CJUE : seule la lutte contre la criminalité grave justifie l’accès aux communications électroniques d’un suspect

Par un arrêt du 2 mars 2021, H.K./Prokuratuur, aff. C-746/18, la Cour de Justice de l’Union Européenne détermine les conditions dans lesquelles il est possible, dans le cadre d’une procédure pénale, d’accéder aux données de communications électroniques d’un suspect. L’éclairage d’Emmanuel Derieux, professeur à l’Université Panthéon-Assas (Paris 2) et auteur de Droit des médias. Droit français, européen et international.

Dans quelles conditions est-il possible, dans le cadre d’une procédure pénale, d’exploiter des données de communications électroniques d’un suspect sans porter atteinte aux droits fondamentaux et notamment au droit à la protection des données personnelles et au respect de la vie privée de l’intéressé ?

Ayant été condamné notamment sur la base de procès-verbaux établis à partir de données relatives aux communications électroniques (concernant plusieurs numéros de téléphone et différentes identités) recueillies, par les enquêteurs, auprès d’un fournisseur de services de télécommunications, un individu contesta la recevabilité desdits procès-verbaux. 

Saisie de cette contestation, la juridiction suprême nationale (estonienne) décida de surseoir à statuer et de saisir la Cour de Justice de l’Union Européenne (CJUE) de questions préjudicielles portant sur la conformité d’une telle pratique au regard de la directive 2002/58/CE, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, telle que modifiée par la directive 2009/136/CE, du 25 novembre 2009, et de la Charte des droits fondamentaux de l’Union.

Se prononçant, par un arrêt du 2 mars 2021, sur une situation particulière relative au droit estonien, la CJUE, dans une décision dont la portée est évidemment plus générale et susceptible de concerner notre propre droit national, restreint cette possibilité aux affaires pénales les plus graves et exclut que l’autorisation d’y procéder puisse être accordée par le ministère public.

Pouvoir restreint aux affaires les plus graves

La juridiction nationale de renvoi posait la question de savoir si des procès-verbaux établis à partir des relevés des communications électroniques pouvaient être considérés comme constituant des éléments de preuve recevables et s’ils étaient conformes à l’article 15, § 1, de la directive 2002/58, du 12 juillet 2002, et à la Charte des droits fondamentaux de l’UE. 

Aux termes de cet article 15, « les Etats membres peuvent adopter des mesures législatives visant à limiter la portée des droits et des obligations » (« confidentialité des communications », « données relatives au trafic », « identification de la ligne appelante et de la ligne connectée », « données de localisation ») posés par cette même directive. Il en est ainsi cependant à condition qu’« une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale […] ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques ».

La juridiction nationale estimait notamment que la réponse à cette question implique de déterminer si ledit article 15, lu à la lumière de ladite Charte, « doit être interprété en ce sens que l’accès des autorités nationales à des données permettant d’identifier la source et la destination d’une communication téléphonique à partir du téléphone fixe ou mobile d’un suspect, de déterminer la date, l’heure et la nature de cette communication, d’identifier » et de localiser « le matériel de communication utilisé […] constitue une ingérence d’une telle gravité dans les droits fondamentaux en cause que cet accès devrait être limité à la lutte contre la criminalité grave, indépendamment de la période pour laquelle les autorités nationales ont sollicité l’accès aux données conservées ».

En cette affaire, était donc en cause la loi nationale estonienne relative aux communications électroniques. Celle-ci impose, aux fournisseurs de services de communications électroniques, une obligation de conserver, de manière généralisée et indifférenciée, les données relatives au trafic » et de localisation ». Elle permet « de retrouver et d’identifier la source et la destination d’une communication » et « de déterminer la date, l’heure, la durée et la nature de cette communication », ainsi que « la fréquence des communications de l’utilisateur avec certaines personnes », et cela « pour tout type d’infraction pénale ».

Se référant à de précédents arrêts rendus par elle, la CJUE pose qu’un tel accès aux données de communications électroniques « ne peut être octroyé que pour autant que ces données aient été conservées, par ces fournisseurs, d’une manière conforme » à l’article 15, § 1, de la directive du 12 juillet 2002. Elle rappelle aussi avoir déjà jugé que celui-ci s’oppose à des mesures législatives prévoyant, « à titre préventif, la conservation généralisée et indifférenciée des données relatives au trafic » et de localisation ». Elle ajoute que « seule la lutte contre la criminalité grave et la prévention de menaces graves contre la sécurité publique sont de nature à justifier des ingérences graves dans les droits fondamentaux ».

La Cour précise cependant avoir déjà jugé que « les mesures législatives visant le traitement des données relatives à l’identité civile des utilisateurs des moyens de communications électroniques […] notamment leur conservation et l’accès à celles-ci, à la seule fin de l’identification de l’utilisateur concerné, et sans que lesdites données puissent être associées à des informations relatives aux communications effectuées, sont susceptibles d’être justifiées par l’objectif de prévention, de recherche, de détection et de poursuite d’infractions pénales en général », dès lors que ces données « ne fournissent, mises à part les coordonnées des utilisateurs […] telles que leurs adresses, aucune information sur les communications données et, par voie de conséquence, sur leur vie privée ».

La Cour de Justice arrive à la conclusion que le droit de l’Union « doit être interprété en ce sens qu’il s’oppose à une réglementation nationale permettant l’accès d’autorités publiques à un ensemble de données relatives au trafic ou de données de localisation, susceptibles de fournir des informations sur les communications effectuées par un utilisateur d’un moyen de communication électronique ou sur la localisation des équipements terminaux qu’il utilise et de permettre de tirer des conclusions précises sur sa vie privée, à des fins de prévention, de recherche, de détection et de poursuite d’infractions pénales, sans que cet accès soit circonscrit à des procédures visant à la lutte contre la criminalité grave ou la prévention de menaces graves contre la sécurité publique ».

Exclusion de compétence du ministère public

Dans la question préjudicielle transmise, la juridiction nationale de renvoi exprimait, par ailleurs, « des doutes quant à la possibilité de considérer le ministère public estonien comme une autorité administrative indépendante […] susceptible d’autoriser l’accès de l’autorité chargée de l’enquête à des données relatives aux communications électroniques ». 

En conséquence, elle interrogea la Cour de Justice sur la question de savoir si le droit européen « s’oppose à une réglementation nationale donnant compétence au ministère public, dont la mission est de diriger la procédure d’instruction pénale et d’exercer, le cas échéant, l’action publique lors d’une procédure ultérieure, pour autoriser l’accès d’une autorité publique aux données relatives au trafic et aux données de localisation aux fins d’une instruction pénale ».

A cet égard, la Cour de Justice pose qu’il « est essentiel que l’accès des autorités nationales compétentes aux données conservées soit subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante, et que la décision de cette juridiction ou de cette entité intervienne à la suite d’une demande motivée de ces autorités présentée, notamment, dans le cadre de procédures de prévention, de détection ou de poursuites pénales » et, pour cela, que « la juridiction ou l’entité chargée d’effectuer ledit contrôle préalable dispose de toutes les attributions et présente toutes les garanties nécessaires en vue d’assurer une conciliation des différents intérêts et droits en cause ».

Pour ladite Cour, « l’exigence d’indépendance à laquelle doit satisfaire l’autorité chargée d’exercer le contrôle préalable […] impose que cette autorité ait la qualité de tiers par rapport à celle qui demande l’accès aux données, de sorte que la première soit en mesure d’exercer ce contrôle de manière objective et impartiale, à l’abri de toute influence extérieure ». Elle ajoute que, « en particulier, dans le domaine pénal, l’exigence d’indépendance implique […] que l’autorité chargée de ce contrôle préalable, d’une part, ne soit pas impliquée dans la conduite de l’enquête pénale en cause et, d’autre part, ait une position de neutralité vis-à-vis des parties à la procédure pénale ». Elle estime bien logiquement que « tel n’est pas le cas d’un ministère public qui dirige la procédure d’enquête et exerce, le cas échéant, l’action publique ».

Dans la recherche de conciliation entre la protection des données à caractère personnel et de la vie privée, d’une part, et les nécessités d’une procédure pénale, d’autre part, la CJUE n’exclut pas l’accès aux données relatives aux communications électroniques d’un suspect. Elle en limite cependant, sous le contrôle d’une autorité publique indépendante, la possibilité « à des procédures visant à la lutte contre la criminalité grave ou la prévention de menaces graves contre la sécurité publique ». Ce qui, à cet égard, vaut pour un des pays membres de l’UE, vaut évidemment pour tous les autres et pour leur droit.