Cour de justice de l’Union européenne, 4 octobre 2024, CG c. Bezirkshauptmannschaft Landeck, aff. C-548/21
C ’est un nouveau pavé dans la mare pour les services de police français et européens en matière d’accès aux données personnelles des personnes suspectées d’avoir commis une infraction. Après l’arrêt du 2 mars 2021, H.K c. Prokuratuur, par lequel la Cour de justice de l’Union européenne avait sérieusement limité le droit des enquêteurs de police d’accéder aux données des opérateurs téléphoniques et des fournisseurs internet et de services en ligne, voici que par un nouvel arrêt du 4 octobre 2024, le juge européen limite désormais la possibilité de ces mêmes enquêteurs d’accéder au contenu des téléphones portables des suspects.
L’arrêt du 4 octobre 2024, CG c. Bezirkshauptmannschaft Landeck, C-548/21, rendu en grande chambre, soit la composition réservée aux affaires d’importance majeure, promet de nouveaux bouleversements dans la procédure pénale française à ce sujet.
Avant d’expliquer en quoi cette jurisprudence européenne va affecter le pouvoir des services de police française, rappelons qu’en France, la fouille du téléphone portable lors d’une enquête pénale est assimilable à une perquisition au sens de l’article 56 du code de procédure pénale[1]. Cette fouille peut être mise en œuvre par un officier de police judiciaire qui, généralement, demande au suspect s’il accepte « l’exploitation de son téléphone » et le cas échéant, s’il accepte de fournir le code de déverrouillage du téléphone.
Le refus de fournir le code de déverrouillage du téléphone est considéré comme une infraction au sens de l’article 435-15-2 du code pénal – bien qu’il soit nécessaire pour l’officier de police judiciaire de démontrer que le téléphone est chiffré et que seul le code de déverrouillage permet le déchiffrement des données qu’il contient.
En enquête préliminaire, l’article 76 du code de procédure pénale impose l’assentiment du suspect préalablement à la fouille de son téléphone ou l’obtention d’une autorisation par une ordonnance d’un juge des libertés et de la détention. En revanche, en enquête de flagrance, l’officier de police judiciaire peut procéder à cette fouille de téléphone sans nécessité d’obtenir une autorisation préalable d’un juge indépendant.
L’arrêt CG c. Bezirkshauptmannschaft Landeck de la Cour de justice de l’Union européenne vient justement remettre en cause la possibilité pour les autorités de police d’exploiter un téléphone portable sans avoir besoin au préalable d’en demander l’autorisation à un juge indépendant.
L’affaire portée devant le juge européen concernait un trafic de stupéfiants en Autriche pour lequel une perquisition avait été menée au domicile d’un suspect. Au cours de cette perquisition, les fonctionnaires de police autrichiens avaient demandé au suspect de pouvoir accéder au contenu de son téléphone portable. A la suite du refus opposé par ce dernier, les fonctionnaires de police avaient procédé à la saisie du téléphone portable et l’avaient remis à un expert en vue de son déverrouillage et de son exploitation. Cette tentative d’accès aux données du téléphone portable s’était révélée infructueuse.
Le suspect avait néanmoins saisi une juridiction autrichienne afin de contester la légalité de la saisie de son téléphone portable et la tentative d’exploitation de ce dernier.
C’est au cours de cette procédure que la juridiction autrichienne s’est interrogée sur la conformité de la procédure pénale autrichienne relative au droit pour les services de police d’accéder aux données contenues dans un téléphone portable au regard du droit de l’Union européenne.
En substance, le juge autrichien a posé trois questions à la Cour de justice de l’Union européenne :
- Le pouvoir des autorités de police d’accéder aux données contenues dans un téléphone portable doit-il être limité à la lutte contre la criminalité grave ?
- L’accès des autorités de police aux données contenues dans un téléphone portable doit-il être subordonné à l’obtention d’une autorisation préalable d’une juridiction ou d’une autorité administrative indépendante ?
- La personne concernée par la mesure doit-elle être informée préalablement à l’exploitation de son téléphone portable ?
Pour répondre à ces questions, la Cour de justice de l’Union européenne s’est fondée non pas sur la directive 2002/58 du 12 juillet 2002 dite « vie privée et communications électroniques »[2] visée, semble-t-il, de façon erronée par le juge autrichien, mais sur la directive 2016/680 du 27 avril 2016 dite « police-justice »[3].
Et les réponses sont claires, l’accès aux données contenues dans un téléphone portable est permis pour la poursuite d’infractions pénales sans que cela ne se limite à la criminalité grave (I). En revanche, cet accès est subordonné à l’obtention, par l’autorité de police, d’une autorisation préalable d’une juridiction ou d’une autorité administrative indépendante (II). Enfin, la personne concernée par la mesure doit être informée des motifs sur lesquels repose l’autorisation d’accès à ces données (III).
Quelle conséquence aura cette jurisprudence sur le droit français ? La Cour de cassation a déjà donné un aperçu assez éclairant de la façon audacieuse dont elle pouvait neutraliser une jurisprudence similaire relative à l’accès aux données stockées chez les opérateurs téléphoniques et les fournisseurs internet et de services en ligne. Il est fort probable que l’arrêt CG c. Bezirkshauptmannschaft Landeck connaisse le même sort (IV).
I – La possibilité pour les autorités de police d’accéder aux données contenues dans un téléphone portable sans que cela ne se limite aux affaires relevant de la criminalité grave
L’objectif premier de la directive 2016/680 est « d’assurer un niveau élevé de protection des données à caractère personnel des personnes physiques » au regard des droits fondamentaux et notamment du droit à la vie privée et familiale garanti par la Charte des droits fondamentaux de l’Union européenne.
Toutefois, ces droits fondamentaux ne sont pas des prérogatives absolues. Le traitement des données à caractère personnel peut trouver une justification dans le cadre d’enquête policière visant la répression d’une infraction pénale. C’est en ce sens que la directive 2016/680 a été élaborée afin de concilier la nécessaire protection des données personnelles des individus et l’objectif d’intérêt général des autorités de police de prévenir, rechercher et poursuivre les infractions pénales.
Ainsi, pour la Cour de justice de l’Union européenne « une tentative d’accès aux données contenues dans un téléphone portable, doit être considéré, en principe, comme répondant effectivement à un objectif d’intérêt général » et plus précisément à celui de la prévention, de la recherche et de la poursuite d’infractions pénales.
L’accès aux données contenues dans un téléphone portable n’est cependant permis que si l’objectif poursuivi par les autorités de police « ne peut raisonnablement être atteint de manière aussi efficace par d’autres moyens moins attentatoires aux droits fondamentaux des personnes concernées ». Autrement dit, les autorités de police doivent faire la démonstration que cet accès au contenu du téléphone est strictement nécessaire pour l’enquête pénale.
Sur ce point, la Cour de justice de l’Union européenne reprend mot pour mot sa jurisprudence Ministerstvo du 26 janvier 2023 relative à la collecte de données biométriques et génétiques lors d’une enquête pénale et que nous analysions dans un précédent article[4]. Déjà dans cet arrêt, qui portait sur l’interprétation de la directive 2016/680, le juge européen posait pour obligation la démonstration de la nécessité absolue des prélèvements d’empreintes digitales et génétiques dans le cadre d’une enquête pénale.
Cette exigence de nécessité vaut donc également pour l’accès aux données contenues dans les téléphones portables des personnes visées par une enquête pénale.
A cette exigence de nécessite, s’ajoute celle de la proportionnalité de l’accès aux données contenues dans le téléphone. L’exigence de proportionnalité « dépend de la nature et de la sensibilité des données auxquelles les autorités de police compétentes sont susceptibles d’avoir accès, l’importance de l’objectif d’intérêt général poursuivi, le lien existant entre le propriétaire du téléphone portable et l’infraction pénale en cause ou encore la pertinence des données en cause pour constater les faits ».
En effet, la Cour de justice de l’Union européenne rappelle que l’accès « est susceptible de porter, en fonction du contenu du téléphone portable en cause et des choix opérés par ces autorités de police, non seulement sur des données relatives au trafic et à la localisation, mais aussi sur des photographies et l’historique de navigation sur Internet effectuée avec téléphone, voire sur une partie du contenu des communications opérées avec ledit téléphone, notamment en consultant les messages qui y sont conservés ».
Et le juge européen d’ajouter : « L’accès à un tel ensemble de données est susceptible de permettre de tirer des conclusions très précises concernant la vie privée de la personne concernée, telles que ses habitudes de vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de cette personne et les milieux sociaux fréquentés par celle-ci ».
Plus grave encore, « il ne saurait être exclu que les données contenues dans un téléphone portable puissent inclure des données particulièrement sensibles, telles que des données à caractère personnel qui relèvent l’origine raciale ou ethnique, les opinions politiques et les convictions religieuses ou philosophiques ».
Compte tenu du caractère particulièrement sensible des données qui pourraient être consultées dans un téléphone portable et des déductions qui pourrait en être faite sur la vie privée de la personne concernée, la Cour de justice de l’Union européenne considère qu’il est indispensable que l’exploitation de ces donnéespar les autorités de police soit strictement proportionnée.
La juridiction autrichienne se demandait, en outre, si la gravité de l’infraction devait être prise en compte dans cet examen de proportionnalité et si l’accès au contenu d’un téléphone portable ne devait pas être limité aux affaires visant les infractions les plus graves, pour garantir cette exigence de proportionnalité.
La Cour de justice de l’Union européenne a répondu à cette question en deux temps.
Elle souligne que « la gravité de l’infraction qui fait l’objet de l’enquête constitue l’un des paramètres centraux lors de l’examen de la proportionnalité de l’ingérence grave que constitue l’accès aux données à caractère personnel contenues dans un téléphone portable ».
En revanche, l’accès aux données contenues dans un téléphone portable ne devrait pas se limiter aux cas de lutte contre la criminalité grave. Selon la Cour de justice de l’Union européenne, interdire une telle possibilité pour les infractions pénales en général aurait pour résultat « un accroissement du risque d’impunité pour de telles infractions, compte tenu de l’importance que peuvent avoir de telles données pour les enquêtes pénales ».
Cette position du juge européen apparaît logique en ce que la directive 2016/680 ne réserve pas la possibilité d’exploiter des données personnelles, même les plus sensibles, dans le cadre d’une enquête pénale, aux seules infractions les plus graves.
Cependant, cette interprétation jurisprudentielle crée une contradiction, voire une asymétrie de protection, selon la provenance des données personnelles collectées.
En effet, dans l’arrêt du 2 mars 2021, H.K c. Prokuratuur la Cour de justice de l’Union européenne avait admis, au regard de la directive 2002/58, que l’accès par les autorités de police aux données de connexion détenues par les opérateurs de téléphonie et les fournisseurs internet et de services en ligne devait être limité à la seule criminalité grave.
Sauf évolution jurisprudentielle, nous nous retrouvons donc dans une situation où l’accès aux données contenues dans un téléphone portable est permis, nonobstant les réserves précitées, pour tout type d’infraction alors que l’accès aux données détenues par les opérateurs de téléphonie et internet demeure circonscrit aux infractions les plus graves même si, dans un cas comme dans l’autre, ces données « sont susceptibles des informations […] et de permettre de titrer des conclusions précises sur la vie privée » des personnes concernées.
Pour pallier cette contradiction, le juge européen a néanmoins tenu à préciser qu’il incombait « au législateur national de définir de manière suffisamment précise les éléments, notamment la nature ou les catégories des infractions concernées, devant être pris en compte ».
Si la possibilité d’accès aux données contenues dans un téléphone portable ne se limite pas aux infractions les plus graves, tout porte à croire que le juge européen entende imposer aux États membres de limiter cet accès aux affaires concernant certains types d’infractions pour lesquelles l’exploitation du téléphone peut s’avérer pertinente.
Enfin, la Cour de justice de l’Union européenne souligne que pour accéder aux données contenues dans un téléphone d’une personne faisant l’objet d’une enquête pénale, « il importe que l’existence de soupçons raisonnables à l’égard de celle-ci, en ces sens qu’elle a commis, commet ou projette de commettre une infraction, ou encore qu’elle est impliquée d’une manière ou d’une autre dans une telle infraction, soit étayée par des éléments objectifs et suffisants ».
En résumé, les autorités de police peuvent donc accéder aux données contenues dans le téléphone portable d’une personne à l’encontre de laquelle un motif sérieux de croire qu’elle a commis une infraction, quelle que soit la nature de l’infraction, sous réserve que cet accès soit strictement nécessaire et strictement proportionné à l’objectif de prévention, de recherche et de poursuite de l’infraction.
La Cour de justice aurait pu s’arrêter à ces conditions de principe. Cependant, afin d’en assurer leur pleine effectivité, elle reprend de sa jurisprudence H.K c. Prokuratuur une condition supplémentaire : l’obligation d’obtenir une autorisation d’une juridiction ou d’une autorité administrative indépendante, préalablement à tout accès aux données.
II – Un accès aux données contenues dans un téléphone portable subordonné à l’autorisation préalable d’une juridiction ou d’une autorité administrative indépendante
La Cour de justice de l’Union européenne est très claire sur ce point et il convient de reprendre son considérant in extenso : « C’est notamment en vue d’assurer que le principe de proportionnalité est respecté dans chaque cas concret en effectuant une pondération de l’ensemble des éléments pertinents qu’il est essentiel que, lorsque l’accès des autorités nationales compétentes aux données à caractère personnel comporte le risque d’une ingérence grave, voire particulièrement grave, dans les droits fondamentaux de la personne concernée, cet accès doit être subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante ».
Il va de soi, que le juge européen entend par « juridiction », un juge « indépendant », ce qui n’est pas le cas d’une autorité judiciaire de poursuite tel qu’un procureur de la République ou tout autre magistrat du ministère public.
Ce contrôle indépendant doit intervenir préalablement à toute tentative d’accès aux données concernées, sauf dit le juge européen, « en cas d’urgence dûment justifié, auquel cas ledit contrôle doit intervenir dans de brefs délais ».
La juridiction de contrôle doit avoir la pleine capacité de refuser ou de restreindre cet accès lorsqu’elle constate que l’ingérence dans les droits fondamentaux que constituerait ledit accès serait disproportionné compte tenu de l’ensemble des éléments pertinents portés à sa connaissance.
En d’autres termes, la juridiction doit pouvoir refuser l’accès si, compte tenu du degré de gravité de l’infraction et des besoins de l’enquête, un accès aux données contenues dans un téléphone portable n’apparait pas justifié.
Reprenant à nouveau les considérants de sa jurisprudence Ministerstvo, la Cour de justice de l’Union européenne insiste sur le fait que la juridiction devra vérifier rigoureusement la nécessité d’un tel accès, voire l’absolue nécessité de cet accès lorsque qu’il porte sur des données sensibles au sens de l’article 10 de la directive 2016/680.
III – L’obligation d’informer la personne visée des motifs sur lesquels repose l’autorisation d’accès aux données contenues dans son téléphone portable
La Cour de justice de l’Union européenne était également saisie du fait de savoir si la personne visée par la mesure d’accès au contenu de son téléphone portable devait être informé, au préalable, de la mise en œuvre de cette mesure.
Pour le juge européen, cette question est essentielle en ce qu’elle a trait à la possibilité pour la personne visée d’exercer son droit à un recours effectif contre la mesure d’accès.
Le droit à un recours effectif, corollaire du droit d’accès à un tribunal impartial, est protégé par l’article 47 de la Charte des droits fondamentaux de l’Union européenne. Ce droit trouve une traduction concrète à l’article 13 de la directive 2016/680 qui prévoit l’obligation pour les États membres de garantir un droit de réclamation auprès d’une autorité de contrôle pour les personnes concernées par ces mesures d’accès à leurs données personnelles.
Des limitations à l’exercice de ce droit de réclamation ou de recours peuvent être prévues de sortes à éviter que son exercice ne nuise à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales.
Ces limitations doivent être prévues par la loi et doivent respecter les principes de nécessité et de proportionnalité et ne sauraient conduire à exclure de manière générale, tout droit pour la personne concernée à obtenir des informations sur la mesure mise en œuvre à son égard.
***
Pour résumé, la Cour de justice de l’Union européenne impose aux États membres de prévoir dans leur législation nationale un cadre procédural précis qui permet aux autorités de police d’accéder aux données contenues dans un téléphone portable pour les besoins d’une enquête pénale uniquement lorsque cela est nécessaire et de façon strictement proportionnée. Cet accès doit en outre être subordonné à l’obtention d’une autorisation préalable délivrée par une juridiction ou une autorité administrative indépendante. Enfin, la personne concernée par l’accès à ses données doit en être informée de sortes qu’elle puisse exercer son droit à un recours effectif.
Une législation nationale qui ne respecterait pas l’ensemble de ces conditions serait contraire au droit de l’Union européenne et devrait donc être écartée, au besoin directement par le juge national amené à trancher ce type de litige.
La question demeure de savoir comment cette jurisprudence sera appliquée en France. Sur ce point, il y a fort à parier qu’à défaut d’une intervention du législateur, la Cour de cassation s’aligne sur sa jurisprudence rendue en matière d’accès aux données stockées chez les opérateurs téléphoniques et les fournisseurs de services en ligne.
IV – Une application incertaine de cette nouvelle jurisprudence en droit français
L’application par le juge français, et notamment par la Cour de cassation, de l’arrêt CG c. Bezirkshauptmannschaft Landeck est prévisible.
La Cour de cassation va sans doute adopter la même approche que celle qu’elle avait retenue dans ses arrêts du 12 juillet 2022 par lesquelles elle tirait les conséquences de l’arrêt de la Cour de justice de l’Union européenne du 2 mars 2021, H.K c. Prokuratuur portant sur les modalités d’accès aux données de connexion stockées par les opérateurs de téléphonie et les fournisseurs internet et de services en ligne.
A l’instar du présent arrêt CG c. Bezirkshauptmannschaft Landeck, dans l’arrêt H.K c. Prokuratuur, la Cour de justice de l’Union européenne subordonnait l’accès des autorités de police aux données de connexion « à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante », tout en précisant que le ministère public n’avait pas une telle compétence en raison de son absence d’indépendance.
La Cour de cassation avait tiré ainsi les conséquences de la jurisprudence européenne et considérait que la loi française en ce qu’elle permet aux procureurs de la République et aux services de police sous leurs ordres, d’accéder aux données de connexion quelle que soit la nature de l’infraction suspectée, était contraire au droit de l’Union européenne et peut se voir inappliquée sous certaines conditions.
La Cour de cassation n’avait pas invalidé pas des dispositions législatives, elle n’en avait pas le pouvoir. En revanche, elle indiquait à tous les juges nationaux qu’en application du principe de primauté du droit de l’Union européenne, ces derniers pouvait refuser d’appliquer le droit français s’il s’avère contraire au droit de l’Union européenne[5].
Toutefois, la Cour de cassation prenait bien soin d’indiquer que sa jurisprudence ne signifiait pas que lesréquisitions d’accès aux données de connexion effectuées par les procureurs de la République ou les services de police sous leurs ordres et les preuves récoltées lors de ces accès seraient systématiquement annulées.
La Cour de cassation indiquait qu’il appartient à la juridiction saisie de l’affaire et de la régularité des actes d’enquête de s’assurer que, d’une part, l’accès a porté sur des données régulièrement conservées, d’autre part, que la ou les catégories de données visées, ainsi que la durée pour laquelle l’accès à celles-ci a eu lieu, étaient, au regard des circonstances de l’espèce, limitées à ce qui était strictement justifié par les nécessités de l’enquête.
Il revenait aussi à la personne visée par la mesure qui souhaitait se prévaloir de cette irrégularité de démontrer l’existence d’un grief sur le fondement de l’article 802 du code de procédure pénale, l’existence d’une irrégularité qui porte atteinte à ses intérêts.
La Cour de cassation considérait ainsi que « lorsque qu’un demandeur ayant qualité pour agir allègue un grief pris d’une méconnaissance du droit de l’Union il appartient à la [juridiction saisie] de rechercher s’il est établi ». Et d’ajouter qu’un tel « grief n’est caractérisé que lorsque l’accès à ces données n’a pas été circonscrit à une procédure relevant de la lutte contre la criminalité grave ou a excédé les limites du strict nécessaire ».
Si aucun grief n’est démontré, si l’infraction qui a donné lieu à la mise en œuvre de cet accès aux données de connexion est suffisamment grave et si la mise en œuvre était limitée au strict nécessaire, alors un juge peut parfaitement valider a posteriori une mesure irrégulière ordonnée par le procureur de la République.
D’expérience, bon nombre de juges français se retrouvent à valider des mesures d’accès aux données de connexion décidées en violation du droit de l’Union européenne par des procureurs de la République au motif que les personnes visées ne parviennent pas à démontrer en quoi ces accès leur font grief.
Dès lors que l’arrêt CG c. Bezirkshauptmannschaft Landeck est calqué sur l’arrêt H.K c. Prokuratuur, il est fort probable que la Cour de cassation adopte le même raisonnement.
L’accès décidé par le procureur de la République ou une autorité de police aux données contenues dans un téléphone portable est contraire au droit de l’Union européenne en ce que la loi française ne subordonne pas cet accès à l’obtention d’une autorisation préalable d’une juridiction ou d’une autorité administrative indépendante. Toutefois, ces mesures d’accès irrégulières pourront être régularisées a posteriori par la juridiction saisie de l’affaire au motif que les personnes visées par l’accès ne peuvent pas démontrer en quoi l’accès leur a fait grief au regard de l’article 802 du code du code de procédure pénale. Le juge pourra considérer que l’infraction dont la personne était suspectée justifiait l’accès aux données contenues dans le téléphone portable et que l’exploitation de ces données n’excédait pas les limites du strict nécessaire.
Ainsi, la jurisprudence CG c. Bezirkshauptmannschaft Landeck sera neutralisée comme l’est actuellement la jurisprudence H.K c. Prokuratuur.
***
Bien évidemment, il pourra être intéressant de réinterroger la Cour de justice de l’Union européenne pour savoir si la position adoptée par la Cour de cassation ne porte pas atteinte au principe d’équivalence et d’effectivité en droit de l’Union européenne en rendant ineffective voire inapplicable les jurisprudences CG c. Bezirkshauptmannschaft Landeck et H.K c. Prokuratuur dans la majorité des situations.
[1] Cour de cassation, chambre criminelle, 12 janvier 2021, n°20-84.045
[2] Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques
[3] Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation des données
[4] Cour de justice, 26 janvier 2023, Ministerstvo na vatreshnite raboti, C-205/21
[5] CJCE, 9 mars 1978, Simmenthal, aff. 106/77
