Questionné par le député Philippe Latombe (MoDeM), Éric Dupond-Moretti assurait qu’un récent arrêt de la cour de l‘UE relatif aux réquisitions des données de connexion ne concernait que l’Estonie. L’affaire a cependant intéressé au plus près les autorités françaises, au point que Paris adresse ses observations à la Cour. Next INpact dévoile ce document.
Le 3 décembre, coup de tonnerre. Le Conseil constitutionnel censure la possibilité pour le procureur de la République de requérir les données d’identification et de facturation (les « fadettes ») dans les enquêtes préliminaires.
Il a dénoncé le manque d’encadrement à cette atteinte à la vie privée, alors que ces données « fournissent sur les personnes en cause ainsi que le cas échéant, sur des tiers, des informations nombreuses et précises, particulièrement attentatoires à leur vie privée ».
Pour éviter de faire tomber comme un château de cartes toutes les enquêtes en cours, les neuf Sages ont reporté au 31 décembre 2022 la date d’abrogation des dispositions jugées inconstitutionnelles.
Le 7 décembre en séance, le député Philippe Latombe est cependant revenu à la charge pour soulever une lourde difficulté : en attendant le 31 décembre 2022, un arrêt de la Cour de justice de l’Union européenne (CJUE) risque d’être invoqué dès à présent par une armée d’avocats.
Dans cet arrêt dit « Prokuratuur » du 2 mars 2021, la CJUE a en effet jugé contraire au droit européen une législation nationale « donnant compétence au ministère public, dont la mission est de diriger la procédure d’instruction pénale et d’exercer (…) l’action publique lors d’une procédure ultérieure, pour autoriser l’accès d’une autorité publique aux données relatives au trafic et aux données de localisation aux fins d’une instruction pénale ».
Face au député qui s’interrogeait sur la fragilité des procédures pénales actuelles outre le manque d’effectif dans la magistrature pour contrôler plus solidement ces réquisitions, Éric Dupond-Moretti a botté en touche : « Je veux vous rassurer, l’arrêt Prokuratuur de la Cour de justice de l’Union semble ne concerner que le parquet estonien ».
Et de promettre que la législation à venir d’ici le 31 décembre 2022 « n’aura aucune incidence en termes d’effectifs de magistrats ».
Quand la France intervient dans le dossier estonien
L’argument n’a pas vraiment convaincu tant les termes de l’arrêt de la CJUE semblent bien applicables au régime français, parfaitement similaire. Et les propos rassurants du ministre de la Justice tranchent avec les gesticulations du gouvernement pour tenter d’influer la décision de la CJUE dans un sens favorable à sa propre cause.
Pour s’en convaincre, nous avons pu nous procurer les « observations » que le gouvernement avait transmises le 1er avril 2019 à la cour luxembourgeoise en amont de cet arrêt Prokuratuur.
Ces observations « sont confidentielles et ne peuvent pas faire l’objet d’une communication au public », nous avait indiqué la Cour de justice, mais nous avons malgré tout pu les récupérer pour les diffuser intégralement ci-dessous.
Autant le dire, le gouvernement français a tenté le tout pour le tout pour espérer sauver sa législation interne, dans ce dossier beaucoup moins estonien-centré que veut le faire croire le ministre de la Justice.
Les autorités françaises concèdent que l’accès aux données de connexion constitue une ingérence possiblement grave dans le droit à la vie privée ou dans le droit à la protection des données à caractère personnel.
Ingérence grave, ingérence non grave
Cette ingérence « grave » pourrait néanmoins être justifiée pour lutter contre la criminalité elle-même qualifiée de grave. « En revanche, lorsque l’ingérence que comporte un tel accès n’est pas grave, ledit accès est susceptible d’être justifié par un objectif de prévention, de recherche, de détection et de poursuite d’"infractions pénales" en général ».
Paris estime donc que l’analyse de proportionnalité permettrait l’accès aux données de connexion, soit parce que l’ingérence n’est pas profonde, soit parce qu’elle est profonde, mais concerne une infraction grave.
Mieux encore, pour le gouvernement, la mesure de la gravité de l’ingérence « résulte d’un examen concret des circonstances propres à chaque espèce, lesquelles peuvent inclure la durée de la période pour laquelle les autorités ont accès à ces données ».
En clair là encore, l’exécutif a tenté d’expliquer qu’une ingérence peut être qualifiée de « non grave » parce que limitée dans le temps, quand bien même porterait-elle donc sur un large éventail de données de connexion.
Paris en quête de larges marges d'appréciation
Le gouvernement français a tout autant fait valoir aux yeux de la Cour que « les conditions matérielles et procédurales d’accès des autorités compétentes aux données à caractère personnel » conservées par les FAI et les opérateurs doivent relever de l’interprétation de chaque État, et sûrement pas d’une notion autonome du droit de l’Union.
En somme, Paris défendait une position laissant une grande marge d’appréciation à chaque État membre, aussi bien s’agissant de la liste des infractions relevant de la « criminalité grave », que pour l’appréciation de la période sur laquelle peut porter l’accès, mais également les catégories de données de connexion pouvant faire l’objet d’une réquisition.
Un « accès capital » même pour les infractions de droit commun
Dans ces mêmes observations, « le gouvernement français entend démontrer que si l’accès aux données de trafic et de localisation conservées par les fournisseurs de communications électroniques sur une certaine période est justifié et indispensable en matière de lutte contre la criminalité grave, notamment en matière de terrorisme, un tel accès s’avère également capital, au quotidien, pour la lutte contre la criminalité de droit commun ».
Au contraire, une limitation systématique de l’accès des autorités à ces données de connexion « pour une durée particulièrement réduite » et des infractions non graves « porterait gravement atteinte à l’efficacité d’un grand nombre d’enquêtes pour lesquelles les autorités compétentes, aux fins de manifestation de la vérité, doivent disposer d’un accès aux mêmes données pour une période plus longue ».
Le document révélé ci-dessous cite plusieurs exemples : « disparition inquiétante d’une personne », « harcèlement », « appels téléphoniques ou messages électroniques malveillants répétés »…
Tous ces faits exigent de « remonter dans le temps sur une période de plus d’un jour », soit pour retrouver la personne, soit pour qualifier la répétition du comportement délictuel :
« Il en va de même lorsque les modalités de participation à l’infraction impliquent une entente préalable et donc des échanges en amont de la commission d’une infraction, par exemple pour les associations de malfaiteurs, les trafics de stupéfiants ou de simples complicités ».
Et pour gagner encore davantage de liberté d’action, dans ce dossier pas si estonien, les autorités françaises soulignent que le degré de gravité d’une infraction peut être révélé non immédiatement. « D’où l’importance de ménager la possibilité pour les enquêteurs d’accéder à des données pour une durée plus ou moins longue, selon les situations auxquelles ils sont confrontés ».
Ce n’est pas tout. Ses arguments considèrent que « seules les législations des États membres sont à même de garantir, lors de la détermination des modalités d’accès aux données de trafic et de localisation, l’efficacité de ce dispositif aux fins d’assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales », sous le respect du principe de proportionnalité.
Ce même principe qui a été considéré comme inefficient par le Conseil constitutionnel, lorsqu’il a censuré les réquisitions du procureur de la République…
Paris tente de sauver le rôle du ministère public
Pour couronner l’analyse, les observations françaises indiquent que le ministère public peut parfaitement supporter la charge du contrôle préalable de ces accès aux données de connexion. La France, qui va prendre la présidence de l’UE le 1er janvier, se drape derrière le « principe de l’autonomie institutionnelle des États membres ».
Pour elle, il suffit qu’il dispose d’une « autonomie fonctionnelle » pour valider sa conformité européenne. « Le gouvernement français estime que le ministère public d’un État membre, tel que celui en cause dans le litige au principal, présente des garanties d’indépendance suffisantes pour assurer […] le contrôle préalable de l’accès des autorités nationales aux données personnelles lorsqu’un tel accès est nécessaire aux fins d’assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ».
Et les observations de citer un passage de l'arrêt « Thiam » de la Cour européenne des droits de l’Homme concernant justement son système législatif :
La justice de l'UE n’a pas suivi les pistes suggérées par Paris
L’intervention française dans ce dossier estonien aurait pu sauver le rôle du procureur de la République dans notre législation. Mais la CJUE n’a pas décidé de suivre les pistes parisiennes.
Elle a jugé contraire au droit européen « une réglementation nationale permettant l’accès d’autorités publiques à un ensemble de données relatives au trafic ou de données de localisation […] à des fins de prévention, de recherche, de détection et de poursuite d’infractions pénales » lorsque cet accès n'est pas circonscrit à la lutte contre la criminalité grave ou à la prévention de menaces graves contre la sécurité publique.
Et « ce indépendamment de la durée de la période pour laquelle l’accès auxdites données est sollicité et de la quantité ou de la nature des données disponibles pour une telle période ».
La même Cour a de même considéré que le droit de l’UE « s’oppose à une réglementation nationale donnant compétence au ministère public, dont la mission est de diriger la procédure d’instruction pénale et d’exercer, le cas échéant, l’action publique lors d’une procédure ultérieure, pour autoriser l’accès d’une autorité publique aux données relatives au trafic et aux données de localisation aux fins d’une instruction pénale ».
Conclusion : Paris n’a pas su sauver son système législatif. Et, ainsi que l’a relevé le juriste Nicolas Hervieu, cet arrêt concerne bien la France. Il est donc bien mobilisable par un avocat français.
