Conservation des données personnelles et droit de l’Union

Publié le 12/07/2022

Afin de garantir l’effectivité de l’ensemble des dispositions du droit de l’Union européenne, le principe de primauté impose aux juridictions nationales d’interpréter, dans toute la mesure du possible, leur droit interne de manière conforme au droit de l’Union. À défaut de pouvoir procéder à une telle interprétation, le juge national a l’obligation d’assurer le plein effet des dispositions du droit de l’Union en laissant au besoin inappliquée, de sa propre autorité, toute disposition contraire de la législation nationale, même postérieure, sans avoir à demander ou à attendre l’élimination préalable de celle-ci par voie législative ou par tout autre procédé constitutionnel.

Il convient, dès lors, d’examiner si, à la date des réquisitions litigieuses, la réglementation française sur la conservation et l’accès aux données de connexion était conforme au droit de l’Union.

Ce droit ne s’oppose pas à des mesures législatives prévoyant une conservation des données aux fins de lutte contre la criminalité grave.

Il convient d’écarter les articles du Code des postes et des communications électroniques qui imposaient aux opérateurs de services de télécommunications électroniques, aux fins de lutte contre la criminalité, la conservation généralisée et indifférenciée des données de connexion, à l’exception des données relatives à l’identité civile et aux informations relatives aux comptes et aux paiements, ainsi que, dans le cadre de la recherche et la répression de la criminalité grave, aux adresses IP. En revanche, l’obligation de conservation des données de trafic et de localisation imposée aux opérateurs, en ce qu’elle permet notamment la recherche, la constatation et la poursuite des atteintes aux intérêts fondamentaux de la Nation et des actes de terrorisme, est conforme au droit de l’Union, comme poursuivant l’objectif de sauvegarde de la sécurité nationale.

La durée de conservation de ces données, pour une année, apparaît strictement nécessaire aux besoins de la sauvegarde de la sécurité nationale.

Pour autant, les dispositions des articles précités ne subordonnent pas le maintien de cette obligation de conservation à un réexamen périodique de l’existence d’une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale.

Il s’ensuit que cette obligation de conservation ne vaut injonction au sens où l’entend la CJUE et cette conservation n’est régulière que si le juge saisi du contentieux constate, sous le contrôle de la Cour de cassation, l’existence d’une menace présentant les caractéristiques précitées. Dès lors, l’obligation faite aux opérateurs de télécommunications électroniques de conserver de façon généralisée et indifférenciée aux fins de sauvegarde de la sécurité nationale les données de connexion énumérées à l’article R. 10-13 du code précité, qui ont fait l’objet des réquisitions litigieuses, était conforme au droit de l’Union.

De même, est conforme au droit de l’Union, pour la lutte contre la criminalité grave, en vue de l’élucidation d’une infraction déterminée, la conservation rapide des données de connexion stockées, même conservées aux fins de sauvegarde de la sécurité nationale.

Il appartient à la juridiction, lorsqu’elle est saisie d’un moyen en ce sens, de vérifier, d’une part, que les éléments de fait justifiant la nécessité d’une telle mesure d’investigation répondent à un critère de criminalité grave, dont l’appréciation relève du droit national, d’autre part, que la conservation rapide des données de trafic et de localisation et l’accès à celles-ci respectent les limites du strict nécessaire.

S’agissant de la gravité des faits, il appartient au juge de motiver sa décision au regard de la nature des agissements de la personne poursuivie, de l’importance du dommage qui en résulte, des circonstances de la commission des faits et de la durée de la peine encourue.

La législation française offre à toute personne mise en examen ou poursuivie la possibilité de contester efficacement la pertinence des éléments de preuve résultant de l’exploitation des données de connexion.

La personne mise en examen ou poursuivie n’est recevable à invoquer la violation de ses droits en matière d’accès aux données de connexion que si elle prétend être titulaire ou utilisatrice de l’une des lignes identifiées ou si elle établit qu’il aurait été porté atteinte à sa vie privée, à l’occasion des investigations litigieuses et le juge pénal ne peut prononcer la nullité, en application des dispositions de l’article 802 du Code de procédure pénale, que si l’irrégularité elle-même a occasionné un préjudice au requérant, lequel ne peut résulter de la seule mise en cause de celui-ci par l’acte critiqué.

L’absence de contrôle indépendant préalable ne peut faire grief au requérant que s’il établit l’existence d’une ingérence injustifiée dans sa vie privée et dans ses données à caractère personnel, de sorte que cet accès aurait dû être prohibé.

Il appartient, dès lors, à la chambre de l’instruction de s’assurer de ce que, d’une part, l’accès a porté sur des données régulièrement conservées, d’autre part, la ou les catégories de données visées, ainsi que la durée pour laquelle l’accès à celles-ci a eu lieu, étaient, au regard des circonstances de l’espèce, limitées à ce qui était strictement justifié par les nécessités de l’enquête.

En l’espèce, pour rejeter la demande de nullité résultant des modalités de conservation et d’accès aux données de connexion concernant l’intéressé, la chambre de l’instruction énonce que les lignes téléphoniques utilisées par celui-ci ont été exploitées par les enquêteurs, suite à leur identification dans le cadre de l’exploitation du flux des bornes couvrant les lieux intéressant l’enquête, à savoir la scène de crime au moment du meurtre, la scène de l’incendie du véhicule et le secteur du domicile de la victime, où était localisé de manière récurrente le véhicule utilisé par les tueurs.

Elle précise que l’obtention de ces données et leur exploitation ont permis de localiser l’intéressé à proximité des lieux où se trouvait la victime, d’en conclure qu’il surveillait cette dernière et de constater qu’il se trouvait encore aux abords de son domicile peu de temps avant son assassinat, de sorte qu’il a pu donner le signal du départ à un individu pour venir le rejoindre à cet endroit où la victime a été abattue peu de temps après.

Elle ajoute que le justiciable a eu accès à la procédure à partir de la date de sa mise en examen et était donc, depuis lors, en mesure de commenter efficacement l’ensemble des éléments de la procédure qui caractérisait des indices graves ou concordants rendant vraisemblable son implication comme auteur ou complice des faits.

Elle conclut que l’ingérence alléguée dans sa vie privée du fait des réquisitions des enquêteurs aux opérateurs téléphoniques est prévue par la loi, qu’elle a eu un but légitime qui est celui de la recherche d’infractions pénales relevant de la criminalité grave, en l’espèce meurtre et tentative de meurtre en bande organisée, destruction par moyen dangereux en bande organisée, association de malfaiteurs, recel en bande organisée, que cet objectif tendant à la recherche d’infractions pénales est nécessaire dans une société démocratique, et que cette ingérence apparaît proportionnée à la poursuite de l’objectif.

Il en résulte que l’accès aux informations litigieuses a porté sur des données régulièrement conservées et qu’il a eu lieu en vue de la poursuite d’infractions relevant de la criminalité grave, dans des conditions limitant cet accès à ce qui était strictement justifié par les nécessités de l’enquête.

 

 

NOTE : Les États membres de l’Union européenne ne peuvent imposer aux opérateurs de communications électroniques, fournisseurs d’accès à internet et hébergeurs, une conservation généralisée et indifférenciée de l’ensemble des données de trafic et de localisation.

Cette conservation peut avoir lieu, sous certaines conditions, en cas de menace grave et actuelle pour la sécurité nationale.

Afin d’élucider une infraction déterminée relevant de la criminalité grave, les États membres peuvent également imposer aux opérateurs et fournisseurs de procéder à la conservation des données, s’ils entourent cette obligation d’un certain nombre de garanties.

L’accès aux données conservées doit, en tout état de cause, être autorisé par une juridiction ou une entité administrative indépendante.

Par quatre arrêts importants, la chambre criminelle de la Cour de cassation précise les conséquences d’un accès irrégulier aux données de connexion sur la validité des actes d’enquête.

Dans les affaires pour lesquelles les personnes mises en examen n’avaient aucun droit sur les lignes téléphoniques, les requêtes en nullité sont jugées irrecevables.

Dans les affaires pour lesquelles les personnes mises en examen avaient un droit sur les lignes téléphoniques, les pourvois sont rejetés car :

Soit les données de connexion ont été régulièrement conservées dès lors que les faits relevaient bien de la criminalité grave (meurtre en bande organisée, destruction par moyen dangereux, importations et exportations de centaines de kilos de stupéfiants par organisation criminelle de dimension internationale etc.), et que les réquisitions aux opérateurs des données de connexion (identité, trafic, localisation) et leur exploitation étaient nécessaires au bon déroulement des enquêtes.

Soit l’accès par des enquêteurs ayant agi sur commission rogatoire du juge d’instruction a été régulièrement accordé.

Soit, bien que des enquêteurs aient eu irrégulièrement accès aux données de trafic et de localisation dans le cadre d’une enquête de flagrance menée sous le contrôle du procureur de la République, la chambre de l’instruction a valablement pu rejeter les demandes de nullité, car, en l’espèce, les catégories de données visées et la durée pendant laquelle il a été possible d’y avoir accès étaient limitées à ce qui était strictement nécessaire au bon déroulement de l’enquête.