46).

106. En outre, le CCEE a pour objet de garantir la sécurité des réseaux et des services de communications électroniques et charge à cette fin les États membres, à son article 40, paragraphe 1, et à son article 41, paragraphe 1, de veiller à la sécurité de leurs réseaux et services de communications électroniques (47).

107. Cependant, bien que la sécurité du réseau et des services de communications électroniques d’un État membre soit reconnue, tant au niveau des États membres qu’au niveau de l’Union, comme constituant un intérêt fondamental de la société, et qu’elle puisse dès lors être invoquée pour justifier une restriction à la liberté de fournir de tels réseaux et services, une telle restriction ne peut être apportée que si la menace qui pèse sur cet intérêt est réelle, actuelle et suffisamment grave dans un cas particulier (48).

108. Ainsi, un État membre ne saurait se contenter d’invoquer des raisons de sécurité nationale pour justifier ce type de restriction (49).

109. En réalité, la législation qui permet une telle restriction, ici l’ESS, doit imposer aux autorités compétentes, en l’occurrence la TTJA et le KJN, d’apprécier si les équipements en cause présentent réellement un tel risque pour la sécurité du réseau national de télécommunications.

110. Si cette appréciation peut être différente en ce qui concerne le risque émanant d’États tiers ou de leurs fournisseurs (50), elle ne saurait être fondée sur une suspicion générale (51); elle doit, au contraire, reposer sur un examen spécifique de l’utilisation qui doit être faite de ces équipements et des risques qui y sont associés. Cette analyse peut porter, par exemple, sur les risques liés au type d’équipement en cause, à son fabricant ou encore à l’État d’établissement de celui-ci (52).

111. Dans ces conditions, il convient de répondre à la cinquième question de la juridiction de renvoi en ce sens que l’article 12, paragraphe 1, du CCEE exige que des dispositions nationales qui, afin de protéger la sécurité des réseaux et des services de communications électroniques, subordonnent l’utilisation de matériels et de logiciels à l’obtention d’une autorisation préalable, imposent aux autorités habilitées à décider de l’octroi d’une telle autorisation d’apprécier si les matériels et logiciels visés par la demande d’autorisation présentent un risque réel pour la sécurité du réseau, ce qui peut impliquer de tenir compte de l’utilisation qui doit être faite de ces équipements ainsi que du point de savoir s’il y a projection sur le fabricant des risques liés à son État d’établissement et s’il y a projection, sur le matériel et les logiciels concernés, des risques liés au fabricant.

112. Il me semble, sous réserve des vérifications qui devront être faites sur ce point par la juridiction de renvoi, que l’ESS fixe des critères précis sur lesquels les autorités nationales compétentes peuvent s’appuyer pour déterminer s’il existe un risque pour la sécurité nationale. Il est ainsi tenu compte, semble-t-il, de l’existence d’une menace liée au fabricant et au pays tiers dans lequel ce fabricant est établi (53).

113. Au moment de contrôler les décisions contestées, la juridiction nationale devra apprécier si ces critères ont bien été pris en compte dans le cadre de l’évaluation des risques effectuée dans le présent cas d’espèce, laquelle a débouché sur la délivrance d’une autorisation d’utilisation limitée dans le temps.

114. Les juridictions de l’Union ne sont pas en mesure de porter une appréciation sur le risque lié à un fabricant donné, à son équipement ou à l’utilisation de cet équipement, dès lors que cette appréciation requiert une connaissance fine des aspects techniques, politiques et de sécurité propres au cas d’espèce. Néanmoins, lorsqu’il est demandé à une juridiction nationale de contrôler des mesures interdisant l’utilisation de certains matériels et logiciels pour des raisons de sécurité nationale, les autorités compétentes doivent être en mesure de fournir une explication plausible quant aux raisons qui les ont conduites à conclure à l’existence d’un tel risque (54); le recours à différentes techniques judiciaires peut alors s’imposer (55).

115. Lorsque, comme en l’espèce, il y a convergence des intérêts de l’Union et des États membres en matière de sécurité, le juge national peut également s’appuyer dans le cadre du contrôle juridictionnel de la mesure en cause sur les évaluations des risques effectuées par les institutions et organes de l’Union ou par des autorités nationales.

116. Certains des documents invoqués par le gouvernement estonien pourraient ainsi guider la juridiction de renvoi dans son appréciation : celui-ci fait notamment référence à la recommandation sur la cybersécurité de la Commission de 2019, à l’évaluation coordonnée des risques et à la boîte à outils 5G (56) du groupe de coopération SRI (57) ainsi qu’à la communication de la Commission sur la mise en œuvre de la boîte à outils 5G.

117. Si ces documents constituent des éléments de droit souple non contraignants pour les États membres, ils établissent une évaluation coordonnée des risques par les autorités compétentes au niveau national et de l’Union, sur la base de laquelle la Commission a pu constater notamment que les équipements produits par le fabricant des matériels et logiciels litigieux présentent « des risques sensiblement plus élevés que [ceux des] autres fournisseurs 5G » et que, en raison de « ces risques élevés, […] la Commission considère que les décisions pour appliquer des restrictions à Huawei […] ou pour [l’]exclure sont justifiées et conformes à la boîte à outils 5G » (58).

118. Selon la communication sur la mise en œuvre de la boîte à outils 5G, cette conclusion se fonde notamment sur l’existence d’un « lien étroit entre le fournisseur et le gouvernement du pays tiers ou du fait de la législation de ce pays, et les caractéristiques du fournisseur en termes de structure de propriété » (59).

119. Le gouvernement estonien explique que ses autorités compétentes ont tenu compte de cette évaluation et que, au vu de ce constat de risque partagé au niveau national et de l’Union, elles ont estimé nécessaire de limiter l’exposition aux équipements provenant notamment de Huawei, fournisseur des matériels et logiciels litigieux, dans le cadre de la fourniture de réseaux et de services de communications électroniques.

120. Dès lors, il me semble raisonnable de conclure que l’ESS et les décisions contestées adoptées sur son fondement, bien que constitutives d’une restriction à la liberté de fournir des réseaux et services de communications électroniques, poursuivent un objectif légitime : celui de prévenir l’apparition d’un risque réel pour la sécurité des réseaux. C’est toutefois à la juridiction de renvoi qu’il appartiendra de s’en assurer.

F. Sur la sixième question préjudicielle

121. D’après le dossier national, la requérante utilisait les matériels et logiciels litigieux pour la fonctionnalité 2G-4G dans le cadre de la fourniture de réseaux et de services de communications électroniques avant l’adoption des décisions contestées. La requérante a indiqué en outre avoir acheté des équipements pour la fonctionnalité 5G en vue de les intégrer dans son réseau périphérique avant l’introduction dans l’ESS de l’exigence d’autorisation. Enfin, il ressort de l’ordonnance de la juridiction de renvoi et des explications des parties que les décisions contestées autorisent l’utilisation des matériels et logiciels litigieux pour une durée inférieure à la durée de vie utile de ces équipements.

122. La juridiction de renvoi demande par sa sixième question si, dans ces circonstances, les décisions contestées ont pour effet de priver la requérante de sa propriété au sens de l’article 17, paragraphe 1, deuxième phrase, de la Charte, auquel cas celle-ci pourrait prétendre à une indemnisation adéquate.

123. La requérante estime que c’est le cas. Elle fait valoir que le régime d’autorisation en cause entraîne une privation injustifiée de propriété. Elle considère également que la modification soudaine de la législation applicable à l’utilisation des matériels et logiciels litigieux, qui introduit une obligation d’obtenir une autorisation d’utilisation et débouche sur l’interdiction d’utiliser du matériel et des logiciels qu’elle a acquis légalement auprès d’un fabricant déterminé, est interdite par l’article 17, paragraphe 1, de la Charte, sauf indemnisation juste et adéquate.

124. La Commission ainsi que les gouvernements estonien, espagnol, allemand, français, italien, suédois et finlandais estiment que le cadre dans lequel s’insère la mesure d’autorisation en cause constitue une réglementation de l’usage de biens au sens de l’article 17, paragraphe 1, troisième phrase, de la Charte. Partant, les décisions contestées n’ont pas conduit à priver la requérante de la propriété des matériels et logiciels litigieux, que ce soit de facto ou de jure. Ces parties considèrent en outre que, compte tenu des préoccupations de l’Estonie en matière de sécurité nationale et d’ordre public, cette réglementation de l’usage de biens constitue une restriction proportionnée de ce droit, dès lors que les autorités estoniennes ont prévu une période transitoire d’une durée suffisante.

125. Aux termes de l’article 17, paragraphe 1, de la Charte, « toute personne a le droit de jouir de la propriété des biens qu’elle a acquis légalement, de les utiliser, d’en disposer et de les léguer, et nul ne peut être privé de sa propriété, si ce n’est pour cause d’utilité publique, dans des cas et des conditions prévues par une loi et moyennant en temps utile une juste indemnité pour sa perte. L’usage des biens peut être réglementé par la loi dans la mesure nécessaire à l’intérêt général. »

126. La Cour a jugé que cette disposition contenait trois normes distinctes. Selon elle, « [l]a première, figurant à la première phrase de cette disposition et revêtant un caractère général, concrétise le principe du respect de la propriété. La deuxième, figurant à la deuxième phrase de ladite disposition, vise la privation de propriété et la soumet à certaines conditions. Quant à la troisième, figurant à la troisième phrase de la même disposition, elle reconnaît aux États membres le pouvoir de réglementer l’usage des biens dans la mesure nécessaire à l’intérêt général. Ces règles ne sont pas pour autant dépourvues de rapport entre elles. En effet, la deuxième et la troisième règle ont trait à des exemples particuliers d’atteinte au droit de propriété et doivent être interprétées à la lumière du principe consacré à la première de ces règles » (60).

127. Il ressort également de la jurisprudence de la Cour que la protection conférée à l’article 17, paragraphe 1, de la Charte est large et qu’elle couvre, outre les biens ayant une valeur économique, les intérêts liés à l’exploitation d’une licence ou d’une autorisation d’utilisation (61).

128. En l’espèce, les décisions contestées concernent une demande d’autorisation d’utiliser certains matériels et logiciels dans le cadre de la fourniture de réseaux et de services de communications électroniques. Cette demande n’a été que partiellement accordée à la requérante, pour la durée maximale prévue par l’ESS, c’est-à-dire jusqu’au 31 décembre 2029 pour la fonctionnalité 2G-4G et jusqu’au 31 décembre 2025 pour la fonctionnalité 5G.

129. Dès lors qu’il n’a pas été porté atteinte à l’essence du droit de propriété en cause, la requérante n’en a pas été privée (62). En réalité, les décisions contestées constituent une restriction apportée à l’usage du bien de la requérante au sens de l’article 17, paragraphe 1, troisième phrase, de la Charte (63).

130. Dans un tel cas, la requérante ne peut, en principe, prétendre à une indemnisation.

131. Cela étant, la réglementation de l’usage des biens n’est possible que dans la mesure nécessaire à l’intérêt général. Aux fins de la présente affaire, cette appréciation sera semblable à celle portée sur la légitimité d’une atteinte à la liberté de fournir des réseaux et des services de communications électroniques au sens de l’article 12, paragraphe 1, du CCEE.

132. Toutefois, la juridiction de renvoi n’a pas demandé à être éclairée sur la manière de procéder à un tel examen de proportionnalité.

133. Je me permets néanmoins de remarquer qu’il y aura lieu pour la juridiction de renvoi de prêter une attention particulière au point de savoir si la durée de la période pendant laquelle la requérante a été autorisée à continuer d’utiliser les matériels et logiciels litigieux était suffisante pour lui permettre de se préparer à une telle évolution réglementaire.

134. En effet, la mesure d’autorisation en cause, assortie de périodes maximales d’utilisation strictes, a des incidences considérables sur les investissements réalisés avant l’introduction de ces nouvelles dispositions réglementaires (64).

135. Dès lors, la juridiction de renvoi doit apprécier si, dans l’ensemble, la période pendant laquelle la requérante aurait pu se préparer à la nouvelle situation juridique, allant de la date où les modifications pertinentes de l’ESS ont été proposées jusqu’à la fin de la période maximale d’utilisation des matériels et logiciels litigieux, était d’une durée suffisante. Si elle estime que ce n’était pas le cas, il y a lieu d’envisager un système de compensation raisonnable du préjudice subi (65).

136. Enfin, au moment d’apprécier la proportionnalité des décisions contestées, la juridiction de renvoi devrait prendre en compte la gravité de l’atteinte portée au droit fondamental en cause et l’importance de l’objectif poursuivi (66) ainsi que d’autres intérêts, tels que l’intérêt qui s’attache, pour les destinataires de réseaux et de services de communications électroniques, à la sûreté et à la sécurité de ces réseaux et services, et le risque de marché qu’un concurrent prudent et avisé opérant sur le même marché aurait prévu en ce qui concerne les matériels et les logiciels litigieux (67).

137. Si la juridiction de renvoi estime que la charge placée sur la requérante, bien que nécessaire, était disproportionnée, il peut être indiqué de procéder, comme je l’ai expliqué, au versement d’une juste indemnité.

138. Compte tenu des considérations qui précèdent, je propose à la Cour de répondre à la sixième question en ce sens que ne constitue pas une privation de propriété au sens de l’article 17, paragraphe 1, deuxième phrase, de la Charte, une restriction apportée à l’utilisation du matériel ou des logiciels présents dans un réseau de communications avant l’introduction d’une obligation d’obtenir une autorisation d’utilisation, en application de laquelle l’utilisation est autorisée pour une durée inférieure à la durée de vie utile de ce matériel ou de ces logiciels.

IV. Conclusion

139. Je propose à la Cour de répondre aux questions posées par le Tallinna Halduskohus (tribunal administratif de Tallinn, Estonie) de la manière suivante :

1) La directive (UE) 2018/1972 du Parlement européen et du Conseil, du 11 décembre 2018, établissant le code des communications électroniques européen,

doit être interprétée en ce sens que :

elle s’applique à un ensemble de dispositions nationales, qui, afin de garantir la sécurité du réseau national de télécommunications électroniques et de ses services, oblige un opérateur désireux de fournir un tel réseau ou service à demander l’autorisation d’utiliser du matériel et des logiciels dans son réseau de communications.

2) L’article 4, paragraphe 2, TUE et l’article 1er, paragraphe 3, sous c), de la directive 2018/1972,

doivent être interprétés en ce sens que :

la directive 2018/1972 n’est pas inapplicable à une mesure qui soumet à autorisation l’utilisation de matériels et de logiciels dans le cadre de la fourniture d’un réseau ou d’un service de communications électroniques public ou accessible au public, même lorsque cette mesure a été adoptée en vue de protéger des intérêts de sécurité nationale.

3) L’article 12, paragraphe 1, de la directive 2018/1972,

doit être interprété en ce sens que :

un ensemble de dispositions nationales qui subordonne l’utilisation de matériels et de logiciels dans le cadre de la fourniture de réseaux et de services de communications électroniques à l’obtention d’une autorisation administrative constitue une restriction à la liberté de fournir de tels réseaux et services au sens de cette disposition.

Une telle restriction peut être justifiée pour les raisons énoncées à l’article 52, paragraphe 1, TFUE.

4) L’article 12, paragraphe 1, de la directive 2018/1972,

doit être interprété en ce sens que :

l’absence de notification à la Commission européenne d’une restriction apportée à la liberté de fournir des réseaux de communications électroniques n’entraîne pas l’inapplicabilité des dispositions nationales qui n’ont pas été notifiées.

5) L’article 12, paragraphe 1, de la directive 2018/1972 et le principe de proportionnalité,

doivent être interprétés en ce sens que :

des dispositions nationales qui, afin de protéger la sécurité des réseaux et des services de communications électroniques, subordonnent l’utilisation de matériels et de logiciels à l’obtention d’une autorisation préalable, doivent imposer aux autorités habilitées à décider de l’octroi d’une telle autorisation d’apprécier si les matériels et logiciels visés par la demande d’autorisation présentent un risque réel pour la sécurité du réseau, ce qui peut impliquer de tenir compte de l’utilisation qui doit être faite de ces équipements ainsi que du point de savoir s’il y a projection sur le fabricant des risques liés à son État d’établissement et s’il y a projection, sur le matériel et les logiciels concernés, des risques liés au fabricant.

6) Ne constitue pas une privation de propriété au sens de l’article 17, paragraphe 1, deuxième phrase, de la charte des droits fondamentaux de l’Union, une restriction apportée à l’utilisation du matériel ou des logiciels présents dans un réseau de communications avant l’introduction d’une obligation d’obtenir une autorisation d’utilisation, en application de laquelle l’utilisation est autorisée pour une durée inférieure à la durée de vie utile de ce matériel ou de ces logiciels.

1 Langue originale : l’anglais.

2 Directive du Parlement européen et du Conseil, du 11 décembre 2018, établissant le code des communications électroniques européen (JO 2018, L 321, p. 36).

3 Voir, en ce sens, Sendin, A., Sanchez-Fornie, M. A, Berganza, I., Simon, J., Irritoa, I., Telecommunication Networks for the Smart Grid (Réseaux de télécommunication pour le réseau intelligent), Artech House, Boston, 2016, p. 176. Du fait de l’importance cruciale qu’il présente pour l’infrastructure de télécommunications tout entière, le cœur de réseau est parfois qualifié d’« épine dorsale » ou de « cerveau » du réseau mobile. Voir, plus généralement, le constat dressé sur ce point par le centre d’excellence coopératif de cyberdéfense de l’OTAN, pour qui le cœur de réseau constitue une « infrastructure fondamentale, et partant, un intérêt national essentiel, lourd d’enjeux pour la sécurité nationale ». Voir Centre d’excellence coopératif de cyberdéfense de l’OTAN, Kaska, K., Beckvard, H., et Minárik, T., « Huawei, 5G and China as a Security Threat » (Huawei, la 5G et la Chine : une menace pour la sécurité), 2019, p. 15, consultable à l’adresse suivante : https://ccdcoe.org/uploads/2019/03/CCDCOE-Huawei-20190328-FINAL.pdf.

4 Voir, par exemple, en Allemagne, Bundesamt für Sicherheit in der Informationstechnik (Office fédéral de la sécurité des technologies de l’information), « 5G Risk Analysis, Framework Document : Methodology, Risk Scenarios and Results » (Analyse des risques liés à la 5G, document-cadre : méthode, scénarios de risque et résultats), 2025, p. 21, où il est indiqué que « le réseau d’accès radio (RAN) comprend des stations de base 5G […] dotées d’une interface radiophonique […] qui permet la connexion des appareils mobiles » (document consultable à l’adresse suivante : https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Studies/5G/5G_Framework_Document.pdf?__blob=publicationFile&v=4).

5 Dans certains États membres, les réseaux 2G et 3G sont déjà en voie d’abandon ; voir, par exemple, en Irlande, Commission for Communications Regulation (autorité de régulation des communications), « 2G/3G Switch off : Guidance for Mobile Network Operators » (Fin de la 2G/3G : orientations à l’intention des gestionnaires de réseau mobile), ComReg 24/61, 30 juillet 2024, consultable à l’adresse suivante : https://www.comreg.ie/media/2024/07/ComReg-2461.pdf.

6 La Commission s’est exprimée en ce sens dès 2016 et a été amenée à développer cette réflexion par la suite. Voir communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions, « Un plan d’action pour la 5G en Europe » COM(2016) 588 final, p. 4, où la Commission indique que « [i]l est essentiel d’établir un calendrier d’introduction de la 5G ambitieux pour permettre à l’Europe d’occuper une position de premier plan et de profiter rapidement des nouveaux débouchés commerciaux qu’offre la 5G, non seulement dans le secteur des télécommunications mais dans l’ensemble de l’économie et de la société ».

7 Au point II, paragraphe 2, sous a), de la recommandation (UE) 2019/534 de la Commission, du 26 mars 2019, Cybersécurité des réseaux 5G (JO 2019, L 88, p. 42) (ci-après la « recommandation sur la cybersécurité »), le terme de « réseau 5G » est défini comme désignant « un ensemble composé de tous les éléments des infrastructures de réseau pertinents pour la technologie de communication sans fil et mobile utilisés pour la connectivité et des services à valeur ajoutée et offrant des performances avancées telles que des capacités et des vitesses de débit très élevées, des communications à temps de latence faibles, une excellente fiabilité, ou supportant un nombre élevé d’appareils connectés. Ils peuvent inclure des éléments provenant de réseaux préexistants utilisant les générations précédentes de technologie de communication sans fil et mobile, comme la 4G ou la 3G. Les réseaux 5G devraient être réputés inclure tous les éléments pertinents du réseau ».

8 Voir, par exemple, le rapport spécial de la Cour des comptes européenne de 2022, dans lequel celle-ci indique que « [s]elon les estimations, on comptait 22 milliards d’appareils connectés utilisés dans le monde à la fin de 2018 » et que « ce chiffre devrait augmenter pour atteindre environ 50 milliards d’ici à 2030, ce qui créera un immense réseau d’appareils interconnectés de toutes sortes, allant des smartphones aux appareils de cuisine. La consommation mensuelle mondiale de données mobiles, qui était de 12 exaoctets en 2017, devrait atteindre plus de 5 000 exaoctets en 2030 ». Voir Cour des comptes européenne, « Déploiement des réseaux 5G au sein de l’UE : des retards et des questions de sécurité encore sans réponse », rapport spécial no 03/2022, Office des publications de l’Union européenne, Luxembourg, 2022, p. 7, consultable à l’adresse suivante : https://www.eca.europa.eu/Lists/ECADocuments/SR22_03/SR_Security-5G-networks_FR.pdf.

9 Je relève que l’ordonnance de renvoi et les observations de la requérante indiquent que celle-ci a introduit sa demande d’autorisation le 23 mars 2022, alors que, dans les observations du gouvernement estonien et certaines pièces du dossier national, dont la décision no 1-7/22-436 de la TTJA du 25 novembre 2022, cette demande est présentée comme ayant été introduite le 18 mars 2022.

10 La traduction en anglais de ce texte peut être consultée à l’adresse suivante : https://www.riigiteataja.ee/en/eli/ee/Riigikogu/act/528102025002/consolide.

11 Ces douze critères sont les suivants : 1) le fabricant ou le prestataire de maintenance ou d’assistance est établi ou a son siège social dans un État […] qui n’est pas un État membre de l’Union européenne, de l’Organisation du Traité de l’Atlantique Nord [OTAN] ou de l’Organisation de coopération et de développement économiques [OCDE] ; 2) l’État d’établissement du fabricant ou du prestataire de maintenance ou d’assistance n’assure pas le respect des principes démocratiques de l’État de droit ou des droits de l’homme ; 3) l’État d’établissement du fabricant ou du prestataire de maintenance ou d’assistance n’assure pas la protection de la propriété intellectuelle, des données à caractère personnel ou des secrets commerciaux de personnes d’un autre pays ; 4) l’État d’établissement du fabricant ou du prestataire de maintenance ou d’assistance se comporte de manière agressive dans le cyberespace ; 5) l’État d’établissement du fabricant ou du prestataire de maintenance ou d’assistance s’est vu attribuer des cyberattaques par des États membres de l’Union européenne, de l’OTAN ou de l’OCDE ; 6) le fabricant ou le prestataire de maintenance ou d’assistance est soumis à l’autorité du gouvernement ou d’une institution étatique de l’État d’établissement ou d’un autre État tiers soustraite à tout contrôle juridictionnel indépendant ; 7) le fabricant ou le prestataire de maintenance ou d’assistance est obligé, par son État d’établissement ou un autre État tiers, à agir d’une manière qui compromet la sécurité nationale de l’Estonie ; 8) l’activité économique du fabricant ou du prestataire de maintenance ou d’assistance ne repose pas sur une concurrence fondée sur le marché, ou son État d’établissement n’offre pas les conditions adéquates pour le développement d’une concurrence suffisante ; 9) la structure de propriété, d’organisation ou de gouvernance du fabricant ou du prestataire de maintenance ou d’assistance n’est pas transparente ; 10) le financement de l’État d’établissement du fabricant ou du prestataire de maintenance ou d’assistance n’est pas transparent ; 11) les produits ou services du fabricant ou du prestataire de maintenance ou d’assistance contiennent des failles de sécurité, sans que des mesures de sécurité adéquates aient été mises en œuvre pour y remédier ; 12) le fabricant ou le prestataire de maintenance ou d’assistance n’est pas en mesure d’assurer la continuité des livraisons de produits ou des prestations de services, en dehors des cas de force majeure.

12 D’après le libellé de l’article 1965 de l’ESS, sont ici visées les « [normes] de réseau mobile 5G non autonome ou de génération plus récente ».

13 Je comprends le libellé de l’article 1965 de l’ESS en ce sens qu’aucune nouvelle autorisation ne sera délivrée après le 31 décembre 2025 pour une technologie 5G dont il a été constaté qu’elle présentait un risque pour la sécurité nationale, mais qu’il sera possible, après le 31 décembre 2029, de demander l’autorisation de continuer d’utiliser du matériel ou des logiciels 2G, 3G ou 4G, même lorsqu’a été constaté un risque pour la sécurité nationale.

14 Conformément à l’article 873, paragraphe 2, de l’ESS, le matériel ou les logiciels utilisés dans le réseau de télécommunications peuvent menacer la sécurité nationale en raison du risque élevé présenté par son fabricant ou son prestataire de maintenance ou d’assistance (point 1) ou en raison du risque lié aux caractéristiques techniques ou à la configuration du matériel ou du logiciel (point 2).

15 Voir note en bas de page 11 des présentes conclusions. Lors de l’audience, le gouvernement estonien a expliqué que les risques identifiés pouvaient être liés, par exemple, à des possibilités d’espionnage, à l’utilisation illégale d’informations et de données ou à la perturbation de services importants.

16 Directive du Parlement européen et du Conseil, du 9 septembre 2015, prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information (JO 2015, L 241, p. 1).

17 Voir, en ce sens, article 1er, paragraphe 1, du CCEE. Le CCEE opère ainsi la refonte d’un certain nombre d’actes qui régissaient antérieurement la communication électronique et qui avaient été adoptés en mars 2002 dans le cadre d’un train de mesures, en vue d’adapter le cadre réglementaire à l’évolution des technologies et du marché. Voir, à cet égard, arrêt du 27 février 2025, T – 2 (C-562/23, EU:C:2025:126, point 37 et jurisprudence citée).

18 Comme l’indique le considérant 5 du CCEE, la liberté de fournir des réseaux et des services de communications électroniques s’exerce sous la seule réserve des conditions fixées par cette directive.

19 Voir article 2, point 1, du CCEE.

20 Mise en italique par mes soins.

21 Voir article 2, point 1, du CCEE.

22 Voir article 2, point 4, du CCEE.

23 Le terme de « réseau de communications électroniques » est défini à l’article 2, point 1, du CCEE comme s’entendant « [d]es systèmes de transmission, qu’ils soient ou non fondés sur une infrastructure permanente ou une capacité d’administration centralisée et, le cas échéant, les équipements de commutation ou de routage et les autres ressources, y compris les éléments de réseau qui ne sont pas actifs, qui permettent l’acheminement de signaux par câble, par la voie hertzienne, par moyen optique ou par d’autres moyens électromagnétiques, comprenant les réseaux satellitaires, les réseaux fixes (avec commutation de circuits ou de paquets, y compris l’internet) et mobiles, les systèmes utilisant le réseau électrique, pour autant qu’ils servent à la transmission de signaux, les réseaux utilisés pour la radiodiffusion sonore et télévisuelle et les réseaux câblés de télévision, quel que soit le type d’information transmise ».

24 Voir, en ce sens, arrêts du 5 juin 2019, Skype Communications (C-142/18, EU:C:2019:460, point 49), et du 13 juin 2019, Google, C-193/18, EU:C:2019:498, points 34, 35 et 41).

25 L’article 4, paragraphe 2, TUE fait référence à la « sécurité nationale », alors que l’article 1er, paragraphe 3, sous c), du CCEE vise l’« ordre public » et la « sécurité publique ». Toutefois, par exemple, le considérant 6 du CCEE vise dans sa formule « sans préjudice », outre l’« ordre public » et la « sécurité publique », les « intérêts essentiels en matière de sécurité ». Dès lors que rien, dans le texte même du CCEE, son objectif ou les travaux préparatoires auxquels il a donné lieu, ne permet d’en juger autrement [voir proposition de directive du Parlement européen et du Conseil établissant le code des communications électroniques européen COM (2016) 590 final 2], je suis d’avis que la terminologie employée dans le texte de l’article 1er, paragraphe 3, sous c), du CCEE doit être comprise comme englobant les notions de « sécurité nationale » ou d’« intérêts essentiels en matière de sécurité ». Une telle lecture irait en outre dans le sens de la terminologie employée dans la directive qui a précédé le CCEE, dont les considérants étaient déjà formulés en ces termes (mais qui ne contenait pas l’article correspondant). Voir considérant 7 de la directive 2002/21/CE du Parlement européen et du Conseil, du 7 mars 2002, relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques (directive « cadre ») (JO 2002, L 108, p. 33).

26 Voir, notamment, arrêts du 26 octobre 1999, Sirdar (C-273/97, EU:C:1999:523, point 15), du 6 octobre 2020, Privacy International, C-623/17 (EU:C:2020:790, point 44 et jurisprudence citée), et du 15 juillet 2021, Ministrstvo za obrambo, C-742/19, EU:C:2021:597, point 40 et jurisprudence citée).

27 Voir, récemment, arrêt du 29 juillet 2024, protectus (C-185/23, EU:C:2024:657, point 62 et jurisprudence citée).

28 En ce sens, la présente affaire offre un exemple intéressant de « sécuritisation » du droit de l’Union. Sur l’émergence d’un « duopole de sécurité » entre les États membres et les institutions politiques de l’Union, où les orientations politiques influent sur les mesures prises au niveau national et de l’Union, voir Pilniok, A., « Governance of the European Security Union » (Gouvernance de l’Union européenne de la sécurité), dans Dietrich, J.-H., et Pilniok, A., European Security Union : Law and Policies (Union européenne de la sécurité : droit et politiques), Beck/Hart/Nomos, 2024, p. 18 et 19.

29 Voir, notamment, recommandation sur la cybersécurité de 2019 et communication de la Commission, « Mise en œuvre de la boîte à outils sur la cybersécurité des réseaux 5G », [C(2023) 4049 final] (ci-après la « communication sur la mise en œuvre de la boîte à outils 5G »).

30 Voir groupe de coopération SRI, « Évaluation coordonnée des risques au niveau de l’UE pour la sécurité des réseaux 5G », 2019 (ci-après l’« évaluation coordonnée des risques »), consultable à l’adresse suivante : https://digital-strategy.ec.europa.eu/en/news/eu-wide-coordinated-risk-assessment-5g-networks-security. Voir également, groupe de coopération SRI, « Boîte à outils de l’UE sur la cybersécurité des réseaux 5G », 2020 (ci-après la « boîte à outils 5G »), consultable à l’adresse suivante : https://digital-strategy.ec.europa.eu/en/library/cybersecurity-5g-networks-eu-toolbox-risk-mitigating-measures.

31 Arrêt du 15 juillet 2021, Ministrstvozaobrambo (C-742/19, EU:C:2021:597).

32 Directive du Parlement européen et du Conseil du 4 novembre 2003 (JO 2003, L 299, p. 9).

33 Voir arrêt du 15 juillet 2021, Ministrstvo za obrambo (C-742/19, EU:C:2021:597, point 75).

34 Le gouvernement français souligne également qu’il n’est pas certain qu’un régime d’autorisation préalable du matériel et des logiciels, tel que celui en cause dans l’affaire au principal, nuirait à la possibilité de fournir de tels réseaux ou services. Selon lui, ce régime n’oblige en aucune manière les opérateurs de télécommunications à recueillir une autorisation pour pouvoir, plus généralement, exercer une activité de fourniture de réseaux et de services de communications électroniques.

35 Mise en italique par mes soins.

36 Bien que l’article 12, paragraphe 1, du CCEE soit formulé en ce sens que les États membres n’« empêchent » pas l’exercice de la liberté de fournir des réseaux et des services de communications électroniques, j’estime que cette tournure doit être comprise plus largement comme interdisant aux États membres d’entraver par quelque obstacle que ce soit la fourniture de ces réseaux et des services. C’est ce que conduit à penser l’objectif du CCEE, qui est d’établir un marché intérieur des réseaux et des services de communications électroniques. Cette conclusion paraît aussi s’imposer à la lecture des différentes versions linguistiques de l’article 12, paragraphe 1, du CCEE, où sont employés des termes qui signifient à la fois « entraver » et « empêcher » : voir, à cet égard, la version en langue allemande, où l’on trouve le terme de « hindern », celle en langue espagnole, où figure le terme « no impedirán », celle en langue française, où figure la tournure « n’empêchent pas », ou celle en langue croate, où figure l’expression « ne smiju sprečavati ».

37 Imaginons qu’un État membre décide que, pour des raisons de sécurité des réseaux, tout matériel ou logiciel utilisé dans ces réseaux devra être produit par des entreprises établies sur son territoire. Ce type de mesure protectionniste serait manifestement contraire à la liberté de fournir de tels réseaux et services, mais serait justifiable si le CCEE venait à être interprété en ce sens qu’il y aurait lieu de considérer automatiquement comme licite et insusceptible de contrôle toute mesure adoptée en vue d’atteindre l’objectif de sécurité des réseaux et des services.

38 Voir, par exemple, arrêt du 23 février 1995, Bordessa e.a. (C-358/93 et C-416/93, EU:C:1995:54, point 25).

39 Voir, par exemple, arrêt du 4 décembre 1986, Commission/Allemagne (205/84, EU:C:1986:463, point 28).

40 Voir, par exemple, arrêt du 14 mars 2000, Église de scientologie (C-54/99, EU:C:2000:124, point 14).

41 Voir, par exemple, arrêt du 1er juin 2010, Blanco Pérez et Chao Gómez (C-570/07 et C-571/07, EU:C:2010:300, point 54).

42 Le gouvernement estonien renvoie à la notification technique de cette version provisoire reçue le 20 octobre 2020 par la Commission, qui peut être consultée à l’adresse suivante https://technical-regulation-information-system.ec.europa.eu/fr/notification/15441.

43 Voir, en particulier, arrêts du 30 avril 1996, CIA Security International (C-194/94, EU:C:1996:172, point 54), et du 21 décembre 2023, Papier Mettler Italia (C-86/22, EU:C:2023:1023, point 44).

44 Voir, ex multis, arrêt du 15 juillet 2021, Ministrstvo za obrambo (C-742/19, EU:C:2021:597, point 31 et jurisprudence citée).

45 Voir, à cet égard, considérants 5 et 37 de la directive (UE) 2022/2555 du Parlement européen et du Conseil, du 14 décembre 2022, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO 2022, L 333, p. 80) (ci-après la « directive SRI 2 »).

46 Voir, en ce sens, arrêt du 20 juin 2002, Radiosistemi (C-388/00 et C-429/00, EU:C:2002:390, point 44). Quoi qu’il en soit, il est constant, depuis déjà l’arrêt du 10 juillet 1984, Campus Oil e.a. (72/83, EU:C:1984:256, points 34 à 36 notamment), que la notion de sécurité publique est interprétée dans la jurisprudence comme allant au-delà des notions d’ordre public et de recours aux forces de police et à l’armée ; dans cet arrêt, la Cour a jugé que cette notion peut également renvoyer à d’autres types de menaces pour les institutions d’un État membre, pour ses services publics essentiels et, plus généralement, pour les besoins de la société.

47 Voir points 32 à 42 des présentes conclusions.

48 Voir, ex multis, arrêts du 14 mars 2000, Église de scientologie (C-54/99, EU:C:2000:124, point 17 et jurisprudence citée), et du 18 juin 2020, Commission/Hongrie (Transparence associative) (C-78/18, EU:C:2020:476, point 91 et jurisprudence citée).

49 Voir, par analogie, arrêt du 3 septembre 2008, Kadi et Al Barakaat International Foundation/Conseil et Commission (C-402/05 P et C-415/05 P, EU:C:2008:461, point 343) (selon lequel une mesure ne saurait échapper au contrôle du juge de l’Union su simple fait que l’acte qui les édicte touche à la sécurité nationale).

50 Voir, par analogie, arrêt du 26 février 2019, X (Sociétés intermédiaires établies dans des pays tiers) (C-135/17, EU:C:2019:136, point 90 et jurisprudence citée).

51 Voir, en ce sens, arrêts du 14 mars 2000, Église de scientologie (C-54/99, EU:C:2000:124, point 22, et du 18 juin 2020, Commission/Hongrie (Transparence associative) (C-78/18, EU:C:2020:476, points 86 et 93).

52 Voir, par analogie, arrêt du 10 mars 2016, Safe Interenvíos (C-235/14, EU:C:2016:154, point 104) (qui montre que, en matière de blanchiment de capitaux, le risque élevé lié à un client peut s’apprécier au regard du type de client, du pays, du produit ou de la transaction en cause).

53 Voir, à cet égard, note en bas de page 11 des présentes conclusions.

54 Voir, par analogie, arrêt du 21 novembre 1991, Technische Universität München, C-269/90, EU:C:1991:438, points 13 et 14).

55 Voir, en ce sens, arrêt du 4 juin 2013, ZZ (C-300/11, EU:C:2013:363, point 57 et jurisprudence citée).

56 Cette boîte à outils concrétise l’un des objectifs fixés par la Commission dans la recommandation sur la cybersécurité [voir point I, paragraphe 1, sous c), de celle-ci], selon laquelle le groupe de coopération SRI doit « établir un train de mesures communes qui pourraient être prises pour atténuer les risques en matière de cybersécurité liés aux infrastructures qui sous-tendent l’écosystème numérique, en particulier les réseaux 5G ».

57 Voir note en bas de page 30 des présentes conclusions. Ce groupe est un comité institué sur le fondement de l’article 11, paragraphe 1, de la directive (UE) 2016/1148 du Parlement européen et du Conseil, du 6 juillet 2016, concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JO 2016, L 194, p. 1). Cette directive a été remplacée dans l’intervalle par la directive SRI 2, mais ce comité existe toujours (voir article 14, paragraphe 1, de la directive SRI 2).

58 Voir communication sur la mise en œuvre de la boîte à outils 5G, p. 2.

59 Voir communication sur la mise en œuvre de la boîte à outils 5G, p. 2. Pour d’autres critères de vulnérabilité liés au fournisseur, voir également p. 42 de la boîte à outils 5G.

60 Voir arrêt du 10 juillet 2025, INTERZERO e.a.(C-254/23, EU:C:2025:569, point 144 et jurisprudence citée). Voir également, en ce sens, arrêt du 5 mai 2022, BPC Lux 2 e.a. (C-83/20, EU:C:2022:346, point 38 et jurisprudence citée).

61 Voir, en ce sens, arrêt du 10 juillet 2025, INTERZERO e.a. (C-254/23, EU:C:2025:569, points 145 et 146 ainsi que jurisprudence citée).

62 Voir, en ce sens, arrêt du 10 septembre 2024, Neves 77 Solutions (C-351/22, EU:C:2024:7233, points 82 et 88 ainsi que jurisprudence citée).

63 Voir, par analogie, arrêt du 10 juillet 2025, INTERZERO e.a. (C-254/23, EU:C:2025:569, point 146 et jurisprudence citée) (où la Cour explique que « les intérêts liés à l’exploitation d’une licence constituent des intérêts patrimoniaux appelant la protection conférée à cet article 1er [du protocole additionnel no 1 à la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales] », de sorte que « la révocation ex lege d’une autorisation permettant à son titulaire d’exercer une activité économique s’analyse en une limitation au droit de propriété garanti à cet article qui relève, en tant que mesure de réglementation de l’usage des biens, du deuxième alinéa dudit article »).

64 Voir, en ce sens, arrêt du 10 juillet 2025, INTERZERO e.a. (C-254/23, EU:C:2025:569, point 155 et jurisprudence citée).

65 Voir, en ce sens, arrêt du 10 juillet 2025, INTERZERO e.a. (C-254/23, EU:C:2025:569, points 155 et 156 ainsi que jurisprudence citée).

66 Voir, en dernier lieu, arrêt du 18 décembre 2025, Slagelse Almennyttige Boligselskab, Afdeling Schackenborgvænge (C-417/23, EU:C:2025:1017, point 168 et jurisprudence citée).

67 Voir, en ce sens, arrêt du 10 juillet 2025, INTERZERO e.a. (C-254/23, EU:C:2025:569, point 158 et jurisprudence citée).

Décisions similaires

Citées dans les mêmes commentaires3

  • Entrepôt ·
  • Directive ·
  • Responsabilité ·
  • Juridiction ·
  • Etats membres ·
  • Renvoi préjudiciel ·
  • Erreur judiciaire ·
  • Question ·
  • Accise ·
  • Produit énergétique
1 commentaire
  • Stockholm ·
  • Aide ·
  • Écluse ·
  • Accord de compensation ·
  • Commission ·
  • Redevance ·
  • Suède ·
  • Trafic ·
  • Service ·
  • État
  • Navigation aérienne ·
  • Espace aérien ·
  • Circulation aérienne ·
  • Service ·
  • Ciel unique européen ·
  • Prestataire ·
  • Responsabilité ·
  • Fourniture ·
  • Règlement d'exécution ·
  • Particulier
3 commentaires

Citant les mêmes articles de loi3

  • Tva ·
  • Prestation ·
  • Hébergement ·
  • Directive ·
  • Accessoire ·
  • Service ·
  • Etats membres ·
  • Finances ·
  • Hôtel ·
  • Wifi
7 commentaires
  • Marque ·
  • Directive ·
  • Produit ·
  • Service ·
  • Enregistrement ·
  • Public ·
  • Savoir-faire ·
  • Création ·
  • Consommateur ·
  • Jurisprudence
7 commentaires
  • Port ·
  • Navire ·
  • Région flamande ·
  • Navigation ·
  • Etats membres ·
  • Trafic maritime ·
  • Royaume-uni ·
  • Bateau ·
  • Prestation de services ·
  • Système

De référence sur les mêmes thèmes3

  • Directive ·
  • Données biométriques ·
  • Collecte de données ·
  • Traitement de données ·
  • Infraction ·
  • Personne concernée ·
  • Législation ·
  • Législation nationale ·
  • Données sensibles ·
  • Gouvernement
10 commentaires
  • Divulgation ·
  • Information ·
  • Médias ·
  • Privatisation ·
  • Liberté d'expression ·
  • Politique ·
  • Journaliste ·
  • Règlement ·
  • Marchés financiers ·
  • Entreprise publique
4 commentaires
  • Tva ·
  • Exonérations ·
  • Prestation de services ·
  • Directive ·
  • Concurrence ·
  • Activité ·
  • Coûts ·
  • Finalité ·
  • Interprétation ·
  • Commission
1 commentaire

Sur les mêmes thèmes3

  • Information ·
  • Instrument financier ·
  • Liste ·
  • Émetteur ·
  • Abus de marché ·
  • Règlement d'exécution ·
  • Courriel ·
  • Communication ·
  • Marchés financiers ·
  • Règlement (ue)
1 commentaire
  • Culture ·
  • Décision d'exécution ·
  • Directive ·
  • Etats membres ·
  • Interdiction ·
  • Validité ·
  • Autorisation ·
  • Maïs ·
  • Question ·
  • Marches
3 commentaires
  • Directive ·
  • Etats membres ·
  • Diversité culturelle ·
  • Livre ·
  • Service ·
  • Livraison ·
  • Linguistique ·
  • Vente ·
  • Prestataire ·
  • Question
19 commentaires

Textes cités dans la décision

  1. NIS2 - Directive (UE) 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union
  2. Directive (UE) 2015/1535 du 9 septembre 2015
  3. Directive sur le temps de travail - Directive 2003/88/CE du 4 novembre 2003 concernant certains aspects de l'aménagement du temps de travail
  4. Directive 2002/21/CE du 7 mars 2002 relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques (directive
  5. Directive (UE) 2018/1972 du 11 décembre 2018 établissant le code des communications électroniques européen (refonte)Texte présentant de l'intérêt pour l'EEE
  6. SRI I - Directive (UE) 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CJUE, n° C-354/24, Conclusions de l'avocat général de la Cour, 19 mars 2026
  1. Doctrine
  2. Décisions de justice
  3. 2026
  4. CJUE, 19 mars 2026, C-354/24
Contactez notre service commercial au 01 84 80 33 48