Document sans titre

Cour de cassation
chambre criminelle
Audience publique du mercredi 6 novembre 2013
N° de pourvoi: 12-87130
Publié au bulletin

Sur le troisième moyen de cassation, pris de la violation des articles 8 de la Convention de sauvegarde des droits de l'homme et des libertés fondamentales, 60-2, 77-1-1, 171, 802 et 593 du code de procédure pénale, défaut de motifs, manque de base légale ;

"en ce que l'arrêt attaqué a, écartant la nullité des réquisitions judiciaires adressées à Google, Orange, France Telecom, Microsoft, DHL, Tedex, UPS, Fedex, prononcé la nullité de la seule réquisition, en date du 9 février 2012, faite au directeur de la société Google cotée D. 129 et rejeté toutes les autres demandes d'annulation de M. X... ;

"aux motifs que les réquisitions litigieuses susvisées sont toutes adressées au directeur de Google domicilié en Californie (Etats-Unis d'Amérique), aux fins d'identification du ou des titulaires d'adresses mail spécifiées, d'obtention des renseignements fournis par le ou les titulaires de ces adresses mail (nom, prénom, adresse postale, téléphone, autres adresses électroniques, données déclaratives saisies à la création du compte, etc..), d'obtention de l'adresse IP et du groupe Date-Heure-Fuseau Horaire enregistrés lors de la création et lors de la consultation desdits comptes mail, d'obtention des blogs de connexion de l'année écoulée relatives à ces adresses mail, d'obtention du carnet d'adresses lié à ces boîtes mail, d'obtention de copies intégrales des dites boîtes mail ;
que ne constitue pas un détournement de procédure, mais une juste application du texte susvisé, le fait pour les enquêteurs de requérir d'une société commerciale la délivrance d'informations d'adresses ou de documents issus d'un système ou d'une banque de données informatiques, quand bien même ceux-ci seraient couverts par le secret professionnel ou par le secret de correspondance et quand bien même la société requise serait domiciliée à l'étranger (en l'espèce aux Etats-Unis d'Amérique) ; qu'en effet, sur ce dernier point, que la demande faite directement par des enquêteurs, depuis le territoire national, à une partie privée résidant à l'étranger, à l'effet de leur communiquer des informations ou des documents, sans recours à des moyens coercitifs, ne s'analyse pas en une perquisition au sens de l'article 57-1 du code de procédure pénale ou de l'article 10 de la Convention d'entraide judiciaire bilatérale du 10 décembre 1998 entre la France et les Etats-Unis d'Amérique, mais en une remise de documents, au sens de l'article 77-1- 1 du code de procédure pénale ; qu'une telle remise, qui n'implique en elle-même aucun acte direct et positif des officiers de police judiciaire hors du ressort de leur circonscription, ne porte atteinte ni aux règles du droit international ni aux règles internes de compétence ; qu'elle ne fait, par ailleurs, aucun grief au mis en examen, quand bien même la réquisition litigieuse aurait été assortie d'une menace de sanction pénale à l'encontre de la partie requise, dès lors que la valeur des renseignements ainsi obtenus est soumise à la discussion contradictoire des parties et à la libre appréciation des juges ; qu'il convient de dire qu'il n'y a aucun détournement de procédure, en l'espèce, et de rejeter la demande de nullité présentée pour violation des règles de compétence des articles 18 du code de procédure pénale, 57-1 du code de procédure pénale et des règles du droit international, et pour détournement de pouvoir des règles de l'article 77-1-1 ;

Article 57-1
Modifié par LOI n°2014-1353 du 13 novembre 2014 (lutte contre le terrorisme)- art. 13
Les officiers de police judiciaire ou, sous leur responsabilité, les agents de police judiciaire peuvent, au cours d'une perquisition effectuée dans les conditions prévues par le présent code, accéder par un système informatique implanté sur les lieux où se déroule la perquisition à des données intéressant l'enquête en cours et stockées dans ledit système ou dans un autre système informatique, dès lors que ces données sont accessibles à partir du système initial ou disponibles pour le système initial.

Ils peuvent également, dans les conditions de perquisition prévues au présent code, accéder par un système informatique implanté dans les locaux d'un service ou d'une unité de police ou de gendarmerie à des données intéressant l'enquête en cours et stockées dans un autre système informatique, si ces données sont accessibles à partir du système initial.

S'il est préalablement avéré que ces données, accessibles à partir du système initial ou disponibles pour le système initial, sont stockées dans un autre système informatique situé en dehors du territoire national, elles sont recueillies par l'officier de police judiciaire, sous réserve des conditions d'accès prévues par les engagements internationaux en vigueur.

Les données auxquelles il aura été permis d'accéder dans les conditions prévues par le présent article peuvent être copiées sur tout support. Les supports de stockage informatique peuvent être saisis et placés sous scellés dans les conditions prévues par le présent code.

Les officiers de police judiciaire peuvent, par tout moyen, requérir toute personne susceptible :

1° D'avoir connaissance des mesures appliquées pour protéger les données auxquelles il est permis d'accéder dans le cadre de la perquisition ;

2° De leur remettre les informations permettant d'accéder aux données mentionnées au 1°.

A l'exception des personnes mentionnées aux articles 56-1 à 56-3, le fait de s'abstenir de répondre dans les meilleurs délais à cette réquisition est puni d'une amende de 3 750 €.

Article 77-1-1
Créé par Loi n°2003-239 du 18 mars 2003 - art. 18
Modifié par LOI n°2010-1 du 4 janvier 2010 - art. 5 (V)
Le procureur de la République ou, sur autorisation de celui-ci, l'officier de police judiciaire, peut, par tout moyen, requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute administration publique qui sont susceptibles de détenir des documents intéressant l'enquête, y compris ceux issus d'un système informatique ou d'un traitement de données nominatives, de lui remettre ces documents, notamment sous forme numérique, sans que puisse lui être opposée, sans motif légitime, l'obligation au secret professionnel. Lorsque les réquisitions concernent des personnes mentionnées aux articles 56-1 à 56-3, la remise des documents ne peut intervenir qu'avec leur accord.

En cas d'absence de réponse de la personne aux réquisitions, les dispositions du second alinéa de l'article 60-1 sont applicables.

Le dernier alinéa de l'article 60-1 est également applicable.

"et aux motifs, sur les nullités invoquées s'agissant des réquisitions faites à Orange, France Telecom, Microsoft, DHL, Tedex, UPS, Fedex, qu'il résulte de l'examen des pièces litigieuses susvisées que les enquêteurs ont sollicité de divers organismes ou sociétés par voie de réquisition les copies intégrales de boîtes mail ou de documents commerciaux, ainsi que des renseignements en leur possession afférents à l'identification de titulaires d'adresses e-mail ou de lignes téléphoniques, à l'identification d'adresses IP, à l'identification des contacts d'adresses e-mail, à l'identification de livraisons de colis, à des contrôles anti-dopages ; que ces demandes effectuées par les services de police sur autorisation exprès du procureur de la République, s'analysent en de simples mesures d'investigation relevant des dispositions de l'article 77-1-1 du code de procédure pénale, et non en des constatations ou examens techniques ou scientifiques au sens de l'article 77-1 du code de procédure pénale ; que notamment, constitue une remise de documents, au sens de l'article 77-1- 1 du code de procédure pénale, la communication, sans recours à des moyens coercitifs, de documents issus d'un système informatique ou d'un traitement de données nominatives, tels que ceux détenus par un opérateur de téléphonie ; qu'en conséquence, aucune nullité n'est encourue de ce chef ;

"1°) alors que des ingérences dans le droit à la vie privée ou familiale et le secret des correspondances ne sont légales que si elles sont prévues par la loi, nécessaires dans une société démocratique et strictement proportionnées au but légitime poursuivi ; que l'article 77-1-1 du code de procédure pénale, qui, d'une part, ne prévoit pas que sur ce fondement, l'officier de police judiciaire puisse intercepter des correspondances émises par voie électronique via un réseau informatique puis stockées et spécialement, qu'il puisse obtenir la copie intégrale du contenu de boites e-mails et l'identification de contacts d'adresses e-mail, et qui, d'autre part, place ces mesures sous la seule surveillance du procureur de la République, non sous la surveillance et le contrôle d'un juge offrant les meilleures garanties d'indépendance et d'impartialité au sens de l'article 8 de la Convention européenne des droits de l'homme, ne pouvait légalement justifier une telle mesure ; qu'en refusant d'annuler les réquisitions litigieuses, la chambre de l'instruction a méconnu l'article 8 de la Convention européenne des droits de l'homme ;

"2°) alors que les articles 77-1-1 et 60-2 du code de procédure pénale ne permettent pas que les officiers de police judiciaire puissent, sur ce fondement, obtenir la mise à disposition d'informations protégées par le secret des correspondances ; qu'en refusant d'annuler les réquisitions tendant notamment à obtenir la copie intégrale de boîtes mails et des carnets d'adresses liés à ces boîtes mails ainsi qu'à l'identification des contacts d'adresses e-mail, la chambre de l'instruction a violé ces textes" ;

Attendu que, pour rejeter la demande de nullité prise de l'absence de simple caractère technique des réquisitions judiciaires adressées à différents gestionnaires de systèmes informatiques pour obtenir des relevés d'adresses électroniques, l'identité de correspondants des titulaires de ces adresses, ainsi que le contenu de boîtes de courrier électronique, et du défaut de qualité du procureur de la République pour autoriser de telles investigations, l'arrêt prononce par les motifs repris au moyen ;

Attendu qu'en se déterminant ainsi, les juges ont fait une exacte application de l'article 77-1-1 du code de procédure pénale et du texte conventionnel invoqué, dès lors que la remise de documents au sens du premier de ces textes s'entend également de la communication, sans recours à un moyen coercitif, de documents issus d'un système informatique ou d'un traitement de données nominatives, tels ceux détenus par le gestionnaire d'un système de messagerie électronique, hors, comme en l'espèce, le contenu des correspondances échangées, et que l'ingérence ainsi apportée dans l'exercice du droit au respect de la vie privée et familiale n'excède pas ce qui est nécessaire, dans une société démocratique, à la recherche et à la poursuite des infractions ;

D'où il suit que le moyen ne saurait être admis ;

Sur le quatrième moyen de cassation, pris de la violation des articles 6 et 8 de la Convention de sauvegarde des droits de l'homme et des libertés fondamentales, préliminaire, 18, 57-1, 77-1, 77-1-1, 802 et 593 du code de procédure pénale, défaut de motifs, manque de base légale ;

"en ce que l'arrêt attaqué a, écartant la nullité des réquisitions adressées à Monext et les actes d'exécution de ces réquisitions, prononcé la nullité de la seule réquisition en date du 9 février 2012 faite au directeur de la société Google cotée D. 129 et rejeté toutes les autres demandes d'annulation de M. X... ;

"aux motifs que, selon le mémoire en annulation de pièces déposé par les conseils de M. X..., les réquisitions faites à Monext et cotées D. 89, D. 102, s'analyseraient en des constatations ou des recherches approfondies relevant des dispositions des articles 60 et 77-1 du code de procédure pénale, non respectées en l'espèce ; qu'elles seraient donc susceptibles d'annulation, ainsi que leurs actes d'exécution cotés D. 25 à D. 40, D. 44 à D. 49 ; que les réquisitions litigieuses, cotées respectivement D. 89, D. 102, adressées au directeur de la société Monext, sont rédigées ainsi qu'il suit : "Dans le but d'identifier formellement les organismes ayant reçu les paiements par carte bancaire au nom de M. X... bien vouloir nous fournir toutes informations (identités, adresse, origine achats etc..) en votre possession sur les paiements suivants...", "Bien vouloir nous fournir toutes informations sur les paiements par carte bancaire référencés ci-après (identité et adresse du commerçant, justificatifs des transactions, identité et adresse de la banque acquéreur (banque du commerçant bénéficiaire du paiement), mouvements informatiques échangés entre la banque du commerçant et la banque du porteur de la carte...) à partir des numéros de comptes ouverts dans les livres de la banque Boursorama pour les clients suivants¿" ; que ces demandes d'informations s'analysent en de simples mesures d'investigation, et non en des constatations ou examens techniques ou scientifiques au sens de l'article 77-1 du code de procédure pénale ; qu'aucune nullité n'est encourue de ce chef ; que, selon le mémoire en annulation de pièces déposé par les conseils de M. X..., la réquisition faite à Monext et cotée D. 102 serait nulle en ce qu'elle aurait requis de cette société la réalisation d'investigations pour le compte masqué de l'OCLAESP ; qu'il est reproché, notamment, à la société Monext d'avoir effectué des recherches dans le réseau VISA dans le cadre des procédures d'assistance mutuelle entre banques, et tout particulièrement de la State Bank of Mauritius, à l'effet de satisfaire aux demandes des policiers et d'obtenir des renseignements couverts par le secret bancaire ; qu'il résulte du courriel (D 49) transmis le 19 janvier 2012 par M. Y..., de la société Monext, au major Z..., qu'en réponse à la réquisition judiciaire susvisée l'organisme requis a procédé à la recherche des cartes bancaires en cours de validité sur la période concernée et à la recherche des transactions visées, soit par échange automatisé, selon les procédures habituelles dans le réseau VISA soit par fax directement auprès de banques ; que l'organisme requis a, notamment, pris contact avec la State Bank of Mauritius afin d'obtenir des informations plus détaillées sur les commerçants identifiés et sur les transactions incriminées ; qu'en l'espèce, en se bornant à obtenir d'un établissement bancaire, par voie de réquisition des informations intéressant l'enquête en cours, y compris issues d'un système informatique ou d'un traitement de données nominatives, les enquêteurs n'ont fait qu'agir dans le cadre des prérogatives que leur confère l'article 77-1-1 susvisé du code de procédure pénale, lequel prévoit expressément en ce cas la levée du secret bancaire ; qu'il importe peu à cet égard que la personne requise ait détenu par elle-même ces documents ou informations, ou qu'elle se les soit procurés auprès de tiers, organismes publics ou privés ; qu'il importe peu, de même, qu'elle les ait obtenus d'établissements domiciliés à l'étranger, à l'Ile Maurice ou ailleurs, les règles de l'entraide judiciaire internationale ne s'appliquant pas entre parties privées ; qu'aucune nullité n'est encourue de ce chef ;

"alors que l'article 77-1-1 du code de procédure pénale n'autorise de requérir et d'obtenir que la mise à dispositions de documents en possession de la personne requise, en aucun cas des informations impliquant, de la part de la personne requise, que des recherches auprès d'organismes tiers soient effectuées, éludant ainsi les règles du code de procédure pénale ; qu'en validant, dès lors, la réquisition cotée D 102, qui avait enjoint, sous peine de sanction pénale, à la société Monext de "fournir toutes informations sur les paiements par carte bancaire référencés ci-après", sans préciser qu'elle ne devait fournir que des documents en sa possession issus de son système informatique ou du traitement de données qu'elle administre, et pour l'exécution de laquelle la société Monext avait dû procéder à de véritables investigations auprès d'organismes tiers, domiciliés à l'étranger, afin de fournir les éléments demandés, la chambre de l'instruction a violé les textes et principe susvisés" ;

Attendu que, pour déclarer régulières les réquisitions adressées à la société Monext, dont le siège est en France, de fournir l'ensemble des éléments en sa possession relatifs à des opérations effectuées à partir ou à destination des comptes Boursorama dont les époux X... étaient titulaires, l'arrêt retient que ces demandes s'analysent en de simples mesures d'investigation et non en des constatations ou examens scientifiques ou techniques au sens de l'article 77-1 du code de procédure pénale ; que les juges ajoutent qu'il importe peu que la personne requise ait détenu par elle-même les documents ou informations qu'elle fournit ou qu'elle se les soit procurés auprès de tiers, fussent-ils domiciliés dans un pays étranger ;

Attendu qu'en prononçant ainsi, la chambre de l'instruction a justifié sa décision dès lors que, d'une part, la personne ainsi requise n'avait pas la qualité de personne qualifiée au sens de l'article 77-1 du code de procédure pénale, que, d'autre part, aux termes mêmes des réquisitions délivrées, elle n'était tenue de fournir que les éléments en sa possession et, qu'enfin, elle avait la faculté, pour répondre à la demande, de rechercher tous éléments qu'elle estimait utiles ;

D'où il suit que le moyen doit être écarté ;

(...)

Sur le sixième moyen de cassation, pris de la violation des articles 8 de la Convention de sauvegarde des droits de l'homme et des libertés fondamentales, 32 de la Convention sur la cybercriminalité du 23 novembre 2001, 8, 76, 76-3, 57-1, 171 et 593 du code de procédure pénale, défaut de motifs, manque de base légale ;

"en ce que l'arrêt attaqué a, écartant la nullité des procès-verbaux côtés D. 68 et D. 70, prononcé la nullité de la seule réquisition, en date du 9 février 2012, faite au directeur de la société Google cotée D. 129 et rejeté toutes les autres demandes d'annulation de M. X... ;

"aux motifs que, selon le mémoire en annulation de pièces déposé par les conseils de M. X..., les enquêteurs, munis d'un numéro d'identifiant client provenant d'un papier saisi dans le sac de sport de celui-ci, à une recherche sur le site Internet "pharmacyescrow" ; que cet acte serait constitutif d'une perquisition illégale, car accomplie sans l'autorisation du juge des libertés et de la détention, requise par les articles 76, 76-3 et 57-1 du code de procédure pénale ; qu'en outre, cette perquisition aurait été faite en méconnaissance des règles internationales et de l'article 57-1 du code de procédure pénale, les données recherchées étant stockées, en l'espèce, dans un site californien, hors du ressort de compétence du procureur de la République près le tribunal de grande instance de Grenoble ; qu'il résulte des pièces du dossier que la consultation de données informatiques sur le site "pharmacyescrow" a été réalisée par les enquêteurs au moyen de leur ordinateur de dotation et à partir de la connexion internet des locaux de la section recherches de la gendarmerie de Grenoble, pendant le temps de la garde à vue et sur autorisation du procureur de la République de Grenoble ; que les enquêteurs ont pu, aisément, accéder à ce site ouvert au public, consultable à partir de n'importe quelle connexion internet, à l'aide d'un code découvert sur un morceau de papier dissimulé dans un sac de sport, lors d'une perquisition sans consentement effectuée au domicile de M. X..., sur autorisation exprès du juge des libertés et de la détention, en date du 7 février 2012 ; que la saisie du document manuscrit comportant les codes d'accès ayant été effectuée à l'occasion d'une perquisition parfaitement régulière, au regard de l'article 76 du code de procédure pénale, son exploitation sous forme d'accès à un système informatique accessible au public, sans autre procédé que l'utilisation dudit code d'accès, était elle-même parfaitement régulière ; que cet acte de consultation de données informatiques ne s'analyse pas lui-même en une nouvelle perquisition, au sens de l'article 76 du code de procédure pénale ni en un accès réglementé à un système informatique découvert, lors d'une perquisition, au sens des articles 76-3 et 57-1 du code de procédure pénale, mais en une simple mesure d'investigation, laquelle ne nécessitait, dès lors, ni l'autorisation préalable du juge des libertés et de la détention ni la présence de l'avocat du gardé à vue ; que la localisation du site "pharmacyescrow" hors du territoire national, en Californie, ne faisait pas obstacle à cet acte d'investigation, dès lors, qu'aux termes de l'article 32 de la Convention sur la cybercriminalité du 23 novembre 2001, signée, notamment, par la France et les Etats-Unis d'Amérique, une partie à ladite convention peut, sans autorisation de l'autre partie, accéder à des données informatiques stockées accessibles au public quelle que soit la localisation géographique de ces données ; que tel est bien le cas en l'espèce des données du site "phamacyescrow", site de vente de médicaments en ligne ouvert au public, auquel les enquêteurs ont pu facilement accéder depuis un système informatique situé sur le territoire français à l'aide du code d'accès qu'ils s'étaient légalement procuré ; qu'il n'y a pas lieu à nullité de ce chef ;

"1°) alors que la pénétration et la recherche de données sur un site internet, par les enquêteurs, à l'aide d'un code d'accès personnel obtenu dans le cadre d'une perquisition, équivaut, s'agissant d'accéder à un espace privé et clos, à une perquisition soumise, en enquête préliminaire, en l'absence de consentement de l'intéressé, à une autorisation préalable du juge des libertés et de la détention ; qu'en décidant le contraire, la chambre de l'instruction a violé les textes susvisés :

"2°) alors que des ingérences dans le droit à la vie privée ne sont légales que si elles sont "prévues par la loi", "nécessaires dans une société démocratique" et "strictement proportionnées au but légitime poursuivi" ; que constitue une ingérence d'une autorité publique dans la vie privée le fait, pour des enquêteurs, en l'absence du consentement de l'intéressé, de pénétrer et de rechercher des données sur un site internet, à l'aide de son code d'accès personnel obtenu dans le cadre d'une perquisition ; qu'une telle mesure n'est autorisée par aucun texte interne en définissant précisément le régime et a eu lieu en l'espèce sans aucune autorisation préalable d'un juge ; qu'en estimant dès lors qu'il s'agissait d'une simple mesure d'investigation, ne nécessitant pas l'autorisation préalable du juge des libertés et de la détention, la chambre de l'instruction a méconnu l'article 8 de la Convention européenne des droits de l'homme ;

"3°) alors que l'article 32 de la Convention sur la cybercriminalité du 23 novembre 2001 dispose qu'"une partie peut, sans l'autorisation d'une autre partie : a) accéder à des données informatiques stockées accessibles au public (source ouverte), quelle que soit la localisation géographique de ces données ; ou b) recevoir au moyen d'un système informatique situé sur son territoire, des données informatiques stockées situées dans un autre Etat, si la partie obtient le consentement légal et volontaire de la personne légalement autorisée à lui divulguer ces données au moyen de ce système informatique" ; qu'en retenant, sur ce fondement, que la localisation du site internet hors du territoire national ne faisait pas obstacle à la pénétration et la recherche de données sur ce site, par les enquêteurs, à l'aide d'un code d'accès qu'ils s'étaient légalement procuré, dans le cadre d'une perquisition, s'agissant pourtant de données qui n'étaient pas accessibles au public (source ouverte) puisque nécessitant un code d'accès, et en l'absence de tout constat que la personne légalement autorisée à divulguer ces données aurait donné un consentement volontaire, la chambre de l'instruction n'a pas légalement justifié sa décision" ;

Attendu que, pour déclarer régulière la consultation de données informatiques sur le site "pharmacyescrow", l'arrêt retient, notamment, qu'elle a été réalisée par les enquêteurs, à partir de leur propre matériel informatique, au moyen d'un code découvert à l'occasion d'une perquisition autorisée par le juge des libertés et de la détention ; que les juges ajoutent qu'il s'agissait d'une simple investigation et non d'une perquisition distincte exigeant une nouvelle décision de ce magistrat et que la seule domiciliation du site en cause aux Etats-Unis ne justifiait pas la mise en oeuvre d'une procédure d'entraide pénale ;

Attendu qu'en prononçant par ces seuls motifs, et abstraction faite de la référence erronée, mais surabondante, aux prescriptions de l'article 32 de la Convention du 23 novembre 2001 sur la cybercriminalité, dès lors qu'il ne résulte ni de l'arrêt ni des pièces de la procédure que ce texte était applicable, en l'absence de preuve que les données recherchées étaient stockées sur le territoire des Etats-Unis, la chambre de l'instruction a justifié sa décision ;

D'où il suit que le moyen, nouveau en sa deuxième branche, ne saurait être accueilli ;

Et attendu que l'arrêt est régulier en la forme ;

REJETTE le pourvoi ;