Réquisitions des données de connexion sans contrôle préalable d'un juge : conformité à la Constitution

21.06.2022

Le Conseil constitutionnel a déclaré conformes à la Constitution les articles 60-1 et 60-2 du code de procédure pénale en ce qu'ils permettent aux autorités d'enquête de requérir des tiers des données de connexion sans l'autorisation d'un juge indépendant.

Le Conseil constitutionnel a été saisi d'une QPC relative à la conformité des articles 60-1 et 60-2 du code de procédure pénale. Ces dispositions permettent aux autorités d'enquête, en cas de flagrance, de requérir des tiers la communication de données, y compris celles issues d'un système informatique ou d'un traitement de données nominatives, in fine les données de connexion. Or les requérants reprochent à ces dispositions de permettre que ces actes d'enquêtes se réalisent sans le contrôle préalable d'un juge indépendant, ce qui induirait une méconnaissance du droit au respect de la vie privée. Sont alors en cause les mots « y compris celles issues d'un système informatique ou d'un traitement de données nominatives » de l'article 60-1 et son équivalent au titre de l'article 60-2, « contenues dans le ou les systèmes informatiques ou traitement de données nominatives ». L'enjeu était ici la conciliation entre, d'une part, l'objectif à valeur constitutionnel de recherche des auteurs d'infraction et, d'autre part, le droit au respect de la vie privée.

Une conformité justifiée par la brievèté de l'enquête de flagrance et le contrôle effectué par le procureur

Le Conseil, dans une décision du 20 mai 2022 quelque peu laconique, a déclaré les dispositions en cause conformes à la Constitution. Tout d'abord, le Conseil a rappelé que ces dispositions permettent aux autorités de se faire communiquer ou d'avoir accès aux données de connexions, les articles 60-1 et 60-2 opérant notamment une distinction quant à la portée du secret professionnel à l'égard de ces demandes. Or la nature, la diversité de ces données – identification des personnes, localisation, contacts téléphoniques et numériques, consultation de sites –, ainsi que les traitements dont elles font l'objet permettent de fournir des informations nombreuses sur les personnes visées et les tiers. Leur accès est donc une ingérence particulièrement attentatoire à la vie privée.

Bien que le droit au respect de la vie privée ne puisse être considéré comme une prérogative absolue, mais doit être pris en considération par rapport à sa fonction dans la société (CJUE 16 juill. 2020, aff. C-311/18, Dalloz actualité, 22 juil. 2020, obs. C. Crichton ; D. 2020. 2432 , note C. Castets-Renard ; AJ contrat 2020. 436 , obs. T. Douville ; Dalloz IP/IT 2020. 640, obs. B. Bertrand et J. Sirinelli ; Rev. crit. DIP 2020. 874, éclairages A. d'Ornano ; RTD eur. 2021. 175, obs. B. Bertrand ; ibid. 973, obs. F. Benoît-Rohmer ), une telle ingérence devrait logiquement s'accompagner de garanties procédurales (en ce sens, v. CEDH 3 sept. 2015, n° 27013/10, Dalloz actualité, 4 sept. 2015, obs. A. Portmann ; D. 2016. 225, obs. J.-F. Renucci ). Ainsi, le Conseil a tout d'abord rappelé que les dispositions poursuivaient l'objectif à valeur constitutionnelle de recherche des auteurs d'infraction. Il relevait ensuite que ces dispositions étaient limitées aux enquêtes de flagrance dont la durée est de huit jours pour les infractions punies de peine d'emprisonnement, celle-ci pouvant être prolongée pour la même durée pour les infractions les plus graves. Il relevait encore que ces réquisitions ne pouvaient intervenir que sous le contrôle du procureur, lui-même chargé de contrôler la proportionnalité des actes d'investigation au regard de la nature et de la gravité des faits. Il en déduisait enfin l'équilibre entre les intérêts divergeant pour déclarer les dispositions conformes à la Constitution.

Un raisonnement critiquable

Le raisonnement est assurément léger. Tout d'abord, la brièveté de la possibilité de mettre en œuvre cet acte d'enquête, bien que limitant les cas d'atteinte à la vie privée, n'en réduit pas la gravité de cette dernière, et ce peu important la gravité de l'infraction.

Quant au contrôle de la proportionnalité par le procureur, c'est ici quelque peu dénier l'architecture classique dudit contrôle entre ce qui relève de la compétence du procureur et de la compétence du juge des libertés et de la détention. En effet, le Conseil se contente d'un contrôle entièrement opéré par l'autorité d'enquête de poursuite, peu important la gravité de l'infraction sur une mesure dont il est affirmé qu'elle porte une atteinte grave à la vie privée. Pour autant, ces dispositions épargnées par le Conseil pourraient encore être contestées. Tout d'abord, la CJUE a déjà opéré un contrôle de proportionnalité approfondi en pour limiter la conservation généralisée des données de connexion (CJUE 6 oct. 2020, La Quadrature du net [Assoc.], aff. C-511/18, C-512/18 et C-520/18, Dalloz actualité, 13 oct. 2020, obs. C. Crichton ; AJDA 2020. 1880 ; D. 2021. 406, et les obs. , note M. Lassalle ; ibid. 2020. 2262, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; AJ pénal 2020. 531 ; Dalloz IP/IT 2021. 46, obs. E. Daoud, I. Bello et O. Pecriaux ; Légipresse 2020. 671, étude W. Maxwell ; ibid. 2021. 240, étude N. Mallet-Poujol ; RTD eur. 2021. 175, obs. B. Bertrand ; ibid. 181, obs. B. Bertrand ; ibid. 973, obs. F. Benoît-Rohmer ; 5 avr. 2022, Commissionner of An Garda Síochána, aff. C-140/20, Dalloz actualité, 12 avr. 2022, obs. C. Crichton ; AJDA 2022. 718 ; D. 2022. 705 ; Légipresse 2022. 209 et les obs. ) ou encore limiter l'accès par les autorités aux données qui portent gravement atteinte à la vie privée en fonction de la gravité des infractions (en ce sens, v. CJUE 2 oct. 2018, aff. C-207/16,Dalloz actualité, 16 oct. 2018, obs. S. Fucini ; AJDA 2018. 2280, chron. P. Bonneville, E. Broussy, H. Cassagnabère et C. Gänser ; D. 2018. 1913 ; AJ pénal 2018. 584, obs. B. Nicaud ), tout en rappelant la nécessité de l'existence de conditions procédurales offrant des garanties contre les abus. Bien qu'il s'agissait ici de données à caractère personnel conservées par les fournisseurs de services de communications, le raisonnement pourrait prospérer sur le terrain de l'espèce. Ensuite, la CEDH pourrait considérer, d'une part, que les garanties procédurales sont insuffisantes pour assurer le respect de la vie privée, d'autre part, qu'une telle ingérence, dans un cas donné, n'a pas assuré un juste équilibre entre les intérêts en jeu (en ce sens, v. CEDH 8 mai 2018, Ben Faiza c. France, n° 31446/12, Dalloz actualité, 6 mars 2018, obs. N. Nalepa ; D. 2018. 352 ).

Par Baptiste Nicaud

Cons. const. 20 mai 2022, n° 2022-993 QPC