TROISIÈME PARTIE 
LES LIMITES DES TENTATIVES FRANÇAISES DE MISE EN CONFORMITÉ AVEC LE DROIT DE L'UNION EUROPÉENNE

À la suite de la jurisprudence de la Cour de justice de l'Union européenne, plusieurs décisions ont été successivement rendues par le Conseil d'État, le Conseil constitutionnel et la chambre criminelle de la Cour de cassation, qui n'ont toutefois intégré que partiellement les exigences posées par la Cour de justice et qui présentent entre elles des points de divergence, laissant ainsi peser un aléa sur la sécurité juridique des procédures malgré deux modifications législatives intervenues en 2021 et 2022. Cette situation invite à s'interroger à nouveau sur le curseur entre défense des droits et libertés, d'une part, et protection de la sécurité publique et du territoire national, d'autre part.

I. LA CONSERVATION DES DONNÉES DE CONNEXION : LA CONSTRUCTION PROGRESSIVE D'UNE CONSERVATION CIRCONSTANCIÉE

A. AVANT 2021, UNE OBLIGATION DE CONSERVATION GÉNÉRALISÉE CONTRAIRE TANT AU DROIT DE L'UNION EUROPÉENNE QU'À LA CONSTITUTION

Le cadre juridique français de la conservation des données de connexion a été bouleversé par la jurisprudence européenne. Comme on l'a vu, l'article L. 34-1 du code des postes et des communications électroniques imposait jusqu'alors aux opérateurs de communications électroniques de conserver certaines catégories de données techniques pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales pendant une durée d'un an, par dérogation à l'obligation générale d'effacer et de rendre anonyme toute donnée relative au trafic85(*). L'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique prévoyait une obligation de même nature pour les fournisseurs d'accès à internet et les hébergeurs de contenus s'agissant des données de nature à permettre l'identification de quiconque a contribué à la création de contenu au sein des services dont ils sont prestataires.

Cette obligation de conservation pendant une durée d'un an de l'ensemble des données de connexion - en particulier les données relatives au trafic et les données de localisation - a dû être aménagée pour assurer sa conformité à la jurisprudence de la Cour de justice de l'Union européenne qui a jugé, par un arrêt du 6 octobre 202086(*) qu'une législation française ne pouvait, sans méconnaître le droit de l'Union européenne, imposer à titre préventif aux opérateurs de communications électroniques et aux fournisseurs d'accès à internet une conservation généralisée et indifférenciée des données relatives au trafic et à la localisation sans justifier dans le même temps d'une menace pour la sécurité nationale.

Le 25 février 2022, le Conseil constitutionnel, saisi de deux questions prioritaires de constitutionnalité87(*), a estimé que la conservation généralisée et indifférenciée des données de connexion prévue par l'article L. 34-1 du code des postes et des communications électroniques dans sa rédaction applicable à l'époque des faits88(*) était également contraire à la Constitution dans la mesure où elle s'appliquait « de façon générale à tous les utilisateurs des services de communications électroniques » et portait « indifféremment sur toutes les données de connexion relatives à ces personnes, quelle qu'en soit la sensibilité et sans considération de la nature et de la gravité des infractions susceptibles d'être recherchées », constituant ainsi une atteinte disproportionnée au droit au respect de la vie privée.

B. LA POSITION DU CONSEIL D'ÉTAT : UNE TENTATIVE DE CONSTRUCTIVISME JURISPRUDENTIEL

L'inconventionalité du droit national a conduit le Conseil d'État, en dans sa décision d'assemblée French data network du 21 avril 202189(*), à annuler la décision implicite du Premier ministre de ne pas abroger l'article R. 10-13 du code des postes et des communications électroniques et le décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne. Il a en effet jugé que si, en l'état, la conservation générale et indifférenciée des données de trafic et de localisation était justifiée par des menaces pour la sécurité nationale, les dispositions contestées relatives à la conservation des données de connexion étaient contraires au droit de l'Union européenne dans la mesure où :

- elles ne justifiaient pas la conservation des données de connexion par l'existence de ces menaces et ne subordonnaient pas le maintien en vigueur d'une conservation généralisée à l'existence d'une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale. Il a considéré qu'un réexamen périodique de l'existence d'une telle menace était nécessaire ;

- elles ne limitaient pas à la sauvegarde de la sécurité nationale les finalités de l'obligation de conservation généralisée et indifférenciée des données de connexion autres que les données d'identité civile, les coordonnées de contact et de paiement, les données relatives aux contrats et aux comptes et les adresses IP, c'est-à-dire les données de trafic et de localisation.

S'agissant de l'obligation de conservation des données de connexion pour les besoins liés aux procédures pénales, le Conseil d'État a admis que, en l'état, elle n'était pas conforme au droit de l'Union européenne. Il a toutefois souligné, d'une part, que la solution de conservation ciblée proposée par la Cour de justice de l'Union européenne dans sa décision précitée « se [heurtait] à des obstacles techniques qui en compromettent manifestement la mise en oeuvre » et « présenterait un intérêt opérationnel particulièrement incertain, dès lors qu'elle ne permettrait pas, y compris en cas de faits particulièrement graves, d'accéder aux données de connexion d'une personne suspectée d'une infraction qui n'aurait pas été préalablement identifiée comme étant susceptible de commettre un tel acte »90(*). Il a indiqué, d'autre part, que les données relatives au trafic et les données de localisation conservées par les opérateurs pouvaient être accessibles aux fins de la lutte contre la criminalité grave par le biais d'une injonction de procéder, pour une durée déterminée, à une « conservation rapide » de ces données dès lors que l'infraction concernée était « suffisamment grave pour justifier [une] ingérence dans la vie privée », y compris s'agissant des données initialement conservées par les opérateurs, les fournisseurs et les hébergeurs aux fins de la sauvegarde de la sécurité nationale.

Ce faisant, le Conseil d'État a dessiné un schéma permettant aux autorités d'enquête d'accéder par le biais d'un mécanisme d'injonction de conservation rapide aux données de connexion conservées par les opérateurs.

En conclusion, le Conseil d'État a enjoint au Premier ministre de procéder à l'abrogation des dispositions règlementaires contestées dans un délai de six mois à compter de la décision, soit avant le 21 octobre 2021.

C. LA LOI « RENSEIGNEMENT » DE 2021 : L'INSCRIPTION LÉGISLATIVE DU MODÈLE DESSINÉ PAR LE CONSEIL D'ÉTAT

En conséquence de ces jurisprudences, le législateur a modifié, dans le cadre de la loi n° 2021-998 du 30 juillet 2021 relative à la prévention d'actes de terrorisme et au renseignement, l'article L. 34-1 du code des postes et des télécommunications électroniques pour modifier l'obligation faite aux opérateurs de conserver les données de connexion en distinguant selon les catégories de données et les finalités de la conservation, suivant le modèle esquissé par le Conseil d'État dans sa décision précitée du 21 avril 2021.

Ainsi, le II bis de l'article L. 34-1 oblige désormais les opérateurs à conserver :

- les informations relatives à l'identité civile de l'utilisateur pendant une durée de cinq ans après l'expiration du contrat de la personne concernée, pour les besoins des procédures pénales, de la prévention des menaces contre la sécurité publique et de la sauvegarde de la sécurité nationale ;

pour les mêmes finalités, les autres informations fournies par l'utilisateur lors de la souscription d'un contrat ou de la création d'un compte ainsi que les informations relatives au paiement, jusqu'à l'expiration d'un délai d'un an à compter de la fin de validité de son contrat ou de la clôture de son compte ;

pour les besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale, les données techniques permettant d'identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, jusqu'à l'expiration d'un délai d'un an à compter de la connexion ou de l'utilisation des équipements terminaux ;

- s'agissant des autres données de trafic et des données de localisation précisées par un décret en Conseil d'État, le III du même article L. 34-1 prévoit que les opérateurs sont obligés de les conserver, pendant une durée d'un an, pour des motifs tenant à la sauvegarde de la sécurité nationale, lorsqu'ils y sont enjoints par le Premier ministre dès lors que celui-ci constate une menace grave, actuelle ou prévisible, contre la sécurité nationale.

L'article précise que les données conservées par les opérateurs en application de ces différentes obligations peuvent faire l'objet d'une injonction de conservation rapide par les autorités disposant, en application de la loi, d'un accès aux données relatives aux communications électroniques à des fins de prévention et de répression de la criminalité, de la délinquance grave et des autres manquements graves aux règles dont elles ont la charge d'assurer le respect, afin que ces autorités puissent accéder à ces données91(*).

Obligations de conservation des données de connexion par les opérateurs instaurées par la loi n° 2021-998 du 30 juillet 2021 relative à la prévention d'actes de terrorisme et au renseignement

Données conservées

Obligation de conservation

Durée de conservation des données

Finalités de l'accès

Identité civile

Permanente

5 ans à compter de la fin de validité du contrat

Procédures pénales

Prévention des menaces contre la sécurité publique

Sauvegarde de la sécurité nationale

Coordonnées de contact et de paiement, données relatives aux contrats et aux comptes

Permanente

1 an à compter de la fin de validité du contrat ou de la clôture du compte

Procédures pénales

Prévention des menaces contre la sécurité publique

Sauvegarde de la sécurité nationale

Adresses IP et équivalents

Permanente

1 an à compter de la connexion ou de l'utilisation des équipements terminaux

Criminalité et délinquance grave

Prévention des menaces graves contre la sécurité publique

Sauvegarde de la sécurité nationale

Autres données de trafic et données de localisation

En cas de menace grave, actuelle ou prévisible contre la sécurité nationale

Un an renouvelable, sous la forme d'une injonction par décret du Premier ministre

Sauvegarde de la sécurité nationale

Toutes les données conservées par les opérateurs

Selon la nature de la donnée

Selon la nature de la donnée

Prévention et répression de la criminalité et de la délinquance grave ; autres manquements graves via une injonction de conservation rapide

Source : Commission des lois du Sénat

On notera que le Sénat, à l'occasion de l'examen de ce texte, avait souhaité que la procédure de « quick freeze » (l'injonction de conservation rapide) soit réservée aux données de localisation et de trafic, ménageant un accès plus aisé aux données d'identification. Cette position n'a pas été suivie par l'Assemblée nationale qui, en nouvelle puis en dernière lecture, a rétabli une rédaction imposant une injonction de conservation rapide pour l'accès des autorités d'enquête à l'ensemble des données de connexion, quelle qu'en soit la nature, alors même que cette exigence ne découle pas de la jurisprudence de la CJUE ou des décisions des cours suprêmes nationales.

Le législateur, suivant l'arrêt du Conseil d'État, a écarté la mise en place d'un mécanisme de conservation « ciblée » des données de connexion utilisables dans le cadre des enquêtes pénales. Plusieurs raisons, d'ordre tant pratique que juridique, s'opposaient en effet à un tel mécanisme :

- il semble difficile de mettre en place des critères de ciblage par personne qui soient non-discriminatoires ;

- le ciblage par zones géographiques se heurte à des obstacles techniques difficilement surmontables et générerait des surcoûts déraisonnables ;

- il n'est pas possible de connaître à l'avance le lieu de la commission d'une infraction grave ou le profil de l'auteur ;

- la conservation ciblée peut avoir pour effet pervers d'inciter les services d'enquête à se tourner vers des techniques plus intrusives ;

- une conservation ciblée inciterait les groupes criminels à développer des stratégies de contournement ;

- il n'existe pas de ligne de démarcation claire entre la criminalité grave et la sûreté de l'État, certaines infractions (comme la criminalité organisée) étant de nature à relever des deux catégories.

En application de la nouvelle rédaction de l'article L. 34-1 du code des postes et des télécommunications électroniques, par trois décrets n° 2021-1363 du 20 octobre 2021, n° 2022-1327 du 17 octobre 2022 et n° 2023-933 du 10 octobre 2023 portant injonction, au regard de la menace grave et actuelle contre la sécurité nationale, de conservation pour une durée d'un an de certaines catégories de données de connexion, le Premier ministre a ainsi enjoint aux opérateurs de communications électroniques et aux fournisseurs de services sur internet de conserver les données de connexion pendant un an.

Les fondements des décrets portant injonction, au regard de la menace grave et actuelle contre la sécurité nationale, de conservation pour une durée d'un an de certaines catégories de données de connexion

Le Conseil d'État avait indiqué, dans sa décision précitée de 2021, que « la France est confrontée à une menace pour sa sécurité nationale, appréciée au regard de l'ensemble des intérêts fondamentaux de la Nation listés à l'article L. 811-3 du code de la sécurité intérieure ».

Il avait décrit cette menace comme procédant « d'abord de la persistance d'un risque terroriste élevé, ainsi qu'en témoigne notamment le fait que sont survenues sur le sol national au cours de l'année 2020 six attaques abouties ayant causé sept morts et onze blessés. Deux nouveaux attentats ont déjà été déjoués en 2021. Le plan Vigipirate a été mis en oeuvre au niveau " Urgence attentat " entre le 29 octobre 2020 et le 4 mars 2021 puis au niveau " Sécurité renforcée - risque attentat " depuis le 5 mars 2021, attestant d'un niveau de menace terroriste durablement élevé sur le territoire ». Le Conseil avait par ailleurs indiqué que « la France [était] particulièrement exposée au risque d'espionnage et d'ingérence étrangère, en raison notamment de ses capacités et de ses engagements militaires et de son potentiel technologique et économique. De nombreuses entreprises françaises, tant des grands groupes que des petites et moyennes entreprises, font ainsi l'objet d'actions malveillantes, visant leur savoir-faire et leur potentiel d'innovation, à travers des opérations d'espionnage industriel ou scientifique, de sabotage, d'atteintes à la réputation ou de débauchage d'experts » et que « la France [était] également confrontée à des menaces graves pour la paix publique, liées à une augmentation de l'activité de groupes radicaux et extrémistes ».

Il en avait ainsi conclu que : « Ces menaces sont de nature à justifier l'obligation de conservation généralisée et indifférenciée des données de connexion », et qu'» il ne ressort pas des pièces du dossier que la durée de conservation de ces données, fixée à un an, ne serait pas strictement nécessaire aux besoins de la sauvegarde de la sécurité nationale ».

Ces menaces sont toujours le fondement du décret enjoignant aux opérateurs de conserver certaines données de trafic et les données de localisation.

Source : commission des lois du Sénat

D. DES INCERTITUDES PERSISTANTES

Si plusieurs auteurs ont pu noter que le Conseil d'État avait « sauvé l'essentiel du système français » relatif à la conservation des données92(*), certaines incertitudes demeurent.

Ainsi, dans le cadre de la lutte contre la criminalité grave, les enquêteurs émettent une réquisition aux opérateurs les enjoignant à conserver temporairement des données ciblées, déjà conservées pour un autre motif. Peuvent être concernées les données du suspect, de son entourage, des victimes, des témoins, ou encore des zones géographique déterminées dès lors qu'elles apparaissent utiles à la manifestation de la vérité. La chambre criminelle de la Cour de cassation a estimé, dans des arrêts en date du 12 juillet 202293(*), que les réquisitions délivrées dans le cadre des enquêtes pénales « doivent être analysées comme valant injonction de conservation rapide », lesquelles pouvant résulter d'injonctions de produire94(*).

La méthode de la conservation rapide constitue donc en pratique, comme l'a souligné la direction des affaires criminelles et des grâces aux rapporteurs dans le cadre de leurs travaux, « une modalité d'accès aux données de connexion déjà conservées pour d'autres finalités ».

La conformité de cette solution avec le droit européen n'est pas tranchée par la jurisprudence de la Cour de justice de l'Union européenne. Ainsi, si le système français a été jugé compatible avec la jurisprudence de la Cour par le Président de cette dernière lors d'une audition de la commission des affaires européenne de l'Assemblée nationale le 18 mai 202195(*), la Cour n'en a pas moins précisé, dans ses arrêts du 5 avril 202296(*) et du 20 septembre 202297(*), que « l'accès à des données relatives au trafic et à des données de localisation [...] ne peut en principe être justifié que par l'objectif d'intérêt général pour lequel cette conservation a été imposée à ces fournisseurs » et « lorsque ces données ont exceptionnellement été conservées de manière généralisée et indifférenciée à des fins de sauvegarde de la sécurité nationale contre une menace qui s'avère réelle et actuelle ou prévisible [...], les autorités nationales compétentes en matière d'enquêtes pénales ne sauraient accéder auxdites données dans le cadre de poursuites pénales, sous peine de priver de tout effet utile l'interdiction de procéder à une telle conservation aux fins de la lutte contre la criminalité grave ». Il en résulte clairement que la Cour interdit d'accéder à une donnée pour une finalité présentant un intérêt « inférieur » à celui de la finalité pour laquelle la donnée a été conservée initialement.

Par ailleurs, la notion d'injonction de conservation rapide provient de la Convention de Budapest sur la cybercriminalité98(*). Celle-ci, notamment dans ses articles 16 et 17, ne permet pas de savoir si cette injonction permet d'accéder aux données déjà conservées ou n'autorise qu'une conservation pour l'avenir et pour une durée limitée.

La Cour de justice de l'Union européenne ne s'est donc pas prononcée sur la portée exacte qu'elle entend conférer à l'injonction de conservation rapide. En résumé, si elle prohibe clairement l'accès, pour les besoins de la lutte contre la criminalité, aux données conservées pour la sauvegarde de la sécurité nationale, elle ne dit rien sur la possibilité d'ajouter, par le biais de l'injonction de conservation rapide, les besoins des enquêtes pénales aux finalités premières ayant justifié leur conservation.

II. L'ACCÈS AUX DONNÉES DE CONNEXION DANS LE CADRE DES ENQUÊTES PÉNALES : UNE PROCÉDURE ENCORE EN SUSPENS

A. LE RESPECT DES CRITÈRES PERMETTANT L'ACCÈS AUX DONNÉES DE CONNEXION DANS LE CADRE DES ENQUÊTES PÉNALES : CRIMINALITÉ GRAVE, NÉCESSITÉ ET PROPORTIONNALITÉ

1. L'encadrement progressif par le législateur des infractions permettant un accès aux données de connexion dans le cadre des enquêtes pénales

Comme le relevait la commission des lois du Sénat dans son rapport en première lecture sur le projet de loi relatif à la prévention d'actes de terrorisme et au renseignement99(*), si le dispositif adopté en 2021 préserve les capacités opérationnelles des services de renseignement, il « peut fragiliser les pouvoirs d'enquête en matière judiciaire » puisqu'il marque un changement de taille : l'accès aux données de connexion, par le passé possible pour tout type d'enquête, se trouve restreint par le texte à la criminalité et à la délinquance graves.

Appelé à se prononcer sur la conformité à la Constitution de l'accès aux données de connexion sous l'angle du cadre juridique d'enquête, le Conseil constitutionnel a considéré, par trois décisions rendues à la suite de questions prioritaires de constitutionnalité, que :

- la réquisition des données de connexion prévue par les articles 77-1-1 et 77-1-2 du code de procédure pénale dans le cadre d'une enquête préliminaire était contraire à la Constitution dans la mesure où elle pouvait porter sur tout type d'infraction et n'était ni justifiée par l'urgence ni limitée dans le temps : ainsi, bien que soumises à l'autorisation du procureur de la République, chargé de contrôler la légalité des moyens mis en oeuvre par les enquêteurs et la proportionnalité des actes d'investigation au regard de la nature et de la gravité des faits, cette possibilité n'était pas assortie de garanties suffisantes100(*) ;

- à l'inverse, la réquisition de données prévue par les articles 60-1 et 60-2 du code de procédure pénale était conforme à la Constitution, notamment parce qu'elle était limitée aux cas d'enquêtes portant sur un crime flagrant ou un délit flagrant puni d'une peine d'emprisonnement et parce que la durée de cette enquête était limitée à 8 jours101(*), offrant des garanties suffisantes et constituant une conciliation équilibrée entre l'objectif de valeur constitutionnelle de recherche des auteurs d'infractions et le droit au respect de la vie privée102(*) ;

la réquisition de données de connexion prévue par les articles 99-3 et 99-4 du code de procédure pénale était également conforme à la Constitution, dans la mesure où elle intervient à l'initiative du juge d'instruction, « magistrat du siège dont l'indépendance est garantie par la Constitution », ou d'un officier de police commis par lui, dans un cadre clairement défini (celui de l'information judiciaire) et dans les conditions précisément fixées par une commission rogatoire103(*).

En conséquence de la première décision, le législateur est intervenu pour restreindre l'accès aux données de connexion aux enquêtes pénales sur les cas les plus graves. C'est ainsi que la loi n° 2022-299 du 2 mars 2022 visant à combattre le harcèlement scolaire a introduit un nouvel article 60-1-2 dans le code de procédure pénale. Cet ajout vise à répondre à la demande de garanties formulée par le Conseil constitutionnel en décembre 2021.

Ce nouvel article 60-1-2 du code de procédure pénale précise que l'accès aux données de trafic et de localisation n'est possible en enquête préliminaire, en enquête de flagrance et en enquête sur commission rogatoire, à peine de nullité, que « si les nécessités de la procédure l'exigent » et dans quatre cas limitativement énumérés :

- lorsque la procédure porte sur un crime ou sur un délit puni d'au moins trois ans d'emprisonnement ;

lorsque la procédure porte sur un crime ou un délit puni d'au moins un an d'emprisonnement, que celui-ci a été commis par l'utilisation d'un réseau de communication électronique et que les réquisitions ont pour seul objet d'identifier l'auteur de l'infraction ;

lorsque les réquisitions portent sur les équipements de la victime et interviennent à la demande de celle-ci, pour des délits punis d'une peine d'emprisonnement ;

lorsqu'elles tendent à retrouver une personne disparue ou à retracer un parcours criminel pour un crime sériel ou non-élucidé.

Le Conseil constitutionnel, dans son commentaire de la décision QPC du 20 mai 2022104(*), a souligné que les modifications réalisées par la loi n° 2022-299 du 2 mars 2022 visant à combattre le harcèlement scolaire, « ont eu pour objet de renforcer les garanties entourant la réquisition de données de connexion ».

2. Les arrêts de la Cour de cassation du 12 juillet 2022 : l'institution d'un faisceau d'indices pour définir la criminalité grave

Appelée à se prononcer, la chambre criminelle de la Cour de cassation a estimé, dans des arrêts en date du 12 juillet 2022105(*), que l'accès aux données de connexion pour les besoins des enquêtes pénales n'est possible que pour les affaires relevant de la criminalité grave, conformément aux exigences de la Cour de justice de l'Union européenne.

La Cour de cassation a précisé qu'en l'absence de définition nationale ou européenne de la notion de « criminalité grave », il revenait au juge du fond la responsabilité d'examiner, au cas par cas, si la nature de l'infraction relevait de la « criminalité grave » au sens de la décision de la Cour de Luxembourg et donc si elle justifiait un accès aux données de connexion. Selon la note explicative accompagnant les arrêts du 12 juillet 2022, cette appréciation doit notamment s'effectuer « au regard de la nature des agissements de la personne poursuivie, du montant du préjudice qui en résulte, des circonstances de la commission des faits et de la durée de la peine encourue »106(*).

Ces critères, qui constituent un faisceau d'indices, ne doivent cependant pas être interprétés comme étant cumulatifs. Dès lors, la gravité de l'infraction réalisée est appréciée :

- d'une part, au regard de l'infraction visée et de la peine d'emprisonnement encourue ;

- d'autre part, au regard des circonstances de l'espèce, appréciation qui peut être faite au cas par cas en application des principes de nécessité et de proportionnalité.

À ce jour, la chambre criminelle de la Cour de cassation a ainsi jugé qu'entrent dans le champ de la criminalité grave, par exemple, « les faits de trafic de stupéfiants au sein d'une maison d'arrêt et de corruption de fonctionnaires »107(*) ou encore les faits de « banditisme violent, organisé et transfrontalier, association de malfaiteurs, détentions d'armes et explosifs en lien avec la possibilité préparation d'attaques »108(*).

Cependant, comme l'a rappelé son président, Nicolas Bonnal, aux rapporteurs, en l'état, la seule qualification des faits ne peut suffire à établir la nécessité et la proportionnalité de l'accès aux données de connexion : il appartient aux magistrats, y compris du ministère public, d'exercer un contrôle de la nécessité du recours aux données de connexion au regard des circonstances de l'espèce.

Proposition n° 2 :  Intégrer dans le code de procédure pénale le faisceau d'indices retenu par la Cour de cassation pour définir la notion de « criminalité grave ».

En renvoyant au parquet ou au juge d'instruction la responsabilité de rattacher l'infraction à la criminalité grave, cette jurisprudence a eu deux conséquences principales :

- d'une part, une absence d'harmonisation dans les critères d'accès aux données de connexion, qui peuvent ainsi varier en fonction des Parquets, lesquels peuvent réaliser un contrôle d'opportunité et de proportionnalité différent ;

- d'autre part, un formalisme accru pour justifier et obtenir une autorisation d'accès aux données de connexion, les enquêteurs devant désormais justifier de la nécessité et de la proportionnalité de l'acte envisagé au regard de la gravité de l'infraction et de l'intérêt de l'enquête.

Le cas particulier des infractions liées à la sécurité nationale

Dans ses arrêts du 12 juillet 2022, la Cour de cassation a considéré que « l'obligation de conservation des données de trafic et de localisation imposée aux opérateurs par l'article L. 34-1, III, du code précité [...], en ce qu'elle permet notamment la recherche, la constatation et la poursuite des atteintes aux intérêts fondamentaux de la Nation et des actes de terrorisme, infractions incriminées aux articles 410-1 à 422-7 du code pénal, est conforme au droit de l'Union, comme poursuivant l'objectif de sauvegarde de la sécurité nationale ». Il découle de cette jurisprudence que les enquêtes pénales pour des faits constituant une atteinte aux intérêts fondamentaux de la Nation ou des actes de terrorisme ne relèvent pas de la catégorie de la « criminalité grave », mais de la « sauvegarde de la sécurité nationale ». L'accès aux données de connexion pour ces enquêtes est donc possible, et ce sans passer par le biais d'une injonction de conservation rapide.

3. La criminalité grave : une notion dont l'appréciation doit continuer à relever du droit national

Tout l'enjeu réside ainsi, pour les services d'enquêtes et les procureurs, dans ce que recouvre cette notion de « criminalité et délinquance graves », traduction législative française de la notion de « criminalité grave » utilisée par la Cour de justice de l'Union européenne. Cette dernière avait ainsi précisé, au point 135 de son arrêt Quadrature du net109(*), que la criminalité grave « [correspondait] à l'intérêt primordial de protéger les fonctions essentielles de l'État et les intérêts fondamentaux de la société et [incluait] la prévention et la répression d'activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d'un pays, et en particulier à menacer directement la société, la population ou l'État en tant que tel, telles que notamment des activités de terrorisme ». Cette définition a été reprise par le Conseil d'État au point 42 de son arrêt French Data Network, en date du 21 avril 2021. La commission des lois du Sénat avait également relevé, dans son rapport sur la loi n° 2021-998 du 30 juillet 2021 relative à la prévention d'actes de terrorisme et au renseignement, que la directive du 27 avril 2016 relative à l'utilisation des données des dossiers passagers (PNR) fixait le niveau de gravité par référence à une peine privative de liberté ou d'une mesure de sûreté d'une durée maximale d'au moins trois ans.

La Cour de cassation, dans ses arrêts du 12 juillet 2022, n'a pas souhaité fixer de seuil de peine d'emprisonnement pour rattacher une infraction à la criminalité grave. Elle considère que l'appréciation de cette notion « relève du droit national ». Cette solution est cohérente avec la position défendue par la France au sein des instances européennes. Le Gouvernement a ainsi soutenu dans le cadre de procédures préjudicielles que la définition de la criminalité grave relève de la compétence des États membres et qu'elle doit pouvoir être principalement opérée par l'échelle des peines.

Pour ce faire, le Gouvernement s'appuie sur les termes de l'article 83, paragraphe 2 du Traité sur le fonctionnement de l'Union européenne, qui dispose que c'est seulement dans les cas où l'harmonisation du droit pénal des États membres « s'avère indispensable pour assurer la mise en oeuvre efficace d'une politique de l'Union dans un domaine ayant fait l'objet de mesures d'harmonisation » que l'Union peut adopter des directives visant à « établir des règles minimales relatives à la définition des infractions pénales et des sanctions dans le domaine concerné ».

La question du bon niveau de définition de la notion de criminalité grave semble toutefois diviser la Cour de justice de l'Union européenne elle-même. Ainsi, dans ses conclusions rendues le 8 juin 2023 dans l'affaire Tribunale di Bolzano, l'avocat général Collins a souligné la nécessité de laisser aux législateurs nationaux le soin de définir la notion de criminalité grave, privilégiant une approche au cas par cas dans laquelle la juridiction ou l'autorité administrative indépendante chargée d'autoriser l'accès aux données doit exercer, d'une part, un contrôle objectif de l'appartenance d'une infraction, en vertu du droit national, à la catégorie de « criminalité grave » et, d'autre part, un contrôle in concreto de la proportionnalité de l'ingérence110(*). En revanche, les conclusions de l'avocat général Szpunar présentées le 27 octobre 2022 dans l'affaire Quadrature du net proposent que la notion de « criminalité grave » reçoive une interprétation autonome en droit de l'Union. Selon lui, une telle notion « ne saurait dépendre des conceptions de chaque État membre sauf à permettre un contournement des exigences de l'article 15, paragraphe 1, de la directive 2002/58 selon que les États membres adoptent une conception extensive ou non de la lutte contre la criminalité grave »111(*). Suite à la réouverture de la phase orale, les secondes conclusions de l'avocat général Szpunar présentées le 28 septembre 2023 maintiennent cette position mais de manière plus discrète, ce point n'étant abordé que dans une note de bas de page. L'avocat général envisage cependant la possibilité que la notion soit définie par les États membres, indiquant dans cette même note que « même si la Cour venait à juger que la définition de la notion de `criminalité grave' est laissée aux États membres, celle-ci devrait en tout état de cause être établie dans les limites du droit de l'Union et ne pourrait être étendue au point de vider cette disposition de sa substance »112(*). La solution de la Cour dans chacune de ces affaires est ainsi très attendue, compte tenu notamment des négociations législatives en cours au sein du Conseil de l'Union européenne.

Proposition n° 3 :  Maintenir au niveau de chaque État membre la définition de ce que recouvre la « criminalité grave », sans en faire une notion autonome du droit de l'Union européenne.

B. LA NÉCESSITÉ D'UN CONTRÔLE PRÉALABLE ET INDÉPENDANT

1. Les exigences posées par la CJUE

Par ses décisions successives, la Cour de justice de l'Union européenne a jugé que toute réquisition portant sur l'accès à des données de connexion devait être soumise au contrôle préalable d'une juridiction ou d'une autorité administrative indépendante dotée d'un pouvoir contraignant. Tout au plus admet-elle qu'en cas d'urgence, ce contrôle intervienne a posteriori, pourvu que cela soit à bref délai (voir supra).

En toute hypothèse, l'autorité chargée du contrôle doit être distincte et indépendante de celle qui requiert l'accès aux données. Dans son arrêt H.K. c/ Prokuratuur du 2 mars 2021, elle a ainsi expressément jugé que le ministère public estonien, qui dirige la procédure d'enquête et exerce, le cas échéant, l'action publique, ne répondait pas aux conditions posées pour autoriser l'accès d'une autorité publique aux données de connexion.

2. Les conséquences qu'en a tirées la Cour de cassation

Par ses arrêts du 12 juillet 2022, la Cour de cassation a été invitée à tirer les conséquences de cette jurisprudence sur la conformité de la procédure pénale française à ces exigences.

À cette aune, elle a jugé que le juge d'instruction, qui non seulement n'est pas une partie à la procédure mais une juridiction, et de plus n'exerce pas l'action publique mais statue de façon impartiale sur le sort de celle-ci, pouvait valablement contrôler l'accès aux données de connexion. Si cette position, que certaines personnes entendues par les rapporteurs ont qualifiée de discutable - dès lors qu'il pourrait être objecté que le juge d'instruction n'est pas parfaitement extérieur à l'enquête qu'il contrôle -, est conforme à la conception française de la procédure d'instruction et aux garanties d'indépendance dont celle-ci est entourée, elle ne s'applique toutefois en pratique qu'à une part infime des enquêtes pénales, en général les plus complexes, du fait de la marginalisation progressive du recours à l'information judiciaire dans la justice pénale depuis de nombreuses années113(*).

En revanche, et sans surprise au regard des décisions précitées, la Cour de cassation n'a pu que constater que les dispositions du code de procédure pénale relatives aux enquêtes préliminaires et aux enquêtes en flagrance, qui sont placées sous le seul contrôle du parquet et représentent l'immense majorité des enquêtes pénales aujourd'hui, étaient contraires au droit de l'Union européenne en ce qu'elles ne prévoient pas un contrôle préalable par une juridiction ou une entité administrative indépendante : le procureur de la République, qui dirige l'enquête, ne peut donc pas valablement contrôler l'accès aux données de connexion requis pour les besoins de celle-ci.

La Cour de cassation a toutefois jugé que cette absence de contrôle préalable indépendant n'entraînerait la nullité de la procédure réalisée dans ces conditions irrégulières que si le requérant établit l'existence d'une ingérence injustifiée dans sa vie privée et dans ses données à caractère personnel, c'est-à-dire s'il démontre qu'un contrôle préalable aurait permis de constater que les conditions de fond pour l'accès à ses données n'étaient pas réunies. Dans le cas contraire, en l'absence de ce préjudice, l'acte accompli sans le contrôle préalable indépendant requis par la jurisprudence de la Cour de justice pourra être admis par la juridiction.

3. Une position fragile

Cette position, dont Nicolas Bonnal, président de la chambre criminelle de la Cour de cassation, a rappelé qu'elle n'était que la déclinaison du principe « pas de nullité sans grief »114(*), a été décriée tant par la doctrine que par une partie des magistrats.

Les représentants de la conférence nationale des procureurs de la République ont notamment insisté sur la position délicate dans laquelle ces décisions les placent, en les autorisant implicitement à continuer à requérir des données de connexion tout en jugeant expressément qu'une telle pratique n'est pas conforme au droit. Ces magistrats y voient à la fois une source d'insécurité juridique et une négation des termes de leur serment115(*).

La doctrine, quant à elle, en a appelé à une rapide clarification du droit par le législateur116(*).

Au surplus, la question reste posée de la possibilité, aux yeux de la CJUE, pour le juge d'instruction d'assurer ce même rôle de contrôle des accès aux données de connexion dans la mesure où, bien que rattaché au siège, il ne saurait être vu comme indépendant vis-à-vis d'une enquête qu'il dirige.


* 85 Prévue par le II du même article.

* 86 Cour de justice de l'Union européenne, arrêt « La Quadrature du net » du 6 octobre 2020 (affaires C 511/18, C 512/18 et C 520/18).

* 87 Conseil constitutionnel, décision n° 2021-976/977 QPC du 25 février 2022.

* 88 Qui correspond à la version décrite ci-avant et diffère de la version en vigueur lors de la décision du Conseil constitutionnel.

* 89 Conseil d'État, Ass., 21 avril 2021, French Data Network et autres, n° 393099. Cette décision est consultable sur le site du Conseil d'État.

* 90 Conseil d'État, Ass., 21 avril 2021, French Data Network et autres, n° 393099. Le Conseil d'État a, plus encore, estimé que « ni l'accès aux données de connexion conservées volontairement par les opérateurs, ni la possibilité de leur imposer une obligation de conservation ciblée, ni le recours à la technique de la conservation rapide ne permettent, par eux-mêmes, de garantir le respect des objectifs de valeur constitutionnelle de prévention des atteintes à l'ordre public, notamment celle des atteintes à la sécurité des personnes et des biens, ainsi que de recherche des auteurs d'infractions, notamment pénales ».

* 91 III bis du même article L. 34-1 du code des postes et des communications électroniques.

* 92 Voir notamment l' article de Marie-Christine de Montecler, « Conservation des données : la guerre des juges n'aura pas lieu », Dalloz actualité, 29 avr. 2021 à propos de l'arrêt CE 21 avr. 2021, req. n° 93099.

* 93 Cour de cassation, arrêts de la chambre criminelle du 12 juillet 2022, pourvois n° 21-83.710, 21-83.820, 21-84.096 et 20-86.652. Une note explicative relative à ces arrêts est consultable sur le site de la cour de cassation.

* 94 Cour de cassation, crim., 12 juillet 2022, n° 21-83.710 (§34).

* 95 Le compte rendu de cette réunion est consultable sur le site de l'Assemblée nationale.

* 96 Affaire C-140/20, Commissioner of the Garda Síochána e.a. (Dwyer).

* 97 Affaires jointes C-793/19 et C-794/19, SpaceNet.

* 98  Consultable sur le site : https://www.coe.int.

* 99  Rapport n° 694 (2020-2021) de Marc-Philippe Daubresse et Agnès Canayer sur le projet de loi relatif à la prévention d'actes de terrorisme et au renseignement, déposé le 16 juin 2021.

* 100 Conseil constitutionnel, décision n° 2021-952 QPC du 3 décembre 2021.

* 101 Cette durée est renouvelable sur décision du procureur de la République, mais seulement dans l'hypothèse où l'enquête porte sur un crime ou un délit puni d'une peine d'emprisonnement égale ou supérieure à cinq ans et si les investigations ne peuvent être différées.

* 102 Conseil constitutionnel, décision n° 2022-993 QPC du 20 mai 2022.

* 103 Conseil constitutionnel, décision n° 2022-1000 QPC du 17 juin 2022.

* 104  Consultable sur le site du Conseil constitutionnel.

* 105 Cour de cassation, arrêts de la chambre criminelle du 12 juillet 2022, pourvois n° 21-83.710, 21-83.820, 21-84.096 et 20-86.652. Une note explicative relative à ces arrêts est consultable sur le site de la cour de cassasstion.

* 106 Ainsi, le simple quantum de la peine encourue ne suffit pas à qualifier l'appartenance de l'infraction à la « criminalité grave ».

* 107 Crim., 11 octobre 2022, n° 22-81.244.

* 108 Crim., 15 novembre 2022, n° 21-87.449.

* 109 Cour de justice de l'Union européenne, arrêt « La Quadrature du net » du 6 octobre 2020 (affaires C 511/18, C 512/18 et C 520/18).

* 110  Conclusions de l'avocat général Anthony M. Collins, présentées le 8 juin 2023 sur l'affaire C-178/22.

* 111  Premières conclusions de l'avocat général Maciej Szpunar, présentées le 27 octobre 2022 sur l'affaire C-470/21.

* 112  Secondes conclusions de l'avocat général Maciej Szpunar, présentées le 28 septembre 2023 sur l'affaire C-470/21.

* 113 D'après les chiffres publiés par le ministère de la justice, les parquets ont enregistré plus de 3 millions d'affaires nouvelles en 2021, quand les juges d'instruction ont été saisis d'un peu moins de 18 000 affaires cette même année, ce qui représente moins de 1% des affaires enregistrées par les parquets (source : Chiffres clés, édition 2022, publié sur le site Internet du ministère de la justice).

* 114 En l'espèce, il s'agit de nullités qualifiées « d'intérêt privé ».

* 115 Pour mémoire, tout magistrat, lors de sa nomination à son premier poste, et avant d'entrer en fonctions, prête serment en ces termes : "Je jure de bien et fidèlement remplir mes fonctions, de garder le secret des délibérations et de me conduire en tout comme un digne et loyal magistrat."

* 116 Voir par exemple "Procédure pénale - Contrôle de l'accès aux données de connexion devant la chambre criminelle de la Cour de cassation. - Comment reprendre d'une main ce que l'on a donné de l'autre ! - Aperçu rapide par Antoine Botton" La Semaine Juridique - Édition générale n° 38 du 26 septembre 2022. Ou « L'accès aux données de connexion : les affres du pluralisme normatif », Amane Gogorza,LexisNexis Sa - Droit pénal, n°10, octobre 2022.

Les thèmes associés à ce dossier

Partager cette page