Inconstitutionnalité des réquisitions de données informatiques effectuées dans le cadre des enquêtes préliminaires : une diffusion contrariée de la jurisprudence européenne ?
Par sa décision n° 2021-952 QPC du 3 décembre 2021, le Conseil constitutionnel a déclaré contraires à la Constitution les dispositions du Code de procédure pénale qui organisent les réquisitions de données informatiques effectuées dans le cadre des enquêtes préliminaires. L’influence de la jurisprudence européenne est évidente, bien qu’elle se heurte à certaines résistances du juge constitutionnel.
Cons. const., QPC, 3 déc. 2021, no 2021-952
Le Conseil constitutionnel s’est prononcé le 3 décembre 2021 sur une question prioritaire de constitutionnalité (QPC) visant les dispositions relatives aux réquisitions de données informatiques réalisées dans le cadre des enquêtes préliminaires1. Hasard du calendrier, cette QPC lui a été transmise par la Cour de cassation le 23 septembre 2021, date à laquelle il s’était prononcé sur la constitutionnalité d’une autre technique numérique d’enquêtes judiciaires2, la géolocalisation en temps réel3. Cette fois-ci, en revanche, l’issue est tout autre.
À l’origine de cette QPC se trouvent des dispositions permettant au procureur de la République, dans le cadre d’une enquête préliminaire, d’autoriser la réquisition de données issues d’un système informatique ou d’un traitement de données nominatives. Plus spécifiquement, l’article 77-1-1 du Code de procédure pénale prévoit que le procureur de la République – ou, sur son autorisation, un officier ou agent de police judiciaire – peut requérir, par tout moyen, des informations détenues par toute personne publique ou privée, y compris celles issues d’un système informatique ou d’un traitement de données nominatives, sans que puisse lui être opposée, sans motif légitime, l’obligation au secret professionnel. L’article 77-1-2 du même code permet, quant à lui, et dans les mêmes conditions, de requérir d’un organisme public ou de certaines personnes morales de droit privé, par voie télématique ou informatique, la mise à disposition d’informations non protégées par un secret prévu par la loi, contenues dans un système informatique ou un traitement de données nominatives.
La conformité de ces dispositions aux droits et libertés garantis par la Constitution était contestée en ce qu’elles octroient au procureur de la République la faculté d’autoriser la réquisition d’un vaste panel de données de connexion sans contrôle préalable d’une juridiction indépendante. Elles porteraient dès lors une atteinte disproportionnée au droit au respect à la vie privée (articles 5, 6 et 16 de la Déclaration des droits de l’Homme et du citoyen du 26 août 1789), ainsi qu’aux droits de la défense et à un recours effectif.
Le Conseil constitutionnel constate d’abord, de manière étonnante eu égard à sa jurisprudence récente, que le recours à cette technique numérique d’enquête est « particulièrement attentatoire » au droit à la vie privée des personnes concernées4 au regard des informations qu’elle permet de collecter (données relatives à l’identification des personnes concernées voire à des tiers, contacts téléphoniques et numériques, localisation, etc.). Pourtant, dans sa décision du 23 septembre 2021, le Conseil constitutionnel n’a pas réservé le même sort à la géolocalisation en temps réel, laquelle consiste à suivre les déplacements d’un individu dans tous lieux publics ou privés, et se traduit par l’enregistrement et le traitement des données recueillies. Il a ainsi considéré que cette technique n’implique pas « d’acte de contrainte sur la personne visée, ni d’atteinte à son intégrité corporelle, de saisie, d’interception de correspondance ou d’enregistrement d’image ou de son »5. Il serait presque tentant d’en déduire que la géolocalisation en temps réel engendre une ingérence limitée sur les droits des personnes concernées, à rebours de la position de la Cour de cassation selon laquelle ce procédé constitue « une ingérence grave dans la vie privée dont la gravité nécessite qu’elle soit exécutée sous le contrôle d’un juge »6. D’autant plus que toute technique mise en œuvre en temps réel est traditionnellement accusée d’être plus attentatoire aux droits et libertés qu’une technique qui consiste à remonter le passé7. L’aveu du caractère particulièrement attentatoire des réquisitions de données informatiques, s’il est salutaire, ne manque donc pas de surprendre.
Le Conseil constitutionnel relève ensuite que cette technique d’enquête couvre un champ étendu d’infractions, sans que soit justifiée une quelconque urgence et sans que l’accès aux données soit limité dans le temps.
Il en déduit alors, de manière laconique, que la seule condition que les réquisitions soient soumises à l’autorisation du procureur de la République ne constitue pas une garantie suffisante à assurer l’équilibre entre l’objectif de valeur constitutionnelle de recherche des auteurs d’infraction et le droit au respect de la vie privée. Le législateur s’étant rendu coupable d’une incompétence négative, il déclare alors les dispositions contestées contraires à la Constitution. Compte tenu des conséquences sur les enquêtes en cours qu’engendrerait une abrogation immédiate, celle-ci est reportée au 31 décembre 2022.
S’il n’appartenait pas au Conseil constitutionnel de se prononcer sur le terrain de la conventionnalité du dispositif – la Cour de cassation aura d’ailleurs probablement le loisir de le faire –, il n’en demeure pas moins que cette décision est placée sous le spectre de la jurisprudence de la Cour de justice de l’Union européenne (CJUE) et de sa lecture des articles 7 et 8 de la Charte des droits fondamentaux. Et pour cause, celle-ci a façonné ces dernières années une ligne jurisprudentielle intéressant la conservation des données de connexion et les modalités d’accès par les autorités publiques dans le cadre de la mise en œuvre de techniques d’investigation8, engendrant d’ailleurs des bouleversements importants dans le droit national. En témoignent les aménagements d’ores et déjà réalisés quant à la procédure de mise en œuvre des techniques de renseignement en matière de police administrative9 ou le sort encore incertain réservé aux techniques numériques d’enquêtes judiciaires10.
En censurant les dispositions relatives aux réquisitions des données informatiques réalisées dans le cadre d’une enquête préliminaire, la décision ici commentée témoigne de ce que la jurisprudence européenne continue de se distiller dans le droit français, bien que le juge constitutionnel persiste à préserver certains îlots de spécificités de la procédure pénale française.
I – Une influence implicite : l’accoutumance à la stricte appréciation de la gravité de l’infraction comme curseur de la justification de l’atteinte à la vie privée
Dans le cadre du contrôle ici opéré par le Conseil constitutionnel, la jurisprudence de la CJUE apparaît nettement en filigrane, notamment en ce qui concerne la manière dont doit être apprécié le critère de la gravité de l’infraction dans la justification de l’atteinte à la vie privée.
Après avoir rappelé que les réquisitions des articles 77-1-1 et 77-1-2 du Code pénal engendrent une atteinte particulière dans le droit à la vie privée, le Conseil constitutionnel semble faire reposer sa décision de censure sur le fait que l’accès aux données de trafic et de localisation est autorisé dans le cadre d’une enquête préliminaire qui peut porter sur « tout type d’infraction et qui n’est pas justifiée par l’urgence ni limitée dans le temps »11. Pour le Conseil constitutionnel, c’est donc moins la nature du procédé qui soulève des interrogations mais bien son champ d’application et sa durée12.
En ce sens, l’influence de la CJUE est manifeste puisque de jurisprudence désormais constante, elle considère que l’accès à « un ensemble de données relatives au trafic ou de données de localisation » constitue une ingérence grave dans la vie privée de l’utilisateur des moyens de communication électronique13 et ce, quelles que soient la quantité de données récupérées et la durée de la période concernée14. Peu importe donc l’ampleur de l’ingérence, sa gravité lui est consubstantielle15. Par conséquent, le recours à de tels procédés ne saurait être justifié que pour la lutte contre la criminalité grave ou la prévention de menaces graves contre la sécurité publique16.
C’est d’ailleurs le raisonnement retenu par le Conseil d’État lorsque, sous l’effet des décisions de la CJUE relatives à la conservation généralisée et indifférenciée des données de connexion, il s’est attaché à préserver en grande partie les enquêtes judiciaires. S’il a suggéré de recourir à la méthode de « conservation rapide » depuis le stock de données conservées pour les seuls besoins de la sécurité nationale17, il a toutefois considéré qu’un tel accès devait être cantonné à la poursuite d’infractions pénales ressortant de la criminalité grave18.
La décision du Conseil constitutionnel s’inscrit, semble-t-il, dans ce mouvement qui entend restreindre le recours à des techniques d’enquêtes particulièrement attentatoires à la criminalité grave. Elle a surtout pour conséquence de forcer le législateur à s’emparer de cette question délicate – qui aurait d’ailleurs pu être laissée à l’entière appréciation du juge19 – : comment distinguer les infractions relevant de la criminalité ordinaire de celles relevant de la criminalité grave20 ? Est-il raisonnable de penser qu’une échelle de la gravité des infractions puisse être élaborée ? Le législateur pourrait être tenté de transposer aux réquisitions de données informatiques, mutatis mutandis, le régime de la géolocalisation en temps réel, lequel a récemment été déclaré conforme à la Constitution puisqu’opérant une conciliation équilibrée entre l’objectif de valeur constitutionnelle de recherche des auteurs d’infractions et le droit au respect de la vie privée21. À cet égard, en vertu de l’article 230-32 du Code de procédure pénale, le recours à la géolocalisation doit être justifié par les nécessités « d’une enquête ou d’une instruction portant sur un crime ou un délit puni d’au moins trois ans d’emprisonnement », « d’une procédure d’enquête ou d’instruction de recherche des causes de la mort ou de la disparition »22 ou « d’une procédure de recherche d’une personne en fuite »23. Qui plus est, l’autorisation délivrée par le procureur dans le cadre d’une procédure de recherche ou d’une enquête pour une infraction relevant de la criminalité organisée est d’une durée maximale de 15 jours consécutifs, et ne peut excéder 8 jours consécutifs dans les autres cas24. À l’issue de ce délai, l’intervention du juge des libertés et de la détention est exigée, celui-ci pouvant octroyer l’autorisation pour une durée maximale d’un mois renouvelable, étant entendu que la durée totale de l’opération ne peut excéder deux ans en matière de criminalité organisée ou un an dans les autres hypothèses25. Un tel dispositif juridique aurait le mérite de répondre aux deux inquiétudes soulevées par le Conseil constitutionnel en réservant le recours à ces réquisitions à un certain nombre d’infractions d’une particulière gravité et en limitant l’accès aux données de connexion dans le temps26. En confiant des prérogatives spécifiques au juge des libertés et de la détention, elle permettrait par ailleurs de consacrer un régime selon lequel l’intervention judiciaire est renforcée à mesure que la durée de l’atteinte à la vie privée s’accroît27.
Aussi séduisante qu’elle puisse paraître, une telle entreprise peine à convaincre sur le terrain du pragmatisme. D’une part, la criminalité ordinaire étant largement concernée par ces réquisitions28, il paraît délicat d’en restreindre l’usage à une liste limitative d’infractions, sauf à priver les enquêteurs de moyens d’action nécessaires à la découverte de la vérité. D’autre part, l’intervention d’un juge du siège alourdirait et complexifierait davantage encore la procédure pénale. Le législateur risque donc d’être confronté à un défi de taille s’il veut préserver le fonctionnement de la justice pénale tout en renforçant les garanties procédurales.
II – Une résistance manifeste : le refus de remettre en cause l’intervention du ministère public
Bien que la formulation de la décision soit lapidaire, le fait que l’autorisation de recourir aux réquisitions de données informatiques dans le cadre d’une enquête préliminaire soit délivrée par le procureur ne paraît pas réellement remis en cause. Le Conseil constitutionnel estime ainsi que « si ces réquisitions sont soumises à l’autorisation du procureur de la République (…) le législateur n’a assorti le recours aux réquisitions de données de connexion d’aucune autre garantie »29. A contrario donc, une telle intervention constitue une garantie. En l’occurrence, à l’instar du raisonnement qu’il avait adopté dans sa décision sur la géolocalisation le 23 septembre 2021, le Conseil constitutionnel mobilise l’article 39-3, alinéa 1er, du Code de procédure pénale qui dispose que « dans le cadre de ses attributions de direction de la police judiciaire, le procureur de la République peut adresser des instructions générales ou particulières aux enquêteurs. Il contrôle la légalité des moyens mis en œuvre par ces derniers, la proportionnalité des actes d’investigation au regard de la nature et de la gravité des faits, l’orientation donnée à l’enquête ainsi que la qualité de celle-ci ». Conformément à l’exigence de direction et de contrôle de l’autorité judiciaire sur la police judiciaire qui résulte de l’article 66 de la Constitution30 et de la conception française de l’unité de la magistrature31, les enquêteurs sont donc placés sous le contrôle du parquet. Ce dernier s’attache à vérifier la proportionnalité de l’ingérence dans le droit à la vie privée que constitue l’usage à des techniques numériques d’enquêtes judiciaires32.
La diffusion de la jurisprudence européenne dans la procédure pénale française est donc ici endiguée. Il est là encore de jurisprudence constante que l’accès aux données de trafic et de localisation par les autorités publiques doit être soumis au contrôle préalable d’une juridiction ou d’une autorité administrative indépendante33. La CJUE est même davantage formelle en ce qui concerne les enquêtes judiciaires puisque la décision d’autorisation doit être prise par une autorité distincte de celle assurant la direction de l’enquête et l’engagement des poursuites dans la suite de la procédure34 – sur ce point, la CJUE est plus intransigeante que la Cour européenne des droits de l’Homme dont la jurisprudence apparaît changeante35. En conséquence de quoi, l’autorité chargée d’opérer ce contrôle préalable doit non seulement avoir la « qualité de tiers »36 mais doit également pouvoir être regardé comme ne participant pas à la conduite de l’enquête pénale. Ainsi, selon la jurisprudence européenne, l’indépendance du ministère public français et plus particulièrement du procureur de la République ne serait pas garantie au regard non seulement de sa dualité fonctionnelle – il dirige l’enquête avant d’exercer l’action publique en tant que partie au procès pénal37 – mais également de son positionnement organique – le procureur est un magistrat appartenant à l’autorité judiciaire38. Un tel raisonnement est contestable. D’une part, c’est faire fi des obligations qui lui incombent puisqu’il exerce l’action publique dans le respect du principe d’impartialité39. D’autre part, c’est jeter un voile de soupçon sur l’absence d’indépendance et d’impartialité du parquet, lequel ne pourrait agir de façon objective et impartiale. Surtout, un tel raisonnement entre en contradiction frontale avec la procédure inquisitoire française40 et ne manque pas de soulever la question de la juridictionnalisation de l’enquête policière41.
Pour l’instant, la France résiste aux pressions émanant de la Cour luxembourgeoise, le Conseil constitutionnel n’hésitant pas à rappeler que le rôle joué par le procureur constitue bien une garantie. Reste à savoir quelle attitude adoptera la Cour de cassation lorsqu’elle sera amenée à se prononcer sur la conventionnalité du dispositif. Par le passé, elle avait estimé que le moyen de nullité reprochant le manque d’indépendance et d’impartialité du ministère public pour requérir la communication de renseignements relatifs à l’utilisation d’une ligne téléphonique en application de l’article 77-1-1 du Code de procédure pénale devait être écarté42. De son côté, le législateur a d’ores et déjà conforté le procureur dans son rôle en matière d’enquête préliminaire. Aussi, la loi pour la confiance dans l’institution judiciaire définitivement adoptée par le Sénat le 18 novembre 2021 s’est-elle contentée de limiter la durée des enquêtes préliminaires et d’y introduire une dose de contradictoire43.
III – Perspectives
Force est donc de constater que la procédure pénale devrait connaître des modifications substantielles en ce qui concerne les réquisitions de données informatiques, l’intervention du procureur de la République étant néanmoins préservée bien que la mise en place d’un contrôle préalable par le juge des libertés et de la détention ne soit pas à exclure dans certaines hypothèses. Si diffusion de la jurisprudence de la CJUE il y a, celle-ci n’est donc assurément que partielle. À moins que la Cour de cassation n’en décide autrement44.
Notes de bas de pages
-
1.
Cons. const., QPC, 3 déc. 2021, n° 2021-952, M. Omar Y.
-
2.
Cons. const., QPC, 23 sept. 2021, n° 2021-930, M. Jean B.
-
3.
CPP, art. 230-32 à 230-44.
-
4.
Cons. const., QPC, 3 déc. 2021, n° 2021-952, M. Omar Y, cons. 11.
-
5.
Cons. const., QPC, 23 sept. 2021, n° 2021-930, M. Jean B, cons. 14. La formule avait déjà été utilisée (Cons. const., DC, 21 mars 2019, n° 2019-778, cons. 148, Loi de programmation 2018-2022 et de réforme pour la justice).
-
6.
Cass. crim., 22 oct. 2013, nos 13-81945 et 13-81949.
-
7.
Pour la CJUE, l’accès en temps réel aux données de trafic et de localisation est plus attentatoire que l’accès différé à ces données (CJUE, 6 oct. 2020, nos C-511/18, C-512/18 et C-520/18, La Quadrature du Net et a., § 187). Cette position est également défendue par la Cour européenne des droits de l’Homme (CEDH, 8 févr. 2018, n° 31446/12, Ben Faiza c/ France, § 74).
-
8.
CJUE, 21 déc. 2016, nos C-203/15 et C-698/15, Tele2 Sverige AB c/ Post- och telestyrelsen and Secretary of State for Home Department et a. ; CJUE, 6 oct. 2020, nos C-511/18, C-512/18 et C-520/18, La Quadrature du Net et a. ; CJUE, 2 mars 2021, n° C-746/18, H.K./Prokuratuur.
-
9.
L. n° 2021-998, 30 juill. 2021, relative à la prévention d’actes de terrorisme et au renseignement, art. 18.
-
10.
CE, 21 avr. 2021, n° 393099, French Data Network et a., § 54 et 55.
-
11.
Cons. const., QPC, 3 déc. 2021, n° 2021-952, M. Omar Y, cons. 12.
-
12.
M. Audibert, « Inconstitutionnalité différée des réquisitions de données informatiques par le procureur de la République dans le cadre de l’enquête préliminaire : le jour d’après », Lexbase Pénal 23 déc. 2021, n° 44.
-
13.
CJUE, 21 déc. 2016, nos C-203/15 et C-698/15, Tele2 Sverige AB c/ Post- och telestyrelsen and Secretary of State for Home Department et a. ; CJUE, 6 oct. 2020, nos C-511/18, C-512/18 et C-520/18, La Quadrature du Net et a. ; CJUE, 2 mars 2021, n° C-746/18, H.K./Prokuratuur.
-
14.
P. Bonneville, C. Gänser et A. Iljic, « Chronique de jurisprudence de la CJUE », AJDA 2021, p. 1086.
-
15.
B. Bertrand, « L’audace sans le tact : jusqu’où la Cour de justice peut-elle aller trop loin ? », D. IP/IT 2021, n° 9, p. 468.
-
16.
CJUE, 2 mars 2021, n° C-746/18, H.K./Prokuratuur, § 35.
-
17.
CE, 21 avr. 2021, n° 393099, French Data Network et a., § 57.
-
18.
M. Audibert, « Le Conseil d’État préserve la majorité des enquêtes judiciaires », Lexbase Pénal 20 mai 2021, n° 38 ; A. Archambault, « Le Conseil d’État sauve les enquêtes judiciaires en encadrant l’accès aux données de connexion », AJ Pénal 2021, p. 309.
-
19.
Pour reprendre les termes du Conseil d’État, « le rattachement d’une infraction pénale à la criminalité grave a donc vocation à s’apprécier de façon concrète, sous le contrôle du juge pénal, au regard de la nature de l’infraction commise et de l’ensemble des faits de l’espèce » (CE, 21 avr. 2021, n° 393099, French Data Network et a., § 38).
-
20.
M. Audibert, « La conservation et l’accès aux métadonnées dans le cadre des enquêtes judiciaires : vers un bouleversement dans la procédure pénale française ? », Lexbase Pénal 25 mars 2021, n° 36.
-
21.
Cons. const., QPC, 23 sept. 2021, n° 2021-930, M. Jean B.
-
22.
CPP, art. 74, 74-1 et 80-4.
-
23.
CPP, art. 74-2.
-
24.
CPP, art. 230-33.
-
25.
CPP, art. 230-33.
-
26.
M. Lassalle, « La Cour de cassation s’intéresserait-elle enfin aux réquisitions judiciaires ? », AJ Pénal 2020, p. 141.
-
27.
G. Roussel, « L’autorisation de la géolocalisation pendant l’enquête par le procureur de la République est conforme à la Constitution », AJ Pénal 2021, p. 543.
-
28.
Dans ses conclusions sur l’arrêt French Data Network, le rapporteur public avait souligné que « ce sont aujourd’hui plus de 2 millions de réquisitions judiciaires par an transitant par la plateforme nationale des interceptions judiciaires, auxquelles les opérateurs de téléphonie mobile et les fournisseurs d’accès à Internet répondent le plus souvent en quelques minutes, pour les besoins de plus de quatre enquêtes judiciaires sur cinq et, parmi elles, de 100 % des investigations en matière de criminalité et délinquance en bande organisée » (A. Lallet, « Données personnelles : droit de l’Union européenne et Constitution », RFDA 2021, p. 421).
-
29.
Cons. const., QPC, 3 déc. 2021, n° 2021-952, M. Omar Y, cons. 13.
-
30.
Cons. const., DC, 21 mars 2019, n° 2019-778, Loi de programmation 2018-2022 et de réforme pour la justice, cons. 175.
-
31.
Cons. const., DC, 2 mars 2004, n° 2004-492, Loi portant adaptation de la justice aux évolutions de la criminalité, cons. 98.
-
32.
C’est d’ailleurs à l’appui de ce raisonnement que la Cour de cassation a offert un brevet de conventionnalité à la vidéosurveillance sur la voie publique autorisée par le procureur (Cass. crim., 8 déc. 2020, n° 20-83885).
-
33.
CJUE, 6 oct. 2020, nos C-511/18, C-512/18 et C-520/18, La Quadrature du Net et a., § 139 ; CJUE, 2 mars 2021, n° C-746/18, H.K./Prokuratuur, § 51.
-
34.
CJUE, 2 mars 2021, n° C-746/18, H.K./Prokuratuur, § 54.
-
35.
La CEDH avait d’abord estimé que « le magistrat doit présenter les garanties requises d’indépendance à l’égard de l’exécutif et des parties, ce qui exclut notamment qu’il puisse agir par la suite contre le requérant dans la procédure pénale, à l’instar du ministère public » (CEDH, 23 mars 2010, n° 3394/03, Medvedyev c/ France, § 124). Elle avait plus tard admis que les réquisitions judiciaires de l’article 70-1-1 du Code de procédure pénale puissent être autorisées par le parquet sans autorisation préalable d’un juge du siège, ces mesures étant prévues par la loi de manière suffisamment prévisible et accessible et pouvant faire, a posteriori, l’objet d’un contrôle juridictionnel (CEDH, 8 févr. 2018, n° 31446/12, Ben Faiza c/ France, § 73).
-
36.
CJUE, 2 mars 2021, n° C-746/18, H.K./Prokuratuur, § 56.
-
37.
CPP, art. 40 et 40-1.
-
38.
Cons. const., QPC, 8 déc. 2017, n° 2017-680, Union syndicale des magistrats.
-
39.
CPP, art. 31.
-
40.
B. Bertrand, « L’audace sans le tact : jusqu’où la Cour de justice peut-elle aller trop loin ? », D. IP/IT 2021, n° 9, p. 468.
-
41.
P. Collet, « La géolocalisation sur autorisation du parquet déclarée constitutionnelle », GPL 7 déc. 2021, n° GPL429s0 ; M. Lassale, « Transformation à venir de l’encadrement des réquisitions judiciaires de documents », Dr. pén. 2021, comm. 113.
-
42.
Cass. crim., 8 juill. 2015, n° 15-81731.
-
43.
Sénat, projet de loi, 18 nov. 2021, pour la confiance dans l’institution judiciaire et actuellement soumis au contrôle du Conseil constitutionnel, art. 2.
-
44.
N. Régis, « Accès aux données numériques de connexion et de localisation dans le cadre d’une enquête pénale : la parole est au Conseil constitutionnel ! », GPL 9 nov. 2021, n° GPL428p4.
Référence : AJU003n0