Le texte proposé par la Commission européenne, le 17 avril 2018, vise à rechercher un équilibre entre efficacité des enquêtes judiciaires, droit des personnes concernées et sécurité juridique pour les fournisseurs de services de communication au public en ligne. Il apparaît également comme une riposte au Cloud Act, promulgué par le Président américain Donald Trump le 23 mars. Ce dernier interdit en effet toute signature d’un accord bilatéral avec une entité telle que l’Union européenne. En creux, la montée des populismes dans certains Etats membres européens explique la raison pour laquelle les américains sont réticents à forcer leurs géants du Web à coopérer. A l’heure actuelle, si un juge français souhaite obtenir des informations sur le compte d’une personne inscrite sur les réseaux sociaux et mise en cause dans une affaire de terrorisme, la voie classique est celle de la demande d’entraide pénale internationale. Or, ce système est très contraignant et sollicite une dizaine d’intermédiaires afin d’obtenir les données convoitées…
1. Les instruments de coopération existants
Au niveau européen, la directive n°2014/41/UE du 3 avril 2014 concernant la décision d’enquête européenne en matière pénale (EIO) permet aux Etats membres d’établir « un régime unique pour l’obtention de preuves » à travers le territoire de l’Union Européenne. Cette directive ouvre de nouvelles procédures de coopération entre autorités pour tous les types de données, tels que les données de souscription (Nom, prénom, date et lieu de naissance du titulaire d’un abonnement, adresse, etc.), les données de connexion ou métadonnées (heure et durée des appels, numéros des correspondants, coordonnées spatiales), et les données de contenu (messages, vidéos, photos). Cet outil vise à compléter la coopération « formelle » reposant sur les accords d’assistance mutuelle entre les autorités des Etats et notamment sur la Convention de Budapest relative à la cybercriminalité, mais également la coopération « informelle » exercée auprès des réseaux sociaux et fournisseurs de services sous la forme de requête pénale directe, sorte de recours gracieux. Cependant ces dispositifs ne sont pas sans limite, ainsi, la directive suppose un mécanisme de transposition dans les droits nationaux qui peut faire émerger de nombreuses disparités entre les Etats membres. En outre, la problématique du manque de ressources suffisantes au plan institutionnel et du défaut de formation nécessaire à la coordination de ces instruments peut se poser. Enfin, la limite de la coopération informelle réside dans le défaut de sécurité juridique engendré par l’aléa des réponses des fournisseurs de service, leur responsabilité et l’appréciation de la légalité des différentes demandes.
Au niveau mondial, la demande d’entraide pénale internationale n’est pas satisfaisante pour trois raisons identifiées par la Commission européenne. Tout d’abord, la coopération entre les fournisseurs de services privés et les autorités publiques est inefficace et entrave les enquêtes et les poursuites. De plus, les procédures de coopération existantes visant à l’accès à la preuve numérique sont trop lentes. Ainsi, selon le journal Le Monde, dans le cas d’une demande visant un GAFA américain, la demande du juge français doit d’abord passer le filtre du bureau de l’entraide pénale du ministère de la justice. Sa requête est transmise à son homologue américain, puis est examinée par un procureur qui doit lui-même la porter devant un juge indépendant. Le dossier revient ensuite au FBI, le principal service de police judiciaire aux Etats-Unis. C’est uniquement au terme de cette navette qu’un hypothétique document électronique revient sur le bureau du juge français. Enfin, la Commission pointe l’absence de référentiel de coopération établi et lisible entre les autorités qui peuvent coopérer sur la base du volontariat voire du marchandage, ce qui pose un problème de sécurité juridique et occasionne finalement de nombreuses affaires en souffrance.
2. Le projet de règlement E-evidence
La Commission européenne propose donc la mise en place des mécanismes suivants :
- La création d’une injonction européenne de production qui devrait permettre à une autorité judiciaire d’un Etat membre de demander des preuves électroniques (telles que des courriels, des SMS ou des messages échangés dans des applications) directement auprès d’un prestataire offrant des services dans l’Union et établi ou représenté dans un autre État membre, indépendamment de la localisation des données ; ce prestataire sera alors tenu de répondre dans un délai de 10 jours, et dans les 6 heures en cas d’urgence (contre 120 jours pour la décision d’enquête européenne existante ou 10 mois pour une procédure d’entraide judiciaire) ;
- La création d’une injonction européenne de conservation qui devrait permettre à une autorité judiciaire d’un État membre de contraindre un prestataire offrant des services dans l’Union et établi ou représenté dans un autre État membre à conserver certaines données afin que ladite autorité puisse demander ces informations ultérieurement par voie d’entraide judiciaire ou au moyen d’une décision d’enquête européenne ou d’une injonction européenne de production ;
- La mise en place de garanties solides ainsi que de voies de recours : les deux types d’injonctions ne peuvent être émises que dans le cadre de procédures pénales, et toutes les garanties procédurales de droit pénal sont applicables. Les nouvelles règles garantissent l’intervention d’autorités judiciaires et posent des exigences supplémentaires pour l’obtention de certaines catégories de données. Elles comportent également des garanties concernant le droit à la protection des données à caractère personnel. Les prestataires de services et les personnes dont les données sont demandées bénéficieront de plusieurs garanties, parmi lesquelles la possibilité, pour le prestataire de services, de demander un examen si, par exemple, l’injonction constitue une violation manifeste de la Charte des droits fondamentaux de l’Union européenne ;
- Contraindre les prestataires de services à désigner un représentant légal dans l’Union afin que tous les prestataires qui proposent leurs services dans l’Union européenne soient soumis à des obligations identiques, même si leur siège est situé dans un pays tiers. Le représentant légal dans l’Union désigné devra assurer la réception, le respect et l’exécution des décisions et injonctions émises par les autorités compétentes des États membres à des fins de collecte de preuves en matière pénale ;
- Procurer une sécurité juridique aux entreprises et aux prestataires de services, les autorités et prestataires de services bénéficieront d’une plus grande sécurité juridique grâce à la mise en œuvre de règles identiques pour tous en matière de fournitures de preuves électroniques.
3. L’avertissement du G29
Dans sa déclaration du 29 novembre 2017 relative à l’analyse du projet de texte « E-evidence », le Groupe de travail de l’article 29 (G29) fait part de ses réserves sur les mesures envisagées par la Commission et rappelle que l’accès des autorités aux données de souscription, aux métadonnées et aux données de contenu constitue une ingérence dans le droit à la vie privée prévue à l’article 7 de la Charte des droits fondamentaux de l’Union Européenne, ainsi qu’à la protection des données personnelles prévue à l’article 8 de cette même Charte.
Par conséquent, le G29 souligne que la mise en œuvre des mesures envisagées impliquent le respect des garanties prévues par la Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, et du Règlement général sur la protection des données 2016/679. Plus précisément, l’article 23 du Règlement prévoit que des limitations peuvent être apportées par des Etats membres aux droits prévus par les textes à condition qu’elles respectent « l’essence des libertés et droits fondamentaux et qu’elle(s) constitue(nt) une mesure nécessaire et proportionnée dans une société démocratique pour garantir », notamment, « la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ».
Ainsi, selon le second alinéa du même article, lorsqu’il fait application de cette faculté, le législateur est tenu d’être précis et doit spécifier clairement la portée de la limitation envisagée, en prévoyant les finalités du traitement ou les catégories de traitement en cause, les catégories de données à caractère personnel concernées, l’étendue des limitations introduites, les garanties destinées à prévenir les abus, l’accès ou le transfert illicite, la détermination du responsable du traitement, la durée de conservation, les risques pour les droits et libertés des personnes concernées et le droit des personnes concernées d’être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation.
Le G29 insiste enfin sur la nécessité de prendre en compte la jurisprudence européenne dans le cadre de l’élaboration des mesures envisagées. La Cour de justice de l’Union européenne contrôle par exemple l’existence de « règles claires et précises régissant la portée et l’application de la mesure en cause ».
Le texte présenté devra encore franchir toutes les étapes du processus législatif avant les élections du Parlement européen de 2019. Dans un contexte marqué par l’adoption du Cloud Act qui a manifestement pour objet de produire un effet extraterritorial en admettant que des données personnelles de citoyens français puissent être adressées aux autorités américaines sur simple demande au fournisseur de service américain détenant un datacenter sur le territoire français, l’initiative E-evidence apparaît comme une opportunité et une réponse pour l’Union européenne. A cet égard, l’accord de partage de données avec les Etats-Unis qui se dessine pourrait permettre une lutte contre le terrorisme plus efficace, mais à quel prix pour les libertés privées des citoyens européens ?