27 juillet 2022

Peut-on conserver vos données personnelles dans une enquête pénale ?

Appels, SMS, géolocalisation…ces données de téléphonie sont au centre de la plupart des enquêtes pénales. Facteur déterminant dans l’élucidation des affaires, la téléphonie est en effet un outil d’enquête très prisé par les parquets et services d’enquêteurs dans leur lutte contre toutes formes de délinquance. 

Nul ne peut nier l’utilité et l’efficacité considérable de ces mesures d’investigation. Pour autant, force est de constater que celles-ci tendent à mettre à mal la frontière déjà poreuse entre respect de la vie privée et nécessité de l’enquête. 

Si la question de savoir si cette pratique pouvant être considérée comme intrusive demeurait jusqu’alors controversée, la Cour de cassation a très récemment mis un terme au débat pour le moins épineux.

En effet, par plusieurs arrêts publiés le 12 juillet 2022, la chambre criminelle de la Cour de cassation a tiré les conséquences des décisions rendues par la Cour de justice de l’Union européenne relatives à la conservation des données de connexion et à l’accès à celles-ci dans le cadre de procédures pénales. 

Nous étudierons ainsi les conséquences d’une telle décision sur les procédures en cours. 

I. La conservation des données de connexion

L’article L.34-1, III, du Code des postes et des communications électroniques, dans sa rédaction antérieure à la loi n° 2021-998 du 30 juillet 2021, prévoyait une conservation des données de connexion « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales », pendant une année.

Or, dans un arrêt du 6 octobre 2020[1], la Cour de justice de l’Union européenne (ci-après « CJUE ») a dit pour droit que le droit de l’Union européenne s’oppose à une conservation généralisée et indifférenciée, à titre préventif, des données de trafic et de localisation aux fins de lutte contre la criminalité́, quel que soit son degré de gravité.

Elle a estimé que cette conservation des métadonnées ne peut être envisagée qu’en cas de menace grave, actuelle et ponctuelle, pour la sécurité nationale, ou pour un temps limité dans le but d’élucider une infraction déterminée relevant de la criminalité « grave », sur injonction faite aux fournisseurs de services de télécommunications électroniques, pouvant faire l’objet d’un contrôle effectif par une juridiction ou une autorité administrative indépendante.

La chambre criminelle en a ainsi déduit que les règles précitées de droit français étaient contraires au droit de l’Union européenne. 

En revanche, l’obligation de conservation des données, en ce qu’elle permet la « recherche, la constatation et la poursuite des atteintes aux intérêts fondamentaux de la Nation et des actes de terrorisme » est conforme au droit de l’Union, comme poursuivant l’objectif de sauvegarde de la sécurité nationale.

En effet, dans les cas qui lui étaient soumis, la chambre criminelle a constaté, à partir des pièces régulièrement produites par le procureur général de la Cour de cassation relatives aux attentats commis en France depuis décembre 1994, qu’une menace grave et réelle à la sécurité nationale était caractérisée antérieurement à la date des faits.

II. L’accès aux données de connexion

L’accès aux données de connexion ne peut être autorisée que s’il est soumis au contrôle préalable d’une juridiction ou d’une entité administrative indépendante[2]

En effet, selon la CJUE, une réglementation nationale ne peut donner compétence au ministère public, qui dirige la procédure d’enquête et exerce, le cas échéant, l’action publique, pour autoriser l’accès d’une autorité publique aux données relatives au trafic et à la localisation.

Ce raisonnement est justifié par les garanties d’indépendance et d’impartialité requises en droit pénal.  En effet, le procureur de la République est impliqué dans la conduite de l’enquête pénale et n’a pas une position de neutralité vis-à-vis des parties à la procédure pénale, comme l’exige le droit de l’Union. 

En revanche, le juge d’instruction est habilité à exercer ce contrôle, puisqu’il n’est pas une partie à la procédure mais une juridiction et qu’il n’exerce pas l’action publique.

La chambre criminelle en a ainsi déduit que les articles 60-1, 60-2, 77-1-1 et 77-1-2 du Code de procédure pénale sont contraires au droit de l’Union en ce qu’ils ne prévoient pas un contrôle préalable par une juridiction ou une entité administrative indépendante. En effet, la loi en ce qu’elle permet au procureur de la République, ou à un enquêteur d’accéder aux données est contraire au droit de l’Union.

Une décision QPC rendue le 3 décembre 2021 par le Conseil Constitutionnel[3] avait déjà souligné la difficulté du contrôle du procureur lorsque les données portent une atteinte importante à la vie privée des personnes concernées, notamment les données de localisation. Le Conseil avait alors jugé qu’un encadrement plus précis était nécessaire avant d’abroger, avec effet au 1er décembre 2022, les dispositions litigieuses.

III. La sanction pour non-conformité

Enfin, nous pouvons nous interroger sur la sanction de la non-conformité des mesures prises dans les affaires en cours d’instruction. 

La chambre criminelle a estimé que l’absence de contrôle indépendant préalable ne peut faire grief au requérant que s’il établit l’existence d’une ingérence injustifiée dans sa vie privée et dans ses données à caractère personnel, de sorte que cet accès aurait dû être prohibé. 

En d’autres termes, l’acte ayant permis d’accéder aux données ne peut être annulé par le juge que s’il a été porté atteinte à la vie privée de la personne mise en examen et si celle-ci a subi un préjudice. 

Un tel préjudice est établi lorsque :

  • Les données ne pouvaient être régulièrement conservées au titre de la conservation rapide ;
  • La ou les catégories de données visées ainsi que la durée pour laquelle l’accès à celles-ci a eu lieu, n’étaient pas, au regard des circonstances de l’espèce, limitées à ce qui était strictement justifié par les nécessités de l’enquête.

Dès lors, il est à supposer prochainement une promulgation d’une nouvelle loi qui viendrait consolider la procédure pénale conformément au droit européen, dans une optique de garantie de l’effectivité du droit de l’Union au sein de ses États membres.

Pour une lecture complète de la note explicative de la Cour de cassation :https://www.courdecassation.fr/files/files/Communiqu%C3%A9s/Note%20explicative%20donn%C3%A9es%20de%20connexion%2012%20juillet%202022.pdf


[1] La Quadrature du Net e.a, French Data Network e.a, C- 511/18, C- 512/18, C- 520/18),

[2] CJUE, 2 mars 2021, aff. C-746/18, H.K./Prokuratuur

[3] Décision n° 2021-952 QPC

Cédric Dubucq

Cédric Dubucq

Mathis Campestrin

Mathis Campestrin

Ne soyez pas timide.
Partagez notre article.