Collecte et accès aux données personnelles de connexion : suite de la saga jurisprudentielle

Dernier rebondissement dans la saga jurisprudentielle liée à la collecte généralisée et indifférenciée des données personnelles de connexion : la chambre criminelle de la Cour de cassation a rendu le 12 juillet dernier une série de quatre arrêts tirant les conséquences de la jurisprudence de la Cour de justice de l’Union européenne et encadrant l’accès de celles-ci dans les procédures pénales.

‍

Une conservation généralisée des données attentatoires à la privée

La Cour de cassation ne pouvait davantage ignorer les dispositions européennes relatives à la préservation de la vie privée numérique, déjà consacrées depuis 2002 par la directive « Vie privée et communications électroniques » (dir. 2002/58/CE du Parlement européen et du Conseil du 12 juill. 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques) et transposée par la France en 2004.

L’article 15 de cette directive permettait néanmoins aux Etats de déroger à leur obligation de protection des données personnelles dans les cas de sauvegarde de la sécurité nationale, de défense et de sécurité publique ainsi que pour assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales.

Les Etats membres de l’Union européenne, et notamment la France, faisaient ainsi une application quasi systématique de cet article pour justifier la collecte et la conservation des données personnelles de connexion, de telle sorte que la Cour de justice de l’Union européenne a été contrainte d’intervenir à plusieurs reprises afin de rappeler que la dérogation prévue à l’article 15 de la directive ne permettait en aucun cas au Etats membres de procéder à une collecte généralisée et indifférenciée des données de trafic et de localisation .

Face à cette pression européenne et aux multiples recours internes, le Conseil d’Etat et le Conseil constitutionnel s'étaient ainsi prononcé sur la conventionnalité et la constitutionnalité de l’article L.34-1 du Code des postes et des communications électroniques, respectivement le 21 avril 2021  et le 25 février 2022 , estimant tous deux que l’obligation de conservation généralisée des données était effectivement attentatoire à la vie privée, tout en privant leur décision d’effet au regard notamment des impératifs de sécurité nationale, de poursuite des infractions pénales et de sauvegarde de l’ordre public.

C’est dans ce contexte que la Cour de cassation a été amenée à se prononcer sur la légalité de la conservation des données de connexion et de l’accès à celles-ci dans le cadre de procédures pénales aux termes de quatre arrêts du 13 juillet 2022.

‍

Une atteinte justifiée pour la poursuite d'infractions graves et nécessaires pour les investigations

La Cour de cassation tire les conséquences de la jurisprudence de la Cour de justice de l’Union européenne en rappelant que l’article L.34-1 du Code des postes et communications électroniques (dans sa version antérieure au 31 juillet 2021) n’est pas conforme au droit de l’Union dès lors qu’il imposait aux opérateurs de services de télécommunications une obligation de conservation généralisée et indifférenciée des données de connexion des utilisateurs.

Elle rappelle également que, conformément aux dispositions européennes, cette conservation ne peut être justifiée que sous certaines conditions, notamment en cas de menace grave et actuelle pour la sécurité nationale ou dans le cadre de la poursuite d’infractions relevant de la criminalité grave.

Cette collecte doit, en tout état de cause, être strictement limitée à ce qui est nécessaire pour la poursuite des investigations.

La juridiction saisit d’un moyen de nullité des réquisitions d’accès aux données de connexion doit ainsi vérifier la double condition suivante :

- les faits relèvent de la criminalité grave ;

- la conservation des données est strictement limitée à ce qui est nécessaire pour la poursuite des investigations.

En cela, la Cour de cassation se conforme à la décision rendue par la Conseil constitutionnel le 25 février 2022 et à la jurisprudence européenne.

L’apport le plus significatif de la Cour de cassation dans ces quatre arrêts concerne surtout l’accès aux données.

La chambre criminelle estime en effet que les articles 60-1, 60-2, 77-1-1 et 77-1-2 du code de procédure pénale, c’est-à-dire les articles relatifs aux réquisitions judiciaires du Procureur de la République ou des officiers de police judiciaire (OPJ), sont contraires au droit de l’Union en ce qu’ils ne permettent pas de contrôle a priori de ces réquisitions par une juridiction ou une entité administrative indépendante.

Elle précise ainsi que le juge d’instruction, qui est une juridiction indépendante, peut contrôler l’accès à ces données, dans le cadre par exemple d’autorisations données sur commission rogatoire.

En revanche, et conformément à ce qui a déjà été jugé par la Cour européenne des droits de l’Homme dans le célèbre arrêt Moulin c/ France , la Cour de cassation rappelle que le Procureur de la République n’est pas une autorité indépendante et ne peut, à ce titre, procéder au contrôle de l’accès aux données, pas plus que les enquêteurs qui procèdent aux investigations.

Les Parquets et enquêteurs de France se sont émus de cette décision, estimant que ces dispositions permettraient de faire « gagner du temps aux voyous »  en obligeant les enquêteurs à solliciter l’autorisation préalable d’un juge des libertés et de la détention en matière d’enquête préliminaire ou de flagrance.

On s’étonne de cet argument dans la mesure où le recours aux autorisations du juge des libertés et de la détention est déjà ancré dans les habitudes d’enquête, lorsqu’il s’agit par exemple d’installer un dispositif de géolocalisation de véhicule.

La Conférence nationale des Procureurs a quant à elle dénoncé un risque d’insécurité juridique majeur à la suite de ces décisions .

Sur ce point, on ne peut pas tout à faire donner tort aux parquetiers, puisque l’un des critères posés par la Cour de cassation pour rechercher si les données de connexion pouvaient être conservées concerne la lutte contre la criminalité grave.

Or, aucune définition légale n’existe s’agissant de l’étendue de cette criminalité « grave », que ce soit en droit européen ou droit national.

La Cour de cassation estime pour sa part que les faits relevant de la criminalité grave sont appréciés in concreto par les juridictions du fond, au regard des agissements de la personne poursuivie, du montant du préjudice, des circonstances de la commission des faits, de la durée de la peine encourue, etc.

Autant de critères qui donnent une latitude très large aux juridictions et qui risque d’entraîner des disparités de jurisprudence très importante selon les juridictions et les politiques pénales locales qui y sont appliquées.

Par ailleurs, bien que ces décisions de la Cour de cassation soient formellement respectueuses du droit européen, elles valident le dispositif français de collecte des données de connexion en imposant des critères de contestation très stricts, pour ne pas dire dissuasifs.

‍

Les limites de ces décisions

Premier obstacle à la contestation : la Cour de cassation rappelle que la recevabilité d’une requête en nullité soulevée par une personne mise en cause concernant la conservation et l’accès à ses données de connexion est subordonnée à la condition que celle-ci soit titulaire ou utilisatrice de l’une des lignes litigieuses et établisse qu’il a été porté atteinte à sa vie privée.  

Second obstacle : la chambre criminelle rappelle ensuite que la chambre de l’instruction saisie d’une telle requête doit vérifier si les données de connexion ont été valablement conservées au titre de la sauvegarde de la sécurité nationale.

Dans trois des arrêts du 12 juillet, la Haute juridiction estime en effet que la France se trouve exposée, depuis 1994, à une menace terroriste ou extrémiste grave, réelle, actuelle ou prévisible, et rejette les pourvois formés, et ce alors même que les affaires en question n’avaient aucun rapport avec des faits de terrorisme.

En d’autres termes, la Cour de cassation valide le dispositif français de conservation des données de connexion à titre préventif dans le cadre de la lutte contre le terrorisme.

Autant dire que théoriquement, toutes les communications, y compris en dehors des procédures judiciaires, pourraient valablement être conservées afin de lutter contre le risque terroriste…

Troisième obstacle : la chambre de l’instruction doit rechercher si les données pouvaient faire l’objet d’une conservation au titre de la lutte contre la criminalité grave.

A nouveau, aucune définition de la criminalité grave n’est prévue par le législateur, de telle sorte qu’il reviendra aux juridictions de fond d’en faire une appréciation in concreto qui entraînera inévitablement des divergences de jurisprudence selon les juridictions.

Quatrième obstacle : la chambre de l’instruction doit vérifier si l’accès aux données de connexion a fait l’objet d’un contrôle préalable par une autorité indépendante.

Si un juge d’instruction ou un juge des libertés et de la détention l’a autorité, alors aucune difficulté. En revanche, si l’accès résulte d’une réquisition faite par un OPJ ou par le Parquet en enquête de flagrance ou préliminaire, alors la demande d’accès est manifestement illégale.

Mais cette nullité n’est pas d’ordre public ! Il appartiendra alors au requérant de justifier de l’existence d’un grief pour obtenir le prononcé de la nullité.

A priori, on pourrait légitimement soutenir que l’accès aux données de connexion, qui comprennent la liste des appels, des correspondants, des SMS envoyés ou la géolocalisation de son téléphone, sont des données susceptibles de révéler des informations importantes sur un certain nombre d’aspects de la vie privée, que ce soit leur orientation religieuse, sexuelle, leur état de santé, etc. et donc que l’atteinte à la vie privée est un grief suffisamment grave et caractérisé pour justifier la nullité des interceptions.

Mais la Cour de cassation ne l’entend pas de cette oreille et précise qu’un contrôle de proportionnalité doit être effectué entre le but poursuivi (la poursuite d’infractions) et le grief subi (l’atteinte à la vie privée).

Cinquième obstacle : la Haute juridiction estime en effet que si l’accès aux données de connexion par l’OPJ ou le Procureur de la République a occasionné un grief au requérant, la chambre de l’instruction est tenue d’effectuer un contrôle de proportionnalité de la mesure et s’assurer que cet accès était limité, à la fois quant à la catégorie de données visées et à la fois quant à la durée de l’accès qui doit être strictement limité à ce qui est nécessaire pour la poursuite des investigations.

On pense inévitablement à l’affaire des écoutes téléphoniques mises en place par le Parquet National Financier pendant près de 6 ans en marge de l’affaire Paul Bismuth…

En réalité, la Cour de cassation semble valider la possibilité pour les OPJ ou Parquetiers d’accéder aux données personnelles de connexion, bien qu’ils sachent cet accès illégal, sous couvert d’en motiver la proportionnalité…

Autant d’obstacles qui risquent de rendre très difficile le succès des voies de recours sur ce fondement…

Si la Cour de cassation a rendu une décision conforme au droit européen et à la jurisprudence récente sur le plan des principes, l’application concrètes des critères de contestations développés par la chambre criminelle risque de rendre particulièrement difficiles l’exercice des voies de recours contre la conservation et l’accès aux données de trafic et de localisation.

‍