B. UN ACCÈS MIEUX DÉLIMITÉ MAIS TOUJOURS PAS SOUMIS À UN CONTRÔLE PRÉALABLE
Parce qu'elle permet un accès aux données de connexion par le biais d'une simple réquisition judiciaire, sans considération de la nature de l'infraction et donc potentiellement hors du cadre de la délinquance et de la criminalité grave, la loi française présentait jusqu'en 2022 un second motif de non-conformité à la jurisprudence de la CJUE ; elle avait, au demeurant, été jugée contraire à la Constitution sur ce point par le Conseil constitutionnel à la fin de l'année 2021.
En conséquence, le législateur est intervenu avec la loi n° 2022-299 du 2 mars 2022 visant à combattre le harcèlement scolaire pour restreindre l'accès aux données de connexion aux enquêtes pénales sur les cas les plus graves. Le nouvel article 60-1-2 du code de procédure pénale introduit à cette occasion précise que l'accès aux données de trafic et de localisation n'est possible que « si les nécessités de la procédure l'exigent » et dans quatre cas limitativement énumérés :
- lorsque la procédure porte sur un crime ou sur un délit puni d'au moins trois ans d'emprisonnement ;
- lorsque la procédure porte sur un crime ou un délit puni d'au moins un an d'emprisonnement, que celui-ci a été commis par l'utilisation d'un réseau de communication électronique et que les réquisitions ont pour seul objet d'identifier l'auteur de l'infraction ;
- lorsque les réquisitions portent sur les équipements de la victime et interviennent à la demande de celle-ci, pour des délits punis d'une peine d'emprisonnement ;
- lorsqu'elles tendent à retrouver une personne disparue ou à retracer un parcours criminel.
Comme l'a depuis lors rappelé la Cour de cassation, le quantum encouru ne suffit pas à caractériser l'inscription de l'infraction dans la « criminalité grave » au sens de la jurisprudence de la CJUE, et il convient également de tenir compte des circonstances de l'espèce. Il en découle une exigence de motivation renforcée pour les services d'enquête qui, elle-même, génère un surcroît de formalisme et crée le risque d'une hétérogénéité des appréciations à l'échelle nationale.
En tout état de cause, cette évolution ne réglait pas la question du rôle du parquet : bien que ne pouvant être considéré comme indépendant vis-à-vis de l'enquête, celui-ci reste en effet chargé de contrôler l'accès aux données de connexion en flagrance et en enquête préliminaire, ce qui ne paraît pas répondre aux exigences de la CJUE tenant à la mise en oeuvre d'un contrôle à la fois préalable et indépendant de tels accès. C'est ainsi que, par des arrêts du 12 juillet 2022, la chambre criminelle de la Cour de cassation a jugé que le procureur de la République, qui dirige l'enquête, ne pouvait valablement contrôler l'accès aux données de connexion. Cette décision aurait pu avoir des conséquences dévastatrices pour la conduite des enquêtes, dans la mesure où la flagrance et l'enquête préliminaire placées sous la direction du parquet représentent actuellement l'immense majorité des investigations. Toutefois, la chambre criminelle a atténué les effets de ses arrêts en jugeant que l'absence d'un contrôle indépendant n'entraînerait la nullité de la procédure concernée que si le requérant pouvait établir l'existence d'un préjudice, c'est-à-dire démontrer qu'un contrôle indépendant aurait conclu à l'impossibilité d'accéder aux données de connexion concernées.
Cette position, protectrice du rôle du parquet, reste cependant fragile.