Cass.Crim 22 octobre 2013,n° 13-81.945 et 13-81.949 et loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019
L’utilisation de données de communication est considérée comme requérant des précautions particulières reflétées notamment dans la LCEN (Loi pour la confiance dans l’économie numérique). À titre d’exemple, l’utilisation à titre commercial des données de géolocalisation requiert un consentement exprès qui peut être révoqué à tout moment. L’utilisation pour des besoins sécuritaires ou de répression des infractions est elle aussi très encadrée au point que, malgré les scandales sur l’utilisation excessive de méta données par les services secrets de différents pays, le besoin semble paradoxalement se faire sentir d’élargir l’accès à ces données. Deux arrêts d’octobre 2013 de la Cour de cassation nous éclairent sur les conséquences de l’application stricte de la loi.
Une surveillance par géolocalisation encadrée par la Cour de cassation
Les techniques de géolocalisation peuvent être utilisées pour surveiller les déplacements d’un individu. Cette méthode sert très fréquemment en matière d’enquêtes pénales pour, entre autre, localiser un véhicule via un récepteur GPS ou une personne via son téléphone portable.
Dans les deux affaires portées devant la Chambre criminelle, une enquête préliminaire avait été ouverte à la suite d’actes de terrorisme et de trafic de stupéfiants. Dans ce cadre et avec l’autorisation du procureur de la République, les officiers de police judiciaire avaient adressé à des opérateurs de téléphonie mobiles des demandes de géolocalisation en temps réel des téléphones mobiles appartenant aux deux individus mis en cause. Par la suite, le juge d’instruction avait fait procéder par commission rogatoire à de nouvelles mesures de géolocalisation des téléphones mobiles.
Chacun des mis en cause avaient contesté les mesures de géolocalisation de leurs téléphones en se fondant sur le défaut de fondement légal de la mise en place d’un tel dispositif.
La Chambre criminelle a énoncé, au visa de l’article 8 de la Convention européenne des droits de l’homme, que la géolocalisation constituait une grave ingérence dans la vie privée devant être contrôlée par un juge. Ainsi dans le cadre d’une instruction, la géolocalisation effectuée sous le contrôle du juge d’instruction en vertu de de l’article 81 du Code de procédure pénale est régulière et en accord avec l’article 8 de la Convention.
En revanche, la mesure de géolocalisation autorisée par le Procureur de la République dans le cadre d’une enquête préliminaire a été considérée comme violant de l’article 8 de la Convention. En effet, le Procureur de la République n’est pas considéré comme une autorité judiciaire représentant les garanties d’indépendance et d’impartialité requises, puisqu’il est partie poursuivante [1]. Dès lors, la police judicaire ne peut pas se fonder sur les articles 12, 14 et 41 du Code de procédure pénale qui lui donne le pouvoir de constater et réprimer les infractions sous le contrôle du Procureur de la République, pour avoir recours à la géolocalisation.
L’extension de l’accès aux données de connexion par le législateur: la loi sur la programmation militaire
La loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour la période 2014-2019 comprend une série d’articles destinés à renforcer l’accès – par les services de renseignements intérieurs, de police et de gendarmerie et des douanes – aux données téléphoniques et informatiques dans le cadre de la lutte contre le terrorisme et la criminalité organisée. L’accent est mis sur le besoin d’accorder des moyens efficace d’action tenant compte de l’évolution des technologies.
La CNIL a été saisie en urgence, en juillet, des dispositions des articles 8 à 12 du projet de loi qui concernent la possibilité pour les services de renseignements intérieurs, de police, de gendarmerie et des douanes d’accéder aux fichiers administratifs (immatriculations) ou d’antécédents judiciaires et la création d’un fichier sur les passagers aériens (PNR). La CNIL a alors rendu un avis qui n’est pas public.
La CNIL a annoncé sur son site internet qu’elle n’avait en revanche pas été saisie de l’article 13 du projet. Or celui-ci permet aux services de renseignement des ministères de la Défense, de l’Intérieur, de l’Économie et du ministère en charge du Budget d’accéder aux données conservées par les opérateurs de communications électroniques, les fournisseurs d’accès à Internet et les hébergeurs.
Il sera possible à ces fonctionnaires d’accéder aux données pour :
- la recherche de renseignements intéressant la sécurité nationale,
- la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France,
- la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous.
De plus, la loi prévoit l’accès aux données de connexion en temps réel. Ce qui signifie notamment qu’il sera possible de géolocaliser des terminaux mobiles (Smartphones, etc.) en temps réel.
La CNIL, en gardien d’une liberté fondamentale, a cependant dû intervenir d’une autre façon pour demander le renforcement des garanties accordées aux personnes. Elle a été auditionnée par les commissions des lois et de la défense du Sénat, lequel a modifié dès la première lecture du projet de loi le régime juridique de la géolocalisation en lui appliquant le régime des interceptions de sécurité.
Ainsi, le régime modifié de l’article 13 est le suivant : les demandes d’accès aux données de connexion sont soumises à la décision d’une personnalité qualifiée, placée auprès du Premier ministre (similaire à la personnalité qualifiée de l’article 6 de la LCEN et de l’article L34-1-1 du Code des postes et des communications électroniques). La procédure d’autorisation pour les accès en temps réel est, elle, modelée sur le régime des interceptions de communications à savoir qu’elle doit être demandée par un ministre (ou personne spécialement désignée par lui) au premier ministre ou personne spécialement désigné par lui). L’autorisation est ensuite accordée pour une durée maximale de 30 jours renouvelable et communiquée dans les 48 heures au président de la Commission nationale de contrôle des interceptions de sécurité.
Ces questions prennent un relief tout particulier après la publication de la position prise par l’avocat général, M. Cruz Villalón, dans le cadre de deux procédures devant la CJUE, concernant la directive sur la conservation des données qu’il juge incompatible avec la charte des droits fondamentaux de l’Union européenne[1]. Il propose, toutefois, de tenir en suspens les effets du constat d’invalidité pour que le législateur de l’Union puisse prendre, dans un délai raisonnable, les mesures nécessaires pour y remédier.
Le débat autour de ces questions reflète le besoin de trouver le point d’équilibre entre la préservation des droits de l’individu et la protection de l’ordre public dans le cadre d’une évolution technologique permanente.
[1] Cour de justice de l’Union européenne, Communiqué de presse n° 157/13 Luxembourg, le 12 décembre 2013
Stéphanie Faber est Membre de voxFemina – Paroles d’Experts au Féminin