Conservation et accès aux données : la procédure pénale à l’épreuve du droit de l’Union

RGPD

Par Maître Anaïs BIEHLER (Avocate collaboratrice chez Green Law Avocats)

Par quatre arrêts en date du 12 juillet 2022 (Cour de cassation, 12 juillet 2022, n° 18-04.096, 21-83.710, 20-86.652, 21-83.820) , la Chambre criminelle de la Cour de cassation s’est alignée sur l’interprétation de la directive 2002/58 dite « vie privée et communication électronique » (Journal officiel n° L 201 du 31/07/2002 p. 0037 – 0047) de la Cour de Justice de l’Union Européenne s’agissant de l’accès et de la conservation des données de trafic et de localisation accessibles sur les fadettes.

En effet, par trois décisions en date du 6 octobre 2020, la Cour de justice l’Union Européenne avait eu l’occasion de préciser les limites juridiques auxquelles les États membres devaient s’astreindre pour ne pas contrevenir aux droits fondamentaux du respect de la vie privée (CJUE, 6 octobre 2020, C-511/18, C-512/18, C520/18).

Selon la Cour de Justice, la conservation généralisée et indifférenciée des données de connexion (autres que les données d’identité) ne peut être imposée aux opérateurs que pour les besoins de la sécurité nationale en cas de menace grave. En outre, elle juge que l’accès à ces données par les services de renseignement doit être soumis au contrôle préalable d’une autorité indépendante et au contrôle d’un juge en aval lors de l’exploitation des données conservées.

Pour la lutte contre la criminalité grave, la Cour considère que les États peuvent seulement imposer la conservation ciblée de données, dans certaines zones ou pour certaines catégories de personnes pré-identifiées comme présentant des risques particuliers. Mais, comme le prévoit la convention de Budapest du 23 novembre 2001 (article 16 et suivants), les autorités peuvent demander aux opérateurs de geler les données de trafic et de localisation relatives à une personne, pour les besoins d’une enquête pénale, sur une courte période (méthode dite de « conservation rapide » des données).

D’ailleurs, la Haute juridiction européenne considère que la conservation des données de connexion n’est pas permise pour d’autres motifs, notamment pour la recherche des infractions ne relevant pas de la criminalité grave. Il en résulte que, par principe, les États membres de l’Union européenne ne peuvent imposer aux opérateurs de communications électroniques, fournisseurs d’accès à internet et hébergeurs, une conservation généralisée et indifférenciée de l’ensemble des données de trafic et de localisation, sauf en cas de menace grave et actuelle pour la sécurité nationale (par exemple pour les affaires de terrorisme).

Enfin s’agissant des infractions de criminalité grave, les États membres peuvent également imposer aux opérateurs et fournisseurs de procéder à la conservation « rapide » des données, s’ils entourent cette obligation d’un certain nombre de garanties : l’accès aux données doit être autorisée par une juridiction ou une entité administrative indépendante, la conservation doit être réservée aux infractions de criminalité grave, la conservation « rapide » des données de connexion et l’accès à celles-ci doivent respecter les limites du strict nécessaire.

Or, les dispositions de l’article L.34-1, III du code des postes et télécommunication dans sa version applicable du 20 décembre 2013 au 31 juillet 2021 énonçaient :

« Pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales […], il peut être différé pour une durée maximale d’un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques […] ».

Les dispositions françaises permettaient donc la conservation et l’accès des données pour les besoins de la constatation et la poursuite de toutes les infractions pénales.

La chambre criminelle a donc, par le truchement de ces quatre arrêts, tiré toutes les conséquences des décisions de la Cour de Justice de l’Union Européenne.

Désormais, l’accès irrégulier aux données de connexion pourra être sanctionné par la nullité, à supposer toutefois que le requérant démontre :

– Être titulaire ou utilisateur de la ligne identifiée ou une atteinte à sa vie privée ;

– L’existence d’un préjudice ;

– Que les données ne pouvaient être conservées au titre de la conservation « rapide » ;

– Que les catégories de données visées et la durée pendant laquelle il a été possible d’y avoir accès n’étaient pas limitées à ce qui était strictement nécessaire au bon déroulement de l’enquête en cause.

Cette interprétation est dans la même veine que celle du Conseil Constitutionnel qui par décision n° 2021-952 QPC du 3 décembre 2021 a déclaré contraires à la Constitution les dispositions du Code de procédure pénale qui organisent les réquisitions de données informatiques effectuées dans le cadre des enquêtes préliminaires (articles 77-1-1 et 77-1-2 du code de procédure pénale), dont l’abrogation demeure toutefois reportée au 31 décembre 2022.

A noter donc que les mesures prises avant cette date ne peuvent donc pas être contestées sur le fondement de cette inconstitutionnalité.