Cass. crim., 12 juillet 2022, n° 21-83.820
COUR DE CASSATION
Arrêt
Rejet
1. Il résulte de l'arrêt attaqué et des pièces de la procédure ce qui suit.
2. A la suite de l'interception dans les eaux territoriales au large de la Martinique d'une embarcation dans laquelle étaient découvertes plusieurs dizaines de kilogrammes de cocaïne, une information judiciaire a été ouverte.
3. Le 6 novembre 2020, M. [F] [U] a été mis en examen des chefs précités.
4. Le 20 avril 2021, il a déposé une requête en nullité visant notamment les réquisitions des enquêteurs portant sur les données de trafic et de localisation de la téléphonie et les actes d'exploitation de ces données.
Examen des moyens
Sur les premier et deuxième moyens
5. Ils ne sont pas de nature à permettre l'admission du pourvoi au sens de l'article 567-1-1 du code de procédure pénale.
Sur le troisième moyen
Enoncé du moyen
6. Le moyen critique l'arrêt attaqué en ce qu'il a rejeté la requête en nullité portant sur les réquisitions des enquêteurs portant sur les données de trafic et de localisation de la téléphonie et des actes d'exploitation de ces données, alors :
« 1°/ que l'article 15, paragraphe 1 de la directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, lu à la lumière des articles 7, 8 et 11 ainsi que de l'article 52, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne, s'oppose à des mesures législatives prévoyant, aux fins de protection de la sécurité nationale ou de lutte contre les infractions graves, à titre préventif, la conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation des communications par les fournisseurs des services de communication électronique ; que, dans son mémoire, le mis en examen invoquait la nullité de l'ensemble des opérations d'identification de personnes, dont lui-même, en lien avec les personnes soupçonnées par les enquêteurs d'avoir commis les infractions dont ils étaient saisis, par l'utilisation des données de trafic et de localisation des communications électroniques que les fournisseurs de services de communications électroniques, en l'espèce, les fournisseurs de téléphonie, sont tenus de conserver pendant un an, en application des articles L. 34-1 et R. 10-13 du code des postes et communications électroniques et des articles 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numériques imposant aux fournisseurs de communications électronique la conservations de toutes les données notamment de trafic et de localisation et l'article 1er du décret du 25 février 2011 pris pour son application, en ce que ces dispositions violaient le droit de l'Union européenne, et en particulier l'article 15 de la directive 2002/58/CE précitée ; qu'en considérant, pour rejeter le moyen de nullité, que le trafic de stupéfiants entrait dans la catégorie des infractions graves justifiant un stockage massif et indifférencié des données de trafic et de localisation gérées par les fournisseurs de communication électronique dans les conditions prévues par l'article 15 de la directive 2002/58, quand les dispositions légales et réglementaires précitées n'ont précisé ni quelles infractions graves justifiaient une obligation de conservation, ni les catégories de données à conserver, ni les personnes concernées, ni les autorités habilitées à définir les cas dans lesquels ce stockage s'impose, la chambre de l'instruction a méconnu l'article 15 de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l'article 52 de la Charte des droits fondamentaux de l'Union européenne et 88-1 de la Constitution ;
2°/ qu'en vertu de l'article 8, § 2, de la Convention de sauvegarde des droits de l'homme et des libertés fondamentales, il ne peut y avoir ingérence d'une autorité publique dans l'exercice du droit à la vie privée et au respect des correspondances que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui ; qu'en estimant que la conservation en vue de leur exploitation dans le cadre des enquêtes pénales des données de trafic et de localisation des utilisateurs des moyens de communication électroniques étaient justifiées pour la recherche des infractions graves, quand le législateur n'a pas défini les catégories d'infractions graves justifiant une telle ingérence, ni l'autorité habilitée à se prononcer sur l'obligation de conserver de telles données, la cour d'appel a violé l'article 8, §2, de la Convention de sauvegarde des droits de l'homme et des libertés fondamentales ;
3°/ qu'en vertu de l'article 15 de la directive 2002/52/CE de la directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, les données de trafic et de localisation ne peuvent être exploitées que pour la fin qui a autorisé la conservation ; qu'en se référant à l'arrêt du Conseil d'Etat du 21 avril 2021, ayant jugé que l'obligation de conservation des données de connexion et de localisation pendant un an prévue par la législation et la réglementation nationale, était justifiée par les impératifs de protection de la sécurité nationale que constitue la lutte contre le terrorisme, conservation pourtant non subordonnée à une autorisation d'une juridiction ou d'une autorité indépendante, la chambre de l'instruction, qui a jugé que l'accès à ces données par les enquêteurs agissant sur commission rogatoire était justifié dans le cadre de la recherche des auteurs des infractions visées aux poursuites, pourtant sans lien avec le terrorisme, a violé l'article 15 de la directive 2002/58, lu à la lumière des articles 7, 8 et 11 ainsi que de l'article 52 de la Charte des droits fondamentaux de l'Union européenne ;
4°/ qu'en vertu de l'article 15 de la directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, l'accès des autorités nationales compétentes aux données de trafic et de localisation conservées est subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative, tiers par rapport à l'autorité de poursuite, et à la condition que la décision de cette juridiction ou de cette entité intervienne à la suite d'une demande motivée de cette autorité de poursuite ; que, par ailleurs, en vertu de l'article 8, paragraphe 2, de la Convention de sauvegarde des droits de l'homme et des libertés fondamentales, l'exploitation de données de trafic et de connexion pour les besoins d'une enquête répressive ne peut intervenir que sur décision d'un juge indépendant et impartial ; que, dans son mémoire, le mis en examen contestait l'accès par les enquêteurs, agissant sur commission rogatoire, aux données de trafic et de localisation concernant différentes personnes, conservées par les fournisseurs de communication électronique, en ce que cet accès n'avait pas été autorisé par une juridiction ; que la chambre de l'instruction qui ne s'est pas prononcée sur ce moyen de nullité, a privé sa décision de base légale en violation des articles 198 et 593 du code de procédure pénale. »
Réponse de la Cour
7. Par arrêt de ce jour, la Cour de cassation a énoncé les principes suivants (Crim., 12 juillet 2022, pourvoi n° 21-83.710, publié au Bulletin).
8. L'article L. 34-1, III, du code des postes et des communications électroniques, dans sa version issue de la loi n° 2013-1168 du 18 décembre 2013, mis en oeuvre par l'article R. 10-13 dudit code, tel qu'il résultait du décret n° 2012-436 du 30 mars 2012, est contraire au droit de l'Union européenne en ce qu'il imposait aux opérateurs de services de télécommunications électroniques, aux fins de lutte contre la criminalité, la conservation généralisée et indifférenciée des données de connexion, à l'exception des données relatives à l'identité civile, aux informations relatives aux comptes et aux paiements, ainsi qu'en matière de criminalité grave, de celles relatives aux adresses IP attribuées à la source d'une connexion.
9. En revanche, la France se trouvant exposée, depuis décembre 1994, à une menace grave et réelle, actuelle ou prévisible à la sécurité nationale, les textes précités de droit interne étaient conformes au droit de l'Union en ce qu'ils imposaient aux opérateurs de services de télécommunications électroniques de conserver de façon généralisée et indifférenciée les données de trafic et de localisation, aux fins de la recherche, de la constatation et de la poursuite des infractions portant atteinte aux intérêts fondamentaux de la Nation et des actes de terrorisme, incriminés aux articles 410-1 à 422-7 du code pénal.
10. Les articles 60-1 et 60-2, 77-1-1 et 77-1-2, 99-3 et 99-4 du code de procédure pénale, dans leur version antérieure à la loi n° 2022-299 du 2 mars 2022, lus en combinaison avec le sixième alinéa du paragraphe III de l'article préliminaire du code de procédure pénale, permettaient aux autorités compétentes, de façon conforme au droit de l'Union, pour la lutte contre la criminalité grave, en vue de l'élucidation d'une infraction déterminée, d'ordonner la conservation rapide, au sens de l'article 16 de la Convention de sauvegarde des droits de l'homme et des libertés fondamentales du Conseil de l'Europe sur la cybercriminalité du 23 novembre 2001, des données de connexion, même conservées aux fins de sauvegarde de la sécurité nationale.
11. Il appartient à la juridiction, lorsqu'elle est saisie d'un moyen en ce sens, de vérifier, d'une part, que les éléments de fait justifiant la nécessité d'une telle mesure d'investigation répondent à un critère de criminalité grave, dont l'appréciation relève du droit national, d'autre part, que la conservation rapide des données de trafic et de localisation et l'accès à celles-ci respectent les limites du strict nécessaire.
12. S'agissant de la gravité des faits, il appartient au juge de motiver sa décision au regard de la nature des agissements de la personne poursuivie, de l'importance du dommage qui en résulte, des circonstances de la commission des faits et de la durée de la peine encourue.
13. Les articles 60-1 et 60-2, 77-1-1 et 77-1-2 du code de procédure pénale sont contraires au droit de l'Union uniquement en ce qu'ils ne prévoient pas préalablement à l'accès aux données un contrôle par une juridiction ou une entité administrative indépendante. En revanche, le juge d'instruction est habilité à contrôler l'accès aux données de connexion.
14. Une personne mise en examen n'est recevable à invoquer la violation de l'exigence précitée que si elle prétend être titulaire ou utilisatrice de l'une des lignes identifiées ou si elle établit qu'il aurait été porté atteinte à sa vie privée, à l'occasion des investigations litigieuses.
15. L'existence d'un grief pris de l'absence d'un tel contrôle est établie si l'accès aux données de trafic et de localisation a méconnu les conditions matérielles posées par le droit de l'Union. Tel est le cas si l'accès a porté sur des données irrégulièrement conservées, s'il a eu lieu, hors hypothèse de la conservation rapide, pour une finalité moins grave que celle ayant justifié la conservation, n'a pas été circonscrit à une procédure visant à lutter contre la criminalité grave et a excédé les limites du strict nécessaire.
16. En l'espèce, M. [U] ne justifie ni même n'allègue qu'il aurait été porté atteinte à sa vie privée par les réquisitions délivrées aux opérateurs durant l'enquête ou sur commission rogatoire et tendant à obtenir les facturations détaillées et les géolocalisations des lignes téléphoniques dont il n'était ni titulaire ni utilisateur. Il n'a dès lors pas qualité pour en solliciter la nullité.
17. En revanche, il est recevable à solliciter la nullité des réquisitions portant sur les lignes téléphoniques dont il était l'utilisateur, auxquelles les enquêteurs n'ont eu accès que sur commission rogatoire du juge d'instruction.
18. C'est à tort que, pour ne pas faire droit à la nullité des procès-verbaux d'exploitation de facturations détaillées et de données géolocalisées concernant le requérant, l'arrêt énonce en substance que les articles L. 34-1 et R. 10-13 du code des postes et des communications électroniques, dans leur version en vigueur au moment des faits, prévoyaient une conservation ciblée des données de connexion.
19. En effet, une telle conservation n'existait pas en droit français.
20. L'arrêt n'encourt néanmoins pas la censure pour les motifs qui suivent.
21. D'une part, la chambre de l'instruction a, à juste titre, énoncé que les faits d'importation et d'exportation de plusieurs centaines de kilogrammes de cocaïne d'une grande pureté, en bande organisée, par une structure criminelle de dimension internationale, entrent dans le champ de la criminalité grave.
22. D'autre part, elle a également relevé que l'ingérence dans la vie privée du requérant constituée par les réquisitions aux opérateurs téléphoniques et l'exploitation des données d'identité, de trafic et de géolocalisation apparaissait tout à la fois nécessaire et proportionnée à la poursuite d'infractions pénales relevant de la criminalité grave.
23. Il s'ensuit qu'agissant sur commission rogatoire du juge d'instruction, les enquêteurs pouvaient, sans méconnaître les dispositions conventionnelles invoquées au moyen, accéder aux données de trafic et de localisation régulièrement conservées pour la finalité de la sauvegarde de la sécurité nationale.
24. Le moyen ne peut dès lors être accueilli.
25. Par ailleurs l'arrêt est régulier en la forme.
PAR CES MOTIFS, la Cour :
REJETTE le pourvoi.