Par une décision n° 2021-952 QPC du 3 décembre 2021, le Conseil constitutionnel a censuré les dispositions des articles 77-1-1 et 77-1-2 du code de procédure pénale relatives à la réquisition de données informatiques par le procureur de la République dans le cadre d'une enquête préliminaire.

Ces deux articles prévoyaient respectivement :

  • « Le procureur de la République ou, sur autorisation de celui-ci, l'officier ou l'agent de police judiciaire, peut, par tout moyen, requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute administration publique qui sont susceptibles de détenir des informations intéressant l'enquête, y compris celles issues d'un système informatique ou d'un traitement de données nominatives, de lui remettre ces informations, notamment sous forme numérique, le cas échéant selon des normes fixées par voie réglementaire, sans que puisse lui être opposée, sans motif légitime, l'obligation au secret professionnel. Lorsque les réquisitions concernent des personnes mentionnées aux articles 56-1 à 56-5, la remise des informations ne peut intervenir qu'avec leur accord » (premier alinéa de l’article 77-1-1 du code de procédure pénale) ;
  • « Sur autorisation du procureur de la République, l'officier ou l'agent de police judiciaire peut procéder aux réquisitions prévues par le premier alinéa de l'article 60-2 » (premier alinéa de l’article 77-1-2 du code de procédure pénale, dans sa rédaction issue de l’article 47 de la loi n° 2019-222 du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice).

Le requérant reprochait à ces dispositions de permettre au procureur de la République d'autoriser, sans contrôle préalable d'une juridiction indépendante, la réquisition d'informations issues d'un système informatique ou d'un traitement de données nominatives, qui comprennent les données de connexion, et se prévalait notamment, à leur encontre, de la méconnaissance du droit au respect de la vie privée, des droits de la défense et du droit à un recours juridictionnel effectif.

La question prioritaire de constitutionnalité portait ainsi sur les mots «, y compris celles issues d'un système informatique ou d'un traitement de données nominatives, » figurant à la première phrase du premier alinéa de l'article 77-1-1 du code de procédure pénale, et « aux réquisitions prévues par le premier alinéa de l'article 60-2 » figurant au premier alinéa de l'article 77-1-2 du même code.

Pour censurer ces dispositions, le Conseil constitutionnel rappelle que la « liberté » proclamée par l’article 2 de la Déclaration des droits de l'homme et du citoyen de 1789 implique « le droit au respect de la vie privée » (cf. CC 23 juillet 1999, n° 99-416 DC, Loi portant création d'une couverture maladie universelle, §45), et qu’en vertu de l’article 34 de la Constitution, le législateur doit « assurer la conciliation entre, d'une part, l'objectif de valeur constitutionnelle de recherche des auteurs d'infraction et, d'autre part, le droit au respect de la vie privée » (cf. CC 15 février 2019, n° 2018-764 QPC, Droit de communication aux agents des douanes des données de connexion, §§ 6 et 8).

Il relève ensuite que :

  • les articles 77-1-1 et 77-1-2 du code de procédure pénale, « en permettant de requérir des informations issues d'un système informatique ou d'un traitement de données nominatives, (…) autorisent ainsi le procureur de la République et les officiers et agents de police judiciaire à se faire communiquer des données de connexion ou à y avoir accès » ;
  • « les données de connexion comportent notamment les données relatives à l'identification des personnes, à leur localisation et à leurs contacts téléphoniques et numériques ainsi qu'aux services de communication au public en ligne qu'elles consultent. Compte tenu de leur nature, de leur diversité et des traitements dont elles peuvent faire l'objet, les données de connexion fournissent sur les personnes en cause ainsi que, le cas échéant, sur des tiers, des informations nombreuses et précises, particulièrement attentatoires à leur vie privée » ;
  • « en application des dispositions contestées, la réquisition de ces données est autorisée dans le cadre d'une enquête préliminaire qui peut porter sur tout type d'infraction et qui n'est pas justifiée par l'urgence ni limitée dans le temps » ;
  • « si ces réquisitions sont soumises à l'autorisation du procureur de la République, magistrat de l'ordre judiciaire auquel il revient, en application de l'article 39-3 du code de procédure pénale, de contrôler la légalité des moyens mis en œuvre par les enquêteurs et la proportionnalité des actes d'investigation au regard de la nature et de la gravité des faits, le législateur n'a assorti le recours aux réquisitions de données de connexion d'aucune autre garantie ».

Il en conclut que « le législateur n'a pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation équilibrée entre, d'une part, le droit au respect de la vie privée et, d'autre part, la recherche des auteurs d'infractions » (cf. CC 15 février 2019, n° 2018-764 QPC, Droit de communication aux agents des douanes des données de connexion, § 8 : « si le législateur a réservé à certains agents des douanes soumis au respect du secret professionnel le pouvoir d'obtenir ces données dans le cadre d'opérations intéressant leur service et ne leur a pas conféré un pouvoir d'exécution forcée, il n'a assorti la procédure prévue par les dispositions en cause d'aucune autre garantie »).

Jugeant que l’abrogation immédiate des dispositions ainsi déclarées inconstitutionnelles entraînerait des conséquences manifestement excessives, le Conseil constitutionnel en a reporté l’effet au 31 décembre 2022, et décidé que les mesures prises avant cette date ne pourraient être contestées sur le fondement de cette inconstitutionnalité.

Il appartiendra d’ici là au législateur d’organiser la possibilité d’un recours aux réquisitions de données de connexion conformément aux exigences constitutionnelles et, le cas échéant, à celles du droit européen, la Cour de justice de l’Union européenne ayant notamment jugé, par un arrêt de sa Grande chambre du 2 mars 2021, H. K. et Prokuratuur, C-746/18, que « l’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale donnant compétence au ministère public, dont la mission est de diriger la procédure d’instruction pénale et d’exercer, le cas échéant, l’action publique lors d’une procédure ultérieure, pour autoriser l’accès d’une autorité publique aux données relatives au trafic et aux données de localisation aux fins d’une instruction pénale. »