Saisi d'une QPC par la Cour de cassation, le Conseil constitutionnel vient de valider le dispositif de réquisition de données informatiques et de connexions en enquête de flagrance. Il ne viole pas le droit à la vie privée et est déclaré conforme à la Constitution, quand bien même la CJUE l'avait invalidé et qu'il serait contraire au droit européen.
Saisi le 11 mars 2022 par la Cour de cassation d'une question prioritaire de constitutionnalité (QPC), le Conseil constitutionnel vient de juger que les conditions de réquisition de données informatiques dans le cadre d'une enquête de flagrance « opèrent une conciliation équilibrée entre l'objectif de valeur constitutionnelle de recherche des auteurs d'infractions et le droit au respect de la vie privée » :
« Par conséquent, ces dispositions, qui ne méconnaissent aucun autre droit ou liberté que la Constitution garantit, doivent être déclarées conformes à la Constitution ».
Le requérant reprochait à la loi française de « permettre au procureur de la République ou à l'officier de police judiciaire, dans le cadre d'une enquête de flagrance, de requérir la communication de données de connexion sans le contrôle préalable d'une juridiction indépendante », au motif qu' « il en résulterait une méconnaissance du droit au respect de la vie privée ».
L'article 60-1 du code de procédure pénale leur permet en effet de « requérir par tout moyen des informations intéressant l'enquête détenues par toute personne publique ou privée, y compris celles issues d'un système informatique ou d'un traitement de données nominatives, sans que puisse lui être opposée, sans motif légitime, l'obligation au secret professionnel ».
L'article 60-2 du même code leur permet en outre de « requérir d'un organisme public ou de certaines personnes morales de droit privé, par voie télématique ou informatique, la mise à disposition d'informations utiles à la manifestation de la vérité non protégées par un secret prévu par la loi, contenues dans un système informatique ou un traitement de données nominatives ».
Ils peuvent dès lors avoir accès ou se faire communiquer des données de connexion, qui « comportent notamment les données relatives à l'identification des personnes, à leur localisation et à leurs contacts téléphoniques et numériques ainsi qu'aux services de communication au public en ligne qu'elles consultent », rappelle le Conseil constitutionnel :
« Compte tenu de leur nature, de leur diversité et des traitements dont elles peuvent faire l'objet, les données de connexion fournissent sur les personnes en cause ainsi que, le cas échéant, sur des tiers, des informations nombreuses et précises, particulièrement attentatoires à leur vie privée. »
Le Conseil valide l'ancien dispositif
Le juriste et spécialiste en droit européen Nicolas Hervieu note que « surtout, à rebours complet de la jurisprudence récente de la CJUE, il juge que le seul contrôle du parquet ("magistrat de l'ordre judiciaire") peut suffire ».
La Cour de justice de l'Union européenne avait en effet « jugé que l'accès aux données à des fins pénales exige un contrôle préalable par une juridiction ou autorité indépendante », rappelle le juriste, « et surtout que le ministère public (autorité de poursuite) ne peut assumer cette fonction de contrôle ».
« Le Conseil valide l'ancien dispositif », résume le (cyber)gendarme et doctorant en droit privé et sciences criminelles Matthieu Audibert, qui y consacre un thread sur Twitter :
« Le Conseil constitutionnel préserve la possibilité pour les enquêteurs de requérir en flagrance les données de connexion (fadettes - données de trafic / localisation) avec un message en creux sur le nécessaire contrôle de proportionnalité du parquet. »
« Contrairement aux dispositions censurées relatives à l'enquête préliminaire », explique-t-il, le Conseil constitutionnel juge en effet que les garanties entourant ces réquisitions sont suffisantes, comme l'expliquent les Sages dans leur décision : « d'une part, ces dispositions ne permettent les réquisitions de données que dans le cadre d'une enquête de police portant sur un crime flagrant ou un délit flagrant puni d'une peine d'emprisonnement » :
« D'autre part, la durée de cette enquête est limitée à huit jours. Elle ne peut être prolongée, pour une nouvelle durée maximale de huit jours, sur décision du procureur de la République, que si l'enquête porte sur un crime ou un délit puni d'une peine d'emprisonnement égale ou supérieure à cinq ans et si les investigations ne peuvent être différées. »
Enfin, souligne Matthieu Audibert, « le Conseil envoie un message en creux sur le nécessaire contrôle de proportionnalité sur les actes d'investigations que doit réaliser le procureur de la République [et] adopte une position radicalement différente de la CJUE qui juge que l'accès aux données de connexion à des fins pénales exige un contrôle préalable par une juridiction ou autorité indépendante » :
« Selon la CJUE, dans la mesure où le ministère public est l'autorité de poursuite (il exerce l'action publique), il ne peut assumer cette fonction de contrôle. »
Un « patch » via la loi visant à combattre le harcèlement scolaire
« Conclusion », précise Matthieu Audibert, « dans tous les cas et dans la mesure où la loi a évolué depuis, les enquêteurs appliquent désormais les dispositions de l'article 60-1-2 du code de procédure pénale », les articles 60-1 et 60-2 du code de procédure pénale ayant été modifiés par la loi du 2 mars 2022.
Cet article, introduit en janvier 2022 par un amendement de la rapporteure du Sénat de la proposition de loi visant à combattre le harcèlement scolaire, visait en effet à répondre à une QPC où le Conseil constitutionnel avait censuré, en décembre 2021, les dispositions du code de procédure pénale relatives aux réquisitions « au motif qu’elles permettent de requérir des données de connexion, sans prévoir de garanties propres à assurer une conciliation équilibrée entre le droit au respect de la vie privée et la recherche des auteurs d’infractions », ce pourquoi il avait également différé les effets de sa décision au 31 décembre 2022.
La sénatrice avait justifié son amendement en expliquant que « ces réquisitions sont cependant indispensables pour identifier les auteurs de harcèlement scolaire commis par le biais de réseaux sociaux, ce qui est fréquemment le cas » :
« Dès lors, afin d’éviter l’impunité de ces personnes, il importe de compléter le code de procédure pénale pour prévoir, en matière de réquisition de données de connexion, des garanties répondant aux exigences constitutionnelles, en prévoyant que ces réquisitions ne seront possibles que pour les crimes ou les délits punis d’au moins trois ans d’emprisonnement, et si les nécessités de la procédure l’exigent (ces conditions étant notamment similaires à celles prévues par l’article 100 du CPP pour les écoutes téléphoniques). »
Conforme à la Constitution, mais contraire au droit européen
Alexandre Archambault, lui aussi spécialiste de ces questions, estime pour sa part que « la conformité du récent patch pour les enquêtes préliminaires [...] créant l'art 60-1-2 CPP est donc loin d'être acquise ».
Il n'en reste pas moins que, pour lui, cette décision du Conseil constitutionnel « sauve les réquisitions de données informatiques (pas que les FADET, mais tout ce qui peut être contenu dans un traitement de données personnelles) en enquête de flagrance. »
L'avocat souligne en outre que « s'agissant de données détenues par des sociétés de droit étranger, la Cour de Cassation rappelle qu'elles restent parfaitement libres de ne pas répondre à une réquisition formulée directement en dehors des circuits d'entraide ».
Et relève que, « dans l'attente de l'arrêt CJUE C-339/20, cela condamne encore un peu plus (contrairement à la position plus "souple" du Conseil d'État sur cette question) le droit de communication de l'administration hors contrôle préalable par un magistrat de l'ordre judiciaire ».
Maître Eolas rappelle de son côté que « cette validation par le conseil constitutionnel n’a aucun effet sur l’INvalidation par la CJUE. Le système français reste illégal car contraire au droit européen ¯\_(ツ)_/¯ » :
« Le fait qu’un texte soit conforme à la constitution ne l’empêche pas de violer le droit européen et d’être illégal en application de la constitution. Le contrôle de conformité de la loi au droit européen ne relève pas du Conseil constitutionnel. »
Commentaires (17)
#1
Il y a un point que j’ai du mal à comprendre : les anciennes procédures restent valides au regard du conseil constitutionnel( ils l’ont déjà fait sur d’autres réquisitions pour ne pas faire annuler d’anciennes procédures ou celles en cours), mais les futures le seraient elles dans les mêmes conditions ? Faudra t’ il l’accord du juge ou juste celui du procureur suffirait il?
#2
Les futures seront conformes à la Constitution dans les mêmes conditions. Par contre, elles resteront non-conformes au droit européen, qui prime sur le droit français (article 55 de la Constitution : “Les traités ou accords régulièrement ratifiés ou approuvés ont, dès leur publication, une autorité supérieure à celle des lois, sous réserve, pour chaque accord ou traité, de son application par l’autre partie.”)
#3
Le dernier paragraphe en dit long , à mon sens.
#4
Merci, mon doute est levé!
#5
On est d’accord que, du coup, toute entité qui se verrait réclamer des données de connections par la police peux refuser en invoquant ce droit européen (si elle est prête à surbir les procédures judiciaires afférentes que nos juges impartiaux seront ravi de lui infliger); et normalement gagner à la fin. Je parle ici non seulement d’un individu, mais aussi d’un FAI par exemple.
#6
Mais la Constitution est supérieure au droit européen. Si le Conseil constitutionnel dit que c’est bon, c’est que c’est bon.
#7
Vu que ni la constitution ni le conseil constitutionnel n’ont de « doctrine » propre sur le sujet, forcément (et tristement) ça navigue à vue d’un arrêt à l’autre.
Maître Eolas sort une boutade, mais ce n’est pas aussi facile que ça : il va falloir que la justice envoie une question préjudicielle ou décide de son propre chef que l’article en question est contraire au droit EU. Ça va surtout durer des plombes
#8
Ben non… Le droit européen (et les traités internationaux) priment sur le droit national… c’est un principe fondamental de nombreuses structures supra-nationales, dont l’U.E. …
Non-plus… si la cour européenne de justice dit que ce n’est pas bon, l’avis du conseil constitutionnel ne vaut pas plus que le papier sur lequel il a été rédigé: ça laisse la France en position où elle peut se faire condamner et éventuellement sanctionner.
Notons tout de même comme c’est amusant de voir une certaine classe politique pousser des hurlements quand on parle de désobéir à l’Europe quand il s’agit d’économie et se féliciter quand il s’agit de résister à un jugement de la CEUJ pour pouvoir fouler les droits humains tranquillement …
#9
Bien sûr que non, la Constitution prime toujours, et les Allemands sont particulièrement attentifs à ça. Après, bien sûr que la CE va dire le contraire, et en pratique le CC adapte à chaque fois la Constitution pour que ça colle.
https://fr.m.wikipedia.org/wiki/Hiérarchie_des_normes_en_droit_français
#9.1
tu as conscience qu’il n’y a dans ce cas pas conflit entre la constitution et le droit européen ?
Le conseil constitutionnel nous dit que l’article du code de procédure pénal n’est pas contraire à la constitution. Il ne dit pas qu’il est obligatoire en raison de la constitution.
Il est tout à fait possible à un texte d’être conforme à la constitution mais pas au droit européen, comme il est possible à un texte d’être conforme au droit européen mais pas conforme à la constitution.
Là en l’occurrence ça risque d’être prolongé de quelques mois ou années avec un ping-pong judiciaire
#10
D’un point de vue français, peut-être
D’un point de vue européen, non.
Entretenir le flou pour donner l’impression qu’on en a de plus grosses, c’est de bonne guerre.
Pour le reste, le ping-pong en cours est juste un acte de mauvaise foi de la France qui essaye de faire semblant que si la constitution n’interdit pas la collecte en masse de données de connexion, elle n’a pas à considérer le jugement de la CEUJ…
#11
Il y a moyen d’accélérer le mouvement, il faut juste informer les services juridiques des entreprises européennes susceptibles de prendre des services en France que cette dernière est un far-west où ils risquent de mettre la vie privée de leurs utilisateurs en porte-à-faux avec leur droit national ou européen… Si la France est perçue (à juste titre) comme un état délinquant en la matière, ça peut avoir des répercussions…
#12
Donc pour résumer, tu as du pognon pour payer des avocats tu pourras éventuellement aller te battre contre la France au niveau européen…et sinon tu fermes ta gueule de sale pauvre
#13
Disons que de toutes façons tu dois épuiser tous les recours nationaux avant d’aller à la CEUJ. Donc il y a un intérêt manifeste pour les pays pour faire durer les choses d’abord au niveau local, quitte à renvoyer les questions dans la mauvaise direction ou poser les mauvaises questions aux autorités (in)compétentes.
Ici, le conseil constitutionnel ne devrait même pas avoir à statuer sur la validité du dispositif de réquisition puisque celui-ci a déjà été invalidé par la CEUJ… c’est juste forcer les plaignants à faire des tours de manège en plus pour perpétuer des actes illégaux commis par une justice elle-même condamnée au niveau européen pour son manque d’indépendance.
#14
Tu ne confonds pas avec la CEDH ?
Un juge peut tout à fait poser une question préjudicielle avant d’avoir épuisé tous les recours internes, non ? Même si en pratique ce sont des « grosses » juridictions qui vont le faire (cours d’appel ou de cassation, conseil d’État…)
Mais ça va changer, une prof d’histoire-géo qui aidait le gouvernement à avoir des majorités vient d’être nommée au conseil constitutionnel, elle est tout à fait qualifiée pour !
#15
La cour européenne des droits de l’homme est une instance internationale qui ne dépend pas des institutions européennes mais du Conseil de l’Europe… elle n’est pas compétente pour juger la conformité des lois nationales aux traités de l’U.E., par contre, elle s’occupe du respect de la Convention Européenne des droits de l’Homme chez les pays signataires… (la Russie a d’ailleurs récemment retiré sa signature)
La cour de justice de l’U.E est par contre compétente pour assurer la conformité et l’uniformité de l’application du droit Européen dans les états membres. Elle n’intervient qu’en dernière ligne quand les recours nationaux ont été épuisés
Dans le cas qui nous occupe, la Cour de Justice de l’U.E a déjà statué sur ce point, et le fait que la cour de cassation ait renvoyé la patate à la cour constitutionnelle française est clairement une tentative pour faire trainer les choses, sans doutes pour aider le parquet à conclure certaines affaires qui ne pourraient pas l’être dans le respect du droit européen.
D’une manière, la France adopte de plus en plus un comportement proche de la Pologne ou de la Hongrie quand il s’agit du droit européen…
#16
Je crois que la Russie s’est fait virer du Conseil de l’Europe, ça n’a pas dû la motiver pour rester dans la CEDH…
Ça dépend pour quoi, quand il s’agit de RCP ou de politique culturelle visant à donner toujours plus aux “ayant-droits” quelconques, la France se paie même le luxe d’être en avance sur le droit européen ! On peut pas être champions partout !
(sur le sujet de l’organisation de la Justice, je pense qu’il y a un gros problème de culture chez nos dirigeants, qui n’ont pour on ne sait quelle raison aucune envie de voir le Judiciaire devenir un véritable Pouvoir, indépendant de l’Exécutif - déjà qu’on a du mal à voir le Législatif comme indépendant…)
(et sinon, merci pour tes explications complémentaires !)