Lutte contre le narcotrafic et protection des données personnelles : quel équilibre ?

‍

I. Le renforcement des moyens de lutte contre le narcotrafic

Face à l'évolution constante des techniques employées par les réseaux de narcotrafic, le législateur propose un renforcement significatif des outils juridiques et techniques à disposition des autorités. Ces mesures, qui touchent tant à l'organisation judiciaire qu'aux capacités de surveillance électronique, méritent un examen approfondi quant à leur portée et leurs implications.

A. L'extension des pouvoirs d'investigation et d'enquête

Le premier volet de ce projet de réforme est de renforcer les moyens mis à la disposition des autorités judiciaires et des forces de l'ordre.

Parmi les propositions majeures figurent :

1. La création d'un parquet national anti-stupéfiants (PNACO)

Ce parquet, dont la compétence serait nationale, serait chargé du pilotage des enquêtes les plus complexes en matière de narcotrafic, avec un accès facilité aux outils d'enquête spécialisés. Il viendrait compléter le dispositif existant des juridictions interrégionales spécialisées (JIRS).

Toutefois, en raison de l'élargissement de ses pouvoirs d'investigation, ce parquet pourrait favoriser une intensification des techniques de surveillance et de collecte de données, avec des implications directes sur la protection des données personnelles des suspects et des tiers.

2. L'instauration d'un régime carcéral spécifique

Ce régime concernerait les détenus condamnés pour des infractions liées à la criminalité organisée et viserait à renforcer leur surveillance en détention.

En plus des restrictions de détention, ce régime prévoit un contrôle accru des communications, un profilage comportemental et une évaluation continue du risque, impliquant ainsi un traitement systématique des données personnelles des détenus, y compris leur correspondance et interactions avec l'extérieur.

Ces mesures incluraient notamment une analyse algorithmique des interactions intra-muros, avec un suivi détaillé des correspondances, visites, échanges téléphoniques et mouvements à l'intérieur des établissements pénitentiaires.

Cette utilisation massive des données personnelles des détenus pose des questions quant aux garanties d'anonymisation, d'accès aux fichiers et de conservation des données à l'issue de la détention.

3. L'allongement des délais de détention provisoire de quatre à six mois

La proposition de loi prévoit une modification du régime de détention provisoire prévu par l'article 145-2 du Code de procédure pénale pour les infractions relevant du narcotrafic.

Cette prolongation, directement liée à la complexification des dossiers et du traitement des données d'enquête, interroge sur la conformité au principe de nécessité consacré par l'article 5 de la CEDH.

L'accroissement du volume de données analysées dans ces enquêtes, notamment avec le recours croissant aux interceptions numériques et aux extractions de données sur téléphones ou serveurs, risque de retarder l'instruction, avec des répercussions directes sur la durée de détention avant jugement.

4. La création d'un « dossier coffre »

La proposition de loi propose en son article 16 [1] la création d'un nouvel article 706-104 au sein du Code de procédure pénale pour exclure certaines informations sensibles du dossier pénal accessible aux parties. L'objectif affiché est de protéger les sources des enquêteurs, les méthodes de surveillance et les éléments d'enquête confidentiels dans les affaires de criminalité organisée.

Ce dispositif soulève des interrogations et craintes majeures non seulement quant au respect du principe du contradictoire (article 6 de la CEDH) et des droits de la défense de manière générale, les parties étant empêchées de connaître, vérifier ou discuter certains éléments de preuve.

Ce dossier coffre pose également des questions importantes en matière d'accès aux données personnelles dans le cadre judiciaire, notamment sur la nature des informations conservées, leur durée de conservation et les garanties offertes quant à leur exactitude.

B. Le recours accru aux technologies de surveillance et l'accès aux messageries cryptées

La proposition de loi prévoit également un accès facilité des services de renseignement aux messageries chiffrées et une surveillance des communications par des algorithmes.

Ces mesures reposeraient sur l'article L851-3 du Code de la sécurité intérieure, qui autorise déjà la surveillance algorithmique des communications électroniques en cas de menace pour la défense nationale, d'ingérence étrangère ou de terrorisme.

L'inclusion des infractions de narcotrafic dans ce dispositif marquerait un tournant majeur en droit pénal, en généralisant ces outils de surveillance à des infractions de droit commun.

Les obligations pesant sur les plateformes pourraient prendre plusieurs formes :

1. L'implémentation de backdoors dans les systèmes de chiffrement

Ces portes dérobées permettront aux autorités d'accéder aux échanges sur des messageries chiffrées. Toutefois, les spécialistes en cybersécurité alertent sur les possibles failles que ces backdoors pourraient généraliser en matière de protection des données.

2. Le déchiffrement des communications sur requête judiciaire

La mise en place de ce déchiffrement serait susceptible de modifier les protocoles de sécurité de certaines plateformes de bout en bout, pourtant conçus pour garantir l'intégrité et la sécurité des échanges.

3. Un système de détection et de signalement automatisé

Ce système inspiré de la lutte contre la pédocriminalité en ligne, est destiné à détecter automatiquement et signaler aux autorités certaines communications suspectes.

Il implique, de facto, une surveillance constante et autonome de l'ensemble des conversations.

Si ces techniques de surveillance visent à renforcer l'efficacité des enquêtes, leur mise en œuvre soulève des interrogations majeures en matière de protection des libertés fondamentales :

• Le cadre juridique actuel prévoit-il des garanties suffisantes contre la collecte massive de données personnelles ?
• Cette loi ne risque-t-elle pas d'affaiblir le principe même du chiffrement des communications, pourtant essentiel à la protection des libertés numériques ?
• Les failles techniques induites par ces mesures pourraient-elles compromettre la sécurité globale des systèmes de communication ?
• Un ciblage insuffisant des personnes concernées pourrait-il aboutir à une surveillance généralisée et disproportionnée ?

Ces mesures devront donc être évaluées à l'aune des principes de proportionnalité et de nécessité des atteintes à la vie privée garantis à l'article 8 de la CEDH et le RGPD [2], au risque de se heurter à des contestations juridictionnelles.

II. Un équilibre fragile entre efficacité répressive et protection des données personnelles

L'équilibre entre efficacité répressive et protection des droits individuels constitue un défi majeur pour le législateur. Une analyse approfondie des risques juridiques et des conditions de validité s'impose.

A. Les risques juridiques d'atteinte aux droits fondamentaux

La proposition de loi pose plusieurs problèmes majeurs au regard de la protection des données personnelles et des droits fondamentaux, tant sur le plan constitutionnel que conventionnel.

1. Les atteintes potentielles au droit au procès équitable

Le principe même du dossier coffre est d'empêcher les parties d'avoir accès aux investigations et donc de connaître la nature et l'étendue des informations collectées à son sujet.

Ainsi, ce dispositif pose une question cruciale quant au respect du principe du contradictoire et de l'égalité des armes. En limitant l'accès à certaines pièces du dossier pénal, ce dispositif risque d'affecter l'équilibre entre l'accusation et la défense et pourrait compromettre les droits fondamentaux des mis en cause.

La jurisprudence constitutionnelle et européenne est très claire sur ce point :

• Décision n° 2011-191/194/195/196/197 QPC (Conseil constitutionnel, 18 novembre 2011) : Le principe du contradictoire et le respect des droits de la défense impliquent qu'une partie puisse discuter l'ensemble des pièces soumises au juge.
• La CEDH, dans l'arrêt Rowe et Davis c. Royaume-Uni (2000), a rappelé que toute restriction à l'accès aux éléments de preuve devait être strictement nécessaire et compensée par des garanties procédurales suffisantes.

2. La conservation des données et les intrusions dans la sphère privée

L'accès aux messageries cryptées et l'extension des pouvoirs d'investigation constituent des atteintes considérables à la vie privée. Or :

• Le RGPD (article 5 [3]) et la directive "police-justice" (Directive 2016/680 [4]) imposent des principes stricts de finalité, de minimisation et de proportionnalité.
• La Cour de justice de l'Union européenne a développé une jurisprudence exigeante avec les arrêts Digital Rights Ireland (2014) et La Quadrature du Net [5] (2020), interdisant la conservation massive et indifférenciée des données de connexion.
• Le Conseil d'État (décision n° 393099 du 21 avril 2021) a confirmé que la conservation généralisée des données est contraire au droit européen.

L'affaire EncroChat (2020) [6] illustre parfaitement ces enjeux. L'infiltration de cette messagerie chiffrée par les autorités françaises et néerlandaises a permis le démantèlement de nombreux réseaux criminels, mais a soulevé d'importantes questions juridiques concernant la légalité des interceptions massives et l'admissibilité des preuves ainsi recueillies.

3. La question de la proportionnalité des mesures de surveillance

L'article 8 de la CEDH impose que toute ingérence dans la vie privée soit strictement nécessaire et proportionnée.

Plusieurs arrêts récents précisent cette exigence :

• Big Brother Watch c. Royaume-Uni (2021) : la cour a condamné un régime de surveillance de masse jugé excessif et insuffisamment encadré.
• Ekimdzhiev et autres c. Bulgarie (2022) : la CEDH a rappelé la nécessité d'un contrôle juridictionnel effectif des mesures de surveillance, avec des garanties suffisantes contre l'arbitraire.
• Roman Zakharov c. Russie (2015) : la cour a précisé que la législation doit être suffisamment claire pour donner aux citoyens une indication adéquate des circonstances dans lesquelles les autorités peuvent recourir à des mesures de surveillance.

La proposition de loi, en élargissant considérablement le champ des mesures de surveillance, s'expose à une censure juridictionnelle si elle ne prévoit pas de garanties suffisantes.

B. Les conditions juridiques de validité du dispositif

Face à ces risques, la proposition de loi devra impérativement respecter les standards constitutionnels et européens pour éviter une censure juridictionnelle.

1. Encadrement procédural des mesures de surveillance

La jurisprudence impose trois exigences cumulatives pour qu'une mesure de surveillance soit conforme aux droits fondamentaux :

En premier lieu, la jurisprudence constitutionnelle (notamment la décision n° 2015-713 DC du 23 juillet 2015) exige que toute mesure de surveillance soit soumise à une autorisation préalable émanant d'une autorité indépendante qui veille à la proportionnalité avec la finalité poursuivie et les motifs invoqués. Cette exigence est renforcée par la jurisprudence de la CEDH qui, dans l'arrêt Klass et autres c. Allemagne (1978), puis confirmée dans l'arrêt Roman Zakharov c. Russie (2015), impose que cette autorisation permette d'apprécier la nécessité et la proportionnalité de la mesure.

En deuxième lieu, le principe de légalité impose une définition précise du champ d'application matériel et personnel des mesures. L'arrêt Weber et Saravia c. Allemagne (2006) de la CEDH a établi six critères minimaux que doit respecter toute législation autorisant l'interception des communications : la nature des infractions susceptibles de donner lieu à interception, la définition des catégories de personnes visées, la durée maximale des mesures, la procédure à suivre pour l'examen et l'utilisation des données recueillies, les précautions à prendre pour la communication des données à d'autres parties, et les circonstances dans lesquelles les données peuvent ou doivent être effacées.

En troisième lieu, la jurisprudence constitutionnelle impose le respect d'un équilibre entre le secret de l'enquête qui couvre les mesures de surveillance et les droits de la défense. Voir en ce sens l'arrêt du Conseil Constit. n° 2011-191/194/195/196/197 QPC du 18 novembre 2011.

2. Limites à la conservation et au traitement des données

Le droit de l'Union européenne impose des contraintes spécifiques concernant le traitement des données personnelles dans le cadre répressif.

La jurisprudence de la CJUE, notamment dans les arrêts Digital Rights Ireland (2014) et La Quadrature du Net (2020) [7], prohibe la collecte et la conservation généralisées et indifférenciées des données. Elle admet toutefois des exceptions strictement encadrées pour les infractions graves, à condition que des garanties spécifiques soient prévues :

• La limitation de la conservation à ce qui est strictement nécessaire par rapport aux objectifs poursuivis
• L'établissement de critères objectifs définissant les conditions et circonstances dans lesquelles les données peuvent être traitées
• L'existence de conditions matérielles et procédurales régissant l'accès aux données par les autorités compétentes
• L'instauration d'un contrôle préalable par une juridiction ou une entité administrative indépendante

En matière de conservation des données, la directive "police-justice" (Directive 2016/680 [8]) et la jurisprudence de la CJUE imposent que les durées de conservation soient limitées et déterminées en fonction de critères objectifs liés à la finalité du traitement. Une modulation des durées en fonction de la gravité des infractions et de la pertinence des données pour l'enquête paraît juridiquement nécessaire.

Concernant l'accès aux messageries cryptées, l'EDPB (Comité européen de la protection des données) et le CEPD (Contrôleur européen de la protection des données) ont déjà insisté sur le fait que toute obligation de déchiffrement imposée aux fournisseurs de services doit être strictement encadrée, ciblée et limitée à des cas spécifiques, afin de ne pas compromettre l'intégrité globale des systèmes de chiffrement et de garantir la protection des données personnelles.

3. Mécanismes de contrôle requis par le droit positif

Le droit positif impose également la mise en place de mécanismes de contrôle effectifs pour garantir le respect des droits fondamentaux.

Les articles 101 et suivants de la loi Informatique et Libertés attribuent à la CNIL un rôle central dans le contrôle des traitements de données. Conformément à l'article 66 de la Constitution, le contrôle de l'autorité judiciaire demeure toutefois primordial pour toute mesure affectant la liberté individuelle.

L'articulation de ces contrôles - administratif et judiciaire - doit être clairement définie, comme l'a rappelé le Conseil constitutionnel à plusieurs reprises.

La jurisprudence constitutionnelle exige par ailleurs une évaluation régulière de l'efficacité et de la proportionnalité des dispositifs attentatoires aux libertés, avec potentiellement des clauses de réexamen périodique.

Le respect de ces exigences juridiques conditionnera la validité du dispositif et sa résistance aux contrôles juridictionnels ultérieurs.

Conclusion : une réforme sous haute surveillance juridique

Cette proposition de loi illustre la complexité des arbitrages entre renforcement des moyens d'investigation et protection des libertés fondamentales. L'avenir du cadre juridique français dépendra de sa capacité à établir un modèle garantissant la protection des droits fondamentaux, notamment en matière de données personnelles.

Les obligations de déchiffrement envisagées soulèvent, par ailleurs, des questions cruciales quant à la sécurité globale des systèmes d'information. L'affaiblissement des protocoles de chiffrement, conséquence possible des obligations de déchiffrement, risque paradoxalement de fragiliser la sécurité des informations sensibles.

La France suivra-t-elle la tendance à un renforcement des dispositifs de surveillance ou parviendra-t-elle à établir un équilibre exemplaire entre sécurité et libertés ?

En définitive, l'expérience montre que l'efficacité de la lutte contre le narcotrafic ne réside pas nécessairement dans l'accumulation de données mais plutôt dans la qualité de leur analyse et dans la coordination des services concernés. C'est donc vers un renforcement qualitatif, et non quantitatif, des moyens d'enquête que devrait s'orienter le législateur pour concilier sécurité publique et respect des libertés fondamentales.

Article publié initialement sur Village Justice

Notes :

[1] Proposition de loi au Sénat
[2] Règlement européen sur la protection des données
[3] Règlement européen sur la protection des données
[4] La directive police-justice
[5] Jurisprudence La Quadrature du Net
[6] Affaire EncroChat - Gendarmerie
[7] Jurisprudence La Quadrature du Net
[8] La directive police-justice

‍