Le Quotidien du 24 août 2022 : Procédure pénale

[Focus] L’accès aux données de trafic et de localisation dans le cadre d’une enquête judiciaire

Lecture: 34 min

N2356BZB

Citer l'article

Créer un lien vers ce contenu

[Focus] L’accès aux données de trafic et de localisation dans le cadre d’une enquête judiciaire. Lire en ligne : https://www.lexbase.fr/article-juridique/87159156-focuslaccesauxdonneesdetraficetdelocalisationdanslecadreduneenquetejudiciaire
Copier

par Matthieu Audibert, Officier de gendarmerie et doctorant en droit privé et sciences criminelles, Université Paris Nanterre – CDPC – EA 3982

le 23 Août 2022

Avertissement : l’auteur s’exprime à titre personnel et dans le cadre de ses travaux universitaires. Ses propos, thèses ou opinions n’engagent en aucune façon la gendarmerie nationale.

Mots-clés : données de trafic et de localisation • proportionnalité • droit à la vie privée • preuve numérique • enquête préliminaire • information judiciaire

Véritable serpent de mer depuis 2014, les enjeux relatifs à l’accès aux données de trafic et de localisation en matière judiciaire sont extrêmement prégnants et font même l’objet d’un dialogue complexe sinon « rugueux » * des juges assez inédit puisque regroupant le Conseil constitutionnel, la Cour de cassation, le Conseil d’État et la Cour de justice de l’Union européenne. Les arrêts de la Cour de justice de l’Union européenne étaient annonciateurs d’un bouleversement dans la procédure pénale française.

Si le Conseil constitutionnel a résisté dans le cadre de son contrôle de constitutionnalité, la Cour de cassation, dans le cadre de son contrôle de conventionnalité, s’est alignée sur la jurisprudence européenne et a jugé contraire au droit de l’Union les dispositions procédurales permettant au procureur de la République d’autoriser l’accès aux données de trafic et de localisation. Les arrêts rendus par la Cour de cassation amènent à repenser une partie de la phase préalable au procès, en particulier s’agissant du rôle majeur qui sera vraisemblablement dévolu au juge des libertés et de la détention.


Avant d’examiner ce dialogue des juges si particulier et les enjeux qui en découlent, il convient de préciser ce que recouvrent les données de trafic et de localisation et pourquoi celles-ci font l’objet d’un tel foisonnement jurisprudentiel.

Les données de trafic et de localisation aussi appelées données de connexion ou métadonnées sont un ensemble de données techniques liées à l’utilisation d’un terminal numérique connecté à un réseau de communication électronique ou à un fournisseur d’accès à internet. Elles doivent être différenciées des données dites de contenu. Les données de contenu comprennent comme leur nom l’indique la teneur, la substance des échanges. Par analogie avec une lettre papier, les données de trafic et de localisation sont représentées par l’enveloppe, la lettre présente dans l’enveloppe représentant les données de contenu.

En droit français, on distingue trois catégories de données de connexion [1] :

  • les données d’identification : elles permettent de savoir qui est titulaire d’un numéro de téléphone, d’un numéro de carte SIM, d’un abonnement chez un opérateur ou un fournisseur d’accès à internet ;
  • les données de trafic : celles-ci permettent de renseigner sur l’utilisation technique du support numérique ainsi connecté à un réseau. Il s’agit notamment des factures détaillées ou fadettes, de la liste des contacts appelés, de la durée des appels, des appareils utilisés, de l’historique d’envoi et de la réception des courriels, la liste des adresses IP consultées à partir d’une connexion à internet ;
  • les données de localisation : ces dernières correspondant notamment pour les téléphones portables aux zones d’émission et de réception d’une communication, la liste des appels ayant transité par une antenne relais, la localisation des téléphones portables en veille grâce aux déclenchements des relais téléphoniques. Pour ces derniers, on parle d’événements réseaux.

Nous l’aurons compris, ces données de trafic et de localisation sont par nature très sensibles. Un accès à ces données représente un degré d’intrusion certain dans le droit au respect de la vie privée. En effet, elles permettent de renseigner sur les habitudes d’un utilisateur, de reconstituer, a posteriori, un parcours géographique ou encore d’identifier ses différents interlocuteurs. La loi prévoit ainsi que les opérateurs de communications électroniques et les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne doivent effacer ou rendre anonymes ces données [2].

Nonobstant cette nécessaire protection de la vie privée, à l’ère du tout numérique [3], ces données techniques s’avèrent extrêmement précieuses pour la recherche d’auteurs d’infractions. Ainsi, la loi prévoit une exception à la suppression des données de trafic et de localisation. Les opérateurs de communications électroniques sont donc tenus de conserver pour les besoins des enquêtes judiciaires les éléments suivants :

  • les informations relatives à l’identité civile de l’utilisateur [4] ;
  • les autres informations fournies par l’utilisateur lors de la souscription d’un contrat ou de la création d’un compte ainsi que les informations relatives au paiement [5].

De plus, pour les besoins de la lutte contre la criminalité et la délinquance graves, ils doivent conserver les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés [6]. Enfin, pour des motifs tenant à la sauvegarde de la sécurité nationale, lorsqu’est constatée une menace grave, actuelle ou prévisible, contre cette dernière, le Premier ministre peut enjoindre par décret aux opérateurs de communications électroniques de conserver, pour une durée d’un an, certaines catégories de données de trafic [7] en complément de celles déjà conservées [8]. Comme nous pouvons le constater, ce dispositif n’envisage pas la conservation généralisée et indifférenciée de ces données pour la recherche, la constatation et la poursuite des infractions pénales.

En réalité, l’ancien dispositif de conservation des données a évolué via la loi n° 2021-998, du 30 juillet 2021, relative à la prévention d’actes de terrorisme et au renseignement N° Lexbase : L3896L7G. Le législateur a en effet tiré les conséquences de la jurisprudence de la Cour de justice de l’Union européenne (CJUE) [9] et d’une décision d’inconstitutionnalité dans laquelle le Conseil constitutionnel a déclaré non conforme à la Constitution les anciennes dispositions du Code des postes et des communications prévoyant cette conservation généralisée et indifférenciée des données à des fins judiciaires [10].

Nonobstant cette évolution du cadre juridique relatif à la conservation des données, se pose à présent la question de l’accès à ces mêmes données, en particulier l’accès aux fins de rechercher, constater et poursuivre les infractions pénales.

Dans sa décision du 21 avril 2021 N° Lexbase : A01664Q9 [11], le Conseil d’État juge que « l’autorité judiciaire est en mesure d’accéder aux données nécessaires à la poursuite et à la recherche d’auteurs d’infractions pénales dont la gravité le justifie [12] ». Autrement dit, la conservation au titre d’une menace grave, actuelle ou prévisible devient le support juridique de la conservation et in fine de l’accès judiciaire à ces données [13].

Ce cadre juridique complexe et cette jurisprudence foisonnante témoignent de l’extrême sensibilité que revêtent la conservation et l’accès judiciaire aux données de trafic et de localisation. En effet, il s’agit en réalité ici de concilier d’une part le droit au respect de la vie privée, principe à valeur constitutionnelle [14] et d’autre part, la recherche des auteurs d’infraction, objectif de valeur constitutionnelle [15].

Or les derniers arrêts rendus par la CJUE ont entraîné de profondes inquiétudes chez les enquêteurs [16] et certains auteurs ont fait part de leurs interrogations [17]. Par ailleurs, nonobstant la décision du Conseil d’État, le Conseil constitutionnel a été amené à se prononcer sur la question de l’accès judiciaire aux données de trafic et de localisation dans le cadre de l’enquête [18] et de l’information judiciaire [19]. Pour les dispositions relevant de l’enquête préliminaire, il a ainsi censuré, avec un effet différé, les dispositions permettant au procureur de la République et aux enquêteurs de requérir l’accès et la communication de données de connexion [20]. Cette décision d’inconstitutionnalité a entraîné l’intervention du législateur [21] qui est venu restreindre la possibilité de requérir des données de connexion à une certaine typologie d’infractions [22]. Enfin, les arrêts rendus par la Chambre criminelle le 12 juillet 2022 préfigurent le bouleversement majeur de la procédure pénale qui va s’opérer.

Afin d’explorer de manière plus approfondie les dispositions relatives à l’accès aux données de trafic et de localisation, il convient dans un premier temps d’étudier comment la CJUE entend limiter l’accès à ces données (I) puis dans un second temps d’examiner dans quelle mesure le Conseil constitutionnel puis le législateur et la Cour de cassation ont encadré cet accès (II).

I. La CJUE : un accès particulièrement restreint aux données de trafic et de localisation au nom de la protection du droit au respect de la vie privée

Cet encadrement par la CJUE de l’accès aux données de trafic et de localisation s’est mis en place progressivement au gré des questions préjudicielles transmises par les cours des États. Initialement saisie de questions relatives à la conservation généralisée, la CJUE a progressivement dégagé plusieurs critères pour autoriser un accès à ces données (A). Or ces critères amènent à s’interroger sur les évolutions structurelles qui pèsent sur la procédure pénale française (B).

A. La jurisprudence de la CJUE : de la prohibition de la conservation généralisée et indifférenciée à des fins pénales à un accès aux données de trafic et de localisation particulièrement encadré

Dans ses différents arrêts rendus depuis 2014, la CJUE a posé clairement l’interdiction pour les États membres d’instaurer des mesures législatives prévoyant à titre préventif une conservation généralisée et indifférenciée des données de trafic et de localisation pour assurer la prévention, la recherche, la détection et la poursuite des infractions pénales [23]. En revanche, la CJUE a admis l’hypothèse où un État membre peut mettre en place une telle conservation dans des situations où cet État fait face à une menace grave pour la sécurité nationale. Cette menace doit être réelle et actuelle ou prévisible [24]. Par ailleurs, la CJUE admet l’hypothèse de la conservation ciblée, en amont, des données en fonction de zones géographiques prédéfinies pour des infractions relevant de la criminalité grave. Enfin, elle envisage la possibilité d’une conservation rapide des données permise par le droit européen [25].

Toutefois, le Conseil d’État a remis en cause les solutions suggérées par la CJUE. Il relève que cette conservation ciblée des données de trafic et de localisation n’est ni matériellement possible ni opérationnellement efficace [26] et ce, pour une raison simple : il n’est pas possible de prédéterminer les personnes qui seront impliquées ultérieurement dans une infraction pénale qui n’a pas encore été commise  [27]. C’est aussi le cas s’agissant des lieux de commission des infractions [28].

Fort de ce constat, le Conseil d’État suggère, pour la poursuite des infractions pénales, de recourir à la conservation rapide des données permise par le droit européen en s’appuyant sur le stock de données conservées de manière généralisée et indifférenciée pour les besoins de la sécurité nationale [29]. Au travers de ce raisonnement, le critère lié à la sécurité nationale devient donc le support juridique autorisant l’accès, à des fins judiciaires, à ces données sous deux réserves précisées par le Conseil d’État : cela n’est envisageable que pour la lutte contre la criminalité grave et une autorisation préalable doit être délivrée par une autorité administrative indépendante ou un juge indépendant ayant la qualité d’un tiers par rapport aux enquêteurs.

On relève ici les conditions posées par le Conseil s’agissant d’une part de la conservation et d’autre part de l’accès à ces données.

Dans un arrêt récent [30] qui sonne comme une forme de réplique à la position d’équilibre dégagée par le Conseil d’État, la CJUE remet en cause cette solution. Elle relève en effet qu’eu égard à la hiérarchie des objectifs d’intérêt général qu’elle a dégagée dans sa jurisprudence [31], il n’est pas possible d’utiliser le critère lié à la sécurité nationale pour justifier d’une part une conservation généralisée et indifférenciée à des fins judiciaires et d’autre part un accès aux données conservées à cet effet. Ainsi, cela reviendrait à remettre en cause la hiérarchie des objectifs telle que dégagée par la CJUE, la lutte contre la criminalité grave étant un objectif moins important que la menace grave pour la sécurité nationale [32].

Sur la problématique spécifique liée à l’accès aux données, la CJUE a réaffirmé sa jurisprudence antérieure [33]. L’accès des autorités publiques à des données de trafic ou de localisation conservées selon les modalités qu’elle a précisées doit être encadré par les législations nationales, lesquelles doivent prévoir les « conditions matérielles et procédurales [34] » régissant cet accès. Dès lors, en matière de droit processuel, la CJUE précise que l’accès, par les autorités publiques, aux données conservées doit être « subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante et que la décision de cette juridiction ou de cette entité [doit intervenir] à la suite d’une demande motivée de ces autorités [35] ».

Autrement dit, la CJUE déclare que le droit de l’Union européenne s’oppose à une législation nationale donnant compétence au ministère public, qui dirige l’enquête judiciaire et exerce, le cas échéant, l’action publique, pour autoriser l’accès par les enquêteurs aux données de trafic et de localisation. En substance, l’autorité qui exerce le contrôle de proportionnalité et de légalité préalable ne peut être la même qui sollicite l’accès aux données [36]. Nous l’aurons compris la position de la CJUE dégagée dans ses arrêts présente de nombreuses implications sur la procédure pénale française.

B. Les implications de la jurisprudence de la CJUE sur la procédure pénale française

La jurisprudence de la CJUE présente une double implication sur la procédure pénale française d’une part s’agissant de l’enquête et d’autre part s’agissant de l’information judiciaire.

En effet, comme nous l’avons exposé, la CJUE a posé un ensemble de conditions très restrictives concernant le contrôle d’accès aux données de trafic et de localisation. À la lumière de celles-ci, il est flagrant que la procédure pénale française n’est pas en adéquation avec la jurisprudence de la Cour de Luxembourg.

Les arrêts Prokuratuur N° Lexbase : A49864II et G.D N° Lexbase : A10957TQ entendent limiter l’accès aux données de trafic et de localisation à des fins pénales dans les seuls objectifs de lutte contre la criminalité grave ou de prévention des menaces graves contre la sécurité publique. Or qu’est-ce qu’une infraction grave ? Avant la loi du 2 mars 2022 N° Lexbase : L7677MBX et la création de l’article 60-1-2 du Code de procédure pénale N° Lexbase : L7997MBS, la possibilité de requérir des données de trafic et de localisation ne faisait pas l’objet d’un périmètre infractionnel spécifique.

Sur un plan plus processuel, force est de constater que les positionnements procéduraux d’une part du procureur de la République et d’autre part du juge d’instruction sont incompatibles avec la jurisprudence de la CJUE. En droit interne, dans le cadre de l’enquête de flagrance, le procureur de la République ou l’officier de police judiciaire et l’agent de police judiciaire sous le contrôle de ce dernier peuvent, par réquisition, récupérer les données de connexion intéressant une enquête en cours. Dans le cadre de l’enquête préliminaire, le procureur de la République et, sur autorisation de celui-ci, l’officier ou l’agent de police judiciaire peuvent également récupérer ces données. Le contrôle préalable n’existe donc juridiquement que pour l’enquête préliminaire même s’il existe en pratique pour l’enquête de flagrance car il s’agit de réquisitions facturées au titre des frais de justice [37].

Quoi qu’il en soit, en enquête de flagrance et en enquête préliminaire, aucun tiers à la procédure n’intervient pour autoriser cet accès. Seul le procureur de la République exerce ce contrôle. Or en raison de son positionnement dans la procédure, il y a d’une part, un problème s’agissant du contrôle préalable tel qu’exigé par la CJUE et, d’autre part, une question d’indépendance dans la mesure où c’est le procureur de la République, ministère public, qui va exercer le cas échéant l’action publique à l’issue de l’enquête qu’il dirige.

Pour ces deux raisons, la substance de la procédure pénale française relative au procureur de la République apparaît en contradiction avec la jurisprudence de la CJUE.

Par ricochet, la jurisprudence de la CJUE a également un impact sur le juge d’instruction. Même s’il ne représente pas l’action publique, il dispose également de pouvoirs procéduraux propres permettant de requérir la communication de ces données [38]. Il peut également délivrer une commission rogatoire à un officier de police judiciaire qui pourra requérir leur communication. Par ailleurs, le juge d’instruction est pleinement intégré à la phase préalable au procès pénal dans la mesure où c’est bien lui qui dirige l’information [39]. Or pour l’accès à ces données, aucune entité ne contrôlera préalablement sa réquisition et la CJUE précise bien que l’autorité qui réalise le contrôle préalable de proportionnalité ne doit pas diriger la « procédure d’instruction pénale [40] ».

Forts de ces deux constats, nous pouvons donc en déduire que les dispositions procédurales relatives au procureur de la République et au juge d’instruction en matière d’accès aux données de trafic et de localisation sont en contradiction avec la jurisprudence de la CJUE [41].

Il convient à présent d’étudier quelles ont été les réponses françaises à ces différentes problématiques.

II. La réponse française, un encadrement plus fort de l’accès aux données de connexion : un bouleversement majeur de la procédure pénale

Cette réponse française s’est traduite dans un premier temps par plusieurs décisions du Conseil constitutionnel saisi de trois questions prioritaires de constitutionnalité portant sur les conditions d’accès aux données de trafic et de localisation dans le cadre des enquêtes et dans le cadre de l’information, ce qui a contraint le législateur à renforcer les conditions d’accès à ces données (A). Agissant dans le cadre de son contrôle de conventionnalité, la Cour de cassation a ensuite rendu quatre arrêts annonciateurs de modifications substantielles de la procédure pénale (B).

A. Un renforcement des conditions d’accès aux données de trafic et de localisation

Dans une décision du 3 décembre 2021 N° Lexbase : A00977EC, le Conseil constitutionnel a jugé contraire à la Constitution la réquisition, par voie télématique ou informatique, des données de trafic et de localisation par le procureur de la République ou, sur autorisation de celui-ci, par l’officier ou l’agent de police judiciaire dans le cadre de l’enquête préliminaire [42].

Dans le cadre de son contrôle de proportionnalité, le Conseil constitutionnel a ainsi relevé que ce pouvoir de réquisition est entouré d’une garantie liée à l’autorisation préalable délivrée par le procureur de la République mais qu’elle est la seule [43]. Eu égard à l’intrusion que ces réquisitions représentent dans le droit au respect de la vie privée, le Conseil la juge insuffisante et exige d’autres garanties procédurales par le biais de cette formule explicite : « le législateur n’a assorti le recours aux réquisitions de données de connexion d’aucune autre garantie [44] ».

Tirant les conséquences de cette décision d’inconstitutionnalité, le législateur a très rapidement réagi via un « cavalier législatif [45] » introduit au sein de la loi du 2 mars 2022 visant à combattre le harcèlement scolaire [46]. Cette loi vient ainsi créer un nouvel article 60-1-2 du Code de procédure pénale qui prévoit un régime spécifique visant les données de trafic et de localisation.

Signe d’un nécessaire encadrement de ces accès, le législateur prévoit deux conditions : les réquisitions portant sur des données de trafic et de localisation ne sont possibles que « si les nécessités de la procédure l’exigent [47] ». Cette notion implique un travail procédural préalable dans les procès-verbaux des enquêteurs pour justifier ce besoin et elle implique nécessairement un contrôle d’opportunité de celui-ci.

Seconde condition : il s’agit du périmètre infractionnel pouvant permettre la réalisation de ces réquisitions. Le texte prévoit un principe et trois exceptions. S’agissant du principe, la procédure doit porter sur un crime ou un délit puni d’au moins trois ans d’emprisonnement. Cet effet de seuil est intéressant parce qu’il correspond à des infractions d’une certaine gravité pour lesquelles des pouvoirs de contraintes spécifiques existent déjà [48]. Toutefois ce seuil n’est pas satisfaisant car il évacue de facto un certain nombre d’infractions punies d’une peine inférieure [49] et présentant pourtant une composante numérique. Le législateur a alors prévu une première exception qui comprend une double condition : la procédure doit porter sur un délit puni d’au moins un an d’emprisonnement commis par l’utilisation d’un réseau de communications électroniques et les réquisitions ont pour seul objet d’identifier l’auteur de l’infraction. Ici, le législateur a intégré les infractions relevant de la cybercriminalité notamment lorsque le vecteur numérique est le moyen de commission de l’infraction.

La deuxième condition porte sur l’accord préalable de la victime lorsque la réquisition porte sur ses propres supports numériques pour toute infraction punie d’une peine d’emprisonnement. La troisième condition quant à elle porte sur les enquêtes visant à retrouver une personne disparue [50] et sur les enquêtes visant à retracer un parcours criminel d’une personne condamnée à raison de crimes sériels [51].

Ce nouvel article 60-1-2 est applicable à tous les cadres d’enquête puisque le législateur a prévu ce mécanisme par renvoi pour l’enquête préliminaire [52] et l’information [53].

Toutefois, ce texte laisse un important angle mort car il n’aborde pas la question du contrôle préalable telle qu’exposée par la CJUE dans sa jurisprudence. Un auteur relève même que « l’absence de contrôle par une autorité indépendante et impartiale questionne [54] ». Or il est intéressant de relever que ce contrôle préalable, conforme à la jurisprudence de la CJUE, existe déjà dans notre droit processuel. En effet, l’article 60-1-1 du Code de procédure pénale N° Lexbase : L7996MBR prévoit que, pour requérir des données de trafic et de localisation émises par un avocat et liées à l’utilisation d’un réseau ou d’un service de communications électroniques, il est nécessaire que le juge des libertés et de la détention rende une ordonnance motivée faisant état « des raisons plausibles de soupçonner que l’avocat a commis ou tenté de commettre, en tant qu’auteur ou complice, l’infraction qui fait l’objet de la procédure [55] ». En matière d’accès aux données, nous avons donc ici une disposition procédurale qui respecte les préceptes de la jurisprudence de la CJUE.

Le Conseil constitutionnel a été saisi de cette problématique via des QPC portant sur la réquisition de données de trafic et de localisation dans le cadre de l’enquête de flagrance et dans le cadre de l’information. Pour l’enquête de flagrance, dans une décision du 20 mai 2022 N° Lexbase : A58297X8 [56], le Conseil a déclaré conforme à la Constitution les dispositions permettant ces réquisitions. Il a notamment relevé que ces réquisitions portent sur un crime ou un délit flagrant puni d’une peine d’emprisonnement et que la durée de cette enquête est limitée dans le temps [57]. Enfin, il a relevé qu’en vertu de la loi [58], le procureur de la République, magistrat de l’ordre judiciaire, est chargé « de contrôler la proportionnalité des actes d’investigation au regard de la nature et de la gravité des faits [59] ». Dès lors, le Conseil évacue les arguments soulevés par le requérant qui soutenait notamment que l’absence de contrôle préalable par une juridiction indépendante constituait une méconnaissance du droit au respect de la vie privée.

Enfin s’agissant de l’information judiciaire, dans une décision du 17 juin 2022 N° Lexbase : A500877M [60], le Conseil a été saisi du même argument à savoir que le juge d’instruction ou l’officier de police judiciaire commis par lui ne constituent pas une juridiction indépendante. Encore une fois, le Conseil va réfuter cet argument en notant que le juge d’instruction est un magistrat du siège dont l’indépendance est garantie par la Constitution  [61] et que les dispositions procédurales relatives à l’information judiciaire permettent une conciliation équilibrée entre la recherche des auteurs des infractions et le droit au respect de la vie privée [62].

Ainsi dans le cadre de son contrôle de constitutionnalité, le Conseil a sanctionné les dispositions relevant de l’enquête préliminaire par manque de garanties et a validé les dispositions antérieures à la loi du 2 mars 2022 relatives à l’enquête de flagrance et à l’information. Il convient à présent d’examiner comment la Cour de cassation s’est positionnée dans le cadre de son contrôle de conventionnalité.

B. L’approche historique de la Cour de cassation : vers un épilogue ?

Dans quatre arrêts rendus le 12 juillet 2022 [63], la Chambre criminelle a tiré les conséquences des arrêts rendus par la CJUE [64] relatifs à la conservation des données de connexion et à l’accès à celles-ci dans le cadre d’enquêtes judiciaires.

La Cour a ainsi cette formule lapidaire : « les articles 60-1 N° Lexbase : L7995MBQ, 60-2 N° Lexbase : L7998MBT, 77-1-1 N° Lexbase : L7999MBU et 77-1-2 N° Lexbase : L8000MBW du Code de procédure pénale sont contraires au droit de l’Union uniquement en ce qu’ils ne prévoient pas un contrôle préalable par une juridiction ou une entité administrative Indépendante [65] ».

La Chambre criminelle juge ainsi que, si le juge d’instruction peut contrôler l’accès aux données car il est une juridiction [66], tel n’est pas le cas du procureur de la République, qui n’a pas la qualité de tiers dans les enquêtes judiciaires et qui exerce le cas échéant l’action publique [67].

Nous assistons bien à un bouleversement majeur de la procédure pénale dans la mesure où le rôle du procureur de la République est clairement remis en cause, en particulier s’agissant du contrôle qu’il réalise dans la direction des enquêtes [68]. Ce bouleversement majeur était prévisible [69] et nous ne pouvons que regretter que celui-ci n’ait pas été anticipé.

À présent, quid des perspectives ? La Chambre criminelle énonce le modus operandi pour traiter cette non-conformité du droit français au droit de l’Union sur le fondement des principes d’équivalence [70] et d’effectivité [71].

Ainsi les juges du fond saisis d’un moyen de nullité fondé sur la violation du droit de l’Union doivent vérifier plusieurs points :

  • le requérant doit être recevable à contester la régularité de la conservation et de l’accès à ses données de connexion. Autrement dit, le requérant doit être le titulaire ou l’utilisateur d’une ligne téléphonique pour laquelle les enquêteurs ont obtenu des données de connexion [72] ;
  • les données en question ont été régulièrement conservées et si les données étaient susceptibles de faire l’objet d’une conservation rapide au titre de la lutte contre la criminalité grave [73] ;
  • l’accès a fait l’objet d’un contrôle préalable indépendant : tel est le cas d’une commission rogatoire. S’agissant de l’enquête, le requérant doit alors justifier d’un grief [74] [75].

Sur l’existence de ce grief, la Cour de cassation expose que ce grief ne sera pas retenu si l’accès aux données a porté sur des données régulièrement conservées et si les catégories de données visées, la durée pour laquelle l’accès a eu lieu étaient limitées à ce qui était strictement justifié par les nécessités de l’enquête [76]. Autrement dit, les juges du fond doivent réaliser une appréciation in concreto pour accueillir ou non le grief permettant de caractériser une nullité.

Cette série d’arrêts de la Chambre criminelle est une sorte de saut dans l’inconnu. En effet, contrairement à l’arrivée des avocats au cours des gardes à vue [77], aucune loi n’a été promulguée pour anticiper cette inconventionnalité. Dès lors, que se passera-t-il demain lorsque les enquêteurs agissant dans le cadre de l’enquête solliciteront le procureur de la République aux fins d’obtenir une autorisation de réquisition de données de connexion ?

Le principe de bonne administration de la justice et l’ordre public commandent que le parquet continue, du moins temporairement, à délivrer ces autorisations pour les nécessités de l’enquête, nonobstant cette inconventionnalité. Cela n’est pas sans poser un problème plus philosophique sur le caractère de cette autorisation, eu égard au principe de légalité en droit pénal.

Par ailleurs, l’appréciation in concreto demandée par la Cour de cassation sera réalisée au gré des espèces et en fonction des différentes juridictions. Il n’est donc pas exclu que de nouveaux pourvois remontent à la Cour de cassation sur ces thématiques.

Pour l’ensemble de ces raisons, il est donc nécessaire que le législateur intervienne rapidement. L’intervention du juge des libertés et de la détention apparaît comme inévitable [78]. Toutefois, nonobstant les modifications procédurales à réaliser, cette solution présente de nombreux enjeux capacitaires et budgétaires pour absorber et traiter le volume de réquisitions qui seront transmises.

 

[*] N. Hervieux, Dialogue « rugueux », Gaz. Pal., 5 octobre 2021, n° 34, p. 3.

[1] CPCE, art. R. 10-12 N° Lexbase : L6328L8U à R. 10-14 N° Lexbase : L6328L8U.

[2] CPCE, art. L. 34-1 II N° Lexbase : L4175L7R.

[3] INSEE, Focus, n° 259, 24 janvier 2022 [en ligne] : 99 % de la population âgée de 15 ans ou plus est équipée d’un téléphone, fixe ou mobile.

[4] CPCE, art. L. 34-1 II bisN° Lexbase : L4175L7R.

[5] CPCE, art. L. 34-1 II bis 2e.

[6] CPCE, art. L. 34-1 II bis 3e.

[7] CPCE, art. R. 10-13, V N° Lexbase : L6329L8W.

[8] CPCE, art. L. 34-1 III.

[9] CJUE, grande ch., 8 avril 2014, aff. C-293/12 et C-594/12, Digital Rights Ireland N° Lexbase : A7603MIG ; CJUE, grande ch., 21 décembre 2016, aff. C-203/15 et C-698/15, Tele2 Sverige et a. N° Lexbase : A7089SXT ; CJUE, grande ch., 6 octobre 2020, aff. C-511/18, C-512/18 et C-520/18, La Quadrature du Net et a. N° Lexbase : A78303WW.

[10] Cons. const., décision n° 2021-976/977 QPC, 25 février 2022 N° Lexbase : A03477PK.

[11] CE, ass., n° 393099, 21 avril 2021, publié au recueil Lebon N° Lexbase : A01664Q9.

[12] Ibid. cons. 57.

[13] M. Audibert, Conservation des métadonnées : le Conseil d’État préserve la majorité des enquêtes judiciaires, Lexbase Pénal, mai 2021 N° Lexbase : N7503BYK.

[14] Cons. const., décision n° 94-352 DC, 18 janvier 1995 N° Lexbase : A8320AC7 ; Cons. const., décision n° 99-416 DC, 23 juillet 1999 N° Lexbase : A8782ACA.

[15] Cons. const., décision n° 96-377 DC, 16 juillet 1996 N° Lexbase : A8343ACY.

[16] M. Audibert, La conservation des données de connexion, le droit français et la Cour de justice de l’Union européenne. Quelles conséquences pour les enquêtes judiciaires ?, Veille juridique du Centre de Recherche de l’École des Officiers de la Gendarmerie Nationale, novembre 2020, n° 91, p. 13-29.

[17] B. Nicaud, CJUE : un équilibre – trop ? – rigoureux entre droit au respect de la vie privée et conservation des données, AJ pénal 2020, p. 531.

[18] Cons. const., décision n° 2021-952 QPC, 3 décembre 2021 N° Lexbase : A00977EC (s’agissant de l’enquête préliminaire) et Cons. const., décision n° 2022-993 QPC, 20 mai 2022 N° Lexbase : A58297X8 (s’agissant de l’enquête de flagrance).

[19] Cons. const., décision n° 2022-1000 QPC, 17 juin 2022 N° Lexbase : A500877M.

[20] M. Audibert, Inconstitutionnalité différée des réquisitions de données informatiques par le procureur de la République dans le cadre de l’enquête préliminaire : le jour d’après, Lexbase Pénal, décembre 2021 N° Lexbase : N9789BY9.

[21] Loi n° 2022-299, du 2 mars 2022, visant à combattre le harcèlement scolaire, art. 12 N° Lexbase : Z88992TY.

[22] C. proc. pén., art. 60-1-2 N° Lexbase : L7997MBS.

[23] CJUE, grande ch., 8 avril 2014, aff. C-293/12 et C-594/12, Digital Rights Ireland ; CJUE, grande ch., 21 décembre 2016, aff. C-203/15 et C-698/15, Tele2 Sverige et AB. ; CJUE, grande ch., 6 octobre 2020, aff. C-511/18, C-512/18 et C-520/18, La Quadrature du Net et a. 

[24] CJUE, grande ch., 6 octobre 2020, aff. C-511/18, C-512/18 et C-520/18, La Quadrature du Net et a., §139,168

[25] Convention sur la cybercriminalité du Conseil de l’Europe du 23 novembre 2001, art. 16 et 17 [en ligne].

[26] CE, ass., 21 avril 2021, n° 393099, French Data Network, point 54 N° Lexbase : A01664Q9.

[27] Fr. Molins, La protection des citoyens européens dans un monde ultra-connecté, Fondation Robert Schuman, Question d’Europe 8 avril 2019, n° 510 [en ligne].

[28] M. Audibert, Conservation des métadonnées : le Conseil d’État préserve la majorité des enquêtes judiciaires, Lexbase Pénal, mai 2021 N° Lexbase : N7503BYK.

[29] CE, ass., 21 avril 2021, n° 393099, French Data Network, point 57 N° Lexbase : A01664Q9.

[30] CJUE, grande ch., 5 avril 2022, aff. C-140/20, G.D c/ Commissioner of An Garda Siochana N° Lexbase : A10957TQ.

[31] Ibid., point 56.

[32] Ibid. point 57-65.

[33] CJUE, grande ch., 2 mars 2021, aff. C-746/18, Prokuratuur N° Lexbase : A49864II.

[34] Ibid. point 50 ; CJUE, grande ch., 5 avril 2022, aff. C-140/20, G.D c/ Commissioner of An Garda Siochana, point 105 N° Lexbase : A10957TQ.

[35] CJUE, grande ch., 2 mars 2021, aff. C-746/18, Prokuratuur, point 51N° Lexbase : A49864II ; CJUE, grande ch., 5 avril 2022, aff. C-140/20, G.D c/ Commissioner of An Garda Siochana, point 105 N° Lexbase : A10957TQ.

[36] M. Audibert, La conservation et l’accès aux métadonnées dans le cadre des enquêtes judiciaires : vers un bouleversement dans la procédure pénale française ?, Lexbase Pénal, mars 2021 N° Lexbase : N6851BYE.

[37] C. proc. pén., art.  A. 43-9 N° Lexbase : L8850LUC.

[38] C. proc. pén., art. 99-3 N° Lexbase : L8001MBX.

[39] C. proc. pén., art. 81 N° Lexbase : L9490LP8.

[40] CJUE, 2 mars 2021, aff. C-746/18Prokuratuur, préc. point 59.

[41] M. Audibert, La conservation et l’accès aux métadonnées dans le cadre des enquêtes judiciaires : vers un bouleversement dans la procédure pénale française ?, Lexbase Pénal, mars 2021, préc.

[42] Cons. const., décision n° 2021-952 QPC, 3 décembre 2021 N° Lexbase : A00977EC.

[43] M. Audibert, Inconstitutionnalité différée des réquisitions de données informatiques par le procureur de la République dans le cadre de l’enquête préliminaire : le jour d’après, Lexbase Pénal, décembre 2021 N° Lexbase : N9789BY9.

[44] Cons. const., décision n° 2021-952 QPC, 3 décembre 2021, préc. cons. 13.

[45] J. Bossan, Les réquisitions judiciaires relatives aux données de connexion : suite… et fin ?, Dr. pén., juillet 2022, étude 17.

[46] Loi n° 2022-299, du 2 mars 2022, visant à combattre le harcèlement scolaire, art. 12 N° Lexbase : Z88992TY.

[47] C. proc. pén., art. 60-1-2 N° Lexbase : L7997MBS.

[48] Par exemple la perquisition sans assentiment en enquête préliminaire (C. proc. pén., art. 76 N° Lexbase : L0490LTC).

[49] Par exemple le cyberharcèlement est puni de deux ans d’emprisonnement (C. pén., art. 222-33-2-2 N° Lexbase : L7985MBD).

[50] C. proc. pén., art. 74-1 N° Lexbase : L1637A7R.

[51] C. proc. pén., art. 706-106-4 N° Lexbase : L1613MAY.

[52] C. proc. pén., art. 77-1-1 N° Lexbase : L7999MBU, 77-1-2 N° Lexbase : L8000MBW.

[53] C. proc. pén., art. 99-3 N° Lexbase : L8001MBX.

[54] J. Bossan, Les réquisitions judiciaires relatives aux données de connexion : suite… et fin ?, Dr.  pén., juillet 2022, étude 17.

[55] C. proc. pén., art. 60-1-1 N° Lexbase : L7996MBR.

[56] Cons. const., décision n° 2022-993 QPC, 20 mai 2022 N° Lexbase : A58297X8.

[57] Ibid. cons. 12.

[58] C. proc. pén., art. 39-4 N° Lexbase : L7260LPL.

[59] Cons. const., décision n° 2022-993 QPC, 20 mai 2022, cons. 13 N° Lexbase : A58297X8.

[60] Cons. const., décision n° 2022-1000 QPC, 17 juin 2002 N° Lexbase : A500877M.

[61] Ibid. cons. 13.

[62] Ibid. cons. 14-17.

[63] Cass. crim, 12 juillet 2022, n° 21-83.710, F-D N° Lexbase : A01847GW ; n° 21-83.820, FS-B N° Lexbase : A84318AI ; n° 21-84.096, FS-B N° Lexbase : A84328AK et n° 20-86.652, FS-P N° Lexbase : A65194WD.

[64] Pour l’enjeu relatif à l’accès aux données : CJUE, grande ch., aff. C-746/18, 2 mars 2021, Prokuratuur ; CJUE, grande ch., 5 avril 2022, aff. C-140/20, G.D c/ Commissioner of An Garda Siochana, préc.

[65] Cass. crim, 12 juillet 2022, n° 21-83.710, F-D, point 42 N° Lexbase : A84348AM.

[66] Ibid. point 43.

[67] Ibid. points 40-41.

[68] C. proc. pén., art. 39-3 N° Lexbase : L4827K8B.

[69] M. Audibert, La conservation et l’accès aux métadonnées dans le cadre des enquêtes judiciaires : vers un bouleversement dans la procédure pénale française ?, Lexbase Pénal, mars 2021, préc.

[70] Cass. crim., 12 juillet 2022, n° 21-83.710, préc. point 44.

[71] Ibid. point 45.

[72] Ibid. point 52.

[73] Ibid. points 62-63.

[74] Ibid. point 49.

[75] Ibid. point 56.

[76] Ibid. points 57-58.

[77] Cass. assemblée plénière, 15 avril 2011, n° 10-30.316, FP-P+B+R+I N° Lexbase : A5045HN8 à la suite de CEDH, 14 octobre 2020, Req. 1466/07, Brusco c/ France N° Lexbase : A7451GBL.

[78] M. Audibert, La conservation et l’accès aux métadonnées dans le cadre des enquêtes judiciaires : vers un bouleversement dans la procédure pénale française ?, Lexbase Pénal, mars 2021, préc.

newsid:482356