B. OEUVRER AU DÉVELOPPEMENT DES « SOUPAPES » OUVERTES PAR LA COUR DE LUXEMBOURG ET MIEUX LES INTÉGRER AU DROIT INTERNE
Si elle demeure contestée, la jurisprudence de la CJUE ménage d'ores et déjà des « soupapes » bienvenues qu'il convient de mieux intégrer à notre droit interne.
La première d'entre elles porte sur la différence de régime juridique entre les infractions commises dans le monde physique et les infractions commises en ligne. Déjà consacrée par le droit français, la souplesse accordée aux services d'enquête en matière d'accès aux métadonnées dans la lutte contre la cyber-délinquance (pour mémoire, l'article 60-1-2 du code de procédure pénale prévoit la possibilité d'accéder aux données d'identification pour la recherche des auteurs d'infractions dès lors que celles-ci sont passibles d'au moins un an d'emprisonnement, contre trois ans pour les autres infractions, et qu'elles ont été « commis[es] par l'utilisation d'un réseau de communications électroniques ») pourrait en effet se voir renforcée par l'arrêt de la CJUE dans l'affaire « Hadopi », l'avocat général Szpunar ayant plaidé, dans de nouvelles conclusions présentées le 28 septembre dernier, pour « un développement de la jurisprudence nécessaire et limité » consistant à autoriser une conservation générale et indifférenciée des adresses IP, notamment parce que celles-ci constituent le seul moyen d'investigation permettant l'identification des personnes auxquelles elles étaient attribuées au moment de la commission de l'infraction. Au surplus, l'avocat général a recommandé que soit reconnue la possibilité d'un accès aux adresses IP sans contrôle préalable indépendant et pour « toutes les infractions commises exclusivement en ligne », donc y compris celles qui ne tombent pas dans la catégorie de la « criminalité grave »119(*).
À supposer qu'elles soient suivies par la grande chambre de la CJUE, ces conclusions viendraient donner de nouvelles marges de manoeuvre aux services d'enquête et il conviendrait de les répercuter au sein du code de procédure pénal français, puisqu'elles apparaissent ouvrir un champ d'accès plus large que celui qui a été ménagé par le législateur à compter de 2022. Plus encore, cette évolution pourrait inciter le Parlement à reconsidérer le statut des adresses IP dans la nomenclature des données de connexion, faisant de celles-ci une donnée « hybride » entre identification et trafic, permettant peut-être qu'elles soient plus facilement exploitées au cours des enquêtes pénales120(*).
Proposition n° 5 : Tirer profit des éventuelles évolutions de la position de la CJUE pour, d'une part, renforcer les souplesses d'accès aux données de connexion en matière de lutte contre les infractions commises en ligne et, d'autre part, envisager un assouplissement du régime d'accès aux adresses IP.
* 119 Les conclusions citées sont accessibles sur l site : https://curia.europa.eu
* 120 Cette position est celle qui semble avoir été adoptée par le Portugal, dont le Tribunal constitutionnel a jugé le 19 avril 2022 que « la conservation des adresses IP dynamiques ne constituait pas une ingérence aussi grave que la conservation des données de trafic » ouvrant la voie à l'aménagement de leur régime de conservation (source : réponse écrite du SGAE au questionnaire des rapporteurs).