PREMIÈRE PARTIE
LES DONNÉES DE
CONNEXION, NOUVELLE PIERRE ANGULAIRE DE L'ENQUÊTE PÉNALE
I. LES DONNÉES DE CONNEXION : DES INFORMATIONS SENSIBLES AUX USAGES MULTIPLES
Données personnelles sensibles, les données de connexion constituent en cas d'infraction autant de « gisements de preuves » qui ont le pouvoir de confirmer ou d'infirmer un alibi, de mettre au jour un mobile ou de rendre visible une complicité qu'un examen de preuves matérielles n'aurait pas rendue apparente. Elles jouent aujourd'hui un rôle majeur dans l'élucidation des crimes et des délits : on estime qu'elles apparaissent dans 85 % des dossiers, tous types d'infractions confondus, et dans l'intégralité des procédures liées à la criminalité organisée.
A. LES DONNÉES DE CONNEXION : UNE NOTION TECHNIQUE SAISIE PAR LE DROIT PÉNAL
1. Une définition technique des données de connexion
Aussi appelées « métadonnées », les données de connexion sont, comme leur nom l'indique, les données techniques produites par un appareil (téléphone, tablette, ordinateur...) lors de sa connexion au réseau de communications électroniques. Elles sont traitées puis conservées par les opérateurs de communications électroniques, ou « OCE » (opérateurs de téléphonie fixe et mobile, fournisseurs d'accès à internet4(*), etc.).
Schématiquement, on distingue trois types de données de connexion :
- celles qui permettent d'identifier l'utilisateur, les « données d'identification » : il s'agit de l'identité civile liée à des données techniques, c'est-à-dire à un numéro de téléphone, à une adresse mail, à une adresse IP, à un numéro d'abonné, ou encore à un numéro de carte SIM (IMSI) ou à un identifiant de téléphone (IMEI) ;
- celles qui portent sur l'acheminement des communications, ou « données de trafic », qui concernent l'activité numérique et téléphonique de l'appareil : adresse IP5(*), liste circonstanciée des contacts téléphoniques entrants et sortants (ce qui recouvre notamment les factures détaillées, communément appelées « fadettes »), des SMS et courriels reçus et envoyés, des sites internet consultés, etc. ;
- celles qui portent sur la localisation de l'appareil, via l'identification de l'antenne-relai par laquelle ont transité les flux issus dudit appareil. Loin de constituer une géolocalisation retraçant le parcours exact de l'utilisateur ou donnant un point exact de présence, ces données permettent toutefois une localisation par zone relativement précise (a fortiori dans les zones urbaines où de nombreuses antennes-relais sont installées).
Les métadonnées recouvrent donc l'intégralité des données techniques liées aux communications, à l'exception notable de celles relatives au contenu des échanges : elles ne permettent de connaître ni le texte des messages (courriels, SMS...) envoyés ou reçus, ni la nature des propos tenus lors de conversations téléphoniques.
Techniquement, il est possible d'accéder aux données de connexion non seulement en temps réel, mais aussi en temps différé et de manière rétrospective (sous réserve, évidemment, qu'elles aient été conservées par l'opérateur concerné). L'accès en temps réel est plus intrusif que l'accès en temps différé, dans la mesure où il porte sur un périmètre plus vaste de données : outre les données de connexion telles qu'elles ont été décrites ci-avant, l'accès en temps réel couvre en effet les données traitées par les OCE pour des raisons techniques, ce qui intègre de facto les données de localisation GPS, les données d'acheminement (qui font apparaître, le cas échéant, le recours à des techniques d'anonymisation ou à des réseaux privés virtuels (VPN)), les certificats électroniques ou encore les logins et mots de passe renseignés par l'utilisateur.
Les rapporteurs ont concentré leurs travaux sur l'accès en temps différé, puisqu'il s'agit du type d'accès dont la mise en oeuvre est la plus mise en cause par la jurisprudence de la Cour de justice de l'Union européenne (CJUE).
De la même manière, si le présent rapport porte sur l'usage des données de connexion dans l'enquête pénale, il convient de relever que les services enquêteurs ne sont pas les seuls à s'être vus ouvrir par la loi un droit d'accès aux données de connexion. Alors que la loi pour la sécurité quotidienne de 20016(*) - qui a, la première, posé une base légale de conservation des métadonnées et d'accès à celles-ci - liait la conservation des métadonnées par les opérateurs aux « besoins de la recherche, de la constatation et de la poursuite des infractions pénales », sans distinction particulière mais avec un objectif clair de « mise à disposition de l'autorité judiciaire d'informations », des textes sectoriels ont été adoptés au fil du temps pour autoriser des acteurs extra-judiciaires à accéder aux métadonnées selon des régimes spécifiques.
Le législateur a ainsi ouvert un accès à l'ensemble des données de connexion conservées par les opérateurs aux services fiscaux et aux services des douanes dans l'exercice de leurs fonctions « judiciaires », c'est-à-dire dans le cadre de leurs prérogatives de recherche et de sanction de certaines infractions pénales, sous l'égide d'un contrôleur indépendant7(*). Il a parallèlement aménagé un accès partiel, généralement limité aux données d'identification et à certaines données de trafic, à l'inspection du travail8(*) ainsi qu'à des autorités administratives indépendantes dotées d'un pouvoir répressif (Autorité de la concurrence, Autorité des marchés financiers, Hadopi - aujourd'hui intégrée à l'Arcom -, Agence nationale de la sécurité des systèmes d'information). Il a enfin doté les services de renseignement d'un régime d'accès propre, pour les besoins de la prévention du terrorisme et pour la défense et la promotion des intérêts fondamentaux de la Nation, avec notamment une possibilité d'accès rétrospectif aux données de connexion analogue à celle qui existe en matière pénale et aménagée par l'article L. 851-1 du code de la sécurité intérieure.
L'accès administratif aux données de connexion des services de renseignement
Les services de renseignement peuvent, selon les cas, recourir à quatre techniques de renseignement mobilisant les données de connexion conservées ou traitées par les opérateurs. Ils disposent ainsi :
- d'un accès en temps différé aux données de connexion conservées par ces opérateurs : organisé par l'article L. 851-1 du code de la sécurité intérieure, il s'apparente, sur le plan technique (mais non sur le plan juridique), à l'accès prévu pour les services d'enquête pénale ;
- d'un accès en temps réel aux données de connexion conservées ou traitées par les opérateurs (article L. 851-2 du même code) : cette technique, dont l'usage est limité à la prévention du terrorisme, couvre un périmètre de données plus large que les seules données conservées (voir ci-avant) ;
- de la possibilité de recourir à un traitement algorithmique des données de connexion qui vise, afin de prévenir le terrorisme et au-delà du suivi de « cibles » déjà repérées et identifiées, à détecter les comportements de communication en ligne susceptibles de constituer des signaux de « faible intensité » (article L. 851-3 du même code). Mis en place pour une durée de deux mois renouvelables, ce traitement n'emporte la levée de l'anonymat que s'il permet de détecter des éléments caractérisant l'existence d'une menace terroriste ;
- d'une géolocalisation en temps réel (article L. 851-4), qui peut prendre la forme soit du suivi dynamique d'un terminal de communication, soit de l'utilisation d'une balise GSM ou GPS placée sur un objet ou un véhicule à l'insu de son utilisateur.
La mise en oeuvre de ces techniques est soumise à l'avis de la CNCTR (Commission nationale de contrôle des techniques de renseignement) et à une autorisation du Premier ministre ; pour mémoire, si son avis défavorable n'est pas suivi, la Commission peut saisir la formation spécialisée du Conseil d'État afin d'obtenir l'interruption du recours à la technique en cause et la destruction des données ainsi collectées.
Le code de la sécurité intérieure (article L. 851-6) permet également aux services de renseignement d'utiliser un dispositif mobile destiné à « capter » les données de connexion (appelé « IMSI catcher ») lorsque celles-ci sont difficiles, voire impossibles à obtenir par d'autres moyens (notamment lorsqu'une personne utilise une ligne occulte, c'est-à-dire un téléphone acquis sous une fausse identité ou emprunté à un tiers). Le recours à cette technique est limité par la loi à la captation des données d'identification d'un terminal (numéros IMSI et IMEI) ou du numéro d'abonnement de son utilisateur, d'une part, et aux données relatives à la localisation des équipements concernés, d'autre part.
Source : commission des lois du Sénat
2. Une définition juridique difficile
S'il est relativement aisé de tracer les contours techniques des données de connexion, il est plus complexe d'en donner une définition juridique stricte. Non seulement les métadonnées, qui relèvent tout autant du droit économique que du droit pénal ou du droit public, « mettent à l'épreuve les divisions classiques entre les différentes branches du droit »9(*), mais surtout elles peinent à s'insérer dans des cadres intellectuels qui, conçus au XIXe siècle, ne s'acclimatent que difficilement à la numérisation de nos vies quotidiennes.
En matière de procédure pénale, les données de connexion sont ainsi le reflet d'une désorganisation générale du droit de la preuve numérique.
En théorie, le droit de la preuve repose, comme l'ont rappelé les juristes entendus par les rapporteurs au cours d'une table ronde, sur une catégorisation des moyens de preuve en fonction du degré d'atteinte à la vie privée induit par leur utilisation (le principe sous-jacent étant que, plus l'infraction commise est grave, plus on peut admettre des atteintes à la vie privée pour en connaître l'auteur). Ce degré lui-même s'appuie sur une summa divisio qui sépare, d'un côté, le contenu des échanges, réputé sensible par définition en écho au principe constitutionnel de secret des correspondances, qui jouit d'une protection équivalente à celle dont bénéficient l'inviolabilité du domicile privé et le droit à la vie privée10(*) et, de l'autre, le contenant des communications, vu comme une information principalement technique et donc peu intrusive.
Cette théorie, bien que pertinente dans son principe, se heurte à une double limite.
En premier lieu, la distinction entre le contenu et le contenant ne paraît pas avoir un impact systématique sur les régimes de preuves prévus par le code de procédure pénale : l'intégration de la preuve numérique à notre procédure pénale s'est effectuée dans un mouvement de pragmatisme désordonné. Elle résulte non pas d'une construction intellectuelle homogène, mais d'une sédimentation progressive de normes adoptées en réaction à l'évolution des technologies sans vue d'ensemble et dans laquelle « les régimes juridiques que la loi ou la jurisprudence ont progressivement attribués aux modes de preuve numérique [...] [sont] pensés les uns après les autres au lieu d'être pensés les uns par rapport aux autres »11(*).
Une lecture attentive du code de procédure pénale suffit à s'en convaincre : la mise en cohérence des régimes auxquels sont soumises les preuves numériques est inaboutie. En pratique, on observe ainsi une forte disparité de leurs caractéristiques, qu'il s'agisse des modalités de recours aux différentes techniques probatoires, de l'intensité du contrôle judiciaire ou du nombre des formalités à accomplir. Plus encore, il apparaît que les modalités d'encadrement des différentes techniques probatoires n'ont qu'un lien imparfait avec nature de la donnée recueillie (contenu ou contenant). C'est ainsi que, par exemple, le recours aux données de connexion (qui sont théoriquement des « contenants ») est moins contraint que l'exploitation intégrale du téléphone des personnes gardées à vue ou des ordinateurs découverts sur le lieu d'une perquisition, possible pour tout type d'infraction et sous le seul contrôle du parquet. Dans le même ordre d'idées, et bien que leur régime d'emploi présente des différences notables12(*), on relèvera que depuis l'intervention du législateur en 2022 pour réguler l'accès aux données de connexion, la géolocalisation en temps réel prévue par l'article 230-32 du code de procédure pénale a le même champ matériel d'application que l'accès rétrospectif aux métadonnées, ces deux techniques étant utilisables pour toute infraction punie d'une peine de trois ans d'emprisonnement ou plus.
La deuxième limite de cette distinction entre le contenu et le « contenant » est qu'elle est remise en question par le fonctionnement d'internet, qui génère des données dont la catégorisation est de plus en plus complexe. Ainsi que le soulignait lors de son audition Patrick Pailloux, conseiller d'État, la notion de « données de connexion » recouvre une quantité substantielle d'informations de natures diverses ; or, si la distinction entre le contenu et le contenant est simple à appréhender lorsqu'on l'applique à un courriel (le « contenant » correspondant aux indications relatives à l'expéditeur et à son interlocuteur et le « contenu », le texte envoyé), elle perd de sa pertinence lorsqu'on tente de l'appliquer à certaines catégories de données. En témoignent les récents débats législatifs sur le statut des URL dans le cadre de l'examen du projet de loi relatif à la prévention d'actes de terrorisme et au renseignement (devenu la loi n° 2021-998 du 30 juillet 2021), au cours duquel les rapporteurs du Sénat relevaient que « les URL constituent des données mixtes, comprenant à la fois des données de connexion, c'est-à-dire des éléments relatifs à l'acheminement de la communication internet, et des données de communication, c'est-à-dire des éléments fournissant des précisions sur l'objet ou le contenu du site internet consulté »13(*) (le libellé des URL, c'est-à-dire des adresses des sites internet visités par un utilisateur, étant très souvent un révélateur direct et explicite de la nature de l'information consultée) ; malgré ce statut à part, les URL sont aujourd'hui intégrées, au même titre que les données de connexion « classiques », au champ matériel des données susceptibles d'un traitement algorithmique en application de l'article L. 851-3 du code de la sécurité intérieure comme à celui des données techniques auxquelles les services de renseignement peuvent accéder en temps réel sur le fondement de l'article L. 851-2 du même code (voir supra).
La même hybridité s'applique aux données générées par les applications sur smartphone : ces dernières génèrent, en effet, une très grande quantité de données qui sont développées (et traitées) librement par des acteurs privés et dont certaines ont une nature hybride ; à titre d'illustration, le numéro de compte qui sert d'identifiant pour une application bancaire peut à la fois être analysé comme une donnée de « contenant », car il s'agit fonctionnellement d'un identifiant, et comme un « contenu », le numéro de compte étant en soi une information signifiante. La même observation vaut, peut-être encore davantage, pour des applications dont la fonction même renvoie à des éléments de la vie privée de l'utilisateur (applications de rencontre, applications de prise de rendez-vous médical, etc.).
Ces éléments brouillent la prise en charge juridique des données numériques et remettent en cause la traditionnelle distinction qui présidait, bien qu'imparfaitement, à la définition des régimes probatoires.
* 4 À l'inverse, les hébergeurs de sites internet ne relèvent pas de cette catégorie.
* 5 Pour mémoire, l'adresse IP est un numéro unique attribué à un appareil par le serveur qui assure sa connexion à un réseau ; ce numéro peut être permanent ou « dynamique » et permet de retracer le « parcours » de l'appareil sur les différents noms de domaine (ce qui permet, en d'autres termes, de connaître les sites internet auxquels l'utilisateur a accédé, sans toutefois constituer un accès au contenu desdits sites).
* 6 Loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne ; les dispositions en cause étaient alors codifiées à l'article L. 32-3-1 du code des postes et des communications électroniques.
* 7 Ces possibilités d'accès sont aujourd'hui prévues, respectivement, par les articles 96 G du livre des procédures fiscales et 65 quinquiès du code des douanes.
* 8 Article L. 8113-5-2 du code du travail.
* 9 François-Xavier Millet, Professeur à l'université des Antilles, Laboratoire caribéen en sciences sociales - Centre d'analyse géopolitique et internationale ; RFDA 2023, p .603, introduction au colloque « Les données de connexion - Quel équilibre entre droits fondamentaux et lutte contre la criminalité à l'ère du numérique ? » organisé le 16 janvier 2023 à l'Université des Antilles.
* 10 Voir, par exemple, la décision n° 2014-420/421 QPC du 9 octobre 2014, considérant 9 : « au nombre de[s libertés constitutionnellement garanties] figurent la liberté d'aller et venir, l'inviolabilité du domicile, le secret des correspondances et le respect de la vie privée, protégés par les articles 2 et 4 de la Déclaration de 1789, ainsi que la liberté individuelle ».
* 11 Benoît Auroy, article précité.
* 12 La géolocalisation en temps réel suppose toutefois, contrairement à l'accès aux données de connexion, l'intervention du juge des libertés et de la détention au-delà de huit jours (étant rappelé que, en-dessous de ce délai, seule l'autorisation du procureur de la République est requise).
* 13 Rapport n° 778 (2020-2021) d' Agnès CANAYER et Marc-Philippe DAUBRESSE, déposé le 20 juillet 2021.