Le droit européen encadre précisément les modalités de conservation et l’accès aux données de connexion.
S’agissant de la conservation, la Cour de justice a précisé que le droit européen s’oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique.
S’agissant de l’accès aux données, La Cour de justice de l’Union européenne a été amenée à réaffirmer récemment que l'accès des autorités nationales compétentes aux données conservées doit être subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante ayant la qualité de « tiers » par rapport à celle qui demande l'accès à ces données.
Au regard des réformes récentes intervenues en France, il apparaît que si la légalité de la conservation généralisée et indifférenciée des données semble au moins partiellement réglée, la légalité du dispositif français d’accès à ces données par les autorités de poursuites paraît nettement plus fragile au regard des obligations européennes.
Cette situation de non-conformité au droit de l’Union fragilise les procédures pénales.
Par 4 arrêts du 12 juillet 2022, la Cour de cassation a tiré les conséquences en droit interne d'une décision de la Cour de justice de l'Union européenne du 2 mars 2021 se prononçant sur les conditions dans lesquelles une réglementation nationale peut autoriser l'accès aux données de téléphonie (géolocalisation, fadettes, SMS notamment) dans le cadre des enquêtes pénales.
La Cour de cassation a confirmé que le procureur de la République, autorité de poursuite, ne peut pas être compétent pour ordonner de telles mesures d'investigation attentatoires à la vie privée. Elle constate donc que les réquisitions du parquet ou des enquêteurs visant les données issues de la téléphonie sont contraires au droit de l'Union européenne et doivent désormais être autorisées au préalable par une juridiction ou par une autorité administrative indépendante, ce que la loi française n'organise pas.
L’Assemblée générale constate donc l'absence de garanties accordées aux droits de la défense qui pèse sur les procédures pénales du fait de cette non-conformité et de la surveillance généralisée permise par le droit français.
C'est dans ce contexte que le CNB demande aux autorités françaises de se conformer aux obligations européennes, lesquelles s’opposent à une réglementation donnant compétence au ministère public pour autoriser l’accès aux données relatives au trafic et aux données de connexion aux fins d'une enquête pénale conduite par le parquet.