Les données informatiques, accessibles depuis les lieux faisant l’objet de perquisitions, peuvent être saisies.
Les perquisitions informatiques sont entendues ici comme les perquisitions réalisées sur des supports électroniques et effectuées dans le cadre de l’état d’urgence.
Cadre des perquisitions administratives
L’état d’urgence, encadré par la loi n° 55-385 du 3 avril 1955 (1), a été instauré en France pour un délai de trois mois par la loi du 20 novembre 2015 puis a fait l’objet de quatre prorogations. La quatrième prorogation a été votée le 13 décembre 2016 et court jusqu’au 15 juillet 2017.
Certains pans de la loi du 3 avril 1955 ont été modifiés par ces cinq lois, afin notamment d’adapter ce cadre aux enjeux technologiques actuels.
Ainsi, la troisième prorogation, adoptée le 21 juillet 2016, a ouvert la possibilité d’effectuer une analyse des données informatiques accessibles depuis le lieu faisant l’objet d’une perquisition administrative.
L’intérêt que suscitent les données informatiques dans le cadre de perquisitions n’est évidemment pas nouveau. En 2004, la loi pour la confiance dans l’économie numérique avait modifié l’article 56 du Code de procédure pénale (2) et inséré en son sein la possibilité d’une saisie, dans le cadre d’une perquisition, de « données informatiques » (3).
Les données informatiques faisaient alors textuellement leur entrée dans le cadre des perquisitions judiciaires (4).
Les perquisitions administratives mises en place dans le cadre de l’état d’urgence suivent un régime dérogatoire.
Ces perquisitions sont effectuées en dehors du cadre judiciaire prévu par l’article 56 du Code de procédure pénale. Une telle perquisition est ainsi décidée par un préfet qui aura constaté que le comportement d’une personne est constitutif d’une « menace pour la sécurité et l’ordre publics ».
Ainsi aucun contrôle a priori de la mesure par un juge n’est nécessaire à la mise en œuvre d’une telle perquisition.
Par conséquent, ces perquisitions, par essence, contreviennent à l’effectivité d’un nombre important de droits fondamentaux, ce qui est critiqué par une partie de la doctrine (5).
Ces perquisitions peuvent mener à la saisie de données informatiques, volonté du législateur, notamment dans la mesure où il est considéré que l’outil informatique joue un rôle important dans la réalisation d’infraction de terrorisme.
Implémentation des perquisitions informatiques par la loi sur l’état d’urgence
Cette volonté n’est pas récente. Déjà, lors de la première version de la loi sur l’état d’urgence, votée le 20 novembre 2015, un texte prévoyait la mise en œuvre d’une telle prérogative.
Permettant de « copier toutes les données informatiques auxquelles il aura été possible d’accéder au cours de la perquisition », le Conseil constitutionnel, le 19 février 2016 [1] l’avait assimilé à une saisie sans encadrement et censuré (6).
Encadrement des perquisitions informatiques
L’article 11 (7) de la loi renseignement, tel que découlant de la loi du 21 juillet 2016, a pris en compte cette censure, et prévu le cadre nécessaire à la mise en œuvre d’un tel acte d’enquête. Les « éléments dépourvus de tout lien avec la menace que constitue le comportement de la personne concernée pour la sécurité et l’ordre publics » ne peuvent ainsi plus faire l’objet d’une exploitation par l’administration.
Le texte prévoit la possibilité de copier des données enregistrées sur les supports physiques présents sur les lieux perquisitionnés mais également les données accessibles depuis ces supports. Ainsi toute donnée présente en ligne peut faire l’objet de l’intérêt des enquêteurs, notamment celles enregistrées dans le cloud.
La perquisition est effectuée par un officier de police judiciaire qui rédige un procès-verbal adressé au procureur de la République.
Par la suite, les données ne pourront être exploitées par l’administration que si un juge donne son accord dans les 48 heures. Les supports devront être restitués dans les 15 jours, après copie de leurs données ou non, en fonction de la décision du juge [2].
Il est à noter que si ce cadre permet l’accès aux données accessibles depuis le lieu qui fait l’objet de la perquisition, il ne permet en revanche pas la saisie administrative des données (sauf si elles s’avèrent constitutives d’armes).
Néanmoins, dans le cadre de l’ouverture d’une procédure judiciaire incidente, ces données pourront, conformément aux dispositions de l’article 56 du Code de procédure pénale, faire l’objet d’une saisie.
Evolution récente
Le 2 décembre 2016 [3], le Conseil constitutionnel a, en partie, censuré ce texte. Ainsi, depuis le 1er mars 2017, une importante modification de l’article 11 de la loi de 1955 avait été effectuée pour prendre en compte la décision des sages de la rue Montpensier.
Le texte précisait ainsi notamment que :
« Pendant le temps strictement nécessaire à leur exploitation autorisée par le juge des référés, les données et les supports saisis sont conservés sous la responsabilité du chef du service ayant procédé à la perquisition et à la saisie. Les systèmes informatiques ou équipements terminaux sont restitués à leur propriétaire, le cas échéant après qu’il a été procédé à la copie des données qu’ils contiennent, à l’issue d’un délai maximal de quinze jours à compter de la date de leur saisie ou de la date à laquelle le juge des référés, saisi dans ce délai, a autorisé l’exploitation des données qu’ils contiennent. Les données copiées sont détruites à l’expiration d’un délai maximal de trois mois à compter de la date de la perquisition ou de la date à laquelle le juge des référés, saisi dans ce délai, en a autorisé l’exploitation».
L’article 38 de la loi du 28 février 2017 (8) est venu apporter une nouvelle modification de ce texte, qui prévoit désormais que « la perquisition ne peut avoir lieu entre 21 heures et 6 heures, sauf motivation spéciale de la décision de perquisition fondée sur l’urgence ou les nécessités de l’opération » là où auparavant cette perquisition pouvait s’effectuer « de jour et de nuit ».
Ce cadre reste néanmoins très ouvert. Il a notamment été considéré, par un jugement du 7 janvier 2017, que l’adhésion à un groupe Facebook pouvait justifier une perquisition administrative (9).
Virginie Bensoussan-Brulé
Raphaël Liotier
Lexing Droit presse et pénal numérique
(1) Loi 55-385 du 3-4-1955
(2) Next INpact, Article de Marc Rees du 19-7-2016
(3) CPP, art. 56
(4) Assemblée nationale, Avis 608 du 11-2-2003
(5) Mediapart, Article de Paul cassia du 16-12-2015
(6) Next INpact, Article de Marc Rees du 19-2-2016
(7) Loi 55-385 du 3-4-1955, art. 11
(8) Loi 2017-258 du 28-2-2017, art. 38
(9) Next INpact, Article de Marc Rees du 7-2-2017