Communications électroniques et conservations des données pour la recherche d’infractions : la CJUE réaffirme sa position. La Cour de cassation s’aligne. Reste à convaincre le Conseil d’Etat…
Rappelons déjà deux ou trois données de base :
Voir surtout cette vidéo de 5 mn 50 :
Cela dit, force est de constater que cette rébellion anti-primauté du droit européen n’est pas une spécialité française.
Les débats entre la force juridique des décisions de l’Union européenne et des positions plus ou moins souverainistes ne cessent d’être alimentés par des juridictions nationales soucieuses de poser quelques bornes à la primauté, voire à l’expansion, du droit de l’Union :
Voir aussi CC italien, 13-21 avril 1989, SpA Fragd c/Amministratione delle Finanze, sent. n° 232/89, FI, 1990, I, p. 1855.
Voir aussi CC italien, 13-21 avril 1989, SpA Fragd c/Amministratione delle Finanze, sent. n° 232/89, FI, 1990, I, p. 1855.
Mais de telles positions sont à apprécier aussi à l’aune de l’évolution des positions du juge européen, plus souple qu’auparavant (CJUE 15 avril 2016, Pál Aranyosi et Robert Căldăraru, aff. C-404/15 et C-695/15 PPU) sur le fond du droit.
Donc le juge français s’accorde une autonomie d’interprétation mais celle-ci est admise par le juge européen, par réalisme et/ou par retour aux principes initiaux, ceux d’un retour — pour citer M. D. Girard — d’une « interprétation finaliste du droit européen, qui a toujours été sur le fond celle des institutions européennes » (voir article sourcé ci-après).
Sources complémentaires :
La Cour de justice de l’Union Européenne (CJUE) s’était en effet prononcée, dans plusieurs arrêts, sur la conservation et l’accès aux données à caractère personnel dans le domaine des communications électroniques.
Se pose en effet la question notamment des modalités et des durées de conservation des données en matière notamment de trafic, pour ces fournisseurs d’accès (notamment les fournisseurs d’accès à Internet — FAI).
Source : CJUE, 8 avril 2014, Digital Rights Ireland e.a (C-293/12 et C-594/12, EU:C:2014:238 ; CJUE, 21 décembre 2016, Tele2 Sverige et Watson e.a. (C-203/15 et C-698/15, EU:C:2016:970 ; CJUE, 2 octobre 2018, Ministerio Fiscal (C-207/16, EU:C:2018:788)…
Notamment, la CJUE avait confirmé que le droit de l’Union s’oppose à une réglementation nationale imposant à un fournisseur de services de communications électroniques, à des fins de lutte contre les infractions en général ou de sauvegarde de la sécurité nationale, la transmission ou la conservation généralisée et indifférenciée de données relatives au trafic et à la localisation.
Mais la Cour avait nuancé cette position en posant que, dans des situations dans lesquelles un État membre fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, celui-ci peut déroger à l’obligation d’assurer la confidentialité des données afférentes aux communications électroniques en imposant, par des mesures législatives, une conservation généralisée et indifférenciée de ces données pour une durée temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace.
Source : CJUE, 6 octobre 2020, (C-623/17, C-511/18, C-512/18 et C-520/18).
Voir les dossiers sur Curia :
Nous avions alors commenté cette décision :
Ce mode d’emploi posé par les deux décision de la CJUE rendues le 6 octobre 2020, le Conseil d’Etat, par le déjà célèbre French Data Network, du 21 avril 2021, a fait semblant de l’appliquer tout en usant des souplesses ménagées par le juge européen pour… ne pas l’appliquer. Le tout à la française, c’est à dire avec panachage, (très) longs développements intellectuels (d’ailleurs passionnants) et tous les ors de la République permis par la haute formation qui est celle des arrêts d’Assemblée.
Derrière cette pompe drapée de tricolore, le Palais Royal tentait de se frayer un chemin, via les trous de souris ménagés au détour des formulations de la CJUE. En d’autres termes, le Conseil d’Etat a poussé à plein l’extension des petites dérogation permises par le droit européen, avec même quelques libertés face à la position ci-avant exposée de la CJUE… au nom de rapports re-pensés entre droit français et droit européen et, surtout, entre juge national et juge de l’Union.
Le droit en ces domaines avait été fixé par le juge constitutionnel français et par le Conseil d’Etat.
Sources: voir notamment C. Const. 10 juin 2004, Loi pour la confiance dans l’économie numérique,n° 2004-496 DC et 27 juillet 2006, Loi relative au droit d’auteur et aux droits voisins dans la société d’information, n° 2006-540 DC. Voir aussi CE Ass., 8 février 2007, Société Arcelor Atlantique et Lorraine, n° 287110 puis CE, 27 octobre 2015, M. Allenbach et autres, n° 393026 ; CE, 20 mai 2016, Commune d’Aix-en-Provence et Commune de Pertuis, n° 394016 et 39421 ; CE, 9 mars 2016, Société Uber France et autres, n° 388213, 388343 et 388357.
Or, le Gouvernement dans cette affaire de la conservation des données voulait aller plus loin. Avec, pour lui, le fait qu’il importe en effet de lutter contre le terrorisme et les crimes graves, et ce alors même qu’on ne sait pas toujours en amont qui sera dangereux… D’où une demande de longue conservation des données.
Mais on comprend aussi les craintes, légitimes, qui peuvent naître de longues conservations des données avec des risques pour les libertés.
Or, in fine, dans cette affaire « French Data Network et autres », la Haute Assemblée, schématiquement, a fini :
NB : pour une intéressante analyse à chaud des conclusions du rapporteur public, voir l’article de M. M. Rees de Next INpact : https://www.nextinpact.com/article/45631/au-conseil-detat-avis-tempete-sur-locean-donnees-connexion
Sur cette lancée, le Conseil d’Etat avait estimé :
À noter : le lendemain même, 22 avril 2021, la Cour constitutionnelle belge adoptait une position beaucoup plus proche de celle de la CJUE (arrêt 57/2021).
Bien sûr, la Quadrature du net explosa de colère en termes très vifs :
A chaud, de nombreux commentaires sur Twitter ont été diffusés. Je me permets de suggérer la lecture du thread de M.Th. CHRISTAKIS (@TC_IntLaw) :
Citons le billet de M. Professeur Cassia intitulé « Le Frexit sécuritaire du Conseil d’Etat » :
Voici cet arrêt
CE, 21 avril 2021, French Data Network et autres n° 393099, 394922, 397844, 397851, 424717, 424718
Et les conclusions de M. le rapporteur public :
Voir la vidéo que j’avais faite à l’époque en 11 mn 03 :
https://youtu.be/ylZwaxkE0fs
La CJUE a confirmé en avril 2022 de manière très solennelle que le droit de l’Union s’oppose à une conservation généralisée et indifférenciée des données relatives au trafic et à la localisation afférentes aux communications électroniques aux fins de la lutte contre les infractions graves.
Une juridiction nationale ne peut donc limiter dans le temps les effets d’une déclaration d’invalidité d’une législation nationale prévoyant une telle conservation.
Voici un rappel des faits et procédures tels que narrés par la Cour elle-même dans son communiqué :
En mars 2015, G.D. a été condamné à une peine de réclusion à perpétuité pour le meurtre d’une femme en Irlande. Dans l’appel formé contre sa condamnation devant la cour d’appel d’Irlande, l’intéressé a notamment reproché à la juridiction de première instance d’avoir, à tort, admis comme éléments de preuve des données relatives au trafic et des données de localisation afférentes à des appels téléphoniques. Afin de pouvoir contester, dans le cadre de la procédure pénale, la recevabilité desdites preuves, G.D. a engagé parallèlement, auprès de la Haute Cour d’Irlande, une procédure civile visant à constater l’invalidité de certaines dispositions de la loi irlandaise de 2011 régissant la conservation de ces données et l’accès à celles-ci, au motif que cette loi violait les droits que lui confère le droit de l’Union. Par décision du 6 décembre 2018, la Haute Cour a fait droit à l’argumentation de G.D. L’Irlande a interjeté appel de cette décision devant la Cour suprême d’Irlande, qui est la juridiction de renvoi dans la présente affaire.
Par son renvoi, la Cour suprême a demandé des éclaircissements sur les exigences du droit de l’Union en matière de conservation desdites données aux fins de la lutte contre les infractions graves ainsi que sur les garanties nécessaires en matière d’accès à ces mêmes données. Elle s’interroge, par ailleurs, sur la portée et l’effet temporel d’une éventuelle déclaration d’incompatibilité qu’elle devrait prononcer, dès lors que la loi irlandaise de 2011 a été adoptée aux fins de transposer la directive 2006/24/CE, déclarée invalide par la Cour dans l’arrêt du 8 avril 2014, Digital Rights Ireland e.a.
Dans son arrêt, la Cour, réunie en grande chambre, confirme, en premier lieu, sa jurisprudence constante selon laquelle le droit de l’Union s’oppose à des mesures législatives nationales prévoyant, à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et à la localisation afférentes aux communications électroniques, aux fins de la lutte contre les infractions graves.
Sources : Arrêts du 8 avril 2014, Digital Rights Ireland, C-293/12, du 21 décembre 2016, Tele2 Sverige et Watson e.a., C-203/15 et C-698/15 (voir le CP no 145/16), du 6 octobre 2020, Privacy International, C-623/17, La Quadrature du Net e.a., C-511/18, C-512/18, Ordre des barreaux francophones et germanophone e.a., C-520/18 (voir le CP no 123/20), et du 2 mars 2021, Prokuratuur (Conditions d’accès aux données relatives aux communications électroniques), C-746/18 (voir le CP n° 29/21). Directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009 (JO 2009, L 337, p. 11) (ci-après la « directive « vie privée et communications électroniques » »), lue à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »).
En droit, voici la position de la Cour, telle que narrée par son communiqué mais qui reprend sur ce point les éléments de l’arrêt. La mise en gras et souligné est de nous, pour permettre d’identifier quelques points essentiels :
« En effet, la directive vie privée et communications électroniques ne se limite pas à encadrer l’accès à de telles données par des garanties visant à prévenir les abus, mais consacre, en particulier, le principe de l’interdiction du stockage des données relatives au trafic et à la localisation. La conservation de ces données constitue ainsi, d’une part, une dérogation à cette interdiction de stockage et, d’autre part, une ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, consacrés aux articles 7 et 8 de la Charte.
« Si la directive vie privée et communications électroniques permet aux États membres de limiter ces droits et ces obligations aux fins notamment de la lutte contre les infractions pénales, de telles limitations doivent toutefois notamment respecter le principe de proportionnalité. Ce principe requiert le respect non seulement des exigences d’aptitude et de nécessité, mais également de celle ayant trait au caractère proportionné de ces mesures par rapport à l’objectif poursuivi. Ainsi, la Cour a déjà jugé que l’objectif de lutte contre la criminalité grave, pour fondamental qu’il soit, ne saurait à lui seul justifier qu’une mesure de conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, telle que celle instaurée par la directive 2006/24, soit considérée comme nécessaire. Dans le même ordre d’idées, même les obligations positives des États membres sur la mise en place de règles permettant une lutte effective contre les infractions pénales ne sauraient avoir pour effet de justifier des ingérences aussi graves que celles que comporte une législation nationale prévoyant une telle conservation dans les droits fondamentaux de la quasi-totalité de la population, sans que les données des personnes concernées soient susceptibles de révéler un lien, au moins indirect, avec l’objectif poursuivi. »
Déjà sur ces premiers points, la position française n’est plus tenable.
Poursuivons :
« La Cour rappelle encore que différentes obligations positives sont à la charge des pouvoirs publics en vertu de la Charte, consistant, par exemple, dans l’adoption de mesures juridiques visant à protéger la vie privée et familiale, la protection du domicile et des communications, mais aussi la protection de l’intégrité physique et psychique des personnes ainsi que l’interdiction de la torture et des traitements inhumains et dégradants. Il leur appartient dès lors de procéder à une conciliation des différents intérêts légitimes et droits en cause. En effet, un objectif d’intérêt général ne saurait être poursuivi sans tenir compte du fait qu’il doit être concilié avec les droits fondamentaux concernés par la mesure, et ce en effectuant une pondération équilibrée entre, d’une part, cet objectif d’intérêt général et, d’autre part, les droits en cause, tout en vérifiant que l’importance dudit objectif est en relation avec la gravité de l’ingérence que comporte cette mesure.»
Sur ce point, la France pourra dire qu’elle respecte de telles conciliations, puisque celles-ci sont encore, à ce stade, formulées en des termes qui peuvent conduire à de nombreuses marges d’interprétation. Mais poser, comme dans les arrêts Arcelor et French Data networtk, qu’en ces domaines la protection des droits au niveau européen est inférieure à ce qu’elle est au niveau national ne tient tout simplement pas et cette formulation de la CJUE le rappelle incidemment, même si ce n’était sans doute pas le but, la CJUE ayant bien d’autres juridictions à fouetter que celle(s) du Palais Royal.
Continuons :
« Ces considérations amènent la Cour à rejeter notamment l’argumentation selon laquelle la criminalité particulièrement grave pourrait être assimilée à une menace pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible et peut, pendant une durée limitée, justifier une mesure de conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation. En effet, une telle menace se distingue, par sa nature, sa gravité et le caractère spécifique des circonstances qui la constituent, du risque général et permanent qu’est celui de survenance de tensions ou de troubles, même graves, à la sécurité publique ou celui d’infractions pénales graves.»
Là, la révision de la position française s’imposera. Soit le Conseil d’Etat, à terme, abandonnera sa position dans l’arrêt French data network, soit il fera encore plus ouvertement sécession.
Ceci dit, une telle abdication de la position du Conseil d’Etat ne reviendrait pas à abandonner les citoyens à une criminalité incontrôlée et à désarmer nos forces de sécurité intérieure, puisque la CJUE prend soin juste après de rappeler qu’elle autorise tout de même des mesures législatives larges en ce domaine :
« En revanche, la Cour juge, en second lieu et en confirmant sa jurisprudence antérieure, que le droit de l’Union ne s’oppose pas à des mesures législatives prévoyant, dans les conditions énoncées dans son arrêt, aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique :
– une conservation ciblée des données relatives au trafic et des données de localisation en fonction de catégories de personnes concernées ou au moyen d’un critère géographique ;
– une conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion ;
– une conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs de moyens de communications électroniques, et
– une conservation rapide (quick freeze) des données relatives au trafic et des données de localisation dont disposent ces fournisseurs de services».
Avec le mode d’emploi plus détaillé que voici :
« La Cour apporte diverses précisions concernant ces différentes catégories de mesures.
Tout d’abord, les autorités nationales compétentes peuvent prendre une mesure de conservation ciblée fondée sur un critère géographique, tel que notamment le taux moyen de criminalité dans une zone géographique donnée, sans qu’elles disposent nécessairement d’indices concrets portant sur la préparation ou la commission, dans les zones concernées, d’actes de criminalité grave. Elle ajoute qu’une telle mesure de conservation visant des lieux ou des infrastructures fréquentés régulièrement par un nombre très élevé de personnes ou des lieux stratégiques, tels que des aéroports, des gares, des ports maritimes ou des zones de péages, est susceptible de permettre aux autorités compétentes d’obtenir des informations sur la présence, dans ces lieux ou zones géographiques, des personnes y utilisant un moyen de communication électronique et d’en tirer des conclusions sur leur présence et leur activité dans lesdits lieux ou zones géographiques aux fins de la lutte contre la criminalité grave.
Ensuite, la Cour indique que ni la directive vie privée et communications électroniques ni aucun autre acte du droit de l’Union ne s’opposent à une législation nationale, ayant pour objet la lutte contre la criminalité grave, en vertu de laquelle l’acquisition d’un moyen de communication électronique, tel qu’une carte SIM prépayée, est subordonnée à la vérification de documents officiels établissant l’identité civile de l’acheteur et à l’enregistrement, par le vendeur, des informations en résultant, le vendeur étant le cas échéant tenu de donner accès à ces informations aux autorités nationales compétentes.
Enfin, la Cour relève que la directive vie privée et communications électroniques ne s’oppose pas à ce que les autorités nationales compétentes ordonnent une mesure de conservation rapide dès le premier stade de l’enquête portant sur une menace grave pour la sécurité publique ou sur un éventuel acte de criminalité grave, à savoir à partir du moment auquel ces autorités peuvent, selon les dispositions pertinentes du droit national, ouvrir une telle enquête. Une telle mesure peut être étendue aux données relatives au trafic et aux données de localisation afférentes à des personnes autres que celles qui sont soupçonnées d’avoir projeté ou commis une infraction pénale grave ou une atteinte à la sécurité nationale, pour autant que ces données puissent, sur la base d’éléments objectifs et non discriminatoires, contribuer à l’élucidation d’une telle infraction ou d’une telle atteinte à la sécurité nationale, telles que les données de la victime de celle-ci ainsi que celles de son entourage social ou professionnel.
Ces différentes mesures peuvent, selon le choix du législateur national et tout en respectant les limites du strict nécessaire, trouver à s’appliquer conjointement.
La Cour rejette encore l’argumentation selon laquelle les autorités nationales compétentes devraient pouvoir accéder, aux fins de la lutte contre la criminalité grave, aux données relatives au trafic et aux données de localisation qui ont été conservées de manière généralisée et indifférenciée, conformément à sa jurisprudence, pour faire face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible. En effet, cette argumentation fait dépendre cet accès de circonstances étrangères à l’objectif de lutte contre la criminalité grave. En outre, selon ladite argumentation, l’accès pourrait être justifié par un objectif d’une importance moindre que celui ayant justifié la conservation, à savoir la sauvegarde de la sécurité nationale, ce qui irait à l’encontre de la hiérarchie des objectifs d’intérêt général dans le cadre de laquelle doit s’apprécier la proportionnalité d’une mesure de conservation. Par ailleurs, autoriser un tel accès risquerait de priver de tout effet utile l’interdiction de procéder à une conservation généralisée et indifférenciée aux fins de la lutte contre la criminalité grave.»
Avec bien sûr un contrôle juridictionnel ou effectué par une autorité administrative indépendante:
« En troisième lieu, la Cour confirme que droit de l’Union s’oppose à une législation nationale en vertu de laquelle le traitement centralisé des demandes d’accès à des données conservées par les fournisseurs de services de communications électroniques, émanant de la police dans le cadre de la recherche et de la poursuite d’infractions pénales graves, incombe à un fonctionnaire de police, même lorsque celui-ci est assisté par une unité instituée au sein de la police jouissant d’un certain degré d’autonomie dans l’exercice de sa mission et dont les décisions peuvent faire ultérieurement l’objet d’un contrôle juridictionnel. La Cour confirme en effet, à cet égard, sa jurisprudence selon laquelle, afin de garantir, en pratique, le plein respect des conditions strictes d’accès à des données à caractère personnel telles que les données relatives au trafic et à la localisation, l’accès des autorités nationales compétentes aux données conservées doit être subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante, la décision de cette juridiction ou de cette entité devant intervenir à la suite d’une demande motivée de ces autorités présentée, notamment, dans le cadre de procédures de prévention, de détection ou de poursuites pénales. Or, un fonctionnaire de police ne constitue pas une juridiction et ne présente pas toutes les garanties d’indépendance et d’impartialité requises pour pouvoir être qualifié d’entité administrative indépendante.»
Et avec une application dans le temps qui là encore pourra parfois interroger au regard du droit national :
« En quatrième lieu, la Cour confirme sa jurisprudence selon laquelle le droit de l’Union s’oppose à ce qu’une juridiction nationale limite dans le temps les effets d’une déclaration d’invalidité qui lui incombe, en vertu du droit national, à l’égard d’une législation nationale imposant aux fournisseurs de services de communications électroniques une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, en raison de l’incompatibilité de cette législation avec la directive vie privée et communications électroniques.
Cela étant, la Cour rappelle que l’admissibilité des éléments de preuve obtenus au moyen d’une telle conservation relève, conformément au principe d’autonomie procédurale des États membres, du droit national, sous réserve du respect notamment des principes d’équivalence et d’effectivité.»
Voici cette décision :
CJUE, 5 avril 2022, G.D. contre Commissioner of An Garda Síochána,C‑140/20
Puis, par son arrêt de la Cour dans les affaires jointes C-793/19, SpaceNet et C-794/19, Telekom Deutschland, la CJUE a confirmé que le droit de l’Union s’oppose à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, sauf en cas de menace grave pour la sécurité nationale. Pour lutter contre la criminalité grave, les États membres peuvent toutefois, dans le strict respect du principe de proportionnalité, prévoir notamment une conservation ciblée et/ou rapide de telles données ainsi qu’une conservation généralisée et indifférenciée des adresses IP.
Voici cette nouvelle décision :
CJUE, 20 septembre 2022, n°C-793/19, SpaceNet et C-794/19, Telekom Deutschland
Cette position ne pouvait qu’entraîner le Gouvernement français et Conseil d’Etat, soit vers une sécession juridique plus franche, soit vers une acceptation de la primauté du droit de l’Union qui, visiblement, ne sied guère au Palais Royal. La Cour de cassation s’est alignée. Du côté du Palais Royal, attendons qu’une affaire topique nous serve de crash test pour savoir si nous sommes encore dans l’Union.
Cet été, par plusieurs arrêts publiés, la chambre criminelle de la Cour de cassation a tiré les conséquences des décisions rendues par la Cour de justice de l’Union européenne relatives à la conservation des données de connexion et à l’accès à celles-ci dans le cadre de procédures pénales.
La Cour a pris acte de l’arrêt précité du 6 octobre 2020 (La Quadrature du Net e.a, French Data Network e.a, C- 511/18, C- 512/18, C- 520/18), par laquelle la Cour de justice de l’Union européenne (ci-après CJUE) a dit pour droit que :
Dans une excellente note explicative (que voici : https://www.courdecassation.fr/files/files/Communiqu%C3%A9s/Note%20explicative%20donn%C3%A9es%20de%20connexion%2012%20juillet%202022.pdf), la Cour de cassation a diffusé le tableau récapitulatif suivant :
Source : Cour de cassation
Sur cette base, la Cour de cassation :
La note explicative, sur ce dernier point, poursuit ainsi :
« La chambre criminelle relève que le rapport explicatif de de la Convention de Budapest précise que l’injonction de conservation rapide peut résulter d’une injonction de produire.
« Elle constate qu’en droit interne, les données de trafic ou de localisation conservées par les opérateurs de télécommunication sont communiquées en raison de l’émission de réquisitions lors d’une enquête en flagrant délit, en application des articles 60-1 et 60-2 du code de procédure pénale, par un officier de police judiciaire ou par un agent de police judiciaire agissant sous son contrôle, lors d’une enquête préliminaire, sur le fondement des articles 77-1-1 et 77-1-2 dudit code, sur autorisation du procureur de la République, enfin, en cas d’ouverture d’une information, en application des articles 99-3 et 99-4 de ce code, par un officier de police judiciaire autorisé par commission rogatoire du juge d’instruction.
« A retenir : L’obligation de conservation généralisée et indifférenciée des données de connexion prévue par l’article L.34, III du CPCE, antérieurement à l’entrée en vigueur de la loi n° 2021-998 du 30 juillet 2021, n’est conforme au droit de l’Union que s’agissant de la répression des atteintes aux intérêts fondamentaux de la Nation et du terrorisme, incriminées aux articles 410-1 à 422-7 du code pénal et qui poursuivent l’objectif de sauvegarde de la sécurité nationale.
« En outre, aux termes du sixième alinéa du paragraphe III de l’article préliminaire du code de procédure pénale, les mesures portant atteinte à la vie privée d’une personne ne peuvent être prises, sur décision ou sous le contrôle effectif de l’autorité judiciaire, que si elles sont, au regard des circonstances de l’espèce, nécessaires à la manifestation de la vérité et proportionnées à la gravité de l’infraction.
« La régularité des réquisitions précitées peut d’ailleurs être contestée devant la chambre de l’instruction ou la juridiction de jugement, sous le contrôle de la Cour de cassation.
« Ces règles sont suffisamment claires et précises pour permettre le respect des conditions matérielles de la conservation des données et procédurales y afférentes. Elles offrent aux personnes concernées des garanties effectives contre les risques d’abus.
« La chambre criminelle en déduit que les dispositions des articles 60-1 et 60-2, 77-1-1 et 77-1-2, 99-3 et 99-4 du code de procédure pénale peuvent être interprétées, de façon conforme au droit de l’Union, comme permettant, pour la lutte contre la criminalité grave, en vue de l’élucidation d’une infraction déterminée, la conservation rapide des données de connexion stockées, même conservées aux fins de sauvegarde de la sécurité nationale.
« La criminalité grave n’est pas définie en droit de l’Union. Il appartient en conséquence à la juridiction, lorsqu’elle est saisie d’un moyen ou d’une exception de nullité, de vérifier que les éléments de fait justifiant la nécessité d’une telle mesure d’investigation répondent à un critère de criminalité grave au regard de la nature des agissements de la personne poursuivie, du montant du préjudice qui en résulte, des circonstances de la commission des faits et de la durée de la peine encourue.
« En outre, elle doit s’assurer que la conservation rapide des données de trafic et de localisation et l’accès à celles-ci respectent les limites du strict nécessaire.»
« En résumé : La réquisition judiciaire aux fins de communication des données de connexion, prévue aux articles 60-1, 60-2, 77-1-1, 77-1-2, 99-3 et 99-4 du code de procédure pénale, dans leur version applicable antérieurement à l’entrée en vigueur de la loi n°2022-299 du 2 mars 2022, permet, pour la lutte contre la criminalité grave, en vue de l’élucidation d’une infraction déterminée, la conservation rapide des données de connexion stockées par les opérateurs de communications électroniques, y compris aux fins de sauvegarde de la sécurité nationale.
«La juridiction, saisie d’une requête ou d’une exception de nullité, doit s’assurer que les faits ayant pu justifier la délivrance d’une telle réquisition judiciaire relèvent de la criminalité grave, au regard de la nature des agissements de la personne poursuivie, du montant du préjudice qui en résulte, des circonstances de la commission des faits et de la durée de la peine encourue.»
En revanche, la Cour de cassation constate la « non-conformité des dispositions qui donnent compétence au procureur de la République pour autoriser l’accès aux données de connexion et conformité de celles qui donnent une telle compétence au juge d’instruction ».
Dans l’affaire enregistrée sous le n° 21-83.710, la chambre criminelle constate que les articles 60-1, 60-2, 77- 1-1 et 77-1-2 du code de procédure pénale sont contraires au droit de l’Union uniquement en ce qu’ils ne prévoient pas un contrôle préalable par une juridiction ou une autorité administrative indépendante (mais il valide celles des procédures qui sont passées par un juge). Mais ce point doit avoir été procéduralement soulevé devant les juges du fond pour être recevable devant la Cour de cassation.
En outre, dans les affaires n°21-83.820 et 21-84.096, la chambre criminelle en déduit que la personne mise en examen est irrecevable à invoquer la violation des exigences européennes en matière d’accès aux données de connexion dans la mesure où elle n’est ni le titulaire ou l’utilisateur de l’une des lignes identifiées ni n’a établi qu’il aurait été porté atteinte à sa vie privée, à l’occasion des investigations litigieuses.
Rappelons que sur ces points le droit français a changé avec la loi du 30 juillet 2021 (mais ceci s’applique dans ses principes, pourrait se retrouver transposé à d’éventuelles dispositions de cette loi qui seraient inconventionnelles et trouvera à être d’éventuelles sources de nullités pour des affaires en cours).
Voir :
Dans sa note explicative précitée, la Cour de cassation donne cet intéressant vade-mecum aux chambres d’instruction :
« Saisie d’un moyen de nullité pris de la violation des exigences européennes, la chambre de l’instruction vérifie :
1/ si le requérant est recevable à contester la régularité de la conservation et de l’accès à ses données de trafic et de localisation : Est irrecevable à invoquer la violation des exigences européennes en matière d’accès aux données de connexion la personne mise en examen qui n’est ni le titulaire ou l’utilisateur de l’une des lignes identifiées ni n’a établi qu’il aurait été porté atteinte à sa vie privée, à l’occasion des investigations litigieuses.
2/ si les données en cause ont été régulièrement conservées.
En premier lieu, la chambre de l’instruction doit constater que les données de connexion ont été valablement conservées au titre de la sauvegarde de la sécurité nationale, la Cour de cassation ayant relevé, dans les affaires enregistrées sous les n° 21-83.710, 21-83.820 et 21-84.096, que depuis décembre 1994, la France se trouve exposée, en raison du terrorisme et de l’activité de groupes radicaux et extrémistes, à une menace grave et réelle, actuelle ou prévisible à la sécurité nationale.
En second lieu, il lui appartient de rechercher si les données pouvaient faire l’objet d’une conservation rapide au titre de la lutte contre la criminalité grave.
Pour ce faire, la chambre de l’instruction doit vérifier que :
– les faits en cause relèvent de la criminalité grave : elle doit motiver sa décision au regard de la nature des agissements de la personne poursuivie, du montant du préjudice qui en résulte, des circonstances de la commission des faits et de la durée de la peine encourue. Il s’agit d’une appréciation in concreto ;
– les réquisitions étaient tout à la fois nécessaires et proportionnées à la poursuite des infractions objet de la procédure dont elle est saisie.
3/ si l’accès a fait l’objet d’un contrôle indépendant préalable.
S’il s’agit d’une réquisition faite sur commission rogatoire du juge d’instruction, l’accès est régulier au regard des exigences du droit de l’Union.
S’il s’agit d’une réquisition faite dans le cadre d’une enquête de flagrance ou en préliminaire, l’acte a été accompli en méconnaissance de ces exigences. Le requérant doit alors justifier de l’existence d’un grief pour obtenir le prononcé de la nullité.
4/ si l’accès aux données de trafic et de localisation autorisé par le procureur de la République ou l’officier de police judiciaire a occasionné un grief au requérant.
Il appartient à la chambre de l’instruction de s’assurer que, d’une part, l’accès a porté sur des données régulièrement conservées, d’autre part, que la ou les catégories de données visées, ainsi que la durée pour laquelle l’accès à celles-ci a eu lieu, étaient, au regard des circonstances de l’espèce, limitées à ce qui était strictement justifié par les nécessités de l’enquête.
Si l’accès aurait dû être refusé, la chambre de l’instruction doit prononcer la nullité des réquisitions en cause et des actes subséquents.
A défaut, elle doit constater l’absence d’atteinte aux intérêts de l’intéressé.»
Source : Cass. crim., 12 juillet 2022, 
Saisissez votre adresse électronique (e-mail) pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par courriel.
Commencez à taper votre recherche ci-dessous et appuyez sur Entrée pour chercher. Appuyez sur Esc pour annuler.
Vous devez être connecté pour poster un commentaire.
https://tafrob.info/detection-dun-point-de-blocage-dans-un-conduit-de-telecommunication/
https://google-adsense.info/detection-dun-point-de-blocage-dans-un-conduit-telecom/
