Par Gérard Haas et Charlotte Paillet
Par décision du 3 décembre 2021, le Conseil constitutionnel réaffirme l’importance de la mise en balance entre le droit au respect de la vie privée et la recherche des auteurs d’infractions, à travers la question de l’autorité du procureur de la République (Cons. Const. 3 décembre 2021, M. Omar Y, n°2021-952 QPC).
Saisi d’une question prioritaire de constitutionnalité, le Conseil a eu à se prononcer sur les dispositions des articles 77-1 et 77-1-2 du code de procédure pénale, relatives à la réquisition des données de connexion dans le cadre d’une enquête préliminaire.
Plus précisément, l’article 77-1 du code de procédure pénale permet la réquisition de toutes « informations intéressant l’enquête, y compris celles issues d’un système informatique ou d’un traitement de données nominatives » dans le cadre d’une enquête préliminaire, auprès de « toute personne, de tout établissement ou organisme privé ou public ou de toute administration publique susceptible de détenir » de telles informations. Ces réquisitions ne peuvent pas se voir opposer, sans motif légitime, l’obligation au secret professionnel.
L’article 77-1-2 du même code permet quant à lui de réquisitionner la « mise à disposition d’informations non protégées par un secret prévu par la loi, contenues dans un système informatique ou un traitement de données nominatives »
Probablement inspiré par l’arrêt récent de la Cour de Justice de l’Union Européenne (C-746/18, arrêt Prokuratuur, 2 mars 2021), le requérant reprochait en l’espèce à ces articles du code de procédure pénale de permettre au procureur de la République d’ordonner la réquisition d’informations, et notamment de données de connexion, « sans contrôle préalable d’une juridiction indépendante ».
A cet égard, le requérant considère que ces articles portent atteinte au droit de l’Union Européenne, au droit au respect de la vie privée ainsi qu’au droit de la défense et à un recours juridictionnel effectif.
L’exploitation des données de connexion joue aujourd’hui un rôle essentiel dans la lutte contre la criminalité et le terrorisme.
Pour mémoire, ces données, aussi appelées « métadonnées » et définies à l’article L34-1 du Code des postes et des communications électroniques, comprennent :
Compte tenu de leur nature et des traitements auxquels elles peuvent être soumises, les données de connexion sont susceptibles de fournir des informations nombreuses et précises sur les personnes en cause mais aussi potentiellement sur des tiers.
Ainsi, les données de connexion sont régulièrement considérées par le Conseil constitutionnel comme pouvant porter atteinte à la vie privée (par exemple : Cons. Const. 15 février 2019, n°2018-764 QPC, D. 2019. 311).
En l’espèce, le Conseil constitutionnel rappelle que les données de connexion contiennent des « informations nombreuses et précises, particulièrement attentatoires à [la] vie privée ».
Il est donc naturellement sensible à la communication de ces données de connexion et à ses modalités.
Dans cet arrêt, le Conseil constitutionnel vient rappeler que, bien que les réquisitions des articles 77-1 et 77-1-2 du Code de procédure pénale soient soumises à l’autorisation du procureur, celle-ci n’est pas suffisante dans la mesure où lesdites réquisitions peuvent être prononcées pour « tout type d’infraction » et « sans être motivée par l’urgence ou limitée dans le temps ».
Ainsi, le Conseil constitutionnel reproche au législateur de n’avoir « assorti le recours aux réquisitions des données de connexion d’aucune autre garantie ». Ceci va à l’encontre de la lecture qu’avait retenue la chambre criminelle de la Cour de cassation en 2011. En effet, pour cette dernière, l’autorisation préalable du procureur de la République était de nature à « assurer, entre le respect de la vie privée et la sauvegarde de l’ordre public, une conciliation qui n’est pas manifestement disproportionnée » (Crim. 21 juin 2011, n°11-82.858).
En outre, il est intéressant de noter que, concernant le recours à la géolocalisation, le Conseil constitutionnel avait validé les termes de l’article 230-33 du Code de procédure pénale en considérant que ce recours était limité dans le temps (15 jours dans le cadre d’une procédure de recherche ou d’une enquête pour une infraction relevant de la criminalité organisée et huit jours dans les autres cas) (Cons. Const. 23 décembre 2021, n°2021-930 QPC).
Il semblerait pourtant qu’en matière de données de connexion, la seule autorisation du procureur de la République ne soit pas suffisante pour assurer « la conciliation équilibrée entre, d’une part, le droit au respect de la vie privée et, d’autre part, la recherche des auteurs d’infraction ». Ceci, particulièrement en l’absence de précision sur le type d’infraction considérée ou de limitation dans le temps.
La décision d’inconstitutionnalité des termes « y compris celles issues d’un système informatique ou d’un traitement de données nominatives » figurant au premier alinéa de l’article 77-1 du Code de procédure pénale et des termes « aux réquisitions prévues par le premier alinéa de l’article 60-2 » figurant au premier alinéa de l’article 77-1-2 du même code sera effective à partir du 31 décembre 2022.
En attendant, il sera toujours possible de s’appuyer sur la jurisprudence européenne pour tenter de faire tomber une réquisition relative à des données de connexion.
A ce titre, le département contentieux du Cabinet Haas Avocats, cabinet spécialisé depuis plus de 25 ans en droit des nouvelles technologies et de la communication et en droit de la propriété intellectuelle, est compétent pour vous assister dans le cadre de précontentieux ou de contentieux. Pour nous contacter, cliquer ici.