Après le Conseil d’État et le législateur, c’est désormais la Cour de cassation qui s’oppose à certaines des garanties imposées par la Cour de Justice de l’Union Européenne (ci-après « CJUE ») pour protéger, dans notre société numérique, notre droit fondamental au respect de nos vies privées face à la conservation généralisée des données associées aux communications électroniques et leur utilisation quasi systématique dans les procédures pénales.

I. Contexte.

Le sujet est relativement complexe et le titre de cet article un brin provocateur (quoi que, nous y reviendrons).

Il s’agit d’évoquer les données de connexion, de trafic et de localisation des communications électroniques et, plus particulièrement :
 leur conservation :
- généralisée (c’est-à-dire portant sur tous les utilisateurs) et ;
- indifférenciée (c’est-à-dire portant sur toutes les données en cause, quelle que soit leur sensibilité) ;
 et leur accès par les autorités judiciaires.

Ces données ne comportent pas le contenu même des communications, mais uniquement l’identité de l’utilisateur, son adresse IP, la liste (avec la date, l’heure et la durée) des contacts appelés, les zones géographiques d’émission et de réception ou encore la localisation par le déclenchement des relais téléphoniques.

Elles n’en demeurent pas moins « susceptibles de révéler des informations sur un nombre important d’aspects de la vie privée des personnes concernées, y compris des informations sensibles », comme « les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers [...], les activités exercées, les relations sociales [...] et les milieux sociaux fréquentés » [1] et, partant, de permettre « d’établir le profil des personnes concernées, information tout aussi sensible, au regard du droit au respect de la vie privée, que le contenu même des communications » [2].

La conservation de ces données est également susceptible, juste parce qu’elle existe, « d’entraîner des effets dissuasifs sur l’exercice par les utilisateurs des moyens de communications électroniques de leur liberté d’expression » [3].

Par conséquent, pour les utilisateurs, à savoir peu ou prou la totalité de la population française (rien que ça), la conservation et l’accès à ces données sont « particulièrement attentatoires » [4], à leurs droits fondamentaux au respect de leur vie privée, à la protection de leurs données à caractère personnel et à leur liberté d’expression [5].

Pour autant, la conservation de ces données, depuis le développement des smartphones, est devenue quasi automatique, et en tout cas massive, tout comme leur utilisation dans les procédures pénales, sans véritable contrôle ou garde-fou d’aucune sorte…

C’est pourquoi le sujet a fait l’objet, récemment, de pas moins de six arrêts de la CJUE, d’un arrêt du Conseil d’État, de quatre arrêts du Conseil constitutionnel et, le 12 juillet dernier, de quatre arrêts de la Cour de cassation.

Et c’est, comme de plus en plus souvent désormais, de la CJUE qu’ont émané les garanties les plus fortes (et des juridictions nationales les plus grandes déceptions) par la fixation de strictes conditions pour que de telles atteintes puissent être considérées comme légitimes et proportionnées, donc autorisées dans une société démocratique.

II. Garanties et limites imposées par la CJUE.

1. S’agissant de la conservation généralisée et indifférenciée, la CJUE l’a limitée, en substance, aux seules données relatives à l’identité civile des utilisateurs ainsi que, pour la lutte contre la criminalité grave, à leurs adresses IP.

En revanche, les autres données ne peuvent, elles, en principe, pas faire l’objet d’une telle conservation, même pour la lutte contre la criminalité grave, compte tenu du caractère évidemment disproportionné de la surveillance globale et continue, à titre préventif, d’une population complète qui serait ainsi mise en œuvre et qui permettrait de tirer sur la vie privée de tout un chacun des conclusions précises.

Ce faisant, seules peuvent être conservées les données relatives à l’identité civile et l’adresse IP, les autres devant être supprimées sans délai.

La seule exception accordée par la CJUE pour ces autres données est l’existence d’une menace pour la sécurité nationale grave, réelle et actuelle ou prévisible (en somme le terrorisme, l’espionnage ou la guerre) dans le cadre de laquelle l’État pourrait en exiger (et en exige en réalité constamment), sous le contrôle d’un juge indépendant et pour une période limitée, une conservation généralisée.

A défaut d’une telle menace, ces autres données peuvent seulement faire l’objet, dans le cadre de la lutte contre la criminalité grave :
 d’une conservation ciblée (c’est-à-dire limitée, sans discrimination, à des catégories de personnes ou à des lieux précis) et/ou ;
 d’une conservation rapide (c’est-à-dire limitée à une personne, le plus souvent un suspect dans le cadre d’une enquête pénale).

2. S’agissant de l’accès aux données ainsi conservées, il doit faire l’objet d’un contrôle préalable par une juridiction ou une autorité indépendante de la procédure, ce que n’est pas le parquet (bien que le Conseil Constitutionnel estime l’inverse dans le cadre des enquêtes de flagrance…).

L’accès, pour un motif nécessairement d’une importance au moins équivalente à celui qui a justifié la conservation, est en outre limité aux données strictement nécessaires et légalement conservées en application des conditions susmentionnées.

III. Conséquences des décisions de la CJUE.

Après un arrêt du Conseil d’État prenant acte de ces exigences et constatant que le droit français n’était pas adéquat [6], le Code des postes et des communications électroniques, en particulier son article L34-1 (un bourbier illisible), a été mis en conformité.

Par sa décision du 12 juillet dernier [7], la Cour de cassation est, elle aussi, venue rappeler la nécessaire application en France des garanties imposées par la CJUE.

Dans ces circonstances, et compte tenu, dès la publication de l’arrêt de la Cour de cassation, des suppliques déchirantes émises par la Conférence nationale des procureurs, à l’évidence affolée par le choc terrible de l’existence indigne de garanties pour nos libertés fondamentales, il était aisément possible de se satisfaire de ces décisions et de considérer le sujet comme clos.

Néanmoins, il y a un détail troublant dans les arrêts du Conseil d’Etat de la Cour de cassation, qui est de nature à faire s’effondrer l’intégralité de cette protection de la vie privée.

Il s’agit de l’accès, pour la lutte contre les infractions graves, aux données conservées pour la sauvegarde de la sécurité nationale, par le biais d’une injonction de conservation rapide, qui serait autorisé par la CJUE.

IV. La problématique de la conservation rapide.

Le Conseil d’État a jugé à cet égard que « la conservation rapide des données […] est possible […] y compris, comme l’a jugé la Cour de Justice de l’UE […] lorsque cette conservation rapide porte sur des données initialement conservées aux fins de sauvegarde de la sécurité nationale » [8].

C’est d’ailleurs pourquoi, la loi, dans son état actuel, au III bis de l’article L34-1 du Code des postes et des communications électroniques, précise : « Les données conservées par les opérateurs en application du présent article [donc y compris pour la sauvegarde de la sécurité nationale] peuvent faire l’objet d’une injonction de conservation rapide par les autorités […] à des fins de prévention et de répression de la criminalité, de la délinquance grave […] afin d’accéder à ces données ».

Quant à la Cour de cassation, elle a, de la même manière, décidé que :

« 16. Selon la CJUE, la conservation rapide et l’accès aux données ainsi conservées peuvent porter sur les données stockées par les fournisseurs de services de communications électroniques [pour sauvegarder la sécurité nationale ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales] (CJUE, arrêt La Quadrature du net, précité, points 160 et 167).

17. Cette position a été maintenue dans l’arrêt Commissioner of An Garda Siochana du 5 avril 2022 (C-140/20, points 85 et 87), la cour ayant seulement écarté, à nouveau, la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation aux fins de lutte contre la criminalité grave pour répondre à une objection du gouvernement danois (même arrêt, points 96 à 100).

18. La conservation rapide peut donc porter sur les données que détiennent les opérateurs de télécommunications électroniques, soit pour leurs besoins propres, soit au titre d’une obligation de conservation imposée aux fins de sauvegarde de la sécurité nationale  » [9].

Elle a d’ailleurs récemment réitéré cette position [10].

V. Critique des arrêts de la Cour de cassation (et du Conseil d’Etat).

Là où le bât blesse, et ces décisions choquent, c’est que la CJUE ne dit absolument pas ce que la Cour de cassation et le Conseil d’Etat tentent de lui mettre dans la bouche !

D’une part, la Cour de cassation a complètement omis d’indiquer que la CJUE a posé deux principes, dans l’arrêt Commissioner of An Garda Siochana (expressément mentionné par la Cour de cassation) que :
 « la lutte contre la criminalité grave, est d’une importance moindre, dans la hiérarchie des objectifs d’intérêt général, que […] la sauvegarde de la sécurité nationale » et ;
 l’accès aux données « ne peut en principe être justifié que par l’objectif d’intérêt général pour lequel la conservation a été imposée », sauf « si l’importance de l’objectif poursuivi par l’accès dépasse celle de l’objectif ayant justifié la conservation ».

D’autre part, contrairement à ce que prétend la Cour de cassation, la CJUE n’a pas fait que rappeler sa jurisprudence sur la conservation « pour répondre à une objection du gouvernement danois », mais s’est expressément penchée sur l’accès « aux fins de la lutte contre la criminalité grave, aux données […] conservées de manière généralisée et indifférenciée […], pour faire face à une menace grave pour la sécurité nationale ».

Or, la CJUE y a apporté une réponse limpide, sur la base des deux principes précités :

«  Les données relatives au trafic et les données de localisation ne peuvent pas faire l’objet d’une conservation généralisée et indifférenciée aux fins de la lutte contre la criminalité grave et, partant, un accès à ces données ne saurait être justifié à ces mêmes fins. Or, lorsque ces données ont exceptionnellement été conservées de manière généralisée et indifférenciée à des fins de sauvegarde de la sécurité nationale […], les autorités nationales compétentes en matière d’enquêtes pénales ne sauraient accéder auxdites données dans le cadre de poursuites pénales, sous peine de priver de tout effet utile l’interdiction de procéder à une telle conservation aux fins de la lutte contre la criminalité grave  ».

Cette position a d’ailleurs été récemment réitérée par la CJUE [11], comme une réplique à la Cour de cassation et au Conseil d’Etat.

La CJUE nous dit donc précisément que l’accès à des données conservées pour la sauvegarde de la sécurité nationale ne peut pas être autorisé pour la lutte contre la criminalité grave, même par une injonction de conservation rapide, pour laquelle ces arrêts ne prévoient aucune exception, ce qu’on ne peut qu’approuver.

Et pour cause, si la conservation continue, généralisée et indifférenciée des données de connexion et de localisation de toute une population, à titre préventif, pour lutter contre la criminalité grave est disproportionnée, l’accès à ces données, qui est autrement plus attentatoire puisqu’il s’agit d’en prendre effectivement connaissance et de révéler concrètement des informations précises sur la vie privée, est lui aussi nécessairement disproportionné.

Il en résulte que la conservation rapide ne peut, en fait, permettre de conserver la totalité des données de trafic et de localisation d’une personne, dans le cadre d’une enquête sur une infraction grave n’affectant pas la sécurité nationale, que pour l’avenir, les données passées étant hors de portée des autorités.

Par conséquent, est erronée et viole la position de la CJUE (tout en tentant de faire accroire l’inverse) l’interprétation de la Cour de cassation (et du Conseil d’Etat) par laquelle elle a considéré, tout à la fois, que :
 La conservation généralisée et indifférenciée des données de connexion, de trafic et de localisation, constituant une atteinte substantielle au droit au respect de la vie privée, ne saurait être justifiée par la lutte contre les infractions graves ;
 La lutte contre les infractions graves est un motif suffisant pour l’accès à ces données, conservées au titre de la sécurité nationale, par une injonction de conservation rapide.

Il s’ensuit que les éléments de preuve, constitués par des données de connexion et de localisation (hors identité et adresse IP) antérieures à l’injonction de conservation rapide, résultent nécessairement d’un accès irrégulier affectant irrévocablement les droits du prévenu de sorte qu’ils devraient être déclarés nuls et écartés des débats.

Au demeurant, la Cour de cassation justifie son interprétation en nous disant que la conservation rapide en matière de criminalité grave ne peut avoir que comme but « d’accéder à des données qui n’ont pas été conservées dans ce but »…

Il s’agit tout à la fois d’un non-sens et, là encore, d’une contre-vérité.

C’est ainsi de manière complètement aberrante, par un raisonnement schizophrène, assimilable à de la prestidigitation, à un tour de passe-passe juridique, et une fausse lecture de la CJUE que la Cour de cassation vient autoriser une atteinte au droit au respect de la vie privée par une surveillance générale, continue et à titre préventif, qu’elle a par ailleurs elle-même jugée disproportionnée, donc illégale.

La Cour de cassation n’est donc pas simplement complètement à l’ouest… elle marche en plus sur la tête en criant « abracadabra » !

Autant dire que le titre du présent article était en fait des plus modérés...

Hugo Petit Avocat au Barreau de Paris phavocat.fr