La présente note a pour objet de présenter le raisonnement juridique qui a permis d’obtenir la relaxe d’un prévenu poursuivi sur le fondement de l’article 434-15-2 du Code pénal pour refus de remettre la convention secrète de déchiffrement de son téléphone portable.
L’argumentation repose sur l’incompatibilité de ce texte d’incrimination avec la directive 2016/680/UE telle qu’interprétée par la CJUE dans un arrêt de Grande chambre du 4 octobre 2024. La démarche est reproductible ; un modèle de conclusions anonymisé est joint en annexe.
1. Contexte et enjeu de l’exception
Le texte d’incrimination
L’article 434-15-2 du Code pénal incrimine le refus de remettre aux autorités judiciaires — ou de mettre en œuvre — la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit. La peine encourue est de trois ans d’emprisonnement et 270 000 euros d’amende.
Ce texte est massivement utilisé en pratique : dès lors qu’un téléphone portable est saisi dans le cadre d’une enquête, le parquet adresse une réquisition de déchiffrement au gardé à vue ou au mis en cause. Le refus — même exercé dans le cadre du droit au silence — est systématiquement poursuivi de manière autonome.
La question posée
Le téléphone portable contient un volume considérable de données à caractère personnel. La réquisition de déchiffrement constitue donc, matériellement, une opération d’accès à des données personnelles au sens du droit de l’Union. La question est de savoir si le régime juridique encadrant cet accès est conforme aux exigences de la directive 2016/680/UE (dite « directive Police-Justice »).
2. Les fondements juridiques de l’exception
La compétence du juge pénal pour statuer
Le premier obstacle est souvent la question de la compétence. On rappellera que, depuis l’arrêt Costa c/ ENEL (CJUE, 15 juillet 1964) et l’arrêt Société des cafés Jacques Vabre (Cass. ch. mixte, 24 mai 1975, n° 73-13.556), toute juridiction nationale — y compris répressive — est tenue d’assurer le plein effet des normes européennes en laissant, au besoin, inappliquée toute disposition du droit interne qui leur serait contraire, sans qu’il soit nécessaire de saisir préalablement une autre juridiction.
Ce fondement est ancré à l’article 55 de la Constitution du 4 octobre 1958. Son invocation désamorce d’emblée toute fin de non-recevoir tirée de l’incompétence du tribunal correctionnel.
L’arrêt CJUE, 4 octobre 2024, C-548/21 : la clé de voûte
C’est l’arrêt CG c/ Bezirkshauptmannschaft Landeck rendu par la Grande chambre le 4 octobre 2024 qui constitue la pièce maîtresse du raisonnement. La CJUE y interprète l’article 4, §1, sous c), de la directive 2016/680/UE, qui impose que le traitement de données à caractère personnel dans le cadre d’enquêtes pénales soit « adéquat, pertinent et non excessif ».
La Cour pose quatre exigences cumulatives pour qu’une réglementation nationale autorisant l’accès aux données d’un téléphone portable soit compatible avec la directive :
- définition suffisamment précise de la nature ou des catégories des infractions concernées ;
- respect du principe de proportionnalité ;
- sauf urgence dûment justifiée, soumission de l’accès à un contrôle préalable d’un juge ou d’une entité administrative indépendante ;
- en cas d’urgence, contrôle a posteriori dans de brefs délais.
Point décisif : la Cour précise expressément que le ministère public ne saurait constituer ce juge ou cette entité administrative indépendante, en raison de ses liens fonctionnels avec l’action répressive de l’État.
3. La stratégie argumentative
1. Démontrer les trois défaillances du droit interne
1° L’absence de contrôle préalable indépendant
En droit français, la réquisition de déchiffrement est formée et exécutée par le seul parquet, sans autorisation préalable d’un juge. Il n’existe aucun juge des libertés et de la détention, aucun juge d’instruction, aucune entité administrative indépendante intervenant en amont. Or, c’est précisément ce contrôle préalable que la CJUE érige en condition de compatibilité avec la directive.
2° L’absence de contrôle a posteriori dans de brefs délais
Même dans l’hypothèse d’une urgence dispensant du contrôle préalable, la CJUE exige un contrôle juridictionnel ultérieur rapide. Or, le Code de procédure pénale ne prévoit aucun mécanisme de contrôle subséquent de la réquisition de déchiffrement. L’accès aux données personnelles du prévenu demeure ainsi entièrement soustrait à tout contrôle effectif.
3° La violation du principe de proportionnalité
L’article 434-15-2 CP n’exige aucune mise en balance préalable entre la nécessité de l’accès aux données et la gravité de l’atteinte à la vie privée. La loi s’applique pour tout crime ou délit sans distinction, quel que soit le quantum de peine ou la nature de l’infraction. Ce défaut de graduation est incompatible avec les articles 4 et 10 de la directive, mais aussi avec l’article 8 de la CEDH.
2. S’appuyer sur le précédent marseillais
Atout considérable en l’espèce : le tribunal judiciaire de Marseille avait déjà, par un jugement du 29 janvier 2025 (n° minute 2025/855), constaté l’incompatibilité de l’article 434-15-2 CP avec la directive 2016/680/UE et écarté son application, prononçant la relaxe du prévenu. Citer ce précédent — rendu par la même juridiction — est stratégiquement très efficace : il montre que la question est mûre et que le raisonnement a déjà été validé.
3. La demande subsidiaire de question préjudicielle
À titre subsidiaire, il est utile de formuler une question préjudicielle à destination de la CJUE sur le fondement de l’article 267 TFUE. Cette demande a deux vertus : d’une part, elle démontre que la question est sérieuse et n’est pas fantaisiste ; d’autre part, elle constitue un filet de sécurité au cas où le tribunal hésiterait à écarter directement le texte national. En pratique, la seule menace d’un renvoi préjudiciel — avec les délais que cela implique — peut emporter la conviction du tribunal.
4. Observations complémentaires et points de vigilance
1. Sur le champ d’application de la directive 2016/680/UE
La directive Police-Justice s’applique aux traitements de données à caractère personnel effectués par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales. La réquisition de déchiffrement d’un téléphone portable rentre pleinement dans ce champ : il s’agit bien d’un accès à des données personnelles dans le cadre d’une enquête pénale, par une autorité compétente (le parquet). L’argument a été retenu sans difficulté.
2. Sur la distinction avec la QPC
L’exception d’inconventionnalité ne doit pas être confondue avec une question prioritaire de constitutionnalité (QPC). La QPC s’adresse au Conseil constitutionnel et suppose une procédure de transmission. L’exception d’inconventionnalité, elle, est tranchée directement par le juge du fond, sans transmission préalable et sans délai. C’est précisément ce mécanisme — rapide et directement applicable — qui est mis en œuvre ici.
3. Sur l’articulation avec le droit au silence
L’exception d’inconventionnalité fondée sur la directive 2016/680/UE est autonome et ne se confond pas avec l’argument tiré du droit au silence (art. 6 CEDH) ou du droit de ne pas s’auto-incriminer. Ces moyens peuvent être soulevés cumulativement mais ne présentent pas le même degré de maturité jurisprudentielle. La voie de la directive offre aujourd’hui le terrain le plus solide.
4. Sur les perspectives d’évolution législative
L’état actuel du droit est clairement transitoire. Le législateur sera inévitablement amené à réformer l’article 434-15-2 CP pour introduire un mécanisme de contrôle indépendant préalable ou a posteriori. Dans l’attente, la voie de l’exception d’inconventionnalité reste ouverte et doit être systématiquement invoquée.
5. Conclusion pratique
L’exception d’inconventionnalité de l’article 434-15-2 CP est un moyen robuste, fondé sur un arrêt de Grande chambre de la CJUE et sur un précédent marseillais favorable. Elle est applicable dans toutes les affaires où :
- la réquisition de déchiffrement a été formée par le seul parquet, sans autorisation judiciaire préalable ;
- aucun contrôle juridictionnel a posteriori n’est prévu ou effectivement exercé ;
- le principe de proportionnalité n’a pas été respecté.
Le modèle de conclusions joint en annexe est reproductible avec les adaptations factuelles nécessaires. Il est conseillé de soulever l’exception dès le stade de l’audience sur incident, avant toute discussion au fond, en application de l’article 459 du Code de procédure pénale.
Références principales
- CJUE, Grande chambre, 4 octobre 2024, CG c/ Bezirkshauptmannschaft Landeck, C-548/21
- CJUE, 15 juillet 1964, Costa c/ ENEL
- Cass. ch. mixte, 24 mai 1975, n° 73-13.556, Société des cafés Jacques Vabre
- Directive 2016/680/UE du Parlement européen et du Conseil du 27 avril 2016
- TJ Marseille, 29 janvier 2025, n° minute 2025/855 (précédent local)
- Art. 434-15-2 Code pénal | Art. 55 Constitution | Art. 267 TFUE | Art. 8 CEDH
Télécharger le modèle de conclusions →
