EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32021R1232

Règlement (UE) 2021/1232 du Parlement européen et du Conseil du 14 juillet 2021 relatif à une dérogation temporaire à certaines dispositions de la directive 2002/58/CE en ce qui concerne l’utilisation de technologies par les fournisseurs de services de communications interpersonnelles non fondés sur la numérotation pour le traitement de données à caractère personnel et d’autres données aux fins de la lutte contre les abus sexuels commis contre des enfants en ligne (Texte présentant de l’intérêt pour l’EEE)

PE/38/2021/REV/1

JO L 274 du 30.7.2021, p. 41–51 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg/2021/1232/oj

30.7.2021   

FR

Journal officiel de l’Union européenne

L 274/41


RÈGLEMENT (UE) 2021/1232 DU PARLEMENT EUROPÉEN ET DU CONSEIL

du 14 juillet 2021

relatif à une dérogation temporaire à certaines dispositions de la directive 2002/58/CE en ce qui concerne l’utilisation de technologies par les fournisseurs de services de communications interpersonnelles non fondés sur la numérotation pour le traitement de données à caractère personnel et d’autres données aux fins de la lutte contre les abus sexuels commis contre des enfants en ligne

(Texte présentant de l’intérêt pour l’EEE)

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16, paragraphe 2, en liaison avec l’article 114, paragraphe 1,

vu la proposition de la Commission européenne,

après transmission du projet d’acte législatif aux parlements nationaux,

vu l’avis du Comité économique et social européen (1),

statuant conformément à la procédure législative ordinaire (2),

considérant ce qui suit:

(1)

La directive 2002/58/CE du Parlement européen et du Conseil (3) fixe les règles garantissant le droit au respect de la vie privée et à la confidentialité en ce qui concerne le traitement des données à caractère personnel dans les échanges de données dans le secteur des communications électroniques. Cette directive précise et complète le règlement (UE) 2016/679 du Parlement européen et du Conseil (4).

(2)

La directive 2002/58/CE s’applique au traitement des données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public. Jusqu’au 21 décembre 2020, la définition de «service de communications électroniques» énoncée à l’article 2, point c), de la directive 2002/21/CE du Parlement européen et du Conseil (5) s’appliquait. À cette date, la directive (UE) 2018/1972 du Parlement européen et du Conseil (6) a abrogé la directive 2002/21/CE. La définition de «service de communications électroniques» à l’article 2, point 4), de la directive (UE) 2018/1972 inclut les services de communications interpersonnelles non fondés sur la numérotation au sens de l’article 2, point 7), de ladite directive. Les services de communications interpersonnelles non fondés sur la numérotation, qui comprennent, par exemple, le protocole de téléphonie vocale sur l’internet, les services de messagerie et les services de courrier électronique en ligne, sont dès lors entrés dans le champ d’application de la directive 2002/58/CE le 21 décembre 2020.

(3)

Conformément à l’article 6, paragraphe 1, du traité sur l’Union européenne, l’Union reconnaît les droits, les libertés et les principes énoncés dans la Charte des droits fondamentaux de l’Union européenne (ci-après dénommée «Charte»). L’article 7 de la Charte protège le droit fondamental de toute personne au respect de sa vie privée et familiale, de son domicile et de ses communications, ce qui inclut la confidentialité des communications. L’article 8 de la Charte consacre le droit à la protection des données à caractère personnel.

(4)

L’article 3, paragraphe 1, de la convention des Nations unies relative aux droits de l’enfant de 1989 (CNUDE) et l’article 24, paragraphe 2, de la Charte, prévoient que, dans tous les actes relatifs aux enfants, qu’ils soient accomplis par des autorités publiques ou des institutions privées, l’intérêt supérieur de l’enfant doit être une considération primordiale. L’article 3, paragraphe 2, de la CNUDE et l’article 24, paragraphe 1, de la Charte évoquent en outre le droit des enfants à la protection et aux soins nécessaires à leur bien-être.

(5)

La protection des enfants, tant hors ligne qu’en ligne, est l’une des priorités de l’Union. Les abus sexuels commis contre des enfants et l’exploitation sexuelle des enfants constituent des violations graves des droits de l’homme et des droits fondamentaux, en particulier du droit des enfants à être protégés contre toute forme de violence, d’abus et de négligence, de maltraitance ou d’exploitation, y compris l’abus sexuel, comme la CNUDE et la Charte le prévoient. La numérisation a généré de nombreux avantages pour la société et l’économie, mais elle a aussi généré des défis tels que l’augmentation des abus sexuels commis contre des enfants en ligne. Le 24 juillet 2020, la Commission a adopté une communication intitulée «Stratégie de l’UE en faveur d’une lutte plus efficace contre les abus sexuels commis contre des enfants» (ci-après dénommée «stratégie»). La stratégie vise à apporter une réponse efficace, au niveau de l’Union, aux crimes que constituent les abus sexuels commis contre des enfants.

(6)

Conformément à la directive 2011/93/UE du Parlement européen et du Conseil (7), le présent règlement ne régit pas les politiques des États membres en ce qui concerne les activités sexuelles consenties dans lesquelles peuvent être impliqués des enfants et qui peuvent être considérées comme relevant d’une découverte normale de la sexualité dans le cadre de leur développement, compte tenu des différentes traditions culturelles et juridiques et des nouvelles façons qu’ont les enfants et les adolescents de nouer et d’entretenir des contacts, notamment au moyen des technologies de l’information et de la communication.

(7)

Certains fournisseurs de certains services de communications interpersonnelles non fondés sur la numérotation (ci-après dénommés «fournisseurs»), tels que les services de courrier électronique en ligne et de messagerie, utilisent déjà des technologies spécifiques, sur une base volontaire, pour détecter les abus sexuels commis contre des enfants en ligne sur leurs services et les signaler aux autorités répressives et aux organismes agissant dans l’intérêt public contre les abus sexuels commis contre des enfants en examinant soit le contenu, tels que les images et le texte, soit les données relatives au trafic des communications, en s’appuyant dans certains cas sur des données historiques. Les technologies utilisées pour ces activités pourraient être la technologie de hachage pour les images et les vidéos, et les classificateurs et l’intelligence artificielle pour l’analyse de textes ou de données relatives au trafic. Dans le cadre de l’utilisation de la technologie de hachage, le matériel relatif à des abus sexuels commis contre des enfants en ligne est signalé en cas de résultat positif, c’est-à-dire s’il existe une correspondance résultant d’une comparaison entre une image ou une vidéo et une signature numérique unique, non reconvertible («hachage») provenant d’une base de données gérée par un organisme agissant dans l’intérêt public contre les abus sexuels commis contre des enfants contenant du matériel avéré relatif à des abus sexuels commis contre des enfants en ligne. Ces fournisseurs renvoient aux lignes téléphoniques nationales à utiliser pour signaler le matériel relatif à des abus sexuels commis contre des enfants en ligne, ainsi qu’à des organismes, situés tant au sein de l’Union que dans des pays tiers, dont l’objectif est d’identifier les enfants et de réduire l’exploitation sexuelle d’enfants et les abus sexuels commis envers des enfants et de prévenir la victimisation des enfants. Ces organismes pourraient ne pas relever du champ d’application du règlement (UE) 2016/679. Ces activités volontaires, dans leur ensemble, jouent un rôle important en permettant d’identifier et de secourir les victimes, dont les droits fondamentaux à la dignité humaine et à l’intégrité physique et mentale sont gravement violés. Ces activités volontaires sont également importantes en ce qu’elles réduisent la poursuite de la diffusion de matériel relatif à des abus sexuels commis contre des enfants en ligne et contribuent à l’identification des auteurs et à la prévention et à la détection des infractions d’abus sexuels commis contre des enfants et aux enquêtes et aux poursuites en la matière.

(8)

Nonobstant leur objectif légitime, les activités volontaires menées par les fournisseurs afin de détecter les abus sexuels commis contre des enfants en ligne sur leurs services et de les signaler constituent une entrave aux droits fondamentaux au respect de la vie privée et familiale et à la protection des données à caractère personnel de l’ensemble des utilisateurs de services de communications interpersonnelles non fondés sur la numérotation (ci-après dénommés «utilisateurs»). Aucune limitation de l’exercice du droit fondamental au respect de la vie privée et familiale, notamment à la confidentialité des communications, ne saurait être justifiée au seul motif que les fournisseurs utilisaient certaines technologies à un moment où les services de communications interpersonnelles non fondés sur la numérotation n’entraient pas dans la définition de «services de communications électroniques». De telles limitations ne sont possibles que sous certaines conditions. En vertu de l’article 52, paragraphe 1, de la Charte, ces limitations doivent être prévues par la loi, respecter le contenu essentiel du droit au respect de la vie privée et familiale et du droit à la protection des données à caractère personnel et, dans le respect du principe de proportionnalité, être nécessaires et répondre effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui. Lorsque de telles limitations impliquent de manière permanente une surveillance et une analyse générales et sans distinction des communications de tous les utilisateurs, elles violent le droit à la confidentialité des communications.

(9)

Jusqu’au 20 décembre 2020, le traitement des données à caractère personnel par les fournisseurs dans le cadre de mesures volontaires aux fins de détecter les abus sexuels commis contre des enfants en ligne sur leurs services, de les signaler et de retirer de leurs services le matériel relatif à des abus sexuels commis contre des enfants en ligne était régi uniquement par le règlement (UE) 2016/679. La directive (UE) 2018/1972, qui devait être transposée pour le 20 décembre 2020, a fait entrer les fournisseurs dans le champ d’application de la directive 2002/58/CE. Afin de pouvoir continuer à appliquer ces mesures volontaires après le 20 décembre 2020, les fournisseurs devraient satisfaire aux conditions énoncées dans le présent règlement. Le règlement (UE) 2016/679 continuera de s’appliquer au traitement des données à caractère personnel effectué dans le cadre de ces mesures volontaires.

(10)

La directive 2002/58/CE ne contient aucune disposition spécifique concernant le traitement de données à caractère personnel par les fournisseurs en relation avec la fourniture de services de communications électroniques aux fins de détecter les abus sexuels commis contre des enfants en ligne sur leurs services, de les signaler et de retirer de leurs services le matériel relatif à des abus sexuels commis contre des enfants en ligne. Toutefois, en application de l’article 15, paragraphe 1, de la directive 2002/58/CE, les États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et obligations prévus, entre autres, aux articles 5 et 6 de ladite directive, qui concernent la confidentialité des communications et les données relatives au trafic, aux fins de la prévention et de la détection des infractions pénales liées aux abus sexuels commis contre des enfants et aux enquêtes et poursuites en la matière. En l’absence de telles mesures législatives nationales et dans l’attente de l’adoption d’un cadre juridique à plus long terme pour lutter contre les abus sexuels commis contre des enfants à l’échelon de l’Union, les fournisseurs ne peuvent plus, au-delà du 21 décembre 2020, se fonder sur le règlement (UE) 2016/679 pour continuer à appliquer des mesures volontaires aux fins de détecter les abus sexuels commis contre des enfants en ligne sur leurs services, de les signaler et de retirer de leurs services le matériel relatif à des abus sexuels commis contre des enfants en ligne. Le présent règlement ne fournit pas une base juridique pour le traitement de données à caractère personnel par les fournisseurs aux seules fins de détecter les abus sexuels commis contre des enfants en ligne sur leurs services, de les signaler et de retirer de leurs services le matériel relatif à des abus sexuels commis contre des enfants en ligne, mais il prévoit une dérogation à certaines dispositions de la directive 2002/58/CE. Le présent règlement fixe des garanties supplémentaires que doivent respecter les fournisseurs s’ils souhaitent se fonder sur le présent règlement.

(11)

Le traitement de données aux fins du présent règlement pourrait impliquer le traitement portant sur des catégories particulières de données à caractère personnel énoncées dans le règlement (UE) 2016/679. Le traitement d’images et de vidéos par des moyens techniques spécifiques qui permettent l’identification ou l’authentification uniques d’une personne physique est considéré comme un traitement portant sur des catégories particulières de données à caractère personnel.

(12)

Le présent règlement prévoit une dérogation temporaire à l’article 5, paragraphe 1, et à l’article 6, paragraphe 1, de la directive 2002/58/CE, qui protègent la confidentialité des communications et les données relatives au trafic. L’utilisation volontaire, par les fournisseurs, de technologies pour le traitement des données à caractère personnel et d’autres données dans la mesure nécessaire pour détecter les abus sexuels commis contre des enfants en ligne sur leurs services, pour les signaler et pour retirer de leurs services le matériel relatif à des abus sexuels commis contre des enfants en ligne relève du champ d’application de la dérogation prévue par le présent règlement, pour autant que cette utilisation respecte les conditions énoncées dans le présent règlement, et est dès lors soumise aux garanties et conditions énoncées dans le règlement (UE) 2016/679.

(13)

La directive 2002/58/CE a été adoptée sur la base de l’article 114 du traité sur le fonctionnement de l’Union européenne. En outre, des mesures législatives n’ont pas été adoptées par tous les États membres conformément à la directive 2002/58/CE pour restreindre la portée des droits et obligations liés à la confidentialité des communications et aux données relatives au trafic énoncés dans ladite directive, et l’adoption de telles mesures comporte un risque important de fragmentation susceptible d’avoir une incidence négative sur le marché intérieur. En conséquence, le présent règlement devrait être fondé sur l’article 114 du traité sur le fonctionnement de l’Union européenne.

(14)

Étant donné que les données relatives aux communications électroniques impliquant des personnes physiques sont généralement qualifiées de données à caractère personnel, le présent règlement devrait également être fondé sur l’article 16 du traité sur le fonctionnement de l’Union européenne, qui fournit une base juridique spécifique pour l’adoption de règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et par les États membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et de règles relatives à la libre circulation de ces données.

(15)

Le règlement (UE) 2016/679 s’applique au traitement de données à caractère personnel dans le cadre de la fourniture de services de communications électroniques par les fournisseurs aux seules fins de détecter les abus sexuels commis contre des enfants en ligne sur leurs services, de les signaler et de retirer de leurs services le matériel relatif à des abus sexuels commis contre des enfants en ligne dans la mesure où ce traitement entre dans le champ d’application de la dérogation prévue par le présent règlement.

(16)

Les types de technologies utilisées aux fins du présent règlement devraient être les moins intrusifs au regard de la vie privée en l’état actuel de la technique dans le secteur. Ces technologies ne devraient pas être utilisées pour le filtrage et l’examen systématiques du texte dans les communications, excepté s’il s’agit seulement de détecter des schémas qui indiquent d’éventuels motifs concrets de soupçons d’abus sexuels commis contre des enfants en ligne, et elles ne devraient pas être capables de déduire la substance du contenu des communications. Dans le cas de la technologie utilisée pour identifier les sollicitations d’enfants, de tels motifs concrets de soupçons devraient être fondés sur des facteurs de risque identifiés objectivement, tels que la différence d’âge et la participation probable d’un enfant à la communication examinée.

(17)

Des procédures et des mécanismes de recours appropriés devraient être mis en place pour garantir aux particuliers la possibilité d’introduire une réclamation auprès des fournisseurs. De tels procédures et mécanismes sont notamment utiles lorsque des contenus qui ne constituent pas des abus sexuels commis contre des enfants en ligne ont été retirés ou signalés aux autorités répressives ou à un organisme agissant dans l’intérêt public contre les abus sexuels commis contre des enfants.

(18)

Afin de garantir autant que possible la justesse et la fiabilité, la technologie utilisée aux fins du présent règlement devrait, en l’état actuel de la technique dans le secteur, permettre de limiter le nombre et le ratio d’erreurs (faux positifs) dans toute la mesure du possible et devrait, si nécessaire, permettre de rectifier sans retard les erreurs de ce type qui pourraient néanmoins survenir.

(19)

Les données de contenu et les données relatives au trafic traitées et les données à caractère personnel générées dans l’exercice des activités couvertes par le présent règlement, ainsi que la période pendant laquelle les données sont stockées ultérieurement en cas d’identification de cas suspectés d’abus sexuels commis contre des enfants en ligne, devraient rester limitées à ce qui est strictement nécessaire à l’exercice de ces activités. Toutes les données devraient être supprimées immédiatement et de manière permanente dès qu’elles ne sont plus strictement nécessaires à l’une des finalités énoncées dans le présent règlement, y compris lorsque aucun cas suspecté d’abus sexuels commis contre des enfants en ligne n’a été identifié, et, en tout état de cause, au plus tard douze mois à compter de la date de détection d’un cas suspecté d’abus sexuels commis contre des enfants en ligne. Ceci devrait s’entendre sans préjudice de la possibilité de stocker les données de contenu et les données relatives au trafic pertinentes, conformément à la directive 2002/58/CE. Le présent règlement n’a pas d’incidence sur l’application de toute obligation légale de conservation des données qui s’applique aux fournisseurs en vertu du droit de l’Union ou du droit national.

(20)

Le présent règlement n’empêche pas les fournisseurs qui ont signalé des abus sexuels commis contre des enfants en ligne de demander aux autorités répressives d’accuser réception de leur signalement.

(21)

Afin de garantir la transparence et la responsabilité en ce qui concerne les activités entreprises en vertu de la dérogation prévue par le présent règlement, les fournisseurs devraient publier des rapports et les soumettre à l’autorité de contrôle compétente désignée en vertu du règlement (UE) 2016/679 (ci-après dénommée «autorité de contrôle») et à la Commission, au plus tard le 3 février 2022, et au plus tard le 31 janvier de chaque année par la suite. Ces rapports devraient porter sur le traitement relevant du champ d’application du présent règlement, y compris le type et les volumes de données traitées, les motifs spécifiques invoqués pour le traitement de données à caractère personnel en vertu du règlement (UE) 2016/679, les motifs invoqués pour les transferts de données à caractère personnel en dehors de l’Union en vertu du chapitre V du règlement (UE) 2016/679, le cas échéant, le nombre de cas d’abus sexuels commis contre des enfants en ligne identifiés, en établissant une distinction entre le matériel relatif à des abus sexuels commis contre des enfants en ligne et la sollicitation d’enfants, le nombre de cas dans lesquels un utilisateur a introduit une réclamation au moyen du mécanisme de recours interne ou un recours juridictionnel et l’issue de ces réclamations et procédures judiciaires, le nombre et le ratio d’erreurs (faux positifs) des différentes technologies utilisées, les mesures appliquées pour limiter le taux d’erreurs et le taux d’erreurs atteint, la politique de conservation et les garanties en matière de protection des données appliquées en vertu du règlement (UE) 2016/679, ainsi que le nom des organismes agissant dans l’intérêt public contre les abus sexuels commis contre des enfants avec lesquels des données ont été partagées en vertu du présent règlement.

(22)

Afin de soutenir les autorités de contrôle dans leurs tâches, la Commission devrait demander au comité européen de la protection des données de publier des lignes directrices sur le respect du règlement (UE) 2016/679 dans le cadre du traitement relevant du champ d’application de la dérogation prévue par le présent règlement. Lorsque les autorités de contrôle évaluent si une technologie, nouvelle ou existante, à utiliser est, conformément à l’état actuel de la technique dans le secteur, la moins intrusive au regard de la vie privée et si elle s’appuie sur une base juridique adéquate au titre du règlement (UE) 2016/679, ces lignes directrices devraient en particulier aider les autorités de contrôle à dispenser des conseils dans le cadre de la procédure de consultation préalable prévue dans ledit règlement.

(23)

Le présent règlement limite le droit à la protection de la confidentialité des communications et déroge à la décision prise au titre de la directive (UE) 2018/1972 de soumettre les services de communications interpersonnelles non fondés sur la numérotation aux mêmes règles que celles applicables à tous les autres services de communications en ce qui concerne la vie privée, aux seules fins de détecter les abus sexuels commis contre des enfants en ligne sur ces services, de les signaler aux autorités répressives ou aux organismes agissant dans l’intérêt public contre les abus sexuels commis contre des enfants et de retirer de ces services le matériel relatif à des abus sexuels commis contre des enfants en ligne. La période d’application du présent règlement devrait dès lors être limitée à trois ans à compter de sa date d’application, afin de disposer du temps nécessaire à l’adoption d’un nouveau cadre juridique à long terme. Si le nouveau cadre juridique à long terme est adopté et entre en vigueur avant cette date, ce cadre juridique à long terme devrait abroger le présent règlement.

(24)

En ce qui concerne toutes les autres activités relevant du champ d’application de la directive 2002/58/CE, les fournisseurs devraient être soumis aux obligations spécifiques prévues dans ladite directive, et par conséquent aux pouvoirs de contrôle et d’enquête des autorités compétentes désignées en vertu de cette directive.

(25)

Le chiffrement de bout en bout est un outil important pour garantir la sécurité et la confidentialité des communications des utilisateurs, y compris les communications des enfants. Tout affaiblissement du chiffrement pourrait potentiellement être exploité de manière abusive par des tiers malveillants. Aucune disposition du présent règlement ne saurait dès lors être interprétée comme une interdiction ou un affaiblissement du chiffrement de bout en bout.

(26)

Le droit au respect de la vie privée et familiale, y compris à la confidentialité des communications, est un droit fondamental garanti par l’article 7 de la Charte. Il constitue donc également une condition préalable indispensable à la sécurité des communications entre les victimes d’abus sexuels commis contre des enfants et un adulte de confiance ou un organisme actif dans la lutte contre les abus sexuels commis contre des enfants ainsi qu’aux communications entre les victimes et leurs avocats.

(27)

Le présent règlement devrait s’entendre sans préjudice des règles relatives au secret professionnel prévues par le droit national, telles que les règles relatives à la protection des communications professionnelles entre les médecins et leurs patients, entre les journalistes et leurs sources, ou entre les avocats et leurs clients, en particulier puisque la confidentialité des communications entre les avocats et leurs clients est capitale pour garantir l’exercice effectif des droits de la défense, qui constituent un élément essentiel du droit à un procès équitable. Le présent règlement devrait également s’entendre sans préjudice des règles nationales sur les registres des autorités publiques ou des organismes qui offrent des conseils aux personnes en détresse.

(28)

Les fournisseurs devraient communiquer à la Commission le nom des organismes agissant dans l’intérêt public contre les abus sexuels commis contre des enfants auxquels ils signalent des abus sexuels potentiels commis contre des enfants en ligne dans le cadre du présent règlement. Bien qu’il relève de la seule responsabilité des fournisseurs agissant en qualité de responsables du traitement d’évaluer avec quel tiers ils peuvent partager des données à caractère personnel au titre du règlement (UE) 2016/679, la Commission devrait garantir la transparence en ce qui concerne le transfert de cas potentiels d’abus sexuels commis contre des enfants en ligne en rendant publique sur son site internet la liste des organismes agissant dans l’intérêt public contre les abus sexuels commis contre des enfants qui lui a été communiquée. Cette liste publique devrait être facilement accessible. Il devrait également être possible pour les fournisseurs d’utiliser cette liste pour recenser les organismes concernés par la lutte mondiale contre les abus sexuels commis contre des enfants en ligne. Cette liste devrait s’entendre sans préjudice des obligations incombant aux fournisseurs agissant en qualité de responsables du traitement au titre du règlement (UE) 2016/679, y compris en ce qui concerne leur obligation de procéder à tout transfert de données à caractère personnel en dehors de l’Union conformément au chapitre V dudit règlement et leur obligation de satisfaire à toutes les obligations qui leur incombent au titre du chapitre IV dudit règlement.

(29)

Les statistiques à fournir par les États membres au titre du présent règlement constituent des indicateurs importants pour évaluer la politique, y compris les mesures législatives. En outre, il est important de reconnaître l’impact de la victimisation secondaire inhérente au partage d’images et de vidéos de victimes d’abus sexuels commis contre des enfants qui auraient pu circuler pendant des années, un aspect qui n’est pas pleinement pris en compte dans ces statistiques.

(30)

Conformément aux exigences fixées dans le règlement (UE) 2016/679, en particulier l’obligation faite aux États membres de veiller à ce que les autorités de contrôle disposent des ressources humaines, techniques et financières nécessaires à l’exercice effectif de leurs missions et de leurs pouvoirs, les États membres devraient s’assurer que les autorités de contrôle disposent de ressources suffisantes aux fins de l’exercice effectif de leurs missions et de leurs pouvoirs au titre du présent règlement.

(31)

Lorsqu’un fournisseur a réalisé une analyse d’impact relative à la protection des données et procédé à une consultation des autorités de contrôle à propos d’une technologie conformément au règlement (UE) 2016/679 avant l’entrée en vigueur du présent règlement, ledit fournisseur ne devrait pas être tenu au titre du présent règlement de réaliser une analyse d’impact relative à la protection des données supplémentaire ou de procéder à une consultation en la matière, à condition que les autorités de contrôle aient indiqué que le traitement des données par cette technologie ne pourrait entraîner de risque élevé pour les droits et libertés des personnes physiques ou que des mesures ont été prises par le responsable du traitement pour atténuer ce risque.

(32)

Les utilisateurs devraient disposer du droit à un recours juridictionnel effectif en cas de violation de leurs droits résultant du traitement de données à caractère personnel et d’autres données aux fins de détecter des abus sexuels commis contre des enfants en ligne sur des services de communications interpersonnelles non fondés sur la numérotation, de les signaler et de retirer de ces services le matériel relatif à des abus sexuels commis contre des enfants en ligne, par exemple lorsque les contenus ou l’identité d’un utilisateur ont été signalés à un organisme agissant dans l’intérêt public contre les abus sexuels commis contre des enfants ou aux autorités répressives, ou lorsque les contenus d’un utilisateur ont été retirés, ou lorsque le compte d’un utilisateur a été bloqué ou qu’un service proposé à un utilisateur a été suspendu.

(33)

Conformément à la directive 2002/58/CE et au principe de minimisation des données, le traitement des données à caractère personnel et d’autres données devrait être limité aux données de contenu et aux données relatives au trafic y associées dans la mesure strictement nécessaire pour atteindre l’objectif du présent règlement.

(34)

La dérogation prévue par le présent règlement devrait s’étendre aux catégories de données visées à l’article 5, paragraphe 1, et à l’article 6, paragraphe 1, de la directive 2002/58/CE, qui s’appliquent au traitement à la fois des données à caractère personnel et des données à caractère non personnel dans le contexte de la prestation d’un service de communications interpersonnelles non fondé sur la numérotation.

(35)

L’objectif du présent règlement est de créer une dérogation temporaire à certaines dispositions de la directive 2002/58/CE sans créer de fragmentation du marché intérieur. En outre, il est peu probable que tous les États membres puissent adopter des mesures législatives nationales à temps. Étant donné que l’objectif du présent règlement ne peut pas être atteint de manière suffisante par les États membres mais peut l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre cet objectif. Le présent règlement instaure une dérogation, temporaire et strictement limitée, à l’applicabilité de l’article 5, paragraphe 1, et de l’article 6, paragraphe 1, de la directive 2002/58/CE, assortie d’une série de sauvegardes visant à garantir qu’elle n’excède pas ce qui est nécessaire à la réalisation de l’objectif fixé.

(36)

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (8) et a rendu son avis le 10 novembre 2020,

ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:

Article premier

Objet et champ d’application

1.   Le présent règlement établit des règles temporaires et strictement limitées dérogeant à certaines obligations prévues dans la directive 2002/58/CE, dans le seul but de permettre aux fournisseurs de certains services de communications interpersonnelles non fondés sur la numérotation (ci-après dénommés «fournisseurs») d’utiliser, sans préjudice du règlement (UE) 2016/679, des technologies spécifiques de traitement des données à caractère personnel et d’autres données dans la mesure strictement nécessaire pour détecter les abus sexuels commis contre des enfants en ligne sur leurs services, pour les signaler et pour retirer de leurs services le matériel relatif à des abus sexuels commis contre des enfants en ligne.

2.   Le présent règlement ne s’applique pas à l’examen des communications audio.

Article 2

Définitions

Aux fins du présent règlement, on entend par:

1)

«service de communications interpersonnelles non fondé sur la numérotation»: un service de communications interpersonnelles non fondé sur la numérotation au sens de l’article 2, point 7), de la directive (UE) 2018/1972;

2)

«matériel relatif à des abus sexuels commis contre des enfants en ligne»:

a)

la pédopornographie au sens de l’article 2, point c), de la directive 2011/93/UE;

b)

le spectacle pornographique au sens de l’article 2, point e), de la directive 2011/93/UE;

3)

«sollicitation d’enfants»: tout comportement intentionnel constitutif d’une infraction pénale au titre de l’article 6 de la directive 2011/93/UE;

4)

«abus sexuels commis contre des enfants en ligne»: le matériel relatif à des abus sexuels commis contre des enfants en ligne et la sollicitation d’enfants.

Article 3

Champ d’application de la dérogation

1.   L’article 5, paragraphe 1, et l’article 6, paragraphe 1, de la directive 2002/58/CE ne s’appliquent pas à la confidentialité des communications impliquant le traitement par les fournisseurs de données à caractère personnel et d’autres données dans le cadre de la fourniture de services de communications interpersonnelles non fondés sur la numérotation à condition que:

a)

le traitement soit:

i)

strictement nécessaire à l’utilisation de technologies spécifiques aux seules fins de détecter et de retirer le matériel relatif à des abus sexuels commis contre des enfants en ligne et de le signaler aux autorités répressives et aux organismes agissant dans l’intérêt public contre les abus sexuels commis contre des enfants, et de détecter toute sollicitation d’enfants et de la signaler aux autorités répressives ou aux organismes agissant dans l’intérêt public contre les abus sexuels commis contre des enfants;

ii)

proportionné et limité aux technologies utilisées par les fournisseurs aux fins énoncées au point i);

iii)

limité aux données de contenu et aux données relatives au trafic associées qui sont strictement nécessaires aux fins énoncées au point i);

iv)

limité à ce qui est strictement nécessaire aux fins énoncées au point i);

b)

les technologies utilisées aux fins énoncées au point a) i) du présent paragraphe soient conformes à l’état de la technique dans le secteur et soient les moins intrusives au regard de la vie privée, y compris en ce qui concerne le principe de la protection des données dès la conception et par défaut, prévu à l’article 25 du règlement (UE) 2016/679, et, dans la mesure où elles servent à l’examen du texte des communications, qu’elles ne soient pas capables de déduire la substance du contenu des communications mais soient capables uniquement de détecter des schémas indiquant d’éventuels cas d’abus sexuels commis contre des enfants en ligne;

c)

en ce qui concerne toute technologie spécifique utilisée aux fins énoncées au point a) i) du présent paragraphe, une analyse d’impact préalable relative à la protection des données visée à l’article 35 du règlement (UE) 2016/679 ait été réalisée et une procédure de consultation préalable visée à l’article 36 dudit règlement ait eu lieu;

d)

en ce qui concerne toute nouvelle technologie, c’est-à-dire une technologie servant à détecter du matériel relatif à des abus sexuels commis contre des enfants en ligne qui n’a été utilisée par aucun fournisseur dans le cadre de services fournis à des utilisateurs de communications interpersonnelles non fondés sur la numérotation (ci-après dénommés «utilisateurs») de l’Union avant le 2 août 2021, et en ce qui concerne toute technologie servant à détecter d’éventuelles sollicitations d’enfants, le fournisseur ait fait rapport à l’autorité compétente sur les mesures adoptées afin de démontrer qu’elles sont conformes à l’avis écrit fourni conformément à l’article 36, paragraphe 2, du règlement (UE) 2016/679 par l’autorité de contrôle compétente désignée en vertu du chapitre VI, section 1, dudit règlement (ci-après dénommée «autorité de contrôle») au cours de la procédure de consultation préalable;

e)

les technologies utilisées soient suffisamment fiables en ce qu’elles limitent le plus possible le taux d’erreurs en ce qui concerne la détection de contenus représentant des abus sexuels commis contre des enfants en ligne, et qu’en cas de survenance de telles erreurs occasionnelles, les conséquences de ces erreurs soient rectifiées sans tarder;

f)

les technologies utilisées pour détecter des schémas d’éventuelles sollicitations d’enfants soient limitées à l’utilisation d’indicateurs clés pertinents et de facteurs de risque déterminés objectivement, tels que la différence d’âge et la participation probable d’un enfant à la communication examinée, sans préjudice du droit à un examen humain;

g)

les fournisseurs:

i)

aient établi des procédures internes pour prévenir les utilisations abusives de données à caractère personnel et d’autres données, les accès non autorisés à de telles données et les transferts non autorisés de telles données;

ii)

garantissent un contrôle humain du traitement des données à caractère personnel et d’autres données utilisant des technologies relevant du présent règlement et, si nécessaire, une intervention humaine dans le cadre du traitement de telles données;

iii)

veillent à ce que le matériel qui n’était pas précédemment recensé comme du matériel relatif à des abus sexuels commis contre des enfants en ligne ou de la sollicitation d’enfants ne soit pas signalé aux autorités répressives ou aux organismes agissant dans l’intérêt public contre les abus sexuels commis contre des enfants sans une confirmation humaine préalable;

iv)

aient établi des procédures appropriées et des mécanismes de recours appropriés pour garantir aux utilisateurs la possibilité d’introduire une réclamation auprès d’eux dans un délai raisonnable afin de présenter leur point de vue;

v)

informent les utilisateurs d’une manière claire, bien visible et compréhensible du fait qu’ils ont invoqué, conformément au présent règlement, la dérogation à l’article 5, paragraphe 1, et à l’article 6, paragraphe 1, de la directive 2002/58/CE concernant la confidentialité des communications des utilisateurs, aux seules fins énoncées au point a) i) du présent paragraphe, de la logique derrière les mesures qu’ils ont prises au titre de la dérogation et de leur incidence sur la confidentialité des communications des utilisateurs, y compris de la possibilité que les données à caractère personnel soient partagées avec les autorités répressives et des organismes agissant dans l’intérêt public contre les abus sexuels commis contre des enfants;

vi)

informent les utilisateurs de ce qui suit, lorsque leurs contenus ont été retirés, ou que leur compte a été bloqué ou qu’un service qui leur était proposé a été suspendu:

1)

des voies de recours auprès d’eux;

2)

de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle; et

3)

du droit à un recours juridictionnel;

vii)

au plus tard 3 février 2022, et au plus tard le 31 janvier de chaque année par la suite, publient et soumettent à l’autorité de contrôle compétente et à la Commission un rapport sur le traitement des données à caractère personnel dans le cadre du présent règlement, y compris sur:

1)

le type et les volumes de données traitées;

2)

le motif spécifique invoqué pour le traitement en vertu du règlement (UE) 2016/679;

3)

le motif invoqué pour les transferts de données à caractère personnel en dehors de l’Union en vertu du chapitre V du règlement (UE) 2016/679, le cas échéant;

4)

le nombre de cas d’abus sexuels commis contre des enfants en ligne identifiés, en établissant une distinction entre le matériel relatif à des abus sexuels commis contre des enfants en ligne et la sollicitation d’enfants;

5)

le nombre de cas dans lesquels un utilisateur a introduit une réclamation au moyen du mécanisme de recours interne ou auprès d’une autorité judiciaire et l’issue de ces réclamations;

6)

le nombre et le ratio d’erreurs (faux positifs) des différentes technologies utilisées;

7)

les mesures appliquées pour limiter le taux d’erreurs et le taux d’erreurs atteint;

8)

la politique de conservation et les garanties en matière de protection des données appliquées en vertu du règlement (UE) 2016/679;

9)

le nom des organismes agissant dans l’intérêt public contre les abus sexuels commis contre des enfants avec lesquels des données ont été partagées en vertu du présent règlement;

h)

lorsqu’un cas suspecté d’abus sexuel commis contre un enfant en ligne a été identifié, les données de contenu et les données relatives au trafic y associées traitées aux fins énoncées au point a) i), ainsi que les données à caractère personnel générées par ce traitement, soient stockées de manière sécurisée, uniquement aux fins suivantes:

i)

signaler, sans tarder, les cas suspectés d’abus sexuels commis contre des enfants en ligne aux autorités répressives et judiciaires compétentes ou aux organismes agissant dans l’intérêt public contre les abus sexuels commis contre des enfants;

ii)

bloquer le compte de l’utilisateur concerné ou suspendre le service qui lui était proposé ou y mettre fin;

iii)

créer une signature numérique unique et non reconvertible («hachage») de données identifiées de manière fiable comme étant du matériel relatif à des abus sexuels commis contre des enfants en ligne;

iv)

permettre à l’utilisateur concerné de demander réparation au fournisseur ou d’exercer un recours administratif ou juridictionnel en ce qui concerne des questions liées aux cas suspectés d’abus sexuels commis contre des enfants en ligne; où

v)

répondre aux demandes émanant des autorités répressives et judiciaires compétentes conformément à la législation applicable en vue de leur fournir les données nécessaires à des fins de prévention ou de détection d’infractions pénales prévues par la directive 2011/93/UE ou d’enquêtes ou de poursuites en la matière;

i)

les données soient stockées pour une durée qui n’excède pas la durée strictement nécessaire à la finalité pertinente énoncée au point h) et, en tout état de cause, n’excède pas douze mois à compter de la date de l’identification du cas suspecté d’abus sexuels commis contre des enfants en ligne;

j)

tout cas de soupçon motivé et avéré d’abus sexuel commis contre des enfants en ligne soit signalé sans tarder aux autorités répressives nationales compétentes ou aux organismes agissant dans l’intérêt du public contre les abus sexuels commis contre des enfants.

2.   Jusqu’au 3 avril 2022, la condition prévue au paragraphe 1, point c), ne s’applique pas aux fournisseurs qui:

a)

utilisaient une technologie spécifique avant le 2 août 2021 aux fins énoncées au paragraphe 1, point a) i), sans avoir achevé une procédure de consultation préalable en ce qui concerne ladite technologie;

b)

lancent une procédure de consultation avant le 3 septembre 2021; et

c)

coopèrent comme il se doit avec l’autorité de contrôle compétente dans le cadre de la procédure de consultation préalable visée au point b).

3.   Jusqu’au 3 avril 2022, la condition prévue au paragraphe 1, point d), ne s’applique pas aux fournisseurs qui:

a)

utilisaient une technologie visée au paragraphe 1, point d), avant le 2 août 2021 sans avoir achevé une procédure de consultation préalable en ce qui concerne ladite technologie;

b)

lancent une procédure visée au paragraphe 1, point d), avant le 3 septembre 2021; et

c)

coopèrent comme il se doit avec l’autorité de contrôle compétente dans le cadre de la procédure visée au paragraphe 1, point d).

Article 4

Lignes directrices du comité européen de la protection des données

Au plus tard le 3 septembre 2021 et conformément à l’article 70 du règlement (UE) 2016/679, la Commission demande au comité européen de la protection des données de publier des lignes directrices afin d’aider les autorités de contrôle à évaluer si le traitement relevant du champ d’application du présent règlement, en ce qui concerne les technologies existantes et nouvelles utilisées aux fins énoncées à l’article 3, paragraphe 1, point a) i), du présent règlement, respecte le règlement (UE) 2016/679.

Article 5

Recours juridictionnels effectifs

Conformément à l’article 79 du règlement (UE) 2016/679 et à l’article 15, paragraphe 2, de la directive 2002/58/CE, les utilisateurs ont droit à un recours juridictionnel effectif lorsqu’ils estiment que leurs droits ont été violés en raison du traitement de données à caractère personnel et d’autres données aux fins énoncées à l’article 3, paragraphe 1, point a) i), du présent règlement.

Article 6

Autorités de contrôle

Les autorités de contrôle désignées en vertu du chapitre VI, section 1, du règlement (UE) 2016/679 contrôlent le traitement relevant du champ d’application du présent règlement conformément à leurs compétences et pouvoirs prévus dans ledit chapitre.

Article 7

Liste publique des organismes agissant dans l’intérêt public contre les abus sexuels commis contre des enfants

1.   Au plus tard le 3 septembre 2021, les fournisseurs communiquent à la Commission la liste des noms des organismes agissant dans l’intérêt public contre les abus sexuels commis contre des enfants auxquels ils signalent les abus sexuels commis contre des enfants en ligne au titre du présent règlement. Les fournisseurs communiquent régulièrement à la Commission toute modification apportée à cette liste.

2.   Au plus tard le 3 octobre 2021, la Commission rend publique la liste des noms des organismes agissant dans l’intérêt public contre les abus sexuels commis contre des enfants qui lui a été communiquée au titre du paragraphe 1. La Commission tient cette liste publique à jour.

Article 8

Statistiques

1.   Au plus tard le 3 août 2022, puis sur une base annuelle, les États membres mettent à la disposition du public et présentent à la Commission des rapports comprenant des statistiques sur ce qui suit:

a)

le nombre total de signalements d’abus sexuels commis contre des enfants en ligne qui ont été transmis aux autorités répressives nationales compétentes par les fournisseurs et par des organismes agissant dans l’intérêt public contre les abus sexuels commis contre des enfants, en établissant une distinction, lorsque ces informations sont disponibles, entre le nombre absolu de cas et les cas signalés à plusieurs reprises et en précisant le type de fournisseur sur les services duquel des abus sexuels commis contre des enfants en ligne ont été détectés;

b)

le nombre d’enfants identifiés grâce aux mesures prises en vertu de l’article 3, ventilé par sexe;

c)

le nombre d’auteurs condamnés.

2.   La Commission rassemble les statistiques visées au paragraphe 1 du présent article, et en tient compte lors de l’élaboration du rapport de mise en œuvre prévu à l’article 9.

Article 9

Rapport de mise en œuvre

1.   Sur la base des rapports soumis en vertu de l’article 3, paragraphe 1, point g) vii), et des statistiques fournies en vertu de l’article 8, la Commission élabore, au plus tard le 3 août 2023, un rapport relatif à la mise en œuvre du présent règlement et le soumet et le présente au Parlement européen et au Conseil.

2.   Dans ce rapport de mise en œuvre, la Commission examine en particulier:

a)

les conditions relatives au traitement des données à caractère personnel et autres données énoncées à l’article 3, paragraphe 1, point a) ii), et points b), c) et d);

b)

la proportionnalité de la dérogation prévue dans le présent règlement, y compris une analyse des statistiques fournies par les États membres en vertu de l’article 8;

c)

l’évolution des progrès technologiques relatifs aux activités couvertes par le présent règlement et la mesure dans laquelle cette évolution améliore la précision et diminue le nombre et le ratio d’erreurs (faux positifs).

Article 10

Entrée en vigueur et application

Le présent règlement entre en vigueur le troisième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Il s’applique jusqu’au 3 août 2024.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Bruxelles, le 14 juillet 2021.

Par le Parlement européen

Le président

D. M. SASSOLI

Par le Conseil

Le president

A. LOGAR


(1)  JO C 10 du 11.1.2021, p. 63.

(2)  Position du Parlement européen du 6 juillet 2021 (non encore parue au Journal officiel) et décision du Conseil du 12 juillet 2021.

(3)  Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37).

(4)  Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

(5)  Directive 2002/21/CE du Parlement européen et du Conseil du 7 mars 2002 relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques (directive «cadre») (JO L 108 du 24.4.2002, p. 33).

(6)  Directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen (JO L 321 du 17.12.2018, p. 36).

(7)  Directive 2011/93/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l’exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil (JO L 335 du 17.12.2011, p. 1).

(8)  Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).


Top