Accueil
Le quotidien du droit en ligne
-A+A
Article

Réquisition de données informatiques dans le cadre d’une information judiciaire : le régime est constitutionnel

Dans une décision QPC du 17 juin 2022, le Conseil constitutionnel déclare les dispositions figurant aux articles 99-3 et 99-4 du code de procédure pénale et relatives à la réquisition de données informatiques dans le cadre d’une information judiciaire conformes à la Constitution. 

Le Conseil constitutionnel a été saisi le 25 avril 2022 par la Cour de cassation d’une question prioritaire de constitutionnalité (QPC) relative à la conformité aux droits et libertés que la Constitution garantit des articles 99-3 du code de procédure pénale, dans sa rédaction résultant de la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale, et de l’article 99-4 du même code, dans sa rédaction issue de la loi n° 2004-204 du 9 mars 2004 portant adaptation de la justice aux évolutions de la criminalité.

Pour rappel l’article 99-3 du code de procédure pénale, dans sa rédaction résultant de la loi du 3 juin 2016 précitée, prévoit que : « le juge d’instruction ou l’officier de police judiciaire par lui commis peut, par tout moyen, requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute administration publique qui sont susceptibles de détenir des documents intéressant l’instruction, y compris ceux issus d’un système informatique ou d’un traitement de données nominatives, de lui remettre ces documents, notamment sous forme numérique, sans que puisse lui être opposée, sans motif légitime, l’obligation au secret professionnel. Lorsque les réquisitions concernent des personnes mentionnées aux articles 56-1 à 56-3 et à l’article 56-5, la remise des documents ne peut intervenir qu’avec leur accord.
En l’absence de réponse de la personne aux réquisitions, les dispositions du deuxième alinéa de l’article 60-1 sont applicables.
Le dernier alinéa de l’article 60-1 est également applicable ».

L’article 99-4 du même code, dans sa rédaction issue de la loi du 9 mars 2004 mentionnée ci-dessus, prévoit quant à lui que : « Pour les nécessités de l’exécution de la commission rogatoire, l’officier de police judiciaire peut procéder aux réquisitions prévues par le premier alinéa de l’article 60-2.

Avec l’autorisation expresse du juge d’instruction, l’officier de police peut procéder aux réquisitions prévues par le deuxième alinéa de l’article 60-2.

Les organismes ou personnes concernés mettent à disposition les informations requises par voie télématique ou informatique dans les meilleurs délais.

Le fait de refuser de répondre sans motif légitime à ces réquisitions est puni conformément aux dispositions du quatrième alinéa de l’article 60-2 ».

Question posée

Dans sa QPC, le requérant, rejoint par les parties intervenantes, reproche à ces dispositions de permettre au juge d’instruction, ou à un officier de police judiciaire commis par lui, de requérir la communication de données de connexion alors qu’une instruction pourrait porter sur tout type d’infraction et qu’elle n’est pas justifiée par l’urgence ni limitée dans le temps. Il en résulterait une méconnaissance du droit au respect de la vie privée.

Les parties intervenantes font également valoir que ces dispositions permettent au juge d’instruction, ou à l’officier de police judiciaire commis par lui, de requérir des données de connexion alors que ce magistrat ne constituera pas une juridiction indépendante. Il en résulterait une méconnaissance, d’une part, des exigences du droit de l’Union européenne et, d’autre part, des droits de la défense ainsi que du droit à un recours juridictionnel effectif. Pour les mêmes motifs, le législateur aurait, en outre, méconnu l’étendue de sa compétence dans des conditions affectant les droits précités.

Décision du Conseil constitutionnel

Le Conseil constitutionnel a relevé que, en permettant de requérir des informations issues d’un système informatique ou d’un traitement de données nominatives, les dispositions contestées de ces articles autorisent le juge d’instruction ainsi que l’officier de police judiciaire à se faire communiquer des données de connexion ou à y avoir accès.

Or, le Conseil précise que les données de connexion comportent notamment les données relatives à l’identification des personnes, à leur localisation et à leurs contacts téléphoniques et numériques ainsi qu’aux services de communication au public en ligne qu’elles consultent. Compte tenu de leur nature, de leur diversité et des traitements dont elles peuvent faire l’objet, les données de connexion fournissent sur les personnes en cause ainsi que, le cas échéant, sur des tiers, des informations nombreuses et précises, particulièrement attentatoires à leur vie privée.

Seulement, il ajoute en premier lieu qu’en adoptant les dispositions contestées, le législateur a poursuivi l’objectif de valeur constitutionnelle de recherche des auteurs d’infractions.

En second lieu, la réquisition de données de connexion intervient à l’initiative du juge d’instruction, magistrat du siège dont l’indépendance est garantie par la Constitution, ou d’un officier de police judiciaire qui y a été autorisé par une commission rogatoire délivrée par ce magistrat.

Par ailleurs, le Conseil constitutionnel juge, d’une part, que ces dispositions ne permettent la réquisition de données de connexion que dans le cadre d’une information judiciaire, dont l’ouverture n’est obligatoire qu’en matière criminelle et pour certains délits. D’autre part, dans le cas où la réquisition de données de connexion est mise en œuvre par un officier de police judiciaire en exécution d’une commission rogatoire, cette commission rogatoire, datée et signée par le magistrat, précise la nature de l’infraction, objet des poursuites, et fixe le délai dans lequel elle doit être retournée avec les procès-verbaux dressés pour son exécution par l’officier de police judiciaire. Ces réquisitions doivent se rattacher directement à la répression de cette infraction et sont, conformément à l’article 152 du code de procédure pénale, mises en œuvre sous la direction et le contrôle du juge d’instruction.

En outre, conformément aux articles 175-2 et 221-1 du code de procédure pénale, la durée de l’information ne doit pas, sous le contrôle de la chambre de l’instruction, excéder un délai raisonnable au regard de la gravité des faits reprochés à la personne mise en examen, de la complexité des investigations nécessaires à la manifestation de la vérité et de l’exercice des droits de la défense.

Le Conseil déduit de ses différentes observations que les dispositions contestées opèrent une conciliation équilibrée entre l’objectif de valeur constitutionnelle de recherche des auteurs d’infractions et le droit au respect de la vie privée.

C’est la raison pour laquelle ces dispositions ne méconnaissent pas, selon lui, les droits de la défense et le droit à un recours juridictionnel effectif ni aucun autre droit ou liberté que la Constitution garantit.

Observations

D’une manière générale, la plupart des actes d’investigation présentent un caractère intrusif, consubstantiel d’une atteinte à la vie privée. La gravité de l’atteinte peut alors varier selon les actes, selon leur nature, la nature des données collectées ou encore la durée de la collecte.

Sur cette échelle de gravité, et s’agissant des données recueillies, les données dites « de contenu » apparaissent plus sensibles, au regard de l’atteinte à l’intimité de la vie privée, que le recueil de données de « connexion ».

Cette distinction entre données de « contenu » et données de « connexion » est faite à l’article L. 34-1 du code des postes et des communications électroniques. Selon ce dernier, les données de connexion portent sur « l’identification des personnes utilisatrices des services fournis par les opérateurs, sur les caractéristiques techniques des communications assurées par ces derniers et sur la localisation des équipements terminaux ».

À l’origine, ces données n’incluaient pas la localisation de l’utilisateur ou du terminal de communication. Cette catégorie de « métadonnées », qui permet de savoir où se trouvait l’utilisateur lorsqu’il a utilisé le service de communication, a été ajoutée par l’article 10 (6°) de la loi n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle.

Le Conseil constitutionnel a déjà rendu plusieurs décisions sur les données de connexion. Dans l’une d’entre elles, le Conseil a jugé que : « la communication des données de connexion est de nature à porter atteinte au droit au respect de la vie privée de la personne intéressée » (Cons. const. 15 févr. 2019, n° 2018-764 QPC, D. 2019. 311, et les obs. ; Dalloz IP/IT 2019. 447, obs. O. de Maison Rouge ; Constitutions 2019. 115, chron. O. Le Bot ; ibid. 149, Décision ).

La gravité de cette atteinte, dès lors incontestée, est alors mise en balance avec les nécessaires garanties devant être instaurées pour autoriser de tels actes d’investigation. De manière évidente, en fonction de la gravité de l’atteinte portée à l’intimité de la vie privée, le recours à de tels actes suppose réunies des garanties différenciées. C’est ainsi que les actes qui portent l’atteinte la plus grave à l’intimité de la vie privée ne peuvent être autorisés que dans le cadre de la lutte contre la criminalité organisée, ou dans le cas d’infractions présentant un certain niveau de gravité, et seulement sur autorisation préalable du JLD, voire du juge d’instruction, ou pendant une certaine durée.

C’est là que résidait d’ailleurs le cœur d’une QPC déjà présentée au Conseil constitutionnel en 2021, laquelle devait mener à une réflexion classique sur la proportionnalité des moyens d’investigation mis en œuvre au regard de l’infraction en cause et des objectifs poursuivis.

Dans sa décision n° 2021-952 du 3 décembre 2021, le Conseil constitutionnel, examinant cette QPC, ne s’y est pas trompé lorsqu’il a relevé qu’en application des dispositions contestées (C. pr. pén., art. 77-1-1 et 77-1-2), la réquisition de ces données est autorisée dans le cadre d’une enquête préliminaire qui peut porter sur tout type d’infraction et qui n’est pas justifiée par l’urgence ni limitée dans le temps.

En creux, on a compris dès la lecture de ce seul considérant, que pour les juges constitutionnels, ce sont là autant de garanties en moins qui auraient pu être prévues par le législateur, ce qu’ils confirmeront juste après en jugeant que si ces réquisitions sont soumises à l’autorisation du procureur de la République, le législateur n’a assorti le recours aux réquisitions de données de connexion d’aucune autre garantie. Il a donc certes retenu que l’autorisation du procureur de la République, exigée par l’article 77-1-1, constituait une garantie, celui-ci étant « magistrat de l’ordre judiciaire auquel il revient, en application de l’article 39-3 du code de procédure pénale, de contrôler la légalité des moyens mis en œuvre par les enquêteurs et la proportionnalité des actes d’investigation au regard de la nature et de la gravité des faits ». Mais, il a tenu cette unique garantie pour insuffisante. En conséquence, il a déclaré contraire à la Constitution, à l’article 77-1-1, les mots «, y compris celles issues d’un système informatique ou d’un traitement de données nominatives, » et, à l’article 77-1-2, les mots « aux réquisitions prévues par le premier alinéa de l’article 60-2 ».

Au regard de cette jurisprudence, l’analyse par le Conseil de la constitutionnalité des dispositions comprises aux articles 99-3 et 99-4 du code de procédure pénale est légitime. Seulement, les juges constitutionnels ont ici estimé que les garanties offertes par ces textes étaient suffisantes, relevant notamment l’encadrement strict de l’information judiciaire et l’indépendance du juge d’instruction garantie par la Constitution.

La circonstance que la réquisition soit délivrée par un officier de police judiciaire sur commission rogatoire du juge d’instruction constitue donc pour le Conseil constitutionnel une garantie essentielle. Dès lors que, comme cela résulte de sa décision du 3 décembre 2021, le procureur de la République, en sa qualité de magistrat de l’ordre judiciaire, est habilité à requérir la communication de données de connexion ou à l’autoriser, a fortiori en est-il ainsi du juge d’instruction, magistrat du siège bénéficiant d’un statut assurant sa pleine indépendance.

On peut néanmoins observer que l’analyse des juges constitutionnels diffère quelque peu de celle de la Cour de justice de l’Union européenne. Par un arrêt  du 21 décembre 2016 (CJUE 21 déc. 2016, Tele 2 Sverige AB, aff. C-203/15, Dalloz actualité, 2 janv. 2017, obs. M-C. de Montecler ; AJDA 2016. 2466 ; ibid. 2017. 1106, chron. E. Broussy, H. Cassagnabère, C. Gänser et P. Bonneville ; D. 2017. 8 ; ibid. 2018. 1033, obs. B. Fauvarque-Cosson et W. Maxwell ; Dalloz IP/IT 2017. 230, obs. D. Forest ; JAC 2017, n° 43, p. 13, obs. E. Scaramozzino ; RTD eur. 2017. 884, obs. M. Benlolo-Carabot ; ibid. 2018. 461, obs. F. Benoît-Rohmer ; Rev. UE 2017. 178, étude F.-X. Bréchot ; et C-698/15, JAC 2017, n° 43, p. 13, obs. E. Scaramozzino ; RTD eur. 2017. 884, obs. M. Benlolo-Carabot ; ibid. 2018. 461, obs. F. Benoît-Rohmer ), celle-ci a dit pour droit que « l’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136/CE, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale régissant la protection et la sécurité des données relatives au trafic et des données de localisation, en particulier l’accès des autorités nationales compétentes aux données (…) sans soumettre ledit accès à un contrôle préalable par une juridiction ou une autorité administrative indépendante (…) ».

Or s’agissant des conditions devant être remplies par cette « juridiction » ou « autorité administrative indépendante » pour être habilitée à décider ou autoriser l’accès aux données de connexion considérées, la Cour de justice a donné d’importantes précisions dans son arrêt H.K./Prokuratuur du 2 mars 2021 (CJUE 2 mars 2021, H.K./Prokuratuur, aff. C-746/18, Dalloz actualité, 5 mars 2021, obs. C. Crichton ; AJDA 2021. 1086, chron. P. Bonneville, C. Gänser et A. Iljic ; D. 2021. 470 ; ibid. 1564, obs. J.-B. Perrier ; AJ pénal 2021. 267, obs. S. Lavric ; Dalloz IP/IT 2021. 468, obs. B. Bertrand ). Selon cet arrêt, l’autorité chargée d’exercer le contrôle préalable doit avoir la qualité de tiers par rapport à celle qui demande l’accès aux données, afin d’être en mesure d’exercer son contrôle de manière objective et impartiale à l’abri de toute influence extérieure. Il en résulte pour la Cour que, pour être regardée comme indépendante, l’autorité chargée du contrôle préalable, d’une part, ne doit pas être impliquée dans la conduite de l’enquête pénale en cause et, d’autre part, doit avoir une position de neutralité vis-à-vis des parties à la procédure pénale (§ 54). En conséquence, la Cour a constaté que tel n’était pas le cas du ministère public estonien.

Reste à savoir si cette solution, appliquée au ministère public, ne pourrait pas l’être également au juge d’instruction. D’une part, le juge d’instruction « dirige la procédure d’instruction ». D’autre part, s’il n’exerce pas l’action publique, il est tout de même conduit à apprécier la nécessité de la mise en examen et, au terme de l’information, celle du renvoi devant la juridiction de jugement, lequel constitue un acte de poursuite.

Le Conseil constitutionnel n’a en tous les cas pas tenu pour sienne cette lecture dans cette décision du 17 juin 2022.