QUATRIÈME PARTIE
AGIR EN FRANCE ET EN EUROPE
POUR SÉCURISER LE RECOURS AUX DONNÉES DE CONNEXION DANS
L'ENQUÊTE PÉNALE
Les rapporteurs estiment qu'il est aujourd'hui du devoir du législateur d'apporter une réponse aux inquiétudes légitimes des acteurs de l'enquête en remettant à plat le sujet des données de connexion. Cette entreprise ne saurait s'apparenter à une codification docile de la jurisprudence de la CJUE, notamment au vu des incertitudes sur le devenir à terme de ses positions et de la nécessité pour l'État d'exercer pleinement les compétences qui lui sont confiées à titre exclusif par les traités européens. Ils proposent ainsi de faire évoluer notre droit national pour mieux encadrer la procédure d'accès aux métadonnées, tout en adoptant en matière de conservation une approche réaliste et pragmatique.
Pour autant, le législateur n'est pas le seul à devoir intervenir pour redonner aux acteurs de l'enquête en France les moyens d'exercer sereinement leurs missions. Le Gouvernement, en sa double qualité de porte-parole des institutions nationales auprès de l'Union européenne et de responsable de l'administration de la justice, de la police et de la gendarmerie, doit lui aussi se saisir du sujet et de tous ses enjeux.
I. AGIR EN EUROPE DANS LE SENS D'UN PLUS GRAND PRAGMATISME
Les rapporteurs plaident, tout d'abord, pour une action déterminée de la France à l'échelle européenne afin d'obtenir une meilleure prise en compte des besoins opérationnels des services d'enquête - qui, eux-mêmes, sont les reflets des attentes des citoyens en matière de sécurité publique.
A. PLAIDER POUR UNE MEILLEURE PRISE EN COMPTE DES BESOINS OPÉRATIONNELS DES SERVICES D'ENQUÊTE
1. Assumer une position forte dans les négociations européennes
Il est, en premier lieu, essentiel que la France assume une position forte dans les négociations européennes qui portent sur l'usage des outils numériques en matière pénale. Le risque, pointé par les interlocuteurs des rapporteurs à Bruxelles comme par de nombreuses personnes auditionnées à Paris, est en effet non seulement de voir le droit européen évoluer dans le sens d'une codification de la jurisprudence actuelle de la CJUE, mais aussi que la structuration des débats dans les institutions européennes et au sein de la Cour conduise à dissocier le cadre juridique de la lutte contre la cyber-délinquance de celui applicable aux autres infractions, en prévoyant dans le premier cas un usage peu régulé des données de connexion - comme en témoignent les derniers développements intervenus dans le dossier « Hadopi » - et, pour le second, une rigidité de plus en plus marquée en matière d'utilisation des preuves numériques.
À cet égard, les rapporteurs relèvent que, si de nombreuses personnes auditionnées ont estimé que la position de la CJUE s'expliquait par le fait que ses membres n'avaient pas été suffisamment sensibilisés par les États et par les services nationaux de police judiciaire et de renseignement aux réalités du terrain - donc in fine par une forme d'ignorance de la « vraie vie » des enquêteurs et des pratiques des délinquants -, cette analyse ne semble pas étayée par les faits : en amont de chacun des arrêts les plus marquants, une vingtaine d'États membres ont formulé des observations auprès des juges de Luxembourg afin de faire valoir les contraintes et les besoins des services nationaux d'enquête pénale.
Les arrêts de la CJUE se fondent, comme on l'a vu, sur la Charte des droits fondamentaux de l'Union européenne ; elles procèdent donc d'un texte ayant la même valeur juridique que les traités européens. Face à ce constat, certaines des personnes entendues ont suggéré que soit adopté un protocole interprétatif précisant que, dans l'intention des États membres, les dispositions des articles 7, 8 et 11 de la Charte en matière de protection des données personnelles doivent, en matière pénale, être conciliées avec des impératifs dont les États sont les garants et qui échappent à la compétence de l'Union, ce qui impliquerait par ailleurs de restaurer la pleine compétence des autorités nationales pour assurer cette conciliation.
Un tel protocole supposant, de même que les traités eux-mêmes, une unanimité des États membres, cet objectif semble toutefois difficilement atteignable.
À l'inverse, la piste consistant à faire évoluer la réglementation e-privacy pour exclure expressément de son champ d'application les activités de recherche et de répression des infractions pénales (voir ci-avant) doit être privilégiée : la réécriture engagée depuis 2017 est en effet de nature à faire passer un message clair et à susciter un revirement de jurisprudence. Il est également possible que, comme elle l'a fait par le passé en invalidant une directive de 2006 sur la conservation des données117(*), la Cour considère que cette modification doit être censurée en raison de sa contrariété avec la Charte. Pour autant, les rapporteurs soulignent que la nouvelle réglementation e-privacy est le seul vecteur disponible à ce jour pour envisager une remise à plat des principes de conservation des données de connexion et d'accès à celles-ci : le sujet doit donc être au coeur des préoccupations de la France et des autres États membres qui partagent sa volonté de garantir une répression effective des infractions pénales.
Dans ce contexte, on ne saurait se contenter d'espérer que la jurisprudence connaisse une inflexion sous l'effet d'efforts supplémentaires de pédagogie ou d'une convergence naturelle des points de vue. Il appartient aux gouvernements des États concernés, et notamment aux ministres français de l'intérieur et de la justice, de faire du sujet des données de connexion une véritable priorité dans l'agenda des négociations. Concrètement, les rapporteurs estiment ainsi que le Gouvernement devrait oeuvrer à bâtir une majorité au sein du Conseil et mener un travail d'influence auprès de la Commission et du Parlement européen pour obtenir l'aboutissement rapide et concluant des négociations sur le texte e-privacy 2, en particulier pour confirmer l'exclusion du périmètre du futur règlement des données exploitées dans un cadre pénal. Il pourrait, à cet égard, profiter de la double échéance de l'installation d'une nouvelle Commission après les élections européennes de 2024 et de l'aboutissement des travaux du HLEG sur les données de connexion en juin de la même année pour prendre l'initiative d'une relance du trilogue au printemps prochain.
2. Renforcer la transparence du processus européen
Les rapporteurs appellent également de leurs voeux un renforcement de la transparence du processus européen de décision sur les données de connexion, processus dont les parlements nationaux sont en l'état largement exclus.
Il leur semble à ce titre nécessaire que les assemblées françaises soient mieux associées à l'établissement des observations présentées par la France dans le cadre de l'examen par la CJUE de questions préjudicielles portant sur l'usage des métadonnées en matière pénale - et, plus largement, sur l'ensemble des thématiques ayant un impact lourd sur des sujets majeurs et de nature à se traduire par une modification de textes de niveau législatif. Cette recommandation s'inscrit dans la droite ligne du rapport sénatorial « Judiciarisation de la vie publique : le dialogue plutôt que le duel »118(*), qui soulignait déjà qu'« il serait pertinent que le Sénat - tout comme l'Assemblée nationale - puisse apporter sa contribution à la position française devant la CJUE en cas de contentieux relatif à l'interprétation d'une norme européenne dans le cadre d'un renvoi préjudiciel ou d'un recours en manquement [...] afin d'éclairer la Cour sur les effets concrets de telle ou telle disposition en France et de faire entendre son point de vue dans les contentieux pendants devant la CJUE considérés comme stratégiques ». Le même rapport proposait que la définition des contentieux stratégiques soit faite « soit en fonction des travaux de la commission des affaires européennes du Sénat, première vigie de la Haute Assemblée sur l'actualité européenne, soit en fonction de signalements du ministère de l'Europe et des affaires étrangères » : cette proposition n'a rien perdu de son actualité, et il semble évident que les données de connexion constituent un sujet « stratégique » auquel le Parlement doit être étroitement associé.
Les rapporteurs estiment de même, indispensable que le Gouvernement rende régulièrement compte au Parlement des échanges menés dans le cadre du groupe d'experts de haut niveau ADELE ou Going dark afin de permettre aux parlementaires non seulement d'être informés de l'avancée des réflexions mais aussi (voire surtout) de se faire entendre dans ce débat crucial.
Proposition n° 4 : Obtenir du Gouvernement qu'il rende compte au Parlement des échanges menés dans le cadre du groupe d'experts de haut niveau Going dark.
* 117 L'arrêt Digital Rights ltd. de 2014, déjà abondamment cité, conclut en effet à l'invalidation de la directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE.
* 118 Rapport d'information n° 592 (2021-2022) de Philippe Bonnecarrère, au nom de la mission d'information sur la judiciarisation de la vie publique, déposé le 29 mars 2022.