À l’heure du tout-numérique, l’enquête judiciaire passe immanquablement par la collecte de preuves disséminées sur les divers appareils électroniques utilisés par les suspects. Toutefois, il s’agit bien souvent d’un terrain miné sur lequel les enquêteurs sont en première ligne et contraints de respecter des procédures en constante mutation.

Entre nécessités de l’enquête et respect de certains droits fondamentaux comme le respect à la vie privée, il conviendra - après avoir rappelé rapidement le contexte procédural de la captation des preuves numériques - de mettre en lumière les apports du Décret n° 2019-1602 du 31 décembre 2019 sur cette problématique.

1. Les contours légaux de la captation des preuves numériques.

En préambule, il convient de préciser que ce type de captation de preuves numériques – dans le cadre d’informations judiciaires relatives aux infractions de délinquance et de criminalité organisées - a été introduite dans le Code de procédure pénale par la loi du 14 mars 2011 d’orientation et de programmation pour la performance de la sécurité intérieure [1].

Le pourtour de ces dispositions a ensuite été élargi par la loi du 13 novembre 2014 tendant à oeuvrer au renforcement des dispositions relatives à la lutte contre le terrorisme [2].

Mêmement, le présent Décret n° 2019-1602 du 31 décembre 2019 tient également compte des évolutions de la loi du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement [3].

En effet, cette loi du 3 juin 2016 a élargi le recours à la captation en temps réel et à distance de ces données numériques - prévu à l’article 706-102-1 du Code pénal - à l’ensemble des enquêtes de flagrance ou préliminaires pour les affaires de criminalité et de délinquances organisées ; et ce, sur autorisation du Juge des libertés et de la détention et sur requête du Procureur de la République.

Toutefois, cette même loi a également acté la possibilité d’opérer la captation en temps réel et à distance des données stockées dans un système informatique.

Enfin, la loi du 23 mars 2019 de programmation 2018-2022 et de réforme pour la Justice a créé un régime procédural mutualisé pour les différentes techniques spéciales d’enquête au sein de son Chapitre II.

Parmi ces techniques, il est possible de citer le recueil de données techniques de connexion, la captation de données informatiques, d’images ainsi que la sonorisation [4].

C’est donc au regard de l’ensemble de ces éléments que le Décret du 31 décembre 2019 a été pensé.

2. Les apports du Décret n°2019-1602 du 31 décembre 2019.

Le 3 janvier 2020, le Décret n° 2019-1602 du 31 décembre 2019 modifiant le décret n° 2015-1700 du 18 décembre 2015 relatif à la mise en œuvre de traitements de données informatiques captées en application de l’article 706-102-1 du Code de procédure pénale a été publié au Journal Officiel.

Ce décret octroie un certains nombre de prérogatives aux autorités dans leur processus de captation des preuves numériques.

Avant d’analyser les contours de ce Décret du 31 décembre 2019, il convient de rappeler les dispositions de l’article 706-102-1 du Code de procédure pénal.

Ce dernier prévoit le recours « à la mise en place dispositif technique ayant pour objet, sans le consentement des intéressés, d’accéder, en tous lieux, à des données informatiques, de les enregistrer, de les conserver et de les transmettre, telles qu’elles sont stockées dans un système informatique, telles qu’elles s’affichent sur un écran pour l’utilisateur d’un système de traitement automatisé de données, telles qu’il les y introduit par saisie de caractères ou telles qu’elles sont reçues et émises par des périphériques ».

Rappelons également que la Commission Nationale de l’Informatique et des Libertés (ci-après « la C.N.I.L. » s’était déjà prononcée sur les contours des traitements de ces « données informatiques ».

En effet, dans un avis n°2015-109 du 2 avril 2015, la C.N.I.L avait indiqué que ces traitements avaient pour dessein « la constatation des crimes et délits entrant dans le champ d’application des articles 706-73 et 706-73-1 du [Code de procédure pénale], le rassemblement des preuves de ces infractions et l’identification de leurs auteurs » au moyen de « la collecte, l’enregistrement et la conservation de données informatiques captées ».

Au regard du fait que les traitements envisagés sont mis en œuvre à des fins de prévention, de décèlement des infractions pénales, d’investigation ainsi que de poursuites et qu’il est possible que soient glanées et stockées des données présentant un caractère « sensible » au sens de l’article 6 de la loi du 6 janvier 1978 modifiée, leur altération devait faire l’objet d’un décret en Conseil d’État, pris après avis motivé et publié de la Commission.

C’est désormais chose faite.

En effet, la C.N.I.L, a émis un avis du 26 septembre 2019 sur le Décret, relevant que « le champ de ces dispositifs ainsi que les données pouvant faire l’objet de telles captations, ont fait l’objet d’élargissements constants et significatifs ces dernières années ».

Dès lors, lesdites méthodes d’enquête pouvant porter atteinte au respect de la vie privée des personnes mises en causes, mais aussi des tiers, supposent des « garanties fortes pour s’assurer que les données ainsi captées, collectées à l’insu des personnes concernées, sur un nombre de plus en plus important d’individus, ne portent pas d’atteintes excessives aux droits et libertés fondamentaux des personnes concernées ».

Par la même occasion, la C.N.I.L en profite pour rappeler « qu’une attention particulière devra être portée au caractère strictement nécessaire des données enregistrées ».

L’article 2 du présent Décret a quant à lui pour objet de permettre la captation de données « telles que stockées dans un système informatique ». Cette extension concernera donc l’ensemble des données d’un système informatique, sans distinction et, à ce titre, peuvent notamment être visées des informations enregistrées sur un disque dur, sur des courriers électroniques qui n’auraient pas été ouverts par l’utilisateur ou encore, sur l’intégralité d’un fichier qui n’aurait été que partiellement visualisé par la personne à laquelle il est destiné.

L’article 3 est quant à lui entièrement remplacé et dispose désormais que « les données à caractère personnel et informations exploitées par les traitements mentionnés à l’article 1er ne peuvent provenir que de dispositifs techniques autorisés conformément à l’article R226-3 du Code pénal et mis en place dans le cadre :
 1° D’investigations conduites en flagrance ou en préliminaire, sur ordonnance écrite et motivée du juge des libertés et de la détention, à la requête du procureur de la République ;
  2° D’information judiciaire, sur ordonnance écrite et motivée du juge d’instruction, après avis du procureur de la République, sauf en cas d’urgence résultant d’un risque imminent de dépérissement des preuves ou d’atteinte grave aux personnes ou aux biens ».

L’article 6 du décret prévoit encore que « toute opération de collecte, de modification, de consultation, de transfert et de suppression des données à caractère personnel et informations fait l’objet d’un enregistrement comprenant l’identification de l’auteur, la date, l’heure et la nature de l’opération. Ces informations sont conservées pendant une durée de six ans ».

Dès lors, seules les Directions Générales de la Police Nationale (D.G.P.N), de la Gendarmerie Nationale (D.G.G.N), de la Sécurité Intérieure (D.G.S.I), ainsi que des douanes et droits indirects (D.G.D.D.I) seront susceptibles de mettre en œuvre de tels traitements.

Le nouvel article 7 du décret, prévoit que « le droit d’opposition prévu à l’article 110 de la loi du 6 janvier 1978 susvisée ne s’applique pas aux présents traitements » et que « Conformément aux articles 104 à 106 de la même loi, les droits d’information, d’accès, de rectification, d’effacement et à la limitation s’exercent directement auprès du responsable du traitement.

Afin d’éviter de gêner des enquêtes, des recherches ou des procédures judiciaires ou d’éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales, de protéger la sécurité publique ou de protéger la sécurité nationale, les droits mentionnés à l’alinéa précédent peuvent faire l’objet de restrictions en application des II et III de l’article 107 de la même loi. »

Le décret ajoute enfin à la liste des personnes pouvant accéder aux données à caractère personnel et informations enregistrées, les agents des services fiscaux pouvant effectuer des enquêtes judiciaires et précise en son article 4 que « peuvent être destinataires des seules informations mentionnées à l’article 6, les personnalités qualifiées chargées du contrôle des travaux de conception et des opérations de mise en œuvre des dispositifs techniques mentionnés à l’article 3 ».

Dans sa Délibération n° 2019-119 du 26 septembre 2019, la C.N.I.L a relevé qu’ « elle prend acte que le contrôle à distance du système informatique est exclu (par exemple, le déclenchement forcé de la webcam), et que si des images ainsi que des sons pourront faire l’objet d’une collecte, aucun mécanisme de reconnaissance faciale ou vocale ni d’analyse comportementale des dynamiques des frappes au clavier ne seront mis en œuvre ».

De surcroît, la Commission rappelle que si de telles techniques devaient à l’avenir être développées, elle devra être saisie dans les conditions prévues à l’article 33 de la loi du 6 janvier 1978 modifiée.

Pour conclure, il convient de mettre en lumière le fait que l’article 706-95-18 du Code de procédure pénal dispose que « l’officier de police judiciaire ou l’agent de police judiciaire agissant sous sa responsabilité décrit ou transcrit, dans un procès-verbal qui est versé au dossier, les données enregistrées qui sont utiles à la manifestation de la vérité. Aucune séquence relative à la vie privée étrangère aux infractions visées dans les ordonnances autorisant la mesure ne peut être conservée dans le dossier de la procédure ».

Il semble donc que le caractère strictement nécessaire des données numériques collectées sera primordial et que de nombreux débats jurisprudentiels ne manqueront pas de naître quant à ce caractère.

Pablo Nicoli, avocat au Barreau de Paris. www.pnavocat.com