- Administratif
- Toute la matière
- > Acte
- > Collectivité territoriale
- > Compétence
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Election
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit et liberté fondamentaux
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Mariage - Divorce - Couple
- > Procédure civile
- > Responsabilité
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Circulation et transport
- > Criminalité organisée et terrorisme
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Informatique
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Grève
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Négociation collective
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Travailleurs handicapés
- Avocat
Article
Champ d’application de la directive « Police-Justice » et logiciel étranger
Champ d’application de la directive « Police-Justice » et logiciel étranger
Un traitement de données personnelles à caractère pénal mis en œuvre par une fondation aux États-Unis n’entre pas dans le champ d’application de la directive « Police-Justice ». Dès lors, est inopérant le moyen qui tire argument de l’absence d’autorisation et d’avis que requièrent la directive et la loi « Informatique et libertés ».
Fer de lance de la protection des données personnelles, le droit européen vise à s’appliquer à l’ensemble du territoire de l’Union et veille, à ce titre, à prévenir toute pratique visant à s’y soustraire, à commencer par celle consistant à se retirer artificiellement du territoire européen. Cette opération, rendue plus aisée en matière numérique, est anticipée par la norme européenne qui prend soin de contourner les excursions des responsables de traitements de données à caractère personnel qui se fixent dans un État non-membre de l’Union européenne. Toutefois, cette anticipation demeure limitée, y compris s’agissant des traitements de données personnelles mis en œuvre pour rechercher ou prouver une infraction pénale (ci-après : traitement à caractère pénal). C’est cette limite que nous rappelle la chambre criminelle de la Cour de cassation dans un arrêt du 12 mars 2025 publié au Bulletin.
En l’espèce, un logiciel administré par une fondation installée aux États-Unis a permis d’identifier l’adresse IP d’un individu qui a téléchargé et partagé des fichiers à caractère pédopornographique. Les enquêteurs ont utilisé les informations recueillies par ce logiciel afin d’interpeller le prévenu et de perquisitionner son domicile dans lequel ils ont pu constater, sur son ordinateur, qu’il avait bien détenu et transféré des images à caractère pédopornographique téléchargées sur internet. Par jugement du 15 mars 2021, le tribunal correctionnel l’a condamné, pour détention et diffusion de représentation pornographique de mineur, à huit mois d’emprisonnement avec sursis, cinq ans d’interdiction d’activité en lien avec les mineurs et une confiscation. Le prévenu a interjeté appel du jugement, de même que le ministère public par la voie incidente.
La Cour d’appel de Rennes a confirmé le jugement de première instance en rejetant les moyens de nullité. Le prévenu a alors formé un pourvoi en cassation.
Il affirmait : que les données issues du logiciel « Child System Protection » (ci-après : « CPS ») n’ont pas pu être régulièrement recueillies par les enquêteurs, dès lors que ce logiciel n’a pas fait l’objet d’une autorisation par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés ; que cette exigence découle de l’application de la directive « Police-Justice » qui a vocation à s’appliquer à l’ensemble des traitements de données mis en œuvre par les autorités compétentes, et qui ont pour objet « la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures » ; que ledit logiciel se rapporte à un tel traitement puisqu’il ressort de l’enquête que les services français ont utilisé ce logiciel afin de recueillir l’adresse IP du prévenu.
La Cour de cassation récuse une telle analyse et rejette le pourvoi en considérant que ledit logiciel étant mis en œuvre par une fondation étasunienne, il ne pouvait être considéré comme étant utilisé pour le compte de l’État français, ce qui aboutit à écarter l’application du régime juridique réservé par le droit de l’Union européenne et, notamment, des dispositions contenues par la directive « Police-Justice ».
La nature juridique de traitement de données personnelles du logiciel CPS
Le logiciel CPS est un logiciel qui se connecte à un réseau pair-à-pair (ou peer-to-peer), c’est-à-dire un système informatique par lequel les particuliers mettent leurs ordinateurs en communication avec d’autres, sans l’intermédiaire d’un serveur, mais par le seul média de leur adresse IP. Le logiciel CPS joue de cette mise en réseau en identifiant,...
