Dans quatre décisions du 12 juillet 2022, la Cour de cassation "tire les conséquences" des décisions rendues par la Cour de justice de l'Union européenne (CJUE) en octobre 2020, relatives à la conservation des données de connexion et à leur communication au juge dans le cadre de procédures pénales. La formule est d'une exquise courtoisie à l'égard de la juridiction européenne, mais en réalité la Cour de cassation entend bien marquer son territoire.
Les données de connexion
Rappelons que ces "données de connexion" sont celles relatives à l'identification des personnes, au trafic et aux données de localisation, notamment les célèbres fadettes. Elles sont énumérées dans l'article R 10-13 du code des postes et des télécommunications. A l'époque des faits, l'article 34-1, III de ce même code imposait aux opérateurs de services de communication leur conservation généralisée et indifférenciée pour une durée maximale d'un an.
Un chemin ouvert par le Conseil d'État
Depuis lors, le dialogue des juges s'est quelque peu durci. Dans trois décisions rendues sur questions préjudicielles le 6 octobre 2020, la CJUE était invitée, par le Conseil d'État, à préciser la portée des règles figurant la directive "vie privée et communications électroniques" ainsi que dans le règlement général sur la protection des données (RGPD). Pour la CJUE, la conservation
généralisée et indifférenciée des données de
connexion, autres que les données d’identité, ne peut être imposée aux
opérateurs que pour les besoins de la sécurité nationale en cas de
menace grave. Dans tous les autres cas, les données doivent être immédiatement détruites.
Alors même que le Conseil d'État était lui-même l'auteur de la question préjudicielle, il ne s'est pas soumis au principe posé par le juge européen. Dans sa décision du 21 avril 2021, il commence par affirmer que "tout en consacrant l'existence d'un ordre juridique de l'Union européenne intégré à l'ordre juridique interne, l'article 88-1 de la Constitution confirme la place de la Constitution au sommet de ce dernier". La supériorité de la Constitution sur le droit européen est ainsi réaffirmée, ce qui n'est guère surprenant. Il énonce ensuite que "dans le cas où l'application d'une directive ou d'un règlement européen, aurait pour effet de priver de garanties effectives l'une de ces exigences constitutionnelles qui ne bénéficierait pas, en droit de l'Union, d'une protection équivalente, le juge administratif, saisi d'un moyen en ce sens, doit l'écarter dans la stricte mesure où le respect de la Constitution l'impose".
Le Conseil d'État s'attribue ainsi compétence pour exercer le contrôle de l'équivalence des protections offertes par le système juridique. S'engouffrant dans une brèche ouverte par les arrêts du 6 octobre 2020, il considère que la lutte contre le terrorisme et la recherche des auteurs d'infractions pénales sont des exigences constitutionnelles. Il ne fait guère de doute qu'elles ne bénéficient pas d'une protection équivalente en droit de l'Union, l'essentiel de ces domaines relevant de la compétence des États. Reprenant alors les termes mêmes des arrêts du 6 octobre 2020, il affirme, se référant à la menace terroriste, que la conservation pendant un an des données de connexion peut se justifier, en quelque sorte exceptionnellement, "si l'État fait face à une menace grave, réelle, actuelle ou prévisible".
L'interprétation de la Cour de cassation
Dans les arrêts du 12 juillet 2022, la Cour de cassation suit sensiblement le même chemin. En l'espèce, elle est saisie de plusieurs demandes d'annulation de réquisitions portant sur des données de trafic et de localisation, délivrées, soit dans le cadre d'une enquête de flagrance placée sous le contrôle du procureur de la République, soit dans le cadre d'une information sur commission rogatoire du juge d'instruction. Pour les requérants, la conservation de ces données est irrégulière car non conforme à la jurisprudence européenne qui a précisément sanctionné la loi de l'époque, celle qui impose aux opérateurs de les conserver pendant un an.
Le droit européen affirme que le juge national doit interpréter le droit français de manière conforme au droit de l'Union. La Cour de cassation doit donc s'assurer régulièrement que la conservation des données de connexion pendant un an pour la protection des intérêts de la Nation et la lutte contre le terrorisme est conforme au droit de l'Union. Elle vérifie donc l'existence d'une menace grave pour la sécurité nationale.
En l'espèce, la Cour relève que les fait relevaient de la grande criminalité, qui s'analyse en soi comme une menace grave pour la sécurité nationale. Selon les pourvois, on trouve le meurtre en bande organisée, le trafic de stupéfiants à dimension internationale, avec notamment la création d'une Start Up "Uber Green" chargée de livrer le cannabis à la demande. Face à cette délinquance, la réquisition des données de connexion et leur exploitation était donc indispensable au déroulement de l'enquête.
Comme le Conseil d'État, la Cour de cassation écarte finalement la rigueur de la jurisprudence européenne, en se livrant à une interprétation qui permet d'en atténuer considérablement la portée.
La loi du 30 juillet 2021
Par la suite, les choses ont évolué, mais sans remettre en cause l'essentiel. La loi du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement a modifié le cadre juridique de la conservation des données de connexion. Définissant six types de données, elle reprend les principes posés par la jurisprudence française et persiste dans l'exigence de conservation d'un an des données, lorsqu'est constatée une menace grave, ou susceptible de le devenir, pour la sécurité nationale. Ce dispositif législatif est donc conçu pour renforcer le droit français face à une jurisprudence européenne perçue comme menaçante.
La question du parquet
Reste un point sur lequel la Cour de cassation suit la CJUE qui, dans un arrêt du 2 mars 2021, rappelle que toutes les atteintes graves aux libertés individuelles doivent être ordonnées par un magistrat indépendant. Elle précise alors que « l’accès des autorités nationales compétentes aux données conservées est subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante". Sur ce point, la CJUE rejoint largement la jurisprudence de la Cour européenne des droits de l'homme (CEDH) déjà formulée dans l'affaire Moulin c. France du 23 novembre 2010
Certes, l'arrêt du 2 mars 2021 concerne le droit estonien, mais la Cour de cassation met en oeuvre ses principes. Selon les pourvois, elle opère une distinction entre les autorités susceptibles d'accéder à ces données de connexion. Le juge d'instruction, qui exerce une fonction juridictionnelle peut exercer ce droit d'accès. En revanche, le procureur ne peut y accéder directement. Selon le droit de l'Union, il dirige la procédure d'enquête préalable ou de flagrance et n'a donc pas une position de neutralité à l'égard des parties.
Il est vrai que l'impact réel de ce ralliement à la jurisprudence de la CJUE est finalement modeste. En effet, la Cour de cassation précise que l'acte ayant autorisé l'accès aux données de connexion ne peut être annulé que si il a porté atteinte directement à la vie privée de la personne et si cette dernière a subi un préjudice. Ce principe a d'ailleurs été posé préalablement par la Cour de cassation, dans un arrêt du 7 septembre 2021. Dans les arrêts du 12 juillet 2022, il n'est pas très compliqué de démontrer que l'ingérence dans la vie privée des personnes poursuivies était prévue par la loi, poursuivait un but légitime - la recherche des auteurs d'une infraction pénale - et n'était pas manifestement disproportionnée par rapport à l'objectif poursuivi, si l'on considère la gravité des faits.