Que ce soit dans le cadre d'une enquête préliminaire ou d'une enquête de flagrance, le code de procédure pénale français permet au procureur de la République et a fortiori à l'officier de police judiciaire de requérir des opérateurs téléphoniques la transmission des données de télécommunication de toute personne intéressant l'enquête et en premier lieu desquels le suspect (voir l'article 60-1 du code de procédure pénale relatif à l'enquête de flagrance et l'article 77-1-1 du même code relatif à l'enquête préliminaire).
Les données de télécommunication sont en effet une formidable mine d'informations pour les enquêteurs. On y trouve des données de géolocalisation (les endroits où le téléphone a "borné") mais aussi des données relatives au trafic (les personnes appelantes ou appelées, leurs noms, leurs adresses, les dates et heures du début et de la fin d'appel, le service de téléphonie utilisée, l'identité internationale de l'abonné mobile IMSI, l'indentité internationale de l'équipement mobile IMEI, etc.)
Bref, il suffit pour l'enquêteur de se baisser pour cueillir tous les secrets du suspect peu dissert sur ses contacts et ses déplacements.
Ce pouvoir d'enquête risque toutefois d'être sérieusement limité par l'arrêt rendu par la Cour de justice de l'Union européenne le 2 mars 2021, H.K. c. Prokuratuur, C-746/18. Si la décision concerne une affaire en Estonie, la similarité de la procédure pénale estonienne avec la procédure pénale française en matière de transmission de données de télécommunication est remarquable. Cette jurisprudence pourrait s'appliquer en France et susciter quelques remous procéduraux.
En l'espèce, H.K. était poursuivie pour plusieurs infractions dont des vols de biens. Pour la déclarer coupable de ces faits, le tribunal de première instance s'est fondé, entre autres, sur plusieurs procès-verbaux établis à partir de données fournies par des opérateurs téléphoniques. H.K a contesté la recevabilité de ces procès-verbaux au motif que l'obligation des opérateurs téléphoniques de conserver ces données et l'utilisation de ces données aux fins de sa condamnation étaient contraires à la directive 2002/58 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteurs des communications électroniques lue à la lumière de la Charte des droits fondamentaux.
Saisie à l'occasion d'une procédure de question préjudicielle, la Cour de justice a offert une solution que l'on peut résumer en deux points :
- La directive 2002/58 et la Charte des droits fondamentaux s'opposent à une règlementation nationale qui permet à des autorités de poursuite d'accéder aux données de trafic et de géolocalisation lorsque cet accès n'est pas limité aux procédures visant la criminalité grave ou la prévention de menaces graves contre la sécurité publique.
- L'accès à ces données de trafic et de géolocalisation doit être subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante. A ce titre, le ministère public ne saurait être compétent pour autoriser ces accès.
1) L'ACCÈS AUX DONNÉES DE GÉOLOCALISATION ET DE TRAFIC N'EST ADMIS QUE POUR LA CRIMINALITÉ GRAVE OU LA PRÉVENTION DE MENACES GRAVES CONTRE LA SÉCURITÉ PUBLIQUE
Le droit de l'Union européenne admet que les autorités nationales puissent avoir un intérêt à accéder aux données conservées par les fournisseurs de services de communications éléctroniques dont font partie les opérateurs téléphoniques. Cet accès peut en effet être justifié par l'objectif de prévention, de recherche, de détection et de poursuite d'infractions pénales.
Toutefois, la Cour de justice rappelle que l'ingérence qui résulte de cet accès doit être proportionné à la nature de l'infraction poursuivie. Il en va ainsi d'une mise en balance entre l'intérêt de la prévention et de la poursuite des infractions et celui de la protection de la vie privée de chaque individu.
Dans une précédente décision, la Cour de justice avait admis qu'une demande d'identification d'un numéro de carte SIM afin de connaître les nom, prénom et adresse de son titulaire, constituait une ingérence faible qui justifiait qu'elle s'applique à tout type d'infraction et notamment au vol d'un téléphone en l'espèce (Cour de justice, 2 octobre 2018, Ministerio Fiscal, C-207/16).
En revanche, dans l'affaire H.K., les autorités de poursuite ont eu accès à des données relatives au trafic téléphonique et à des données de géolocalisation. Ces données allaient au-delà de la simple indentification de l'identité du propriétaire du téléphone. Elles fournissaient des informations sur les communications effectuées par l'utilisateur du téléphone ainsi que sur la localisation de ce dernier et permettaient dès lors de tirer des conclusions précises sur la vie privée de la personne concernée.
La Cour de justice a considéré que "seule la lutte contre la criminalité grave et la prévention de menaces graves contre la sécurité publique [étaient] de nature à justifier des ingérences graves dans les droits fondamentaux consacrés à l'article 7 et 8 de la Charte". Compte tenu de ce principe, la Cour de justice indique clairement que l'accès à des données de trafic et de géolocalisation est une ingérence grave aux droits fondamentaux dont l'usage doit être limité à la lutte contre la criminalité grave ou la prévention de menaces graves pour la sécuité publique.
La décision de la Cour de justice est d'autant plus remarquable qu'elle anticipe la réaction des autorités de poursuite qui pourraient être tentées de contourner le principe en expliquant que l'accès serait limité dans le temps et concernerait une quantité de données limitées. Non, pour la Cour de justice, l'ingérence sera en tout état de cause grave "indépendemment de la durée de la période pour laquelle l'accès auxdites données est sollicité et de la quantité ou de la nature des données disponibles pour une telle période" et dès lors que "cet ensemble de données est susceptible de permettre de tirer des conclusions précises sur la vie privée de la ou les personnes concernées".
Deux enseignements à tirer de ce premier point pour la procédure pénale française :
- Nous pouvons sans crainte indiquer que l'usage de moyens d'enquête permettant d'accéder aux données de trafic et de géolocalisation d'un téléphone ne saurait être admis pour de simples délits;
- Les autorités de poursuite ne pourront pas contourner cette limitation en arguant que l'accès était limité temporellement et matériellement.
2) LE MINISTÈRE PUBLIC N'EST PAS COMPÉTENT POUR AUTORISER L'ACCÈS À CES DONNÉES DE TELECOMMUNICATION
La décision H.K. c. Prokuratuur renforce également la protection des droits fondamentaux en considérant que même pour les infractions les plus graves, l'accès des autorités nationales compétentes aux données conservées doit être "subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante", la demande d'accès devant qui plus est être motivée.
La Cour de justice précise que l'autorité chargée d'exercer le contrôle préalable doit satisfaire à l'exigence d'indépendance. Cela implique que "l'autorité ait la qualité de tiers par rapport à celle qui demande l'accès aux données, de sorte que la première soit en mesure d'exercer ce contrôle de manière objective et impartiale à l'abri de toute influence extérieure". Elle ajoute que l'autorité chargée de ce contrôle préalable ne doit pas être impliquée dans la conduite de l'enquête pénale en cause et doit avoir une position de neutralité vis-à-vis des parties à la procédure pénale.
Or, selon la Cour de justice, "un ministère public qui dirige la procédure d'enquête et exerce, le cas échéant l'action publique" est dépourvu de cette indépendance. En effet, "le ministère public a pour mission non pas de trancher en toute indépendance un litige, mais de le soumettre, le cas échéant, à la juridiction compétente, en tant que partie au procès exerçant l'action pénale".
La Cour de justice va même plus loin en indiquant que "la circonstance que le ministère public soit, conformément aux règles régissant ses compétences et son statut, tenu de vérifier les éléments à charge et à décharge, de garantir la légalité de la procédure d'instruction et d'agir uniquement de la loi et de sa conviction ne saurait suffire à lui conférer le statut de tiers par rapport aux intérêts en cause"
La Cour de justice offre une exception sur le moment du contrôle : "le contrôle indépendant doit intervenir [...] préalablement à tout accès, sauf cas d'urgence dûment justifiée, auquel cas le contrôle doit intervenir dans de brefs délais".
Cette décision est sans équivoque : le ministère public ne peut pas de son propre chef requérir l'accès aux données de trafic et de géolocalisation d'une personne, même dans les enquêtes pour les infractions les plus graves. Il doit obtenir une autorisation préalable d'un juge ou d'une autorité indépendante sauf si l'urgence le justifie et auquel cas la situation doit être régularisée dans les plus brefs délais.
Cette jurisprudence remet sérieusement en question le mécanisme d'accès aux données de trafic et de géolocalisation dans la procédure française qui, comme indiqué au début de cet article, relève de la seule compétence du parquet, sans intervention préalable du juge.
Or, le parquet français n'est pas une juridiction indépendante. Cela a été rappelé pour la Cour européenne des droits de l'Homme (CEDH 23 nov. 2010, Moulin c. France, n° 37104/06). De son côté la Cour de justice de l'Union européenne avait admis certaines compétences du parquet français dès lors qu'elles étaient subordonnées à un contrôle juridictionnel préalable effectif (voir en ce sens l'arrêt du 12 décembre 2019, J.R. et Y.C., C-566/19 C-626/19).
Que faire si le procureur de la République ou l'officier de police judicaire continue à accéder à ce type de données de télécommunication?
En attendant une intervention du législateur français pour se mettre en conformité avec cette nouvelle jurisprudence, il conviendra évidemment formuler des conclusions de nullité et de demander au juge d'écarter les preuves qui auraient pû être obtenues par les enquêteurs grâce à l'accès à ces données de télécommunication.
Pas de contribution, soyez le premier