16h45 : précisions au sujet de l'article 60-1-2 du code de procédure pénale
Saisi d'une QPC par la Cour de cassation, le Conseil constitutionnel vient de valider le dispositif de réquisition de données informatiques et de connexions en enquête de flagrance. Il ne viole pas le droit à la vie privée et est déclaré conforme à la Constitution, quand bien même la CJUE l'avait invalidé et qu'il serait contraire au droit européen.
Saisi le 11 mars 2022 par la Cour de cassation d'une question prioritaire de constitutionnalité (QPC), le Conseil constitutionnel vient de juger que les conditions de réquisition de données informatiques dans le cadre d'une enquête de flagrance « opèrent une conciliation équilibrée entre l'objectif de valeur constitutionnelle de recherche des auteurs d'infractions et le droit au respect de la vie privée » :
« Par conséquent, ces dispositions, qui ne méconnaissent aucun autre droit ou liberté que la Constitution garantit, doivent être déclarées conformes à la Constitution ».
Le requérant reprochait à la loi française de « permettre au procureur de la République ou à l'officier de police judiciaire, dans le cadre d'une enquête de flagrance, de requérir la communication de données de connexion sans le contrôle préalable d'une juridiction indépendante », au motif qu' « il en résulterait une méconnaissance du droit au respect de la vie privée ».
L'article 60-1 du code de procédure pénale leur permet en effet de « requérir par tout moyen des informations intéressant l'enquête détenues par toute personne publique ou privée, y compris celles issues d'un système informatique ou d'un traitement de données nominatives, sans que puisse lui être opposée, sans motif légitime, l'obligation au secret professionnel ».
L'article 60-2 du même code leur permet en outre de « requérir d'un organisme public ou de certaines personnes morales de droit privé, par voie télématique ou informatique, la mise à disposition d'informations utiles à la manifestation de la vérité non protégées par un secret prévu par la loi, contenues dans un système informatique ou un traitement de données nominatives ».
Ils peuvent dès lors avoir accès ou se faire communiquer des données de connexion, qui « comportent notamment les données relatives à l'identification des personnes, à leur localisation et à leurs contacts téléphoniques et numériques ainsi qu'aux services de communication au public en ligne qu'elles consultent », rappelle le Conseil constitutionnel :
« Compte tenu de leur nature, de leur diversité et des traitements dont elles peuvent faire l'objet, les données de connexion fournissent sur les personnes en cause ainsi que, le cas échéant, sur des tiers, des informations nombreuses et précises, particulièrement attentatoires à leur vie privée. »
Le Conseil valide l'ancien dispositif
Le juriste et spécialiste en droit européen Nicolas Hervieu note que « surtout, à rebours complet de la jurisprudence récente de la CJUE, il juge que le seul contrôle du parquet ("magistrat de l'ordre judiciaire") peut suffire ».
La Cour de justice de l'Union européenne avait en effet « jugé que l'accès aux données à des fins pénales exige un contrôle préalable par une juridiction ou autorité indépendante », rappelle le juriste, « et surtout que le ministère public (autorité de poursuite) ne peut assumer cette fonction de contrôle ».
« Le Conseil valide l'ancien dispositif », résume le (cyber)gendarme et doctorant en droit privé et sciences criminelles Matthieu Audibert, qui y consacre un thread sur Twitter :
« Le Conseil constitutionnel préserve la possibilité pour les enquêteurs de requérir en flagrance les données de connexion (fadettes - données de trafic / localisation) avec un message en creux sur le nécessaire contrôle de proportionnalité du parquet. »
« Contrairement aux dispositions censurées relatives à l'enquête préliminaire », explique-t-il, le Conseil constitutionnel juge en effet que les garanties entourant ces réquisitions sont suffisantes, comme l'expliquent les Sages dans leur décision : « d'une part, ces dispositions ne permettent les réquisitions de données que dans le cadre d'une enquête de police portant sur un crime flagrant ou un délit flagrant puni d'une peine d'emprisonnement » :
« D'autre part, la durée de cette enquête est limitée à huit jours. Elle ne peut être prolongée, pour une nouvelle durée maximale de huit jours, sur décision du procureur de la République, que si l'enquête porte sur un crime ou un délit puni d'une peine d'emprisonnement égale ou supérieure à cinq ans et si les investigations ne peuvent être différées. »
Enfin, souligne Matthieu Audibert, « le Conseil envoie un message en creux sur le nécessaire contrôle de proportionnalité sur les actes d'investigations que doit réaliser le procureur de la République [et] adopte une position radicalement différente de la CJUE qui juge que l'accès aux données de connexion à des fins pénales exige un contrôle préalable par une juridiction ou autorité indépendante » :
« Selon la CJUE, dans la mesure où le ministère public est l'autorité de poursuite (il exerce l'action publique), il ne peut assumer cette fonction de contrôle. »
Un « patch » via la loi visant à combattre le harcèlement scolaire
« Conclusion », précise Matthieu Audibert, « dans tous les cas et dans la mesure où la loi a évolué depuis, les enquêteurs appliquent désormais les dispositions de l'article 60-1-2 du code de procédure pénale », les articles 60-1 et 60-2 du code de procédure pénale ayant été modifiés par la loi du 2 mars 2022.
Cet article, introduit en janvier 2022 par un amendement de la rapporteure du Sénat de la proposition de loi visant à combattre le harcèlement scolaire, visait en effet à répondre à une QPC où le Conseil constitutionnel avait censuré, en décembre 2021, les dispositions du code de procédure pénale relatives aux réquisitions « au motif qu’elles permettent de requérir des données de connexion, sans prévoir de garanties propres à assurer une conciliation équilibrée entre le droit au respect de la vie privée et la recherche des auteurs d’infractions », ce pourquoi il avait également différé les effets de sa décision au 31 décembre 2022.
La sénatrice avait justifié son amendement en expliquant que « ces réquisitions sont cependant indispensables pour identifier les auteurs de harcèlement scolaire commis par le biais de réseaux sociaux, ce qui est fréquemment le cas » :
« Dès lors, afin d’éviter l’impunité de ces personnes, il importe de compléter le code de procédure pénale pour prévoir, en matière de réquisition de données de connexion, des garanties répondant aux exigences constitutionnelles, en prévoyant que ces réquisitions ne seront possibles que pour les crimes ou les délits punis d’au moins trois ans d’emprisonnement, et si les nécessités de la procédure l’exigent (ces conditions étant notamment similaires à celles prévues par l’article 100 du CPP pour les écoutes téléphoniques). »
Conforme à la Constitution, mais contraire au droit européen
Alexandre Archambault, lui aussi spécialiste de ces questions, estime pour sa part que « la conformité du récent patch pour les enquêtes préliminaires [...] créant l'art 60-1-2 CPP est donc loin d'être acquise ».
Il n'en reste pas moins que, pour lui, cette décision du Conseil constitutionnel « sauve les réquisitions de données informatiques (pas que les FADET, mais tout ce qui peut être contenu dans un traitement de données personnelles) en enquête de flagrance. »
L'avocat souligne en outre que « s'agissant de données détenues par des sociétés de droit étranger, la Cour de Cassation rappelle qu'elles restent parfaitement libres de ne pas répondre à une réquisition formulée directement en dehors des circuits d'entraide ».
Et relève que, « dans l'attente de l'arrêt CJUE C-339/20, cela condamne encore un peu plus (contrairement à la position plus "souple" du Conseil d'État sur cette question) le droit de communication de l'administration hors contrôle préalable par un magistrat de l'ordre judiciaire ».
Maître Eolas rappelle de son côté que « cette validation par le conseil constitutionnel n’a aucun effet sur l’INvalidation par la CJUE. Le système français reste illégal car contraire au droit européen ¯\_(ツ)_/¯ » :
« Le fait qu’un texte soit conforme à la constitution ne l’empêche pas de violer le droit européen et d’être illégal en application de la constitution. Le contrôle de conformité de la loi au droit européen ne relève pas du Conseil constitutionnel. »
