Cass. crim., Conclusions, 12-07-2022, n° 21-83.820
A84892RT
Référence
1
AVIS DE MR PETIPREZ, AVOVAT GÉNÉRAL
Arrêt n° 771 du 12 juillet 2022 – Chambre criminelle Pourvoi n° 21-83.820 Décision attaquée : Cour d'appel de Fort-de-France du 8 juin 2021 M. [F] [U] C/
Une information a été ouverte le 26 avril 2018 au tribunal judiciaire de Fort-deFrance, des chefs de trafic de stupéfiants et association de malfaiteurs, à la suite de l'interception par la marine nationale, le 22 avril 2018, d'un bateau suspect avec deux individus à bord, qui faisait route vers la Martinique, transportant 78,5 kg de cocaïne. Il est apparu que ce transport était l'œuvre d'un réseau de trafiquants de stupéfiants fortement cloisonné, disposant en Martinique d'importants moyens logistiques et du concours de membres affectés à des tâches précises. Des embarcations rapides étaient utilisées pour rejoindre en haute mer des navires venant du Venezuela et ramener à terre des quantités importantes de produits stupéfiants. L'enquête s'est orientée vers M. [V] [U], suspecté d'être l'organisateur de ce trafic. Les investigations en matière de téléphonie ont mis en évidence l'utilisation de lignes mobiles dédiées, utilisées par M. [U] et son frère [F] pour communiquer entre eux, les interceptions de communications laissant supposer que ce dernier avait pris le relais de son frère, en fuite à [Localité 1], afin de gérer des transactions portant sur des quantités importantes de stupéfiants.
M. [F] [U] a été mis en examen des chefs d'importation et exportation de stupéfiants en bande organisée, autres infractions à la législation sur les stupéfiants et association de malfaiteurs, la saisine du juge d'instruction ayant été par ailleurs étendue aux faits de blanchiment de trafic de stupéfiants. L'intéressé a saisi la chambre de l'instruction d'une requête en annulation des pièces de la procédure, qui a été rejetée par arrêt du 8 juin 2021. C'est l'arrêt attaqué Analyse succincte des moyens Trois moyens de cassation sont proposés pour M. [F] [U]. Le premier moyen est pris de la violation des articles 80 et 152 du code de procédure pénale. La première branche fait valoir que, postérieurement au réquisitoire introductif, l'enquête s'est étendue à de nouvelles infractions d'importation de stupéfiants dont le juge d'instruction n'était pas saisi, donnant lieu à des actes coercitifs et que la chambre de l'instruction n'a pas justifié sa décision, à défaut d'expliquer en quoi ces actes ont été mis en œuvre régulièrement pour établir les infractions criminelles et délictuelles entrant dans la saisine du magistrat instructeur et dont ils étaient strictement le prolongement. Il est soutenu, dans deux autres branches, que les faits de trafic de stupéfiants et de blanchiment reprochés à M. [U], commis entre le 7 février 2019 et le 3 avril 2020, ont donné lieu à des actes coercitifs tels que perquisition, placement en garde à vue et écoutes téléphoniques alors que le magistrat instructeur n'en était pas encore saisi et qu'en jugeant que ces faits se situaient dans le prolongement de ceux commis jusqu'au 7 février 2019, quand elle constatait par ailleurs que l'intéressé avait pris le relais de son frère dans le trafic de stupéfiants et alors que le blanchiment n'était pas visé parmi les faits dont le magistrat instructeur était saisi, la chambre de l'instruction a violé les articles 80 et 152 du code de procédure pénale. Le deuxième moyen critique l'arrêt en ce qu'il a rejeté la requête en annulation des procès-verbaux d'audition de M. [U] en garde à vue. Ayant admis que la notification au gardé à vue des faits reprochés n'était que partielle, la chambre de l'instruction ne pouvait pas estimer qu'il n'en était résulté aucune atteinte à ses intérêts sans rechercher si le fait de l'interroger sur les interceptions portant sur une ligne téléphonique dont il niait être le titulaire pour l'amener à reconnaître que la voix enregistrée était la sienne pouvait être de nature à l'incriminer. Le troisième moyen fait grief à l'arrêt attaqué d'avoir, en rejetant la requête de M. [U] tendant à prononcer la nullité des réquisitions des enquêteurs portant sur les données de trafic et de localisation de la téléphonie et des actes d'exploitation de ces données, méconnu le droit de l'Union européenne en matière de conservation des données de connexion et d'accès des enquêteurs à ces données.
3 Il est soutenu, dans une première branche, qu'en considérant, pour rejeter le moyen de nullité, que le trafic de stupéfiants entrait dans la catégorie des infractions graves justifiant un stockage massif et indifférencié des données de trafic et de localisation, quand les dispositions légales et réglementaires imposant cette conservation n'ont pas précisé les infractions justifiant une obligation de conservation, ni les catégories de données, ni les personnes concernées, ni les autorités habilitées à définir les cas dans lesquels ce stockage s'impose, la chambre de l'instruction a méconnu l'article 15 de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l'article 52 de la Charte des droits fondamentaux de l'Union européenne et l'article 88-1 de la Constitution. La deuxième branche reprend le même grief, cette fois au visa de l'article 8 § 2 de la Convention européenne des droits de l'homme, en ce que le législateur n'a pas défini les catégories d'infractions graves justifiant une ingérence dans le droit au respect de la vie privée ni l'autorité habilitée à se prononcer sur l'obligation de conservation des données. Les deux autres branches concernent plus particulièrement l'accès par les enquêteurs agissant sur commission rogatoire aux données de connexion. La troisième branche soutient que les données de trafic et de localisation ne peuvent être exploitées que pour la fin qui a autorisé leur conservation et que les réquisitions aux fins de recherche d'un trafic de stupéfiants sans lien avec la recherche des infractions en matière de terrorisme ne répondent pas aux conditions du droit de l'Union européenne. La quatrième branche fait valoir que la chambre de l'instruction, en s'abstenant de répondre au moyen de nullité tiré de l'accès par les enquêteurs aux données de trafic et de localisation, sans autorisation préalable d'une juridiction ou d'une autorité indépendante, aurait privé sa décision de base légale.
Discussion Sur les deux premiers moyens 1°) Etendue de la saisine du juge d'instruction et problématique propre au trafic de stupéfiants Il résulte des dispositions de l'alinéa 3 de l'article 80 du Code de procédure pénale que « lorsque des faits, non visés au réquisitoire, sont portés à la connaissance du juge d'instruction, celui-ci doit immédiatement communiquer au procureur de la République les plaintes ou les procès-verbaux qui les constatent ». Lorsque le magistrat instructeur acquiert la connaissance de faits nouveaux, l'article 80 ne lui interdit pas, avant toute communication au procureur de la république, d'en consigner la substance dans un procès-verbal et, le cas échéant, d'effectuer d'urgence des vérifications sommaires pour en apprécier la vraisemblance. Mais il
ne peut, sans excéder ses pouvoirs, procéder à des actes qui, présentant un caractère coercitif, exigent la mise en mouvement préalable de l'action publique 1.
1
Crim. 6 février 1996, n° 95-84.041, Bull. n° 60
5 De même, les officiers de police judiciaire qui, à l'occasion de l'exécution d'une commission rogatoire, acquièrent la connaissance de faits nouveaux, peuvent, avant toute communication au juge d'instruction des procès-verbaux qui les constatent, effectuer d'urgence les vérifications sommaires qui s'imposent pour en apprécier la vraisemblance, dès lors qu'elles ne présentent pas un caractère coercitif exigeant la mise en mouvement préalable de l'action publique 2. Si en règle générale l'application de ces règles ne soulève pas de difficultés, il existe une problématique propre au trafic de stupéfiants. Saisi d'une affaire de stupéfiants, le juge d'instruction est censé instruire sur des faits passés. Mais par hypothèse un trafic de stupéfiants se poursuit en général dans le temps, ce qui entraîne de nombreuses difficultés concernant par exemple la régularité de la garde à vue postérieure au réquisitoire introductif ou encore la saisie de nouveaux produits 3. Comme le soulignait il y a quelques années le doyen Gilles Straehli 4, « en matière d'infractions à la législation sur les stupéfiants, la délimitation de la frontière entre les faits dont est saisi le juge d'instruction et les faits nouveaux est une question récurrente. [...] Il s'agit en effet d'infractions instantanées, la notion de “trafic” ne suffisant pas à faire de l'importation régulière de stupéfiants une infraction continue. En revanche, le délit d'association de malfaiteurs est une infraction continue et, comme en l'espèce, ce délit est fréquemment visé dans les réquisitoires introductifs portant sur des trafics de stupéfiants d'une certaine importance. Non moins récurrente est la question de la détermination du moment où, en présence de faits nouveaux, le procureur de la République doit obligatoirement en être saisi sous peine que les investigations ultérieures des enquêteurs ne deviennent irrégulières. Il est clair est que des moyens coercitifs ne peuvent être mis en oeuvre pour établir ces faits. Mais, dans le même temps, c'est le plus souvent lors de la mise en oeuvre de moyens coercitifs destinés à établir la preuve des infractions dont est initialement saisi le juge d'instruction que, concomitamment, est rapportée la preuve des nouveaux délits. Il en va particulièrement ainsi du délit d'association de malfaiteurs qui se caractérise par les actes préparatoires d'infractions envisagées par les intéressés ». La chambre criminelle, faisant preuve de pragmatisme, s'est référée à une action continue, autrement dit à un trafic passé mais qui se poursuit pour admettre dans un premier temps la validité de la saisie pratiquée sur commission rogatoire de produits stupéfiants, dans le cadre d'infractions à la législation sur les stupéfiants postérieures au dernier réquisitoire. 2
Crim. 1er février 2011, n° 10-83.523, Bull. n° 15
3
Voir « De l'art de naviguer à vue : la saisine du juge d'instruction et le trafic de stupéfiants », Etude par Christian Guéry, Droit pénal n° 4, Avril 2008, étude 6 4
Rapport sous Crim. 14 janvier 2014, n° 13-84.909, Bull. n° 8
Ainsi, elle a cassé, au visa de l'article 593 du code de procédure pénale, un arrêt qui avait accueilli un moyen d'annulation d'une interpellation d'un individu dans un aéroport, au retour d'un voyage à l'étranger et d'une saisie de produits stupéfiants qu'il détenait dans sa valise, au motif que cette dernière importation n'était pas comprise dans la saisine du juge d'instruction, alors que les pièces jointes au réquisitoire introductif faisaient mention de faits déjà commis mais révélaient aussi « des éléments précis et concordants sur sa continuité ayant abouti, après ouverture de l'information, à l'interpellation et à la saisie de drogue précitées » 5. Cette jurisprudence a été étendue au placement en garde à vue. La chambre criminelle a approuvé une chambre de l'instruction d'avoir rejeté les moyens de nullité pris d'une violation, par les officiers de police judiciaire agissant sur commissions rogatoires, des limites de la saisine initiale du juge d'instruction, tant par le recours à des moyens coercitifs pour établir des faits nouveaux d'importation de stupéfiants, que dans les auditions des personnes gardées à vue, portant sur ces mêmes faits, en l'état de motifs dont il se déduisait « que, d'une part, les moyens coercitifs à l'occasion desquels étaient apparus les indices de la commission de faits nouveaux avaient été mis en oeuvre régulièrement pour établir les délits dont le juge d'instruction était saisi et dont ils étaient le prolongement, que, d'autre part, les officiers de police judiciaire pouvaient, lors de l'audition des personnes placées en garde à vue pour ces mêmes délits, effectuer des vérifications sommaires sur les faits nouveaux qu'ils avaient constatés, avant de transmettre les procès-verbaux les relatant au juge mandant » 6. Le même raisonnement a été généralisé à tous les moyens coercitifs tels que les écoutes téléphoniques et les perquisitions.
5
Crim. 31 mai 2007, n° 07-81.318
6
Crim. 14 janvier 2014, n° 13-84.909, Bull. n° 8
7 Un juge d'instruction, saisi d'une information ouverte des chefs d'infractions à la législation sur les stupéfiants en bande organisée et blanchiment, à la suite de la découverte d'un trafic de cocaïne entre la Guadeloupe et la métropole, avait ordonné une interception de la ligne téléphonique d'une personne identifiée à partir de la surveillance de la ligne téléphonique d'un mis en cause et qui se préparait à commettre de nouveaux faits. La chambre criminelle a approuvé la chambre de l'instruction qui pour rejeter le moyen de nullité pris de la violation des limites de la saisine initiale du juge d'instruction par le recours à une interception téléphonique afin d'établir des faits nouveaux de commerce illicite de produits stupéfiants s'était prononcée par des motifs dont il résultait « que les interceptions téléphoniques ayant révélé les indices de la commission de faits nouveaux avaient été mis en oeuvre régulièrement pour établir l'existence de délits entrant dans la saisine initiale du juge d'instruction des chefs de direction et d'organisation d'un groupement ayant pour objet une activité illicite liée aux stupéfiants et d'importation de ces produits en bande organisée, dont ils étaient le prolongement » 7. A propos de la délivrance par un juge d'instruction d'une autorisation de perquisition de nuit, se fondant sur une opération d'importation de stupéfiants sur le point de se commettre, la chambre criminelle a jugé « qu'en l'état d'énonciations, d'où il se déduit que les moyens coercitifs à l'occasion desquels étaient apparus les indices de la commission de faits nouveaux avaient été mis en oeuvre régulièrement pour établir les délits dont le juge d'instruction était saisi et dont ils étaient le prolongement, la chambre de l'instruction a justifié sa décision » 8. Des décisions plus récentes reprennent une formulation identique en confirmant la possibilité pour le juge d'instruction d'enquêter sur des faits nouveaux postérieurs au dernier réquisitoire et de mettre en oeuvre des moyens coercitifs sans la nécessité de recourir à des réquisitions supplétives. Ainsi est approuvé l'arrêt qui écarte les moyens de nullité pris d'une violation, par le juge d'instruction, des limites de sa saisine par l'emploi de moyens coercitifs pour établir des faits nouveaux, dont il résulte que « les moyens coercitifs, à l'occasion desquels sont apparus les indices de commission de faits nouveaux, avaient été mis en oeuvre régulièrement pour établir les délits d'infractions à la législation sur les stupéfiants, d'association de malfaiteurs et de non-justification de ressources dont le juge d'instruction était saisi, en vue d'identifier les auteurs de l'approvisionnement du réseau et de la chaîne d'écoulement du trafic de cocaïne à partir du renseignement initial recueilli par les services de police dont les faits d'infractions à la législation sur les
7 8
Crim. 6 mai 2014, n° 13-88.597
Crim. 21 février 2017, n° 16-85.542, cité dans le mémoire ampliatif. Voir également Crim. 6 décembre 2016, n° 16-84.631, qui énonce la même règle.
stupéfiants et d'association de malfaiteurs, postérieurs aux réquisitoires introductif du... et supplétif du... étaient le prolongement » 9.
9
Crim. 10 avril 2018, n° 17-85.301, Bull. n° 69, cité dans le mémoire ampliatif
9 Comme le fait remarquer un juge d'instruction, « la possibilité, voire l'obligation, pour le juge d'instruction d'instruire y compris sur des faits ‟nouveaux” révélés par les investigations, même coercitives, pour être postérieurs au dernier réquisitoire impose toutefois le respect d'une condition : l'identité avec le trafic dont le juge d'instruction est initialement saisi. Cette conception élargie de la saisine in rem du juge d'instruction suppose de bien définir les faits dont le juge d'instruction est saisi par réquisitoire introductif et les cas échéant les réquisitoires supplétifs quant aux personnes concernées, aux produits concernés, malgré la souplesse de la jurisprudence et quant au type de faits concernés (trafic, importation...) » 10. A l'occasion d'une affaire récente, la chambre criminelle a estimé que cette condition de rattachement des investigations à la saisine initiale du magistrat instructeur était remplie dès lors que « les moyens coercitifs, à l'occasion desquels sont progressivement apparus des indices de commission de faits nouveaux, avaient été mis en oeuvre régulièrement pour établir les délits dont le juge d'instruction était saisi » 11. Dans le cas présent la chambre de l'instruction rappelle que l'information a été ouverte le 26 avril 2018 des chefs d'importation-exportation de stupéfiants en bande organisée, infractions à la législation sur les stupéfiants et association de malfaiteurs, faits commis entre le 1er janvier et le 22 avril 2018, faisant suite de la saisie de plus de 78 kg de cocaïne et à l'interpellation d'un ressortissant vénézuélien, que par voie de réquisitoires supplétifs datés des 7 février et 20 juin 2019 puis du 6 novembre 2020, l'information a été étendue aux nouveaux faits commis jusqu'au 17 juin 2019 et à ceux de blanchiment commis entre le 7 février 2019 et le 3 avril 2020. Elle considère que « le réquisitoire introductif visant un trafic de stupéfiants, l'importation et l'exportation en bande organisée étant spécifiquement visées, tout comme l'association de malfaiteurs, il appartenait au magistrat instructeur d'investiguer sur tout le trafic, sur l'organisation mise en place, d'en déterminer l'ampleur, d'en identifier les auteurs, le rôle de chacun (commanditaires, fournisseurs, passeurs, logisticiens), les filières d'approvisionnement ». Elle estime dès lors que « les moyens coercitifs à l'occasion desquels sont apparus les indices de la commission de faits nouveaux ont été mis en oeuvre régulièrement pour établir les infractions criminelles et délictuelles dont le magistrat instructeur était saisi et dont ils étaient strictement le prolongement » et que « le fait que ces mesures aient permis de révéler la poursuite du trafic auquel [V] [S] [T] avait participé et conduit à l'identification de [F] [U] qui était impliqué dans le trafic dont le juge d'instruction était saisi ne constitue pas une cause de nullité de ces mesures et ce d'autant plus que le
10
Voir Droit pénal n° 3, Mars 2020, étude 11 « Pour une fin de la navigation à vue du juge d'instruction en matière de trafic de stupéfiants ? » Etude par Thomas Meindl. 11
Crim. 7 Janvier 2020, n° 19-83.606
magistrat instructeur a informé à plusieurs reprises le procureur de la République de la poursuite des faits dont il a ensuite été saisi par des réquisitoires supplétifs ».
La chambre de l'instruction a justifié sa décision sans insuffisance ni contradiction en constatant la régularité des actes coercitifs mis en œuvre pour enquêter sur les faits nouveaux révélés par les investigations, dès lors que ces actes tendaient à établir le trafic unique et continu dont le juge d'instruction était saisi, qui avait débuté en amont du dernier réquisitoire et se poursuivait après la date de celui-ci. Ajoutons que le fait que, selon l'arrêt attaqué, M. [F] [U] ait été chargé, en l'absence de son frère, de gérer son trafic n'implique nullement la commission de délits distincts mais au contraire d'actes se situant dans la continuité de ceux faisant l'objet de l'information. Enfin, contrairement à ce que soutient le demandeur, le blanchiment entrait dans le cadre de la saisine du magistrat instructeur. Le premier moyen n'est pas fondé et pourrait faire l'objet d'une décision de nonadmission partielle du pourvoi, comme le suggère Mme la conseillère rapporteure. 2°) Caractère incomplet de l'information sur les infractions lors du placement en garde à vue L'article 63-1 2° du code de procédure pénale impose de donner connaissance à la personne placée en garde à vue « de la qualification, de la date et du lieu présumés de l'infraction qu'elle est soupçonnée d'avoir commise ou tenté de commettre ». La chambre criminelle juge que l'omission, dans la notification à la personne gardée à vue, prévue à l'article 63-1 du code de procédure pénale, d'une infraction qu'elle est soupçonnée d'avoir commise ou tenté de commettre ne peut entraîner le prononcé d'une nullité que s'il en est résulté pour elle une atteinte effective à ses intérêts. Une telle atteinte ne se trouve pas caractérisée lorsque, en répondant aux questions des enquêteurs, le demandeur n'a tenu aucun propos par lequel il s'est incriminé 12. En l'espèce, le demandeur faisait valoir dans sa requête en nullité qu'au moment de son placement en garde à vue les enquêteurs l'avaient informé qu'il était soupçonné d'avoir commis, entre le 1er janvier 2018 et le 17 juin 2019 (le procès-verbal fait mention par erreur de la date du 17 juin 2020), les infractions d'exportation et importation non autorisées de stupéfiants, en bande organisée, d'acquisition, transport, détention, offre ou cession de stupéfiants, d'association de malfaiteurs, ainsi que les infractions à la législation sur les armes. Il se plaignait d'avoir été interrogé sur le résultat des investigations excédant la saisine du juge d'instruction, 12
Crim. 2 novembre 2016, n° 16-81.716, Bull. n° 281, Crim. 15 octobre 2019, n° 19-82.380
11 postérieurement à la période notifiée et d'avoir fait des déclarations incriminantes en reconnaissant sa voix sur deux échantillons captés lors des interceptions judiciaires. La chambre de l'instruction, qui n'était pas tenue de suivre le requérant dans le détail de son argumentation, relève que celui-ci a été effectivement interrogé par les enquêteurs sur des faits postérieurs à ceux dont le magistrat instructeur était saisi et que « les questions ainsi posées dans le cadre de sa garde à vue avaient pour objectif de matérialiser sa participation au trafic initial, à cerner sa participation et à identifier d'autres mis en cause. Au surplus, ce dernier ne s'est pas auto-incriminé en ce qu'il a nié toute participation aux infractions dont est saisi le magistrat instructeur ». On peut ajouter que selon l'arrêt attaqué (page 18), M. [F] [U] a tout au plus admis au cours de l'une des ses auditions en garde à vue que la voix de l'usager d'une ligne mobile de [Localité 3], en contact avec son frère pour la gestion du trafic de stupéfiants, « ressemblait à la sienne » avant de nier finalement être l'utilisateur de cette ligne, ce qui ne peut suffire à constituer des déclarations incriminantes. Dès lors, le second moyen de cassation ne peut sérieusement prospérer et pourrait également faire l'objet d'une décision de non-admission. Sur le troisième moyen 1°) La directive 2002/58/CE et son interprétation par la CJUE La directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002, “vie privée et communications électroniques”, énonce dans son préambule qu'elle vise à respecter les droits fondamentaux et à garantir le plein respect des droits exposés aux articles 7 et 8 de la charte des droits fondamentaux de l'Union européenne 13. L'article 15 §1 de cette directive prévoit que les Etats membres peuvent adopter une mesure dérogeant au principe de confidentialité des communications et des données relatives au trafic y afférentes « lorsqu'une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d'une société démocratique, pour sauvegarder la sécurité nationale — c'est-à-dire la sûreté de l'État — la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d'infractions pénales ou d'utilisations non autorisées du système de communications électroniques ». Concernant la préservation des données, l'article 15 § 1 prescrit que leur conservation n'ait lieu que « pendant une durée limitée lorsque cela est justifié par un des motifs énoncés dans le présent paragraphe ». La portée de cet article a été précisée par la Cour de justice de l'Union européenne dans sa décision préjudicielle Tele2 Sverige (2016), puis dans les arrêts Minesterio 13
Ces articles affirment le droit de toute personne au respect de sa vie privée et familale, de son domicile et de ses communications (art. 7), ainsi que le droit à la protection de ses données à caractère personnel (art. 8).
Fiscal (2018) et, plus récemment, Quadrature du net (2020), Prokuuratur (2021) et Commissioner of An Garda Siochana (2022). L'arrêt Tele 2 Sverige 14 Selon la CJUE, le droit de l'Union européenne « s'oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l'ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ». L'article 15, paragraphe 1 de la directive 2002/58/CE du 12 juillet 2002, lu à la lumière des articles 7, 8 , 11 et 52 de la Charte des droits fondamentaux, fait également obstacle à une réglementation qui donne aux autorités nationales un accès aux données conservées sans le limiter « aux seules fins de lutte contre la criminalité grave ». la CJUE reprend, pour l'essentiel, le raisonnement tenu dans l'arrêt Digital Rights 15 quant aux risques pour la vie privée d'une telle conservation généralisée des données de connexion. Les Etats membres ne peuvent prévoir qu'une conservation « ciblée » des données à condition qu'elle soit, « en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue, limitée au strict nécessaire ». Elle subordonne enfin l'accès des autorités nationales compétentes aux données conservées, sauf cas d'urgence « à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante ». L'arrêt Minesterio Fiscal 16 Dans un arrêt du 2 octobre 2018, la Cour de Justice de l'Union Européenne a reconnu que les infractions pénales sans particulière gravité peuvent justifier un accès aux données personnelles conservées par les fournisseurs de services de communications électroniques, lorsqu'un tel accès ne porte pas une atteinte injustifiée à la vie privée. En l'occurrence, elle considère que le recueil des noms et coordonnées des titulaires des cartes SIM insérées dans un téléphone volé, ne constitue pas une atteinte grave à la vie privée. Comme le rappelle l'avocat général dans ses conclusions, faisant référence à l'arrêt Tele2 , « c'est uniquement lorsque l'ingérence subie est d'une particulière gravité [...] 14
CJUE, 11 grande chambre, 21 décembre 2016, Tele 2 Sverige AB c. Post-och telestyrelsen, Secretary of State for the Home Department c. T. Watson et a., affaires jointes C-203/15 et C698/15 15
CJUE, grande chambre, 8 avril 2014, n° C-293/12, Digital Rights Ireland Ltd
16
CJUE, grande chambre, 2 octobre 2018, n° C-207/16, Ministerio Fiscal
13 que les infractions susceptibles de justifier une telle ingérence doivent elles-mêmes être d'une particulière gravité ». En d'autres termes, c'est le critère de la gravité de l'ingérence qui détermine les conditions d'accès par les autorités publiques aux données conservées par les fournisseurs de services de communications électroniques, seules les infractions graves pouvant légitimer une ingérence grave. L'arrêt Quadrature du net 17 La CJUE était saisi de questions préjudicielles transmises par le Conseil d'Etat 18 et par la Cour constitutionnelle belge 19. La Cour réitère le principe dégagé dans sa jurisprudence antérieure d'interdiction d'une conservation généralisée des données de connexion mais y apporte des exceptions. Elle considère que l'importance de l'objectif de sauvegarde de la sécurité nationale peut justifier des mesures comportant des ingérences dans les droits fondamentaux plus graves que celles que pourraient justifier les autres objectifs que sont la lutte contre la criminalité, même grave, ainsi que la sauvegarde de la sécurité publique (§ 136). Ainsi, l'article 15 paragraphe 1 de la directive 2002/58 « ne s'oppose pas, en principe, à une mesure législative qui autorise les autorités compétentes à enjoindre aux fournisseurs de services de communications électroniques de procéder à la conservation des données relatives au trafic et des données de localisation de l'ensemble des utilisateurs des moyens de communications électroniques pendant une période limitée, dès lors qu'il existe des circonstances suffisamment concrètes permettant de considérer que l'État membre concerné fait face à une menace grave... pour la sécurité nationale qui s'avère réelle et actuelle ou prévisible ». La Cour ajoute que la décision de recourir à une telle mesure doit pouvoir faire l'objet d'un contrôle effectif par une juridiction ou une entité administrative indépendante (§ 139). S'agissant de l'objectif de prévention, de recherche, de détection et de poursuite d'infractions pénales, conformément au principe de proportionnalité, seules la lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique sont de nature à justifier des ingérences graves dans les droits 17
CJUE, gr.ch., 6 oct. 2020, aff. jtes C-511/18, La Quadrature du Net e.a., aff. C-512/18, French Data Network e.a., aff. C-520/18, Ordre des barreaux francophones et germanophones. 18
Arrêts du 26 juillet 2018 (Quadrature du Net et French Data Network)
19
Demande présentée le 2 août 2018
fondamentaux consacrés aux articles 7 et 8 de la Charte, telles que celles qu'implique la conservation des données relatives au trafic et des données de localisation (§ 140). C'est pourquoi « une réglementation nationale prévoyant la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, en vue de lutter contre la criminalité grave, excède les limites du strict nécessaire et ne saurait être considérée comme étant justifiée dans une société démocratique » (§ 141). Reprenant les mêmes considérations que dans l'arrêt Tele 2, la Cour défend l'idée d'une « conservation ciblée » des données de connexion, en fonction des catégories de personnes concernées, préalablement identifiées comme présentant une menace pour la sécurité publique ou nationale, ou de critères géographiques (zones exposées à la criminalité grave, lieux stratégiques tels que gares, aéroports et péages routiers) (§ 148 à 150). En ce qui concerne la conservation préventive des adresses IP, la Cour estime que seule la lutte contre la criminalité grave et la prévention des menaces graves contre la sécurité publique sont de nature, à l'instar de la sauvegarde de la sécurité nationale, à justifier l'ingérence dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte que comporte cette conservation (§ 151). Elle confirme par ailleurs sa jurisprudence Ministerio Fiscal, en estimant que la conservation des données relatives à l'identité des utilisateurs des moyens de communications électroniques ne constitue pas une ingérence grave et qu'il peut être imposé aux fournisseurs d'accès de les conserver, sans condition de délai, aux fins de prévention, recherche, détection et poursuite d'infractions pénales (§ 157 à 159). La Cour admet néanmoins que durant la période où les données de connexion sont traitées et stockés par les fournisseurs d'accès, peuvent se présenter des situations dans lesquelles il importe de conserver ces données aux fins d'élucidation d'infractions pénales graves déjà constatées ou dont l'existence peut être raisonnablement soupçonnée (§ 160 et 161). Dans de telles situations, « il est loisible aux États membres... de prévoir, dans une législation adoptée en vertu de l'article 15, paragraphe 1, de la directive 2002/58, la possibilité, au moyen d'une décision de l'autorité compétente soumise à un contrôle juridictionnel effectif, d'enjoindre aux fournisseurs de services de communications électroniques de procéder, pour une durée déterminée, à la conservation rapide des données relatives au trafic et des données de localisation dont ils disposent » (§ 161). La Cour précise que seule la lutte contre la criminalité grave et, a fortiori, la sauvegarde de la sécurité nationale sont de nature à justifier une telle conservation rapide et que cette conservation, décidée par l'autorité compétente soumise à un contrôle juridictionnel effectif, ne doit porter que sur les seules données utiles à l'élucidation de l'infraction grave ou de l'atteinte à la sécurité nationale concernée, sans être limitée aux données des personnes soupçonnées (§ 163 à 165).
15 La Cour précise enfin le régime des preuves obtenues en violation du droit de l'Union : L'article 15 de la directive, interprété à la lumière du principe d'effectivité, impose au juge national d'écarter des informations ou éléments de preuve obtenus par une conservation généralisée et indifférenciée incompatible avec le droit de l'Union, dans le cadre d'une procédure pénale ouverte à l'encontre de personnes soupçonnées d'actes de criminalité, si les personnes soupçonnées ne sont pas en mesure de prendre efficacement position sur ces éléments de preuve, provenant d'un domaine échappant à la connaissance des juges et qui sont susceptibles d'influencer de manière prépondérante l'appréciation des faits (§ 227) 20. Commentant cet arrêt, le professeur Dominique Berlin constate que « compte tenu de l'importance des objectifs poursuivis par certaines législations nationales en la matière, notamment la lutte contre la criminalité grave et la préservation de la sécurité publique, la Cour accepte un infléchissement de sa jurisprudence pour légitimer, sous condition, ces législations nationales afin de mieux en encadrer l'exercice. Parmi ces conditions, dont le non-respect est susceptible d'entraîner l'inapplicabilité, on notera les objectifs seuls susceptibles de légitimer les atteintes aux droits garantis, le principe de proportionnalité et le nécessaire contrôle administratif et/ou judiciaire des mesures d'application ». S'agissant de l'impact de cet arrêt, le même auteur relève que « la victime d'une atteinte à ses droits en la matière devra donc désormais se concentrer sur la démonstration du caractère disproportionné des mesures dont elle a dû subir les effets. D'autant plus que le caractère trop général de celles-ci fragilisera leur licéité. Le contrôle de la cohérence des moyens utilisés au regard de l'objectif légitime poursuivi ajoute un autre angle d'attaque devant le juge. À l'inverse les États retrouvent une marge de manoeuvre nécessaire à la lutte contre le terrorisme » 21.
20
Les conditions posées sont cumulatives.
Dominique Berlin « La Cour de justice revient sur l'interdiction absolue des mesures générales de conservation et de traitement des données à caractère personnel, pour finalement en dresser le régime dérogatoire », La Semaine du droit, Ed. Générale - N° 48 - 23 novembre 2020 21
Etant observé que la CJUE refuse expressément au juge national la faculté de moduler les effets dans le temps de la déclaration de non-conformité au droit de l'Union, M. Galland s'interroge sur ce qu'il advient « de l'admissibilité et de l'exploitation, dans des procédures nationales ouvertes, d'informations ou d'éléments de preuves de téléphonie conservés dans des conditions déclarées incompatibles avec le droit de l'Union ». Il note que « de manière très explicite, le juge européen refuse toute modulation des effets dans le temps de sa décision. En revanche, il reconnaît la possibilité au juge national de ne pas vicier l'entière procédure en appréciant in concreto si l'admissibilité et l'exploitation des éléments de preuve obtenues en contravention au droit de l'Union sont néanmoins rendues envisageables par un exercice effectif des droits garantissant un procès équitable avant tout jugement définitif [...] À cette occasion et en vertu du principe d'équivalence, le juge national saisi au fond de la validité de la preuve de téléphonie devra être en mesure de l'écarter ou de l'annuler s'il considère que, en appliquant la norme nationale, le suspect ne bénéficiera pas d'une protection analogue à celle conférée par l'état du droit de l'Union » 22. L'arrêt Quadrature du net n'offre aucune réponse immédiate aux questions liées à l'utilisation des données de connexion en matière de lutte contre les abus de marché. Dans le cadre de questions préjudicielles transmises par la chambre criminelle de la Cour de cassation 23, la CJUE est invitée à se prononcer sur l'articulation entre la directive vie privée et le droit dérivé du règlement 596/2014/UE appelant les Etats membres à mettre en place des dispositifs de conservation de données de connexion permettant aux autorités administratives d'apporter la preuve d'opérations d'initiés ou de manipulations de marché et d'en identifier les auteurs. Cette demande est actuellement pendante devant la Cour 24. L'arrêt Prokuratuur 25 Sur une demande de question préjudicielle introduite par la Cour suprême d'Estonie, la cour était appelée notamment à se prononcer sur l'accès des autorités nationales compétentes aux données conservées. Elle juge « essentiel que l'accès des autorités nationales compétentes aux données conservées soit subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante » (§ 51) et que « l'exigence d'indépendance implique... que l'autorité chargée de ce contrôle préalable, d'une part, ne soit pas impliquée dans la conduite de l'enquête pénale en cause et, d'autre part, ait une position 22
Maxime Galland, « Le droit de l'Union applicable à la conservation des données de connexion », Bulletin Joly Bourse du 1er janvier 2021 - n°01 - page 16 23
Crim. 1er avril 2020, n° 19-80.908 et Crim. 1er avril 2020, n° 19-82.223
24
Affaires jointes C-339/20 et C-397/20
25
CJUE, gr. ch., 2 mars 2021, aff. C-746/18, H. K. c/ Prokuratuur
17 de neutralité vis-à-vis des parties à la procédure pénale. Tel n'est pas le cas d'un ministère public qui dirige la procédure d'enquête et exerce, le cas échéant, l'action publique » (§ 54 et 55). L'arrêt GD, Commissioner of An Garda Siochana 26 La Cour suprême d'Irlande a posé, le 25 mars 2020, la question de savoir si un régime général/universel de conservation des données, même assorti de restrictions strictes en matière de conservation et d'accès, est en soi, contraire aux dispositions de l'article 15 de la directive 2002/58/CE 1 , interprétées à la lumière de la Charte. La CJUE maintient entièrement sa jurisprudence Quadrature du Net selon laquelle la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation afférentes aux communications électroniques n'est autorisée qu'en cas de menace grave pour la sécurité nationale, en apportant un certain nombre de précisions. Ainsi, elle rejette l'argumentation selon laquelle la criminalité particulièrement grave pourrait être assimilée à une menace pour la sécurité nationale. Elle estime, en effet, qu' « une telle menace se distingue..., par sa nature, sa gravité et le caractère spécifique des circonstances qui la constituent, du risque général et permanent qu'est celui de survenance de tensions ou de troubles, même graves, à la sécurité publique ou celui d'infractions pénales graves » (§ 62). En revanche, elle entre plus explicitement dans le détail des mesures législatives que peuvent adopter les Etats, afin de lutter contre la criminalité grave et de prévenir des menaces graves contre la sécurité publique, dont elle indique qu'elles peuvent être combinées entre elles et doivent en tout état de cause respecter les exigences de nécessité et de proportionnalité par rapport à l'objectif poursuivi (§ 67, 92 et 93). En ce qui concerne la conservation généralisée et indifférenciée des données relatives à l'identité civile des utilisateurs de moyens de communications électroniques, la Cour indique que « ni cette directive [vie privée et communications électroniques] ni aucun autre acte du droit de l'Union ne s'opposent à une législation nationale, ayant pour objet la lutte contre la criminalité grave, en vertu de laquelle l'acquisition d'un moyen de communication électronique, tel qu'une carte SIM prépayée, est subordonnée à la vérification de documents officiels établissant l'identité de l'acheteur et à l'enregistrement, par le vendeur, des informations en résultant, le vendeur étant le cas échéant tenu de donner accès à ces informations aux autorités nationales compétentes » (§ 72). Les mesures de conservation ciblée peuvent quant à elle être prises sur des critères géographiques, tel que notamment le taux moyen de criminalité dans une zone 26
CJUE Gr. Ch. 5 avril 2022, aff. C-140/20, GD, Commissioner of An Garda Siochana (Chef de la police nationale d'Irlande)
déterminée ou le caractère sensible ou particulièrement fréquenté de certains lieux comme les infrastructures aéroportuaires, ferroviaires, portuaires, autoroutières etc. (§ 81) ou encore viser des personnes faisant l'objet de mesures de surveillance ou de condamnations inscrites au casier judiciaire (§ 78). S'agissant des mesures législatives prévoyant une conservation rapide des données de trafic et de localisation, la Cour précise que « la directive n'exige pas que l'injonction imposant une conservation rapide soit limitée à des suspects identifiés préalablement à une telle injonction » (§ 75). L'injonction de conservation rapide vise les données dont les opérateurs disposent encore pendant le temps nécessaire à leur traitement et leur stockage s'il est nécessaire de les conserver au delà des délais légaux d'effacement, aux fins d'élucidation d'infractions pénales graves ou d'atteintes à la sécurité nationale, qu'il s'agisse d'infractions ou d'atteintes déjà constatées ou pouvant être raisonnablement soupçonnées et sous réserve que la mesure soit limitée dans le temps et soumise à un contrôle juridictionnel effectif (§ 85). Reprenant le point 164 de l'arrêt Quadrature du Net, la Cour spécifie que « dans la mesure où la finalité d'une telle conservation rapide ne correspond plus à celles pour lesquelles les données ont été collectées et conservées initialement... les États membres doivent préciser, dans leur législation, la finalité pour laquelle la conservation rapide des données peut avoir lieu » et que seules la lutte contre la criminalité grave et, a fortiori, la sauvegarde de la sécurité nationale sont de nature à justifier l'ingérence dans les droits fondamentaux qu'est susceptible de comporter une telle conservation (§ 87). Une telle mesure peut être étendue à des personnes autres que celles soupçonnées, si elles peuvent contribuer à l'élucidation d'une infraction pénale grave ou d'une atteinte à la sécurité nationale, telles que les données de la victime de celle-ci ainsi que celles de son entourage social ou professionnel ou plus généralement des personnes avec lesquelles la victime a été en contact antérieurement à la survenance d'une menace grave pour la sécurité publique ou d'un acte de criminalité grave (§ 88). La conservation rapide peut être ordonnée « dès le premier stade de l'enquête portant sur une menace grave pour la sécurité publique ou sur un éventuel acte de criminalité grave, à savoir à partir du moment auquel ces autorités peuvent, selon les dispositions pertinentes du droit national, ouvrir une telle enquête » (§ 91). La Cour rejette également l'argumentation selon laquelle « les autorités nationales compétentes devraient pouvoir accéder, aux fins de la lutte contre la criminalité grave, aux données relatives au trafic et aux données de localisation qui ont été conservées de manière généralisée et indifférenciée, conformément à sa jurisprudence..., pour faire face à une menace grave pour la sécurité nationale qui s'avère réelle et actuelle ou prévisible ». En effet, cette argumentation fait dépendre cet accès de circonstances étrangères à l'objectif de lutte contre la criminalité grave. En outre, selon ladite argumentation, l'accès pourrait être justifié par un objectif d'une importance moindre que celui ayant justifié la conservation, à savoir la sauvegarde de la sécurité nationale, ce qui irait à
19 l'encontre de la hiérarchie des objectifs d'intérêt général dans le cadre de laquelle doit s'apprécier la proportionnalité d'une mesure de conservation. Par ailleurs, autoriser un tel accès risquerait de priver de tout effet utile l'interdiction de procéder à une conservation généralisée et indifférenciée aux fins de la lutte contre la criminalité grave (§ 96 à 100). S'agissant de l'accès des autorités nationales compétentes aux données conservées la Cour, confirmant sa jurisprudence ProKuratuur, impose qu'il soit subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante. Cette juridiction ou entité doit pouvoir assurer un juste équilibre entre les intérêts légitimes liés aux besoins de l'enquête dans le cadre de la lutte contre la criminalité et les droits fondamentaux au respect de la vie privée et à la protection des personnes concernées (§ 107). Elle précise que lorsque ce contrôle est effectué non par une juridiction, mais par une entité administrative indépendante, cette entité doit disposer d'un statut d'indépendance garantissant qu'elle ne soit pas impliquée dans la conduite de l'enquête pénale en cause et qu'elle ait une position de neutralité à l'égard des parties (§ 108). La Cour rappelle enfin que l'admissibilité des éléments de preuve obtenus au moyen d'une telle conservation relève, conformément au principe d'autonomie procédurale des États membres, du droit national, sous réserve du respect notamment des principes d'équivalence et d'effectivité (§ 128). Cette décision fait notamment ressortir les éléments suivants, utiles à l'examen du présent pourvoi : S'agissant de la conservation des données aux fins de lutte contre la criminalité grave, la CJUE admet la possibilité de recourir, sous certaines conditions, à une injonction faite aux opérateurs de procéder à la conservation dite ‟ rapide ” des données relatives au trafic et des données de localisation dont ils disposent. Ce mécanisme, sorte de ‟ gel des lieux numérique ”, concerne au premier chef les données techniques conservées dans un but commercial, comme le rappelle l'avocat général au point 46 de ses conclusions en indiquant que « s'agissant des données que les opérateurs stockent à des fins commerciales, la Cour, dans l'arrêt Quadrature du Net, les lie à l'objectif pour lequel elles ont été collectées et autorise uniquement leur éventuelle conservation rapide ». Mais en énonçant au paragraphe 87 de l'arrêt que les Etats membres doivent spécifier dans leur législation la finalité de cette conservation rapide, dès lors qu'elle ne correspond plus à « celles pour lesquelles les données ont été collectées et conservées initialement », la Cour admet nécessairement, comme elle l'avait déjà fait dans l'arrêt Quadrature du Net, que la collecte des données peut répondre à plusieurs objectifs et qu'ainsi toutes les données disponibles peuvent être temporairement gelées, qu'il s'agisse de celles recueillies à des fins commerciales ou pour faire face à un menace grave pour la sécurité nationale.
On voit mal, d'ailleurs, comment un tri pourrait être opéré dans les données stockées en fonction de la finalité pour laquelle elles ont été conservées initialement. Ajoutons que cette faculté de conservation rapide, subordonnée au respect de conditions matérielles et procédurales n'est pas en contradiction avec l'interdiction posée par la Cour au paragraphe 100 de l'arrêt d'accéder sans autre formalité, dans le cadre d'enquêtes et de poursuites pénales, aux données relatives au trafic et aux données de localisation qui ont été conservées de manière généralisée et indifférenciée à des fins de sauvegarde de la sécurité nationale. Il convient de consacrer quelques développements au mécanisme de conservation rapide des données, auquel se réfère la CJUE. La référence au mécanisme dit de « conservation rapide » La conservation dite « rapide » est un mécanisme autonome, issu de la Convention de Budapest du 23 novembre 2001 sur la cybercriminalité, ratifiée par la France, qui consiste à permettre aux autorités étatiques de requérir d'un opérateur le gel temporaire du traitement des données relatives à une personne. Plus précisément, l'article 16 de la Convention prévoit l'adoption par chaque partie d'une législation permettant d'imposer par voie d'injonction la conservation rapide de données informatiques stockées, y compris des donnés relatives au trafic, afin de permettre aux autorités compétentes d'obtenir leur divulgation. L'article 17 de la Convention instaure des obligations spécifiques concernant la conservation des données relatives au trafic qui peuvent faire l'objet d'une divulgation rapide aux fins d'identification des autres fournisseurs de services ayant participé à la transmission de communications spécifiées. 27 Le rapport explicatif de cette Convention indique, à propos de la conservation rapide de données stockées que « les mesures mentionnées dans les articles 16 et 17 s'appliquent aux données stockées qui ont déjà été collectées et archivées par les détenteurs de données, tels que les fournisseurs de services. Elles ne s'appliquent pas à la collecte en temps réel et à la conservation de futures données relatives au trafic ni à l'accès en temps réel au contenu des communications » (§ 149). Ces mesures « ne sont applicables que lorsque les données informatiques existent déjà et sont en cours de stockage » (§ 150).
Dans une approche globale de la notion de conservation rapide, le rapport distingue ensuite le ‟ gel ” des données de leur ‟ divulgation ” (§ 152), c'est à dire les deux étapes, consistant, pour la première, à ‟ fixer ” les données et, pour la seconde, à en prendre connaissance.
27
Rapport explicatif de la Convention sur la cybercriminalité, site du Conseil de l'Europe
21 Le rapport spécifie que l'article 16 de la Convention « vise à donner aux autorités nationales compétentes la possibilité d'ordonner ou d'obtenir par un moyen similaire la conservation rapide de données électroniques stockées spécifiées dans le cadre d'une enquête ou d'une procédure pénale spécifique » (§ 158). La Convention introduit une certaine souplesse puisque « la mention ‟ ordonner ou ... obtenir par un moyen similaire ” vise à autoriser la mise en oeuvre d'autres moyens juridiques de conservation que l'injonction judiciaire ou administrative ou une instruction (de la police ou du parquet, par exemple). Dans certains États, le droit de procédure ne prévoit pas d'injonctions de conservation; les données ne peuvent alors être conservées que par la voie d'opérations de perquisition et saisie ou d'une injonction de produire [...] Toutefois, il est recommandé aux États d'envisager d'instaurer des pouvoirs et procédures permettant d'ordonner effectivement au destinataire d'une injonction de conserver les données, car la rapidité de l'intervention de cette personne peut, dans certains cas, permettre d'appliquer plus rapidement les mesures de conservation » La Convention n'impose donc pas aux États de prévoir impérieusement dans le droit interne une phase de gel des données, elle leur conseille simplement d'y recourir dès lors qu'ils ne disposent d'aucun autre moyen juridique de le faire. Si le mécanisme de la conservation rapide est, en tant que tel, inconnu en droit interne, le code pénal, en imposant à tout un chacun de répondre aux réquisitions des autorités judiciaires instaure un pouvoir de réquisition qui peut être parfaitement assimilé à une injonction de conservation rapide. Ainsi le code de procédure pénale autorise de nombreuses réquisitions spécifiques et notamment celles des articles 60-2, 77-1-2, et 99-4 que l'on peut qualifier de ‟ réquisitions informatiques ". Celles-ci permettent aux enquêteurs de se faire transmettre les informations contenues dans un système informatique mais également de préserver le contenu des informations consultées par les utilisateurs d'un système informatique. L'article 60-2 alinéa 2 du code de procédure pénale prévoit en effet , depuis sa création par la loi n° 2004-204 du 9 mars 2004 que les opérateurs de télécommunications peuvent être requis « de prendre, sans délai, toutes mesures propres à assurer la préservation, pour une durée ne pouvant excéder un an, du contenu des informations consultées par les personnes utilisatrices des services fournis par les opérateurs ». La procédure pénale française offre donc une double possibilité : - La réquisition aux fins de transmission directe et immédiate des données de connexion; - la réquisition aux fins de ‟ préservation ” des données de connexion qui est celle qui se rapproche le plus de la conservation rapide. Eléments de droit comparé
En Belgique, un projet de loi déposé par le gouvernement 28 vise à rétablir un cadre juridique conforme à la jurisprudence en matière de conservation des “métadonnées” ou “données de trafic et de localisation” par les opérateurs. Une conservation généralisée et indifférenciée des données est prévue en cas de menace grave, réelle et actuelle ou prévisible pour la sécurité nationale. Le projet de loi envisage par ailleurs une conservation ciblée sur des personnes, sur base géographique, en fonction des statistiques de criminalité grave, ou encore fondée sur des lieux stratégiques. Ces mesures viennent compléter d'autres dispositifs, le « quick freeze » consistant à demander une conservation rapide de données existantes, qui figure déjà dans la procédure pénale belge, par transposition de la Convention de Budapest, et le « future freeze », autrement dit un gel en temps réel des données générées ou traitées par les opérateurs qui serait ordonné à l'égard d'une personne ou d'un groupe de personnes, d'un lieu ou d'un moyen de communication. Il pourrait également s'agir de données que les opérateurs conserveraient pour leurs propres besoins. De telles mesures seraient accompagnées de garanties procédurales importantes (demande du procureur du Roi ou d'un juge d'instruction, application des principes essentiels : droit de consulter le dossier, d'en prendre copie, de contester la régularité de la procédure, exercice de voies de recours...). En Allemagne, les dispositions en vigueur distinguent d'une part l'accès aux données de trafic conservées par les opérateurs à des fins commerciales et d'autre part l'accès aux données conservées par ces mêmes opérateurs en application de la loi sur les télécommunications (article 176 TKG) qui leur impose une minimale de stockage de six semaines pour les données de trafic à l'exception des données de géolocalisation et de quatre semaines pour les données de géolocalisation. L'accès aux données de trafic conservées en application de l'article 176 TKG n'est possible, sous certaines conditions, que pour des infractions graves, et sur autorisation d'un juge ou validation postérieure par ce dernier en cas d'urgence.
Projet de loi relatif à la collecte et à la conservation des données d'identification et des métadonnées dans le secteur des communications électroniques et à la fourniture de ces données aux autorités, 17 mars 2022 28
23 De fait, dans l'attente d'une décision de la CJUE sur la conformité de l'article 176 TKG au droit de l'Union, les autorités judiciaires et les enquêteurs n'ont accès qu'aux données conservées à des fins commerciales. Le Bundesverwaltungsgericht (Cour administrative fédérale, Allemagne) a en effet transmis le 29 octobre 2019 des questions préjudicielles portant à nouveau sur le stockage des données de connexion et l'accès à ces données, en faisant valoir que la législation nationale applicable avait substantiellement réduit le type de données conservées, ainsi que la durée de l'obligation de les conserver et offrait désormais une protection efficace de ces données contre les risques d'abus et d'accès illicite 29. L'Autriche a adopté en 2017, dans un souci de conformité avec la jurisprudence européenne un système de « quick freeze » qui comporte deux étapes : une étape de rétention des données, sur injonction délivrée aux opérateurs, pour durée maximale d'un an (ces données, normalement supprimées après la facturation, sont les données de trafic, d'accès et de localisation conservées à des fins commerciales) et une étape d'autorisation des autorités d'enquête à accéder à ces données (sur autorisation d'un juge et soumise à l'existence de preuves d'une infraction grave). Aux Pays-Bas, depuis l'arrêt de la CJUE Digital Rights de 2014, le droit néerlandais n'impose plus aux fournisseurs d'un service de télécommunications l'obligation de conserver des données. L'Estonie a adapté une partie de sa législation, l'accès aux métadonnées relevant largement du contrôle du juge, mais ce pays reste, comme l'Autriche, l'Allemagne et les Pays-Bas, et pour l'instant la Belgique, sans réglementation d'obligation de conservation des données en vue d'investigations judiciaires. Enfin, malgré une conservation toujours généralisée des données, l'Espagne et l'Italie paraissent considérer que leur législation est conforme au droit européen. 2°) La jurisprudence de la Cour européenne des droits de l'homme Si la Cour européenne des droits de l'homme a eu à examiner la compatibilité, sous l'angle de l'article 8 de la Convention, d'un régime prévoyant la possibilité pour une autorité publique d'acquérir des données de communications auprès d'un fournisseur de services de communication, il ne semble pas qu'elle ait été amenée à se prononcer sur la question de la conservation des données auprès de tels opérateurs économiques.
29
Affaires jointes C-793/19 et C-794/19
Dans l'affaire Malone c. Royaume Uni 30, la Cour a estimé que l'exploitation d'informations enregistrées par un bureau de poste concernant la date et la durée des appels téléphoniques, ainsi que les numéros composés pouvait poser problème au regard de l'article 8, dans la mesure où l'abonné n'avait pas consenti à ce qu'elles soient révélées à la police. Cette atteinte ne pouvait donc être justifiée que si elle était « prévue par la loi » et « nécessaire dans une société démocratique ». Or, la Cour européenne a relevé l'absence de cadre juridique régissant l'acquisition des données auprès de la Poste, constatant ainsi la violation de cette disposition conventionnelle, sans qu'il soit nécessaire d'examiner sa nécessité. Dans l'affaire Ben Faiza c. France 31, la Cour a conclu à l'absence de violation de l'article 8 concernant la réquisition judiciaire adressée à un opérateur de téléphonie mobile pour obtenir la liste des bornes déclenchées par la ligne téléphonique du requérant afin de retracer a posteriori ses déplacements. Elle a relevé à cet égard que la réquisition judiciaire avait constitué une ingérence dans la vie privée du requérant mais que celle-ci était prévue par la loi. Visant en outre à permettre la manifestation de la vérité dans le cadre d'une procédure pénale relative à des faits d'importation de stupéfiants en bande organisée, d'association de malfaiteurs et de blanchiment, la réquisition judiciaire avait poursuivi un but légitime, à savoir la défense de l'ordre, la prévention des infractions pénales ainsi que la protection de la santé publique. La Cour a également estimé que cette mesure avait été nécessaire dans une société démocratique car elle avait visé à démanteler un trafic de stupéfiants de grande ampleur. Dans l'affaire Big Brother Watch et autres c. Royaume-Uni, la Cour européenne des droits de l'homme , à propos de la décision des autorités britanniques de recourir à un régime d'interception massive de communications, s'est prononcée à nouveau sur l'obtention de données de communication auprès de fournisseurs de services de communication 32. Elle a jugé que les dispositions internes issues du “Regulation of Investigatory Powers Act” ne pouvaient être conformes à la loi au sens de l'article 8 de la Convention européenne : « Il est donc clair que le droit interne, tel qu'interprété par les autorités internes à la lumière des derniers arrêts de la CJUE, commande que tout régime permettant aux autorités d'accéder aux données conservées par un fournisseur de services de communication limite cet accès au but de lutter contre les « infractions graves » et le soumette au contrôle préalable d'un tribunal ou d'une instance administrative indépendante. Dès lors que le régime découlant du chapitre II permet d'accéder aux données dans le but de lutter contre les infractions ( et non spécifiquement contre les « infractions graves ») et n'est pas soumis au contrôle préalable d'un tribunal ou d'une instance administrative indépendante sauf lorsqu'il s'agit
30
CEDH 2 août 1984, Malone c. Royaume Uni, n° 8691/79
31
CEDH, 8 mai 2018, Ben Faiza c. France, n° 31446/12
32
CEDH 13 sept. 2018, Big Brother Watch et a. c. Royaume-Uni, nos 58170/13, 62322/14 et 24960/15
25 d'accéder aux données pour déterminer la source d'un journaliste, il ne peut être considéré comme prévu par la loi au sens de l'article 8 de la Convention » (§ 467). Par un arrêt du 25 mai 2021 33, la Grande chambre, devant laquelle l'affaire avait été renvoyée, a estimé pour les mêmes raisons que le régime britannique d'obtention de données de communication auprès des fournisseurs de services de communication était contraire aux articles 8 et 10. Il convient de mentionner que si la Convention garantit en son article 6 le droit à un procès équitable , elle ne réglemente pas pour autant l' admissibilité des preuves en tant que telle, matière qui dès lors relève au premier chef du droit interne. Dès lors, « il n'appartient pas à la Cour de se prononcer, par principe, sur la recevabilité de certaines sortes d'éléments de preuve, par exemple des éléments obtenus de manière illégale, ou encore sur la culpabilité du requérant. Il y a lieu d'examiner si la procédure, y compris la manière dont les éléments de preuve ont été obtenus, fut équitable dans son ensemble, ce qui implique l'examen de l'« illégalité » en question et, dans les cas où se trouve en cause la violation d'un autre droit protégé par la Convention, de la nature de cette violation » 34. La Cour considère que « pour déterminer si la procédure dans son ensemble a été équitable, il faut aussi se demander si les droits de la défense ont été respectés. Il faut rechercher notamment si le requérant s'est vu offrir la possibilité de remettre en question l'authenticité de l'élément de preuve et de s'opposer à son utilisation. Il faut prendre également en compte la qualité de l'élément de preuve, y compris le point de savoir si les circonstances dans lesquelles il a été recueilli font douter de sa fiabilité ou de son exactitude. Si un problème d'équité ne se pose pas nécessairement lorsque la preuve obtenue n'est pas corroborée par d'autres éléments, il faut noter que lorsqu'elle est très solide et ne prête à aucun doute, le besoin d'autres éléments à l'appui devient moindre » 35.
33
CEDH 25 mai 2021, Big Brother Watch et autres c. Royaume-Uni, req. nos 58170/13, 62322/14 et 24960/15 34
CEDH 12 mai 2000, req. n° 35394/97, Khan c. Royaume-Uni, § 34. Voir également CEDH 25 sept. 2001, P.G. ET J.H. c. Royaume-Uni, CEDH 5 nov. 2002, Allan c. Royaume-Uni. 35
CEDH 10 mars 2009, req. n° 4378/02, Bykov c. Russie, § 89, CEDH 11 juillet 2006, req. n° 54810/00, Jalloh c. Allemagne, § 96
À cet égard, la Cour attache aussi de l'importance au point de savoir si l'élément de preuve en question était ou non déterminant pour l'issue du procès pénal 36. On relève ainsi des similitudes entre la jurisprudence de la CEDH et celle de la CJUE s'agissant de l'admissibilité des moyens de preuve. 3°) L'évolution du dispositif français de collecte et de consultation des données Les dispositions généralisée
antérieures
prévoyant
le
principe
de
conservation
L'article L. 34-1 paragraphe III du code des postes et communications électroniques (CPCE), dans sa version ancienne (applicable du 20 décembre 2013 au 31 juillet 2021), faisait obligation aux opérateurs de communications électroniques de conserver de façon généralisée et indifférenciée, pour une durée d'un an, les données de trafic et de localisation de l'ensemble de leurs utilisateurs, pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales. L'article R. 10-3 du même code énumérait les catégories de données relevant de ce régime : informations permettant d'identifier l'utilisateur, données relatives aux équipements terminaux de communication utilisés, caractéristiques techniques ainsi que date, horaire et durée de chaque communication, données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs et, enfin, données permettant d'identifier le ou les destinataires de la communication. Ce dispositif s'est ajouté à celui figurant désormais au II de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, qui fait obligation aux fournisseurs d'accès à internet et aux hébergeurs de conserver les données nécessaires à l'identification des personnes créant, modifiant ou supprimant des contenus en ligne, données dont l'autorité judiciaire peut requérir communication. Le contenu des données de connexion mérite d'être précisé, en reprenant quelques éléments de définition : « Les données de connexion, également appelées “métadonnées” ou encore “données relatives au trafic et données de localisation”portent, non pas sur le contenu des messages, mais sur les conditions dans lesquelles ces derniers sont consultés ou échangés. Elles sont relatives à l'identité et à la localisation de l'auteur et du destinataire de communications, à la date et à la durée de celles-ci, aux matériel, numéros de téléphone et adresses IP utilisés. L'exploitation de ces données repose sur leur conservation généralisée, indifférenciée, pendant un certain temps, par les opérateurs de communications électroniques, qui sont tenus d'y 37 procéder par la loi 36
CEDH 1er juin 2010, Gäfgen c. Allemagne, req. no 22978/05
37
Il est fait référence ici à l'article L. 34-1 du CPCE dans sa version ancienne
27 . Elle permet, dans une certaine mesure, de “lire le passé” en retraçant les activités auxquelles un individu s'est livré sur le réseau avant même d'être soupçonné d'activités criminelles [...] mais [aussi] à “lire le présent” : il s'agit de la géolocalisation en temps réel, à partir des données de connexion, d'un terminal téléphonique ou informatique » 38. Les données d'activité communiquées par la Direction des affaires criminelles et des grâces font apparaître un recours massif par les officiers de police judiciaire agissant sur instructions du parquet ou commission rogatoire d'un juge, aux réquisitions tendant à la communication par les opérateurs de données de connexion et leur progression constante depuis 2019. Ainsi le nombre de réquisitions délivrées dans le cadre des enquêtes préliminaires ou de flagrance est passé en trois ans (2019 2021) de 1 052 000 à 1 221 000. Les réquisitions établies sur commission rogatoire du juge d'instruction, au nombre 480 000 en 2019, ont été de 505 000 en 2021. Dans tous les cas, les données fournies ne prennent pas en compte les réquisitions aux fins d'identification de l'abonné. L'arrêt du Conseil d'Etat du 21 avril 2021, « French Data network » À la suite des précisions apportées par la CJUE dans l'arrêt Quadrature du net, le Conseil d'État, statuant en Assemblée du contentieux, a examiné la conformité au droit européen du régime juridique français de conservation et d'accès aux données de connexion. La Conseil d'Etat a d'abord refusé d'accéder à la demande du gouvernement, qui l'invitait, en défense, à s'engager dans la voie du contrôle dit ‟ ultra vires ” permettant au juge national de faire obstacle à l'application d'une norme du droit de l'Union qui outrepasserait les compétences attribuées à l'Union européenne. Ainsi, « il n'appartient pas au juge administratif de s'assurer du respect, par le droit dérivé de l'Union européenne ou par la CJUE elle-même, de la répartition des compétences entre l'Union européenne et les Etats membres » (§ 8). En revanche, le Conseil d'Etat s'est inspiré d'un autre mécanisme permettant de s'assurer que la transposition d'une directive européenne ne va pas à l'encontre d'une règle ou d'un principe inhérent à l'identité constitutionnelle de la France. Précisant le cadre de son contrôle, il rappelle la place de la Constitution, au sommet de la hiérarchie des normes, ce qui impose de vérifier que l'application du droit européen, tel que précisé par la CJUE, ne compromet pas des exigences constitutionnelles qui ne sont pas garanties de façon équivalente par le droit européen (§ 5). A cet égard, il constate que les objectifs de valeur constitutionnelle que sont la sauvegarde des intérêts fondamentaux de la Nation, la prévention des 38
« L'avenir incertain d'un instrument de lutte contre le terrorisme : l'exploitation des données de connexion », étude par Caroline Grossholz, magistrat administratif, La Semaine Juridique Administrations et Collectivités territoriales n° 27, 10 Juillet 2017, 2177.
atteintes à l'ordre public, la lutte contre le terrorisme et la recherche des auteurs d'infractions pénale, qui s'appliquent à des domaines relevant exclusivement ou essentiellement de la compétence des Etats membres, ne bénéficient pas, en droit de l'Union, d'une protection équivalente à celle que garantit la Constitution (§ 10). Le Conseil d'État relève ensuite que la conservation généralisée imposée aux opérateurs par le droit français est bien justifiée par une menace pour la sécurité nationale, condition requise par la CJUE. Conformément aux exigences de la Cour, il impose au Gouvernement de procéder, sous le contrôle du juge administratif, à un réexamen périodique de l'existence d'une telle menace. En revanche, il juge contraire au droit de l'Union l'obligation de conservation généralisée des données (hormis les données peu sensibles : état civil, adresse IP, comptes et paiements) pour les besoins autres que ceux de la sécurité nationale, notamment la recherche, la constatation et la poursuite des infractions pénales. Pour ces infractions, les solutions préconisées par la CJUE de conservation « ciblée » des données de connexion selon des critères géographiques et de conservation « rapide » de ces données se heurtent à des obstacles techniques et juridiques et à des considérations d'efficacité. Toutefois, dans la mesure où les données doivent être conservées aux fins de sauvegarde de la sécurité nationale, « l'autorité judiciaire est en mesure d'accéder aux données nécessaires à la poursuite et à la recherche des auteurs d'infractions pénales dont la gravité le justifie » (§ 57). Le Conseil d'Etat justifie sa position en se référant au point 164 de l'arrêt de la CJUE « Quadrature du net » précédemment évoqué. En d'autres termes, comme l'observe également le Conseil d'Etat, « lorsqu'est en cause une infraction suffisamment grave pour justifier l'ingérence dans la vie privée induite par la conservation des données de connexion, dans le respect du principe de proportionnalité..., l'autorité judiciaire peut, sans méconnaître ni la directive du 12 juillet 2002, ni le RGPD, enjoindre aux opérateurs de communications électroniques, aux fournisseurs d'accès à intemet et aux hébergeurs de sites intemet de procéder à la conservation rapide des données de trafic et de localisation qu'ils détiennent, soit pour leurs besoins propres, soit au titre d'une obligation de conservation imposée aux fins de sauvegarde de la sécurité nationale ». Enfin, tirant les conséquences des illégalités constatées, le Conseil d'Etat constate qu'à la date de publication des dispositions réglementaires critiquées la France était confrontée à une menace grave, réelle et actuelle pour sa sécurité nationale et le demeure à la date de sa décision, si bien que les opérateurs pouvaient se voir imposer la conservation généralisée et indifférenciée des données de trafic et de localisation aux fins de sauvegarde de la sécurité nationale (§ 96). Dans ses conclusions, M. Alexandre Lallet, rapporteur public, avait également soutenu que les données conservées de manière généralisée et indifférenciée pour les besoins de la sauvegarde de la sécurité nationale devenaient également disponibles pour les services d'enquête :
29 « L'arrêt du 6 octobre 2020 n'exclut pas, et même envisage à notre avis, que la conservation rapide à des fins de lutte contre la criminalité grave puisse se greffer sur ce lac de données " sécurité nationale ". Elle [la Cour de Justice de l'Union] indique en effet au point 164 de l'arrêt du 6 octobre que la finalité de la conservation rapide doit être précisée dans la loi " dans la mesure où [elle] ne correspond plus à celles pour lesquelles les données ont été collectées et conservées initialement ". Elle semble ainsi admettre une forme de " déclassement " du motif de conservation, qui apparaît justifié dès l'instant que la conservation rapide n'est pas elle-même généralisée et indifférenciée, mais porte sur des personnes ou des infractions bien identifiées - c'est la logique du bassin de rétention. Ainsi articulée avec le régime de conservation pour les besoins de la sécurité nationale, la conservation rapide pourra porter non seulement sur les données futures, mais aussi sur les données passées, avec la même profondeur d'un an, et avec le champ d'application large admis par la Cour qui permet de geler les données des suspects, des victimes ou des tiers dès l'instant qu'elles peuvent contribuer à l'élucidation de l'infraction, mais aussi de sanctuariser les données se rapportant à telle ou telle zone géographique - par exemple la liste des numéros de téléphone ayant " borné " dans un secteur » 39. L'arrêt du Conseil d'Etat a donné lieu à de nombreux commentaires, dont on ne peut donner ici qu'un bref aperçu. La plupart des commentateurs approuvent la solution retenue. Ainsi, MM. Malverti et Beaufils considèrent que « la démarche retenue par le Conseil d'Etat, parce qu'elle parvient à maintenir les divergences avec la CJUE dans un cadre qui leur est commun, s'avère pertinente dans le contexte de pluralisme juridique qui caractérise la construction européenne. En refusant de s'engager dans un contrôle ultra vires, en évitant de faire un usage positif des contre-limites constitutionnelles et en leur préférant une utilisation maximale des possibilités ouvertes par la CJUE allant parfois jusqu'à déplacer de quelques pas les bornes posées par celle-ci, l'assemblée du contentieux a en effet choisi, en substance, de confronter à l'interprétation du droit de l'Union retenue par la Cour sa propre interprétation plutôt que de lui opposer le droit national » 40.
39
Alexandre Lallet, « Données personnelles : droit de l'Union européenne et Constitution », RFDA 2021 p. 421 40
Clément Malverti, Cyrille Beaufils, L'instinct de conservation, AJDA 2021 p.1194
Le professeur Roux évoque une « solution ingénieuse » qui « procède d'une lecture volontariste mais plausible de l'arrêt préjudiciel » et qui « a le mérite de sauvegarder l'effectivité de la lutte contre la criminalité, sans risque supplémentaire pour le respect de la vie privée » 41. M. Bartolucci insiste néanmoins sur le caractère temporaire de la solution retenue : « la gravité de la menace terroriste offre en quelque sorte une porte de sortie aux conseillers d'État. Tant que durent dans le temps les menaces qui pèsent sur la sécurité nationale, alors l'obligation de conservation de toutes les données de connexion est régulière, et donc les garanties constitutionnelles (qui couvrent la criminalité ordinaire et la criminalité grave) demeurent protégées. Toute la fragilité du raisonnement tient dans son caractère momentané et éphémère : lorsque le risque terroriste diminuera, ce que l'on espère rapidement, l'équation tombera à l'eau. Étant donné que seule une menace particulièrement élevée autorise la conservation générale des données, qui est à son tour seule à même d'assurer les exigences constitutionnelles, l'absence de menace sérieuse mettra mécaniquement en péril lesdites exigences » 42. Enfin, certains commentateurs se montrent plus critiques en estimant que « loin de se conformer pleinement au droit de l'Union, le Conseil d'État le réinterprète en partie sous couvert de conciliation avec la sauvegarde des objectifs de valeur constitutionnelle » 43. La législation actuelle sur la conservation des données de connexion Pour faire suite à l'arrêt du Conseil d'Etat « French Data network », L. 34-1 du code des postes et télécommunications a été modifié par la loi n° 2021-998 du 30 juillet 2021. Dans sa nouvelle rédaction, cet article fixe les modalités selon lesquelles les opérateurs de communications électroniques sont tenus de conserver et d'anonymiser certaines données. Par renvoi de l'article 6 II de la loi n° 575-2004 du 21 juin 2004, cet article s'impose également aux fournisseurs d'accès à internet. Désormais, cet article institue une obligation de conservation indifférenciée et généralisée de trois catégories de données : identité civile de l'utilisateur, informations liées au contrat, au compte et au paiement, adresse IP et ce, quelles que soient les circonstances (II bis de l'article L. 34-1). Seul un impératif de sauvegarde de la sécurité nationale, en cas de menace grave, actuelle ou prévisible, permet, sur injonction du Premier ministre et pour une durée 41
Jérôme Roux, « La lucidité d'une fermeté ajustée », Recueil Dalloz 2021 p.1247
42
Mattéo Bartolucci, Semaine juridique éd. Administrations et collectivités territoriales, n° 28, 12 juil. 2021 43
Thibault Douville, « Un arrêt sous le signe de l'exceptionnel », Recueil Dalloz 2021 p.1268
31 maximale d'un an renouvelable, la conservation généralisée et indifférenciée de certaines données de trafic et de localisation (art. L. 34-1 III). Dans le cadre de la criminalité et de la délinquance grave, la faculté est ouverte à l'autorité judiciaire d'accéder à ces données de connexion, via une injonction de conservation rapide (art. L. 34-1 III bis). Trois décrets d'application ont été publiés le 20 octobre 2021, dont le décret annuel pris par le premier ministre portant injonction, au regard de la menace grave et actuelle contre la sécurité nationale, de conservation pour une durée d'un an de certaines catégories de données de connexion, à savoir les données de trafic et de localisation 44. Le critère de gravité des infractions justifiant l'accès de l'autorité judiciaire aux données disponibles n'est pas précisé par la loi, laquelle se réfère de manière générale à la « criminalité » et à la « délinquance grave », mais a été discuté à l'occasion des travaux parlementaires qui ont précédé l'adoption de la loi du 30 juillet 2021. Les rapporteurs de la commission des lois du Sénat 45 reprennent l'analyse du Conseil d'Etat selon laquelle l'arrêt de la Cour de justice de l'Union européenne n'impose pas au législateur d'énumérer les infractions relevant du champ de la criminalité grave en se référant à des catégories strictement prédéfinies en droit interne. Le rattachement d'une infraction pénale à la criminalité grave aurait donc vocation à s'apprécier de façon concrète, sous le contrôle du juge pénal, au regard de la nature de l'infraction commise et de l'ensemble des faits de l'espèce. Il relèvent par ailleurs que « la notion de criminalité grave est une notion que l'on retrouve dans divers actes du droit dérivé européen. La directive du 27 avril 2016 relative à l'utilisation des données des dossiers passagers (PNR 53) fixe le niveau de gravité par référence à une peine privative de liberté ou d'une mesure de sûreté d'une durée maximale d'au moins trois ans. Le règlement européen Eurojust du 14 novembre 2018 ne fait pas référence à la peine encourue, mais intègre dans le périmètre de la criminalité grave les infractions commises en amont ou en aval : infractions pénales commises pour se procurer les moyens de perpétrer les formes graves de criminalité, pour faciliter l'exécution de formes graves de criminalité et pour assurer l'impunité de ceux qui commettent les formes graves de criminalité. S'il semble évident que les contraventions ne peuvent être comprises dans cette notion de criminalité grave, il conviendrait pour l'application du dispositif prévu par l'article L. 34-1 du code des postes et des communications électroniques d'y intégrer a minima les délits punis de trois ans d'emprisonnement ou les infractions connexes à la criminalité grave ». 44 45
Décret n° 2021-1363 du 20 octobre 2021
Cf. Rapport au Sénat n° 694 (2020-2021) de M. Marc-Philippe Daubresse et Mme Agnès Canayer, fait au nom de la commission des lois, déposé le 16 juin 2021, article 15
Lors des débats devant le Sénat en première lecture 46, l'un des deux rapporteurs a indiqué que « lors des auditions, une difficulté réelle est apparue pour les enquêtes de police judiciaire diligentées par les procureurs de la République. Ces derniers ne pourront plus recourir à des réquisitions de données de connexion dans le cadre d'enquêtes liées à la criminalité ordinaire. En effet, le dispositif mis en place par l'article 15 se limite à la criminalité grave. C'est la raison pour laquelle il nous a paru important de mieux définir la notion de criminalité grave et d'étendre les dispositions de cet article à la délinquance grave. Tel est le sens de l'amendement que je vous propose ».
C'est ce qui explique, après adoption de cet amendement, l'ajout dans le texte de loi de la référence à la délinquance grave, outre la criminalité (l'adjectif grave étant resté au singulier). Cette précision ne paraît pas de nature à faire entrer l'ensemble des délits dans le champ de l'article L. 34-1 du code des postes et des postes et des communications électroniques, mais seulement ceux punis d'au moins trois ans d'emprisonnement, comme le suggérait les rapporteurs de la commission des lois du Sénat. La loi n° 2022-299 du 2 mars 2022, dont il sera question plus loin impose effectivement de respecter le seuil de trois ans, s'agissant du recours à des réquisitions de données de connexion. Le nouvel encadrement de l'accès aux données de connexion Dans sa décision n° 2021-930 QPC du 23 septembre 2021, le Conseil constitutionnel a déclaré conforme à la Constitution la première phrase du 1° de l'article 230-33 du code de procédure pénale, dans sa rédaction résultant de la loi n° 2019-222 du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice. Il s'agit des dispositions permettant au procureur de la République d'autoriser le recours à une opération de géolocalisation en temps réel dans le cadre de l'enquête qu'il dirige. Le Conseil a estimé que le législateur avait entouré la mise en oeuvre des mesures de géolocalisation de garanties de nature à assurer, dans le respect des prérogatives de l'autorité judiciaire, une conciliation équilibrée entre l'objectif de valeur constitutionnelle de recherche des auteurs d'infractions et le droit au respect de la vie privée. Le Conseil constitutionnel a été saisi le 23 septembre 2021 par la Cour de cassation d'une question prioritaire de constitutionnalité relative à la conformité aux droits et 46
Séance du 29 juin 2021
33 libertés que la Constitution garantit des articles 77-1-1 et 77-1-2 du code de procédure pénale. L'article 77-1-1 de ce code permet au procureur de la République ou, sur son autorisation, à un officier ou à un agent de police judiciaire, dans le cadre d'une enquête préliminaire, de requérir, par tout moyen, la remise d'informations détenues par toute personne publique ou privée, y compris celles issues d'un système informatique ou d'un traitement de données nominatives, sans que puisse lui être opposée, sans motif légitime, l'obligation au secret professionnel. L'article 77-1-2 du même code prévoit quant à lui que, sur autorisation du procureur de la République, l'officier ou l'agent de police judiciaire peut requérir d'un organisme public ou de certaines personnes morales de droit privé, par voie télématique ou informatique, la mise à disposition d'informations non protégées par un secret prévu par la loi, contenues dans un système informatique ou un traitement de données nominatives. Dans sa décision n° 2021-952 QPC du 3 décembre 2021, le Conseil constitutionnel a relevé qu'en permettant de requérir des informations issues d'un système informatique ou d'un traitement de données nominatives, les dispositions contestées autorisent le procureur de la République et les officiers et agents de police judiciaire à se faire communiquer des données de connexion ou à y avoir accès. Il a constaté, d'une part, que les données de connexion comportent des données qui fournissent sur les personnes concernées des informations nombreuses et précises, particulièrement attentatoires à leur vie privée et, d'autre part, que la réquisition de ces données est autorisée dans le cadre d'une enquête préliminaire qui peut porter sur tout type d'infraction et qui n'est pas justifiée par l'urgence ni limitée dans le temps. Il a relevé enfin que si ces réquisitions sont soumises à l'autorisation du procureur de la République, magistrat de l'ordre judiciaire auquel il revient, en application de l'article 39-3 du code de procédure pénale, de contrôler la légalité des moyens mis en œuvre par les enquêteurs et la proportionnalité des actes d'investigation au regard de la nature et de la gravité des faits, le législateur n'a assorti le recours aux réquisitions de données de connexion d'aucune autre garantie. Le Conseil en déduit que dans ces conditions, le législateur n'a pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation équilibrée entre, d'une part, le droit au respect de la vie privée et, d'autre part, la recherche des auteurs d'infractions. Il a donc déclaré contraires à la Constitution les mots « , y compris celles issues d'un système informatique ou d'un traitement de données nominatives, » figurant à la première phrase du premier alinéa de l'article 77-1-1 du code de procédure pénale et les mots « aux réquisitions prévues par le premier alinéa de l'article 60-2 » figurant au
premier alinéa de l'article 77-1-2 du même code, en reportant l'abrogation de ces dispositions au 31 décembre 2022. La doctrine relève que le Conseil constitutionnel analyse l'autorisation délivrée par le procureur comme une garantie essentielle et que seule l'absence d'autres garanties entourant la mesure motive le prononcé de la censure. Il en résulte une appréciation divergente entre le juge constitutionnel et la Cour de justice sur les pouvoirs du parquet en matière d'accès aux données relatives au trafic et à celles de localisation 47. La loi n° 2022-299 du 2 mars 2022, tirant les conséquences de cette décision, a limité le recours aux réquisitions de données de connexion aux hypothèses prévues par le nouvel article 60-1-2 du code de procédure pénale. Il en résulte notamment que les réquisitions portant sur les données de trafic et de localisation mentionnées au III de l'‘article L. 34-1 du code des postes et des communications électroniques ne sont possibles, si les nécessités de la procédure l'exigent, que si la procédure porte sur un crime ou sur un délit puni d'au moins trois ans d'emprisonnement. Le choix opéré par le législateur a donc été de fixer un quantum de gravité des infractions pour lesquelles le parquet est habilité à autoriser l'accès aux données de connexion. Néanmoins, la question de la compétence du ministère public pour autoriser l'accès à ces données s'est à nouveau posée. Par arrêts du 7 décembre 202148, la chambre criminelle a renvoyé au Conseil constitutionnel une nouvelle question prioritaire de constitutionnalité portant sur la conformité à la Constitution de l'article L. 34-1 du code des postes et communications électroniques, dans sa version en vigueur jusqu'au 30 juillet 2021, en ce qu'il ne réserve pas la conservation des données de connexion et leur accès aux infractions les plus graves et ne les soumet pas à l'autorisation ou au contrôle d'une juridiction ou d'une autorité indépendante. Par décision n° 2021-976/977 QPC du 25 février 2022, le Conseil constitutionnel a jugé qu'en autorisant la conservation générale et indifférenciée des données de connexion, les dispositions contestées [article L. 34-1 du CPCE dans sa versions ancienne] portent une atteinte disproportionnée au droit au respect de la vie privée et doivent être, par conséquent déclarées contraires à la Constitution. Il a constaté que ces dispositions n'étaient plus en vigueur et a décidé que les mesures ayant été prises sur le fondement des dispositions déclarées contraires à la Constitution en pouvaient être contestées sur le fondement de cette inconstitutionnalité, sauf à méconnaître les objectifs de valeur constitutionnelle de sauvegarde de l'ordre public 47
Philippe Collet « La censure des réquisitions de données informatiques en enquête préliminaire ! », La Semaine Juridique Edition Générale n° 4, 31 Janvier 2022, 133 48
n° 21-83.710 et 21-83.729
35 et de recherche des auteurs d'infractions, ce qui aurait des conséquences manifestement excessives. Il est à noter que la question soumise au Conseil constitutionnel, circonscrite aux dispositions de l'article L. 34-1 du code des postes et communications électroniques, ne concernait que le régime de la conservation des données de connexion, la question de l'accès à ces données ayant fait l'objet de la décision du 3 décembre 2021 rappelée ci-dessus. Ajoutons que si, à l'avenir, le juge des libertés et de la détention devait intervenir systématiquement dans le cadre de la mise en œuvre, au stade de l'enquête, de mesures d'investigations telles que la géolocalisation et la communication de données de connexion, une étude d'impact réalisée par la Direction des Services Judiciaires fait apparaître que les effectifs de ces magistrats localisés au sein des tribunaux judiciaires, soit 256 postes à l'heure actuelle, devraient être triplés, voire quadruplés. 4°) Réponse au moyen Dans sa requête en annulation, M. [U] faisait valoir que c'est à partir de la technique dite du « filet dérivant » que les enquêteurs ont remonté, contact après contact, jusqu'aux lignes qu'ils lui attribuent, ainsi qu'à son frère et que l'exploitation de la facturation détaillée de ces lignes s'est doublée d'une étude approfondie des données de géolocalisation des lignes en question. Il a soutenu que ces investigations avaient été conduites en violation du droit européen relatif à la conservation et à la transmission généralisée et indifférenciée de données relatives au trafic et à la localisation, en particulier la directive 2002/58/CE telle qu'interprétée par la jurisprudence européenne à la lumière des articles 7, 8 et 52 de la Charte des droits fondamentaux de l'Union européenne et a sollicité en conséquence l'annulation de tous les procès-verbaux d'exploitation de facturations détaillées et de données de géolocalisation et notamment de ceux qui ont conduit à son interpellation, ainsi que des actes subséquents. Il a affirmé enfin que la condition d'intérêt à agir ne devait pas restreinte au seul titulaire ou utilisateur d'une ligne téléphonique, mais devait être étendue à celui qui peut se voir opposer des éléments de preuves susceptibles d'influencer de manière prépondérante l'appréciation des faits, lesquels doivent mis à l'écart par le juge national, faute de pouvoir être commentés efficacement. Il ressort du dossier de la procédure que les investigations concernant plus particulièrement les lignes téléphoniques attribuées à M. [F] [U] ont toutes été diligentées sur commission rogatoire du magistrat instructeur, en date du 26 avril 2018, qui autorisait notamment les enquêteurs à procéder à toutes réquisitions utiles à la manifestation de la vérité (D 97).
C'est en effectuant des recherches sur la téléphonie de Mme [P] [W], compagne de son frère [V], que les enquêteurs ont identifié, en novembre 2019, une ligne mobile de [Localité 1], qui avait été en relation avec un autre mobile de [Localité 1], utilisé par cette dernière et qui activait de manière ininterrompue le réseau des opérateurs martiniquais depuis le 1er octobre 2019 (Voir le compte-rendu adressé au magistrat instructeur en côte D 5772). Une réquisition judiciaire a été adressé le 27 novembre 2019 à l'opérateur de télécommunications Digicel afin d'obtenir, à compter du 1 er octobre 2019, le détail du trafic géolocalisé de cette ligne qui a fait l'objet par ailleurs d'une interception téléphonique (D 5770). Les enquêteurs ont ensuite identifié avec certitude M. [F] [U] comme étant l'utilisateur de la ligne en question (D 5816 et D 5817), à partir des éléments suivants : - L'écoute des conversations téléphoniques et des échanges de SMS entre cette ligne, faisant l'objet d'une géolocalisation en temps réel, et celle utilisée par [V] [U], - Une comparaison des relais activés par cette ligne et celle officiellement attribuée à M. [F] [U], dont le détail du trafic géolocalisé a été exploité. Les interceptions judiciaires des lignes mobiles utilisées ont permis ensuite de constater qu'il était question d'un important trafic de stupéfiants organisé par [V] [U] depuis l'île de [Localité 1], avec la participation active de son frère (D 5834). Au cours de son interrogatoire de première comparution, M. [F] [U] a indiqué, par l'intermédiaire de son avocat, qu'il contestait les conversations téléphoniques avec son frère [V], qui lui étaient prêtées par les enquêteurs (D 6080). L'arrêt attaqué commence par rappeler que « M. [F] [U] a été en partie identifié par l'exploitation des données des lignes utilisées par les mis en examen ainsi que par celles qu'il utilisait. Il ressort notamment du procès verbal d'identification de l'utilisateur de la ligne [XXX01] que c'est à partir de l'interception de la ligne téléphonique attribuée à son frère [V] [U], l'exploitation du journal d'appel des lignes, leur géolocalisation résultant du bornage de l'appareil par l'antenne relai à laquelle il s'est connecté mais aussi de l'exploitation des échanges de SMS et de l'interception judiciaire d'une autre ligne de [F] [U] que cette ligne lui a été attribuée. (D5816, D5817) ».
La chambre de l'instruction se fonde ensuite sur l'arrêt « Quadrature du net » de la CJUE, admettant selon elle, à titre préventif, la conservation ciblée des données relatives au trafic et des données de localisation aux fins de la lutte contre la criminalité grave pendant une durée limitée au strict nécessaire (§ 147) pour considérer que la législation française répond à ces conditions en limitant à un an la durée de conservation de ces données pour les besoins de la recherche, de la constatation et la poursuite des infractions pénales.
37 Pour rejeter le moyen de nullité tiré de la violation du droit de l'Union, elle estime enfin que la condition de lutte contre la criminalité grave était en l'espèce remplie eu égard à l'ampleur du trafic de stupéfiants imputé à une organisation criminelle de dimension internationale, de même que « l'ingérence dans sa vie privée constituée par les réquisitions aux opérateurs téléphoniques et l'exploitation des données d'identité, des données relatives au trafic traçant les dates, heures et destinataires des communications et des données de géolocalisation apparaît tout à la fois nécessaire et proportionnée à la poursuite du but de poursuite d'infractions pénales relevant de la criminalité grave ». Sur la conservation des données de connexion (deux premières branches du moyen) Force est de constater que la chambre de l'instruction a fait de l'arrêt de la CJUE Quadrature du net une interprétation erronée en considérant que les articles L. 34-1 et R. 10-3 du CPCE dans leur version en vigueur au moment des faits prévoyaient une conservation ciblée des données de connexion. Si la Cour a admis la conformité au droit de l'Union d'une législation nationale permettant, à titre préventif, la conservation ciblée des données relatives au trafic et des données de localisation, à des fins de lutte contre la criminalité grave, elle subordonné la viabilité de cette conservation ciblée à la condition qu'elle soit, en ce qui concerne les catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue, limitée au strict nécessaire. En second lieu, il est manifeste que les juges empruntent un raccourci lorsqu'en référence à l'arrêt du Conseil d'Etat « French Data network » ils considèrent que la lutte contre la criminalité grave est reconnue comme pouvant justifier l'ingérence dans les droits fondamentaux que constitue la conservation généralisée des données de connexion. Le Conseil d'État s'est fondé en effet sur l'autorisation en droit de l'Union de la « conservation rapide » des données sur injonction de l'autorité judiciaire aux fins de lutte contre la criminalité grave en notant que cette technique pouvait s'appuyer sur le stock de données conservées de façon généralisée par les opérateurs. A l'évidence, les dispositions de l'article L. 34-1 du code des postes et des communications électroniques, dans sa version ancienne, n'autorisaient pas une conservation ciblée mais instauraient une obligation de conservation généralisée des données (hormis les données peu sensibles : état civil, adresse IP, comptes et paiements) pour les besoins de la poursuite des infractions pénales et ces normes de conservation étaient manifestement contraires au droit européen, tel qu'interprétées par la CJUE. Un tel constat ne conduit pas nécessairement à en déduire que les données auxquelles les enquêteurs ont eu accès ont été conservées illicitement.
Dans sa décision French Data Network, le Conseil d'Etat a rappelé que la jurisprudence européenne autorisait la conservation généralisée et indifférenciée des données de connexion pour des motifs de sauvegarde de la sécurité nationale. Il a considéré que cette condition était remplie pour la France et que dès lors, les opérateurs de télécommunications pouvaient se voir imposer cette conservation. Il s'est fondé ensuite sur le paragraphe 164 de l'arrêt de la CJUE Quadrature du Net, pour admettre que lorsqu'est en cause une infraction grave, l'autorité judiciaire est en mesure d'accéder, par le biais de la conservation rapide, aux données de connexion dont disposent les opérateurs, y compris lorsque cette conservation rapide porte sur des données initialement conservées au titre de la sauvegarde de la sécurité nationale. Cette interprétation demeure parfaitement valide après l'arrêt de la CJUE Commissioner of An Garda Síochána (§ 87) confirmant la faculté de recourir au mécanisme de la conservation rapide de toutes les données disponibles. Précisons qu'il est clair que le dispositif législatif français permettait, à la date des faits, la conservation générale et indifférenciée des données de connexion aux fins de sauvegarde de la sécurité nationale, l'objectif de lutte contre le terrorisme et, plus généralement, contre les atteintes aux intérêts fondamentaux de la nation étant évidemment inclus dans celui, plus général, de lutte contre la criminalité. La chambre de l'instruction ne s'est pas prononcée sur ce point de savoir si au moment des faits reprochés à l'intéressé, soit entre avril 2018 et avril 2020, l'ampleur de la menace terroriste justifiait une collecte généralisée et indifférenciée des données. Il paraît hasardeux de considérer qu'il s'agit là d'une question de pur fait qui relèverait de l'appréciation des juges, sauf à s'exposer au risque d'appréciations divergentes des juridictions du fond sur l'état de la menace pour la sécurité nationale, selon le moment, le lieu et les circonstances. A cet égard, la Cour de cassation, dont le rôle est d'assurer l'application uniforme du droit est en mesure de s'appuyer sur le constat du Conseil d'Etat selon lequel le motif de sécurité nationale, qui permet de justifier la conservation générale des données de trafic et de localisation, était présent sur toute la période couverte par les dispositions critiquées et le demeure aujourd'hui (§ 96 de l'arrêt French Data Network) 49.
49
Le Conseil d'Etat fonde notamment ce constat sur la menace terroriste, que révèlent les attentats commis ou déjoués depuis 2015 (§ 66 de l'arrêt) mais également sur des menaces plus persistantes et diffuses, telles que l'espionnage et " l'activité de groupes radicaux et extrémistes " (§ 44), ce qui laisse à penser que la justification de la conservation générale n'est pas près de disparaître.
39 Au besoin, la chambre criminelle pourra se reporter à la longue liste des attentats djihadistes commis sur le sol français durant la période considérée 50. A propos du mécanisme de la conservation dite « rapide », il a été souligné que la Convention de Budapest permettait de s'affranchir d'un certain formalisme en se dispensant de l'étape du gel des données et que leur conservation pouvait être opérée par d'autres moyens juridiques que l'injonction judiciaire. Dans le cas présent, les réquisitions délivrées par les enquêteurs, tendant à obtenir des opérateurs les facturations détaillées et les données de géolocalisation des lignes attribuées à M. [U] sont parfaitement assimilables à une injonction de conservation rapide des données. On a vu, par ailleurs, que la notion de criminalité grave, « dont les contours doivent être laissés à la main des États membres, dans le cadre de leur compétence de principe 51 en matière pénale »
50
Voir, en pièce jointe au dossier, la liste fournie par le parquet général de Paris (Cette liste ne recense pas les attentats déjoués par les services de renseignement ou de police) 51
Conclusions des avocats généraux de la CJUE dans les affaires Ministerio fiscal et Prokuratuur
relevait de l'appréciation concrète du juge pénal, par référence à la nature de l'infraction et à l'ensemble des faits de l'espèce. Nul doute que les infractions relevant de la grande délinquance organisée et notamment les crimes et délits de trafic de stupéfiants pour lesquels la loi donne compétence aux juridictions interrégionales spécialisées 52 entrent par hypothèse dans le champ de la criminalité grave. En l'espèce, la chambre de l'instruction a pris soin de caractériser toutes les circonstances permettant de retenir que les infractions reprochées à M. [U] ressortissaient de la criminalité grave, étant rappelé que, contrairement à ce que soutient le moyen, le droit européen n'impose pas au législateur d'énumérer les infractions relevant du domaine de cette criminalité. On peut donc conclure que les données de trafic et de localisation auxquelles les enquêteurs ont eu accès ont été stockées dans des conditions licites, ce qui conduira à écarter les deux premières branches du moyen. Sur l'accès aux données de connexion (deux autres branches du moyen) Le moyen pris en ses deux dernières branches, tiré de l'absence d'autorisation d'une juridiction pour accéder aux données de trafic et de localisation conservées par les opérateurs de télécommunications n'a pas été soumis antérieurement aux juges du fond et paraît comme tel irrecevable. La requête en annulation se fonde uniquement sur le fait que les données n'ont pu être obtenues que grâce à leur conservation généralisée et indifférenciée. Ce n'est que de manière très incidente que cette requête évoque la contrariété de la législation française au droit de l'Union européenne en ce qu'elle ne subordonne pas l'accès des enquêteurs aux données de connexion à un contrôle préalable par une juridiction ou une autorité administrative indépendante (page 57), sans d'ailleurs instaurer aucune discussion sur le point de savoir si le juge d'instruction satisfait aux exigences européennes. A supposer que ces branches du moyen soient recevables, les critiques soulevées par le demandeur ne peuvent sérieusement prospérer. Pour les raisons qui seront exposées plus loin, M. [U] n'a aucune qualité à agir pour invoquer la nullité de toutes les autres réquisitions de données de connexion y compris celles délivrées en enquête préliminaire. Les données de trafic et de localisation qui le concernent directement ont toutes été obtenues dans le cadre de l'exécution d'une commission rogatoire délivrée par le juge d'instruction et sous le contrôle de ce magistrat. 52
Article 706-73, 3° du code de procédure pénale
41 La CJUE a jugé dans son arrêt Prokuratuur du 2 mars 2021 que l'accès des autorités nationales compétentes aux données conservées devait être subordonné à un contrôle préalable effectué par une juridiction ou une autorité administrative indépendante. Les critères définis par la Cour, permettant de vérifier l'exigence statutaire d'indépendance, en particulier la qualité de tiers dans la procédure pénale et la neutralité, ne concernent que les situations dans lesquelles le contrôle préalable de l'accès aux données conservées est effectué non par une juridiction mais par une entité administrative indépendante (§ 53 et 54 de la décision et § 108 de l'arrêt Commissioner of An Garda Síochána). Il est exigé de la juridiction, comme d'ailleurs de l'entité administrative, qu'elle soit en mesure d'effectuer un juste équilibre entre les intérêts liés à l'efficacité de l'enquête dans le cadre de la lutte contre la criminalité et ceux qui touchent à la protection des données à caractère personnel des personnes concernées par l'accès (§ 52 de l'arrêt Prokuratuur et § 197 de l'arrêt Commissioner of An Garda Síochána). Le juge d'instruction satisfait manifestement à ces exigences. S'il est nécessairement un enquêteur, il instruit à charge et à décharge et il est tenu, comme tout juge, à un devoir d'impartialité. Comme le résume M. Christian Guéry, « la fonction du magistrat instructeur est spécifique parce qu'il est confronté plus qu'un autre à un double impératif, d'une part l'efficacité dans la recherche des auteurs des infractions, d'autre part le respect des droits fondamentaux de la personne » 53. Il en résulte que le moyen pris en ses deux dernières branches est irrecevable et à tout le moins mal fondé. Sur la sanction de la méconnaissance éventuelle du droit européen A supposer que les données de connexion aient conservées ou obtenues dans des conditions irrégulières, le problème se pose de savoir quelles conséquences devraient en être tirées en termes de procédure. Il résulte des arrêts de la CJUE « Quadrature du net » et « Prokuratuur », qu'il appartient au seul juge national de déterminer les règles relatives à l'admissibilité et à l'appréciation, dans le cadre d'une procédure pénale ouverte à l'encontre de personnes soupçonnées d'actes de criminalité grave, d'informations et d'éléments de preuve qui ont été obtenus par une conservation de données contraire au droit de l'Union. Selon une jurisprudence constante, cette latitude est toutefois conditionnée : l'application des règles nationales ne doit pas être moins favorable (principe
53
Christian Guéry, Dalloz action Droit et pratique de l'instruction préparatoire, § 113.71
d'équivalence) et rendre impossible en pratique ou excessivement difficile l'exercice des droits conférés par le droit de l'Union (principe d'effectivité). L'application stricte du principe d'équivalence conduit à examiner les moyens pris de la violation du droit européen selon la méthodologie précisée par la chambre criminelle dans sa jurisprudence récente en matière de nullités 54. « Hors les cas de nullité d'ordre public, qui touchent à la bonne administration de la justice, la chambre de l'instruction, saisie d'une requête en nullité, doit successivement d'abord rechercher si le requérant a intérêt à demander l'annulation de l'acte, puis, s'il a qualité pour la demander et, enfin, si l'irrégularité alléguée lui a causé un grief. Le requérant a intérêt à agir s'il a un intérêt à obtenir l'annulation de l'acte. Pour déterminer si le requérant a qualité pour agir en nullité, la chambre de l'instruction doit rechercher si la formalité substantielle ou prescrite à peine de nullité, dont la méconnaissance est alléguée, a pour objet de préserver un droit ou un intérêt qui lui est propre. L'existence d'un grief est établie lorsque l'irrégularité elle-même a occasionné un préjudice au requérant, lequel ne peut résulter de la seule mise en cause de celui-ci par l'acte critiqué ».
Nullité d'ordre public ou d'ordre privé ? La chambre criminelle a estimé dans un premier temps que les dispositions de l'article 77-1-1 prévoyant l'autorisation du procureur de la République en vue des réquisitions de données informatiques étaient édictées dans l'intérêt d'une bonne administration de la justice 55. Mais dans le dernier état de sa jurisprudence, elle exclut que l'on soit en présence d'une nullité d'ordre public 56. S'agissant des dispositions du droit de l'Union européenne dont la violation est invoquée, la CJUE énonce elle même que « la directive 2002/58 a pour finalité, ainsi qu'il ressort notamment de ses considérants 6 et 7, de protéger les utilisateurs des services de communications électroniques contre les dangers pour leurs données à caractère personnel et leur vie privée résultant des nouvelles technologies et, notamment, de la capacité accrue de stockage et de traitement automatisés de données ». Elle considère que les données relatives au trafic et les données de localisation peuvent non seulement révéler des informations sensibles concernant la vie privée des personnes concernées, mais permettre de tirer des conclusions précises
54
Crim. 7 septembre 2021, n° 21-80.642 et 20-97.191
55
Crim. 1 septembre 2005, n° 05-84.061, Bull. n° 211
56
Crim. 6 février 2018, n° 17-84.380, Bull. n° 30
43 concernant leurs habitudes, leurs déplacements, leurs relations et fournir, en particulier, les moyens d'établir le profil de ces personnes. Il en résulte que les exigences européennes en matière de conservation des données de connexion et d'accès à ces données sont manifestement d'ordre privé et non d'ordre public comme le demandeur l'a affirmé devant la chambre de l'instruction. Qualité à agir du demandeur La chambre de l'instruction ne s'est pas prononcée sur qualité à agir du demandeur étant rappelé que dans sa requête en nullité, l'intéressé sollicitait indistinctement « l'annulation de tous les procès-verbaux d'exploitation de facturation détaillée de la présente enquête» et notamment de ceux qui ont conduit à son interpellation. Pour apprécier si le requérant est concerné par l'irrégularité qu'il invoque, la chambre criminelle tient compte des finalités poursuivies par la formalité violée 57. Ce n'est que si la formalité a pour objet d'authentifier les éléments de preuve, que sa méconnaissance peut être invoquée par toute partie 58. En l'espèce, M. [F] [U] ne justifie d'aucun intérêt propre à invoquer la nullité de toutes les réquisitions délivrées aux opérateurs téléphoniques par les officiers de police judiciaire, tendant à obtenir les facturations détaillées et géolocalisées de lignes téléphoniques, y compris celles dont il n'est ni le titulaire ni l'utilisateur. Il n'établit pas non plus en quoi il a été porté atteinte à sa vie privée à l'occasion de telles investigations. Il en résulte que l'intéressé est irrecevable à invoquer la violation du droit de l'Union européenne en matière de conservation des données de connexion et d'accès des enquêteurs à ces données s'agissant des lignes qui ne lui sont pas attribuées. Les éventuelles irrégularités concernant les conditions dans lesquelles les données de connexion ont été recueillies et stockées ne peuvent donc concerner que l'exploitation de factures détaillées relatives aux lignes attribuées à l'intéressé par les enquêteurs ou aux lignes avec lesquelles il a été en relation. Existence d'un grief 57
Outre les arrêts précités du 7 septembre 2021, voir Crim., 21 février 2017, n° 16-85.542 : « Le demandeur, qui ne se prévaut d'aucun droit sur les véhicules géolocalisés ni sur le parking souterrain d'immeuble dans lequel l'un des dispositifs de géolocalisation a été posé, est irrecevable à invoquer une irrégularité affectant cette mesure, dès lors qu'il n'établit pas qu'à cette occasion il aurait été porté atteinte à un autre intérêt qui lui serait propre ». 58
Voir Crim. 9 novembre 2021, n° 21-83.095, à propos de la pesée de produits stupéfiants
Ce grief paraît devoir être analysé au seul regard du principe du procès équitable en se référant aux exigences posées par la CJUE s'agissant de l'admissibilité des éléments de preuve fournis par l'exploitation des données de connexion dans des conditions contraires au droit de l'Union. La CJUE estime que les États membres n'ont pas nécessairement à écarter les preuves collectées de manière contraire au droit de l'Union, dès lors que les personnes soupçonnées sont en mesure de les « commenter efficacement ». La notion de « commentaire efficace » suggère que la Cour entend subordonner l'admissibilité et l'exploitation des données de connexion à la possibilité pour la personne poursuivie de les discuter de manière contradictoire. Or, dans le présent dossier, M. [U] est en mesure de prendre position utilement sur les éléments issus de la téléphonie, voire de solliciter des actes, notamment une expertise technique sur la validité des conclusions tirées par les enquêteurs de l'exploitation des données de connexion. On ne peut d'ailleurs que constater que le demandeur n'allègue aucun grief tel qu'une atteinte à sa vie privée découlant d'une éventuelle méconnaissance du droit de l'Union. Et pour cause ! Il ne reconnaît pas être titulaire ou utilisateur de la ligne qui lui a été attribuée par les enquêteurs. L'inopposabilité des données de connexion Rappelons que pour la CJUE, les données collectées doivent exercer une influence prépondérante sur l'appréciation des faits, ce qui revient à dire qu'une décision de condamnation ne pourrait se fonder ni exclusivement, ni même essentiellement sur des éléments recueillis dans des conditions irrégulières. La réponse à la question de savoir si les données recueillies ont exercé ou non une influence prépondérante sur l'issue de la procédure paraît cependant devoir être réservée à la juridiction de jugement, si elle est ultérieurement saisie. Plus généralement, il n'est pas certain que la nullité des actes irréguliers soit en l'état la seule sanction envisageable. On peut se demander en effet si les exigences de sécurité juridique et de prévisibilité des règles de procédure ne doivent pas conduire à moduler dans le temps la nature de la sanction de la violation du droit européen. La CJUE semble exclure, a priori, une telle faculté, en décidant « qu'une juridiction nationale ne peut faire application d'une disposition de son droit national qui l'habilite à limiter dans le temps les effets d'une déclaration d'illégalité lui incombant, en vertu de ce droit, à l'égard d'une législation nationale imposant aux fournisseurs de services de communications électroniques, en vue, notamment, de la sauvegarde de la sécurité nationale et de la lutte contre la criminalité, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation incompatible avec l'article 15, paragraphe 1, de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l'article 52, paragraphe 1, de la Charte » 59. 59
§ 228 de l'arrêt Quadrature du Net.
Mais il ne s'agit pas ici de refuser de tirer les conséquences d'une méconnaissance des exigences européennes mais d'adapter dans le temps la nature de la sanction qui doit y être apportée. Saisie de moyens invoquant l'irrégularité d'auditions en garde à vue, sans l'assistance d'un avocat et sans notification du droit de se taire, pratiquées à une date bien antérieure aux arrêts Salduz c/ Turquie et Dayanan c/ Turquie, rendus les 27 novembre 2008 et 13 octobre 2009 par la Cour européenne des droits de l'homme, la chambre criminelle a jugé en 2018 « qu'en l'absence, à la date des mesures critiquées, de jurisprudence établie ayant déduit de l'article 6, § 1 de la Convention européenne des droits de l'homme le droit pour la personne gardée à vue d'être assistée par un avocat lors de ses auditions et l'obligation de lui notifier le droit de garder le silence, l'exigence de prévisibilité de la loi et l'objectif de bonne administration de la justice [faisait] obstacle à ce que les auditions réalisées à cette date, sans que la personne gardée à vue ait été assistée d'un avocat pendant leur déroulement ou sans qu'elle se soit vue notifier le droit de se taire, soient annulées pour ces motifs ». Elle a précisé toutefois que « les déclarations incriminantes faites lors de ces auditions ne [pouvaient], sans que soit portée une atteinte irrémédiable aux droits de la défense, fonder une décision de renvoi devant la juridiction de jugement ou une déclaration de culpabilité » . En l'espèce c'est antérieurement à l'arrêt Quadrature du Net que les enquêteurs ont eu accès aux données de connexion récentes concernant M. [U]. On peut considérer qu'à la date des opérations litigieuses, la jurisprudence de la CJUE sur la conservation et l'accès aux données de connexion dans le cadre de la lutte contre la criminalité grave n'était pas encore consolidée, étant observé que demeuraient de nombreuses incertitudes sur l'interprétation de cette jurisprudence, ce qui explique d'ailleurs que plusieurs Etats membres aient saisi la Cour de questions préjudicielles. Une telle solution reviendrait alors à écarter à titre transitoire les informations obtenues dans des conditions irrégulières au regard des engagements conventionnels. Il est proposé en définitive de rejeter le pourvoi. Proposition Avis de REJET.