La Cour de cassation s’aligne sur la jurisprudence de la Cour de justice de l’Union européenne et ne permet plus aux procureurs de la République d’accéder aux données des opérateurs téléphoniques et internet au cours de leurs enquêtes
Cour de cassation, 12 juillet 2022, n°21-83.719, 21-83.820, 21-84.096 et 20-86.652
Par quatre arrêts du 12 juillet 2022, la Cour de cassation a tiré les conséquences des décisions rendues par la Cour de justice de l’Union européenne relatives à la conservation des données de connexion et à l’accès à celles-ci dans le cadre de procédures pénales.
Rappelons que les données de connexion comportent notamment des données de géolocalisation (les endroits où le téléphone a “borné”) mais aussi des données relatives au trafic (les personnes appelantes ou appelées, leurs noms, leurs adresses, les dates et heures du début et de la fin d’appel, le service de téléphonie utilisée, les sites internet consulté l’identité internationale de l’abonné mobile IMSI, l’identité internationale de l’équipement mobile IMEI, etc.).
Nous l’évoquions dans deux précédents articles sur ce site : au nom du respect du droit à la vie privée garanti par la directive 2002/58/CE, la Cour de justice de l’Union européenne s’était prononcée en faveur d’une limitation de l’obligation de conservation des données de connexion par les opérateurs de téléphonie et internet (Cour de justice, 6 octobre 2020, Quadrature du Net e.a., C-511/18 et C-512-18) et d’une limitation quant à l’accès à ces données par les services de police dans le cadre d’une enquête pénale (Cour de justice, 2 mars 2021, H.K. c. Prokuratuur).
Ces jurisprudences européennes ont été sources d’un bouleversement considérable en droit pénal français sur lequel il convient de revenir ici.
Si les arrêts de la Cour de cassation valident le principe de la conservation générale et indifférenciée de nos données de connexion par les opérateurs de téléphonie et internet en période de menace terroriste (I), ils signent aussi l’obligation pour le législateur de revoir en profondeur la procédure qui permettait jusqu’à présent aux procureurs de la République et aux services d’enquête de police sous leurs ordres, d’accéder à ces données (II).
I – La Cour de cassation valide la conservation générale et indifférenciée des données de connexion au nom de la lutte contre le terrorisme
Dans son arrêt Quadrature du Net précité, la Cour de justice de l’Union européenne indiquait que les États membres de l’Union européenne ne pouvaient pas obliger les opérateurs de services de communication électroniques à conserver les données de connexions de leurs utilisateurs sans porter atteinte au droit de ces derniers au respect de leur vie privée.
Il existe cependant une exception à cette interdiction lorsque la conservation sert à sauvegarder la sécurité nationale du pays et à lutter contre le terrorisme.
Il n’en fallait pas moins pour que le gouvernement français considère qu’étant dans un état de menace terroriste persistant, la conservation des données de connexion devait se poursuivre indéfiniment.
Le Conseil d’État n’a rien trouvé à redire à cette situation et, par un arrêt du 21 avril 2021, a confirmé qu’en raison de la menace persistante sur la sécurité nationale, la conservation généralisée et indifférenciéedes données de connexion de l’ensemble de la population était justifiée (Conseil d’État, 21 avril 2021, Quadrature du Net et autres, n°394922, 392925, 397844 et 397851).
A l’instar du Conseil d’État, la Cour de cassation dans ses arrêts du 12 juillet 2022 a estimé que la sauvegarde de la sécurité nationale, menacée depuis les attentats commis en France en décembre 1994, justifiait une conservation générale et indifférenciée des données de connexion sans entrer en contradiction avec la jurisprudence de la Cour de justice de l’Union européenne.
Nous renvoyons à notre précédent article pour une critique de la position du Conseil d’État parfaitement transposable à la position désormais commune de la Cour de cassation.
II – La Cour de cassation reconnaît en revanche que la loi française permettant aux procureurs de la République d’accéder aux données de connexion dans le cadre d’enquêtes pénales est contraire à la jurisprudence européenne
Dans son arrêt H.K. c. Prokuratuur précité, la Cour de justice de l’Union européenne admet que les autorités nationales puissent avoir un intérêt à accéder aux données conservées par les fournisseurs de services de communications électroniques dont font partie les opérateurs téléphoniques et internet. Cet accès peut en effet être justifié par l’objectif de prévention, de recherche, de détection et de poursuite d’infractions pénales.
Toutefois, la Cour de justice rappelle que l’ingérence qui résulte de cet accès doit être proportionné à la nature de l’infraction poursuivie. Il en va ainsi d’une mise en balance entre l’intérêt de la prévention et de la poursuite des infractions et celui de la protection de la vie privée de chaque individu.
Ainsi, pour la Cour de justice, seule la lutte contre la criminalité grave et la prévention de menaces graves contre la sécurité publique sont de nature à justifier des ingérences graves dans le droit au respect de la vie privée garanti par la Charte des droits fondamentaux de l’Union européenne.
En d’autres termes, l’accès aux données de connexion, telles que les données de trafic et de géolocalisation, doit être limité aux affaires concernant les infractions les plus graves.
L’arrêt H.K. c. Prokuratuur renforce également la protection des droits fondamentaux en considérant que même pour les infractions les plus graves, l’accès des autorités nationales compétentes aux données conservées doit être « subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante », la demande d’accès devant qui plus est être motivée.
La Cour de justice de l’Union européenne ajoute que cette autorité de contrôle doit avoir « la qualité de tiers par rapport à celle qui demande l’accès aux données, de sorte que la première soit en mesure d’exercer ce contrôle de manière objective et impartiale à l’abri de toute influence extérieure ».
C’est là tout le problème avec le Parquet français. Un ministère public qui dirige la procédure d’enquête et exerce, le cas échéant l’action publique, est dépourvu de l’indépendance exigée par la jurisprudence européenne.
Pour le surplus, nous renvoyons à notre précédent article au sujet de cet arrêt de la Cour de justice de l’Union européenne.
La Cour de cassation a bien compris le problème causé par le statut du ministère public en France mais ce n’est pas la seule. Saisie d’une question prioritaire de constitutionnalité, le Conseil constitutionnel avait déjà considéré que les dispositions du code de procédure pénale permettant au procureur de la République d’accéder aux données de connexion étaient contraires à la Constitution (Conseil constitutionnel, décision n°2021/952 QPC du 3 décembre 2021).
Cette décision du juge constitutionnel portant sur l’examen d’une disposition pénale au regard de la Constitution adoptait le même raisonnement que la Cour de justice de l’Union européenne au regard de la directive 2002/58/CE et de la Charte des droits fondamentaux de l’Union européenne.
Toutefois, la décision du Conseil constitutionnel n’était pas d’effet immédiat et laissait au législateur jusqu’au 31 décembre 2022 pour réformer la procédure pénale.
Les procureurs de la République pouvaient donc continuer à effectuer des réquisitions auprès des opérateurs de téléphonie et internet en toute conscience de la violation non seulement de la Constitution mais aussi de la jurisprudence de la Cour de justice de l’Union européenne.
Avec les arrêts de la Cour de cassation du 12 juillet 2022, ce sursis a néanmoins pris fin plus tôt que prévu.
La Cour de cassation tire ainsi les conséquences de la jurisprudence européenne et considère que la loi française en ce qu’elle permet aux procureurs de la République et aux services de police sous leurs ordres, d’accéder aux données de connexion quelle que soit la nature de l’infraction suspectée, est contraire au droit de l’Union européenne et peut se voir inappliquée sous certaines conditions.
La Cour de cassation n’invalide pas des dispositions législatives, elle n’en a pas le pouvoir. En revanche, elle indique à tous les juges nationaux qu’en application du principe de primauté du droit de l’Union européenne, ces derniers peuvent refuser d’appliquer le droit français s’il s’avère contraire au droit de l’Union européenne[1] comme en l’espèce.
La Cour de cassation livre aux juges du fond une méthodologie pour examiner l’irrégularité d’un accès à des données de connexion et décider éventuellement de l’annulation de l’acte d’enquête[2]. Ainsi elle demande de vérifier si :
- les données de connexion ont été valablement conservée au titre de la sauvegarde de la sécurité nationale ;
- l’infraction visée par l’enquête relève de la criminalité grave (ex. meurtre en bande organisée, destruction par moyen dangereux, trafic de drogues, criminalité internationale) ;
- la demande d’accès est nécessaire et proportionnée à la poursuite de l’infraction objet de l’enquête, notamment en terme de durée et de périmètre ;
- l’accès a fait l’objet d’un contrôle indépendant préalable par une juridiction ou une autorité administrative indépendante.
En résumé, tant qu’il n’y aura pas un contrôle préalable d’un juge ou d’une autorité administrative indépendante, les procureurs et la police sous leurs ordres ne pourront plus requérir de données de connexion auprès des opérateurs, sans risquer de voir leur procédure annulée en justice.
Enfin, l’accès à ces données ne sera plus systématique. Il ne sera permis que dans des procédures portant sur des infractions graves.
Deux remarques néanmoins pour conclure
En premier lieu, la difficulté soulevée par les arrêts de la Cour de cassation ne concerne que les affaires dont le procureur de la République a la charge (enquête préliminaire sur le fondement de l’article 77-1-1 du code de procédure pénale et enquête de flagrance sur le fondement de l’article 60-1 du code de procédure pénale).
Dans l’hypothèse où un juge d’instruction serait désigné pour mener l’enquête, ce dernier a bien la qualité de juridiction au sens du droit de l’Union européenne et est donc parfaitement légitime à adresser des commissions rogatoires aux opérateurs de téléphonie et internet pour accéder à des données de connexion.
En second lieu, la Cour de cassation prend bien soin d’indiquer que sa jurisprudence ne signifie pas que les réquisitions d’accès aux données de connexion effectuées par les procureurs de la République ou les services de police sous leurs ordres et les preuves récoltées lors de ces accès seront systématiquement annulées.
La Cour de cassation indique qu’il appartient à la juridiction saisie de l’affaire et de la régularité des actes d’enquête de s’assurer que, d’une part, l’accès a porté sur des données régulièrement conservées, d’autre part, que la ou les catégories de données visées, ainsi que la durée pour laquelle l’accès à celles-ci a eu lieu, étaient, au regard des circonstances de l’espèce, limitées à ce qui était strictement justifié par les nécessités de l’enquête.
Dans l’une des affaires soumises à la Cour de cassation, cette dernière relève que l’accès des enquêteurs a eu lieu dans le cadre d’une enquête de flagrance, en l’absence d’un contrôle indépendant préalable. Cependant, elle rejette le pourvoir, après avoir approuvé la juridiction saisie qui a constaté que l’accès des enquêteurs aux informations litigieuses a porté sur des données régulièrement conservées et qu’il a eu lieu en vue de la poursuite d’infractions relevant de la criminalité grave, dans des conditions limitant cet accès à ce qui était strictement justifié par les nécessités de l’enquête.
En d’autres termes, nous sommes aujourd’hui dans une situation un peu grise où le procureur de la République n’a plus vraiment le droit de requérir l’accès à des données de connexion en toute circonstance mais peut quand même prendre ce risque, à charge pour le juge d’en vérifier ensuite la régularité.
Cette solution n’est clairement pas satisfaisante d’un point de vue de la sécurité juridique tant pour les personnes suspectées d’avoir commis une infraction que pour les autorités de poursuites. Elle a fait l’objet de critiques acerbes de la part de la Conférence nationale des procureurs de la République qui se voient privés de l’un de leurs jouets favoris[3]. Nous ne doutons pas que dans la nouvelle réforme de la procédure pénale prévue d’ici l’automne 2022, le garde des Sceaux tentera de remédier à ce problème.
[1] CJCE, 9 mars 1978, Simmenthal, aff. 106/77
[2] La Cour de cassation livre cette méthodologie en annexe de sa note explicative relative aux arrêts de la chambre criminelle du 12 juillet 2022 (lien)
[3] Communiqué de presse du conseil d’administration de la Conférence nationale des procureurs de la République du 15 juillet 2022, Conséquences des arrêts de la Cour de cassation relatifs aux données de connexion pour la lutte contre la délinquance (lien)