IV. AGIR EN FRANCE ET EN EUROPE POUR SÉCURISER LE RECOURS AUX MÉTADONNÉES DANS L'ENQUÊTE PÉNALE
Les constats qui précèdent incitent à une intervention non seulement du législateur, auquel il appartient de sécuriser l'usage des données de connexion dans l'enquête pénale, mais aussi du Gouvernement, chargé à la fois d'être le porte-parole des institutions françaises dans les négociations européennes et de gérer les moyens donnés à la justice, à la police et à la gendarmerie pour un exercice serein de leurs missions.
A. EN EUROPE, ASSUMER UNE POSITION FORTE
Les rapporteurs appellent tout d'abord le gouvernement à assumer une position forte dans les négociations européennes pour faire du sujet des données de connexion une véritable priorité. Ils l'invitent ainsi à oeuvrer pour l'aboutissement rapide et concluant de l'examen du règlement e-privacy 2. Ils estiment, par ailleurs, indispensable que le Parlement soit mieux associé aux travaux du groupe d'experts de haut niveau ADELE et que le Gouvernement rende compte régulièrement à l'Assemblée nationale et au Sénat de l'avancée de ses réflexions et des lignes de force qui s'y dessinent.
Les rapporteurs jugent également que la loi française doit tirer un meilleur parti des « soupapes » offertes par la jurisprudence européenne. Cette orientation incite non seulement à aménager la loi française pour faciliter l'accès aux données d'identification, pour lesquelles le juge européen offre des possibilités plus larges d'accès, et de tenir compte des arrêts futurs de la CJUE qui pourraient conduire à un assouplissement sur l'usage des adresses IP, et plus généralement sur les conditions d'accès aux métadonnées pour les infractions commises en ligne.
B. DANS LA LOI FRANÇAISE, TROUVER LE POINT D'ÉQUILIBRE ENTRE EXIGENCE ET PRAGMATISME
Face au sentiment d'insécurité juridique des acteurs de l'enquête pénale, et notamment des magistrats du parquet, il convient ensuite lieu que le législateur intervienne pour clarifier le régime applicable aux données de connexion.
S'agissant du contrôle préalable et indépendant de l'accès aux métadonnées exigé par la Cour de justice, la loi devra rappeler que celui-ci n'est exigé que pour les données de trafic et de localisation : un accès autorisé par le parquet pour les données d'identification, qui constituent une moindre atteinte à la vie privée, pourra donc être maintenu. Ce point est loin d'être anecdotique puisque, pour 2021 et 2022, les données d'identification ont représenté environ un million d'accès.
En ce qui concerne les données de trafic et de localisation, la mission d'information a étudié toutes les pistes possibles pour la mise en place d'un contrôle conforme aux exigences de la CJUE. Elle a écarté la piste d'un contrôle par une autorité indépendante, qui lui a semblé soit présenter un risque trop fort de contrariété avec la jurisprudence européenne (notamment en cas de contrôle par une autorité administrative indépendante ou par une autorité rattachée au parquet), soit soulever des difficultés techniques, informatiques et de ressources humaines insurmontables (en particulier en cas de contrôle par ANTENJ ou par une autorité nationale indépendante composée de magistrats). Par conséquent, elle a privilégié la piste d'un contrôle assuré par une juridiction et a relevé que l'hypothèse la plus pertinente, crédible et réaliste était celle d'un contrôle préalable exercé par le juge des libertés et de la détention (JLD), qui dispose déjà de prérogatives en matière de protection la liberté individuelle. En matière de données de trafic et de localisation, le JLD serait ainsi appelé à contrôler les demandes formulées par les enquêteurs, puis validées par le parquet selon un système de « visa ».
En pratique, le contrôle pourrait être exercé par les juges locaux de la liberté et de la détention ou par un groupement dédié de JLD placé auprès de la Cour d'appel - cette seconde formule permettant à la fois d'exercer un roulement parmi les juges du territoire (ce qui présente des avantages au vu du caractère massif et sans doute rébarbatif du contrôle) et d'assurer que l'interlocuteur en charge du contrôle connaisse les enjeux locaux.
En tout état de cause, cette extension des compétences du JLD, qui s'inscrirait dans le mouvement de « recentrage » impulsé par la récente loi d'orientation et de programmation du ministère de la justice 2023-2027, supposera des créations de postes proportionnées à l'ampleur du travail à réaliser (qui ne pourra être mesuré qu'une fois connus le périmètre et les modalités concrètes du contrôle mais pourrait s'avérer plus limité que prévu si, comme le préconisent les rapporteurs, un travail est engagé dans le même temps sur la forme et le périmètre du nouveau contrôle) et une reconsidération du statut et des missions de ce magistrat. Elle imposera, aussi et surtout, de se donner du temps pour construire les outils nécessaires au bon traitement de ce contrôle.
Dans tous les cas, pour ne pas dégrader les capacités d'enquête des services de police et de gendarmerie, cette nouvelle formalité devra aller de pair avec la création d'une procédure d'urgence permettant aux enquêteurs à titre exceptionnel d'accéder sans contrôle préalable aux données de trafic et de localisation ; dans ce cas, le contrôle aurait lieu a posteriori et à bref délai.
De façon plus générale, cette réflexion doit être une opportunité de remettre à plat le cadre juridique de la preuve numérique, aujourd'hui fragmenté et peu cohérent, pour faire dépendre l'intensité du contrôle exercé par l'autorité judiciaire sur les actes d'enquête du degré d'intrusion dans la vie privée.