Surveiller pour punir ? Pour une réforme de l'accès aux données de connexion dans l'enquête pénale

TROISIÈME PARTIE 
LES LIMITES DES TENTATIVES FRANÇAISES DE MISE EN CONFORMITÉ AVEC LE DROIT DE L'UNION EUROPÉENNE

À la suite de la jurisprudence de la Cour de justice de l'Union européenne, plusieurs décisions ont été successivement rendues par le Conseil d'État, le Conseil constitutionnel et la chambre criminelle de la Cour de cassation, qui n'ont toutefois intégré que partiellement les exigences posées par la Cour de justice et qui présentent entre elles des points de divergence, laissant ainsi peser un aléa sur la sécurité juridique des procédures malgré deux modifications législatives intervenues en 2021 et 2022. Cette situation invite à s'interroger à nouveau sur le curseur entre défense des droits et libertés, d'une part, et protection de la sécurité publique et du territoire national, d'autre part.

Le cadre juridique français de la conservation des données de connexion a été bouleversé par la jurisprudence européenne. Comme on l'a vu, l'article L. 34-1 du code des postes et des communications électroniques imposait jusqu'alors aux opérateurs de communications électroniques de conserver certaines catégories de données techniques pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales pendant une durée d'un an, par dérogation à l'obligation générale d'effacer et de rendre anonyme toute donnée relative au trafic^85(*). L'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique prévoyait une obligation de même nature pour les fournisseurs d'accès à internet et les hébergeurs de contenus s'agissant des données de nature à permettre l'identification de quiconque a contribué à la création de contenu au sein des services dont ils sont prestataires.

Cette obligation de conservation pendant une durée d'un an de l'ensemble des données de connexion - en particulier les données relatives au trafic et les données de localisation - a dû être aménagée pour assurer sa conformité à la jurisprudence de la Cour de justice de l'Union européenne qui a jugé, par un arrêt du 6 octobre 2020^86(*) qu'une législation française ne pouvait, sans méconnaître le droit de l'Union européenne, imposer à titre préventif aux opérateurs de communications électroniques et aux fournisseurs d'accès à internet une conservation généralisée et indifférenciée des données relatives au trafic et à la localisation sans justifier dans le même temps d'une menace pour la sécurité nationale.

Le 25 février 2022, le Conseil constitutionnel, saisi de deux questions prioritaires de constitutionnalité^87(*), a estimé que la conservation généralisée et indifférenciée des données de connexion prévue par l'article L. 34-1 du code des postes et des communications électroniques dans sa rédaction applicable à l'époque des faits^88(*) était également contraire à la Constitution dans la mesure où elle s'appliquait « de façon générale à tous les utilisateurs des services de communications électroniques » et portait « indifféremment sur toutes les données de connexion relatives à ces personnes, quelle qu'en soit la sensibilité et sans considération de la nature et de la gravité des infractions susceptibles d'être recherchées », constituant ainsi une atteinte disproportionnée au droit au respect de la vie privée.

L'inconventionalité du droit national a conduit le Conseil d'État, en dans sa décision d'assemblée French data network du 21 avril 2021^89(*), à annuler la décision implicite du Premier ministre de ne pas abroger l'article R. 10-13 du code des postes et des communications électroniques et le décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne. Il a en effet jugé que si, en l'état, la conservation générale et indifférenciée des données de trafic et de localisation était justifiée par des menaces pour la sécurité nationale, les dispositions contestées relatives à la conservation des données de connexion étaient contraires au droit de l'Union européenne dans la mesure où :

- elles ne justifiaient pas la conservation des données de connexion par l'existence de ces menaces et ne subordonnaient pas le maintien en vigueur d'une conservation généralisée à l'existence d'une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale. Il a considéré qu'un réexamen périodique de l'existence d'une telle menace était nécessaire ;

- elles ne limitaient pas à la sauvegarde de la sécurité nationale les finalités de l'obligation de conservation généralisée et indifférenciée des données de connexion autres que les données d'identité civile, les coordonnées de contact et de paiement, les données relatives aux contrats et aux comptes et les adresses IP, c'est-à-dire les données de trafic et de localisation.

S'agissant de l'obligation de conservation des données de connexion pour les besoins liés aux procédures pénales, le Conseil d'État a admis que, en l'état, elle n'était pas conforme au droit de l'Union européenne. Il a toutefois souligné, d'une part, que la solution de conservation ciblée proposée par la Cour de justice de l'Union européenne dans sa décision précitée « se [heurtait] à des obstacles techniques qui en compromettent manifestement la mise en oeuvre » et « présenterait un intérêt opérationnel particulièrement incertain, dès lors qu'elle ne permettrait pas, y compris en cas de faits particulièrement graves, d'accéder aux données de connexion d'une personne suspectée d'une infraction qui n'aurait pas été préalablement identifiée comme étant susceptible de commettre un tel acte »^90(*). Il a indiqué, d'autre part, que les données relatives au trafic et les données de localisation conservées par les opérateurs pouvaient être accessibles aux fins de la lutte contre la criminalité grave par le biais d'une injonction de procéder, pour une durée déterminée, à une « conservation rapide » de ces données dès lors que l'infraction concernée était « suffisamment grave pour justifier [une] ingérence dans la vie privée », y compris s'agissant des données initialement conservées par les opérateurs, les fournisseurs et les hébergeurs aux fins de la sauvegarde de la sécurité nationale.

Ce faisant, le Conseil d'État a dessiné un schéma permettant aux autorités d'enquête d'accéder par le biais d'un mécanisme d'injonction de conservation rapide aux données de connexion conservées par les opérateurs.

En conclusion, le Conseil d'État a enjoint au Premier ministre de procéder à l'abrogation des dispositions règlementaires contestées dans un délai de six mois à compter de la décision, soit avant le 21 octobre 2021.

En conséquence de ces jurisprudences, le législateur a modifié, dans le cadre de la loi n° 2021-998 du 30 juillet 2021 relative à la prévention d'actes de terrorisme et au renseignement, l'article L. 34-1 du code des postes et des télécommunications électroniques pour modifier l'obligation faite aux opérateurs de conserver les données de connexion en distinguant selon les catégories de données et les finalités de la conservation, suivant le modèle esquissé par le Conseil d'État dans sa décision précitée du 21 avril 2021.

Ainsi, le II bis de l'article L. 34-1 oblige désormais les opérateurs à conserver :

- les informations relatives à l'identité civile de l'utilisateur pendant une durée de cinq ans après l'expiration du contrat de la personne concernée, pour les besoins des procédures pénales, de la prévention des menaces contre la sécurité publique et de la sauvegarde de la sécurité nationale ;

- pour les mêmes finalités, les autres informations fournies par l'utilisateur lors de la souscription d'un contrat ou de la création d'un compte ainsi que les informations relatives au paiement, jusqu'à l'expiration d'un délai d'un an à compter de la fin de validité de son contrat ou de la clôture de son compte ;

- pour les besoins de la lutte contre la criminalité et la délinquance grave, de la prévention des menaces graves contre la sécurité publique et de la sauvegarde de la sécurité nationale, les données techniques permettant d'identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, jusqu'à l'expiration d'un délai d'un an à compter de la connexion ou de l'utilisation des équipements terminaux ;

- s'agissant des autres données de trafic et des données de localisation précisées par un décret en Conseil d'État, le III du même article L. 34-1 prévoit que les opérateurs sont obligés de les conserver, pendant une durée d'un an, pour des motifs tenant à la sauvegarde de la sécurité nationale, lorsqu'ils y sont enjoints par le Premier ministre dès lors que celui-ci constate une menace grave, actuelle ou prévisible, contre la sécurité nationale.

L'article précise que les données conservées par les opérateurs en application de ces différentes obligations peuvent faire l'objet d'une injonction de conservation rapide par les autorités disposant, en application de la loi, d'un accès aux données relatives aux communications électroniques à des fins de prévention et de répression de la criminalité, de la délinquance grave et des autres manquements graves aux règles dont elles ont la charge d'assurer le respect, afin que ces autorités puissent accéder à ces données^91(*).

Obligations de conservation des données de connexion par les opérateurs instaurées par la loi n° 2021-998 du 30 juillet 2021 relative à la prévention d'actes de terrorisme et au renseignement

Source : Commission des lois du Sénat

On notera que le Sénat, à l'occasion de l'examen de ce texte, avait souhaité que la procédure de « quick freeze » (l'injonction de conservation rapide) soit réservée aux données de localisation et de trafic, ménageant un accès plus aisé aux données d'identification. Cette position n'a pas été suivie par l'Assemblée nationale qui, en nouvelle puis en dernière lecture, a rétabli une rédaction imposant une injonction de conservation rapide pour l'accès des autorités d'enquête à l'ensemble des données de connexion, quelle qu'en soit la nature, alors même que cette exigence ne découle pas de la jurisprudence de la CJUE ou des décisions des cours suprêmes nationales.

Le législateur, suivant l'arrêt du Conseil d'État, a écarté la mise en place d'un mécanisme de conservation « ciblée » des données de connexion utilisables dans le cadre des enquêtes pénales. Plusieurs raisons, d'ordre tant pratique que juridique, s'opposaient en effet à un tel mécanisme :

- il semble difficile de mettre en place des critères de ciblage par personne qui soient non-discriminatoires ;

- le ciblage par zones géographiques se heurte à des obstacles techniques difficilement surmontables et générerait des surcoûts déraisonnables ;

- il n'est pas possible de connaître à l'avance le lieu de la commission d'une infraction grave ou le profil de l'auteur ;

- la conservation ciblée peut avoir pour effet pervers d'inciter les services d'enquête à se tourner vers des techniques plus intrusives ;

- une conservation ciblée inciterait les groupes criminels à développer des stratégies de contournement ;

- il n'existe pas de ligne de démarcation claire entre la criminalité grave et la sûreté de l'État, certaines infractions (comme la criminalité organisée) étant de nature à relever des deux catégories.

En application de la nouvelle rédaction de l'article L. 34-1 du code des postes et des télécommunications électroniques, par trois décrets n° 2021-1363 du 20 octobre 2021, n° 2022-1327 du 17 octobre 2022 et n° 2023-933 du 10 octobre 2023 portant injonction, au regard de la menace grave et actuelle contre la sécurité nationale, de conservation pour une durée d'un an de certaines catégories de données de connexion, le Premier ministre a ainsi enjoint aux opérateurs de communications électroniques et aux fournisseurs de services sur internet de conserver les données de connexion pendant un an.

Source : commission des lois du Sénat

Si plusieurs auteurs ont pu noter que le Conseil d'État avait « sauvé l'essentiel du système français » relatif à la conservation des données^92(*), certaines incertitudes demeurent.

Ainsi, dans le cadre de la lutte contre la criminalité grave, les enquêteurs émettent une réquisition aux opérateurs les enjoignant à conserver temporairement des données ciblées, déjà conservées pour un autre motif. Peuvent être concernées les données du suspect, de son entourage, des victimes, des témoins, ou encore des zones géographique déterminées dès lors qu'elles apparaissent utiles à la manifestation de la vérité. La chambre criminelle de la Cour de cassation a estimé, dans des arrêts en date du 12 juillet 2022^93(*), que les réquisitions délivrées dans le cadre des enquêtes pénales « doivent être analysées comme valant injonction de conservation rapide », lesquelles pouvant résulter d'injonctions de produire^94(*).

La méthode de la conservation rapide constitue donc en pratique, comme l'a souligné la direction des affaires criminelles et des grâces aux rapporteurs dans le cadre de leurs travaux, « une modalité d'accès aux données de connexion déjà conservées pour d'autres finalités ».

La conformité de cette solution avec le droit européen n'est pas tranchée par la jurisprudence de la Cour de justice de l'Union européenne. Ainsi, si le système français a été jugé compatible avec la jurisprudence de la Cour par le Président de cette dernière lors d'une audition de la commission des affaires européenne de l'Assemblée nationale le 18 mai 2021^95(*), la Cour n'en a pas moins précisé, dans ses arrêts du 5 avril 2022^96(*) et du 20 septembre 2022^97(*), que « l'accès à des données relatives au trafic et à des données de localisation [...] ne peut en principe être justifié que par l'objectif d'intérêt général pour lequel cette conservation a été imposée à ces fournisseurs » et « lorsque ces données ont exceptionnellement été conservées de manière généralisée et indifférenciée à des fins de sauvegarde de la sécurité nationale contre une menace qui s'avère réelle et actuelle ou prévisible [...], les autorités nationales compétentes en matière d'enquêtes pénales ne sauraient accéder auxdites données dans le cadre de poursuites pénales, sous peine de priver de tout effet utile l'interdiction de procéder à une telle conservation aux fins de la lutte contre la criminalité grave ». Il en résulte clairement que la Cour interdit d'accéder à une donnée pour une finalité présentant un intérêt « inférieur » à celui de la finalité pour laquelle la donnée a été conservée initialement.

Par ailleurs, la notion d'injonction de conservation rapide provient de la Convention de Budapest sur la cybercriminalité^98(*). Celle-ci, notamment dans ses articles 16 et 17, ne permet pas de savoir si cette injonction permet d'accéder aux données déjà conservées ou n'autorise qu'une conservation pour l'avenir et pour une durée limitée.

La Cour de justice de l'Union européenne ne s'est donc pas prononcée sur la portée exacte qu'elle entend conférer à l'injonction de conservation rapide. En résumé, si elle prohibe clairement l'accès, pour les besoins de la lutte contre la criminalité, aux données conservées pour la sauvegarde de la sécurité nationale, elle ne dit rien sur la possibilité d'ajouter, par le biais de l'injonction de conservation rapide, les besoins des enquêtes pénales aux finalités premières ayant justifié leur conservation.

Comme le relevait la commission des lois du Sénat dans son rapport en première lecture sur le projet de loi relatif à la prévention d'actes de terrorisme et au renseignement^99(*), si le dispositif adopté en 2021 préserve les capacités opérationnelles des services de renseignement, il « peut fragiliser les pouvoirs d'enquête en matière judiciaire » puisqu'il marque un changement de taille : l'accès aux données de connexion, par le passé possible pour tout type d'enquête, se trouve restreint par le texte à la criminalité et à la délinquance graves.

Appelé à se prononcer sur la conformité à la Constitution de l'accès aux données de connexion sous l'angle du cadre juridique d'enquête, le Conseil constitutionnel a considéré, par trois décisions rendues à la suite de questions prioritaires de constitutionnalité, que :

- la réquisition des données de connexion prévue par les articles 77-1-1 et 77-1-2 du code de procédure pénale dans le cadre d'une enquête préliminaire était contraire à la Constitution dans la mesure où elle pouvait porter sur tout type d'infraction et n'était ni justifiée par l'urgence ni limitée dans le temps : ainsi, bien que soumises à l'autorisation du procureur de la République, chargé de contrôler la légalité des moyens mis en oeuvre par les enquêteurs et la proportionnalité des actes d'investigation au regard de la nature et de la gravité des faits, cette possibilité n'était pas assortie de garanties suffisantes^100(*) ;

- à l'inverse, la réquisition de données prévue par les articles 60-1 et 60-2 du code de procédure pénale était conforme à la Constitution, notamment parce qu'elle était limitée aux cas d'enquêtes portant sur un crime flagrant ou un délit flagrant puni d'une peine d'emprisonnement et parce que la durée de cette enquête était limitée à 8 jours^101(*), offrant des garanties suffisantes et constituant une conciliation équilibrée entre l'objectif de valeur constitutionnelle de recherche des auteurs d'infractions et le droit au respect de la vie privée^102(*) ;

- la réquisition de données de connexion prévue par les articles 99-3 et 99-4 du code de procédure pénale était également conforme à la Constitution, dans la mesure où elle intervient à l'initiative du juge d'instruction, « magistrat du siège dont l'indépendance est garantie par la Constitution », ou d'un officier de police commis par lui, dans un cadre clairement défini (celui de l'information judiciaire) et dans les conditions précisément fixées par une commission rogatoire^103(*).

En conséquence de la première décision, le législateur est intervenu pour restreindre l'accès aux données de connexion aux enquêtes pénales sur les cas les plus graves. C'est ainsi que la loi n° 2022-299 du 2 mars 2022 visant à combattre le harcèlement scolaire a introduit un nouvel article 60-1-2 dans le code de procédure pénale. Cet ajout vise à répondre à la demande de garanties formulée par le Conseil constitutionnel en décembre 2021.

Ce nouvel article 60-1-2 du code de procédure pénale précise que l'accès aux données de trafic et de localisation n'est possible en enquête préliminaire, en enquête de flagrance et en enquête sur commission rogatoire, à peine de nullité, que « si les nécessités de la procédure l'exigent » et dans quatre cas limitativement énumérés :

- lorsque la procédure porte sur un crime ou sur un délit puni d'au moins trois ans d'emprisonnement ;

- lorsque la procédure porte sur un crime ou un délit puni d'au moins un an d'emprisonnement, que celui-ci a été commis par l'utilisation d'un réseau de communication électronique et que les réquisitions ont pour seul objet d'identifier l'auteur de l'infraction ;

- lorsque les réquisitions portent sur les équipements de la victime et interviennent à la demande de celle-ci, pour des délits punis d'une peine d'emprisonnement ;

- lorsqu'elles tendent à retrouver une personne disparue ou à retracer un parcours criminel pour un crime sériel ou non-élucidé.

Le Conseil constitutionnel, dans son commentaire de la décision QPC du 20 mai 2022^104(*), a souligné que les modifications réalisées par la loi n° 2022-299 du 2 mars 2022 visant à combattre le harcèlement scolaire, « ont eu pour objet de renforcer les garanties entourant la réquisition de données de connexion ».

Appelée à se prononcer, la chambre criminelle de la Cour de cassation a estimé, dans des arrêts en date du 12 juillet 2022^105(*), que l'accès aux données de connexion pour les besoins des enquêtes pénales n'est possible que pour les affaires relevant de la criminalité grave, conformément aux exigences de la Cour de justice de l'Union européenne.

La Cour de cassation a précisé qu'en l'absence de définition nationale ou européenne de la notion de « criminalité grave », il revenait au juge du fond la responsabilité d'examiner, au cas par cas, si la nature de l'infraction relevait de la « criminalité grave » au sens de la décision de la Cour de Luxembourg et donc si elle justifiait un accès aux données de connexion. Selon la note explicative accompagnant les arrêts du 12 juillet 2022, cette appréciation doit notamment s'effectuer « au regard de la nature des agissements de la personne poursuivie, du montant du préjudice qui en résulte, des circonstances de la commission des faits et de la durée de la peine encourue »^106(*).

Ces critères, qui constituent un faisceau d'indices, ne doivent cependant pas être interprétés comme étant cumulatifs. Dès lors, la gravité de l'infraction réalisée est appréciée :

- d'une part, au regard de l'infraction visée et de la peine d'emprisonnement encourue ;

- d'autre part, au regard des circonstances de l'espèce, appréciation qui peut être faite au cas par cas en application des principes de nécessité et de proportionnalité.

À ce jour, la chambre criminelle de la Cour de cassation a ainsi jugé qu'entrent dans le champ de la criminalité grave, par exemple, « les faits de trafic de stupéfiants au sein d'une maison d'arrêt et de corruption de fonctionnaires »^107(*) ou encore les faits de « banditisme violent, organisé et transfrontalier, association de malfaiteurs, détentions d'armes et explosifs en lien avec la possibilité préparation d'attaques »^108(*).

Cependant, comme l'a rappelé son président, Nicolas Bonnal, aux rapporteurs, en l'état, la seule qualification des faits ne peut suffire à établir la nécessité et la proportionnalité de l'accès aux données de connexion : il appartient aux magistrats, y compris du ministère public, d'exercer un contrôle de la nécessité du recours aux données de connexion au regard des circonstances de l'espèce.

En renvoyant au parquet ou au juge d'instruction la responsabilité de rattacher l'infraction à la criminalité grave, cette jurisprudence a eu deux conséquences principales :

- d'une part, une absence d'harmonisation dans les critères d'accès aux données de connexion, qui peuvent ainsi varier en fonction des Parquets, lesquels peuvent réaliser un contrôle d'opportunité et de proportionnalité différent ;

- d'autre part, un formalisme accru pour justifier et obtenir une autorisation d'accès aux données de connexion, les enquêteurs devant désormais justifier de la nécessité et de la proportionnalité de l'acte envisagé au regard de la gravité de l'infraction et de l'intérêt de l'enquête.

Tout l'enjeu réside ainsi, pour les services d'enquêtes et les procureurs, dans ce que recouvre cette notion de « criminalité et délinquance graves », traduction législative française de la notion de « criminalité grave » utilisée par la Cour de justice de l'Union européenne. Cette dernière avait ainsi précisé, au point 135 de son arrêt Quadrature du net^109(*), que la criminalité grave « [correspondait] à l'intérêt primordial de protéger les fonctions essentielles de l'État et les intérêts fondamentaux de la société et [incluait] la prévention et la répression d'activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d'un pays, et en particulier à menacer directement la société, la population ou l'État en tant que tel, telles que notamment des activités de terrorisme ». Cette définition a été reprise par le Conseil d'État au point 42 de son arrêt French Data Network, en date du 21 avril 2021. La commission des lois du Sénat avait également relevé, dans son rapport sur la loi n° 2021-998 du 30 juillet 2021 relative à la prévention d'actes de terrorisme et au renseignement, que la directive du 27 avril 2016 relative à l'utilisation des données des dossiers passagers (PNR) fixait le niveau de gravité par référence à une peine privative de liberté ou d'une mesure de sûreté d'une durée maximale d'au moins trois ans.

La Cour de cassation, dans ses arrêts du 12 juillet 2022, n'a pas souhaité fixer de seuil de peine d'emprisonnement pour rattacher une infraction à la criminalité grave. Elle considère que l'appréciation de cette notion « relève du droit national ». Cette solution est cohérente avec la position défendue par la France au sein des instances européennes. Le Gouvernement a ainsi soutenu dans le cadre de procédures préjudicielles que la définition de la criminalité grave relève de la compétence des États membres et qu'elle doit pouvoir être principalement opérée par l'échelle des peines.

Pour ce faire, le Gouvernement s'appuie sur les termes de l'article 83, paragraphe 2 du Traité sur le fonctionnement de l'Union européenne, qui dispose que c'est seulement dans les cas où l'harmonisation du droit pénal des États membres « s'avère indispensable pour assurer la mise en oeuvre efficace d'une politique de l'Union dans un domaine ayant fait l'objet de mesures d'harmonisation » que l'Union peut adopter des directives visant à « établir des règles minimales relatives à la définition des infractions pénales et des sanctions dans le domaine concerné ».

La question du bon niveau de définition de la notion de criminalité grave semble toutefois diviser la Cour de justice de l'Union européenne elle-même. Ainsi, dans ses conclusions rendues le 8 juin 2023 dans l'affaire Tribunale di Bolzano, l'avocat général Collins a souligné la nécessité de laisser aux législateurs nationaux le soin de définir la notion de criminalité grave, privilégiant une approche au cas par cas dans laquelle la juridiction ou l'autorité administrative indépendante chargée d'autoriser l'accès aux données doit exercer, d'une part, un contrôle objectif de l'appartenance d'une infraction, en vertu du droit national, à la catégorie de « criminalité grave » et, d'autre part, un contrôle in concreto de la proportionnalité de l'ingérence^110(*). En revanche, les conclusions de l'avocat général Szpunar présentées le 27 octobre 2022 dans l'affaire Quadrature du net proposent que la notion de « criminalité grave » reçoive une interprétation autonome en droit de l'Union. Selon lui, une telle notion « ne saurait dépendre des conceptions de chaque État membre sauf à permettre un contournement des exigences de l'article 15, paragraphe 1, de la directive 2002/58 selon que les États membres adoptent une conception extensive ou non de la lutte contre la criminalité grave »^111(*). Suite à la réouverture de la phase orale, les secondes conclusions de l'avocat général Szpunar présentées le 28 septembre 2023 maintiennent cette position mais de manière plus discrète, ce point n'étant abordé que dans une note de bas de page. L'avocat général envisage cependant la possibilité que la notion soit définie par les États membres, indiquant dans cette même note que « même si la Cour venait à juger que la définition de la notion de `criminalité grave' est laissée aux États membres, celle-ci devrait en tout état de cause être établie dans les limites du droit de l'Union et ne pourrait être étendue au point de vider cette disposition de sa substance »^112(*). La solution de la Cour dans chacune de ces affaires est ainsi très attendue, compte tenu notamment des négociations législatives en cours au sein du Conseil de l'Union européenne.

Par ses décisions successives, la Cour de justice de l'Union européenne a jugé que toute réquisition portant sur l'accès à des données de connexion devait être soumise au contrôle préalable d'une juridiction ou d'une autorité administrative indépendante dotée d'un pouvoir contraignant. Tout au plus admet-elle qu'en cas d'urgence, ce contrôle intervienne a posteriori, pourvu que cela soit à bref délai (voir supra).

En toute hypothèse, l'autorité chargée du contrôle doit être distincte et indépendante de celle qui requiert l'accès aux données. Dans son arrêt H.K. c/ Prokuratuur du 2 mars 2021, elle a ainsi expressément jugé que le ministère public estonien, qui dirige la procédure d'enquête et exerce, le cas échéant, l'action publique, ne répondait pas aux conditions posées pour autoriser l'accès d'une autorité publique aux données de connexion.

Par ses arrêts du 12 juillet 2022, la Cour de cassation a été invitée à tirer les conséquences de cette jurisprudence sur la conformité de la procédure pénale française à ces exigences.

À cette aune, elle a jugé que le juge d'instruction, qui non seulement n'est pas une partie à la procédure mais une juridiction, et de plus n'exerce pas l'action publique mais statue de façon impartiale sur le sort de celle-ci, pouvait valablement contrôler l'accès aux données de connexion. Si cette position, que certaines personnes entendues par les rapporteurs ont qualifiée de discutable - dès lors qu'il pourrait être objecté que le juge d'instruction n'est pas parfaitement extérieur à l'enquête qu'il contrôle -, est conforme à la conception française de la procédure d'instruction et aux garanties d'indépendance dont celle-ci est entourée, elle ne s'applique toutefois en pratique qu'à une part infime des enquêtes pénales, en général les plus complexes, du fait de la marginalisation progressive du recours à l'information judiciaire dans la justice pénale depuis de nombreuses années^113(*).

En revanche, et sans surprise au regard des décisions précitées, la Cour de cassation n'a pu que constater que les dispositions du code de procédure pénale relatives aux enquêtes préliminaires et aux enquêtes en flagrance, qui sont placées sous le seul contrôle du parquet et représentent l'immense majorité des enquêtes pénales aujourd'hui, étaient contraires au droit de l'Union européenne en ce qu'elles ne prévoient pas un contrôle préalable par une juridiction ou une entité administrative indépendante : le procureur de la République, qui dirige l'enquête, ne peut donc pas valablement contrôler l'accès aux données de connexion requis pour les besoins de celle-ci.

La Cour de cassation a toutefois jugé que cette absence de contrôle préalable indépendant n'entraînerait la nullité de la procédure réalisée dans ces conditions irrégulières que si le requérant établit l'existence d'une ingérence injustifiée dans sa vie privée et dans ses données à caractère personnel, c'est-à-dire s'il démontre qu'un contrôle préalable aurait permis de constater que les conditions de fond pour l'accès à ses données n'étaient pas réunies. Dans le cas contraire, en l'absence de ce préjudice, l'acte accompli sans le contrôle préalable indépendant requis par la jurisprudence de la Cour de justice pourra être admis par la juridiction.

Cette position, dont Nicolas Bonnal, président de la chambre criminelle de la Cour de cassation, a rappelé qu'elle n'était que la déclinaison du principe « pas de nullité sans grief »^114(*), a été décriée tant par la doctrine que par une partie des magistrats.

Les représentants de la conférence nationale des procureurs de la République ont notamment insisté sur la position délicate dans laquelle ces décisions les placent, en les autorisant implicitement à continuer à requérir des données de connexion tout en jugeant expressément qu'une telle pratique n'est pas conforme au droit. Ces magistrats y voient à la fois une source d'insécurité juridique et une négation des termes de leur serment^115(*).

La doctrine, quant à elle, en a appelé à une rapide clarification du droit par le législateur^116(*).

Au surplus, la question reste posée de la possibilité, aux yeux de la CJUE, pour le juge d'instruction d'assurer ce même rôle de contrôle des accès aux données de connexion dans la mesure où, bien que rattaché au siège, il ne saurait être vu comme indépendant vis-à-vis d'une enquête qu'il dirige.

* ⁸⁵ Prévue par le II du même article.

* ⁸⁶ Cour de justice de l'Union européenne, arrêt « La Quadrature du net » du 6 octobre 2020 (affaires C 511/18, C 512/18 et C 520/18).

* ⁸⁷ Conseil constitutionnel, décision n° 2021-976/977 QPC du 25 février 2022.

* ⁸⁸ Qui correspond à la version décrite ci-avant et diffère de la version en vigueur lors de la décision du Conseil constitutionnel.

* ⁸⁹ Conseil d'État, Ass., 21 avril 2021, French Data Network et autres, n° 393099. Cette décision est consultable sur le site du Conseil d'État.

* ⁹⁰ Conseil d'État, Ass., 21 avril 2021, French Data Network et autres, n° 393099. Le Conseil d'État a, plus encore, estimé que « ni l'accès aux données de connexion conservées volontairement par les opérateurs, ni la possibilité de leur imposer une obligation de conservation ciblée, ni le recours à la technique de la conservation rapide ne permettent, par eux-mêmes, de garantir le respect des objectifs de valeur constitutionnelle de prévention des atteintes à l'ordre public, notamment celle des atteintes à la sécurité des personnes et des biens, ainsi que de recherche des auteurs d'infractions, notamment pénales ».

* ⁹¹ III bis du même article L. 34-1 du code des postes et des communications électroniques.

* ⁹² Voir notamment l' article de Marie-Christine de Montecler, « Conservation des données : la guerre des juges n'aura pas lieu », Dalloz actualité, 29 avr. 2021 à propos de l'arrêt CE 21 avr. 2021, req. n° 93099.

* ⁹³ Cour de cassation, arrêts de la chambre criminelle du 12 juillet 2022, pourvois n° 21-83.710, 21-83.820, 21-84.096 et 20-86.652. Une note explicative relative à ces arrêts est consultable sur le site de la cour de cassation.

* ⁹⁴ Cour de cassation, crim., 12 juillet 2022, n° 21-83.710 (§34).

* ⁹⁵ Le compte rendu de cette réunion est consultable sur le site de l'Assemblée nationale.

* ⁹⁶ Affaire C-140/20, Commissioner of the Garda Síochána e.a. (Dwyer).

* ⁹⁷ Affaires jointes C-793/19 et C-794/19, SpaceNet.

* ⁹⁸  Consultable sur le site : https://www.coe.int.

* ⁹⁹  Rapport n° 694 (2020-2021) de Marc-Philippe Daubresse et Agnès Canayer sur le projet de loi relatif à la prévention d'actes de terrorisme et au renseignement, déposé le 16 juin 2021.

* ¹⁰⁰ Conseil constitutionnel, décision n° 2021-952 QPC du 3 décembre 2021.

* ¹⁰¹ Cette durée est renouvelable sur décision du procureur de la République, mais seulement dans l'hypothèse où l'enquête porte sur un crime ou un délit puni d'une peine d'emprisonnement égale ou supérieure à cinq ans et si les investigations ne peuvent être différées.

* ¹⁰² Conseil constitutionnel, décision n° 2022-993 QPC du 20 mai 2022.

* ¹⁰³ Conseil constitutionnel, décision n° 2022-1000 QPC du 17 juin 2022.

* ¹⁰⁴  Consultable sur le site du Conseil constitutionnel.

* ¹⁰⁵ Cour de cassation, arrêts de la chambre criminelle du 12 juillet 2022, pourvois n° 21-83.710, 21-83.820, 21-84.096 et 20-86.652. Une note explicative relative à ces arrêts est consultable sur le site de la cour de cassasstion.

* ¹⁰⁶ Ainsi, le simple quantum de la peine encourue ne suffit pas à qualifier l'appartenance de l'infraction à la « criminalité grave ».

* ¹⁰⁷ Crim., 11 octobre 2022, n° 22-81.244.

* ¹⁰⁸ Crim., 15 novembre 2022, n° 21-87.449.

* ¹⁰⁹ Cour de justice de l'Union européenne, arrêt « La Quadrature du net » du 6 octobre 2020 (affaires C 511/18, C 512/18 et C 520/18).

* ¹¹⁰  Conclusions de l'avocat général Anthony M. Collins, présentées le 8 juin 2023 sur l'affaire C-178/22.

* ¹¹¹  Premières conclusions de l'avocat général Maciej Szpunar, présentées le 27 octobre 2022 sur l'affaire C-470/21.

* ¹¹²  Secondes conclusions de l'avocat général Maciej Szpunar, présentées le 28 septembre 2023 sur l'affaire C-470/21.

* ¹¹³ D'après les chiffres publiés par le ministère de la justice, les parquets ont enregistré plus de 3 millions d'affaires nouvelles en 2021, quand les juges d'instruction ont été saisis d'un peu moins de 18 000 affaires cette même année, ce qui représente moins de 1% des affaires enregistrées par les parquets (source : Chiffres clés, édition 2022, publié sur le site Internet du ministère de la justice).

* ¹¹⁴ En l'espèce, il s'agit de nullités qualifiées « d'intérêt privé ».

* ¹¹⁵ Pour mémoire, tout magistrat, lors de sa nomination à son premier poste, et avant d'entrer en fonctions, prête serment en ces termes : "Je jure de bien et fidèlement remplir mes fonctions, de garder le secret des délibérations et de me conduire en tout comme un digne et loyal magistrat."

* ¹¹⁶ Voir par exemple "Procédure pénale - Contrôle de l'accès aux données de connexion devant la chambre criminelle de la Cour de cassation. - Comment reprendre d'une main ce que l'on a donné de l'autre ! - Aperçu rapide par Antoine Botton" La Semaine Juridique - Édition générale n° 38 du 26 septembre 2022. Ou « L'accès aux données de connexion : les affres du pluralisme normatif », Amane Gogorza,LexisNexis Sa - Droit pénal, n°10, octobre 2022.