Dans une décision du 06 octobre 2020, la Cour de justice de l’Union européenne (CJUE) s’est prononcée sur plusieurs affaires tendant à questionner le régime français de conservation des données de connexion par les opérateurs, à des fins de renseignement ou de police judiciaire.
Plusieurs articles reviennent dans le détail sur cette décision (voir Nextinpact par exemple). Je vous propose pour ma part un avis personnel sur les différents points avancés dans cette décision et ce en quoi ils ne répondent pas forcément totalement aux nécessités objectives des enquêtes judiciaires.
J’avais déjà développé sur ce blog le dispositif de la loi pour la confiance dans l’économie numérique (LCEN) prévoyant les modalités de conservation des données par les fournisseurs d’accès à Internet et les hébergeurs, ainsi que celui qui concerne de façon parallèle les opérateurs de communications électroniques. Ce sont ces dispositions qui sont discutées (dans l’affaire numéro C‑512/18 de la CJUE) et le cas échéant remises en cause par les parties demanderesses dans l’affaire jugée par la CJUE. La demande portait aussi sur certaines techniques spéciales de renseignement et sur la législation belge que je ne discuterai pas ici.
Vous noterez dans la décision ou dans les articles qui la commentent que cette affaire est issue d’une série de questions préjudicielles posées par le Conseil d’Etat français dans le dossier. Cette juridiction sera donc appelée à fonder sa décision sur la réponse apportée par la CJUE.
Le Conseil d’Etat posait ainsi les questions suivantes:
« 1) L’obligation de conservation généralisée et indifférenciée, imposée aux fournisseurs sur le fondement des dispositions permissives de l’article 15, paragraphe 1, de la directive [2002/58], ne doit-elle pas être regardée, notamment eu égard aux garanties et contrôles dont sont assortis ensuite le recueil et l’utilisation de ces données de connexion, comme une ingérence justifiée par le droit à la sûreté garanti à l’article 6 de la [Charte] et les exigences de la sécurité nationale, dont la responsabilité incombe aux seuls États membres en vertu de l’article 4 [TUE] ?
2) Les dispositions de la directive [2000/31], lues à la lumière des articles 6, 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la [Charte], doivent-elles être interprétées en ce sens qu’elles permettent à un État d’instaurer une réglementation nationale imposant aux personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne et aux personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services, de conserver les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires, afin que l’autorité judiciaire puisse, le cas échéant, en requérir communication en vue de faire respecter les règles relatives à la responsabilité civile ou pénale ? »
Enfin, il faut se rappeler qu’un cadre juridique européen de la conservation des données par les opérateurs (directive 2006/24/CE) existait jusqu’à sa remise en cause en 2014 par une décision de la même CJUE du 08 avril 2014.
Plusieurs points de l’arrêt méritent donc qu’on s’y attarde:
Conservation ciblée et uniquement en matière de criminalité grave
Les points 147 à 151 de la décision précisent qu’il serait possible, dans le cadre du droit européen, de prévoir la conservation ciblée des données relatives au trafic et des données de localisation aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, tout comme aux fins de la sauvegarde de la sécurité nationale.
Ce ciblage recouvrirait les « catégories de données à conserver, les moyens de communication visés, les personnes concernées ainsi que la durée de conservation retenue ».
Ce qui est décrit relève donc d’un acte d’investigation ou de surveillance, mais a fortiori pas de mesures « préventives » comme l’indique la Cour, puisque cela suppose d’avoir – au moment où la mesure est ordonnée – des éléments sur les personnes visées et les moyens de communication utilisés.
En outre, cette reprise d’une distinction entre criminalité grave et d’autres formes de délinquance, présente dans des décisions précédentes de la Cour, se heurte notamment au fait que toutes les infractions commises, qui nécessitent des investigations sur les moyens de communication, ne relèvent pas de la criminalité dite grave. C’est le cas en particulier des infractions intégralement commises sur un moyen de communication électronique: que penser des infractions de l’article 24 de la loi sur la liberté de la presse punies d’un an de prison (provocation à la haine ou à la discrimination) ou le harcèlement par un moyen de communication électronique de l’article 222-16 du code pénal puni lui aussi d’un an d’emprisonnement ? On pourrait aussi citer parmi les nombreux exemples le délit de diffusion de fausse information (article 322-14 du code pénal) dans le but de faire croire qu’une destruction, une dégradation ou une détérioration dangereuse pour les personnes va être ou a été commise, puni de deux ans d’emprisonnement.
On notera enfin, qu’il n’existe à ce jour, aucune définition officielle, aucune liste de critères permettant de définir ce qui relèverait de la criminalité grave telle que l’entend la CJUE dans ses décisions, renvoyant à la sagesse des législateurs. On peut toutefois par exemple citer la Convention de Palerme, convention des Nations unies de lutte contre le crime transnational organisé, qui précise en son article 2 b) « L’expression “infraction grave” désigne un acte constituant une infraction passible d’une peine privative de liberté dont le maximum ne doit pas être inférieur à quatre ans ou d’une peine plus lourde; ». Cela recouvre un plan très large des délits définis dans notre code pénal. En tout état de cause, si on applique immédiatement cette décision de la CJUE plus aucune enquête pour ces criminalités « non graves » sur Internet ne pourrait avoir lieu, or comme nous le rappelait avant-hier Mathieu Audibert, « la recherche des auteurs d’infractions est nécessaire à la sauvegarde de principes et droits de valeur constitutionnelle ».
Conservation de l’adresse IP et des identités civiles
Dans la section suivante, aux points 152 à 160, la Cour distingue de façon bizarre la question de la conservation des adresses IP de connexion et celle des identités des utilisateurs des services. Elle conclut en effet que les adresses IP ne pourraient être conservées que pour les besoins liées à la criminalité grave, tandis que les identités civiles pourraient être conservées (aux fins d’identifier l’utilisateur d’un terminal) y compris pour des enquêtes sur des faits de moindre gravité.
Or, si aucun lien n’est fait entre l’équipement terminal (et donc l’usager) et l’adresse IP utilisée à un instant t, la conservation des données sur l’identité civile n’apporte rien à l’enquête judiciaire sur Internet.
En pratique, il convient d’attendre la décision que prendra le Conseil d’Etat pour ces affaires. Il se pourrait en outre que l’arrêt de la CJUE soit le support de recours devant les juridictions quant aux moyens de preuve utilisés actuellement dans de nombreuses affaires judiciaires. Pour moi, et encore une fois je m’exprime ici à titre personnel, il n’y a qu’une conclusion possible à ce débat qui date de l’abrogation de la directive 2006/24/CE en 2014: il est nécessaire, comme nous y appelait déjà François Molins, procureur général près la Cour de cassation en avril 2019, de clarifier urgemment la rédaction des directives 2000/31/CE et 2002/58/CE, et parvenir à un texte européen harmonisant le cadre de la conservation des données indispensables aux enquêtes judiciaires, y compris en rentrant dans le détail des critères minimum permettant de protéger les droits fondamentaux.