Jurisprudence : Cass. crim., 12-03-2025, n° 23-80.407, F-B, Rejet

Cass. crim., 12-03-2025, n° 23-80.407, F-B, Rejet

A526364P

Identifiant européen : ECLI:FR:CCASS:2025:CR00303

Identifiant Legifrance : JURITEXT000051336168

Référence

Référence copiée !
Cass. crim., 12-03-2025, n° 23-80.407, F-B, Rejet. Lire en ligne : https://www.lexbase.fr/jurisprudence/116969031-cass-crim-12032025-n-2380407-fb-rejet
Copier

Abstract

L'utilisation par des enquêteurs français, agissant régulièrement en enquête préliminaire sur des faits de pédopornographie sous le contrôle de l'autorité judiciaire, de données personnelles collectées par un logiciel administré en dehors du territoire de l'Union européenne, n'a pas à faire l'objet d'une autorisation gouvernementale dans les conditions prévues à l'article 31 de la loi du 6 janvier 1978. Il en résulte que le cadre juridique applicable au traitement de ces données est celui de la directive n° 2016/680 du 27 avril 2016, dite directive « police-justice »


N° Z 23-80.407 F-B

N° 00303


LR
12 MARS 2025


REJET


M. BONNAL président,


R É P U B L I Q U E F R A N Ç A I S E
________________________________________


AU NOM DU PEUPLE FRANÇAIS
_________________________


ARRÊT DE LA COUR DE CASSATION, CHAMBRE CRIMINELLE,
DU 12 MARS 2025



M. [M] [Aa] a formé un pourvoi contre l'arrêt de la cour d'appel de Rennes, 10e chambre, en date du 10 janvier 2023, qui, pour détention et diffusion de représentation pornographique de mineur, l'a condamné à huit mois d'emprisonnement avec sursis, cinq ans d'interdiction d'activité en lien avec les mineurs et une confiscation.


Un mémoire a été produit.

Sur le rapport de M. Brugère, conseiller, les observations de la SCP Célice, Texidor, Périer, avocat de M. [M] [Aa], et les conclusions de Mme Bellone, avocat général référendaire, après débats en l'audience publique du 5 février 2025 où étaient présents M. Bonnal, président, M. Brugère, conseiller rapporteur, M. de Larosière de Champfeu, conseiller de la chambre, et Mme Le Roch, greffier de chambre,

la chambre criminelle de la Cour de cassation, composée en application de l'article 567-1-1 du code de procédure pénale🏛, des président et conseillers précités, après en avoir délibéré conformément à la loi, a rendu le présent arrêt.


Faits et procédure

1. Il résulte de l'arrêt attaqué et des pièces de procédure ce qui suit.

2. M. [M] [Aa], a été identifié comme ayant téléchargé et partagé des fichiers à caractère pédopornographique à partir de données recueillies via le logiciel « Child Protection System » (CPS) administré par une fondation installée aux Etats-Unis.

3. M. [Aa] a été interpellé et la perquisition menée à son domicile a permis la découverte de matériel informatique qui, après exploitation, a révélé une détention d'images pédopornographiques téléchargées sur internet.

4. Par jugement du 15 mars 2021, le tribunal correctionnel a condamné M. [Aa] des chefs précités à huit mois d'emprisonnement avec sursis, cinq ans d'interdiction d'activité en lien avec les mineurs et une confiscation.

5. Le prévenu a relevé appel de cette décision ainsi que le ministère public à titre incident.


Examen du moyen

Sur le moyen, pris en sa troisième branche

6. Le grief n'est pas de nature à permettre l'admission du pourvoi au sens de l'article 567-1-1 du code de procédure pénale.

Sur le moyen, pris en ses deux premières branches

Enoncé du moyen

7. Le moyen critique l'arrêt attaqué en ce qu'il a rejeté les exceptions de nullité soulevées par la défense, confirmé le jugement entrepris en ses dispositions relatives à la culpabilité, ordonné l'inscription au Fichier judiciaire national automatisé des auteurs d'infractions sexuelles ou violentes de M. [Aa] et confirmé le jugement pour le surplus de ses dispositions relatives aux peines, alors :

« 1°/ d'une part que le traitement de données à caractère personnel mis en œuvre pour le compte de l'Etat et qui a pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté doit être autorisé par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés ; que l'adresse IP d'une personne constitue bien une « donnée personnelle » relative à celle-ci ; que constitue un « traitement » de cette donnée toute opération appliquée à des données, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ; qu'au cas d'espèce, il résulte de la procédure que les enquêteurs auraient utilisé, pour identifier l'adresse IP n° [Numéro identifiant 1] ultérieurement attribuée à Monsieur [Aa], le logiciel « Child Protection System » édité par l'association de droit américain [2] ; que ce logiciel permet d'obtenir et d'enregistrer l'adresse IP d'utilisateurs suspectés de consulter du contenu pédopornographique ; qu'ainsi, les enquêteurs, qui ont nécessairement consulté et extrait, mais également utilisé, communiqué, transmis, enregistré et collecté, diverses adresses IP, dont celle ultérieurement attribuée à Monsieur [Aa], ont mis en œuvre le traitement de données à caractère personnel ; que, pourtant, ni le logiciel « Child Protection System », ni les bases de données qu'il permet de constituer, n'ont fait l'objet d'une demande d'avis de la part du CNIL, ni a fortiori d'une autorisation du ministre compétent, de sorte que ce traitement était illicite ; qu'en retenant, pour écarter cette illicéité, que le logiciel litigieux « est implanté aux Etats-Unis, ne relevant donc pas de la CNIL », quand le traitement des données litigieuses était bien le fait des enquêteurs français, ce qui commandait l'exigence d'un avis de la CNIL et d'une autorisation du ministre, peu importe qu'ils aient, à cet égard, utilisé un logiciel édité par une entité étrangère, la Cour d'appel a violé les articles 3 de la directive européenne n° 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, 6 et 8 de la Convention européenne des droits de l'Homme🏛, 31 de la loi n° 78-17 du 6 janvier 1978🏛 relative à l'informatique, aux fichiers et aux libertés, préliminaire, 427, 591 et 593 du Code de procédure pénale ;

2°/ d'autre part que le traitement de données à caractère personnel mis en œuvre pour le compte de l'Etat et qui a pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté doit être autorisé par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés ; que l'adresse IP d'une personne constitue bien une « donnée personnelle » relative à celle-ci ; que constitue un « traitement » de cette donnée toute opération appliquée à des données, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ; qu'au cas d'espèce, il résulte de la procédure que les enquêteurs auraient utilisé, pour identifier l'adresse IP n° [Numéro identifiant 1] ultérieurement attribuée à Monsieur [Aa], le logiciel « Child Protection System » édité par l'association de droit américain [2] ; que ce logiciel permet d'obtenir et d'enregistrer l'adresse IP d'utilisateurs suspectés de consulter du contenu pédopornographique ; qu'ainsi, les enquêteurs, qui ont nécessairement consulté et extrait, mais également utilisé, communiqué, transmis, enregistré et collecté, diverses adresses IP, dont celle ultérieurement attribuée à Monsieur [Aa], ont mis en œuvre le traitement de données à caractère personnel ; que, pourtant, ni le logiciel « Child Protection System », ni les bases de données qu'il permet de constituer, n'ont fait l'objet d'une demande d'avis de la part du CNIL, ni a fortiori d'une autorisation du ministre compétent, de sorte que ce traitement était illicite ; qu'en retenant, pour écarter cette illicéité, que les mesures mises en œuvre par les enquêteurs auraient été nécessaires et proportionnées à l'objectif qu'elles poursuivaient, quand ces motifs sont impropres à écarter l'illégalité du traitement, par les enquêteurs, des données personnelles collectées par le logiciel « Child Protection System » en l'absence d'avis de la CNIL et d'autorisation ministérielle, la Cour d'appel n'a pas légalement justifié sa décision au regard des articles 3 de la directive européenne n° 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, 6 et 8 de la Convention européenne des droits de l'Homme, 31 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, préliminaire, 427, 591 et 593 du Code de procédure pénale. »


Réponse de la Cour

8. Pour écarter les moyens de nullité, l'arrêt attaqué énonce que la contestation de l'habilitation de l'enquêteur qui a indiqué avoir été formé et habilité à utiliser le logiciel CPS n'est pas de nature à entraîner une quelconque nullité de la procédure mais influe éventuellement sur la qualité de la preuve.

9. Les juges observent que ce logiciel, implanté aux Etats-Unis, ne relève pas de la Commission nationale de l'informatique et des libertés.

10. Ils retiennent qu'il n'est pas démontré que son utilisation a été contraire à la loi, dans la mesure où les mentions de la procédure mettent la cour d'appel en situation de constater que les exigences légales d'habilitation ci-dessus rappelées ont été satisfaites.

11. Ils observent que les recherches ont été conduites dans le cadre de l'enquête, sur une période limitée, et portaient sur des faits relevant de la criminalité grave, s'agissant de l'exploitation sexuelle d'enfants victimes d'agressions sexuelles et de viols, filmés ou photographiés, et passibles d'une peine significative de cinq ans d'emprisonnement.
12. Ils ajoutent qu'il n'apparaît pas que l'ingérence dans la vie privée de M. [Aa], qui n'est d'ailleurs pas invoquée par ce dernier, soit, au regard de la protection nécessaire de jeunes enfants abusés sexuellement, injustifiée.

13. En l'état de ces motifs, l'arrêt attaqué n'encourt pas la censure.

14. En effet, le logiciel CPS constitue un traitement de données personnelles conçu et mis en œuvre aux Etats-Unis par une fondation, qui est responsable de ce traitement de données. Compte tenu de cette situation, le traitement ne peut être considéré comme mis en oeuvre pour le compte de l'Etat français et n'a donc pas à faire l'objet d'une autorisation gouvernementale dans les conditions prévues par l'article 31 de la loi n° 78617 du 6 janvier 1978.

15. L'utilisation, par les autorités françaises, des données issues de ce traitement doit s'inscrire dans le cadre relatif à la protection des données, en particulier la loi du 6 janvier 1978 précitée. Le ministère de l'intérieur est responsable du traitement, de la consultation, de la récupération et de l'utilisation de ces données par les services de police et de gendarmerie, relevant de son autorité administrative. Ces opérations sont entreprises à l'occasion d'enquêtes, placées sous la direction et le contrôle de l'autorité judiciaire, dans les conditions prévues par le code de procédure pénale.

16. La collecte et l'utilisation des données issues du logiciel CPS peuvent donc intervenir à l'occasion d'enquêtes portant sur des infractions pénales, dont la consultation et la détention d'images pédopornographiques, lorsque ces enquêtes sont conduites dans les conditions prévues par la directive européenne n° 2016/680 du 27 avril 2016, dite directive police-justice, et par le code de procédure pénale.

17. Il ressort de l'arrêt attaqué que l'exploitation de ces données a été effectuée, au cas d'espèce, par des officiers de police judiciaire régulièrement habilités et saisis, agissant dans le cadre d'une enquête préliminaire régulière, sans provocation ni stratagème, ni détournement des règles de procédure, qui ont dressé des procès-verbaux dans les formes prescrites par le code de procédure pénale, et dont le contenu a pu être discuté contradictoirement devant les juges.

18. Dès lors, le moyen ne saurait être accueilli.

19. Par ailleurs, l'arrêt est régulier en la forme.


PAR CES MOTIFS, la Cour :

REJETTE le pourvoi ;

Ainsi fait et jugé par la Cour de cassation, chambre criminelle, et prononcé par le président en son audience publique du douze mars deux mille vingt-cinq.

Agir sur cette sélection :

  • L’exploitation du logiciel Child Protection System : un traitement de données à caractère personnel qui ne dit pas son nom…Abonnés

    Alice Mornet, Maître de conférences, Avignon Université J.PEG. Membre associé IRDEIC, École de droit de l’Université de Toulouse lexbase pénal n°81 du 24 avril 2025 23/04/2025

  • Panorama de droit pénal international et européen (octobre 2024 à mai 2025)Abonnés

    Amane Gogorza - Professeur à l’Université Toulouse I Capitole - en détachement judiciaire et Thomas Herran - Maître de conférences à l’Université de Bordeaux, ISCJ lexbase pénal n°83 du 26 juin 2025 16/06/2025

  • Panorama de procédure pénale (avril 2024 – avril 2025) : la preuveAbonnés

    Jean-Baptiste Thierry, professeur, Université de Lorraine, Directeur de l’IEJ de Lorraine – André Vitu, chargé de mission au service juridique du Conseil constitutionnel lexbase pénal n°82 du 28 mai 2025 16/05/2025

  • L'actualité mensuelle du droit pénal et de la procédure pénale (mars 2025)Abonnés

    June Perot & Pauline Le Guen lexbase pénal n°81 du 24 avril 2025 25/04/2025



Cookies juridiques

Considérant en premier lieu que le site requiert le consentement de l'utilisateur pour l'usage des cookies; Considérant en second lieu qu'une navigation sans cookies, c'est comme naviguer sans boussole; Considérant enfin que lesdits cookies n'ont d'autre utilité que l'optimisation de votre expérience en ligne; Par ces motifs, la Cour vous invite à les autoriser pour votre propre confort en ligne.

En savoir plus