EXAMEN EN COMMISSION
__________
M. François-Noël Buffet, président. - Nous allons aborder le dernier point de notre ordre du jour, qui est l'examen du rapport d'information sur les modalités d'investigations recourant aux données de connexion dans le cadre des enquêtes pénales.
M. Philippe Bonnecarrère, rapporteur. - Je rends tout d'abord hommage au travail conduit par notre ancien collègue Jean-Yves Leconte, qui a contribué aux travaux de la mission d'information jusqu'en octobre dernier.
Ce rapport concerne la conjonction entre deux sujets. Le premier est le fait que nos enquêteurs utilisent de plus en plus les données issues de nos appareils connectés pour identifier l'auteur d'une infraction et sa localisation. Le second concerne la jurisprudence de la Cour de justice de l'Union européenne (CJUE), qui est extrêmement restrictive quant aux conditions de conservation et d'accès aux données de connexion. Notre sujet est donc de savoir comment s'organiser et comment résoudre ce conflit. Je m'attacherai à établir un constat de la situation, tandis qu'Agnès Canayer présentera les propositions et la manière dont nous abordons l'avenir.
Les données de connexion sont de plusieurs types. Il y a bien sûr le numéro d'abonné ou le numéro de carte qui permet d'identifier une tablette ou un mobile. À côté de ces éléments d'identification, il y a aussi les données trafic, par exemple qui vous appelez, ou à qui vous adressez des mails. Le troisième type de données sont les données de localisation, qui permettent par exemple de savoir qui se trouve à proximité, à tel moment, de tel lieu de cambriolage, et qui ne s'y trouve pas.
Ces multiples données floutent, aujourd'hui, la différence entre le contenu et le contenant. En croisant les auteurs des appels et les horaires, il est possible de définir un mode de vie.
Il s'agit d'un sujet massif, puisqu'un peu plus de deux millions de réquisitions ont pu être émises sur le dernier exercice. À l'heure actuelle, ceci fonctionne de manière assez simple. Il a fallu dix laborieuses années, de 2007 à 2017, pour mettre en oeuvre le système de la plateforme nationale des interceptions judiciaires (PNIJ), ouverte à plus de 60 000 personnes dans la gendarmerie ou la police.
Concrètement, un enquêteur à qui on a signalé un cambriolage va vérifier, en premier lieu, s'il n'y a pas de témoignages ou d'éléments qui le mettent sur une piste. Il va essayer de voir qui pouvait se trouver dans le secteur à l'heure concernée. Pour cela, il remplit un formulaire, se munit de sa carte professionnelle qui l'authentifie et permet l'accès à la PNIJ, et fait une demande d'identification auprès de son parquetier au téléphone. Une fois cette autorisation donnée, l'enquêteur précise sa demande dans le système informatique de la PNIJ, puis reçoit dans un délai de deux heures les données dont il a besoin. Il s'agit donc d'un système qui automatise l'envoi et la réception entre cette agence et les quatre grands opérateurs de téléphonie. Nous signalons accessoirement qu'il existe encore des accès hors PNIJ, qui peuvent poser question.
Les enquêteurs estiment que ce système fonctionne bien et les parquetiers n'y voient pas de difficultés puisqu'ils assurent la maîtrise de l'enquête, en autorisant ou non l'accès aux données. Cependant, tout a changé depuis maintenant quelques années. La Cour de Luxembourg est partie de l'idée que le stockage des données de connexion rappelle de mauvais souvenirs, en particulier dans les pays de l'Est. Elle a fait le choix de ne pas faire confiance aux États et de passer par une interdiction pure et simple, plutôt que de demander à chaque État de justifier son organisation pour garantir une proportionnalité entre la conservation et les autorisations accordées aux enquêteurs.
Premièrement, la CJUE n'accepte plus la conservation générale et indifférenciée des données de trafic et de localisation ; elle ne l'accepte qu'en cas de menace grave et pour la sécurité nationale.
Deuxièmement, une différence est faite, entre, d'une part, les données de trafic et de localisation et, d'autre part, les données d'identification, pour lesquelles la procédure de réquisition est, selon la jurisprudence de la CJUE, plus aisée. Concernant l'accès aux données de trafic et de localisation, l'accès n'est possible qu'en cas de criminalité grave et sous la forme d'un « quick freeze », c'est-à-dire une injonction de conservation rapide. En d'autres termes, l'autorité judiciaire peut demander à garder les éléments pendant quelques temps. Or, l'intérêt des données de connexion est de pouvoir chercher rétrospectivement. Notre système juridique permet parfaitement d'intercepter les communications d'un suspect, de savoir qui appelle ou est appelé. C'est donc l'utilisation des données conservées et non pas des données de flux qui pose question.
Troisièmement, la CJUE impose, dans l'hypothèse d'une criminalité grave et d'un quick freeze, des conservations ciblées. Dans ce cadre, les États sont censés ne pas conserver la globalité des données, mais celles concernant certains secteurs géographiques ou certains secteurs considérés comme sensibles, à l'instar des ports, des aéroports, des quartiers à proximité des lieux de gouvernement.
Ce sont donc des choix jurisprudentiels qui conduisent à ne plus avoir de conservation générale mais à avoir une conservation ciblée dont tout le monde dit qu'elle est quasiment impossible.
Enfin, l'accès à ces données n'est possible qu'à la condition qu'il soit autorisé par une autorité administrative indépendante ou par un juge qui n'est pas chargé de l'accusation. Ce dernier élément est une critique directe du système judiciaire français où le Procureur de la République, qui a certes toutes les caractéristiques fondant, pour la Cour européenne des droits de l'homme (CEDH), l'indépendance d'un magistrat, mais qui est chargé de l'accusation.
Alors qu'environ 85 % des enquêtes aujourd'hui en France utilisent ces moyens techniques, les enquêteurs ne peuvent travailler sans, d'autant que l'obtention d'aveux et de témoignages est aujourd'hui difficile. Tous ces éléments expliquent comment les données de connexion sont devenues la reine des preuves.
Le résultat est donc une déstabilisation complète des systèmes dans l'ensemble de l'Union européenne. Certains États, notamment à l'Est, poursuivent leur route sans se préoccuper de la jurisprudence de la CJUE. D'autres ont abrogé leur réglementation et n'arrivent pas à faire face aux problèmes que cela engendre - nous pouvons citer les difficultés néerlandaises et suédoises en matière de lutte contre la criminalité organisée -, ou font mystère de la manière dont ils arrivent à s'en passer. Je pense à nos voisins allemands dont la coalition au pouvoir n'arrive pas à définir de nouveau régime de conservation des données de connexion et que nous soupçonnons, dans l'intervalle, de s'appuyer sur les données recueillies dans le cadre de l'activité de leurs services de renseignement. D'autres pays ont fait semblant d'appliquer la jurisprudence de la CJUE. C'est le cas de la Belgique qui a adopté un système de conservation ciblée dont les critères sont si larges que l'ensemble du territoire est couvert par ce « ciblage », à l'exception, peut-être, d'un bout de forêt au fin fond des Ardennes belges. Vous comprenez aisément l'ampleur de la difficulté matérielle que pose un tel système.
Pour terminer, où en est-on sur le territoire français ? Le Conseil constitutionnel, le Conseil d'État et la Cour de cassation ont fourni un exceptionnel travail de créativité juridique dans le but de préserver le modèle français. Le Conseil d'État a formulé une solution ambitieuse dans l'arrêt French Data Network qui consiste à considérer que les conséquences de la mise en oeuvre de la jurisprudence de la CJUE seraient telles qu'elles mettraient en danger la sécurité nationale. Il admet donc que le système français de conservation des données peut perdurer au nom du principe de la sauvegarde de l'ordre public. La Cour de cassation a déployé un raisonnement comparable et, tout en admettant que le cadre juridique n'était pas idéal, a fixé des conditions si strictes qu'aucune nullité ne pourra être prononcée. Mais aucune autorité indépendante n'intervient dans le contrôle des réquisitions qui relève encore du parquet en charge de l'accusation, ce qui implique que, tôt ou tard, notre système juridique devra évoluer. Nous avons quelques années devant nous - peut-être 3 à 5 ans - pour agir ; nous ne pouvons pas nous permettre de procrastiner. Pour trouver une solution, il apparaît nécessaire de traiter du volet purement français mais aussi du volet européen de ce problème.
Mme Agnès Canayer, rapporteur. - Au terme de 3 déplacements et après avoir auditionné plus de 50 personnes, nous avons tenté de trouver un équilibre entre respect de la jurisprudence européenne et pragmatisme pour permettre aux enquêteurs de mener les enquêtes de façon satisfaisante afin de préserver la sécurité publique.
Le premier niveau sur lequel nous proposons d'agir est le niveau européen, en profitant de la prise de conscience des États membres sur le sujet, même si nous avançons à petits pas. Nous préconisons que la France soit plus présente et s'engage dans une renégociation non pas des traités, qui serait bien trop ambitieuse et inefficace, mais du règlement « E-privacy 2 » pour exclure de son cadre les enquêtes pénales. Nous souhaitons également que la France pèse dans le groupe d'experts de haut niveau « Going Dark » rebaptisé « ADELE » lancé par la Suède lorsqu'elle assurait la présidence du Conseil de l'Union européenne. Cette initiative témoigne de la prise de conscience de la nécessité de trouver une solution pour les forces de l'ordre des États membres. Mais les travaux de ce groupe de travail sont extrêmement opaques ; nous préconisons donc que le Gouvernement informe le Parlement de son état d'avancement pour garantir un suivi effectif.
En France, il convient de mieux cadrer et délimiter le sujet. En premier lieu, nous devons répondre à la question suivante : quelles sont les données qui doivent être conservées par les quatre opérateurs majeurs (Free, SFR, Bouygues et Orange) ? Il s'agit d'un point essentiel car, à l'heure actuelle, il n'existe aucune harmonisation des pratiques. De même, la refonte de la procédure de contrôle de la réquisition des données nous paraît essentielle. L'existence d'une procédure harmonisée pour tous les types de données et de réquisitions n'est pas satisfaisante car la jurisprudence de la CJUE admet que le parquet puisse assurer le contrôle de la réquisition des seules données d'identification. À la lecture des conclusions de l'avocat général Szpunar dans l'affaire Hadopi qui viennent d'être rendues publiques, nous comprenons que la CJUE est prête à faire preuve d'ouverture sur ce sujet, notamment dans le cadre de la cybercriminalité. Il faudra en tirer les conséquences. Enfin, nous plaidons pour une harmonisation des procédures en ce qui concerne la criminalité grave, car c'est bien la finalité répressive de la réquisition qui détermine la nature de son contrôle. La Cour de cassation considère que ce n'est pas seulement le quantum des peines mais aussi un faisceau d'indices qui permet de définir la criminalité grave. Celle-ci est donc appréciée au cas par cas : certains parquets demandent une réquisition par dossier, d'autres par groupe de localisation ou de temporalité... Nous pensons qu'il est nécessaire d'inscrire cette notion dans le code de procédure pénale pour harmoniser et clarifier les pratiques.
Notre troisième axe de travail porte sur le contrôle de l'accès aux données de connexion. Aujourd'hui, la mission conférée au parquet ne remplit pas les conditions du contrôle préalable et impartial imposé par la CJUE. Nous avons tenté de réfléchir à la meilleure manière de s'y conformer. Confier ce contrôle à une autorité indépendante, qu'elle soit administrative ou judiciaire, ne nous semblait pas répondre de façon pragmatique aux exigences de la CJUE car il s'agit de contrôler plusieurs millions de réquisitions par an. Nous avons donc plutôt opté pour un contrôle par le juge des libertés et de la détention (JLD) en prévoyant des aménagements pour que cette nouvelle mission n'absorbe pas toutes les créations d'emplois obtenues dans le cadre de la loi d'orientation et de programmation du ministère de la justice pour 2023-2027. Une telle réforme imposerait donc une redéfinition globale du rôle et des fonctions du JLD. Sur cette base, deux options nous paraissent possibles : la création d'un pôle de JLD à l'échelle de chaque cour d'appel ou l'affectation de JLD détachés à raison d'une journée par semaine dans les juridictions. Il apparaît aussi nécessaire de travailler sur la procédure et les outils numériques pour fluidifier le contrôle des réquisitions et permettre aux enquêteurs de travailler sur un logiciel efficace et connecté à la procédure pénale numérique. Nous savons que le développement des outils numériques est toujours un sujet complexe pour le ministère de la justice. Mais il nous faut y travailler car, aujourd'hui, les enquêteurs sont contraints d'appeler le parquet pour formuler leurs demandes, ce qui constitue une perte de temps considérable.
L'enjeu est également de lutter contre deux dérives. Il s'agit, d'une part, de la pratique du « hors-PNIJ » : 20 à 25 % des enquêteurs n'ont pas recours à la procédure de réquisition par le biais de la PNIJ, dont l'avantage est d'assurer une traçabilité. D'autre part, s'impose un contrôle des logiciels de retraitement des informations et des données, qui permettent, si je schématise, à l'enquêteur de faire ressortir un coupable idéal à partir de ces données. Ces moyens permettent donc de se mettre en conformité. Il n'y a cependant pas urgence, dès lors que les jurisprudences de la Cour de cassation, du Conseil d'État et du Conseil constitutionnel ont permis de trouver des ouvertures. Néanmoins, cette robustesse a ses limites. Il faut donc prendre le temps et anticiper, c'est l'intérêt de ce rapport, qui sera prochainement complété par d'autres dont celui du conseiller d'État Alexandre Lallet, chargé d'une mission sur le sujet par le gouvernement. Sont ainsi posées les premières bases de réflexion, en prévision du jour où notre système sera sanctionné par la jurisprudence européenne.
M. Jérôme Durain. -Jean-Yves Leconte, qui a collaboré avec Agnès Canayer et Philippe Bonnecarrère sur cette mission, a eu l'amabilité de faire quelques retours, que nous énonçons ici au nom de notre groupe. S'alignant sur les travaux rendus par les rapporteurs, il s'interroge toutefois sur la mise en oeuvre de la solution relative au recours aux JLD, qu'il craint compliquée, au regard de l'articulation de cette activité complémentaire avec les missions principales du JLD. Il rejoint les propos de Philippe Bonnecarrère sur la jurisprudence de l'Union européenne.
En premier lieu, cette vision très restrictive portée par la CJUE empêche la juridictionnalisation de certaines infractions, ayant, de fait, des conséquences paradoxales en matière de protection des droits.
En second lieu, les obligations qui pèsent sur les opérateurs traditionnels et les nouveaux entrants ne sont pas de même nature, il est très difficile de contrôler Telegram, WhatsApp ou Starlink, il s'agirait donc de se pencher sur cette question.
Mme Agnès Canayer, rapporteur. - Le recours aux JLD n'est certes pas la solution qui s'impose naturellement, mais il permet de répondre autant aux exigences de la CJUE et aux critères d'efficacité de la procédure. Dans la loi d'orientation et de programmation du ministère de la justice pour 2023-2027, nous avions retiré une partie des compétences nombreuses du JLD, déjà fortement mobilisé, notamment dans les contentieux civils. Je pense qu'il faudrait aller encore plus loin pour le recentrer sur son rôle premier de juge de l'enquête.
M. Philippe Bonnecarrère, rapporteur. - Je soulignerai, pour conclure, deux sujets passionnants en arrière-plan.
En premier lieu, la CJUE surprend en intervenant sur des terrains nationaux, s'appuyant, pour ce faire, sur la Charte des droits fondamentaux de l'Union européenne. Nous sommes, par ailleurs, habitués au contrôle d'équilibrage mené par le Conseil constitutionnel, conciliant les enjeux de défense des libertés privées et les principes de préservation de l'ordre public. À l'inverse, la CJUE ne recourt pas à cette méthode de la proportionnalité et concentre son attention sur le seul principe de défense des libertés fondées sur la Charte.
En second lieu, nous imposons de strictes conditions pour contrôler l'accès de nos services d'enquête aux données de connexion. Cependant, ces données sont à la disposition d'opérateurs qui, comme Google ou Facebook, en font commerce sans que nous ayons le moindre contrôle sur eux. Il y a ainsi un déséquilibre entre la sphère privée et la sphère publique. Enfin, notre système fonctionne vis-à-vis des opérateurs traditionnels, mais il y en a d'autres, dont Starlink, ce qui donne ainsi aux malfaiteurs un large avantage sur les enquêteurs.
Nous avons là un débat classique entre la défense des libertés et les nécessités concrètes et pragmatiques.
Mme Agnès Canayer, rapporteur. - Nous proposons, pour le rapport, le titre suivant : « Surveiller pour punir ? Pour une nouvelle régulation des accès aux données de connexion dans l'enquête pénale ».
Les recommandations sont adoptées.
La commission adopte à l'unanimité le rapport d'information et en autorise la publication.