Réponse de la Cour
10. Les moyens sont réunis.
11. Afin de garantir l'effectivité de l'ensemble des dispositions du droit de l'Union européenne, le principe de primauté impose aux juridictions nationales d'interpréter, dans toute la mesure du possible, leur droit interne de manière conforme au droit de l'Union. A défaut de pouvoir procéder à une telle interprétation, le juge national a l'obligation d'assurer le plein effet des dispositions du droit de l'Union en laissant au besoin inappliquée, de sa propre autorité, toute disposition contraire de la législation nationale, même postérieure, sans qu'il [L] à demander ou à attendre l'élimination préalable de celle-ci par voie législative ou par tout autre procédé constitutionnel (
CJCE, arrêt du 9 mars 1978, Simmenthal, 106/77).
12. Il convient, dès lors, d'examiner si, à la date des réquisitions litigieuses, la réglementation française sur la conservation et l'accès aux données de connexion était conforme au droit de l'Union.
Sur la régularité de la conservation
Sur les exigences du droit de l'Union en matière de conservation générale et indifférenciée des données de connexion
13. La Cour de justice de l'Union européenne (CJUE) a dit pour droit qu'il résulte de l'article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009, lu à la lumière des articles 7, 8 et 11, ainsi que de l'
article 52, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne, que le droit de l'Union européenne s'oppose à une conservation généralisée et indifférenciée, à titre préventif, des données de trafic et de localisation aux fins de lutte contre la criminalité, quel que soit son degré de gravité. Seule est admise une conservation généralisée et indifférenciée de ces données, en cas de menace grave, réelle et actuelle ou prévisible pour la sécurité nationale, sur injonction faite aux fournisseurs de services de télécommunications électroniques, pouvant faire l'objet d'un contrôle effectif par une juridiction ou une autorité administrative indépendante, dont la décision est dotée d'un effet contraignant, chargée de vérifier l'existence d'une telle menace et le respect des conditions et garanties devant être prévues, injonction ne pouvant être émise que pour une période limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace.
14. En revanche, le droit de l'Union ne s'oppose pas à des mesures législatives prévoyant, aux fins de lutte contre la criminalité grave :
- une conservation ciblée des données relatives au trafic et des données de localisation qui soit délimitée, sur la base d'éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d'un critère géographique, pour une période temporellement limitée au strict nécessaire, mais renouvelable ;
- une conservation généralisée et indifférenciée des adresses IP attribuées à la source d'une connexion, pour une période temporellement limitée au strict nécessaire ;
- une conservation généralisée et indifférenciée des données relatives à l'identité civile, aux comptes et aux paiements des utilisateurs de moyens de communications électroniques ;
- le recours à une injonction faite aux fournisseurs de services de communications électroniques, au moyen d'une décision de l'autorité compétente soumise à un contrôle juridictionnel effectif, de procéder, pour une durée déterminée, à la conservation rapide des données relatives au trafic et des données de localisation dont disposent ces fournisseurs de services, dès lors que ces mesures assurent, par des règles claires et précises, que la conservation des données en cause est subordonnée au respect des conditions matérielles et procédurales afférentes et que les personnes concernées disposent de garanties effectives contre les risques d'abus.
15. Cette conservation rapide a pour fondement l'article 16 de la Convention du Conseil de l'Europe sur la cyber-criminalité, signée à Budapest le 23 novembre 2001, les Etats membres pouvant prévoir dans leur législation qu'un accès aux données de trafic et de localisation peut avoir lieu à des fins de lutte contre la criminalité grave, en vue de l'élucidation d'une infraction déterminée, dans le respect des conditions matérielles et procédurales prévues en droit européen (
CJUE, arrêt du 6 octobre 2020, La Quadrature du Net e.a., [4] e.a., C-511/18, C-512/18, C-520/18).
16. Selon la CJUE, la conservation rapide et l'accès aux données ainsi conservées peuvent porter sur les données stockées par les fournisseurs de services de communications électroniques sur la base des articles 5, 6 et 9 de la directive 2002/58/CE ou sur celle des mesures législatives prises en vertu de l'article 15, paragraphe 1 (CJUE, arrêt La Quadrature du net, précité, points 160 et 167).
17. Cette position a été maintenue dans l'arrêt Commissioner of An Ac Ad du 5 avril 2022 (C-140/20, points 85 et 87), la Cour ayant seulement écarté, à nouveau, la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation aux fins de lutte contre la criminalité grave pour répondre à une objection du gouvernement danois (même arrêt, points 96 à 100).
18. La conservation rapide peut donc porter sur les données que détiennent les opérateurs de télécommunications électroniques, soit pour leurs besoins propres, soit au titre d'une obligation de conservation imposée aux fins de sauvegarde de la sécurité nationale.
19. L'interprétation qui exclurait du champ d'application de la conservation rapide les données conservées aux fins de sauvegarde de la sécurité nationale priverait d'effet utile sa finalité, qui est de permettre aux autorités nationales, en matière de lutte contre la criminalité grave, d'accéder à des données qui n'ont pas été conservées dans ce but.
20. Par ailleurs, une telle mesure peut être étendue aux données relatives au trafic et aux données de localisation afférentes à des personnes autres que celles qui sont soupçonnées d'avoir projeté ou commis une infraction pénale grave, pour autant que ces données puissent, sur la base d'éléments objectifs et non discriminatoires, contribuer à l'élucidation d'une telle infraction, telles les données de la victime et celles de son entourage social ou professionnel (CJUE, arrêt Commissioner of An Ac Ad, précité, point 88).
Sur la conservation généralisée et indifférenciée des données de connexion en droit français
21. L'
article L. 34-1, III, du code des postes et des communications électroniques🏛, dans sa version en vigueur à la date des faits, imposait aux opérateurs de services de télécommunications électroniques la conservation généralisée et indifférenciée, pour une durée maximale d'un an, des données de connexion énumérées à l'article R. 10-13 dudit code, pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales.
22. Ce dernier texte, dans sa version en vigueur à la date des faits, précisait que cette obligation de conservation, d'une durée d'un an, portait sur :
a) les informations permettant d'identifier l'utilisateur ;
b) les données relatives aux équipements terminaux de communication utilisés ;
c) les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication ;
d) les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
e) les données permettant d'identifier le ou les destinataires de la communication.
23. Il prévoyait également que, pour les activités de téléphonie, l'opérateur devait conserver les données relatives au trafic et, en outre, celles permettant d'identifier l'origine et la localisation de la communication.
Sur la conformité du droit français au droit européen s'agissant de la conservation généralisée et indifférenciée des données de connexion
24. Il résulte des principes rappelés aux paragraphes 13 et 14 qu'il convient d'écarter les textes précités de droit interne en ce qu'ils imposaient aux opérateurs de services de télécommunications électroniques, aux fins de lutte contre la criminalité, la conservation généralisée et indifférenciée des données de connexion, à l'exception des données relatives à l'identité civile et aux informations relatives aux comptes et aux paiements, ainsi que, dans le cadre de la recherche et la répression de la criminalité grave, aux adresses IP.
25. En revanche, l'obligation de conservation des données de trafic et de localisation imposée aux opérateurs par l'
article L. 34-1, III, du code précité, mis en oeuvre par l'article R. 10-13 dudit code, en ce qu'elle permet notamment la recherche, la constatation et la poursuite des atteintes aux intérêts fondamentaux de la Nation et des actes de terrorisme, infractions incriminées aux
articles 410-1 à 422-7 du code pénal🏛, est conforme au droit de l'Union, comme poursuivant l'objectif de sauvegarde de la sécurité nationale.
26. La durée de conservation de ces données, pour une année, apparaît strictement nécessaire aux besoins de la sauvegarde de la sécurité nationale.
27. Pour autant, les dispositions des articles précités du
code des postes et des communications électroniques ne subordonnent pas le maintien de cette obligation de conservation à un réexamen périodique de l'existence d'une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale.
28. Il s'ensuit que cette obligation de conservation ne vaut injonction au sens où l'entend la CJUE et cette conservation n'est régulière que si le juge saisi du contentieux constate, sous le contrôle de la Cour de cassation, l'existence d'une menace présentant les caractéristiques précitées.
29. A cet égard, même en tenant compte de l'exigence du droit de l'Union selon laquelle cette conservation ne saurait présenter un caractère systémique (CJUE, arrêt La Quadrature du Net, précité, point 138), il résulte notamment des pièces régulièrement produites par le procureur général près la Cour de cassation relatives aux attentats commis en France depuis décembre 1994, soit antérieurement à la date des faits, que la France se trouve exposée, en raison du terrorisme et de l'activité de groupes radicaux et extrémistes, à une menace grave et réelle, actuelle ou prévisible à la sécurité nationale.
30. Dès lors, l'obligation faite aux opérateurs de télécommunications électroniques de conserver de façon généralisée et indifférenciée aux fins de sauvegarde de la sécurité nationale les données de connexion énumérées à l'
article R. 10-13 du code précité, qui ont fait l'objet des réquisitions litigieuses, était conforme au droit de l'Union.
31. Le Conseil d'Etat n'a d'ailleurs déclaré illégales les dispositions de cet article qu'en ce qu'elles imposaient aux opérateurs de communications électroniques, aux fournisseurs d'accès à internet et aux hébergeurs la conservation généralisée et indifférenciée des données de connexion, autres que les données relatives à l'identité civile, aux adresses IP et aux informations relatives aux comptes et aux paiements, aux fins de lutte contre la criminalité et de prévention des menaces à l'ordre public et ne prévoyaient pas un réexamen périodique de l'existence d'une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale (
CE, 21 avril 2021, Ae Af Ag, n° 393099⚖️, point 58).
Sur la conservation rapide en droit français
32. Il convient ensuite de rechercher s'il existait, à la date des faits, une réglementation conforme au droit de l'Union permettant la conservation rapide des données de trafic et de localisation. Une telle réglementation doit notamment préciser la ou les finalités pour laquelle ou lesquelles une conservation rapide peut être ordonnée (CJUE, arrêt La Quadrature du Net, précité, point 132).
33. A la date des faits, la communication des données de trafic ou de localisation conservées par les opérateurs de télécommunication pouvait faire l'objet de réquisitions lors d'une enquête de flagrance, en application des
articles 60-1 et 60-2 du code de procédure pénale🏛, par un officier de police judiciaire ou par un agent de police judiciaire agissant sous son contrôle, lors d'une enquête préliminaire, sur le fondement des articles 77-1-1 et 77-1-2 dudit code, sur autorisation du procureur de la République, enfin, en cas d'ouverture d'une information, en application des
articles 99-3 et 99-4, de ce code🏛, par un officier de police judiciaire autorisé par commission rogatoire du juge d'instruction. La régularité de ces opérations peut être contestée devant la chambre de l'instruction ou la juridiction de jugement, sous le contrôle de la Cour de cassation.
34. Ces dispositions, qui prévoyaient la communication immédiate des données de connexion aux autorités nationales compétentes, doivent être analysées comme valant injonction de conservation rapide, au sens de la Convention de Budapest. En effet, le rapport explicatif de celle-ci précise que l'injonction de conservation rapide peut résulter d'une injonction de produire.
35. En outre, aux termes du sixième alinéa du paragraphe III de l'article préliminaire du
code de procédure pénale, les mesures portant atteinte à la vie privée d'une personne ne peuvent être prises, sur décision ou sous contrôle effectif de l'autorité judiciaire, que si elles sont, au regard des circonstances de l'espèce, nécessaires à la manifestation de la vérité et proportionnées à la gravité de l'infraction.
36. Il s'ensuit que les dispositions précitées combinées peuvent être interprétées de façon conforme au droit de l'Union comme permettant, pour la lutte contre la criminalité grave, en vue de l'élucidation d'une infraction déterminée, la conservation rapide des données de connexion stockées, même conservées aux fins de sauvegarde de la sécurité nationale.
37. Il appartient à la juridiction, lorsqu'elle est saisie d'un moyen en ce sens, de vérifier, d'une part, que les éléments de fait justifiant la nécessité d'une telle mesure d'investigation répondent à un critère de criminalité grave, dont l'appréciation relève du droit national, d'autre part, que la conservation rapide des données de trafic et de localisation et l'accès à celles-ci respectent les limites du strict nécessaire.
38. S'agissant de la gravité des faits, il appartient au juge de motiver sa décision au regard de la nature des agissements de la personne poursuivie, de l'importance du dommage qui en résulte, des circonstances de la commission des faits et de la durée de la peine encourue.
Sur l'accès aux données
Sur les exigences européennes en matière d'accès aux données
39. La CJUE a jugé (
CJUE, arrêt du 2 mars 2021, H.K./Prokuratuur, C-746/18) que l'accès aux données de connexion ne peut être autorisé que :
- si ces données ont été conservées conformément aux exigences du droit européen ;
- s'il a eu lieu pour la finalité ayant justifié la conservation ou une finalité plus grave, sauf conservation rapide ;
- s'il est limité au strict nécessaire ;
- s'agissant des données de trafic et de localisation, s'il est circonscrit aux procédures visant à la lutte contre la criminalité grave ;
- et s'il est soumis au contrôle préalable d'une juridiction ou d'une entité administrative indépendante.
Sur l'exigence d'un contrôle préalable
40. Il résulte de la jurisprudence de la CJUE que l'article 15, paragraphe 1, de la directive 2002/58/CE, lu à la lumière des articles 7, 8 et 11, ainsi que de l'article 52, paragraphe 1, de la Charte des droits fondamentaux, s'oppose à une réglementation nationale donnant compétence au ministère public, qui dirige la procédure d'enquête et exerce, le cas échéant, l'action publique, pour autoriser l'accès d'une autorité publique aux données relatives au trafic et à la localisation (CJUE, arrêt H.K./Prokuratuur, précité). Elle juge également qu'un fonctionnaire de police ne constitue pas une juridiction et ne présente pas toutes les garanties d'indépendance et d'impartialité requises (CJUE, arrêt Commissioner of An Ac Ad, précité).
41. En effet, la CJUE rappelle qu'il est essentiel que l'accès des autorités nationales compétentes aux données conservées soit subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante, susceptible d'assurer un juste équilibre entre, d'une part, les intérêts liés aux besoins de l'enquête dans le cadre de la lutte contre la criminalité grave, et, d'autre part, les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel.
42. Ainsi, les
articles 60-1, 60-2, 77-1-1 et 77-1-2 du code de procédure pénale🏛 sont contraires au droit de l'Union uniquement en ce qu'ils ne prévoient pas un contrôle préalable par une juridiction ou une entité administrative indépendante.
43. En revanche, le juge d'instruction est habilité à contrôler l'accès aux données de connexion. En effet, d'une part, il n'est pas une partie à la procédure mais une juridiction qui statue notamment sur les demandes d'actes d'investigation formées par les parties, lesquelles disposent d'un recours en cas de refus ; d'autre part, il n'exerce pas l'action publique mais statue de façon impartiale sur le sort de celle-ci, mise en mouvement par le ministère public ou, le cas échéant, la partie civile.
Sur les conséquences de la méconnaissance des exigences du droit de l'Union européenne
44. La CJUE juge qu'il appartient à l'ordre juridique interne de chaque État membre, en vertu du principe d'autonomie procédurale, de régler les modalités procédurales des recours en justice destinés à assurer la sauvegarde des droits que les justiciables tirent du droit de l'Union, à condition toutefois qu'elles ne soient pas moins favorables que celles régissant des situations similaires soumises au droit interne - principe d'équivalence - et qu'elles ne rendent pas impossible en pratique ou excessivement difficile l'exercice des droits conférés par le droit de l'Union - principe d'effectivité - (CJUE, arrêt La Quadrature du Net, précité, point 223).
45. Le principe d'effectivité impose au juge pénal national d'écarter des informations et des éléments de preuve qui ont été obtenus au moyen d'une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation incompatible avec le droit de l'Union ou encore au moyen d'un accès à ces données en violation de ce droit, à l'occasion d'une procédure pénale ouverte à l'encontre de personnes soupçonnées d'actes de criminalité, si celles-ci ne sont pas en mesure de commenter efficacement ces informations et ces éléments de preuve, provenant d'un domaine échappant à la connaissance des juges et qui sont susceptibles d'influencer de manière prépondérante l'appréciation des faits (CJUE, arrêt La Quadrature du Net, précité, points 226 et 227).
46. A cet égard, il résulte des
articles 156 et suivants du code de procédure pénale🏛 que toute personne mise en examen peut solliciter du juge d'instruction une expertise et, le cas échéant, une contre-expertise, sous le contrôle de la chambre de l'instruction, lorsque se pose une question d'ordre technique. Il en est de même devant la juridiction de jugement.
47. Il s'ensuit que la législation française offre ainsi à toute personne mise en examen ou poursuivie la possibilité de contester efficacement la pertinence des éléments de preuve résultant de l'exploitation des données de connexion.
48. Le principe d'équivalence commande que l'ensemble des règles de procédure nationales s'applique indifféremment aux recours fondés sur la violation du droit de l'Union et aux recours fondés sur la méconnaissance du droit interne ayant un objet et une cause semblables.
49. Hors les cas de nullité d'ordre public, qui touchent à la bonne administration de la justice, la juridiction, saisie d'une requête ou d'une exception de nullité, doit d'abord rechercher si le requérant a intérêt à demander l'annulation de l'acte, puis, s'il a qualité pour la demander et, enfin, si l'irrégularité alléguée lui a causé un grief. Pour déterminer si le requérant a qualité pour agir en nullité, la juridiction doit examiner si la formalité substantielle ou prescrite à peine de nullité, dont la méconnaissance est alléguée, a pour objet de préserver un droit ou un intérêt qui lui est propre (
Crim., 7 septembre 2021, pourvoi n° 21-80.642⚖️, publié au Bulletin).
50. Les exigences européennes en matière de conservation et d'accès aux données de connexion ont pour objet la protection du droit au respect de la vie privée, du droit à la protection des données à caractère personnel et du droit à la liberté d'expression (CJUE, arrêt La Quadrature du Net, précité), de sorte que leur méconnaissance n'affecte qu'un intérêt privé.
51. Il en est ainsi en particulier de l'exigence d'un contrôle préalable par une juridiction ou une entité administrative indépendante qui vise à garantir, en pratique, le plein respect des conditions d'accès aux données à caractère personnel, telles que précisées au paragraphe 39, et notamment que l'ingérence dans l'exercice des droits précités est limitée à ce qui est strictement nécessaire (CJUE, arrêt H.K./Prokuratuur précité, points 51 et 58 ; CJUE, arrêt Commissioner of An Ac Ad précité, point 110).
52. Il s'ensuit qu'en application du principe d'équivalence, la personne mise en examen ou poursuivie n'est recevable à invoquer la violation de cette exigence en matière d'accès aux données de connexion que si elle prétend être titulaire ou utilisatrice de l'une des lignes identifiées ou si elle établit qu'il aurait été porté atteinte à sa vie privée, à l'occasion des investigations litigieuses (
Crim., 6 février 2018, pourvoi n° 17-84.380⚖️, Ah. crim. 2018, n° 30).
53. Enfin, le juge pénal ne peut prononcer la nullité, en application des dispositions de l'
article 802 du code de procédure pénale🏛, que si l'irrégularité elle-même a occasionné un préjudice au requérant, lequel ne peut résulter de la seule mise en cause de celui-ci par l'acte critiqué (
Crim., 7 septembre 2021, précité).
54. La Cour de cassation juge que l'irrégularité fait nécessairement grief au requérant, lorsque la méconnaissance de la règle a irrévocablement affecté les droits de celui-ci.
55. Tel est le cas lorsque l'acte attentatoire à la vie privée a été accompli par une autorité qui n'était pas compétente, à défaut d'y avoir été autorisée, conformément à la loi. Tel est également le cas lorsque l'acte n'a pas été motivé par l'autorité compétente pour l'ordonner alors qu'il devait l'être (
Crim., 8 juillet 2015, pourvoi n° 15-81.731⚖️, Ah. crim. 2015, n° 174).
56. A défaut, il appartient au requérant de justifier d'une atteinte à ses intérêts. La Cour de cassation juge qu'il en est ainsi notamment lorsque l'acte attentatoire à la vie privée a été accompli par un agent compétent mais sans le contrôle d'un tiers alors que celui-ci était prévu par la loi (
Crim., 7 décembre 2021, pourvoi n° 20-82.733⚖️, publié au Bulletin). C'est le cas du procureur de la République ou de l'officier de police judiciaire compétent en vertu du droit national pour accéder aux données de connexion, mais qui agit sans le contrôle préalable d'une juridiction ou d'une entité administrative indépendante.
57. Il se déduit des principes énoncés ci-dessus aux paragraphes 50 et 51 que cette absence de contrôle indépendant préalable ne peut faire grief au requérant que s'il établit l'existence d'une ingérence injustifiée dans sa vie privée et dans ses données à caractère personnel, de sorte que cet accès aurait dû être prohibé.
58. Il appartient, dès lors, à la chambre de l'instruction de s'assurer du respect des quatre premières conditions énoncées au paragraphe 39 et notamment de ce que, d'une part, l'accès a porté sur des données régulièrement conservées, d'autre part, la ou les catégories de données visées, ainsi que la durée pour laquelle l'accès à celles-ci a eu lieu, étaient, au regard des circonstances de l'espèce, limitées à ce qui était strictement justifié par les nécessités de l'enquête.
59. En l'espèce, pour rejeter la demande de nullité résultant des modalités de conservation et d'accès aux données de connexion concernant M. [Ab] [Ai], la chambre de l'instruction énonce que les lignes téléphoniques utilisées par celui-ci ont été exploitées par les enquêteurs, suite à leur identification dans le cadre de l'exploitation du flux des bornes couvrant les lieux intéressant l'enquête, à savoir la scène de crime d'[Localité 2] au moment du meurtre, la scène de l'incendie du véhicule Mercedes des auteurs à [Localité 1] et le secteur du domicile de la victime, [D] [P], à [Localité 3], où était localisé de manière récurrente le véhicule utilisé par les tueurs.
60. Elle précise que l'obtention de ces données et leur exploitation ont permis de localiser l'intéressé à proximité des lieux où se trouvait [D] [P], d'en conclure qu'il surveillait ce dernier et de constater qu'il se trouvait encore aux abords de son domicile peu de temps avant son assassinat, de sorte qu'il a pu donner le signal du départ à un individu pour venir le rejoindre à cet endroit où la victime a été abattue peu de temps après.
61. Elle ajoute que M. [L] [E], mis en examen le 26 juin 2020, a eu accès à la procédure à partir de cette date et était donc, depuis lors, en mesure de commenter efficacement l'ensemble des éléments de la procédure qui caractérisait des indices graves ou concordants rendant vraisemblable son implication comme auteur ou complice des faits.
62. Elle conclut que l'ingérence alléguée dans la vie privée de M. [Ab] [E] du fait des réquisitions des enquêteurs aux opérateurs téléphoniques est prévue par la loi, qu'elle a eu un but légitime qui est celui de la recherche d'infractions pénales relevant de la criminalité grave, en l'espèce meurtre et tentative de meurtre en bande organisée, destruction par moyen dangereux en bande organisée, association de malfaiiteurs, recel en bande organisée, que cet objectif tendant à la recherche d'infractions pénales est nécessaire dans une société démocratique, et que cette ingérence apparaît proportionnée à la poursuite de l'objectif.
63. En l'état de ces motifs, dont il résulte que l'accès aux informations litigieuses a porté sur des données régulièrement conservées et qu'il a eu lieu en vue de la poursuite d'infractions relevant de la criminalité grave, dans des conditions limitant cet accès à ce qui était strictement justifié par les nécessités de l'enquête, la chambre de l'instruction n'a méconnu aucun des textes visés au moyen.
64. En conséquence, celui-ci doit être écarté.
65. Par ailleurs l'arrêt est régulier en la forme.