Captation de données à distance et souveraineté des États

Le maintien d’une captation de données lors d’un déplacement transfrontalier de l’appareil concerné ne méconnaît pas le principe de souveraineté des États. En revanche, pour les États de l’Union européenne, il est nécessaire de notifier l’interception aux autorités du pays où l’appareil est déplacé, ce qui peut être fait par l’émission et la transmission d’une décision d’enquête européenne.

Une information judiciaire a été ouverte des chefs d’importation de stupéfiants en bande organisée, infractions aux législations sur les stupéfiants et sur les armes, association de malfaiteurs, blanchiment aggravé et blanchiment. Au cours des investigations, un dispositif de captation de données informatiques en temps réel a été implanté dans le téléphone d’un suspect. Les enquêteurs ont donc pu accéder à ses messages, ses conversations et autres données en permanence, y compris quand le mis en cause était en déplacement ; le franchissement des frontières de l’Espagne, de la Tchéquie et d’autres États n’a pas empêché le dispositif de fonctionner. Le propriétaire du téléphone en cause a finalement été placé sous le statut de mis en examen. Dans ce cadre, il a demandé l’annulation de pièces de la procédure.

Par un arrêt du 18 novembre 2024, la chambre de l’instruction de la Cour d’appel d’Aix-en-Provence a rejeté la demande d’annulation des procès-verbaux relatifs à la captation de données informatiques à distance. En réaction, le mis en examen a formé un pourvoi en cassation. Alors que les deux premières branches de son second moyen sont relatives à des points particuliers du régime juridique des techniques spéciales d’enquête, la troisième branche convoque un principe original au soutien du pourvoi : le principe de souveraineté des États.

Le maintien d’un dispositif de captation de données ne contrevient pas au principe de souveraineté des États

Dans son pourvoi, le mis en examen a exposé une règle fondamentale : le principe de souveraineté des États interdit aux officiers de police judiciaire de réaliser des actes d’investigation portant atteinte à la vie privée en dehors du territoire national. Il en déduit que la captation de données informatiques contenues dans un appareil déplacé à l‘étranger ne peut continuer qu’avec l’autorisation expresse de l’État concerné. Or, en l’espèce, s’il est établi que les autorités tchèques et espagnoles avaient été informées, aucun accord exprès ne figurait dans le dossier. La chambre de l’instruction n’a pas été convaincue par ce moyen. Selon les juges du fond, il faut opérer une distinction en fonction du besoin d’assistance des autorités de l’État étranger concerné : si l’assistance technique des autorités étrangères est requise, il faut obtenir leur autorisation, tandis que rien ne l’impose si les enquêteurs français peuvent mettre en œuvre seuls la technique d’investigation. À cet égard, la chambre de l’instruction précise « qu’aucun texte ni aucune jurisprudence concernant en propre la captation de données informatiques ne subordonne la validité de l’exploitation des données captées par un key logger lorsque le téléphone se trouve à l’étranger ».

La chambre criminelle, tout en rejetant le pourvoi, a tout de même indiqué qu’il y a des règles qui encadrent la captation de données d’un appareil déplacé à l’étranger. Sur ce point, une distinction doit être opérée entre les États de l’Union européenne (à l’exception du Danemark et de l’Irlande) et le reste du monde. En dehors de l’Union européenne et en l’absence de traité international, la règle est de ne pas porter atteinte à la souveraineté de l’État. Or, selon la Cour de cassation, la captation de données informatiques d’un téléphone déplacé à l’étranger implique seulement le transit des données par le réseau d’un opérateur de l’État étranger, ce qui ne suffit pas à caractériser une atteinte à la souveraineté. La Haute juridiction a ensuite repris les règles propres aux pays de l’Union européenne. Elle estime que la situation rentre dans le domaine d’application de la directive n° 2014/41/UE du 3 avril 2014 concernant la décision d’enquête européenne en matière pénale. En effet, cet instrument traite notamment de la question des interceptions de télécommunications transfrontalières : si l’État ayant autorisé l’interception n’a pas besoin de l’assistance technique de l’État de résidence du mis en cause, l’État interceptant peut se contenter de notifier la mesure à l’autre État (Dir. n° 2014/41/UE, art. 31). Or, la Cour de justice de l’Union européenne assimile l’infiltration d’appareils terminaux visant à extraire des données de communication, de trafic et de localisation à une mesure d’interception de télécommunications (CJUE 30 avr. 2024, M. N., aff. C-670/22, § 114, Dalloz actualité, 31 mai 2024, obs. H. Christodoulou ; AJDA 2024. 1107, chron. P. Bonneville et A. Iljic ; D. 2025. 1194 , note M. Lassalle ; AJ pénal 2024. 324, note H. Partouche et C. Berthélémy ; RTD eur. 2024. 667, obs. M. Benlolo Carabot ). Dès lors, la possibilité de se contenter d’une notification dans les conditions de la directive du 3 avril 2014 s’appliquait en l’espèce. Cette notification avait bien été réalisée, au moyen de l’émission et la transmission à l’Espagne et à la Tchéquie de décisions d’enquête européenne, et ces États ne s’y étaient pas opposés. Par conséquent, la captation de données informatiques était régulière.

Pour les interactions entre le droit pénal et le principe de souveraineté, la règle a été donnée dans l’affaire du Lotus : « la limitation primordiale qu’impose le droit international à l’État est celle d’exclure – sauf l’existence d’une règle permissive contraire – tout exercice de sa puissance sur le territoire d’un autre État » (CPJI 7 sept. 1927, France c/ Turquie, Rec. CPJI, série A, n° 10). Il faut donc dans un premier temps vérifier si la situation en cause relève d’une convention internationale. C’était bien le cas en l’espèce et la procédure était conforme aux exigences de la directive du 3 avril 2014. À défaut de convention internationale, il faut concrètement apprécier s’il y a une atteinte à la souveraineté. Sur cet aspect, la motivation de la Cour de cassation est relativement lapidaire et le constat d’absence d’atteinte à la souveraineté interroge. Pour la chambre criminelle, au moment où le téléphone se trouvait à l’étranger, l’opération de captation de données pouvait être réduite à un transit de données. Autrement dit, il y aurait plusieurs phases distinctes : celle de l’infection de l’appareil par le dispositif espion, qui a une nature coercitive, et qui pourrait être attentatoire à la souveraineté de l’État où elle est réalisée, et celle de captation des données, plus inoffensive. Pour autant, la Cour de cassation ne s’est pas intéressée au fonctionnement concret du dispositif. C’était pourtant une donnée importante : peut-être qu’au cours de sa période de fonctionnement, le dispositif espion devait être réactivé, peut-être qu’il était amené à supprimer des données et anéantir des protections logicielles, auquel cas la période d’activité aurait elle aussi un caractère coercitif. Toutefois, on ne doit pas reprocher aux juges de ne pas prendre en considération tous les aspects techniques des captations de données. En effet, en la matière, le dispositif espion est confectionné par un expert ou par le service technique national de captation judiciaire, habilité à utiliser des moyens couverts par le secret de la défense nationale (C. pr. pén., art. 706-102-1). Par conséquent, toutes les informations techniques sur le fonctionnement du dispositif ne figurent pas au dossier.

Une question reste en suspens : quelle sanction doit recevoir un acte réalisé en méconnaissance du principe de souveraineté des États ? Il semble qu’en la matière, on ne puisse pas appliquer le droit commun. En effet, la seule méconnaissance du principe de souveraineté des États ne peut véritablement faire grief qu’à l’État en cause, pas à la personne concernée. Pour autant, il est primordial que ces agissements soient sanctionnés, y compris en procédure. À défaut, on pourrait y voir une sorte de blanc-seing aux investigations extraterritoriales, qui, à terme, pourrait conduire à des difficultés diplomatiques. Seule la qualification de nullité d’ordre public, qui fait disparaître l’exigence de grief, permettrait une sanction efficace de ces irrégularités.

Précisions sur le régime des captations de données

Pour réaliser une captation de données contenues dans un appareil à l’insu de son propriétaire, il est nécessaire d’infecter ledit appareil avec un logiciel espion. Plusieurs méthodes peuvent être utilisées pour inoculer le virus, notamment via un vecteur physique ou à distance. En fonction de la méthode retenue, une atteinte aux droits du mis en cause peut s’ajouter à celle qui résulte de la captation. Pour cette raison, le juge des libertés et de la détention ou le juge d’instruction doivent spécialement autoriser l’entrée dans des lieux privés pour la pose du dispositif (C. pr. pén., art. 706-102-5, al. 1er) ou la transmission du dispositif espion par un réseau de communication électronique (C. pr. pén., art. 706-102-5, al. 2). En l’espèce, le dispositif avait été transmis par ce moyen. Le pourvoi reprochait au juge ayant autorisé la mesure de ne pas avoir expressément précisé que le dispositif serait déployé à distance. En effet, dans son ordonnance, le juge d’instruction a seulement indiqué donner « mission au service commis de requérir une unité ou un organisme en vue de procéder à l’installation, l’entretien et le retrait du dispositif technique dans les formes prévues par les dispositions de l’article 706-102-5 du code de procédure pénale ». Toutefois, tant pour la chambre de l’instruction que pour la Cour de cassation, la mention de cet article était suffisante, car elle permettait de déduire sans équivoque que le dispositif technique allait être transmis par un réseau de communications électroniques. En effet, il y a peu de risque de confusion avec la modalité mentionnée au premier alinéa de ce texte, à savoir la mise en place du dispositif technique par l’introduction dans un lieu privé, puisque, le cas échéant, l’ordonnance doit préciser le lieu concerné.

Les captations de données sont autorisées pour une durée limitée. En phase d’instruction, le principe est que l’autorisation d’avoir recours à cette technique d’investigation vaut pour une durée maximale de quatre mois, qui peut être renouvelée par une nouvelle ordonnance, tant que la durée cumulée n’excède pas deux ans (C. pr. pén., art. 706-95-16). En l’espèce, la mise en place initiale du dispositif a eu lieu le 12 septembre 2022 et un renouvellement a été ordonné par une ordonnance du 11 janvier 2023. Sauf qu’avant ce renouvellement, le 9 janvier 2023, les enquêteurs ont pris l’initiative d’enjoindre le Directeur général de la sécurité intérieure de charger le service technique national de captation judiciaire de prolonger la mise en place du dispositif. Sans remettre en question ce fait, la chambre de l’instruction a estimé que l’initiative des enquêteurs ne pouvait pas faire grief au mis en cause, car le maintien de la mesure n’avait pris effet qu’après que l’ordonnance de prolongation a été rendue. La Cour de cassation a surenchéri, en relevant que, même si le maintien avait été exécuté avant la délivrance de l’autorisation, il n’aurait tout de même pas fait grief à l’intéressé, car l’autorisation est intervenue avant l’expiration de la mesure initiale. En effet, dans ce contexte, l’initiative des enquêteurs n’était pas susceptible de conduire au maintien de la mesure dans un temps non autorisé par un magistrat. A contrario, une demande de prolongation délivrée par des enquêteurs qui ne serait pas corroborée par une autorisation du juge d’instruction ou du juge des libertés conduirait à un maintien irrégulier de la captation. Enfin, sans préjuger de ce qui est arrivé dans la présente affaire, on peut relever le manque de délicatesse que constitue la communication de réquisition de prolongation par un enquêteur avant que l’autorisation du juge ait été rendue, du moins lorsque le magistrat et l’enquêteur n’agissent pas de concert. Mais le manque de délicatesse ne se règle pas par des règles de procédure.

 

Crim. 17 juin 2025, FS-B, n° 24-87.110

par Théo Scherer, Maître de conférences, Université de Caen Normandie, Institut caennais de recherche juridique (UR 967)

© Lefebvre Dalloz