Par Jean-Baptiste Thierry – Maître de conférences à l’Université de Lorraine

Mardi 12 juillet, la Cour de cassation s’est notamment prononcée sur les conditions dans lesquelles les procureurs de la République pouvaient accéder et conserver les données de trafic et de localisation de personnes pendant une enquête. Ces arrêts ont donné à lieu à une réaction inédite et indignée de la Conférence nationale des procureurs de la République qui dénonce dans un communiqué « un obstacle majeur à l’identification de délinquants et criminels ».

Que contestaient les requérants devant la Cour de cassation et comment y répond-elle ? 

Dans les quatre arrêts, les individus mis en examen contestaient le refus de différentes chambres de l’instruction d’avoir écarté les requêtes en nullité qu’ils avaient formées relatives aux conditions de conservation et d’accès à leurs données de trafic et de localisation (les données d’identité n’étaient pas en cause). Ils invoquaient pour cela la jurisprudence de la Cour de justice de l’Union européenne relative à l’interprétation de l’article 15 de la directive « vie privée » du 12 juillet 2002, lu à la lumière des dispositions de la Charte des droits fondamentaux de l’Union européenne. La CJUE a en effet une jurisprudence fournie sur cette question, qu’elle a progressivement précisée dans ses arrêts Ministerio Fiscal, Quadrature du Net, Prokuratuur, et Commissioner of An Garda Siochana.

La Cour de cassation rappelle en premier lieu le cadre de cette jurisprudence, pour constater que l’article L. 34-1 du Code des postes et des communications électroniques, dans sa version alors applicable, qui prévoyait une conservation généralisée et indifférenciée des données de connexion était conforme au droit de l’Union européenne en raison de la nécessité d’assurer la sauvegarde de la sécurité nationale. Ce raisonnement reprend celui que le Conseil d’État avait utilisé dans sa décision French Data Network et autres du 21 avril 2021. Elle relève ensuite que la « conservation rapide » des données est autorisée par la jurisprudence de la CJUE et qu’elle correspond en droit interne aux réquisitions informatiques prévues dans le code de procédure pénale. Toutefois, et comme l’exige le droit de l’Union, pour être régulière cette conservation rapide ne peut concerner que des faits relevant de la « criminalité grave » et être strictement nécessaire.

La Cour de cassation examine en deuxième lieu la question de l’accès à ces données et relève que les dispositions relatives aux réquisitions informatiques intervenant pendant l’enquête sont contraires au droit de l’Union. En effet, la CJUE exige que l’accès à ces données soit préalablement autorisé par une autorité indépendante. Cette indépendance – qui se rapproche plutôt de l’impartialité – suppose que l’autorité qui contrôle l’accès aux données de connexion ait la qualité de tiers par rapport à celle qui demande l’accès aux données. Or, dans sa décision Prokuratuur, la CJUE avait relevé que « tel n’est pas le cas d’un ministère public qui dirige la procédure d’enquête et exerce, le cas échéant, l’action publique. En effet, le ministère public a pour mission non pas de trancher en toute indépendance un litige, mais de le soumettre, le cas échéant, à la juridiction compétente, en tant que partie au procès exerçant l’action pénale ». La Cour de cassation en déduit logiquement que la possibilité reconnue par le code de procédure pénale au procureur de la République d’autoriser l’accès aux données de connexion est contraire au droit de l’Union. En revanche, tel n’est pas le cas du juge d’instruction, « qui n’est pas une partie à la procédure mais une juridiction, n’exerce pas l’action publique et statue de façon impartiale sur le sort de celle-ci, mise en mouvement par le ministère public ou, le cas échéant, la partie civile, [et] doit être regardé comme étant habilité à contrôler l’accès aux données de connexion ».

En dernier lieu, la Cour de cassation applique ces différents principes aux situations dont elle était saisie. De manière très pragmatique, elle précise les conditions de la nullité de réquisitions d’accès aux données de connexion. D’abord, il n’y a que la personne concernée qui peut l’invoquer : elle doit être titulaire ou utilisatrice de la ligne concernée. Ensuite, la nullité en cause est une cause de nullité d’ordre privé, c’est-à-dire qu’elle est soumise à la preuve d’un grief subi par la personne qui l’invoque. Or, « l’absence de contrôle indépendant préalable ne peut faire grief au requérant que s’il établit l’existence d’une ingérence injustifiée au respect de sa vie privée et à la protection de ses données à caractère personnel, de sorte que cet accès aurait dû être prohibé ». Cette précision est particulièrement restrictive car la nullité ne pourra être prononcée que si les données auxquelles il a été accédé ont été conservées irrégulièrement – ce qui est hypothétique en ces temps de risque pour la sécurité nationale – et qu’il a été accédé à des données non strictement nécessaires à l’enquête. On le voit, cette précision de la Cour de cassation limitera considérablement les chances de succès des requêtes en nullité.

Concrètement, de quels pouvoirs se trouvent privés les procureurs et à quelles conditions pourront-ils désormais accéder aux données de connexion et de géolocalisation ? 

Les procureurs étaient déjà privés factuellement de l’accès aux données de connexion pour les infractions les moins graves. Depuis la décision du Conseil constitutionnel du 3 décembre 2021, l’accès général et indifférencié aux données de connexion pendant l’enquête préliminaire avait déjà été réduit, pour des raisons différentes du droit de l’Union. En revanche, l’accès aux mêmes données pendant l’enquête de flagrance ne méconnaît pas les exigences constitutionnelles, pas plus que pendant l’information judiciaire.

Depuis la loi n° 2022-299 du 2 mars 2022, les conditions dans lesquelles il est possible d’avoir accès aux données de connexion pendant l’enquête (phase menée par le procureur de la République) ont été resserrées. Ainsi, seuls sont concernés les crimes et délits punis d’au moins trois ans d’emprisonnement, les délits punis d’au moins un an d’emprisonnement commis par l’utilisation d’un réseau de communications électroniques, les délits punis d’une peine d’emprisonnement lorsque l’accès concerne les équipements terminaux de la victime et intervient à la demande de celle-ci, ou les enquêtes permettant de retrouver une personne disparue.

Dans le cadre d’une enquête, l’accès aux données de connexion reste possible, mais il est conditionné par deux critères : celui de la criminalité grave, d’une part, et celui de la stricte nécessité, d’autre part. Il n’est exclu que pour les infractions les moins graves. Il sera donc indispensable que les procureurs de la République exercent un réel contrôle lors de la délivrance de l’autorisation d’accès à ces données. Jusqu’alors, la Cour de cassation avait une appréhension très compréhensive, pour ne pas dire permissive, de l’autorisation délivrée par le procureur de la République. En effet, elle jugeait de manière constante que cette autorisation n’est soumise à aucune forme particulière et qu’il n’est pas nécessaire que figure à la procédure « la formalisation écrite et préalable d’une demande d’autorisation ou de cette autorisation elle-même ni l’indication de la forme sous laquelle cette autorisation a été donnée ». Elle a également approuvé des juges du fond qui avaient refusé d’annuler des réquisitions qui « s’inscrivent dans la logique de la première autorisation et s’enchaînent dans un ensemble cohérent, compte tenu des renseignements recueillis ».

La Cour de cassation a en outre donné des indications pour apprécier le critère de la « criminalité grave » justifiant la conservation rapide des données : il faut prendre en compte la nature des agissements, l’importance du dommage qui en résulte, les circonstances de commission des faits et la durée de la peine encourue. Il s’agit donc d’une appréciation factuelle qui sera opérée par les juges du fond : aux procureurs de la République d’anticiper ces aspects pour réserver les réquisitions aux hypothèses les plus indiscutables.

Cela constitue-t-il à votre sens un obstacle à la lutte contre l’identification des délinquants et le critère de la criminalité grave vous parait-il opportun ?  

Plutôt qu’un obstacle, il s’agit d’un changement de pratique. On passe d’une situation où il était possible d’accéder à toutes les données pour n’importe quelle infraction à une situation où un contrôle va devoir s’exercer sur la nécessité de l’accès aux données de trafic et de localisation. Il ne devient pas impossible, mais plus restreint, ce dont on ne peut que se féliciter au regard de la protection des droits. L’avocat général Frédéric Desportes mentionnait 1 726 144 réquisitions en 2021 aux fins d’obtention de données de connexion : on peut légitimement se demander si elles étaient toutes strictement nécessaires et l’idée qu’un contrôle s’opère sur l’accès n’apparaît pas saugrenue. La facilité d’accès et la grande tolérance dont la jurisprudence judiciaire faisait preuve jusqu’alors allaient à l’encontre du caractère très attentatoire à la vie privée que représentent la conservation et l’accès aux données de connexion. Sauf à aller expressément à l’encontre du droit européen, en mobilisant un principe inhérent à l’identité constitutionnelle de la France, la décision de la Cour de cassation était inéluctable. Elle n’a en revanche pas été anticipée, ce qui est regrettable.

Quant au critère de la criminalité grave, il ne paraît pas constituer un obstacle insurmontable pour les services d’enquête. Il est au contraire suffisamment souple pour justifier l’accès aux données de connexion. Les critères donnés par la Cour de cassation sont plus larges qu’une référence au seul quantum de la peine encourue. Dans les affaires ayant donné lieu aux arrêts du 12 juillet, la gravité ne faisait guère de doute : des faits de trafic de stupéfiants, d’enlèvement et séquestration en bande organisée, de meurtre et tentative de meurtre en bande organisée… Ce que les procureurs de la République ont regretté dans la prise de position – peu commune et critiquable – de la conférence nationale des procureurs de la République est la malléabilité du critère. On pourrait aisément répondre que cette malléabilité permettra justement de justifier l’accès aux données de connexion.

Les procureurs et enquêteurs doivent donc changer de culture de l’investigation. Les réactions sur la jurisprudence relative aux données de connexion ne sont pas sans rappeler celles qui étaient intervenues lors des décisions européennes et nationales sur l’absence de l’avocat pendant les interrogatoires d’une personne gardée à vue. Les craintes qui étaient alors exprimées ne se sont pas concrétisées : le grand pragmatisme de la Cour de cassation sur l’accès aux données de connexion devrait produire les mêmes effets. Si la téléphonie constitue un outil important, il faut tout de même se rappeler que ce n’est pas le seul et qu’il est, finalement, assez récent. Il ne s’agit pas de faire sans, mais de faire différemment.

Les décisions de la Cour de cassation, après celles de la CJUE, du Conseil constitutionnel et du Conseil d’État, parachèvent donc la construction jurisprudentielle de la protection des données de connexion. C’est désormais au législateur qu’il appartient de faire un choix permettant de prendre en compte ces exigences en confiant, par exemple, au juge des libertés et de la détention le soin d’opérer le contrôle de l’accès aux données. Ce qui n’est qu’une manière de revenir, une fois encore, sur la question des moyens de l’institution judiciaire.

[vcex_button url= »https://www.leclubdesjuristes.com/newsletter/ » title= »Abonnement à la newsletter » style= »flat » align= »center » color= »black » size= »medium » target= » rel= »none »]En savoir plus…[/vcex_button]