Restrictions à la conservation des données de connexions et à leur accès : la Cour de cassation tire les conséquences de la jurisprudence de la CJUE

La question de la conservation des données de connexions et de leur accès avait déjà fait l’objet d’un contentieux nourri, notamment devant la Cour de justice de l’Union européenne (CJUE). La Cour de cassation devait en tirer les conséquences, ce qu’elle fait dans ces quatre arrêts.

Sur la conservation des données

La CJUE avait imposé, au fur et à mesure de sa jurisprudence, des exigences quant à la conservation des données de connexions et l’accès à celles-ci. Elle le fit notamment dans son arrêt du 6 octobre 2020 (CJUE 6 oct. 2020, aff. C-511/18, C-512/18, C-520/18, La Quadrature du Net et a., AJDA 2020. 1880 ; D. 2021. 406, et les obs. , note M. Lassalle ; ibid. 2020. 2262, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; AJ pénal 2020. 531 ; Dalloz IP/IT 2021. 46, obs. E. Daoud, I. Bello et O. Pecriaux ; Légipresse 2020. 671, étude W. Maxwell ; ibid. 2021. 240, étude N. Mallet-Poujol ; RTD eur. 2021. 175, obs. B. Bertrand ; ibid. 181, obs. B. Bertrand ; ibid. 973, obs. F. Benoît-Rohmer ; v. de même CJUE 2 oct. 2018, aff. C-207/16, Ministerio Fiscal, AJDA 2018. 2280, chron. P. Bonneville, E. Broussy, H. Cassagnabère et C. Gänser ; D. 2018. 1913 ; AJ pénal 2018. 584, obs. B. Nicaud ) dans lequel elle avait retenu que le droit de l’Union s’opposait « à une conservation généralisée et indifférenciée, à titre préventif, des données de trafic et de localisation aux fins de lutte contre la criminalité, quel que soit son degré de gravité ». Elle exposait les mesures de conservation possibles aux fins de sauvegarde de la sécurité nationale, de prévention de menaces graves contre la sécurité publique et de lutte contre la criminalité. Par cette jurisprudence, la CJUE fait du droit au respect de la vie privée un véritable écueil aux moyens classiques d’investigations pénales (v. Dalloz actualité, 13 oct. 2020, obs. C. Crichton ; de même, la schématisation dans la notice explicative de la Cour de cassation sur les arrêts en cause).

La Cour s’était par ailleurs prononcée sur la conservation rapide des données que détiennent les opérateurs de télécommunications électroniques, soit pour leurs besoins propres, soit au titre d’une obligation de conservation imposée aux fins de sauvegarde de la sécurité nationale. Elle limitait cette possibilité à des fins de lutte contre la criminalité grave, en vue de l’élucidation d’une infraction déterminée, dans le respect des conditions matérielles et procédurales prévues en droit européen, et ce afin de cibler et limiter dans le temps la conservation (CJUE 6 oct. 2020, préc.). La Cour avait par la suite affirmé que cette conservation pouvait être étendue aux données relatives au trafic et aux données de localisation afférentes à des personnes autres que celles qui sont soupçonnées d’avoir projeté ou commis une infraction pénale grave, pour autant que ces données puissent, sur la base d’éléments objectifs et non discriminatoires, contribuer à l’élucidation d’une telle infraction (CJUE 5 avr. 2022, aff. C-140/20, Commissioner of An Garda Siochana, AJDA 2022. 718 ; D. 2022. 705 ; ibid. 1487, obs. J.-B. Perrier ; Légipresse 2022. 209 et les obs. ).

C’est sur la base de ces éléments que la Cour de cassation eut à répondre sur la question de la conservation des données.

Tout d’abord, s’agissant de la conservation des données au titre de l’article 34-1, III, du code des postes et des communications électroniques, mis en application par l’article 3.10-13 du même code, tel qu’en vigueur à l’époque des faits, la Cour retient que ces dispositions « ne sont conformes au droit de l’Union qu’en ce qu’elles imposent une obligation de conservation des données de trafic et de localisation pour la recherche, la constatation et la poursuite des infractions incriminées aux articles 410-1 à 422-7 du code pénal ». S‘agissant de la durée, la Cour retient que la conservation pour une année apparaît comme strictement nécessaire aux besoins de sauvegarde de la sécurité nationale. Enfin, la Cour précise que « cette obligation de conservation ne vaut injonction au sens où l’entend la CJUE et cette conservation n’est régulière que si le juge saisi du contentieux constate, sous le contrôle de la Cour de cassation, l’existence d’une menace » grave, réelle et actuelle ou prévisible pour la sécurité nationale.

En conséquence, une juridiction saisie d’une nullité se doit de vérifier l’existence d’une telle menace à la date de conservation des données.

Ensuite, s’agissant de la conservation rapide, la Cour relève que l’injonction de conservation rapide peut résulter d’une injonction de produire. Par ailleurs, les données de trafic ou de localisation conservées par les opérateurs, sont communiquées en raison de réquisitions qui résultent de trois cas : par officier de police judiciaire en cas d’enquête de flagrance sur le fondement des articles 60-1 et 60-2 du code procédure pénale, sur autorisation du procureur en cas d’enquête préliminaire sur le fondements des articles 77-1-1 et 77-1-2 du même code, et enfin sur commission rogatoire du juge d’instruction en cas d’information sur le fondement des articles 99-3 et 99-4 du même code. La Cour retient que ces dispositions peuvent être interprétées comme conforme au droit de l’Union en ce qu’elles permettent, « pour la lutte contre la criminalité grave, en vue de l’élucidation d’une infraction déterminée, la conservation rapide des données de connexion stockées, même conservées aux fins de sauvegarde de la sécurité nationale ».

Toutefois, la criminalité grave n’étant pas définie en droit de l’Union et ces mesures bénéficiant des garanties au sixième alinéa du paragraphe 3 de l’article préliminaire du code de procédure pénale, la juridiction saisie d’une nullité doit vérifier deux éléments. D’une part, elle doit vérifier que « les éléments de fait justifiant la nécessité d’une telle mesure d’investigation répondent à un critère de criminalité grave, dont l’appréciation relève du droit national », d’autre part, elle doit s’assurer que « la conservation rapide des données de trafic et de localisation et l’accès à celles-ci respectent les limites du strict nécessaire ».

Sur l’accessibilité

Comme le rappelle la Cour de cassation, il résulte de la jurisprudence de la CJUE (CJUE 2 mars 2021, aff. C-746/18, H.K./Prokuratuur, AJDA 2021. 1086, chron. P. Bonneville, C. Gänser et A. Iljic ; D. 2021. 470 ; ibid. 1564, obs. J.-B. Perrier ; AJ pénal 2021. 267, obs. S. Lavric ; Dalloz IP/IT 2021. 468, obs. B. Bertrand ) que l’accès aux données de connexions ne peut être autorisé qu’aux conditions suivantes : « - si ces données ont été conservées conformément aux exigences du droit européen ; - s’il a eu lieu pour la finalité ayant justifié la conservation ou une finalité plus grave, sauf conservation rapide; - s’il est limité au strict nécessaire ; - et s’agissant des données de trafic et de localisation, s’il est circonscrit aux procédures visant à la lutte contre la criminalité grave ; - et s’il est soumis au contrôle préalable d’une juridiction ou d’une autorité administrative indépendante. »

S’agissant de ce dernier critère relatif au contrôle préalable, la CJUE a précisé, outre son caractère essentiel, « que le droit de l’Union s’oppose à une réglementation nationale donnant compétence au ministère public, qui dirige la procédure d’enquête et exerce, le cas échéant, l’action publique, pour autoriser l’accès d’une autorité publique aux données relatives au trafic et aux données de localisation. Il en est de même pour un fonctionnaire de police, qui ne constitue pas une juridiction et ne présente pas toutes les garanties d’indépendance et d’impartialité requises » (CJUE 5 avr. 2022, aff. C-140/20, Commissioner of An Garda Siochana, préc.).

La Cour en déduit logiquement que les articles 60-1, 60-2, 77-1-1 et 77-1-2 du code de procédure pénale – en ce qu’il n’existe qu’une autorisation du procureur ou d’un officier de police judiciaire – sont contraires au droit de l’Union uniquement en ce qu’ils ne prévoient pas un contrôle préalable par une juridiction ou une entité administrative indépendante. Les dispositions relatives au juge d’instruction ne sont quant à elles pas remises en cause, ce juge étant une juridiction qui n’est pas partie à la procédure et n’exerce pas l’action publique. Il est compétent pour effectuer ledit contrôle.

Il revient à la Cour de cassation de tirer les conséquences de cette non-conformité eu égard au principe de l’autonomie procédurale. Ce dernier lui permet de régler les modalités de recours destinées à assurer la sauvegarde des droits que les justiciables tirent du droit de l’union, ces dernières ne devant pas être moins favorables que celles régissant les situations similaires en droit interne (principe d’équivalence) et qu’elles ne corrompent pas l’exercice des droits en cause (principe d’effectivité ; v. CJUE 6 oct. 2020, préc.). La Cour constate que les exigences européennes en cause ont pour objectif la protection du droit au respect de la vie privée, y compris la protection des données à caractère personnel, et la liberté d’expression. Ces dispositions ne relevant que de l’intérêt de la personne concernée, la Cour en déduit que l’absence de contrôle préalable ne peut faire grief au requérant que s’il établit l’exigence d’une ingérence injustifiée dans ces droits. S’agissant de l’accès, il s’agit donc du droit au respect de la vie privée et à la protection des données à caractère personnel. Ainsi, c’est à la chambre de l’instruction de s’assurer que, « d’une part, l’accès a porté sur des données régulièrement conservées, d’autre part, que la ou les catégories de données visées, ainsi que la durée pour laquelle l’accès à celles-ci a eu lieu, étaient, au regard des circonstances de l’espèce, limitées à ce qui était strictement justifié par les nécessités de l’enquête ».

La Cour de cassation en tire donc une nullité d’ordre privé aux conditions particulièrement restrictives, estimant en conséquence que la législation française offre les garanties suffisantes pour contester les éléments de preuve résultant de l’exploitation de ces données. Bien que la Conférence nationale des procureurs de la République se soit alarmée de ces arrêts, il pourrait être rétorqué que la limite de l’accès aux données de connexions à ces deux critères que sont la criminalité grave – critère souple et non défini par la CJUE – et la stricte nécessité étaient inévitables eu égard à la jurisprudence de la CJUE. Elle leur offre en outre la possibilité de les contrôler en amont de l’accès aux données afin d’éviter le risque de nullité, désormais défini, et qui était inéluctable. À l’avenir, il pourrait encore être mis en œuvre un réel contrôle préalable de la compétence du juge des libertés et de la détention.