(1)

Les services basés sur un réseau peuvent être fournis à partir de n’importe quel endroit et ne nécessitent pas d’infrastructure physique, de locaux ou de personnel dans le pays où le service en question est proposé, ni dans le marché intérieur. Par conséquent, il peut être difficile d’appliquer et de faire respecter les obligations imposées par le droit national et le droit de l’Union aux fournisseurs de services concernés, notamment l’obligation de se conformer à une injonction ou à une décision émanant d’une autorité judiciaire. C’est le cas notamment en droit pénal, domaine dans lequel les autorités des États membres rencontrent des difficultés pour notifier ou signifier, faire respecter et exécuter leurs décisions, en particulier lorsque les services concernés sont fournis depuis un lieu situé à l’extérieur de leur territoire. Dans ce contexte, les États membres ont pris des mesures en sens divers pour appliquer et faire respecter plus efficacement leur législation. Parmi celles-ci figurent des mesures permettant de s’adresser aux fournisseurs de services en vue d’obtenir des preuves électroniques qui sont pertinentes dans le cadre des procédures pénales. À cette fin, certains États membres ont adopté, ou envisagent d’adopter, une législation rendant obligatoire la représentation légale sur leur propre territoire d’un certain nombre de fournisseurs qui proposent des services sur ledit territoire. Ces obligations créent des obstacles à la libre prestation des services dans le marché intérieur.

(2)

Il existe un risque que, en l’absence d’une approche à l’échelle de l’Union, d’autres États membres tentent de surmonter les lacunes existantes en ce qui concerne la collecte des preuves électroniques dans les procédures pénales en imposant des obligations nationales disparates. Des obligations nationales aussi disparates créeraient de nouveaux obstacles à la libre prestation des services dans le marché intérieur.

(3)

L’absence d’approche à l’échelle de l’Union entraîne une insécurité juridique qui touche à la fois les fournisseurs de services et les autorités nationales. Des obligations disparates et potentiellement incompatibles s’appliquent aux fournisseurs de services établis, ou proposant leurs services, dans plusieurs États membres, ce qui a pour conséquence que ces fournisseurs de services font l’objet de sanctions différentes en cas de manquement. Il est probable que ces divergences dans le cadre des procédures pénales s’accentueront encore en raison de l’importance croissante que revêtent les services de communication et de la société de l’information dans notre quotidien et dans nos sociétés. Ces divergences constituent non seulement un obstacle au bon fonctionnement du marché intérieur, mais engendrent aussi des difficultés dans la mise en place et le bon fonctionnement de l’espace de liberté, de sécurité et de justice de l’Union.

(4)

Pour éviter des divergences dans le cadre juridique et faire en sorte que les entreprises opérant dans le marché intérieur soient soumises à des obligations identiques ou similaires, l’Union a adopté un certain nombre d’actes juridiques dans des domaines connexes tels que la protection des données, à savoir le règlement (UE) 2016/679 du Parlement européen et du Conseil (3) et la directive 2002/58/CE du Parlement européen et du Conseil (4). Afin d’améliorer le niveau de protection des personnes concernées, le règlement (UE) 2016/679 prévoit la désignation d’un représentant légal dans l’Union par les responsables du traitement ou les sous-traitants qui ne sont pas établis dans l’Union mais qui proposent des biens ou des services aux personnes concernées se trouvant dans l’Union ou qui suivent le comportement des personnes concernées, dans la mesure où ce comportement a lieu au sein de l’Union, à moins que le traitement des données soit occasionnel, n’implique pas un traitement, à grande échelle, de catégories particulières de données à caractère personnel ou le traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions, et ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement, ou si le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public.

(5)

La mise en place de règles harmonisées relatives à la désignation d’établissements désignés et de représentants légaux de certains fournisseurs de services dans l’Union en vue d’assurer la réception, le respect et l’exécution des décisions et injonctions émises par les autorités compétentes des États membres à des fins d’obtention de preuves électroniques dans le cadre de procédures pénales devrait permettre de lever les obstacles existants à la libre prestation des services et d’éviter que des approches nationales divergentes en la matière ne soient imposées à l’avenir. Il y a donc lieu de mettre en place des conditions de concurrence équitables pour les fournisseurs de services. Selon que les fournisseurs de services sont ou non établis dans l’Union, les États membres devraient veiller à ce que les fournisseurs de services désignent un établissement désigné ou un représentant légal. Ces règles harmonisées concernant la désignation d’établissements désignés et de représentants légaux ne devraient pas porter atteinte aux obligations qui incombent aux fournisseurs de services en vertu d’autres législations de l’Union. En outre, il convient de faciliter une application plus efficace du droit pénal au sein l’espace de liberté, de sécurité et de justice de l’Union.

(6)

Les établissements désignés et les représentants légaux prévus par la présente directive devraient être les destinataires des décisions et des injonctions aux fins de l’obtention de preuves électroniques sur la base du règlement (UE) 2023/1543 du Parlement européen et du Conseil (5), de la directive 2014/41/UE du Parlement européen et du Conseil (6) et de la convention établie par le Conseil conformément à l’article 34 du traité sur l’Union européenne (7), relative à l’entraide judiciaire en matière pénale entre les États membres de l’Union européenne, y compris lorsque ces décisions et injonctions sont transmises sous la forme d’un certificat.

Le recours à l’établissement désigné ou au représentant légal devrait être conforme aux procédures prévues dans les instruments et la législation applicables à la procédure judiciaire, y compris lorsque ces instruments permettent la signification ou la notification directe d’injonctions dans des situations transfrontières à l’établissement désigné ou au représentant légal du fournisseur de services, ou lorsqu’ils reposent sur la coopération entre les autorités judiciaires compétentes. Les autorités compétentes de l’État membre dans lequel l’établissement désigné est établi ou dans lequel le représentant légal réside devraient agir conformément au rôle qui leur est assigné dans l’instrument dans lequel leur intervention est prévue. Les États membres devraient également être en mesure d’adresser des décisions et des injonctions visant à obtenir des preuves électroniques en vertu du droit national à une personne physique ou morale agissant en qualité de représentant légal ou d’établissement désigné d’un fournisseur de services sur leur territoire.

(7)

Il convient que les États membres veillent à ce que les fournisseurs de services qui proposent des services dans l’Union au 18 février 2026 aient l’obligation de désigner au moins un établissement désigné ou au moins un représentant légal au plus tard le 18 août 2026 et que les fournisseurs de services qui commencent à proposer des services dans l’Union après cette date aient l’obligation de désigner au moins un établissement désigné ou au moins un représentant légal dans un délai de six mois à partir de la date à laquelle ils commencent à proposer des services dans l’Union. Sans préjudice des garanties en matière de protection des données, cet établissement désigné ou ce représentant légal pourrait se partager entre plusieurs fournisseurs de services, en particulier des fournisseurs de services qui sont des petites ou moyennes entreprises.

(8)

L’obligation de désigner un établissement désigné ou un représentant légal devrait s’appliquer aux fournisseurs de services qui proposent des services dans l’Union, c’est-à-dire dans un ou plusieurs États membres. Les situations dans lesquelles un fournisseur de services est établi sur le territoire d’un État membre et propose ses services exclusivement sur le territoire dudit État membre ne devraient pas relever de la présente directive.

(9)

Aux fins de l’obtention de preuves électroniques dans le cadre de procédures pénales, les États membres devraient toujours pouvoir s’adresser aux fournisseurs de services établis sur leur territoire, pour des situations purement nationales, conformément au droit de l’Union et à leur droit national respectif. Nonobstant les possibilités actuellement prévues dans le droit national permettant aux États membres de s’adresser à des fournisseurs de services sur leur propre territoire, les États membres ne devraient pas contourner les principes sous-tendant la présente directive ou le règlement (UE) 2023/1543.

(10)

Pour déterminer si un fournisseur de services propose des services dans l’Union, il est nécessaire d’évaluer si le fournisseur de services permet à des personnes physiques ou morales dans un ou plusieurs États membres d’utiliser ses services. Toutefois, la seule accessibilité d’une interface en ligne dans l’Union, comme par exemple l’accessibilité d’un site internet, d’une adresse électronique ou d’autres coordonnées de contact d’un fournisseur de services ou d’un intermédiaire, prise isolément, devrait être considérée comme insuffisante pour déterminer si un fournisseur de services propose des services dans l’Union au sens de la présente directive.

(11)

Pour déterminer si un fournisseur de services propose des services dans l’Union, il faut non seulement évaluer si le fournisseur de services permet à des personnes physiques ou morales dans un ou plusieurs États membres d’utiliser ses services, mais aussi déterminer s’il existe un lien substantiel avec l’Union. Un tel lien substantiel avec l’Union devrait être considéré exister lorsque le fournisseur de services dispose d’un établissement dans l’Union. En l’absence d’un tel établissement, le critère de lien substantiel devrait être basé sur des critères factuels spécifiques, tels que l’existence d’un nombre significatif d’utilisateurs dans un ou plusieurs États membres, ou le ciblage des activités sur un ou plusieurs États membres. Le ciblage des activités sur un ou plusieurs États membres devrait être déterminé sur la base de toutes les circonstances pertinentes, et notamment de facteurs comme l’utilisation d’une langue ou d’une monnaie généralement utilisées dans cet État membre, ou la possibilité de commander des biens ou des services.

Le ciblage des activités sur un État membre pourrait également être constaté sur la base de la disponibilité d’une application ("appli") dans la boutique d’applications nationale correspondante, de la diffusion de publicité locale ou de publicité dans la langue généralement utilisée dans cet État membre ou de la gestion des relations avec la clientèle, comme, par exemple, la fourniture d’un service à la clientèle dans la langue généralement utilisée dans cet État membre. Un lien substantiel devrait également être considéré exister lorsqu’un fournisseur de services dirige ses activités vers un ou plusieurs États membres comme le mentionne le règlement (UE) no 1215/2012 du Parlement européen et du Conseil (8). En revanche, la fourniture d’un service dans le simple but de se conformer à l’interdiction de discrimination prévue par le règlement (UE) 2018/302 du Parlement européen et du Conseil (9) ne devrait pas, en l’absence d’autres motifs, être considérée comme constitutive d’activités dirigées ou ciblées sur un territoire donné au sein de l’Union. Les mêmes considérations devraient s’appliquer pour déterminer si un fournisseur de services propose des services sur le territoire d’un État membre donné.

(12)

Différents instruments relevant du champ d’application du titre V, chapitre 4, du traité sur le fonctionnement de l’Union européenne s’appliquent à la coopération entre États membres lors de l’obtention de preuves dans le cadre de procédures pénales. Du fait de la géométrie variable qui existe dans l’espace de liberté, de sécurité et de justice de l’Union, il est nécessaire de garantir que la présente directive ne favorise pas la création de nouvelles disparités ou d’obstacles supplémentaires à la fourniture de services au sein du marché intérieur en permettant aux fournisseurs de services proposant des services sur le territoire d’États membres de désigner des établissements désignés ou des représentants légaux au sein des États membres qui ne participent pas aux instruments juridiques concernés. En conséquence, au moins un établissement désigné ou un représentant légal devrait être désigné dans un État membre qui participe aux instruments juridiques de l’Union concernés, afin d’éviter le risque que l’efficacité de la désignation prévue par la présente directive ne soit affaiblie et afin qu’il soit tiré parti des synergies résultant de l’existence d’un établissement désigné ou d’un représentant légal aux fins de la réception, du respect et de l’exécution des décisions et des injonctions relevant du champ d’application de la présente directive, y compris dans le cadre du règlement (UE) 2023/1543, de la directive 2014/41/UE et de la convention établie par le Conseil conformément à l’article 34 du traité sur l’Union européenne, relative à l’entraide judiciaire en matière pénale entre les États membres de l’Union européenne. En outre, la désignation d’un établissement désigné ou d’un représentant légal, qui pourrait aussi servir à garantir le respect d’obligations légales nationales, permettrait de tirer parti des synergies résultant de l’existence d’un point d’accès clairement défini permettant de s’adresser aux fournisseurs de services à des fins d’obtention de preuves dans le cadre des procédures pénales.

(13)

Il convient que les fournisseurs de services soient libres de choisir l’État membre dans lequel ils désignent leur établissement désigné ou, le cas échéant, leur représentant légal, et que les États membres ne puissent restreindre cette liberté de choix, par exemple en imposant l’obligation de désigner l’établissement désigné ou le représentant légal sur leur propre territoire. Toutefois, la présente directive devrait également prévoir certaines restrictions à la liberté de choix des fournisseurs de services, notamment concernant le fait que l’établissement désigné devrait être établi ou, le cas échéant, le représentant légal devrait résider dans un État membre dans lequel le fournisseur de services fournit des services ou est établi, ainsi que prévoir une obligation de désigner un établissement désigné ou un représentant légal dans l’un des États membres participant à un instrument juridique visé dans la présente directive. Le seul fait de désigner un représentant légal ne devrait pas être considéré comme constituant un établissement du fournisseur de services.

(14)

Les fournisseurs de services présentant le plus d’intérêt pour l’obtention de preuves dans le cadre des procédures pénales sont les fournisseurs de services de communications électroniques et certains fournisseurs de services de la société de l’information qui facilitent les interactions entre les utilisateurs. Dès lors, ces deux groupes devraient être couverts par la présente directive. Les services de communications électroniques sont définis dans la directive (UE) 2018/1972 du Parlement européen et du Conseil (10) et comprennent les services de communications interpersonnelles tels que la voix par le protocole de l’internet (IP), la messagerie instantanée et les services de courrier électronique. La présente directive devrait aussi s’appliquer aux fournisseurs de services de la société de l’information, au sens de la directive (UE) 2015/1535 du Parlement européen et du Conseil (11), qui ne sont pas considérés comme des fournisseurs de services de communications électroniques, mais qui offrent à leurs utilisateurs la possibilité de communiquer les uns avec les autres ou qui proposent à leurs utilisateurs des services qui peuvent être utilisés pour stocker ou traiter d’une autre manière des données pour leur compte. Cette approche serait conforme aux termes utilisés dans la convention sur la cybercriminalité du Conseil de l’Europe (STE no 185), signée à Budapest le 23 novembre 2001, également appelée convention de Budapest. Le traitement des données devrait être compris au sens technique de création ou manipulation de données, c’est-à-dire des opérations techniques destinées à produire ou modifier des données en faisant appel à la puissance de traitement des ordinateurs.

Les catégories de fournisseurs de services relevant du champ d’application de la présente directive devraient comprendre, par exemple, les places de marché en ligne offrant aux consommateurs et aux entreprises la possibilité de communiquer les uns avec les autres, et les autres services d’hébergement, notamment lorsque le service est fourni par l’intermédiaire de l’informatique en nuage, ainsi que les plateformes de jeux en ligne et les plateformes de jeux d’argent et de hasard en ligne. Lorsqu’un fournisseur de services de la société de l’information n’offre pas à ses utilisateurs la possibilité de communiquer les uns avec les autres, mais uniquement la possibilité de communiquer avec le fournisseur de services, ou n’offre pas la possibilité de stocker ou de traiter d’une autre manière des données ou lorsque le stockage des données ne constitue pas une composante déterminante, c’est-à-dire une partie essentielle, du service fourni aux utilisateurs, tels que les services juridiques ou les services d’architecture, d’ingénierie et de comptabilité fournis à distance en ligne, ce fournisseur ne devrait pas entrer dans le champ de la définition de "fournisseur de services" prévue par la présente directive, et ce même si les services qu’il fournit sont des services de la société de l’information au sens de la directive (UE) 2015/1535.

(15)

Les fournisseurs de services d’infrastructure internet liés à l’attribution de noms et de numéros, tels que les registres et les bureaux d’enregistrement de noms de domaine et les fournisseurs de services d’anonymisation et d’enregistrement fiduciaire, ou les registres internet régionaux pour les adresses de protocole de l’internet (IP), présentent un intérêt particulier lorsqu’il s’agit d’identifier des acteurs cachés derrière des sites internet malveillants ou compromis. Ils détiennent des données qui pourraient permettre l’identification d’une personne ou d’une entité cachée derrière un site internet utilisé dans une activité criminelle, ou de la victime d’une activité criminelle.

(16)

Il convient que les États membres veillent à ce que les fournisseurs de services établis sur leur territoire ou proposant des services sur leur territoire dotent leurs établissements désignés et leurs représentants légaux des pouvoirs et des ressources nécessaires pour se conformer aux décisions et injonctions relevant du champ d’application de la présente directive, reçues d’un État membre. Il y a lieu que les États membres vérifient également que les établissements désignés ou les représentants légaux qui résident sur leur territoire ont reçu de la part des fournisseurs de services les pouvoirs et les ressources nécessaires pour se conformer aux décisions et injonctions relevant du champ d’application de la présente directive reçues de tout État membre et qu’ils coopèrent avec les autorités compétentes lorsqu’ils reçoivent ces décisions et injonctions, conformément au cadre légal applicable. L’absence de telles mesures ou les lacunes dans ces mesures ne devraient pas servir de motifs pour justifier le non-respect de décisions ou d’injonctions relevant du champ d’application de la présente directive.

En outre, les fournisseurs de services ne devraient pas pouvoir justifier leur non-respect d’obligations découlant du cadre légal applicable lors de la réception de décisions ou d’injonctions relevant du champ d’application de la présente directive en invoquant l’absence de procédures internes ou l’inefficacité des procédures internes, puisqu’il leur incombe de fournir les ressources et les pouvoirs nécessaires pour garantir le respect desdites décisions et injonctions. Les établissements désignés ou les représentants légaux ne devraient pas non plus pouvoir justifier ce non-respect de leurs obligations en faisant valoir, par exemple, qu’ils ne sont pas habilités à fournir des données. À cette fin, les États membres devraient veiller à ce que tant l’établissement désigné ou le représentant légal que le fournisseur de services puissent être considérés comme solidairement responsables en cas de non-respect d’obligations découlant du cadre légal applicable lors de la réception de décisions et d’injonctions relevant du champ d’application de la présente directive, de sorte que chacun d’entre eux puisse être sanctionné en cas de manquement de l’un d’entre eux. En particulier, le fournisseur de services ou l’établissement désigné, ou le représentant légal le cas échéant, ne devrait pas pouvoir invoquer l’absence de procédures internes appropriées entre le fournisseur de services et l’établissement désigné ou le représentant légal pour justifier le non-respect de ces obligations. La responsabilité solidaire ne devrait pas s’appliquer aux actions ou omissions du fournisseur de services ou de l’établissement désigné, ou du représentant légal le cas échéant, qui constituent une infraction pénale dans l’État membre appliquant les sanctions.

(17)

Les États membres devraient veiller à ce que chaque fournisseur de services établi sur leur territoire ou proposant des services sur leur territoire notifie par écrit à l’autorité centrale de l’État membre dans lequel est établi son établissement désigné ou dans lequel réside son représentant légal, désignée en vertu de la présente directive, les coordonnées de contact de cet établissement désigné ou de ce représentant légal, ainsi que toute modification de celles-ci. Il convient également que cette notification comporte des informations sur les langues dans lesquelles il est possible de s’adresser à l’établissement désigné ou au représentant légal, lesquelles devraient inclure une ou plusieurs des langues officielles prévues par le droit national de l’État membre dans lequel est établi l’établissement désigné ou dans lequel réside le représentant légal, mais peuvent aussi inclure d’autres langues officielles de l’Union, comme la langue de l’État membre dans lequel est situé le siège social. Lorsqu’un fournisseur de services désigne plusieurs établissements désignés ou plusieurs représentants légaux conformément à la présente directive, les États membres devraient veiller à ce que ce fournisseur de services indique, pour chaque établissement désigné ou représentant légal, la portée territoriale précise de sa désignation. Le territoire de tous les États membres participant aux instruments relevant du champ d’application de la présente directive devrait être couvert. Les États membres devraient veiller à ce que leurs autorités compétentes respectives adressent toutes leurs décisions et injonctions en vertu de la présente directive à l’établissement désigné ou au représentant légal du fournisseur de services indiqué. Les États membres devraient veiller à ce que les informations qui leur sont notifiées conformément à la présente directive soient mises à la disposition du public sur une page internet spécifique du Réseau judiciaire européen en matière pénale afin de faciliter la coordination entre États membres et de rendre plus aisé le recours à l’établissement désigné ou au représentant légal par les autorités d’un autre État membre. Les États membres devraient veiller à ce que ces informations soient régulièrement mises à jour. Il devrait également être possible de diffuser davantage les informations afin de faciliter l’accès des autorités compétentes à ces informations, par exemple par la voie de sites intranet ou de forums et plateformes spécifiques.

(18)

Les États membres devraient déterminer le régime des sanctions applicables aux violations des dispositions nationales adoptées conformément à la présente directive et devraient prendre toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions. Les sanctions prévues devraient être effectives, proportionnées et dissuasives. Les États membres devraient informer la Commission, au plus tard à la date fixée dans la présente directive, du régime ainsi déterminé et des mesures ainsi prises, de même que, sans retard, de toute modification apportée ultérieurement à ce régime ou à ces mesures. En outre, les États membres devraient informer chaque année la Commission des cas de fournisseurs de services défaillants, des mesures d’exécution prises à leur encontre et des sanctions imposées. Ces sanctions ne devraient en aucun cas conduire à une interdiction de la prestation de services, que ce soit à titre permanent ou à titre temporaire. Les États membres devraient coordonner leurs mesures d’exécution lorsqu’un fournisseur de services propose des services dans plusieurs États membres. Les autorités centrales devraient se coordonner pour garantir une approche cohérente et proportionnée. La Commission devrait faciliter cette coordination si nécessaire, et devrait, en tout état de cause, être informée des cas d’infraction. La présente directive ne régit pas les dispositions conventionnelles concernant le transfert ou l’imputation, entre les fournisseurs de services, les établissements désignés et les représentants légaux, des conséquences financières des sanctions qui leur sont imposées.

(19)

Lorsqu’elles déterminent les sanctions appropriées applicables en cas d’infractions par les fournisseurs de services, les autorités compétentes devraient tenir compte de l’ensemble des circonstances pertinentes, telles que la capacité financière du fournisseur de services, la nature, la gravité et la durée de l’infraction, le fait que l’infraction ait été commise intentionnellement ou par négligence et le fait que le fournisseur de services ait déjà été tenu responsable ou non d’infractions similaires. À cet égard, une attention particulière devrait être accordée aux microentreprises.

(20)

La présente directive est sans préjudice des pouvoirs des autorités nationales dans les procédures civiles et administratives, y compris lorsque celles-ci peuvent entraîner des sanctions.

(21)

Afin de garantir une application cohérente de la présente directive, il convient de mettre en place des mécanismes supplémentaires de coordination entre États membres. À cet effet, les États membres devraient désigner une ou plusieurs autorités centrales qui soient en mesure de transmettre des informations et de prêter une assistance aux autorités centrales des autres États membres pour l’application de la présente directive, notamment lorsqu’il est envisagé de prendre des mesures d’exécution en vertu de celle-ci. Ce mécanisme de coordination devrait permettre d’informer les États membres concernés de l’intention d’un État membre de prendre une mesure d’exécution. En outre, les États membres devraient faire en sorte que les autorités centrales puissent se transmettre toute information pertinente et se prêter assistance en pareil cas, et coopérer entre elles si nécessaire. La coopération entre autorités centrales dans le cas d’une mesure d’exécution pourrait rendre nécessaire la coordination d’une telle mesure entre les autorités compétentes de différents États membres. Cette coopération devrait viser à éviter les conflits de compétence positifs ou négatifs. Aux fins de la coordination d’une mesure d’exécution, les autorités centrales devraient également associer la Commission au dossier si nécessaire. L’obligation de coopérer incombant à ces autorités ne devrait pas porter atteinte au droit de chaque État membre d’imposer des sanctions aux fournisseurs de services qui ne respectent pas les obligations qui leur incombent en application de la présente directive. La désignation des autorités centrales et la publication des informations les concernant permettraient aux fournisseurs de services de notifier plus aisément la désignation et les coordonnées de contact de leur établissement désigné ou de leur représentant légal à l’État membre dans lequel leur établissement désigné est établi ou leur représentant légal réside. À cette fin, les États membres devraient informer la Commission de la désignation de leur(s) autorité(s) centrale(s), et la Commission devrait transmettre aux États membres une liste des autorités centrales désignées et la rendre publique.

(22)

Étant donné que l’objectif de la présente directive, à savoir la levée des obstacles à la libre prestation des services dans le cadre de l’obtention de preuves électroniques dans les procédures pénales, ne peut pas être atteint de manière suffisante par les États membres mais peut, en raison de la nature sans frontière des services en question, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité énoncé audit article, la présente directive n’excède pas ce qui est nécessaire pour atteindre cet objectif.

(23)

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (12) et a rendu un avis le 6 novembre 2019 (13).

(24)

La Commission devrait procéder à une évaluation de la présente directive fondée sur les cinq critères d’efficience, d’efficacité, de pertinence, de cohérence et de valeur ajoutée de l’UE, et cette évaluation devrait servir de base aux analyses d’impact d’éventuelles mesures supplémentaires. Il y a lieu de réaliser cette évaluation au plus tard le 18 août 2029 pour permettre de recueillir suffisamment de données sur sa mise en œuvre pratique. Des informations devraient être recueillies de manière régulière dans le but d’alimenter l’évaluation de la présente directive,