Lettre d'information : Propriété Intellectuelle / Numérique, Tech et Données n° 155 (septembre-octobre 2022)
Direction Technique Droit Economique

CONSERVATION DE DONNEES DE LOCALISATION : VERS UNE CONVERGENCE DES JUGES NATIONAUX ET EUROPEENS

Cass. crim., 12 juill. 2022, n° 21-83.710
Cass. crim., 12 juill. 2022, n° 21-83.820
Cass. crim., 12 juill. 2022, n° 21-84.096
Cass. crim., 12 juill. 2022, n° 20-86.652
CJUE., 20 septembre 2022, aff. n° C-339/20 et C-397/20

Quatre arrêts rendus par la chambre criminelle de la Cour de cassation le 12 juillet 2012 viennent clôturer l’effort d’alignement du droit français, après le Conseil d’État, sur les solutions isolées par la Cour de justice européenne en matière de durée de conservation des données de connexion, c’est-à-dire de trafic et de localisation (voir notamment les décisions du 6 octobre 2020, du 2 mars 2021 et du 5 avril 2022).

La haute juridiction constate que le droit national antérieur à la récente loi n° 2021-998 du 30 juillet 2021 relative à la prévention d'actes de terrorisme et au renseignement n’était pas intégralement conforme au droit de l’UE. En effet, l'article L. 34-1, III du Code des postes et des communications électroniques « imposait aux opérateurs de services de télécommunications électroniques la conservation généralisée et indifférenciée, pour une durée maximale d'un an, des données de connexion énumérées à l'article R. 10-13 dudit code, pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ».

En l’espèce, est validée la faculté de mettre en œuvre une conservation rapide des données de connexion stockées par les opérateurs de communications électroniques dans le cadre d’une réquisition judiciaire si cette conservation a pour but de lutter « contre la criminalité grave, en vue de l’élucidation d’une infraction déterminée, et que la juridiction, saisie d’une requête ou d’une exception de nullité, s’assure que les faits ayant pu justifier la délivrance d’une telle réquisition judiciaire relèvent de la criminalité grave, au regard de la nature des agissements de la personne poursuivie, du montant du préjudice qui en résulte, des circonstances de la commission des faits et de la durée de la peine encourue ».

Parmi les garanties à mettre en œuvre, l’accès aux données conservées doit être contrôlé par une juridiction ou une entité administrative indépendante, dont la décision est dotée d’un effet contraignant. D’après les décisions en cause les réquisitions portant sur des données de trafic et de localisation émanant du juge d’instruction (art. 99-3 et 99-4 du Code de procédure pénale) sont jugées valides, tandis que celles émanant du Procureur de la République (art. 60-1, 60-2, 77-1-1 et 77-1-2) sont déclarées non conformes à la jurisprudence de la CJUE.

Ces quatre arrêts de la haute juridiction se concluent par l’énoncé de quatre critères de validité au mécanisme européen :
  • La faculté du prévenu à contester la régularité de la conservation et de l’accès à ses données de trafic et de localisation ;
  • La régularité de la conservation des données en cause notamment au regard de l’impératif de sauvegarde de la sécurité nationale ou d’une conservation rapide au titre de la lutte contre la criminalité grave ;
  • L’existence d’un contrôle indépendant préalable ;
  • Enfin, si l’accès aux données de trafic et de localisation autorisé par le procureur de la République a occasionné un grief au requérant. Si le juge estime que l’accès aurait dû être refusé, alors il doit prononcer la nullité des réquisitions en cause et des actes subséquents.

Enfin, il convient de noter que l’effort d’interprétation de la CJUE a récemment été complété, sur demande des juridictions françaises, à propos cette fois de la conservation de données de localisation aux fins de la lutte contre les infractions d'abus de marché, dont font partie les opérations d'initiés. Selon une grille d’analyse très semblable aux développements ci-dessous, la Cour de Luxembourg estime, pour l’essentiel, que les textes européens s’opposent à des mesures législatives prévoyant, à titre préventif, aux fins de la lutte contre les infractions d’abus de marché, dont font partie les opérations d’initiés, une conservation généralisée et indifférenciée des données de trafic pendant un an à compter du jour de l’enregistrement.

Ce faisant, la CJUE décide que l’Autorité des marchés financiers française n’est pas habilitée à se faire remettre de telles données de connexion par les opérateurs de services de communications électroniques malgré son rôle de lutte contre les infractions de marché. En définitive, si les Etats membres doivent effectivement désigner des autorités compétentes en matière financière pour enquêter, surveiller et réprimer de telles infractions, il ne saurait en être déduit que ces autorités doivent disposer de pouvoirs aussi étendus que l’accès à des données conservées de manière sans limite et de manière indifférenciée.
Conformément à la loi Informatique et libertés du 6 janvier 1978 modifiée en 2004, vous disposez d'un droit d'accès, de rectification et de
suppression des données vous concernant, que vous pouvez exercer en vous adressant à celine.diri@fidal.com.