Réf. : Cass. crim., 12 mars 2025, n° 23-80.407, F-B N° Lexbase : A526364P
Lecture: 17 min
N2007B3Q
Citer l'article
Créer un lien vers ce contenu
par Alice Mornet, Maître de conférences, Avignon Université J.PEG. Membre associé IRDEIC, École de droit de l’Université de Toulouse
le 23 Avril 2025
Mots-clés : enquête • droit à la protection des données à caractère personnel • preuve • Union européenne • directive police/justice • surveillance.
Dans cet arrêt rendu le 12 mars 2025, la Chambre criminelle de la Cour de cassation vient sauver l’utilisation, dans le cadre des procédures pénales françaises, du logiciel « Child Protection System », quoi qu’il en coûte pour la cohérence du droit à la protection des données à caractère personnel.
En novembre 2022, près d’une cinquantaine d’hommes soupçonnés de détention d’images pédopornographiques ont été interpellés. Si ce coup de filet a pu être organisé, c’est grâce au logiciel « Child Protection System » [1] (CPS) dont l’utilisation quasi clandestine [2] par les services enquêteurs est ici sauvée par la Haute juridiction.
En l’espèce, à partir de données recueillies à l’aide du logiciel CPS, un individu a été identifié comme ayant téléchargé et partagé des fichiers à caractère pédopornographique. La réalisation d’une perquisition à son domicile et l’exploitation de son matériel informatique ont révélé qu’il détenait effectivement de tels fichiers. Le 15 mars 2021, le tribunal correctionnel l’a condamné à huit mois d’emprisonnement avec sursis, cinq ans d’interdiction d’activité en lien avec les mineurs et une confiscation. Le prévenu a interjeté appel, ainsi que le ministère public, à titre incident. La Cour d’appel de Rennes, dans un arrêt en date du 10 janvier 2023, a confirmé le jugement en toutes ses dispositions aux motifs que le logiciel litigieux, implanté aux États-Unis, ne relevait pas de la compétence de la Commission Nationale Informatique et Libertés (CNIL). Qu’ainsi, les exigences d’habilitation ayant été respectées et l’utilisation du logiciel, par les services répressifs français, ayant été nécessaire et proportionnée à l’objectif poursuivi, il n’était pas démontré que celle-ci était contraire à la loi. Un pourvoi en cassation est formé.
Le moyen s’articule en deux branches. D’une part, il est reproché aux juges du fond d’avoir confirmé le jugement alors que les enquêteurs, en utilisant le logiciel CPS afin d’identifier une adresse IP, ont mis en œuvre un traitement de données à caractère personnel illicite, faute d’avoir été autorisé par arrêté du ou des ministres compétents après avis motivé et publié de la CNIL. En décidant le contraire, la cour d’appel a, selon le moyen, violé les articles 3 de la directive 2016/680 du 27 avril 2016 (Directive police-justice), 6 et 8 de la Convention européenne des droits de l’Homme, 31 de la loi Informatique et Libertés et préliminaire, 427 N° Lexbase : L3263DGX, 591 N° Lexbase : L3975AZA et 593 N° Lexbase : L3977AZC du Code de procédure pénale. D’autre part, selon le pourvoi, en retenant, pour écarter l’illicéité, que les mesures mises en œuvre par les enquêteurs étaient nécessaires et proportionnées à l’objectif poursuivi, la cour d’appel a violé les mêmes dispositions.
La question posée à la Chambre criminelle était donc la suivante : l’utilisation, dans le cadre d’une procédure pénale française, de données à caractère personnel issues d’un logiciel étranger non autorisé dans les conditions de la loi Informatique et Libertés est-elle licite ?
La Haute juridiction répond par l’affirmative. Elle relève que « le logiciel CPS constitue un traitement de données personnelles conçu et mis en œuvre aux États-Unis » qui ne peut donc « être considéré comme étant mis en œuvre pour le compte de l’État français ». Dès lors, il n’a pas à faire l’objet d’une autorisation gouvernementale dans les conditions prévues à l’article 31 de la loi Informatique et Libertés. En revanche, selon la Cour de cassation, l’utilisation des données issues du logiciel doit s’inscrire dans le cadre de la loi précitée et respecter les exigences de la directive police-justice et du Code de procédure pénale. En l’espèce, la Chambre criminelle relève que l’exploitation des données a été effectuée par des officiers de police judiciaire « régulièrement habilités et saisis, agissant dans le cadre d’une enquête préliminaire régulière, sans provocation ni stratagème, ni détournement des règles de procédure, qui ont dressé des procès-verbaux dans les formes prescrites par le code de procédure pénale, et dont le contenu a pu être discuté contradictoirement devant les juges ». Pour l’ensemble de ces raisons, l’utilisation du logiciel CPS est licite et le moyen doit être rejeté.
La Cour de cassation évince ainsi l’argument de l’illicéité de la mise en œuvre du traitement (I) pour constater que son utilisation est, quant à elle, tout à fait licite (II).
I. Le constat discutable de la licéité de la mise en œuvre du traitement
La Haute juridiction confirme le raisonnement des juges du fond ayant écarté l’application des exigences de licéité (A) au prix d’une lecture erronée de la notion de traitement (B).
A. L’éviction des exigences de licéité du traitement
L'auteur du pourvoi reproche aux enquêteurs d’avoir utilisé, pour identifier son adresse IP, le logiciel CPS alors que ni celui-ci « ni les bases de données qu’il permet de constituer, n’ont fait l’objet d’une demande d’avis de la part du CNIL, ni a fortiori d’une autorisation du ministre compétent ». Aussi, selon le moyen, le traitement opéré était illicite et la procédure ainsi menée, entachée de nullité. Il est vrai qu’en vertu de l’article 31 de la loi Informatique et Libertés les traitements de données à caractère personnel mis en œuvre pour le compte de l’État et ayant pour finalité, notamment, la prévention, la recherche et la constatation des infractions pénales doivent être autorisés par arrêté, après avis motivé et publié de la CNIL. L’applicabilité de cet article étant discutée, vérifions ses conditions. D’abord, il convient d’être en présence d’un traitement de données à caractère personnel. En l’espèce, le logiciel CPS permet d’obtenir et d’enregistrer les adresses IP des utilisateurs consultant ou transférant des contenus pédopornographiques [3], lesquelles sont assurément des données à caractère personnel [4]. Ensuite, la finalité du traitement doit s’inscrire dans la prévention, la recherche, la constatation ou la poursuite des infractions pénales. Le logiciel étant utilisé pour identifier les pédocriminels, cette exigence ne pose aucune difficulté. Enfin, le traitement doit être mis en œuvre pour le compte de l’État. Selon le moyen, la consultation et l’utilisation par les enquêteurs des adresses IP issues du logiciel suffisent à remplir cette condition. En revanche, selon la cour d’appel, approuvée par la Chambre criminelle, le fait que le logiciel ait été conçu par une association américaine et soit implanté aux États-Unis exclut toute mise en œuvre « pour le compte de l’État français » et, de facto, l’application de l’article 31 de loi Informatique et Libertés. Un tel raisonnement, s’il peut apparaître spontanément convaincant, repose, en réalité, sur une lecture erronée de la notion de traitement.
B. Une lecture erronée de la notion de traitement
Le moyen invoque, très justement, une violation de l’article 3 de la directive police-justice définissant, notamment, la notion de « traitement ». Selon le législateur européen, ce terme renvoie à « toute opération ou tout ensemble d’opérations (…) appliquées à des données à caractère personnel ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction [5] ». Partant, quand l’article 31 de la loi Informatique et Libertés réclame l’autorisation des « traitements de données à caractère personnel mis en œuvre pour le compte de l’État » il apparaît s’appliquer à toute opération réalisée sur des données. Il est ainsi difficile de soutenir que, lorsque des autorités répressives nationales opèrent dans le cadre d’une procédure pénale française, elles n’agissent pas « pour le compte » de l’État. De même, lorsqu’elles consultent, extraient ou transmettent les données issues du logiciel CPS, il semble acquis qu’elles « mettent en œuvre un traitement de données à caractère personnel ». Peu importe alors que ce logiciel soit basé aux États-Unis et qu’il ait pour responsable une fondation américaine, seule compte son utilisation en France, laquelle doit être autorisée dans les conditions de l’article 31 de la loi Informatique et Libertés. Par ailleurs, si le législateur avait entendu exclure les seules utilisations de données du champ de cette disposition, il aurait visé, en lieu et place du terme de « traitement », celui de « fichier ». Également défini par les textes, ce dernier apparaît plus approprié au logiciel CPS en désignant « tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique [6] ». Peu surprenante [7], la lecture restrictive de la Chambre criminelle méconnaît, une fois encore en la matière, les exigences de la Cour de justice de l’Union européenne. Effectivement, celle-ci a récemment affirmé « que le législateur de l’Union a entendu donner une portée large à la notion de “traitement” [8] », conférant ainsi à la directive police-justice la portée qu’elle mérite [9].
À l’analyse, la Chambre criminelle semble, elle-même, peu à l’aise avec son raisonnement. En effet, elle déclare que « le logiciel CPS constitue un traitement de données personnelles » n’ayant pas à faire l’objet d’une autorisation gouvernementale, mais que l’utilisation des données qu’il contient doit, quant à elle, respecter les exigences de protection des données à caractère personnel.
II. Le constat opportuniste de la licéité de l’utilisation des données issues du traitement
La Chambre criminelle va parvenir à sauver l’utilisation du logiciel CPS en la soumettant aux exigences de protection des données (A) et, surtout, du Code de procédure pénale (B).
A. L’application restrictive des exigences de protection des données
Si la cour d’appel a purement et simplement évacué les règles de la protection des données de son raisonnement, la Chambre criminelle tente, maladroitement, de sauver les apparences. Elle concède ainsi que « l’utilisation, par les autorités françaises, des données issues de ce traitement doit s’inscrire dans le cadre relatif à la protection des données, en particulier la loi du 6 janvier 1978 » et peut « intervenir à l’occasion d’enquêtes (…) conduites dans les conditions prévues par la directive européenne n° 2016/680 du 27 avril 2016, dite directive police-justice ». Même si la Haute juridiction se garde bien de le dire, l’utilisation de ces données constitue donc bien un traitement soumis aux textes susvisés. Or, une fois l’exigence de licéité évincée, quelles sont les garanties devant être respectées ? À l’analyse, la Chambre criminelle n’en tire aucune, exception faite de la mention selon laquelle le ministère de l’Intérieur doit être considéré comme étant le responsable de ce traitement. Il faut bien avouer qu’il aurait été particulièrement audacieux, pour la Cour, de s’appesantir sur les garanties énoncées par les textes. En ce cas, elle aurait été contrainte de faire état de l’article 8 de la directive police-justice selon lequel un traitement n’est licite que s’il est « fondé sur le droit de l’Union ou le droit d’un État membre », dont une disposition doit préciser « au moins les objectifs du traitement, les données à caractère personnel devant faire l’objet d’un traitement et les finalités du traitement ». Plus encore, à ne raisonner que sur la loi Informatique et Libertés, elle aurait dû appliquer ses articles 87 et 89 selon lesquels tout traitement de données à des fins pénales doit être prévu par une disposition législative ou réglementaire. Comment se sortir de l’impasse ? La Chambre criminelle y parvient en se cachant habilement derrière les garanties procédurales.
B. L’application habile des exigences du Code de procédure pénale
La Haute juridiction ne sauve l’utilisation du logiciel CPS qu’en raison du respect du Code de procédure pénale. Elle relève, en effet, que l’exploitation des données « a été effectuée, au cas d’espèce, par des officiers de police judiciaire régulièrement habilités et saisis, agissant dans le cadre d’une enquête préliminaire régulière, sans provocation ni stratagème, ni détournement des règles de procédure, qui ont dressé des procès-verbaux dans les formes prescrites par le code de procédure pénale, et dont le contenu a pu être discuté contradictoirement devant les juges ». Concrètement, qu’en était-il du respect des garanties énoncées ? Concernant l’habilitation, d’abord, la Chambre criminelle approuve les juges du fond qui soulignent que l’enquêteur avait « été formé et habilité à utiliser le logiciel CPS ». Il semble toutefois difficile de vérifier l’exigence d’habilitation s’agissant d’un fichier qui, en France, ne repose sur aucune base textuelle…[10] Ensuite, l’affirmation de la Haute juridiction selon laquelle l’enquête pénale est régulière ne devrait pas avoir d’incidence sur la régularité d’un acte d’enquête pris isolément, sauf à y voir une appréciation in globo, chère à la Cour européenne des droits de l’Homme. Enfin, et même s’il était avancé par le moyen, l’argument tenant à la loyauté de la preuve apparaît hors sujet : il ne s’agit pas, en l’espèce, de discuter de la loyauté de l’usage du logiciel CPS, mais de sa légalité. À l’évidence, le correctif du contradictoire ne peut tout sauver et les exigences de la directive police-justice doivent trouver leur place dans le cadre de la procédure pénale. À défaut, la Chambre criminelle risque de valider l’utilisation clandestine, par les autorités répressives, de dispositifs toujours plus attentatoires aux droits fondamentaux. Qu’aurait-elle décidé, par exemple, si elle avait été saisie de la mise en œuvre, par les forces de l’ordre, du logiciel d’analyse vidéo Briefcam ? Aurait-elle eu le courage du tribunal administratif de Grenoble qui, faute de détermination claire des garanties entourant son utilisation par la commune de Moirans, a annulé la décision de son maire de le mettre en œuvre [11] ? Il est permis d’en douter d’autant que la CNIL risque de ne pas être d’un grand secours. De façon très contestable, elle a effectivement considéré que l’utilisation de Briefcam trouvait son fondement textuel dans les dispositions relatives aux logiciels de rapprochement judiciaire [12]. Partant, pour sauver le logiciel CPS, le même raisonnement semble pouvoir être adopté…
La lutte contre la pédocriminalité a-t-elle justifié ce sauvetage périlleux ? Ce n’est pas certain. La Haute juridiction prend en effet le soin de relever que l’utilisation du logiciel CPS peut « intervenir à l’occasion d’enquêtes portant sur des infractions pénales, dont la consultation et la détention d’images pédopornographiques ». Aucune exigence tenant à la nature ou à la gravité des infractions en cause n’apparaît donc posée, quoi qu’il en coûte pour le droit à la protection des données à caractère personnel.
[1] A. Lepoivre, Qu’est-ce que le “child protection system”, ce logiciel “super puissant” utilisé pour traquer les fichiers pédopornographiques ?, Le Figaro, 25 avril 2023 [en ligne].
[2] Il est fait état de l'utilisation de ce logiciel dans la presse, ainsi que dans deux documents émanant du gouvernement et du Sénat : Ministère de la Justice, Question écrite avec réponse n° 90312, 20 octobre 2015 ; M. Mercier, Rapport d’information sur les infractions sexuelles commises à l’encontre des mineurs, Sénat, 7 février 2018, p. 25 [en ligne].
[3] Il convient de préciser que l’identification des titulaires des adresses IP suppose la mise en œuvre de réquisitions adressées aux opérateurs de communications électroniques, dans les conditions de l’article 60-1-2 du Code de procédure pénale N° Lexbase : L7997MBS.
[4] CJUE, 3e ch., 24 novembre 2011, Aff. C-70/10, Scarlet Extended SA c/ Sté Belge des auteurs, compositeurs et éditeurs, SCRL (SABAM) N° Lexbase : A9797HZU, § 51 – D., 2011, 2925, obs. C. Manara ; RSC, 2012, 163, obs. J. Francillon ; RTD Eur., 2012, 404, obs. F. Benoît-Rohmer ; LEPI, 2012, 21201, 1, obs. C. Bernault ; Comm. com. électr., 2012, 6, 63, comm. A. Debet ; CJUE, 2e ch., 19 octobre 2016, Aff. C-582/14, Patrick Breyer c/ Bundesrepublik Deutschland N° Lexbase : A9760R7M – Dalloz IP/IT, 2017, 120, obs. G. Peronne, E. Daoud ; D., 2016, obs. E. Autier ; Comm. com. électr., 2016, 12, 104, comm. N. Metallinos.
[5] Art. 3, § 2, Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, JO L 119 du 4 mai 2016, p. 89.
[6] Art. 2, al. 2, loi n° 78-17, du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés N° Lexbase : L8794AGS ; Art. 3, § 6, Directive (UE) 2016/680, op. cit.
[7] V. par exemple, Cass. crim., 10 mai 2023, n° 22-86.186, F-B N° Lexbase : A26259TE – JCP G, 2023, 27, 834, comm. E. Dreyer ; AJ Pénal, 2023, 296 ; Dalloz actualité, 2 juin 2023, obs. M. Pirrotta ; A. Mornet, Captations d’images à l’aide d’un caméscope : la photographie jurisprudentielle est encore floue …, Lexbase pénal, juin 2023 N° Lexbase : N5915BZ4.
[8] CJUE, gde ch., 4 octobre 2024, Aff. C-548/21 CG c/ Bezirkshauptmannschaft Landeck N° Lexbase : A0502584, § 71 – JCP G, 2024, 45, 1329, comm. A. Mornet ; Comm. com. électr., 24, 12, 113, comm. A. Latil ; Europe, 2024, 12, 486, obs. M. Glinel ; Dalloz IP/IT, 2025, 172, obs. E. Daoud et C. Veltz ; Dalloz IP/IT, 2024, 550, obs. A.-L. Bofua ; D., 2024, 2099, obs. B. Auroy ; AJ Pénal, 2024, 567, obs. M. Audibert ; Gaz. Pal., 2024, 39, 16, comm. J.-B. Thierry ; P. Le Guen, L’accès par la police au cours d’une enquête pénale aux données contenues dans un téléphone portable n’est pas limité à la lutte contre la criminalité grave, Lexbase Pénal, octobre 2024 N° Lexbase : N0547B3N.
[9] En matière commerciale, la conception extensive de la notion de traitement n’est pas inédite. V. à ce sujet, A. Mornet, Les fichiers pénaux de l’Union européenne. Contribution à l’étude de la protection des données à caractère personnel, Mare & Martin, 2023, n° 200 et s.
[10] Il est intéressant de relever que, pour la cour d’appel, l’absence d’habilitation « n’est pas de nature à entraîner une quelconque nullité de procédure mais influe éventuellement sur la qualité de la preuve ». Une telle lecture apparaît contraire aux arrêts récents de la Chambre criminelle voyant dans cette absence une cause de nullité. V. par ex., Cass. crim., 5 mars 2024, n° 23-84.864, F-B N° Lexbase : A83392RB – Procédures, 2024, 5, 122, comm. A.-S. Chavent-Leclère ; RSC, 2024, 407, comm. A. Chauvelot ; Dalloz actualité, M. Slimani, Qualité à agir en nullité d’une géolocalisation et habilitation à la consultation du fichier TAJ : quelques rappels et précisions, 19 mars 2024 [en ligne].
[11] TA, Grenoble, 24 janvier 2025, n° 2105328 N° Lexbase : A44036TA.
[12] C. proc. pén., art. 230-20 et s. N° Lexbase : L5992LMU et R. 40-39 et s. N° Lexbase : L1014I3X. CNIL, Décision n° MED-2024-150 du 15 novembre 2024 [en ligne], mettant en demeure le ministère de l’intérieur.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:492007
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.