L’encadrement de l’accès aux données conservées par des opérateurs téléphoniques

Mise à jour du 6 août 2022

Mise à jour du 22 septembre 2022

Mise à jour du 6 janvier 2023

Mise à jour du 15 mars 2023

Dans le cadre d’une enquête préliminaire ou d’une enquête de flagrance, le procureur de la République a la possibilité de faire requérir auprès d’un officier de policier judiciaire la transmission des données de télécommunication d’une personne concernée par l’enquête, notamment le suspect. Ce recours est prévu par le code de procédure pénale français : article 60-1 et article 77-1-1.

Les données de télécommunication peuvent être déterminantes dans une enquête et révéler de nombreuses informations aux enquêteurs. Que ce soit en matière de données de géolocalisation ou de données relatives au trafic, les informations permettent de faire avancer une enquête judiciaire.

Cependant, ce dispositif pourrait être fortement limité à la suite d’un arrêt rendu par la Cour de justice de l’Union européenne le 2 mars 2021. Celui-ci fait suite à une affaire en Estonie mais pourrait néanmoins impacter la procédure française.

Vous souhaitez connaître vos droits et vos devoirs en matière de conservation de données par un opérateur téléphonique ? Pierre de Roquefeuil, avocat spécialisé en droit des technologies de l’information à Paris, vous accompagne pour vous conseiller et pour faire respecter vos intérêts. L’avocat spécialisé vous aidera à identifier la procédure adaptée à votre situation.

Dans quels cas, le dispositif d’accès aux données conservées par les opérateurs téléphoniques peut être utilisé ?

Le droit français impose aux opérateurs téléphoniques la conservation des métadonnées pendant un an afin que les services de renseignement et les autorités puissent y avoir accès dans le cadre d’une information judiciaire.

Pierre de Roquefeuil, avocat spécialisé en droit du numérique et de la communication à Paris, vous apporte quelques informations sur l’encadrement de l’accès aux données conservées par les opérateurs téléphoniques.

Des fichiers recensent toutes nos données en matière de télécommunication : les date et heure des communications téléphoniques, l’identité des interlocuteurs, mais aussi les données de géolocalisation. Des sociétés privées conservent ces données durant un an afin de permettre aux forces de l’ordre et aux services de renseignement d’avoir la possibilité de requérir à ces informations dans le cadre d’une enquête.

Trois décrets du 20 octobre 2021 déterminent le cadre applicable en matière de conservation des données de connexion par les opérateurs de communication électronique, les fournisseurs et les hébergeurs d’accès à internet. Ils précisent les conditions de communication des demandes d’autorisation.

La demande d’autorisation de communication des données de connexion et l’autorisation préalable d’accès aux données doit être formulée par écrit et transmise de façon à en assurer sa confidentialité et de pouvoir attester de sa bonne réception.

Ainsi, la législation prévoit que la demande d’autorisation de communication des données de connexion puisse pour chaque enquête préciser :
– Le nom de la personne suspectée ou le nom de toute autre personne pour laquelle un accès aux données de connexion est nécessaire à l’enquête. Le cas échéant, lorsque le nom n’est pas connu, l’adresse IP ou toute autre donnée de connexion peuvent être sollicités.
– Les données de connexion ou les types de données de connexions sollicités pour chacune des personnes ou dans chacun des cas.
– Les périodes durant lesquelles l’accès aux données de connexion est sollicité.
– Les éléments factuels et de droit qui permettent de justifier la demande.

Ces décrets démontrent l’importance des données de connexion dans le cadre d’affaires judiciaires. Le procureur de la République peut, dans le cadre d’une enquête, requérir toutes les données de connexion qui la concerne. Ces données peuvent permettre aux enquêteurs d’obtenir des informations clés dans une enquête.

En effet, dans le cadre de la prévention du terrorisme, le recours aux métadonnées est indispensable. Les données de localisation des individus suspectés ainsi que les écoutes téléphoniques peuvent communiquer aux enquêteurs des informations clés. Ces informations peuvent permettre d’éviter le passage à l’acte des individus. Dans un objectif de prévention de la sécurité nationale, le recours à ces informations est autorisé par le code de la sécurité intérieure français.

Le cabinet Roquefeuil avocats vous apporte son éclairage sur la législation française en matière d’accès aux métadonnées. L’avocat spécialisé vous expose les conséquences qui font suite à l’arrêt de la Cour de justice de l’Union européenne.

Quelles conséquences à la suite de l’arrêt de la Cour de justice de l’Union européenne ?

La Cour de justice de l’Union européenne (CJUE) a déclaré les pratiques de conservation « généralisée et indifférenciée » des données de connexion illégales. Depuis ces déclarations, la conservation de ce dispositif en France demeure incertaine.

En effet, dans l’affaire question préjudicielle CJUE C-793/19 SpaceNet, l’avocat général a précisé que le droit européen « s’oppose à une réglementation nationale qui impose aux fournisseurs de services de communications électroniques accessibles au public de conserver, de manière préventive, générale et indifférenciée, les données relatives au trafic et les données de localisation des utilisateurs finals de ces services à des fins autres que celles de la protection de la sécurité nationale contre une menace grave réelle et actuelle ou prévisible ».

L’avocat général a également indiqué qu’une législation est illicite lorsqu’elle « ne subordonne pas l’accès des autorités compétentes aux données relatives au trafic et aux données de localisation conservées à un contrôle préalablement effectué par une juridiction ou pas une entité administrative indépendante.

Aussi, le Conseil constitutionnel a rappelé que la conservation généralisée de toutes les données de connexion est contraire à la Constitution.

A titre d’exemple, la Cour de justice de l’Union européenne a été saisie d’une question d’une juridiction espagnole dans le cadre de l’instruction d’une affaire. Celle-ci concernant un vol avec violences pendant lequel le téléphone portable de la victime fut dérobé. Le juge chargé d’instruire l’affaire avait refusé de faire requérir la transmission des numéros de téléphones activés par l’appareil volé, estimant que l’infraction n’était pas assez grave pour justifier l’accès à des données personnelles. Ainsi, la juridiction d’appel a interrogé la Cour de justice de l’Union européenne à ce sujet. Cette dernière a alors répondu que l’article 15 de la directive, lu à la lumière des articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne, « doit être interprété en ce sens que l’accès d’autorités publiques aux données visant à l’identification des titulaires des cartes SIM activées avec un téléphone mobile volé, telles que les nom, prénom et, le cas échéant, adresse de ces titulaires comporte une ingérence dans les droits fondamentaux de ces derniers, consacrés à ces articles de la Charte, qui ne présente pas une gravité telle que cet accès devrait être limité, en matière de prévention, de recherche, de détection et de poursuite d’infractions pénales, à la lutte contre la criminalité grave ».

Par conséquent, l’accès à des données à caractère personnel conservées par les opérateurs téléphoniques, ne peuvent pas être justifiées par des infractions de faible gravité portant atteinte grave au droit à la vie privée.

Néanmoins, la Cour de justice de l’Union européenne précise qu’il appartient à chaque nation d’appliquer son droit national en précisant qu’il appartient au juge pénal d’écarter les données recueillies de façon non conforme au droit de l’Union dans le cas où les personnes qui sont poursuivies ne seraient pas en mesure de commenter efficacement les informations et les éléments de preuve. Celles-ci provenant d’un domaine échappant à la connaissance des juges et qui sont susceptibles d’influencer de manière prépondérante l’appréciation des faits.

En effet, la Cour de justice de l’Union européenne reconnaît que la conservation des métadonnées peut être utile dans un objectif de prévention de la menace grave pour la sécurité nationale. Cependant, elle insiste sur le respect de trois conditions : la limite du dispositif dans le temps, la possibilité de justifier la saisie de ce levier par une menace grave, réelle, actuelle ou prévisible pour la sécurité nationale. Enfin, l’utilisation des métadonnées doit être réalisée sous le contrôle effectif d’une juridiction ou d’une autorité administrative indépendante.

De ce fait, le traitement automatisé de données relatives à la localisation en prévention du terrorisme prévu par le Code de la sécurité intérieure est autorisé. Celui-ci doit permettre de filtrer toutes les données pour n’en faire ressortir que les données permettant de rechercher et d’identifier la personne.

En revanche, lorsqu’il ne s’agit pas de menace grave pour la sécurité nationale, la conservation des données à titre de prévention doit être ciblée. Par exemple, les écoutes téléphoniques ne sont autorisées que pour des enquêtes de criminalité organisée ou de terrorisme. Elles sont possibles pour les crimes et délits punis de plus de deux ans d’emprisonnement. Quant aux données de géolocalisation, les services de renseignement ou les forces de l’ordre ne peuvent les utiliser que pour les délits punis de plus de cinq ans d’emprisonnement, ou trois ans dans le cas où il y aurait atteinte à la personne.

Vos données de connexion ont été utilisées dans le cadre d’une enquête et vous souhaitez être conseillé ? Pierre de Roquefeuil, avocat spécialisé en droit du numérique et de la communication à Paris, vous accompagne pour vous conseiller et pour faire respecter vos intérêts. L’avocat spécialisé vous aidera à identifier la procédure adaptée à votre situation.

Qui conserve quoi ? Les opérateurs conservent les métadonnées, et les transfèrent aux autorités, à quelles conditions ? Quelles métadonnées ?

Entre jurisprudence nationale et communautaire, les règles paraissent encore flottantes, mais à l’avantage des GAFAM qui tentent de faire prévaloir la confidentialité due à leurs abonnés et en même temps une conception américaine de la liberté d’expression qui consiste à admettre toutes les calomnies, anonymes ou non.

Pour une opinion publique toujours friande de lapidation, au mépris des objectifs les plus élémentaires de réinsertion sociale.

Les mots de passe et la garde à vue

La garde à vue et le droit au silence

Les avis négatifs et dénigrants

La nouvelle règlementation internet en préparation : DSA – DMA

Le projet de règlement e-privacy

Mise à jour du 6 août 2022

Cour de cass.

Cass. crim., 12 juill. 2022, n° 21-83.710, 
Cass. crim., 12 juill. 2022, n° 21-83.820,
Cass. crim., 12 juill. 2022, n° 20-86.652, 
Cass. crim., 12 juill. 2022, n° 21-84.096, 

CJUE

CJUE 20 septembre 2022, C793/19, C794/19

CJUE, 2 mars 2021, aff. C-746/18, H.K./Prokuratuur

6 oct. 2020, La Quadrature du net [Assoc.], aff. C-511/18, C-512/18 et C-520/18,
5 avr. 2022, Commissionner of An Garda Síochána, aff. C-140/20,
 2 oct. 2018, aff. C-207/16

Textes concernés :
Article L. 34-1, III, et III bis du Code des postes et des communications électroniques

La Loi du 30 juillet 2021 – 2021-998 (art.17) modifiant la LCEN, art.6 II, (loi n° 2004-575 du 21 juin 2004) et L34-1 code des postes et communications électroniques
Articles 60-1, 60-1-1, 77-1-1 et 77-1-2, articles 99-3 et 99-4, du Code de procédure pénale

Trois décrets du 20 octobre 2021

Décret n° 2021-1362 du 20 octobre 2021 relatif à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne, pris en application du II de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, remplaçant (abrogé) Décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne

Directive “e-Privacy” 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)

Cons. const.

20 mai 2022, n° 2022-993 QPC

Conseil d’Etat

CE, 21 avr. 2021, n° 394922, 397844, 397851, 393099, 424717 et 424718 (French Data Network)

CA Paris

18 fév. 2022, n°20/13824, limiterait la communication des données d’identification à la matière pénale, confirmant ordonnance de référé sur article 145 du code de procédure civile et article 6 LCEN
27 avril 2022

TJ – TGI Paris

30 janvier 2013
5 avril 2022

Commentaire :

Dans un arrêt du 2 mars 2021 (CJUE, 2 mars 2021, aff. C-746/18, H.K./Prokuratuur), la CJUE a affirmé que l’accès aux données de connexion ne peut être autorisé que :

– si ces données ont été conservées conformément aux exigences du droit européen ;
– s’il a eu lieu pour la finalité ayant justifié la conservation ou une finalité plus grave, sauf conservation rapide ;
– s’il est limité au strict nécessaire ;
– s’agissant des données de trafic et de localisation, s’il est circonscrit aux procédures visant à la lutte contre la criminalité grave, et ;
– s’il est soumis au contrôle préalable d’une juridiction ou d’une entité administrative indépendante.

La Cour de cassation arrête que les articles 60-1, 60-1-1, 77-1-1 et 77-1-2 sont contraires au droit de l’Union en ce qu’ils ne prévoient pas un contrôle préalable par une juridiction ou une entité administrative indépendante.

Article L. 34-1, III bis, du Code des postes et des communications électroniques :

“Les données conservées par les opérateurs en application du présent article peuvent faire l’objet d’une injonction de conservation rapide par les autorités disposant, en application de la loi, d’un accès aux données relatives aux communications électroniques à des fins de prévention et de répression de la criminalité, de la délinquance grave et des autres manquements graves aux règles dont elles ont la charge d’assurer le respect, afin d’accéder à ces données.”

Mise à jour 22 septembre 2022

=> Les levées d’anonymat sont en principe interdites, en particulier en ce qui concerne des délits civils sans qualification pénale ou des délits mineurs (typiquement les diffamations et injures non discriminatoires envers les particuliers), ce qui va à l’encontre des exigences du droit au procès équitable prévu par la CEDH. Des avancées jurisprudentielles sont donc encore à attendre.

Les textes (articles L34-1 et R10-13 du code des postes et des communications électroniques, L34-1 issu de la réforme Loi du 30 juillet 2022) permettent uniquement une levée de l’identité civile et des données fournies lors de la souscription du contrat (par le parquet seulement ?) “pour les besoins des procédures pénales”.

La fourniture de l’identité civile et des données de contrat (initialement fournies par l’utilisateur) par un opéateur ou un hébergeur peut-être insuffisante pour débusquer l’auteur d’une infraction ; les données dites techniques de localisation et d’identification des machines et logiciels utilisés sont la plupart du temps indispensables à l’identification précise de l’auteur et des circonstances de l’infraction.

Plusieurs pistes sont évoquées pour contester cette approche actuelle du législateur :

• en contestant l’applicabilité de la directive “e-Privacy” 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques ; directive qui sous-tend la réforme, mais qui n’aurait pas vocation à régir l’expression publique, seulement les communications privées ;
• en contestant la constitutionnalité de la loi du 30 juillet 2022 pour atteinte au droit au procès équitable ;

Mise à jour du 6 janvier 2023 :

Une ordonnance remarquable de référé du tribunal judiciaire de Paris du 21 décembre 2022 (Tribunal judiciaire de Paris (réf.), 21 décembre 2022, n° 22/55886, Noctis Event et M. X. c/ Wikimedia Foundation Inc.) rendue contre Wikimedia reconnaît le droit d’accès à l’identité civile de l’auteur du contenu malfaisant, à ses coordonnées, – mais à l’exclusion toutefois de ses données de connexion – , dans un contexte d’atteinte à la vie privée, de dénigrement et de cyberharcèlement (les délits de presse ne sont pas invoqués), atteintes susceptibles de justifier des actions civiles et pénales.

Le juge rappelle les conditions du référé :

L’article 145 du code de procédure civile dispose que s’il existe un motif légitime de conserver ou d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige, les mesures d’instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé, sur requête ou en référé.

La juridiction des référés, saisie en application de l’article 145, dispose d’un pouvoir souverain pour apprécier si le demandeur justifie d’un motif légitime et n’a pas à rechercher s’il y a urgence. Elle doit vérifier si le procès en germe allégué par le demandeur n’est pas manifestement voué à l’échec.

Sont légalement admissibles, des mesures d’instruction circonscrites dans le temps et dans leur objet et proportionnées à l’objectif poursuivi. Il lui incombe de vérifier si la mesure ordonnée est nécessaire à l’exercice du droit à la preuve et proportionnée aux intérêts antinomiques en présence.

Le juge précise opportunément, comme en réponse aux articles L34-1 et R10-13 du code des postes et des communications électroniques, L34-1 issu de la réforme Loi du 30 juillet 2022 :

Le seul fait que le procureur ait l’opportunité des poursuites, comme le soutient la société Wikimedia Foundation Inc, ne saurait suffire à rendre illicite la mesure d’instruction sollicitée, qui vise à identifier l’auteur de ces actes.

> Le “motif légitime” exigé pour justifier une demande en référé préalablement  à un procès, notamment aux fins d’établissement de preuves, ne saurait être anihilé par un pronostic sur les décisions du procureur à propos de poursuites futures, comme le rappelle le juge.

Mise à jour du 15 mars 2023 :

 Transmission à la Cour de cassation d’une QPC portant sur l’article 60-1-2 du code de procédure pénale – 

Cour d’appel de Versailles / 14 déc.2022, pourvoi n°22-90.019 / 6 déc. 2022. pourvoi n°22-90.018

(Diffamation envers un particulier – poursuites pénales)

Le juge d’instruction rappelle que les nouvelles dispositions des articles 60-1 et 60-1-2 du code de procédure pénale ne permettent pas de procéder à des réquisitions des données techniques de connexion des auteurs anonymes de contenus diffamatoires, compte tenu de la nature des faits dénoncés et de la peine encourue (une simple amende délictuelle).

La chambre de l’instruction transmet la question prioritaire de constitutionalité soulevée par la partie civile à la Cour de cassation, en indiquant que ces dispositions instaurent pour les victimes de diffamation une impossibilité d’accéder à la recherche de l’identité des responsables de délits commis et à un juge pour obtenir réparation d’un préjudice qui peut être important en portant attiente à l’honneur et à la moralité des personnes visées, avec des répercussions sur leur vie et leur situation personnelle, dès lors que seule l’obtention des données techniques de connexion permet une identification incontestable desdits responsables. 

Dans ses décisions du 14 mars 2023 pourvoi n° 22-90.018 et pourvoi n°22-90.019 la Cour de cassation ne renvoie pas la question au Conseil constitutionnel en indiquant que :

quand les réquisitions ont pour seul objet d’identifier l’auteur de l’infraction, l’article 60-1-2 du code de procédure pénale limite, y compris au cours d’une information, la possibilité de requérir les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés, mentionnées au 3° du II bis de l’article L. 34-1 du code des postes et des communications électroniques, aux procédures portant sur un délit puni d’au moins un an d’emprisonnement commis par l’utilisation d’un réseau de communications électroniques. Ces dispositions ont été introduites par le législateur afin de renforcer les garanties répondant aux exigences constitutionnelles, compte tenu du caractère attentatoire à la vie privée de telles mesures, en tenant compte de la gravité de l’infraction recherchée et des circonstances de sa commission (Cons. const., 3 décembre 2021, décision n° 2021-952 QPC)

> il s’agit des données techniques ou “métadonnées” telles l’adresse IP (?) et les adresses mac, les logs de connexion, d’activité, de géolocalisation ; le législateur estime que leur communication constitue une intrusion grave dans la vie privée (“ingérence dans le droit au respect de la vie privée”) et doit donc être limitée. L’accès aux données d’identité civile collectées par les opérateurs reste disponible (tels le nom, adresse, adresse mél).