Est-ce vraiment un "pavé dans la mare de la procédure pénale" ? Les enquêtes seront-elles "bloquées" ? Pas si sûr à y regarder de près les arrêts de la Cour de cassation rendus ce 12 juillet dernier. Ce qui est sûr en revanche c'est que la pratique était en France en contradiction avec l'application des principes européens et la jurisprudence de le CJUE. Explication de texte.
Par plusieurs arrêts publiés, la chambre criminelle de la Cour de cassation tire en effet les conséquences des décisions rendues par la Cour de justice de l’Union européenne relatives à la conservation des données de connexion et à l’accès à celles-ci dans le cadre de procédures pénales.
Les États membres de l'UE (dont la France) ne peuvent imposer aux opérateurs de communications, fournisseurs d’accès internet et hébergeurs, une conservation généralisée et indifférenciée de toutes les données de trafic et localisation.
Par exception, la conservation de données personnelles peut avoir lieu, sous conditions, en cas de menace grave et actuelle pour la sécurité nationale.
Pour élucider une infraction relevant de la criminalité grave, on peut imposer aux opérateurs et fournisseurs de procéder à la conservation « rapide » des données, s’ils entourent cette obligation de garanties.
Mais, l'accès à ces données doit être autorisé par une juridiction ou une entité administrative indépendante.
Il s’agit des :
1°) données de trafic, qui établissent les contacts qu’une personne a eus par téléphone ou SMS et permettent de connaître la date et l'heure de ces contacts ainsi que la durée de l'échange (on peut en apprendre beaucoup sur des liens entre délinquants) ;
2°) données de localisation, qui permettent de connaître les zones d'émission et de réception d'une communication passée avec un téléphone mobile, mais aussi d'obtenir la liste des appels ayant borné à la même antenne relais (ces données peuvent s'avérer précieuses).
Ces données sont accessibles sur les « fadettes » (acronyme de facture détaillée).
Que dit le droit européen ?
La Cour de justice de l’Union européenne (CJUE) juge que ces données sont « susceptibles de révéler des informations sur un nombre important d’aspects de la vie privée des personnes concernées, y compris des informations sensibles, telles que l’orientation sexuelle, les opinions politiques, les convictions religieuses, philosophiques, sociétales ou autres ainsi que l’état de santé […]. Prises dans leur ensemble, lesdites données peuvent permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci. » (v. l'arrêt de la CJUE rendu par la grande chambre, le 5 avril 2022, dans l’affaire C‑140/20)
Dans les espèces soumises à la Cour de cassation, quel était le problème juridique posé ?
Dans plusieurs affaires, des personnes mises en examen ont demandé l’annulation des réquisitions portant sur leurs données de trafic et de localisation, délivrées par des enquêteurs agissant en enquête de flagrance sous le contrôle du procureur ou sur commission rogatoire, ainsi que des actes d’exploitation de ces données.
Selon les requérants, ces données avaient fait l’objet :
- d’une conservation irrégulière car la législation française alors en vigueur imposait aux opérateurs de conserver pendant un an l’ensemble des données de connexion pour la recherche des infractions pénales ;
- d’un accès irrégulier car ces données personnelles ont été obtenues par les enquêteurs avec l’autorisation du procureur ou du juge d’instruction, qui ne sont ni une juridiction ni une entité administrative indépendante.
Quels étaient les principes applicables ?
Afin de garantir l’effectivité du droit de l’UE, le juge national doit interpréter le droit français de manière conforme au droit de l’UE. À défaut de procéder à une telle interprétation conforme, le juge national est tenu de laisser inappliquées les règles de droit français contraires au droit de l’UE. Si le juge ne respecte pas la législation de l’UE, il expose l’Etat à un recours en manquement.
Conservation générale des données de trafic et de localisation (régime antérieur à la loi du 30 juill.2021)
La sauvegarde de la sécurité nationale permettait une conservation générale et indifférenciée des données.
La réglementation française en ce qu’elle prévoyait la conservation générale des données de connexion pour la protection des intérêts fondamentaux de la Nation et la lutte contre le terrorisme était conforme au droit de l’Union, sous réserve d’un réexamen périodique de l’existence d’une menace grave pour la sécurité nationale.
Dans les affaires examinées, une menace pour la sécurité de la Nation existait avant les faits : c’est ce qui ressort des pièces produites par le procureur général près la Cour de cassation relatives aux attentats commis en France depuis décembre 1994. La durée de conservation pendant un an est jugée strictement nécessaire à la sauvegarde de la sécurité nationale.
En revanche, la conservation générale à d’autres fins était contraire au droit de l’Union.
Les données conservées par les opérateurs pour leurs besoins propres ou au titre de sauvegarde de la sécurité nationale, peuvent l’être également, à la demande des enquêteurs, par voie de réquisitions, pour la répression d’une infraction grave déterminée.
Les réquisitions valent alors injonction de conservation « rapide ».
Afin de s’assurer du respect du droit de l’Union, lorsqu’il est saisi d’un moyen de nullité critiquant la régularité des réquisitions, le juge doit vérifier que :
- les faits en cause relèvent de la criminalité grave ;
- la conservation « rapide » des données de connexion et l’accès à celles-ci respectent les limites du strict nécessaire.
Accès aux données de trafic et de localisation
Le juge d’instruction, qui est une juridiction, peut contrôler l’accès aux données ; le procureur de la République, qui n’est pas un tiers dans les enquêtes, ne peut y procéder.
La loi en ce qu’elle permet au procureur de la République, ou à un enquêteur, d’accéder aux données est contraire au droit de l’Union car elle ne prévoit pas un contrôle préalable par une juridiction ou une entité administrative indépendante.
Le procureur dirige la procédure d'enquête et exerce, au besoin, l'action publique : il est impliqué dans la conduite de l’enquête et n’a pas une position de neutralité vis-à-vis des parties à la procédure, comme l’exige le droit de l’UE.
En revanche, le juge d'instruction est habilité à exercer ce contrôle, puisqu’il n’est pas une partie à la procédure mais une juridiction et qu’il n’exerce pas l’action publique.
Ainsi, la personne mise en examen peut, sous certaines conditions, invoquer la violation de l’exigence de contrôle indépendant de l’accès à ses données de connexion.
L’acte ayant permis d’accéder aux données ne peut être annulé par le juge que s’il a été porté atteinte à la vie privée de la personne mise en examen et si celle-ci a subi un préjudice.
La Cour de cassation précise les conséquences d’un accès irrégulier aux données de connexion sur la validité des actes d’enquête :
- La loi donne à la personne mise en examen la possibilité de contester la pertinence des preuves tirées de ses données, en particulier dans le cadre d’une demande d’expertise
- Le droit de l’UE cherche à protéger la vie privée : ne pas le respecter revient à porter atteinte à un intérêt privé. Dès lors, la personne mise en examen ne peut invoquer la violation des exigences en matière de contrôle de l’accès aux données que si elle prétend être titulaire ou utilisatrice d’une ligne identifiée ou si elle démontre qu'à l’occasion de ces investigations, il a été porté atteinte à sa VP
- Le juge pénal ne peut annuler les actes ayant permis d’accéder aux données que si l’irrégularité constatée a occasionné un préjudice à la personne mise en examen
- Ce préjudice est établi lorsque les données ne pouvaient être conservées au titre de la conservation « rapide » ou lorsque les catégories de données visées et la durée pendant laquelle il a été possible d’y avoir accès n’étaient pas limitées à ce qui était strictement nécessaire au bon déroulement de l’enquête
Quelles conséquences dans les affaires examinées par la Cour de cassation ?
Dans les affaires concernant des personnes mises en examen n’ayant aucun droit sur les lignes téléphoniques, les requêtes en nullité sont jugées irrecevables, et dans celles pour lesquelles elles avaient un droit sur ces lignes, les pourvois sont rejetés :
(1) Les données de connexion ont été régulièrement conservées car les faits relevaient bien de la criminalité grave (meurtre en bande organisée, destruction par moyen dangereux, importations et exportations de centaines de kilos de stupéfiants par organisation criminelle internationale...), et que les réquisitions aux opérateurs (identité, trafic, localisation) et leur exploitation étaient nécessaires au déroulement de l'enquête
(2) L’accès par des enquêteurs ayant agi sur CR du juge d’instruction a été régulièrement accordé
(3) Bien que des enquêteurs ont eu irrégulièrement accès aux données de trafic et de localisation dans le cadre d’une enquête de flagrance menée sous le contrôle du procureur, la chambre de l’instruction a valablement pu rejeter les demandes de nullité, car, en l’espèce, les catégories de données visées et la durée pendant laquelle il a été possible d’y avoir accès étaient limitées à ce qui était strictement nécessaire au déroulement de l’enquête
En conclusion
La conservation des données est légale dès lors que la durée d'accès sera limitée à ce qui est strictement nécessaire au bon déroulement de l'enquête. Le bon déroulement des enquêtes n'est pas entravé mais simplement encadré.
V. la note explicative relative aux arrêts du 12 juillet 2022