Il est interdit d’imposer aux fournisseurs de communications électroniques (fournisseurs d’accès à Internet, d’hébergement, etc.) une obligation de conservation généralisée et indifférenciée des données de trafic et de localisation (dites également métadonnées) à des fins de lutte contre les infractions.
Le principe d’indépendance s’oppose à ce que le ministère public (ou parquet en France) se voit confier la compétence de contrôler et d’autoriser l’accès aux données par une autorité publique car il est également l’autorité en charge de l’enquête et des poursuites pénales.
Tels sont les enseignements de l’arrêt du 2 mars 2021 rendu par la Cour de la justice de l’Union européen (CJUE, 2 mars 2021, H.K./Prokuratuur, Aff. C-746/18).
Quels sont les faits et la procédure de l’affaire ?
Dans une décision qui date de 2017, le juge estonien a prononcé une peine d’emprisonnement à l’encontre d’un individu pour des faits de vol et d’utilisation de la carte bancaire d’un tiers. Cette décision a été ensuite confirmée en appel.
Or, les procès-verbaux constatant les infractions ont été établis notamment à partir des données de trafic et de localisation obtenues auprès de l’opérateur téléphonique de l’individu concerné. Il convient de rappeler que ces données permettent d’identifier la source et la destination d’une communication électronique, de déterminer la date, l’heure, la durée et la nature de cette communication ainsi que d’identifier et de localiser le terminal utilisé.
Saisie d’un pourvoi en cassation, la Cour suprême estonienne a décidé de sursoir à statuer et de poser à la CJUE plusieurs questions préjudicielles. En substance, lesdites questions sont les suivantes :
- L’accès par les autorités nationales, dans le cadre d’une procédure pénale, à des données de trafic et de localisation doit-il être limité à la lutte contre la criminalité grave, indépendamment de la période pour laquelle ces autorités ont accès aux données conservées par les fournisseurs de communications électroniques, compte tenu de l’ingérence grave dans le droit au respect de la vie privée ?
- Lorsque la nature des données ou la longueur de la période concernée n’est pas très importante, l’ingérence dans le droit au respect de la vie privée peut-elle être justifiée par l’objectif de lutte contre les infractions pénales ?
- Une législation nationale peut-elle donner compétence au ministère public, qui dirige la procédure de l’instruction et représente le cas échéant l’action publique au cours de la procédure judiciaire ultérieure, pour autoriser l’accès aux données de trafic et de localisation aux fins d’instruction pénale ?
Quelle est la position antérieure de la CJUE sur la conservation des métadonnées ?
A titre de rappel, la CJUE s’est déjà prononcée sur l’interdiction faite aux Etats membres d’imposer aux fournisseurs de services de communications électroniques une obligation de conservation généralisée et indifférencie des données de trafic et de localisation (CJUE, 21 décembre 2016, Aff. Conjointes, C-2013/15, Tele2 Sverige e.a et C‑698/15 Watson e.a ).
Saisie par le Conseil d’Etat, la CJUE a récemment apporté des précisions sur cette interdiction (CJUE, 6 octobre 2020, Aff. Conjointes, C-623/17 e.a La Quadrature du Net e.a. et C-512/18, French Data Network e.a., ainsi que C-520/18 Ordre des barreaux francophones et germanophone e.a.) Il résulte de cet arrêt que le droit européen s’oppose à ce qu’une législation prévoit, à titre préventif, une conservation généralisée et indifférencie des données de trafic et de localisation à des fins de lutte contre les infractions et de sauvegarde de la sécurité publique.
En effet, la CJUE considère qu’une telle conservation constitue une ingérence non justifiée à la confidentialité des données afférentes aux communications électroniques prévue par la directive vie privée et communications électroniques (Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002).
Cela étant, cette ingérence peut être justifiée sous certaines conditions. A titre d’exemple, les Etats membres peuvent imposer aux fournisseurs :
- Une conservation généralisée et indifférenciée afin de faire face à une menace grave pour la sécurité nationale qui s’avère et actuelle ou prévisible. Toutefois, cette conservation doit être temporellement limitée au stricte nécessaire. Elle doit également faire l’objet d’un contrôle par une autorité judiciaire ou administrative indépendante.
- Une conservation ciblée et temporellement limitée au strict nécessaire dans le cadre de la lutte contre la criminalité grave ou de prévention des menaces graves contre la sécurité publique. Cette délimitation concerne les données à conserver, les moyens de communication visés, les personnes concernées et la durée de conservation.
Conservation généralisée et indifférenciée des métadonnées : l’interdiction confirmée
Dans le cadre du présent arrêt, la CJUE a de nouveau statué que le droit européen s’oppose à une législation nationale permettant l’accès d’autorités publiques à l’ensemble des données de trafic et de localisation à des fins de lutte contre les infractions pénales. Pour qu’un tel accès soit conforme au droit européen, il doit être « circonscrit à des procédures visant à la lutte contre la criminalité grave à la prévention de menaces graves contre la sécurité publique, ce indépendamment de la durée de la période pour laquelle l’accès auxdites données est sollicité et de la quantité ou de la nature des données disponibles pour une telle période ».
En France, ce sont l’article L34-1 du Code des postes et des communications électroniques et l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique qui prévoient le régime applicable à la conservation des métadonnées. En vertu de ces dispositions, les fournisseurs de services de communications électroniques ont l’obligation de conserver ces données et de permettre leur accès aux autorités judiciaires ou administratives françaises.
Or, l’arrêt du 6 octobre 2020 de la CJUE étant désormais confirmé, il semble acquis qu’en l’état actuel du droit positif, les obligations imposés par les textes français ne sont pas conformes à la jurisprudence de la CJUE.
Exclusion de la compétence du parquet pour autoriser l’accès aux données à des fins pénales
Dans son arrêt du 2 mars 2021, la CJUE a également précisé que la compétence donnée au ministère public pour autoriser l’accès aux données de trafic et de localisation à des fins pénales n’est pas conforme au droit européen. En effet, en vertu du principe d’indépendance, le ministère public ne peut pas à la fois diriger l’enquête, mener l’action publique dans le cadre de poursuites ultérieures et autoriser l’accès aux données.
Par conséquent, il est possible de s’interroger sur les conséquences de cette solution en droit français. Quel serait le juge compétent pour exercer le contrôler de la demande avant d’autoriser l’accès ? Une compétence donnée au juge des libertés et de la détention pourrait être envisageable.
Mathias Avocats ne manquera pas de vous informer des avancées en la matière et notamment de l’arrêt attendu du Conseil d’Etat.