Le Conseil constitutionnel célèbre sa millième question prioritaire de constitutionnalité. Et pour l’occasion, c’est encore et toujours la question des données de connexion qui est sous son microscope.

C’est la loi constitutionnelle du 23 juillet 2008 qui a instauré la fameuse QPC, une entorse à la règle jusqu’alors en vigueur qui réservait ce contrôle aux seules lois avant leur promulgation. Depuis l’entrée en vigueur de cette loi le 1er mars 2010, le contrôle a priori s’est donc enrichi d’un contrôle a posteriori, permettant de confronter l’ensemble des lois publiées au Journal officiel aux textes fondamentaux, Constitution de 1958 et Déclaration des droits de l’Homme comprises.

Cette procédure est désormais consacrée à l’article 61 - 1 de la Constitution. « La question prioritaire de constitutionnalité est le droit reconnu à toute personne qui est partie à un procès ou une instance de soutenir qu’une disposition législative porte atteinte aux droits et libertés que la Constitution garantit » commentent les neuf Sages. « Si les conditions de recevabilité de la question sont réunies, il appartient au Conseil constitutionnel, saisi sur renvoi par le Conseil d’État ou la Cour de cassation, de se prononcer et, le cas échéant, d’abroger la disposition législative ». Un guide est disponible sur le site officiel .

Pour la petite histoire, « dès le printemps 2019, le nombre total de saisines a posteriori traitées par le Conseil constitutionnel avait dépassé le nombre de saisines a priori dont il a traité depuis sa propre création en 1958 » note le Conseil. « Par contraste, en 64 ans, "seulement" 838 décisions ont été rendues en contrôle a priori » relève le juriste Nicolas Hervieu. 

Cette millième QPC a été transmise par la Cour de cassation le 20 avril dernier. Elle concerne une série d’infractions à la législation sur les stupéfiants, où une personne poursuivie conteste des dispositions du Code de procédure pénale sur l’accès aux données de connexion, tout particulièrement s'agissant des pouvoirs du juge d’instruction.

L’accès aux données de connexion et le juge d’instruction

L’article 99 - 3 du Code de procédure pénale, dans sa version datant de 2016, ici en cause, autorise le juge d’instruction à adresser des réquisitions notamment de données de connexion auprès des opérateurs de télécommunication, « sans que puisse lui être opposée, sans motif légitime, l'obligation au secret professionnel ».

L’article 99 - 4 du même code permet, pour les nécessités de l'exécution d’une commission rogatoire, à l'officier de police judiciaire de procéder lui aussi à des réquisitions.

La personne poursuivie a contesté ces pouvoirs sur l'autel des droits fondamentaux. La Cour de cassation a affiné la question adressée au Conseil constitutionnel considérant que ces accès aux données sont « de nature à permettre de tirer des conclusions précises sur la vie privée de la ou des personnes concernées, quelle que soit la gravité des infractions poursuivies ». Ils sont ainsi susceptibles de porter une atteinte excessive aux libertés et droits fondamentaux, d’où la transmission de la QPC aux neuf Sages.

« Sur la forme, cette procédure porte sur le juge d’instruction. Les questions soulevées apparaissaient en filigrane dans l’arrêt de la Cour de justice de l’Union Prokuratuur à savoir que l’autorité qui contrôle l’accès aux données doit être indépendante et tiers à la procédure. Dans un virage, la Cour de cassation remet sur la table l’aspect open bar en introduisant la problématique de la graduation, en plus de celle du statut du juge d’instruction. C’est finalement aujourd’hui toute la chaîne pénale qui est mise en examen » commente Me Alexandre Archambault, joint par Next Inpact.

Les orientations soufflées par la Cour de justice de l’Union européenne dans cet arrêt Prokuratuur sont en effet éclairantes, comme l’avait souligné dans un fil Twitter Matthieu Audibert, officier de gendarmerie et doctorant en droit privé et sciences criminelles. « Celui qui exerce le contrôle préalable doit être un tiers par rapport à celui qui demande l'accès aux données. Celui qui contrôle ne doit pas être impliqué dans la conduite de l'enquête pénale ».

Des fissures de partout

Dans une décision rendue en février dernier, le Conseil constitutionnel a déjà relevé que les données de connexion « portent non seulement sur l'identification des utilisateurs des services de communications électroniques, mais aussi sur la localisation de leurs équipements terminaux de communication, les caractéristiques techniques, la date, l'horaire et la durée des communications ainsi que les données d'identification de leurs destinataires ».

Ainsi, « compte tenu de leur nature, de leur diversité et des traitements dont elles peuvent faire l'objet, ces données fournissent sur ces utilisateurs ainsi que, le cas échéant, sur des tiers, des informations nombreuses et précises, particulièrement attentatoires à leur vie privée. »

Et les sages d'en déduire que la conservation générale et indifférenciée des données de connexion porte nécessairement une atteinte disproportionnée au droit au respect de la vie privée.

Le 3 décembre 2021, le même Conseil constitutionnel censurait aussi la possibilité pour le procureur de la République de requérir les données de connexion, dont les « fadettes », dans le cadre d’une enquête préliminaire.