Le 25 octobre 2022[1], la Chambre criminelle de la Cour de cassation a rendu sa décision sur le pourvoi formé contre un arrêt de la Chambre de l’instruction de Paris ayant refusé de prononcer l’annulation des procès-verbaux d’exploitation des données de connexion du requérant ; lequel était mis en examen des chefs de « vols, recel, modification frauduleuse des données d’un système de traitement automatisé mis en œuvre par l’Etat, en bande organisée, et association de malfaiteurs ».
Cet arrêt est l’occasion pour la Chambre criminelle d’appliquer les principes qu’elle a dégagés dans ses très commentées décisions du 12 juillet 2022 et que la Haute juridiction rappelle en ces termes :
« 10. L’article L. 34-1, III, du code des postes et des communications électroniques, dans sa version issue de la loi n° 2013-1168 du 18 décembre 2013, mis en œuvre par l’article R. 10-13 dudit code, tel qu’il résultait du décret n° 2012-436 du 30 mars 2012, est contraire au droit de l’Union européenne en ce qu’il imposait aux opérateurs de services de télécommunications électroniques, aux fins de lutte contre la criminalité, la conservation généralisée et indifférenciée des données de connexion, à l’exception des données relatives à l’identité civile, aux informations relatives aux comptes et aux paiements, ainsi qu’en matière de criminalité grave, de celles relatives aux adresses IP attribuées à la source d’une connexion.
- En revanche, la France se trouvant exposée, depuis décembre 1994, à une menace grave et réelle, actuelle ou prévisible à la sécurité nationale, les textes précités de droit interne étaient conformes au droit de l’Union en ce qu’ils imposaient aux opérateurs de services de télécommunications électroniques de conserver de façon généralisée et indifférenciée les données de trafic et de localisation, aux fins de la recherche, de la constatation et de la poursuite des infractions portant atteinte aux intérêts fondamentaux de la Nation et des actes de terrorisme, incriminés aux articles 410-1 à 422-7 du code pénal.
- Les articles 60-1 et 60-2, 77-1-1 et 77-1-2, 99-3 et 99-4 du code de procédure pénale, dans leur version antérieure à la loi n° 2022-299 du 2 mars 2022, lus en combinaison avec le sixième alinéa du paragraphe III de l’article préliminaire du code de procédure pénale, permettaient aux autorités compétentes, de façon conforme au droit de l’Union, pour la lutte contre la criminalité grave, en vue de l’élucidation d’une infraction déterminée, d’ordonner la conservation rapide, au sens de l’article 16 de la Convention du Conseil de l’Europe sur la cybercriminalité du 23 novembre 2001, des données de connexion, même conservées aux fins de sauvegarde de la sécurité nationale.
- Il appartient à la juridiction, lorsqu’elle est saisie d’un moyen en ce sens, de vérifier, d’une part, que les éléments de fait justifiant la nécessité d’une telle mesure d’investigation répondent à un critère de criminalité grave, dont l’appréciation relève du droit national, d’autre part, que la conservation rapide des données de trafic et de localisation et l’accès à celles-ci respectent les limites du strict nécessaire.
- S’agissant de la gravité des faits, il appartient au juge de motiver sa décision au regard de la nature des agissements de la personne poursuivie, de l’importance du dommage qui en résulte, des circonstances de la commission des faits et de la durée de la peine encourue.
- Enfin, l’existence d’un grief pris de l’absence de contrôle préalable par une juridiction ou une entité administrative indépendante n’est établie que lorsque l’accès a porté sur des données irrégulièrement conservées, pour une finalité moins grave que celle ayant justifié la conservation hors hypothèse de la conservation rapide, n’a pas été circonscrit à une procédure visant à la lutte contre la criminalité grave ou a excédé les limites du strict nécessaire.»
Au vu de ces principes, la Chambre criminelle juge que l’arrêt de la Chambre de cassation encoure la cassation et ce pour de multiples motifs dont le dernier est particulièrement instructif :
- en premier lieu, la Chambre de l’instruction a estimé pouvoir écarter la nullité des réquisitions litigieuses au motif que, au jour où elle a statué[2], le délai accordé par le Conseil d’Etat au gouvernement pour modifier le droit interne n’était pas épuisé et que, dès lors, elle pouvait en faire application. La Chambre criminelle considère que la juridiction d’appel, « saisie d’un moyen pris de l’illégalité des dispositions de l’article R.10-13 du code des postes et télécommunicationcomme contraire aux exigences de l’Union européenne », était pourtant tenue « d’en apprécier la pertinence » et d’assurer la primauté du droit de l’Union sur le fondement de l’article 111-5 du code pénal :
« Les juridictions pénales sont compétentes pour interpréter les actes administratifs, réglementaires ou individuels et pour en apprécier la légalité lorsque, de cet examen, dépend la solution du procès pénal qui leur est soumis. »
Il est ainsi rappelé à la Chambre de l’instruction qu’il lui appartient de procéder à un contrôle de conventionnalité et ce quand bien même les dispositions en cause ne devaient être abrogées qu’après le prononcé de sa décision.
- en deuxième lieu, la Chambre criminelle dit pour droit que la notion de « criminalité grave » ne peut résulter des seules qualifications retenues pour les faits objet de la procédure. Aussi, « s’agissant de la conservation de l’adresse IP du requérant, ainsi que de ses données de trafic et de localisation», la Chambre de l’instruction a obligation de vérifier que lesdits faits :
« relevaient de la criminalité grave, au regard de la nature des agissements en cause, de l’importance du dommage en résultant, des circonstances de la commission des faits et de la durée de la peine encourue »
Dit autrement, l’énoncé des chefs de mis en examen ne suffisent pas à déterminer, « à l’évidence », une appartenance à la « criminalité grave ».
- en troisième et dernier lieu, outre le rappel – s’agissant de la conservation des données de trafic et de localisation – du contrôle du respect des « limites du strict nécessaire» que devait opérer la Chambre de l’instruction sur ladite conservation et l’accès aux données, la Chambre criminelle apporte une précision d’importance quant à l’un des principes majeurs définis dans ses arrêts du 12 juillet 2022.
En effet, la Cour de cassation souligne qu’une commission rogatoire rédigée en des termes généraux équivaut à une absence de contrôle préalable par une juridiction aux fins d’autorisation de l’accès aux données de trafic et de localisation :
« la Cour de cassation est en mesure de s’assurer, par l’examen de la procédure, dont elle a le contrôle, qu’il ne résulte d’aucune pièce que le magistrat instructeur, qui a délivré une commission rogatoire rédigée en des termes généraux, ait autorisé les officiers de police judiciaire à procéder aux réquisitions adressées aux opérateurs de télécommunications, en en fixant la durée et le périmètre.
- Il s’ensuit que l’accès aux données de connexion n’a pas été réalisé de façon conforme au droit de l’Union européenne. Une telle irrégularité n’est de nature à entraîner la nullité que si l’existence d’un grief est établie, conformément au paragraphe 15 de cet arrêt. »
On rappellera, cependant, que l’absence d’un tel contrôle n’entraine pas nécessairement la nullité. Ainsi que le rappelle la Chambre criminelle, il revenait bien à la Chambre de l’instruction de rechercher si le grief soulevé par le requérant était ou non établi :
« Enfin, la chambre de l’instruction ne pouvait, sans méconnaître le principe d’équivalence du droit européen, énoncer qu’en cas de méconnaissance de celui-ci, il appartiendrait à la juridiction de jugement d’apprécier la valeur probante des procès-verbaux dressés, mais devait rechercher si un grief était établi, conformément au paragraphe 15 de cet arrêt et, en ce cas, prononcer la nullité des actes litigieux. »
La Chambre de l’instruction de la Cour d’appel de Paris, autrement composée, aura l’occasion d’opérer ce contrôle dans le cadre du renvoi décidé, dans la présente affaire, par la Chambre criminelle de la Cour de cassation.
[1] Cass. Crim., 25 octobre 2022, n° 21-87.397.
[2] Par un arrêt du 21 avril 2021, French Data Network, n° 393099 , le Conseil d’Etat a annulé les décisions du Premier ministre refusant d’abroger l’ « article R. 10-13 du code des postes et des communications électroniques et le décret du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne, en tant que ces dispositions réglementaires, d’une part, ne limitent pas les finalités de l’obligation de conservation généralisée et indifférenciée des données de trafic et de localisation autres que les données d’identité civile, les coordonnées de contact et de paiement, les données relatives aux contrats et aux comptes et les adresses IP à la sauvegarde de la sécurité ». La Haute juridiction administrative a accordé au gouvernement un délai de 6 mois à compter de sa décision pour procéder auxdites abrogations ; la Chambre de l’instruction ayant statué le 2 décembre 2021, le délai de 6 mois n’était pas encore épuisé.