L’invocation douteuse du droit de l’UE pour justifier l’accès aux données de connexion dans le but de vérifier le respect d’un contrôle judiciaire

07.11.2024

Par l’invocation directe d’une directive européenne, sans viser les fondements légaux nationaux, la chambre criminelle considère que les enquêteurs peuvent accéder aux données de connexion d’une personne mise en examen, pour des infractions relevant de la criminalité grave, afin de vérifier le respect de ses obligations de contrôle judiciaire.

Dans le domaine pénal, les exigences entourant l’accès aux données de connexion apparaissent en pleine mutation et se façonnent sous l’influence du droit de l’Union européenne. L’arrêt de la chambre criminelle, en date du 22 octobre 2024, illustre parfaitement ce phénomène en se fondant sur la directive « vie privée et communications électroniques » (art. 15 de la dir. 2002/58/CE, telle que modifiée par la dir. 2009/136/CE).

Un individu fait l’objet d’une information judiciaire pour un meurtre qu’il aurait commis en bande organisée. Mis en examen, il est placé en détention provisoire le 8 avril 2022 (§ 2). Près d’un an après, il est remis en liberté et placé sous contrôle judiciaire par la chambre de l’instruction (§ 3). Sur commission rogatoire, le 7 septembre 2023, les enquêteurs dressent un procès-verbal d’exploitation de ses données de téléphonie afin de vérifier le respect par l’intéressé des obligations de son contrôle judiciaire (§ 4). Or, la violation de ces dernières entraîne la révocation de la mesure et son placement en détention provisoire (§ 5). Le 13 décembre 2023, il demande l’annulation du procès-verbal d’étude de sa ligne téléphonique ainsi que des actes subséquents (§ 6).

La chambre de l’instruction de la Cour d’appel de Paris refuse de faire droit à sa demande, dans un arrêt du 12 février 2024 (§ 7). Les réquisitions des données de connexion étaient limitées à une période strictement indispensable, ont exclusivement concerné les activités en lien avec l’infraction et demeuraient à la fois nécessaires et proportionnées à la poursuite de celle-ci (§ 10). Elles sont donc régulières. La personne mise en examen forme alors un pourvoi en cassation. Selon elle, les données de trafic et de localisation d’une personne, conservées pour des raisons de sécurité nationale, ne peuvent être utilisées en procédure pénale que pour lutter contre la criminalité grave. Ainsi, elles ne pouvaient pas servir à vérifier le respect, par le mis en examen, des obligations imposées dans le cadre d’un contrôle judiciaire. Au soutien de sa prétention, il invoque le seul droit européen, à savoir, la directive relative à la vie privée et aux communications électroniques (Dir. 2002/58/CE, telle que modifiée par la dir. 2009/136/CE), des dispositions de la Convention européenne des droits de l’homme et de la Charte des droits fondamentaux (§ 7).

La chambre criminelle doit alors se demander si les enquêteurs pouvaient accéder aux données de connexion d’une personne mise en examen, pour des infractions relevant de la criminalité grave, afin de vérifier le respect de ses obligations de contrôle judiciaire.

Par un arrêt particulièrement laconique, elle rejette le pourvoi et répond, avec assurance, par l’affirmative en se fondant exclusivement sur l’article 15 la directive relative à la vie privée et aux communications électroniques (préc.). Dès lors, la vérification du respect des obligations de contrôle judiciaire participe de la poursuite des infractions relevant de la criminalité grave comme l’exige le droit dérivé si les réquisitions « sont prononcées en raison des nécessités de l’instruction ou à titre de mesure de sûreté » (§ 12).

Le rappel d’une finalité classique : les réquisitions pour les nécessités de l’instruction

L’accès aux données de trafic et de localisation, permis par le biais des réquisitions, vise tant la poursuite des infractions relevant de la criminalité grave que les nécessités de l’instruction.

Les réquisitions visant la poursuite des infractions relevant de la criminalité grave

Sous l’influence du droit de l’Union européenne (CJUE 2 mars 2021, Prokuratuur, aff. C-746/18, Dalloz actualité, 5 mars 2021, obs. C. Crichton ; AJDA 2021. 1086, chron. P. Bonneville, C. Gänser et A. Iljic ; D. 2021. 470 ; ibid. 1564, obs. J.-B. Perrier ; ibid. 2022. 2002, obs. W. Maxwell et C. Zolynski ; AJ pénal 2021. 267, obs. S. Lavric ; Dalloz IP/IT 2021. 468, obs. B. Bertrand ; RTD eur. 2022. 481, obs. B. Bertrand ), un traitement particulier est réservé aux conditions d’accès aux données de trafic et de localisation, lesquelles ont été, en partie, revues par le législateur national à l’article 60-1-2 du code de procédure pénale (Loi n° 2022-299 du 2 mars 2022). Dès lors, en plus des exigences envisagées pour les réquisitions dites « générales » (en flagrance, art. 60-1 c. pr. pén. ; en préliminaire, art. 77-1-1 c. pr. pén. ; durant l’instruction, art. 99-3 c. pr. pén.), les réquisitions des données de connexion nécessitent le respect de conditions supplémentaires. À ce titre, quatre hypothèses sont listées exhaustivement « à peine de nullité » (C. pr. pén., art. 60-1-2) : la procédure doit porter sur un crime ou un délit puni d’au moins trois ans d’emprisonnement (1°) ou seulement d’un an d’emprisonnement, tant en matière de cybercriminalité (2°) que si les équipements terminaux faisant l’objet de réquisitions appartiennent à la victime (3°), et enfin si elles tendent à retrouver une personne disparue (4°). En l’espèce, concernant la gravité de l’infraction, la chambre criminelle valide le raisonnement des juges du fond, lesquels ont considéré que « les faits qualifiés de meurtre en bande organisée, punis de la réclusion criminelle à perpétuité, relèvent de la criminalité grave » (§ 8), puis le rappelle une seconde fois sans le justifier (§ 12). En réalité, il n’était pas nécessaire d’en dire plus : le meurtre commis en bande organisée s’insère dans la liste de l’article 706-73, 1°, du code de procédure pénale, liée à la criminalité organisée et permettant l’application de l’intégralité du régime dérogatoire.

De surcroît, comme lors de la mise en œuvre de la majorité des mesures d’investigation, le critère de « nécessité » est exigé par le législateur. À cet égard, les juges du fond ont conclu « que lesdites réquisitions, en ce qu’elles ont été limitées à une période strictement indispensable et qui ont exclusivement concerné les activités en lien avec l’infraction, étaient tout à la fois nécessaires et proportionnées à la poursuite de celle-ci » (§ 10). Or, la difficulté ne résidait pas seulement dans le respect des exigences de gravité et de nécessité, mais essentiellement au regard du but poursuivi par la mesure.

Les réquisitions prononcées en raison des nécessités de l’instruction

Pour la chambre criminelle, la vérification du respect des obligations, par le mis en examen, de son contrôle judiciaire « participe de la poursuite desdites infractions » (§ 12). À ce titre, au lieu de se fonder sur les dispositions relatives aux réquisitions des données de connexion prévues par le droit interne (C. pr. pén., art. 99-3), elle vise directement un article issu de la directive relative à la vie privée et aux communications électroniques. Après avoir envisagé de nombreuses règles visant à protéger les droits et libertés fondamentaux, et en particulier du droit à la vie privée, le droit dérivé vise des hypothèses permettant de les assouplir (Dir. 2002/58/CE, art. 15). Cette limitation des droits demeure possible si la mesure mise en œuvre, comme une réquisition de données de connexion, s’avère « nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État –, la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales » (Dir. 2002/58/CE, art. 15). La rédaction de la directive – laquelle fixe les objectifs à atteindre tout en laissant les États membres libres quant aux moyens et à la forme – apparaît donc relativement large. Ainsi, le contrôle du respect d’une mesure de sûreté durant l’instruction participe, selon la chambre criminelle, de la poursuite d’infractions relevant de la criminalité grave, à la lumière de la directive, « dès lors que de telles mesures sont prononcées en raison des nécessités de l’instruction » (§ 12).

Cette première finalité n’étonne pas et apparaît, outre conventionnelle, légale. Durant l’instruction, les réquisitions sont permises par l’article 99-3 du code de procédure pénale, lequel énonce que « le juge d’instruction ou l’officier de police judiciaire par lui commis peut, par tout moyen, requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute administration publique qui sont susceptibles de détenir des documents intéressant l’instruction », y compris sous forme numérique. Durant l’enquête la formule est similaire (en flagrance, art. 60-1 c. pr. pén. ; en préliminaire, art. 77-1-1 c. pr. pén.). Cette expression semble d’ailleurs moins restrictive que celle employée par la chambre criminelle, au sein de l’arrêt. La formule « les nécessités de l’instruction » semble, en effet, plus exigeante que celle « intéressant l’instruction ». En somme, les réquisitions peuvent avoir un lien avec l’instruction en cours, mais ce n’est pas la seule finalité envisagée.

Si cette dernière n’étonne pas, la seconde, tout juste dégagée et visée alternativement par la chambre criminelle, surprend.

La reconnaissance douteuse d’une finalité nouvelle : les réquisitions à titre de mesure de sûreté

Les réquisitions peuvent viser une seconde finalité que la chambre criminelle vient de dégager. Dès lors, elles peuvent être prononcées « à titre de mesure de sûreté » au regard du droit de l’Union européenne dont l’invocation apparaît discutable.

Les réquisitions prononcées à titre de mesure de sûreté

La chambre criminelle poursuit et considère que l’accès aux données de trafic et de localisation d’une personne mise en examen pour des infractions relevant de la criminalité grave, afin de vérifier le respect de ses obligations de contrôle judiciaire, participe de leur poursuite dès lors que les réquisitions sont prononcées à titre de mesure de sûreté. Cette seconde finalité n’apparaît à aucun moment, explicitement, au sein de la loi nationale. Il n’est plus question d’accéder aux données de connexion seulement dans le cadre de la recherche de la vérité, mais aussi pour vérifier qu’une mesure de sûreté est bien respectée.

Concrètement, le code de procédure pénale ne mentionne que rarement la manière dont les obligations découlant d’une mesure de sûreté doivent faire l’objet d’une vérification. Il existe néanmoins quelques exceptions, comme le contrôle, permis par un dispositif électronique mobile antirapprochement, du respect de l’interdiction de se rapprocher d’une victime de violences commises au sein du couple (C. pr. pén., art. 138, 17° bis). Plus largement, l’assignation à résidence avec surveillance électronique, constituant une autre mesure de sûreté, intègre dans sa nature même un contrôle permanent. Ainsi, cette dernière n’était-elle pas plus appropriée pour géolocaliser en temps différé la personne mise en examen afin de la surveiller ? Le législateur rappelle, à cet égard, la liberté de principe du mis en examen, mais dégage des exceptions comme des obligations découlant du contrôle judiciaire « ou, si celles-ci se révèlent insuffisantes », la possibilité de l’assigner à résidence avec surveillance électronique (C. pr. pén., art. 137). Il semblerait donc que le prononcé d’une réquisition « à titre de mesure de sûreté » constitue une pure extrapolation de la chambre criminelle quant aux finalités des réquisitions face à la largesse des textes. À ce titre, l’invocation du droit de l’Union européenne interroge.

L’invocation douteuse du droit de l’Union européenne

Si la première finalité liée aux nécessités de l’instruction est clairement mentionnée par le droit national, la seconde ne l’est pas, du moins explicitement. La chambre criminelle, pour contourner le silence de la loi, concernant l’accès à des données de connexion à des fins de vérification du respect d’une mesure de sûreté, vise le droit dérivé de l’Union européenne qui permet, au regard de sa souplesse, d’englober de nombreuses situations auxquelles le législateur européen n’a même pas pensé. Pour autant, il ne paraît pas si absurde de vérifier le respect d’un contrôle judiciaire par le biais des réquisitions de données de connexion, mais, dans ce cas, il est nécessaire de l’introduire explicitement dans la loi, même si cette obligation rapprocherait cette mesure de sûreté de l’assignation à résidence avec surveillance électronique. La formule « intéressant l’instruction » doit donc être complétée par une finalité supplémentaire : « ou visant à contrôler le respect d’une mesure de sûreté ».

En attendant, il ne reste plus au législateur national qu’à reprendre sa copie et réécrire l’article 99-3 du code de procédure pénale, pour éviter à la chambre criminelle d’aller chercher cette exigence directement dans un texte de droit dérivé de l’Union européenne.

Crim. 22 oct. 2024, F-B, n° 24-81.322