EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32023D0436
Council Decision (EU) 2023/436 of 14 February 2023 authorising Member States to ratify, in the interest of the European Union, the Second Additional Protocol to the Convention on Cybercrime on enhanced cooperation and disclosure of electronic evidence
Décision (UE) 2023/436 du Conseil du 14 février 2023 autorisant les États membres à ratifier, dans l’intérêt de l’Union européenne, le deuxième protocole additionnel à la convention sur la cybercriminalité relatif au renforcement de la coopération et de la divulgation de preuves électroniques
Décision (UE) 2023/436 du Conseil du 14 février 2023 autorisant les États membres à ratifier, dans l’intérêt de l’Union européenne, le deuxième protocole additionnel à la convention sur la cybercriminalité relatif au renforcement de la coopération et de la divulgation de preuves électroniques
ST/6438/2022/INIT
JO L 63 du 28.2.2023, p. 48–53
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
ELI: http://data.europa.eu/eli/dec/2023/436/oj
|
28.2.2023 |
FR |
Journal officiel de l’Union européenne |
L 63/48 |
DÉCISION (UE) 2023/436 DU CONSEIL
du 14 février 2023
autorisant les États membres à ratifier, dans l’intérêt de l’Union européenne, le deuxième protocole additionnel à la convention sur la cybercriminalité relatif au renforcement de la coopération et de la divulgation de preuves électroniques
LE CONSEIL DE L’UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16 et son article 82, paragraphe 1, en liaison avec l’article 218, paragraphe 6,
vu la proposition de la Commission européenne,
vu l’approbation du Parlement européen (1),
considérant ce qui suit:
|
(1) |
Le 6 juin 2019, le Conseil a autorisé la Commission à participer, au nom de l’Union, aux négociations relatives au deuxième protocole additionnel à la convention du Conseil de l’Europe sur la cybercriminalité (STCE no 185) (ci-après dénommée «convention sur la cybercriminalité»). |
|
(2) |
Le deuxième protocole additionnel à la convention sur la cybercriminalité relatif au renforcement de la coopération et de la divulgation de preuves électroniques (ci-après dénommé «protocole») a été adopté par le Comité des ministres du Conseil de l’Europe le 17 novembre 2021 et devrait être ouvert à la signature le 12 mai 2022. |
|
(3) |
Les dispositions du protocole relèvent d’un domaine couvert dans une large mesure par des règles communes au sens de l’article 3, paragraphe 2, du traité sur le fonctionnement de l’Union européenne (TFUE), y compris par des instruments facilitant la coopération judiciaire en matière pénale, garantissant des normes minimales pour les droits procéduraux, et prévoyant des garanties en matière de protection des données et de la vie privée. |
|
(4) |
La Commission a également présenté une proposition de règlement relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale, ainsi qu’une proposition de directive établissant des règles harmonisées concernant la désignation de représentants légaux aux fins de la collecte de preuves en matière pénale, qui instaurent des injonctions européennes transfrontières contraignantes de production et de conservation devant être adressées directement à un représentant d’un fournisseur de services dans un autre État membre. |
|
(5) |
En participant aux négociations sur le protocole, la Commission a veillé à sa compatibilité avec les règles communes pertinentes de l’Union. |
|
(6) |
Un certain nombre de réserves, déclarations, notifications et communications relatives au protocole sont nécessaires pour garantir la compatibilité du protocole avec le droit et les politiques de l’Union. D’autres sont pertinentes pour assurer l’application uniforme du protocole par les États membres de l’Union qui sont parties au protocole (ci-après dénommés «États membres parties au protocole») dans leurs relations avec les pays tiers qui sont parties au protocole (ci-après dénommés «pays tiers parties au protocole»), ainsi que l’application effective du protocole. |
|
(7) |
Les réserves, déclarations, notifications et communications sur lesquelles des orientations sont données aux États membres dans l’annexe de la présente décision, sont sans préjudice de toute autre réserve ou déclaration qu’ils pourraient souhaiter faire individuellement lorsque le protocole le permet. |
|
(8) |
Les États membres qui n’ont pas formulé de réserves, déclarations, notifications et communications conformément à l’annexe de la présente décision au moment de la signature devraient le faire au moment du dépôt de leur instrument de ratification, d’acceptation ou d’approbation du protocole. |
|
(9) |
À la suite de la ratification, de l’acceptation ou de l’approbation du protocole, les États membres devraient, par ailleurs, respecter les indications qui figurent à l’annexe de la présente décision. |
|
(10) |
Le protocole prévoit des procédures rapides qui améliorent l’accès transfrontière à des preuves électroniques et un niveau élevé de garanties. Par conséquent, son entrée en vigueur contribuera à la lutte contre la cybercriminalité et d’autres formes de criminalité au niveau mondial en facilitant la coopération entre les États membres parties au protocole et les pays tiers parties au protocole, permettra d’assurer un niveau élevé de protection des personnes et résoudra les conflits de lois. |
|
(11) |
Le protocole prévoit des garanties appropriées conformes aux exigences applicables aux transferts internationaux de données à caractère personnel au titre du règlement (UE) 2016/679 du Parlement européen et du Conseil (2) et de la directive (UE) 2016/680 du Parlement européen et du Conseil (3). Par conséquent, son entrée en vigueur contribuera à promouvoir les normes de l’Union en matière de protection des données au niveau mondial, facilitera les flux de données entre les États membres parties au protocole et les pays tiers parties au protocole et garantira le respect, par les États membres parties au protocole, des obligations qui leur incombent en application des règles de l’Union relatives à la protection des données. |
|
(12) |
L’entrée en vigueur rapide du protocole consolidera le rôle de la convention sur la cybercriminalité en tant que principal cadre multilatéral de lutte contre la cybercriminalité. |
|
(13) |
L’Union ne peut pas ratifier le protocole, car seuls les États peuvent être parties à celui-ci. |
|
(14) |
Il convient donc d’autoriser les États membres, agissant conjointement dans l’intérêt de l’Union, à ratifier le protocole. |
|
(15) |
Le Contrôleur européen de la protection des données a été consulté conformément au règlement (UE) 2018/1725 du Parlement européen et du Conseil (4) et a rendu un avis le 21 janvier 2022. |
|
(16) |
Conformément aux articles 1er et 2 du protocole no 21 sur la position du Royaume-Uni et de l’Irlande à l’égard de l’espace de liberté, de sécurité et de justice, annexé au traité sur l’Union européenne (TUE) et au TFUE, et sans préjudice de l’article 4 dudit protocole, l’Irlande ne participe pas à l’adoption de la présente décision et n’est pas liée par celle-ci ni soumise à son application. |
|
(17) |
Conformément aux articles 1er et 2 du protocole no 22 sur la position du Danemark annexé au TUE et au TFUE, le Danemark ne participe pas à l’adoption de la présente décision et n’est pas lié par celle-ci ni soumis à son application. |
|
(18) |
Les versions faisant foi du protocole sont les versions anglaise et française du texte, adoptées par le Comité des ministres du Conseil de l’Europe le 17 novembre 2021, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
Les États membres sont autorisés à ratifier, dans l’intérêt de l’Union, le deuxième protocole additionnel à la convention sur la cybercriminalité relatif au renforcement de la coopération et de la divulgation de preuves électroniques (ci-après dénommé «protocole») (5).
Article 2
1. Lorsqu’ils ratifient le protocole, les États membres qui n’ont pas, au moment de la signature du protocole, formulé des réserves, déclarations, notifications ou communications conformément aux sections 1 à 3 de l’annexe de la présente décision, le font au moment du dépôt de leur instrument de ratification, d’acceptation ou d’approbation du protocole.
2. À la suite de la ratification, de l’acceptation ou de l’approbation du protocole, les États membres respectent, par ailleurs, les indications qui figurent à la section 4 de l’annexe de la présente décision.
Article 3
La présente décision entre en vigueur le jour de son adoption.
Article 4
La présente décision est publiée au Journal officiel de l’Union européenne.
Article 5
Les États membres sont destinataires de la présente décision.
Fait à Bruxelles, le 14 février 2023.
Par le Conseil
La présidente
E. SVANTESSON
(1) Approbation du 17 janvier 2023 (non encore parue au Journal officiel).
(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
(3) Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).
(4) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).
(5) Voir page 28 du présent Journal officiel.
ANNEXE
La présente annexe énonce les réserves, déclarations, notifications, communications et indications visées à l'article 2.
1. Réserves
En vertu de l'article 19, paragraphe 1, du protocole, une partie peut déclarer qu'elle se prévaut d'une ou plusieurs des réserves prévues dans certains articles du protocole.
En vertu de l'article 7, paragraphe 9.a, du protocole, une partie peut se réserver le droit de ne pas appliquer l'article 7 (Divulgation de données relatives aux abonnés). Les États membres s'abstiennent de formuler une telle réserve.
En vertu de l'article 7, paragraphe 9.b, du protocole, une partie peut, sous réserve des conditions qui y sont énoncées, se réserver le droit de ne pas appliquer l'article 7 à certains types de numéros d'accès. Les États membres peuvent formuler une telle réserve, mais seulement en ce qui concerne les numéros d'accès autres que ceux nécessaires à la seule fin d'identification de l'utilisateur.
En vertu de l'article 8, paragraphe 13, du protocole, une partie peut se réserver le droit de ne pas appliquer l'article 8 (Donner effet aux injonctions d'une autre partie ordonnant la production accélérée de données relatives aux informations sur les abonnés et au trafic) aux données relatives au trafic. Les États membres sont encouragés à s'abstenir de formuler une telle réserve.
Lorsque l'article 19, paragraphe 1, fournit un fondement pour d'autres réserves, les États membres sont autorisés à envisager et à formuler de telles réserves.
2. Déclarations
En vertu de l'article 19, paragraphe 2, du protocole, une partie peut faire les déclarations prévues dans certains articles du protocole.
En vertu de l'article 7, paragraphe 2.b, du protocole, une partie peut, en ce qui concerne les injonctions adressées aux fournisseurs de services sur son territoire, faire la déclaration suivante:
"L'injonction adressée en application de l'article 7, paragraphe 1, doit être émise par un procureur ou une autre autorité judiciaire, sous la supervision de cette autorité ou sous une autre forme de supervision indépendante.".
Les États membres font, en ce qui concerne les injonctions adressées aux fournisseurs de services sur leur territoire, la déclaration prévue au deuxième alinéa de la présente section.
En vertu de l'article 9, paragraphe 1.b, du protocole (Divulgation accélérée de données informatiques stockées en situation d'urgence), une partie peut déclarer qu'elle n'exécutera pas de demandes introduites en vertu du paragraphe 1.a, dudit article, pour la divulgation d'informations relatives à l'abonné seulement. Les États membres sont encouragés à s'abstenir de faire une telle déclaration.
Lorsque l'article 19, paragraphe 2, fournit une base pour d'autres déclarations, les États membres sont autorisés à envisager et à faire de telles déclarations.
3. Déclarations, notifications ou communications
En vertu de l'article 19, paragraphe 3, du protocole, une partie fait toute déclaration, notification ou communication visée dans certains articles du protocole selon les modalités qui y sont spécifiées.
En vertu de l'article 7, paragraphe 5.a, du protocole, une partie peut notifier au Secrétaire général du Conseil de l'Europe qu'elle exige, lorsqu'une injonction est adressée en application du paragraphe 1 dudit article à un fournisseur de services sur son territoire, dans chaque cas ou dans certaines circonstances déterminées, la communication simultanée de l'injonction, des informations complémentaires et d'un résumé des faits relatifs à l'enquête ou à la procédure. En conséquence, les États membres procèdent à la notification suivante au Secrétaire général du Conseil de l'Europe:
"Lorsqu'une injonction est adressée en application de l'article 7, paragraphe 1, à un fournisseur de services sur le territoire de [État membre], [l'État membre] exige dans chaque cas la communication simultanée de l'injonction, des informations complémentaires et d'un résumé des faits relatifs à l'enquête ou à la procédure.".
Conformément à l'article 7, paragraphe 5.e, du protocole, les États membres désignent une autorité unique compétente pour recevoir la notification prévue à l'article 7, paragraphe 5.a, du protocole, et exécuter les tâches décrites à l'article 7, paragraphes 5.b, 5.c et 5.d, du protocole, et ils communiquent au Secrétaire général du Conseil de l'Europe, au moment où la notification du Secrétaire général prévue à l'article 7, paragraphe 5.a, du protocole est faite pour la première fois, les coordonnées de cette autorité.
En vertu de l'article 8, paragraphe 4, du protocole, une partie peut déclarer que des informations complémentaires sont nécessaires pour donner effet à des injonctions soumises en vertu du paragraphe 1 dudit article. En conséquence, les États membres font la déclaration suivante:
"Des informations supplémentaires sont nécessaires pour donner effet aux injonctions soumises en vertu de l'article 8, paragraphe 1. Les informations supplémentaires requises dépendront des circonstances de l'injonction et de l'enquête ou des poursuites s'y rapportant.".
Conformément à l'article 8, paragraphes 10.a et 10.b, du protocole, les États membres communiquent et tiennent à jour les coordonnées des autorités désignées pour soumettre une injonction en vertu de l'article 8, et celles des autorités désignées pour recevoir une injonction en vertu de l'article 8 respectivement. Les États membres qui participent à la coopération renforcée instituée par le règlement (UE) 2017/1939 du Conseil (1) mettant en œuvre une coopération renforcée concernant la création du Parquet européen, incluent le Parquet européen, dans les limites de l'exercice de ses compétences prévues aux articles 22, 23 et 25 dudit règlement, parmi les autorités dont les coordonnées auront été communiquées en application de l'article 8, paragraphes 10.a et 10.b, du protocole, et ce de manière coordonnée.
En conséquence, les États membres font la déclaration suivante:
"Conformément à l'article 8, paragraphe 10, [État membre], en tant qu'État membre de l'Union européenne participant à la coopération renforcée concernant la création du Parquet européen, désigne le Parquet européen, dans l'exercice de ses compétences prévues par les articles 22, 23 et 25 du règlement (UE) 2017/1939 du Conseil du 12 octobre 2017 mettant en œuvre une coopération renforcée concernant la création du Parquet européen, en tant qu'autorité compétente.".
Conformément à l'article 14, paragraphe 7.c, du protocole, les États membres indiquent au Secrétaire général du Conseil de l'Europe quelle est ou quelles sont les autorités qui reçoivent la notification visée à l'article 14, paragraphe 7.b, du protocole, aux fins du chapitre II, section 2, du protocole, en cas d'incident lié à la sécurité.
Conformément à l'article 14, paragraphe 10.b, du protocole, les États membres communiquent au Secrétaire général du Conseil de l'Europe l'autorité ou les autorités aux pouvoirs d'autorisation, aux fins du chapitre II, section 2, du protocole, en ce qui concerne le transfert ultérieur, vers un autre État ou vers une organisation internationale, de données reçues en vertu du protocole.
Lorsque l'article 19, paragraphe 3, du protocole, fournit une base pour d'autres déclarations, notifications ou communications, les États membres sont autorisés à envisager et à faire de telles déclarations, notifications ou communications.
4. Autres indications
Les États membres qui participent à la coopération renforcée instituée par le règlement (UE) 2017/1939 veillent à ce que ce dernier puisse, dans l'exercice de ses compétences prévues par les articles 22, 23 et 25 dudit règlement, solliciter une coopération en vertu du protocole au même titre que les procureurs nationaux de ces États membres.
En ce qui concerne l'application de l'article 7, en particulier pour ce qui est de certains types de numéros d'accès, les États membres peuvent soumettre une injonction en vertu dudit article au contrôle d'un procureur ou d'une autre autorité judiciaire lorsque leur autorité compétente reçoit une notification simultanée de l'injonction avant la divulgation des informations demandées par le fournisseur.
Conformément à l'article 14, paragraphe 11.c, du protocole, les États membres veillent à ce que, au moment du transfert de données aux fins du protocole, la partie destinataire soit informée que leur cadre juridique interne exige que l'individu dont les données sont fournies soit informé personnellement.
En ce qui concerne les transferts internationaux sur la base de l'accord entre les États-Unis d'Amérique et l'Union européenne sur la protection des informations à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière (2) (ci-après dénommé "accord-cadre"), les États membres informent les autorités compétentes des États-Unis, aux fins de l'article 14, paragraphe 1.b, du protocole, que l'accord-cadre s'applique aux transferts réciproques de données à caractère personnel au titre du protocole entre autorités compétentes. Toutefois, les États membres tiennent compte du fait que l'accord-cadre devrait être complété par des garanties supplémentaires intégrant les exigences spécifiques d'un transfert de preuves électroniques effectué directement par des fournisseurs de services plutôt qu'entre autorités, comme le prévoit le protocole. En conséquence, les États membres font la communication suivante aux autorités compétentes des États-Unis:
"Aux fins de l'article 14, paragraphe 1.b, du deuxième protocole additionnel à la convention du Conseil de l'Europe sur la cybercriminalité (ci-après dénommé "protocole"), [État membre] estime que l'accord entre les États-Unis d'Amérique et l'Union européenne sur la protection des informations à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière (ci-après dénommé "accord-cadre") s'applique aux transferts réciproques de données à caractère personnel au titre du protocole entre autorités compétentes. Pour les transferts entre fournisseurs de services et autorités au titre du protocole, l'accord-cadre ne s'applique qu'en combinaison avec un autre accord spécial au sens de l'article 3, paragraphe 1, de l'accord-cadre qui réponde aux exigences spécifiques d'un transfert de preuves électroniques effectué directement par des fournisseurs de services plutôt qu'entre autorités. En l'absence d'un tel accord de transfert spécial, ces transferts peuvent avoir lieu en vertu du protocole, auquel cas l'article 14, paragraphe 1.a, en liaison avec l'article 14, paragraphes 2 à 15, du protocole, s'applique.".
Les États membres veillent à n'appliquer l'article 14, paragraphe 1.c, du protocole, que si la Commission européenne a adopté, au sujet du pays tiers concerné, une décision d'adéquation conformément à l'article 45 du règlement (UE) 2016/679 du Parlement européen et du Conseil (3) ou à l'article 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil (4), décision qui s'applique aux transferts de données respectifs, ou sur la base d'un autre accord qui prévoit des garanties appropriées en matière de protection des données conformément à l'article 46, paragraphe 2, point a), du règlement (UE) 2016/679 ou à l'article 37, paragraphe 1, point a), de la directive (UE) 2016/680.
(1) Règlement (UE) 2017/1939 du Conseil du 12 octobre 2017 mettant en œuvre une coopération renforcée concernant la création du Parquet européen (JO L 283 du 31.10.2017, p. 1).
(2) JO L 336 du 10.12.2016, p. 3.
(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
(4) Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).