Précision sur l’adéquation des dispositions légales relatives aux captations de données informatiques

11.02.2025

En l’absence de captation de données stockées sur des serveurs, l’interception des flux échangés entre ces serveurs ne relève pas de l’article 706-102-1 du code de procédure pénale mais des articles 100 et suivants du même code.

Le contentieux lié aux services de messagerie cryptée continue d’alimenter la saisine de la Haute juridiction qui précise, au fil des décisions rendues, le champ d’application respectif des dispositions du code de procédure pénale.

Les affaires de messagerie cryptée ont été mises au jour par l’affaire EncroChat (M. Lassalle, L’affaire EncroChat, D. 2023. 1833 ), en 2017, lorsque les enquêteurs ont découvert l’utilisation régulière de cette application par des trafiquants internationaux n’entretenant, a priori, aucun lien entre eux. L’attractivité de cette messagerie secrète s’appuyait « notamment [sur] des conditions de revente de ces téléphones, et des services proposés au client pour assurer anonymat et impunité, notamment en cas d’interpellation » (L’enquête EncroChat en France, Eurojust, 2020).

Deux ans après, une coopération des polices néerlandaise, belge et française ont permis d’accéder à un autre service de messagerie crypté, originaire du Canada, « Sky ECC ». Insistant aussi sur la fiabilité de son système de sécurité, la messagerie secrète a néanmoins été « cassée » par la coalition des enquêteurs de différentes nationalités. L’introduction de ces derniers dans ce moyen de communication a permis d’accéder à près de 150 millions de messages échangés entre 164 000 utilisateurs constituant une fourniture importante de preuves d’infractions pénales.

La récolte de preuves au sein d’un système de télécommunication a fait ressurgir les difficultés attendues en présence d’une preuve informatique concernant aussi bien des difficultés d’application de la loi pénale dans l’espace (Crim. 12 avr. 2022, n° 22-80.632, application permise par l’hébergement de la solution de communication par les serveurs « OVH » à Roubaix, Dalloz actualité, 25 mai 2022, obs. H. Diaz ; AJ pénal 2022. 377, obs. D. Brach-Thiel ; ibid. 276 et les obs. ; RSC 2022. 603, obs. E. Dreyer ) que celles liées au déchiffrement des données prévu à l’article 230-1 du code pénal (Crim. 3 avr. 2024, n° 23-85.649 ; 10 mai 2023, n° 22-84.475, D. 2023. 1833 , note M. Lassalle ). Toutefois, dans cet arrêt du 14 janvier 2025, c’est l’adéquation des dispositions du code de procédure pénale prévoyant les techniques d’enquêtes qui a occupé la saisine de la Cour.

En l’espèce, une information a été ouverte contre personne non dénommée des chefs de meurtre en bande organisée et association de malfaiteurs, à la suite de la découverte, dans une chambre d’hôtel, des corps de deux personnes tuées par arme à feu. Des communications échangées entre trois serveurs informatiques hébergeant la solution « Sky ECC » ont été interceptées. Trois individus ont été mis en examen puis renvoyés devant la Cour d’assise des Bouches-du-Rhône. Les trois mis en examen et le ministère public contestent l’ordonnance de renvoi du juge d’instruction devant la chambre de l’instruction, qui rejette l’ensemble de ces requêtes.

Un des mis en examen forme un pourvoi en cassation soutenu par deux moyens.

Le premier moyen critique l’arrêt de la chambre de l’instruction qui refuse d’annuler le procès-verbal retranscrivant la déclaration spontanée d’un témoin anonyme alors que ledit procès-verbal indique que l’officier de police judiciaire a « interrogé » le témoin ; qu’ainsi, cette mesure doit être soumise aux dispositions de l’article 706-57 du code de procédure pénale relatives à la protection du témoin. Toutefois, la Haute juridiction considère que le témoin anonyme n’a pas été auditionné dès lors que le procès-verbal ne fait mention que d’une discussion en style indirect retranscrivant la déclaration spontanée de l’informateur. Ainsi, la méconnaissance des dispositions des articles 706-57 et suivants du code de procédure pénale n’est pas de nature à entraîner la nullité des procès-verbaux recueillant ces déclarations.

Le second moyen au soutien du pourvoi tend à faire admettre que l’interception des communications informatiques est régie par les dispositions des articles 706-102-1 et suivants du code de procédure pénale relatifs à la saisie en temps réel de données informatiques. Dès lors, ladite interception serait irrégulière en l’absence d’ordonnance du juge des libertés et de la détention qui doit autoriser cette mesure. La Cour rejette le pourvoi et considère qu’une interception des données relève du seul article 100 du code de procédure pénale et ne constitue donc pas une saisie informatique au sens des articles 706-102-1 et suivants.

La multiplication du recours à la captation des données en temps réel

Créé en 2011 pour lutter contre la criminalité organisée, l’article 706-102-1 du code de procédure pénale a été l’assise juridique de la récolte des données informatiques lorsqu’elle prend la forme d’une captation des données stockées dans un serveur informatique. En somme, il s’agit d’un piratage informatique permettant de capter des données informatiques, qu’elles soient stockées dans cet ordinateur, qu’elles apparaissent en temps réel sur l’écran de l’intéressé ou qu’elles soient « introduit[es] par saisie de caractères » – entendons par cette dernière expression que l’usage des touches d’un clavier peut être retranscrit.

La doctrine avait pu remarquer que la consécration juridique du piratage informatique était bien plus avant-gardiste que sa faisabilité technique. Ainsi, l’article 706-102-1 du code procédure pénale, restreint juridiquement et difficile techniquement, ne trouvait que peu d’applications (O. Violeau, Les techniques d’investigations numériques : entre insécurité juridique et limites pratiques, AJ pénal 2017. 324 ). Mais le législateur et la jurisprudence ont rendu attractif ce dispositif en élargissant son champ d’application.

D’abord, par la loi n° 2016-731 du 3 juin 2016 (art. 5), le législateur a étendu l’utilisation de cette mesure à l’enquête. Après une ordonnance motivée du juge des libertés et de la détention sollicité par le procureur de la République, les officiers de police judiciaire peuvent mettre en œuvre un tel dispositif dans le cadre d’une enquête de flagrance ou d’une enquête préliminaire (O. Decima, Du piratage informatique aux perquisitions et saisies numériques ?, AJ pénal 2017. 315 ), ce qui élargit considérablement son champ d’application limité jusque-là au cadre de l’information judiciaire.

Ensuite, l’étendue matérielle des objets informatiques pouvant être récoltés par ce dispositif en fait une des mesures les plus attentatoires au droit au respect de la vie privée.

En effet, selon une jurisprudence qui se consolide d’année en année, la mesure consacrée à l’article 706-102-1 ne distingue pas selon la nature des données recueillies. Cette indifférence eu égard aux objets informatiques saisis a permis à la Cour de cassation d’étendre son champ d’application aux données transmises et échangées avec l’objet informatique piraté (Crim. 11 oct. 2022, n° 21-85.148, Dalloz actualité, 14 nov. 2022, obs. J. Pidoux ; D. 2023. 1833 , note M. Lassalle ; Dalloz IP/IT 2022. 578, obs. X. Laurent ; confirmé par Crim. 25 oct. 2022, n° 21-85.763, Dalloz actualité, 14 nov. 2022, obs. J. Pidoux ; ibid., 15 nov. 2022, obs. J. Pidoux ; D. 2023. 1833 , note M. Lassalle ; ibid. 1488, obs. J.-B. Perrier ; AJ pénal 2022. 586, obs. P. de Combles de Nayves ), ou encore aux données de géolocalisation captées lors du piratage informatique (Crim. 7 janv. 2025, n° 24-81.941).

Il est vrai que l’étendue des données susceptibles d’être saisies dans le cadre d’un piratage de données informatiques implique d’autant plus une juxtaposition des mesures autorisées par le code de procédure pénale.

Une prise en compte des moyens de récolte des données

Le champ d’application de l’article 706-102-1 du code de procédure pénale est si large qu’il empiète sur les dispositions des articles 100 et suivants du même code. Cette dernière disposition, qui à l’origine fondait la mise sur écoute et l’interception des données téléphoniques, a été, depuis la loi du 10 juillet 1991, celle qui permet de recourir à l’interception de communications électroniques. L’interception de messages cryptés avait ainsi pu être autorisée sur le fondement des articles 100 et suivants (Crim. 16 déc. 2015, n° 15-82.644).

En effet, puisque la mesure consacrée à l’article 706-102-1 permet aussi bien de recueillir les données stockées que les données échangées, il s’ensuit que l’interception des données n’est plus du seul ressort des articles 100 et suivants. C’est bien sûr au vu de cette juxtaposition des dispositions entre elles que le pourvoi faisait valoir qu’il était nécessaire qu’une ordonnance motivée du juge des libertés et de la détention (JLD) ait autorisé cette mesure, dès lors qu’elle ne s’apparentait pas à une simple interception des données mais à une captation des données stockées.

La Cour de cassation règle ce conflit de normes en suivant à la lettre le texte. Au fond, elle assume qu’il importe peu que les données récoltées étaient échangées puisque c’est le moyen technique mis en œuvre pour parvenir à cette captation qui entraîne l’application de la disposition légale adéquate. La Haute juridiction considère qu’en « l’absence de toute captation de données stockées sur des serveurs, l’interception de flux échangés par l’intermédiaire de réseaux de télécommunication ne relève pas des dispositions de l’article 706-102-1 du code de procédure pénale » (§ 21). Selon que l’interception des données échangées est permise par le piratage d’un système informatique auquel elles étaient destinées ou selon qu’elle est mise en place par un dispositif extérieur au système informatique, la captation des données relèvera, respectivement, de l’article 706-102-1 ou des articles 100 et suivants du code de procédure pénale. Dans la première hypothèse, l’autorisation doit être prononcée par une décision qui précise l’infraction poursuivie, la localisation exacte ou la description détaillée des systèmes de traitement automatisé des données ainsi que sa durée (C. pr. pén., art. 201-102-3), tandis que dans la deuxième hypothèse, l’autorisation de la mesure accordée par le juge d’instruction doit être motivée en fait et en droit, doit préciser l’infraction poursuivie, la durée de la mesure et la ligne ciblée par cette mesure (C. pr. pén., art. 100-1). Il semble donc cohérent que le régime juridique ne découle pas de la nature des données saisies (échangées ou stockées), mais du procédé technique ayant permis leur captation.

Notons enfin que ce commentaire ne peut s’abstraire des indications données par la Cour de cassation et qu’il ne peut donc opérer un examen approfondi de l’emploi technique de l’interception de données, tant l’enjeu de préserver les techniques d’enquêtes est important.

D’une part, la chambre criminelle jugeait que la capacité des enquêteurs à se maintenir dans un système informatique sans être repérés était consubstantiel à la mesure de captation des données ; qu’ainsi, justifiait sa décision la cour d’appel qui considérait que « les opérations de blocage et de redirection des flux [ne constituent] que des opérations techniques préalables à la mise en œuvre de la captation des données informatiques » (Crim. 25 oct. 2022, n° 21-85.763, préc.). Il semble aller de soi que la discrétion nécessaire à l’emploi de cette mesure soit autorisée par le même texte que celui qui la prévoit.

Mais, d’autre part, il semble plus délicat de garder secrètes les techniques employées pour capter les données informatiques. Selon le deuxième alinéa de l’article 706-102-1 du code de procédure pénale, « le procureur de la République ou le juge d’instruction peut également prescrire le recours aux moyens de l’État soumis au secret de la défense nationale selon les formes prévues au chapitre I^er du titre IV du livre I^er ». Cette disposition a été validée par le Conseil constitutionnel (Cons. const. 8 avr. 2022, n° 2022-987 QPC, Dalloz actualité, 10 mai 2022, obs. M. Slimani ; D. 2023. 1833 , note M. Lassalle ; ibid. 1235, obs. E. Debaets et N. Jacquinot ; RTD civ. 2022. 628, obs. H. Barbier ), qui entendait ne pas « fragiliser l’action des services de renseignement en divulguant les techniques qu’ils utilisent ». Dès lors, lorsqu’une technique a été mise en œuvre par les services d’État, elle doit faire l’objet d’une attestation visée par le responsable de l’organisme technique certifiant la sincérité du résultat transmis, comme le prévoient les articles 230-1 et suivants du code de procédure pénale. La Cour de cassation a d’ailleurs déjà eu l’occasion de casser l’arrêt d’appel qui refusait d’annuler un acte de procédure n’ayant donné lieu à aucune certification de sincérité de l’organisme technique (Crim. 25 oct. 2022, n° 21-85.763, préc.). Par conséquent, s’il semble largement légitime pour le législateur et le juge judiciaire de garantir l’effectivité des investigations menées par les enquêteurs, toujours est-il que notre commentaire ne peut mener à terme à un examen des dispositifs techniques. Si, par exemple, l’interception des données a été réalisée par un dispositif placé au sein d’un serveur informatique, sans pour autant capter les données de ce serveur, ce que ne contredirait pas l’arrêt commenté, il pourrait être soutenu que ce dispositif relève davantage de l’article 706-102-1 du code de procédure pénale que de son article 100.

Crim. 14 janv. 2025, F-B, n° 24-84.110