Encadrement de l’accès aux données conservées par des opérateurs téléphoniques

La Cour de justice de l’Union européenne (CJUE), saisie d’une question préjudicielle par une juridiction espagnole, a eu à se prononcer sur la conformité au droit de l’Union de l’accès, dans le cadre d’une instruction pénale, à des données visant à l’identification des titulaires des cartes SIM activées avec un téléphone mobile volé. Un juge d’instruction espagnol était saisi d’un vol avec violences au cours duquel la victime avait vu son téléphone mobile dérobé. Le juge avait refusé d’ordonner aux opérateurs téléphoniques la transmission des numéros de téléphone activés avec l’appareil volé, en ce que l’infraction n’était pas d’une gravité suffisante pour justifier un tel acte, conformément au code de procédure pénale espagnol. Par la suite, une loi avait été adoptée, permettant le recours à un tel acte d’investigation pour l’infraction en cause. La juridiction d’appel, saisie par le ministère public, a alors décidé de poser à la Cour de justice une question préjudicielle. Il s’agissait de savoir quel était le seuil minimal de gravité d’une infraction qui pouvait justifier, conformément à la directive Vie privée et communication électronique (dir. n° 2002/58/CE du Parlement européen et du Conseil du 12 juill. 2002), d’accéder à des données à caractère personnel conservées par des fournisseurs de services de communications électroniques. La Cour de justice a répondu que l’article 15 de la directive, lu à la lumière des articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne, « doit être interprété en ce sens que l’accès d’autorités publiques aux données visant à l’identification des titulaires des cartes SIM activées avec un téléphone mobile volé, telles que les nom, prénom et, le cas échéant, adresse de ces titulaires, comporte une ingérence dans les droits fondamentaux de ces derniers, consacrés à ces articles de la Charte, qui ne présente pas une gravité telle que cet accès devrait être limité, en matière de prévention, de recherche, de détection et de poursuite d’infractions pénales, à la lutte contre la criminalité grave ». Autrement dit, les infractions de faible gravité peuvent justifier l’accès à des données à caractère personnel conservées par les opérateurs téléphoniques, dès lors que cet accès ne cause pas une atteinte grave au droit à la vie privée. Cette réponse à la question préjudicielle appelle plusieurs observations.

Tout d’abord, la compétence de la CJUE en la matière n’était pas évidente. En effet, si la directive Vie privée et communication électronique régit la conservation de données par les fournisseurs de services de communication électronique, il n’est pas évident de dire qu’elle régit également l’accès aux données dans le cadre d’une enquête ou d’une instruction pénale. En effet, l’article 1^er, paragraphe 3, de la directive affirme que « la présente directive ne s’applique pas […] aux activités concernant la sécurité publique […] ou aux activités de l’État dans des domaines relevant du droit pénal ». À lire cet article, il ressort que la directive ne régit pas la poursuite ou le jugement des infractions pénales. Mais la Cour de justice s’est fondée, comme elle l’avait déjà fait (CJUE 21 déc. 2016, Tele2 Sverige, aff. C-203/15, points 72 s., Dalloz actualité, 2 janv. 2017, obs. M.-C. de Montecler ; ibid. 2017. 1106, chron. E. Broussy, H. Cassagnabère, C. Gänser et P. Bonneville ; D. 2017. 8 ; ibid. 2018. 1033, obs. B. Fauvarque-Cosson et W. Maxwell ; Dalloz IP/IT 2017. 230, obs. D. Forest ; RTD eur. 2017. 884, obs. M. Benlolo Carabot ; ibid. 2018. 461, obs. F. Benoît-Rohmer ; Rev. UE 2017. 178, étude F.-X. Bréchot ), sur l’article 15 de la directive pour affirmer le contraire : celui-ci prévoit entre autres que les États membres peuvent adopter des mesures limitant les droits et obligations prévus par la directive « lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour […] assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ». Elle en a déduit que les mesures dont il est question relèvent du champ d’application de la directive, même si elles sont également visées par l’article 1^er qui les exclut du champ d’application. Si on peut regretter la contradiction interne à la directive, l’interprétation de la Cour de justice semble la meilleure, dans la mesure où, en affirmant le contraire, elle ôterait toute portée normative à l’article 15.

Pour ce qui est ensuite du fond, la CJUE a interprété cet article 15 à la lumière des articles 7 et 8 de la Charte des droits fondamentaux, relatifs au respect de la vie privée et familiale et à la protection des données à caractère personnel. La Cour de justice avait déjà affirmé qu’une législation prévoyant « la conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits » ne pouvait être justifiée que par la lutte contre la criminalité grave (CJUE 21 déc. 2016, préc., point 102 ; v. aussi CJUE 8 avr. 2014, Digital Rights, aff. C-293/12, point 60, AJDA 2014. 773 ; ibid. 1147, chron. M. Aubert, E. Broussy et H. Cassagnabère ; D. 2014. 1355, et les obs. , note C. Castets-Renard ; ibid. 2317, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; RTD eur. 2015. 117, étude S. Peyrou ; ibid. 168, obs. F. Benoît-Rohmer ; ibid. 786, obs. M. Benlolo-Carabot ). Là encore, la Cour de justice insiste sur le principe de proportionnalité, en affirmant a contrario que, « lorsque l’ingérence que comporte un tel accès n’est pas grave, ledit accès est susceptible d’être justifié par un objectif de prévention, de recherche, de détection et de poursuite d’“infractions pénales” en général » (point 57). L’ingérence dont il est question consiste en l’identification du numéro des cartes SIM utilisées depuis le téléphone mobile volé, ainsi que les noms, prénoms et adresses de leurs titulaires. Cette ingérence dans le droit à la vie privée, si elle est réelle, n’est pas qualifiée de grave, ce qui permet alors d’y recourir pour des infractions pénales, quelle qu’en soit la gravité.

Cette décision de la Cour de justice de l’Union européenne pose plusieurs questions quant à la conformité de la législation française avec la directive vie privée et communication électronique, tant la proportionnalité ne semble pas toujours respectée. L’ingérence apparaît grave dès lors que les données dont est demandée la communication aux opérateurs portent sur les communications effectuées avec le téléphone ou sur sa localisation. Pourtant, par de simples réquisitions, le procureur de la République en enquête préliminaire (C. pr. pén., art. 77-1-1) ou l’officier de police judiciaire en enquête de flagrance (C. pr. pén., art. 60-1) peut exiger d’un opérateur téléphonique la communication des fadettes, quelle que soit l’infraction recherchée. S’agissant des écoutes téléphoniques, elles ne sont autorisées durant l’enquête qu’en matière de criminalité organisée ou de terrorisme (C. pr. pén., art. 706-95) mais elles sont possibles, dans le cadre d’une information judiciaire, pour tous les crimes et les délits punis de plus de deux ans d’emprisonnement (C. pr. pén., art. 100). Quant à la géolocalisation, il peut y être recouru pour les délits punis de plus de cinq ans d’emprisonnement, voire trois ans pour les atteintes aux personnes (C. pr. pén., art. 230-32). La question pourrait éventuellement se poser de savoir si la gravité de ces infractions est suffisante pour justifier une ingérence grave résultant d’une géolocalisation. Pour ce qui est des techniques d’accès aux données par les services de renseignement (CSI, art. L. 851-1 s.), le Conseil d’État a récemment posé une question préjudicielle à la Cour de justice (CE 26 juill. 2018, n° 394922, Dalloz actualité, 7 sept. 2018, obs. M.-C. de Montecler isset(node/192047) ? node/192047 : NULL, 'fragment' => isset() ? : NULL, 'absolute' => )) .'"'>192047), à qui il appartiendra de déterminer si les ingérences graves résultant de la géolocalisation et de l’accès aux données de connexion peuvent être justifiées par les finalités visées à l’article L. 811-3 du code de la sécurité intérieure et si la prévention du terrorisme justifie les atteintes encore plus graves résultant des dispositifs de détection de signaux faibles (CSI, art. L. 851-3) et de l’accès en temps réel aux données de connexion (CSI, art. L. 851-2).