Lexium

L’assistant IA qui trouve vos nullités

Le démantèlement des messageries chiffrées EncroChat (2020) puis SkyECC (2021) a déversé dans les juridictions françaises des milliers de procédures, principalement pour trafic de stupéfiants et criminalité organisée. Ces dossiers reposent presque tous sur la même matière : des données interceptées massivement, à l’aide de moyens techniques dont la nature exacte reste couverte par le secret. D’où une vague de demandes de nullité, et une jurisprudence qui se construit arrêt après arrêt, sans avoir encore livré tous ses arbitrages. Cet article fait le point sur l’état du droit, les angles d’attaque qui ont prospéré et ceux qui se sont heurtés à un mur.

Avertissement nécessaire : la matière évolue vite. Chaque dossier a sa configuration propre, et un arrêt peut en déplacer l’équilibre du jour au lendemain. Ce qui suit décrit une situation, pas une recette.

Le cœur du contentieux : une preuve dont on ignore la fabrication

La difficulté centrale tient à un déséquilibre. L’accusation produit des données de conversations, mais le procédé de captation, conçu et opéré au niveau européen avec le concours d’équipes communes d’enquête, relève de moyens techniques classifiés. La défense se trouve donc face à une preuve dont elle ne peut pas vérifier la chaîne de fabrication ni l’intégrité.

Le droit français encadre ces moyens techniques aux articles 230-1 à 230-5 du code de procédure pénale. L’article 230-3 est devenu le pivot du débat : il prévoit que les résultats obtenus soient accompagnés des informations techniques utiles à leur compréhension et à leur exploitation, ainsi que d’une attestation, signée par le responsable de l’organisme technique, certifiant la sincérité et l’authenticité des données transmises. Le texte réserve toutefois cette obligation aux exigences du secret de la défense nationale, ce qui est précisément le point de friction.

Les bornes posées par le Conseil constitutionnel et la Cour de cassation

Le Conseil constitutionnel a validé ce dispositif dans sa décision n° 2022-987 QPC du 8 avril 2022, en jugeant que le recours à des moyens techniques protégés par le secret n’était pas en soi contraire à la Constitution, tout en l’encadrant. Le régime n’a donc pas été abattu sur le plan constitutionnel.

C’est la Cour de cassation qui a ouvert la principale brèche. Par une série d’arrêts du 11 octobre 2022, la chambre criminelle a censuré des chambres de l’instruction qui avaient écarté des demandes de nullité sans s’expliquer sur la présence, au dossier, de l’attestation de sincérité prévue par l’article 230-3. Le message est clair : on ne peut pas opposer au requérant une présomption de régularité qui dispenserait de produire ce certificat. La personne mise en cause a le droit de contester l’authenticité et l’intégrité des données, et le juge doit pouvoir le vérifier sur pièces.

Cette jurisprudence a été précisée par la suite, notamment par des arrêts de 2024 (5 mars 2024, 28 mai 2024) qui ont affiné les conditions d’examen. Mais elle n’a jamais signifié que les données EncroChat ou SkyECC étaient nulles par principe. Lorsque l’attestation figure au dossier et qu’aucun grief concret n’est démontré, les demandes de nullité échouent le plus souvent.

Le filtre du grief : l’obstacle le plus fréquent

C’est le point que tout pénaliste doit garder à l’esprit. La plupart des irrégularités invoquées relèvent de nullités d’intérêt privé, soumises au filtre de l’article 802 du code de procédure pénale : il ne suffit pas de pointer une anomalie, il faut démontrer qu’elle a porté atteinte aux intérêts de la partie qui l’invoque.

Or, dans les dossiers EncroChat et SkyECC, les juridictions considèrent fréquemment que l’absence d’une information technique, dès lors qu’une attestation d’authenticité existe et que les données ont pu être discutées, ne caractérise pas en elle-même un grief. C’est sur ce terrain que beaucoup d’arguments de nullité se brisent. La défense qui veut prospérer doit donc travailler le grief de façon concrète et documentée, et non se contenter d’une critique générale du procédé.

L’apport du droit de l’Union : procès équitable et notification

Deux décisions européennes ont rebattu les cartes et ouvert des angles nouveaux.

D’abord, l’arrêt de la Cour de justice de l’Union européenne du 30 avril 2024 (C-670/22, M.N., « EncroChat »), rendu en grande chambre. La Cour y juge notamment que, dans le respect du procès équitable, le juge pénal national doit écarter les informations et éléments de preuve sur lesquels la personne poursuivie n’a pas été en mesure de présenter ses observations de façon effective, lorsque ces éléments sont susceptibles d’avoir une influence prépondérante sur l’appréciation des faits. L’arrêt ne déclare pas les données inadmissibles en bloc, mais il donne à la défense un levier solide : exiger une discussion contradictoire réelle de la preuve.

Ensuite, la question de la notification transfrontalière. Par un arrêt du 17 juin 2025, la chambre criminelle a retenu qu’une mesure d’infiltration des terminaux destinée à extraire des données d’un service de communication équivaut à une interception de télécommunications au sens de l’article 31 de la directive 2014/41 (décision d’enquête européenne). Conséquence : la captation exécutée sur le territoire d’un autre État membre devait donner lieu à notification à cet État. Dans l’affaire jugée, la Cour a constaté que cette notification avait bien eu lieu, par l’émission de décisions d’enquête européennes, et a donc écarté le moyen. Mais le principe est posé : un défaut de notification peut fragiliser, voire vicier, l’exploitation des données. La saga n’est d’ailleurs pas close, la chambre criminelle ayant à nouveau interrogé la CJUE sur ces questions.

Et la Cour européenne des droits de l’homme ?

La voie strasbourgeoise s’est révélée, pour l’instant, peu fructueuse. Par une décision du 17 octobre 2024 (A.L. et E.J. c. France), la CEDH a déclaré irrecevables des requêtes contestant la captation des données d’utilisateurs d’EncroChat et leur transmission aux autorités britanniques. Ce n’est pas un blanc-seing sur le fond, mais cela referme, à ce stade, un angle d’attaque que certains espéraient décisif.

Les pistes pour la défense, en pratique

De cet ensemble se dégagent quelques axes de travail, à apprécier dossier par dossier.

Vérifier la présence et le contenu de l’attestation de sincérité de l’article 230-3, et soulever son absence ou son insuffisance. Exiger, sur le fondement de l’arrêt CJUE du 30 avril 2024, une discussion contradictoire effective des données, en particulier lorsqu’elles ont une influence déterminante. Examiner la régularité de la circulation transfrontalière des données et des notifications au titre de la directive EEI. Et, toujours, construire un grief concret et individualisé plutôt qu’une critique abstraite du procédé.

Le contre-argument prévisible de l’accusation est connu : l’attestation figure au dossier, les données ont pu être débattues, aucun grief n’est caractérisé, et la notification a été régulièrement opérée. C’est dire que l’issue se joue dans le détail des pièces, là où une lecture exhaustive du dossier fait la différence.

Ce qu’il faut retenir

La jurisprudence EncroChat et SkyECC n’a pas annulé ces preuves par principe, mais elle a imposé des garde-fous : droit de contester l’authenticité des données, exigence d’un débat contradictoire effectif issu du droit de l’Union, contrôle de la notification transfrontalière. Pour la défense, l’efficacité ne vient pas de la dénonciation générale du procédé, mais d’un travail minutieux sur les pièces et sur le grief. C’est exactement le type de dossier, volumineux et technique, où passer à côté d’une absence de certificat ou d’une notification manquante peut tout changer, et où une lecture assistée et exhaustive prend toute sa valeur.

Lexium analyse vos dossiers EncroChat et SkyECC : repérage des pièces clés, des points de procédure et des axes de nullité dans des dossiers de plusieurs milliers de pages, dans un cadre conçu pour la confidentialité. Demander une démonstration.

Cet article décrit l’état de la jurisprudence à sa date de publication et ne constitue pas une consultation juridique. Chaque situation doit être appréciée au regard des pièces du dossier et des décisions les plus récentes.

Articles liés : « Détecter les nullités de procédure grâce à l’IA » · « Analyser un dossier pénal avec l’IA : méthode, gains et limites » · « Garde à vue : les irrégularités qui fondent une nullité ».