Les douaniers autrichiens ont saisi à l'occasion d'un contrôle de routine, en février 2021, 85 grammes de cannabis dans un colis destiné à CG. Ce colis a été transmis à l'autorité de police qui a perquisitionné chez l'intéressé. Interrogé sur l'expéditeur du colis, CG n'a rien voulu de dire et a refusé de donner le code de son téléphone portable. Celui-ci a été immédiatement saisi et les policiers se sont livrés à plusieurs tentatives d'accès, avant de le restituer à son propriétaire en avril 2021.
Indépendamment de la procédure pénale, l'intéressé a donc contesté la saisie de son téléphone et la tentative d'intrusion dans ses données personnelles. La juridiction a décidé d'un renvoi préjudiciel devant la CJUE portant sur la conformité du droit autrichien à plusieurs textes européens, dont essentiellement la directive du 27 avril 2016 relative à la protection des personnes physique à l'égard du traitement des données personnelles réalisé à des fins d'ordre pénal.
La recevabilité de la question
Observons d'emblée que l'affaire était loin d'être gagnée d'avance, car l'avocat général s'était prononcé en faveur de l'irrecevabilité de la question. Les autorités autrichiennes se fondaient en effet essentiellement sur la directive du 12 juillet 2002 relative à la protection des données personnelles dans le cadre des services de communication électronique. Dans la présente affaire, la tentative d'accès aux données est le fait de la police, sans aucune intervention des fournisseurs de services de communications électroniques. Toutefois, les autorités autrichiennes avaient été invitées à reformuler leur question au regard de la directive de 2016.
Même si elles avaient répondu, de manière quelque peu négligente, que ce texte était également applicable, la CJUE va se montrer plus bienveillante que l'avocat général et admettre la recevabilité de la question. Elle estime d'ailleurs que l'article 267 TFUE l'autorise à reformuler les questions qui lui sont posées ou à indiquer d'autres règles pertinentes, afin de donner au juge national une réponse utile. Comme elle l'a fait dans l'arrêt du 22 juin 2022 Volvo et DAF Trucks, la CJUE peut donc reformuler la question préjudicielle.
Mon précieux. Soprano. 2017
La gravité de l'infraction
La première branche de la question préjudicielle porte sur la gravité, ou plutôt l'absence de gravité de l'infraction. En l'espèce, CG est poursuivi pour avoir reçu 85 grammes de cannabis, soit une infraction passible, au maximum, d'une année d'emprisonnement.
Devant la CJUE, ses avocats invoquent la "minimisation" des données tel qu'il est mentionné dans l'article 4 de la directive de 2016 : les États doivent prévoir que les données personnelles sont adéquates, pertinentes et non excessives au regard des finalités du traitement. En l'espèce, l'idée est que l'accès à des données personnelles pour réprimer une infraction modestement sanctionnée entraine une disproportion non conforme à l'article 4.
La CJUE reconnaît volontiers que la gravité de l'infraction qui fait l'objet de l'enquête est un élément de cette proportionnalité. Mais la Cour se place sur le terrain de la création d'un espace de sécurité et de justice au sein de l'Union. L'exclusion des infractions modestement sanctionnées reviendrait à affirmer que seule la lutte contre la grande criminalité est susceptible de justifier l'accès aux données personnelles contenues dans un téléphone. Il appartient donc au législateur interne de définir le seuil à partir duquel ces investigations sont autorisées, mais rien ne lui interdit de les étendre à l'ensemble des infractions.
La question de l'autorisation
La seconde branche de la question porte sur l'autorité autorisant les investigations dans les données personnelles contenues dans le téléphone. Cette fois, la CJUE se montre moins bienveillante à l'égard du droit autrichien. Il apparaît en effet que les tentatives d'accès ont été le fait exclusif de l'autorité de police, sans qu'un juge ait été associé à la procédure. La Cour affirme ainsi que l'accès "doit être subordonné à un contrôle préalable effectué par une juridiction ou une entité administrative indépendante". En cas d'urgence "dûment justifié", l'accès est possible immédiatement, mais le contrôle doit intervenir "dans de brefs délais".
Cette seconde exigence n'est pas sans poser un problème en droit français, même s'il est loin d'être insurmontable. En l'état actuel du droit, le refus de communiquer aux forces de police, durant une garde à vue, le code de déverrouillage de son téléphone constitue une infraction spécifique, distincte de celle pour laquelle la personne est mise en cause. L'article 434-15-2 du code pénal réprime en effet le refus de communiquer "la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter, ou commettre un crime ou un délit". Après quelques hésitations des juges du fond, l'Assemblée plénière de la Cour de cassation, affirme, dans un arrêt du 7 novembre 2022, que le code d'accès à un téléphone doit être considéré comme une telle convention.
Le droit français considère ainsi que l''accès à ces données peut intervenir, quelle que soit la gravité de l'infraction, position parfaitement compatible avec l'arrêt de la CJUE.
Reste évidemment à s'interroger sur la question de l'autorisation d'un juge à cet accès aux données personnelles. En droit français, la garde à vue intervient à l'initiative, soit d'un officier de police judiciaire, soit d'un magistrat. Dans ce dernier cas, l'autorisation d'accès aux données pourrait être accordée immédiatement. En revanche, des procédures devront sans doute être définies pour permettre aux autorités de police d'accéder à ces données dès le début de la garde à vue. En l'état actuel des choses, il faut s'attendre à des recours, dès lors que les avocats ne manqueront pas d'exploiter l'incertitude actuelle pour tenter de mettre leurs clients à l'abri d'une intrusion dérangeante dans leur téléphone. Il est possible que la jurisprudence de la CJUE suscite un dialogue musclé avec le Conseil constitutionnel.
Au-delà de l'interprétation juridique stricto sensu de la décision prise par la CJUE de Luxembourg - à ne pas confondre avec la CEDH de Strasbourg - que vous décortiquez avec dextérité, d'autres questions de principe se posent.
RépondreSupprimer- La première est celle de la finalité de la norme (Cf. le débat actuel tournant autour de l'état de droit et de l'état du droit). La norme est-elle une fin en soi - pour le plus grand bonheur d'une majorité de juristes - ou bien un moyen pour répondre aux défis sécuritaires d'une société dans tous ses états - pour le plus grand bien des citoyens - ?
- La deuxième porte sur les conditions minimales de garantie de la sécurité (publique et individuelle) dans une authentique démocratie qui évoluent dans le temps et dans l'espace. Hier, certains bons esprits nous expliquaient les bienfaits de la consommation de la drogue dans une société de liberté. Ils évoquaient ses bienfaits récréatifs. Aujourd'hui, de compromis en compromissions avec les amateurs de plaisirs "stupéfiants", l'on commence à parler de narco-Etat pour qualifier la France et de narchomicide pour qualifier ce qui vient de se passer à Marseille. Pour mémoire, l'affaire Pierre Palmade devrait nous donner matière à réflexion !
- La troisième touche au basculement de l'approche des citoyens face à tous les phénomènes violents qui sapent la démocratie et l'état de droit. Hier, ils se montraient laxistes. Aujourd'hui, ils se montrent majoritairement intraitables, stigmatisant à l'occasion la faiblesse de la norme et la complicité de certains magistrats. Ceci devrait donner matière à réflexion à nos dirigeants dans leur appréciation du rôle du droit dans un monde fracturé et complexe. Et cela d'autant plus que nous sommes les champions de l'inflation normative.
"La liberté, un de ces mots qui a plus de valeur que de sens" (Paul Valéry).