II. ADAPTER LES NORMES FRANÇAISES À L'IMPÉRATIF D'UN CONTRÔLE PRÉALABLE DES ACCÈS AUX DONNÉES DE CONNEXION DANS LE CADRE DES ENQUÊTES PÉNALES

A. EN FRANCE, UN FORT SENTIMENT D'INSÉCURITÉ JURIDIQUE DES ACTEURS DE L'ENQUÊTE

Les interrogations qui demeurent quant à la conformité du droit national au droit de l'Union européenne conduisent à un fort sentiment d'insécurité de la part de l'ensemble des acteurs de l'enquête : policiers, gendarmes et procureurs de la République essentiellement. Ceux-ci attendent, légitimement, une stabilisation du droit européen et une intervention du législateur français afin de définir les lignes à suivre s'agissant de l'usage des données de connexion dans le cadre des enquêtes pénales.

Ainsi, à la suite des arrêts de la chambre criminelle de la Cour de cassation, la conférence nationale des procureurs de la République a dressé le constat de « l'insécurité juridique majeure à laquelle doit faire face la lutte contre toutes les formes de délinquance », la téléphonie étant « un facteur central dans l'élucidation des affaires, un outil d'enquête tout autant à décharge qu'à charge [...] une technique d'enquête utilisée quotidiennement par les parquets et les services enquêteurs ». « L'impossibilité dans laquelle se trouvent désormais les parquets et les services de police et de gendarmerie de recourir à ces investigations, en dehors du périmètre de la criminalité grave, ainsi que l'absence de définition objective de cette même notion, constituent des obstacles majeurs à l'identification des délinquants et des criminels »121(*).

Ces inquiétudes conduisent à de grandes disparités de l'usage des données de connexion dans les enquêtes pénales. Les procureurs de la République ont adapté leurs instructions en la matière, mais l'on remarque une absence d'harmonisation sur le territoire national. Certains magistrats du parquet refusent ainsi de se retrouver en situation d'ordonner des actes d'enquête selon une procédure déclarée contraire au droit de l'Union européenne, alors même que leur mission est d'appliquer et de faire appliquer le droit. D'autres demandent désormais aux enquêteurs de justifier davantage leurs demandes, aggravant d'autant la charge pesant sur les services exerçant des missions de police judiciaire. D'autres enfin n'ont pas modifié leurs pratiques.

Ces disparités interrogent quant à l'égalité de traitement de nos concitoyens dans le cadre des enquêtes pénales et sont source d'insécurité juridique et de complexité pour les enquêteurs qui peuvent avoir affaire à différents parquets devant lesquelles les façons de procéder divergent.

Les procureurs de la République se sentent également dépossédés, rappelant qu'ils accomplissent au quotidien, dans leur mission de direction des enquêtes, un contrôle de nécessité et de proportionnalité sur les actes d'enquête et qu'ils sont chargés, en vertu de l'article 39-3 du code de procédure pénale, d'enquêter tant à charge qu'à décharge, dans le respect des droits de la victime, du plaignant et de la personne suspectée.

De manière générale, les arrêts de la chambre criminelle de la Cour de cassation ont eu un effet notable sur l'évolution du nombre de réquisitions dans le cadre des enquêtes pénales. Ainsi, alors que le nombre de réquisitions augmentait d'environ 10 % chaque année122(*) et que le début de l'année 2022 suivait la même tendance, le nombre total de réquisitions portant sur les données d'identification, de trafic et de localisation s'est élevé à 2 849 125 en 2022 contre 2 838 989 en 2021, soit une hausse de 0,36 %, très éloignée des hausses constatées les années précédentes123(*). Depuis juillet 2022, le nombre de réquisitions a toujours été inférieur à celui des années précédentes.

Source : direction des affaires criminelles et des grâces

Conscient de ces difficultés, le Gouvernement a chargé Alexandre Lallet, rapporteur public du Conseil d'État sur la décision French data network du 21 avril 2021, d'une mission sur les conditions d'accès aux données de trafic et de localisation par les acteurs de l'enquête pénale. Ce dernier devra rendre ses conclusions d'ici au début de l'année 2024.

Les rapporteurs considèrent que ces incertitudes et disparités plaident pour une évolution de la législation française afin d'y mettre fin et de définir des lignes claires d'usage des données de connexion dans les enquêtes pénales. La question principale est celle de la temporalité de cette évolution. Celle-ci devra être suffisamment rapide au regard des risques que fait actuellement peser sur les procédures l'existence d'un contrôle seulement a posteriori, tout en s'inscrivant dans un temps suffisamment long afin que l'institution d'un nouveau contrôle, cette fois a priori, puisse être rendue réalisable par le déploiement d'outils informatiques permettant d'en limiter les effets pratiques pour les enquêteurs. Les rapporteurs estiment ainsi réaliste et souhaitable une évolution de la législation à un horizon de deux ou trois ans.

L'évolution de la législation sur ce sujet gagnerait de fait à s'inscrire dans le cadre de la clarification et la restructuration du code de procédure pénale envisagée par le projet de loi d'orientation et de programmation du ministère de la justice 2023-2027. Les rapporteurs considèrent en effet nécessaire qu'une véritable évolution du code de procédure pénale intervienne, ce qui revient à s'inscrire dans un mouvement de réforme et non une simple refonte.

B. ADAPTER LES MODALITÉS DE CONTRÔLE DE L'ACCÈS AUX DONNÉES DE CONNEXION AUX CONTRAINTES DU TERRAIN

1. Un contrôle exigeant

La jurisprudence de la Cour de justice de l'Union européenne exige qu'un contrôle préalable aux demandes d'accès aux données de connexion dans le cadre des enquêtes pénales soit réalisé. Elle réserve cependant aux demandes d'accès aux données de trafic et de localisation l'exigence d'un contrôle préalable par une juridiction ou une autorité administrative indépendante dotée d'un pouvoir contraignant.

Dans ces conditions, et par analogie avec le règlement e-evidence124(*), il semble possible de permettre au parquet d'exercer le contrôle des demandes d'accès aux données d'identification. Ces accès, dont le nombre s'est élevé à 945 432 en 2022 contre 1 029 153 en 2021125(*), présentent en effet une atteinte moindre à la vie privée puisqu'ils ne permettent pas de retracer les contacts et les trajets des personnes.

De la même manière, et sous réserve de l'arrêt qui sera rendu en fin d'année 2023 ou en début d'année 2024 par la Cour de justice de l'Union européenne dans le cadre de l'affaire dite « Hadopi », il paraît possible de prévoir le même mécanisme de contrôle par le Parquet pour l'accès aux adresses IP dans le cadre d'infractions commises en ligne, dès lors que l'accès à ces données est le seul moyen d'identifier l'auteur de l'infraction. Cette solution suivrait les préconisations de l'avocat général Szpunar dans ses conclusions rendues le 28 septembre 2023126(*).

Proposition n° 6 : Permettre au parquet d'exercer le contrôle des demandes d'accès aux données de connexion aux seules fins d'identification.

2. Un contrôle pleinement conforme aux exigences de la CJUE

La Cour de justice de l'Union européenne esquisse deux pistes dans l'élaboration d'un contrôle a priori pour l'accès aux données de connexion dans le cadre des enquêtes pénales : un contrôle par une autorité indépendante dotée d'un pouvoir contraignant. Cette autorité de contrôle serait chargée de vérifier a priori que l'accès à ces données s'effectue bien dans le respect des critères définis par la Cour, c'est-à-dire qu'il concerne des affaires liées à la « criminalité grave », et qu'il est nécessaire et proportionné aux exigences de l'enquête.

Les rapporteurs ont souhaité explorer l'ensemble des pistes envisagées par la Cour de justice afin de déterminer laquelle était la mieux adaptée à notre système juridique et judiciaire.

a) La piste d'un contrôle par une entité indépendante

S'agissant du contrôle exercé par une autorité indépendante, plusieurs hypothèses ont été évoquées à l'occasion des travaux des rapporteurs.

La première est celle d'une autorité administrative indépendante, qui serait chargée de rendre des avis sur les demandes d'accès aux données de connexion dans le cadre des enquêtes pénales. En raison du principe de séparation des pouvoirs, seule une procédure d'avis serait juridiquement envisageable, sur le modèle de la commission nationale de contrôle des techniques de renseignement. En cas d'avis favorable, l'autorisation serait réputée accordée. En cas de doute ou d'avis défavorable à l'inverse, la demande serait transmise à un juge chargé d'effectuer un contrôle et d'autoriser ou de refuser l'accès demandé. Cette solution présente toutefois une faiblesse insurmontable : son absence probable de conformité à la jurisprudence de la Cour de justice de l'Union européenne qui exige un contrôle préalable obligatoire et systématique. Par ailleurs, une telle solution souffrirait sans doute d'une faible acceptabilité de la part des magistrats.

La seconde piste de réflexion évoquée est celle d'une autorité nationale indépendante, composée de magistrats et éventuellement rattachée à la Cour de cassation. Les rapporteurs ont cru devoir également éloigner cette solution. Celle-ci ne serait pas opérationnellement viable en raison, d'une part, des moyens à engager pour mettre en oeuvre une telle proposition, s'agissant tant des effectifs que des moyens informatiques et, d'autre part, de la nécessité de conserver une proximité dans la connaissance des dossiers entre l'autorité de contrôle, les services d'enquête demandeurs et les autorités de direction d'enquête.

Une troisième piste de réflexion consiste à rattacher ce contrôle à l'agence nationale des techniques d'enquêtes numériques judiciaires (ANTENJ), déjà chargée de la mise en oeuvre de la plate-forme nationale des interceptions judiciaires (PNIJ). Cette agence pourrait en effet intégrer un contrôle au sein de la mise en oeuvre de la plateforme. Cette solution se heurte cependant aux mêmes objections que la précédente, et fait également peser des risques organisationnels, informatiques et techniques sur la plateforme elle-même alors que le bon fonctionnement de l'outil est aujourd'hui salué par l'ensemble des services d'enquête.

Enfin, une dernière piste de réflexion évoquée a été celle d'une autorité indépendante locale rattachée au parquet - par exemple au procureur général qui est chargé de par la loi de la surveillance des enquêtes. Si cette solution a l'avantage de maintenir une certaine proximité entre l'autorité de contrôle et le service demandeur, elle se heurte au risque de contrariété à la jurisprudence de la Cour de justice de l'Union européenne. En étant rattachée au parquet en effet, qui a un rôle soit de direction des enquêtes soit de surveillance des enquêtes - selon qu'il s'agit du procureur de la République ou du procureur général -, les rapporteurs considèrent qu'il existe une forte probabilité que la Cour considère cette autorité comme étant impliquée dans la conduite de l'enquête pénale en cause, alors que la non-implication dans l'enquête est une condition posée par sa jurisprudence127(*).

b) La piste d'un contrôle par une juridiction

Les rapporteurs considèrent en conséquence plus pertinente, crédible et réaliste la piste d'un contrôle préalable exercé par une juridiction. Dans le système judiciaire français, un juge, le juge des libertés et de la détention, dispose déjà de prérogatives en matière de protection la liberté individuelle. Il est ainsi chargé, dans la procédure pénale, d'autoriser certaines mesures d'enquêtes particulièrement attentatoires aux libertés.

Ajouter le contrôle des autorisations d'accès aux données de connexion, en particulier aux données de trafic et de localisation, aux compétences du juge des libertés et de la détention s'inscrirait ainsi dans la logique des prérogatives déjà attribuées à cette entité. Cette solution paraît aux rapporteurs être la réponse la plus forte quant aux exigences de la jurisprudence de la Cour de justice de l'Union européenne et la plus conforme avec notre logique judiciaire nationale.

Elle s'inscrirait en sus dans le mouvement actuel de recentrage du juge de la liberté et de la détention sur ses compétences en matière de procédure pénale. Le projet de loi d'orientation et de programmation du ministère de la justice 2023-2027 a ainsi transféré les compétences civiles exercées par le juge des libertés et de la détention en matière de contentieux des étrangers et d'hospitalisations sous contrainte à un magistrat du siège du tribunal judiciaire.

Cette solution n'est cependant pas sans soulever de nombreuses questions. Toutes ont trait à la capacité des juges des libertés et de la détention à faire face à ce nouveau contrôle, qui s'annonce massif, dans un contexte de désaffection de cette fonction : même si le présent rapport comporte des pistes pour limiter la charge induite par le contrôle de l'accès aux données de connexion, celui-ci demeurera une mission nouvelle qui viendra s'ajouter aux tâches déjà exercées par les magistrats et se traduira inévitablement par un besoin en effectifs qu'il sera nécessaire de quantifier en fonction des arbitrages finalement rendus.

Il convient ainsi de se donner le temps de construire les outils nécessaires au bon traitement de ce contrôle par les juges des libertés et de la détention, en lien avec le parquet et les services d'enquête.

De nombreuses réponses devront encore être apportées, s'agissant du périmètre du contrôle effectué (étendu à l'ensemble des demandes d'accès aux données de connexion ou restreint aux demandes d'accès aux données de trafic et de localisation), de celui des autorisations (données par ligne ou par enquête, voire les deux) ou encore du système informatique pouvant être adopté. S'agissant de ce dernier point, les rapporteurs considèrent que le plus efficace et adapté serait la conception d'un système informatique reliant services d'enquête, procureurs et juges des libertés et de la détention, dans lequel les services d'enquêtes effectueraient une demande motivée d'accès aux données de connexion qui serait transmise au parquet. Ce dernier l'autoriserait dans le cas des demandes d'accès à des données d'identification, tandis qu'il donnerait un avis sur les demandes d'accès aux données de trafic et de localisation. Les demandes validées par le parquet seraient alors transmises au juge des libertés et de la détention qui se chargerait de les autoriser.

Ce système informatique de visas (dont les modalités de fonctionnement concret et l'interaction avec d'autres applicatifs ou d'autres chantiers informatiques en cours sont détaillées dans le III ci-après) aurait deux avantages principaux : la rapidité et l'allègement de la charge procédurale, d'une part, et la traçabilité des demandes et autorisations accordées, d'autre part. Cela représenterait en effet un véritable gain de temps pour les parquets, temps qui pourrait être réinvesti dans leurs missions de direction et de contrôle des enquêtes.

Schéma du système proposé de demandes d'accès aux données de connexion
dans le cadre des enquêtes pénales

Source : Commission des lois du Sénat

De ces réponses dépendra le nombre de juges des libertés et de la détention à mobiliser et l'organisation qui devra être choisie pour assurer ce contrôle massif.

Dans l'attente, les rapporteurs n'ont pas souhaité trancher pour une organisation particulière, plusieurs solutions étant envisageables. La première est d'attribuer cette mission aux juges locaux des libertés et de la détention, la seconde consiste à créer un groupement dédié de juges des libertés et de la détention placé auprès de la Cour d'appel. Ce rattachement permettrait d'exercer un roulement parmi les juges des libertés et de la détention du ressort, tout en assurant que l'interlocuteur exerçant le contrôle des demandes connaisse les enjeux locaux.

Proposition n° 7 :  Attribuer la mission de contrôle des accès aux données de connexion au juge des libertés et de la détention.

3. Des modalités de contrôle pragmatiques

Quelle que soit l'organisation retenue, les modalités de contrôle devront être pragmatiques. En particulier, et compte tenu des délais nécessairement plus longs qu'aujourd'hui dans lesquels s'inscrira la procédure d'autorisation d'accès aux données de connexion, les rapporteurs considèrent qu'une procédure d'urgence devra être préservée.

Ainsi, en cas d'urgence, les services d'enquêtes devront pouvoir obtenir un accès aux données de connexion après autorisation du Parquet, le contrôle par l'autorité compétente - dans le schéma défini par les rapporteurs, par le juge des libertés et de la détention - étant réalisé a posteriori. Si le contrôle réalisé a posteriori devait conclure à l'absence de correspondance de la demande aux critères gouvernant l'accès aux données de connexion - criminalité grave, nécessité et proportionnalité -, l'accès devrait être interrompu et les données obtenues supprimées sans délai.

Il convient de souligner que cette possibilité d'accès en urgence, conduisant à ce que le contrôle soit réalisé a posteriori, est ouverte en matière de preuve numérique par le projet de règlement européen e-evidence précité et est prévu par de nombreux États membres.

Les rapporteurs considèrent que la définition de l'urgence devrait se rapprocher de sa définition nationale128(*), c'est-à-dire « résultant d'un risque imminent de dépérissement des preuves ou d'atteinte grave aux personnes ou aux biens »129(*).

Proposition n° 8 : Prévoir, en cas d'urgence, la possibilité d'un accès aux données de connexion avec une autorisation a posteriori.

C. UNE OPPORTUNITÉ POUR UNE REFONTE DU CADRE DE LA PREUVE

De façon plus générale, plusieurs personnes entendues par la mission ont souhaité rappeler que les données de connexion, si elles font l'objet d'un cadre juridique spécifique posé par la Cour de justice, ne sont pour autant qu'une catégorie parmi d'autres de preuves numériques (réquisitions de téléphones, perquisitions informatiques, recours à des « IMSI catchers », etc.), lesquelles ne sont elles-mêmes qu'un sous-ensemble dans l'ensemble des modes de preuves admis par le code de procédure pénale. Soulignant la montée en puissance du recours aux preuves numériques, au détriment des preuves « physiques » (recueil de témoignages, analyses ADN, aveux, etc.), Benoît Auroy, en particulier, a regretté l'absence de régime juridique unifié et plaidé pour la mise en oeuvre, a minima, d'un régime commun applicable à l'ensemble des preuves numériques.

Cette fragmentation du régime juridique de la preuve pénale doit être mise en rapport avec la multitude de réformes intervenues depuis une quinzaine d'années pour adapter au coup par coup les dispositions du code de procédure pénale aux exigences posées par la Cour européenne des droits de l'homme, la Cour de justice de l'Union européenne et le Conseil constitutionnel s'agissant du contrôle des enquêtes par le ministère public. Ces réformes ont conduit à confier le contrôle ou la validation d'un nombre croissant de décisions au juge des libertés et de la détention, sans vision globale sur les tâches dévolues à ce dernier. Tout au plus le projet de loi d'orientation et de programmation du ministère de la justice 2023-2027 a-t-il prévu, suivant la recommandation formulée par le rapport du comité des États généraux de la justice130(*), de recentrer les missions du juge des libertés et de la détention sur le pénal.

Comme l'a souligné Nicolas Bonnal, président de la chambre criminelle de la Cour de cassation, peut-être est-il temps de replacer le sujet des données de connexion dans une approche plus globale d'une procédure pénale fondée, pour ce qui ne concerne pas les informations judiciaires, sur une articulation mieux établie entre le ministère public, directeur de l'enquête, d'une part, et le juge des libertés et de la détention, chargé du contrôle des actes les plus intrusifs ou attentatoires aux libertés, d'autre part, et de passer ainsi de ce qu'il a appelé « une logique de guichet » à « une logique de cabinet ». Les rapporteurs n'ignorent pas que cette perspective rejoint la réflexion, engagée de longue date131(*) mais à ce jour inaboutie, sur la création d'un véritable juge de l'enquête et des libertés, dont la commission des lois, dans un rapport co-signé par Jean-René Lecerf et Jean-Pierre Michel en décembre 2010, avait tracé les contours132(*).

Proposition n° 9 : En cas de choix du juge des libertés et de la détention pour contrôler l'accès aux données de connexion, engager une réflexion sur le statut et les missions de ce magistrat.

De même, la réflexion actuelle autour de l'encadrement de l'accès aux données de connexion dans le cadre des enquêtes pénales représente une opportunité de revoir l'équilibre actuel de la législation entre protection de la vie privée et recherche des auteurs d'infractions, afin de conserver une graduation dans les procédures en fonction du degré d'intrusivité des actes autorisés. Les rapporteurs considèrent qu'il pourrait être opportun, dans le cadre de la réforme du code de procédure pénale, d'engager une réflexion sur l'encadrement des actes d'enquête afin de faire dépendre l'intensité de cet encadrement de l'ampleur effective de l'impact sur la vie privée.

Proposition n° 10 : Engager une réflexion sur la proportionnalité des actes d'enquête en fonction de leur degré d'intrusion dans la vie privée.

III. GARANTIR LA FLUIDITÉ DE LA CHAÎNE PÉNALE POUR PROTÉGER LES ACTEURS DE L'ENQUÊTE DU « CHOC PROCÉDURAL »

Au-delà des questions liées à l'adaptation de nos normes internes, la refonte du régime d'accès aux données de connexion doit tenir compte de la « vraie vie » des enquêteurs. L'un des principaux enjeux est ainsi que les inévitables réformes à venir ne viennent pas aggraver la crise des vocations dans les services d'enquête et qu'elles ne se fassent pas au prix d'une dégradation des conditions de travail des policiers, des gendarmes et des magistrats. Comme l'a relevé Alexandre Lallet au cours de son audition, la question du « comment contrôler » est au moins aussi importante, voire plus essentielle encore, que celle du « qui contrôle » sur laquelle les débats se sont longtemps concentrés : les rapporteurs, partageant ce constat, appellent ainsi le Gouvernement à anticiper la mise en oeuvre concrète de la réforme et à engager dès maintenant une réflexion dont ils souhaitent qu'elle s'appuie sur les orientations qui suivent.

A. CONFORTER LE RÔLE PIVOT DE LA PNIJ

Comme la première partie du présent rapport le souligne, la PNIJ joue aujourd'hui un rôle pivot dans la pratique de l'enquête pénale. Son utilité fonctionnelle n'est pas son seul atout : elle constitue aussi un garde-fou juridique et elle est, tout autant qu'un outil au service des enquêteurs, un levier de régulation des accès aux données de connexion qui en assure la traçabilité et en garantit la supervision par l'autorité judiciaire.

Dans ce contexte, les rapporteurs estiment nécessaire de conforter ce rôle singulier et de tirer les conséquences de la place centrale que la PNIJ occupe dans le quotidien des services d'enquête.

Cet objectif implique, en premier lieu, de renforcer les actions de formation déployées par ANTENJ auprès des enquêteurs et ce, pour deux raisons complémentaires. La première tient à l'ampleur de la « gamme » de prestations offertes par la PNIJ : le nombre important de types de données accessibles par le biais de la plateforme ainsi que les développements nouveaux qui sont régulièrement apportés à celle-ci impliquent, en effet, un accompagnement des utilisateurs pour expliquer le fonctionnement de l'outil et pour rappeler la manière dont les différentes données peuvent être utilisées, indépendamment ou par « croisement ». Les formations permettront ainsi aux services d'enquête de tirer profit de toutes les potentialités offertes par la PNIJ et de mieux « cibler » les données qui peuvent contribuer à l'élucidation des affaires.

La seconde raison tient, symétriquement, à la nécessité de préserver le principe d'un accès proportionné aux données de connexion. La sensibilité des informations contenues dans la PNIJ doit faire l'objet de rappels clairs et réguliers, et ce constat doit conduire les enquêteurs à limiter leurs accès aux données qui ne sont pas seulement utiles, mais bien nécessaires à la manifestation de la vérité. Si les rapporteurs sont conscients des efforts déjà déployés par les policiers et par les gendarmes pour respecter ce principe, ils relèvent néanmoins que l'habitude semble avoir été prise de demander « en première intention » les factures détaillées d'un suspect, alors même que ces documents, très exhaustifs, font partie de ceux qui révèlent le plus de données de connexion - et, partant, le plus d'éléments sur la vie des personnes concernées, y compris ceux qui n'ont pas de lien avec l'infraction sur laquelle porte l'enquête. Des formations contribueraient indéniablement à faire cesser ce réflexe et à « recentrer » les réquisitions sur des données significatives, sans pour autant obérer les capacités d'enquête des OPJ.

Les rapporteurs rappellent que, pour que de telles formations portent leurs fruits, il est indispensable que les moyens dont dispose ANTENJ soient mis à la hauteur de cette ambition.

Il est, de la même manière, essentiel que les services d'enquête prennent toute leur part au bon fonctionnement de l'Agence. Or, si la gendarmerie est dûment représentée au sein de l'équipe de direction de l'Agence, tel n'est pas le cas de la police, faute de candidat au poste d'officier de liaison : celui-ci est vacant depuis le début de l'année 2021. Les rapporteurs appellent la direction générale de la police nationale à faire en sorte qu'un effectif dédié soit, sans délai, affecté au sein d'ANTENJ pour y jouer le rôle de correspondant auprès de la police, cette interface étant particulièrement précieuse non seulement pour permettre à l'Agence de communiquer de manière fluide avec les services de terrain, mais aussi pour permettre à ces derniers de faire remonter leurs besoins et leurs attentes auprès d'ANTENJ.

Proposition n° 11 :  Renforcer la formation des services enquêteurs au maniement de la PNIJ.

L'affirmation du rôle éminent de la PNIJ passe, par ailleurs, par un meilleur encadrement des usages hors- et para-PNIJ décrits en première partie.

S'agissant du « hors-PNIJ », les rapporteurs rappellent que, sauf impossibilité technique, toutes les demandes d'accès aux données de connexion doivent passer par la plateforme ; les usages contraires doivent, en toute logique, être refusés par le parquet dans son rôle de direction des enquêtes et se traduire par une renonciation à tenir compte des éléments révélés par les données ainsi collectées - et, a fortiori, par un refus de leur mise au dossier.

Pour les demandes qui ne sont pas susceptibles de passer par la PNIJ pour des raisons techniques, et afin d'éviter un mésusage (voire l'envoi aux opérateurs de faux, cette hypothèse n'étant pas un cas d'école comme l'ont révélé les auditions menées dans le cadre de la présente mission), les rapporteurs appellent à la mise en place d'un circuit informatique traçable et standardisé permettant tout à la fois d'authentifier et de contrôler le « hors-PNIJ ».

S'agissant, cette fois, du « para-PNIJ » que constituent les logiciels de rapprochement judiciaire, les rapporteurs, s'ils en reconnaissent l'utilité, estiment toutefois que leur usage devrait être mieux encadré. Certes, ces logiciels font déjà l'objet d'un contrôle ex ante par la Cnil, prévu par le code de procédure pénale et qui permet d'attester d'une gestion des données personnelles conforme au RGPD comme à la loi « informatique et libertés ». En complément, et au vu du rôle majeur de ces outils dans la conduite des enquêtes, les rapporteurs estiment nécessaire que des vérifications complémentaires soient menées sur les autres aspects du fonctionnement de tels logiciels. Ils jugent ainsi indispensable que des contrôles soient mis en place pour attester, d'une part, de la conformité des usages projetés et réalisés au code de procédure pénale et, d'autre part, de l'existence de protections adéquates des données vis-à-vis du risque de cyberattaque.

L'ANSSI semble une candidate naturelle pour exercer le second de ces contrôles, en pleine cohérence avec son périmètre de compétences. Pour le premier contrôle, et à l'image de ce qui est prévu par le code pénal en matière d'interceptions de sécurité et de géolocalisation, le déploiement de logiciels de rapprochement judiciaire touchant les données de connexion devrait, pour l'avenir, supposer l'avis conforme d'un comité consultatif composé a minima de représentants du ministère de l'intérieur (par exemple, la nouvelle Agence du numérique des forces de sécurité intérieure) et du ministère de la justice (en envisageant, en particulier, l'association à ce processus d'ANTENJ).

À l'image de ce qui est prévu pour la PNIJ, une habilitation adaptée pour les personnes ayant accès aux données personnelles exploitées par ces logiciels devrait également être envisagée.

Proposition n° 12 :  Soumettre à un contrôle renforcé l'emploi par les services enquêteurs d'outils de retraitement des données de connexion.

Enfin, les travaux des rapporteurs ont mis en lumière les enjeux créés par l'existence de masses importantes de données personnelles conservées par les opérateurs sous l'effet de l'obligation posée par le code des postes et des communications électroniques. Leur réflexion a, par conséquent, également porté sur les données collectées par les OCE qui viennent « nourrir » la PNIJ.

Si la vulnérabilité face aux attaques venues de l'extérieur des systèmes d'information de tous les opérateurs « historiques » est auditée par l'ANSSI au titre de sa compétence à l'égard des opérateurs d'importance vitale (OIV), et s'ils sont tenus à la mise en oeuvre de mesures diverses - et notamment de procédés d'architecture informatique - visant à limiter l'impact d'éventuels incidents133(*), il n'apparaît pas que l'ANSSI dispose à date d'une pleine compétence de contrôle et de supervision de l'action des opérateurs en matière de données de connexion. Comme le relevait lors de son audition Didier Vidal, administrateur interministériel des communications électroniques de défense, il existe un cadre pénal, fixé par l'article R. 226-1 du code, pour réguler l'emploi de dispositifs techniques permettant les interceptions judiciaires et les géolocalisations en temps réel, ceux-ci devant être autorisés par le Premier ministre assisté par une commission consultative ad hoc dont le secrétariat est confié à l'ANSSI. Or, il n'existe pas de régime analogue pour les dispositifs qui permettent, du côté des opérateurs, la conservation des données et l'accès des enquêteurs à celles-ci.

Selon les rapporteurs, il serait judicieux de renforcer le contrôle de l'ANSSI sur le matériel utilisé par les OCE pour le fonctionnement de leurs « entrepôts » de données afin que l'État puisse s'assurer, a minima avec une procédure d'homologation des équipements mis en oeuvre, de la sécurité des données de connexion.


* 121  Communiqué de presse du conseil d'administration de la Conférence nationale des procureurs de la République, sur les conséquences des arrêts de la Cour de cassation relatifs aux donnes de connexion pour la lutte contre la délinquance, 15 juillet 2022.

* 122 Hors crise sanitaire, les demandes de données de connexion ont ainsi connu une croissance continue au cours des dernières années. Cette croissance s'explique par le recours de plus en plus systématique à la preuve numérique dans une société elle-même numérique, et par la facilité d'usage permise par la plateforme nationale des interceptions judiciaires (PNIJ).

* 123 Selon les informations transmises par la direction des affaires criminelles et des grâces aux rapporteurs dans le cadre de leurs travaux.

* 124  Règlement (UE) 2023/1543 du Parlement européen et du Conseil du 12 juillet 2023 relatif aux injonctions européennes de production et aux injonctions européennes de conservation concernant les preuves électroniques dans le cadre des procédures pénales et aux fins de l'exécution de peines privatives de liberté prononcées à l'issue d'une procédure pénale.

* 125 Selon la direction des affaires criminelles et des grâces.

* 126  Secondes conclusions de l'avocat général M. Maciej Szpuna, présentées le 28 septembre 2023 sur l'affaire C-470/21.

* 127 Dans son arrêt dit « Prokuratuur » du 2 mars 2021 (C-746/18), la Cour indique en effet que « l'exigence d'indépendance à laquelle doit satisfaire l'autorité chargée d'exercer le contrôle préalable [...] impose que cette autorité ait la qualité de tiers par rapport à celle qui demande l'accès aux données, de sorte que la première soit en mesure d'exercer ce contrôle de manière objective et impartiale à l'abri de toute influence extérieure. En particulier, dans le domaine pénal, l'exigence d'indépendance implique [...] que l'autorité chargée de ce contrôle préalable, d'une part, ne soit pas impliquée dans la conduite de l'enquête pénale en cause et, d'autre part, ait une position de neutralité vis-à-vis des parties à la procédure pénale ».

* 128 Par opposition à la définition européenne, « en cas de menace imminente pour la vie, l'intégrité physique ou la sécurité d'une personne ou d'une infrastructure critique, ou en cas de risque pour l'intégrité des données », définition présente dans e-evidence.

* 129 Article 230-35 du code de procédure pénale.

* 130  https://medias.vie-publique.fr/data_storage_s3/rapport/pdf/285620.pdf

* 131 En particulier par le rapport de la commission Justice pénale et droits de l'homme présidée par Mireille Delmas-Marty de juin 1990 ou encore celui de la commission de réflexion sur la justice pénale présidée par Philippe Léger en 2009.

* 132  https://www.senat.fr/rap/r10-162/r10-162_mono.html

* 133 Il apparaît, sur ce terrain, que les mesures mises en oeuvre par les OCE, bien qu'elles puissent être améliorées, sont d'ores et déjà robustes : comme le relevait la FFT lors de la séance orale d'instruction organisée par la 10ème chambre du Conseil d'État en amont de la décision French data network de 2001, les différents types de données sont stockés dans des bases distinctes, le rapprochement n'ayant lieu que pour les besoins des réquisitions. En outre, « Les mesures de sécurisation peuvent être auditées par l'ANSSI, et leur insuffisance peut justifier le prononcé par la CNIL d'une amende pouvant atteindre 2 % du chiffre d'affaires mondial du responsable de traitement, à laquelle s'ajoute, en France, la sanction pénale prévue à l'article 226-17 du code pénal, soit cinq ans d'emprisonnement et 300 000 euros d'amende » (conclusions précitées d'Alexandre Lallet).

Les thèmes associés à ce dossier

Partager cette page