Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document Ares(2025)4081079

Impact assessment on the mandatory retention of metadata by service providers for the purpose of criminal proceedings

APPEL À CONTRIBUTIONS

POUR UNE ANALYSE D’IMPACT

Intitulé de l’initiative

Analyse d’impact sur la conservation de données par les fournisseurs de services aux fins de procédures pénales

DG cheffe de file - Unité responsable

HOME.D4

Type probable d’initiative

Calendrier indicatif

T1 2026

Informations complémentaires

Cybercriminalité — Commission européenne; Groupe de haut niveau sur l’accès aux données en vue d’une répression efficace - Commission européenne

   A. Contexte politique, définition du problème et analyse de la subsidiarité 

Contexte politique

Pour pouvoir efficacement combattre la criminalité et poursuivre les auteurs d’infractions, les autorités policières et judiciaires peuvent avoir besoin d’accéder à certaines données hors contenu traitées par les fournisseurs de services de communication électronique. En l’absence d’obligations spécifiques imposant à ces fournisseurs de conserver des données pendant une période raisonnable et limitée, ces données peuvent avoir été effacées lorsque les autorités en font la demande à des fins de procédures pénales. Il n’existe pas pour l’instant de cadre juridique dans ce domaine à l’échelle de l’UE. Au sein de l’UE, les législations nationales dont se sont dotés la plupart des États membres présentent des divergences, et les autres États membres n’ont pas défini de règles. Le fait qu’il n’y ait pas de règles harmonisées de conservation des données pour certaines catégories clés de données a été considéré par la police, les parquets et les autorités judiciaires comme un problème majeur pour les procédures pénales nationales concernant des infractions commises en ligne ou hors ligne, et comme une entrave à la coopération transfrontière dans l’ensemble de l’UE. Ce sujet a été au cœur des discussions du groupe de haut niveau sur l’accès aux données, au cours desquelles les experts ont recommandé l’adoption d’un cadre de l’UE portant sur la conservation des données à des fins répressives et comportant également des garanties d’accès. La présidente de la Commission, Mme von der Leyen1, 2, et les États membres de l’UE, dans les conclusions du Conseil sur l’accès aux données en vue d'une répression efficace et sur le renforcement des efforts conjoints en matière de lutte contre le terrorisme, ont récemment souligné la nécessité de prendre des mesures pour garantir un accès licite et effectif aux données à des fins répressives. Dans sa communication intitulée «ProtectEU: une stratégie européenne de sécurité intérieure», la Commission s’est engagée à présenter en 2025 une feuille de route traçant la voie à suivre pour garantir un accès licite et effectif aux données à des fins répressives, et à réaliser en priorité une analyse d’impact des règles de l’UE en matière de conservation des données.

Problème que l’initiative vise à résoudre

Dans une société numérique, les preuves électroniques jouent un rôle essentiel dans la plupart des enquêtes et poursuites pénales. Les données hors-contenu (informations relatives à l’abonné, source et destination d’un message, localisation de l’appareil, date, heure, durée, taille ou tout autre type d’interaction n’incluant pas le contenu de la communication) peuvent être déterminantes pour identifier ou localiser les suspects, ou les personnes poursuivies, et les victimes et, de manière générale, pour faire la lumière sur la commission d’une infraction. Les fournisseurs de services de communications électroniques stockent les données de communication hors-contenu qui transitent par leurs systèmes. Ces données hors-contenu pouvant avoir un caractère personnel et pouvant fournir des informations sur la vie privée des personnes auxquelles elles se rapportent, les fournisseurs de services doivent, conformément à la charte des droits fondamentaux de l’Union européenne (et en particulier de ses articles 7, 8 et 11) et de la législation de l’UE sur la protection de la vie privée et des données, les supprimer lorsqu’elles ne sont plus nécessaires à des fins commerciales légitimes. Il n’est possible de les stocker plus longtemps que si cela est imposé par des obligations légales spécifiques. La Cour de justice de l’Union européenne ayant décidé de déclarer invalide la directive de l’UE sur la conservation des données, pour cause d’ingérence grave dans les droits fondamentaux et d’absence de garanties d’accès spécifiques, depuis 2014, le droit de l’Union ne prévoit plus, pour les fournisseurs de services, d’obligation de conserver des données à des fins répressives. S'il est vrai que de nombreux États membres de l’UE imposent cette obligation, les législations régissant cette conservation présentent d’importantes disparités d'un État membre à l’autre. Cela fait obstacle au travail de la police et des procureurs, car il est fréquent que les données nécessaires ne soient pas ou plus disponibles au moment de l’enquête. Dans le scénario actuel, certaines infractions, en particulier celles commises exclusivement en ligne, ne peuvent faire l’objet d’enquêtes et de poursuites efficaces.

Les fournisseurs de services de communication électronique qui souhaitent proposer leurs services dans l’ensemble de l’UE sont également confrontés à des coûts et à des obstacles plus importants, dus au fait qu’ils doivent respecter des exigences juridiques différentes selon les États membres, et aux modifications fréquentes apportées aux législations nationales à la suite de jugements rendus au niveau national et/ou de l’UE 1 . En outre, la plupart des législations nationales en matière de conservation des données ne s’appliquent qu’aux plateformes de télécommunications traditionnelles et ne couvrent pas les fournisseurs de services de communication via l’internet, qui sont aujourd’hui les services de communication les plus utilisés. La coexistence de législations nationales divergentes a aussi des conséquences pour les citoyens si, au moment où les enquêtes pénales débutent, les données hors-contenu nécessaires ont déjà été supprimées. Les autorités peuvent alors être dans l’impossibilité de garantir aux citoyens la protection et la justice auxquelles ils ont droit. Il est probable que ces divergences entre législations nationales s'accentueront avec le développement à venir de nouveaux services et technologies de communication numériques.

La situation actuelle peut être imputée à l’absence d’exigences et de garanties harmonisées permettant aux fournisseurs de services de communications électroniques, que ces services soient ou non fondés sur la numérotation, de conserver des données au-delà du temps nécessaire à leurs propres besoins opérationnels, afin qu’elles soient disponibles plus longtemps à des fins répressives.

Base de l’action de l’Union (base juridique et analyse de la subsidiarité)

Base juridique

La base juridique dépendra du résultat de l’analyse d’impact.

Nécessité pratique d’une action de l’Union

Les problèmes constatés ne peuvent pas être résolus de manière satisfaisante par les États membres pris isolément. En l’absence d’action au niveau de l’UE, on peut s'attendre à ce que les États membres continuent de modifier leur législation nationale afin de respecter les exigences de la jurisprudence de la Cour de justice de l’Union européenne, de la Cour européenne des droits de l’homme et des juridictions nationales. Ils devront aussi s'adapter aux technologies nouvelles et émergentes, ce qui risque d’accentuer les divergences entre réglementations. Cela ne fera qu'accroître les répercussions négatives sur les citoyens de l’UE, sur les enquêtes pénales, sur les fournisseurs de services de communication électronique et sur les autres parties prenantes. En même temps, il faut veiller à ce que les obligations en matière de conservation des données et d’accès aux données n’interfèrent que de manière proportionnée avec les droits fondamentaux des utilisateurs, comme le souligne la jurisprudence de la Cour de justice de l’Union européenne. Les législations sur la conservation des données concernent divers domaines des politiques publiques, notamment la sécurité, la justice, les droits fondamentaux et l’économie, et ont des conséquences sur différentes catégories de parties prenantes (les autorités, les entreprises, les citoyens). Compte tenu de leur impact sur le marché intérieur de l’UE et sur l’espace de liberté, de sécurité et de justice de l’UE, on peut considérer qu’une action au niveau de l’UE est la solution la plus appropriée pour s’attaquer aux problèmes constatés. Cette action pourrait avoir comme objectif principal de garantir l’application harmonisée d’obligations de conservation de données pour les fournisseurs de services, incluant des garanties d’accès pour les autorités policières et judiciaires, afin de garantir la sécurité juridique des parties prenantes concernées et d'assurer des conditions de concurrence équitables aux fournisseurs de services qui proposent leurs services au sein de l’UE.

B. Objectifs et options

L’objectif général de l’initiative envisagée est de garantir que certaines catégories de données hors-contenu soient disponibles pour la conduite d’enquêtes et de poursuites pénales, tout en maintenant et en respectant les normes de l’UE en matière de protection des droits fondamentaux et en préservant la cybersécurité et l’intégrité du marché de l’UE.

À cette fin, la Commission examinera et évaluera différentes options, parmi lesquelles:

- des mesures non contraignantes pour renforcer la coopération entre pouvoirs publics et fournisseurs de services de communication électronique, qu’ils soient ou non fondés sur la numérotation, telles que des normes communes au niveau de l’UE pour la catégorisation des données, des formulaires de demande et de fourniture de données, des orientations sur les durées minimales de conservation des données des abonnés et des adresses IP avec horodatage, une coopération volontaire;

- des mesures législatives imposant à tous les fournisseurs de services qui relèvent du code des communications électroniques européen 2 des exigences obligatoires concernant la conservation de données hors-contenu et l’accès à celles-ci, conformément à la jurisprudence actuelle de la Cour de justice de l’Union européenne. Différentes solutions législatives pourraient être mises au point, en fonction des données hors-contenu à conserver pour les infractions devant faire l’objet de poursuites. 

L’option la plus appropriée sera identifiée lors de l’analyse d’impact, sur la base des éléments recueillis, de la consultation des parties prenantes et d’une comparaison des différentes options.

C. Incidences probables

Cette initiative devrait avoir des incidences dans plusieurs domaines:

Incidences sociétales: le fait de disposer de données hors contenu aiderait les pouvoirs publics à mieux détecter les infractions et à être plus efficaces dans le cadre de leurs enquêtes et de leurs poursuites, ce qui garantirait aux citoyens de l’UE une société plus sûre, que ce soit en ligne ou hors ligne. Ces effets positifs devraient concerner aussi bien les procédures pénales nationales que la coopération transfrontière en matière de lutte contre la criminalité.

Incidences économiques: les fournisseurs de services de communication électronique éviteront les surcoûts de mise en conformité et l’insécurité juridique qui découlent d’exigences juridiques et techniques différentes selon l’État membre de l’UE dans lequel ils sont établis ou exercent des activités. Le but de l’initiative est d'étudier les moyens de réduire les obstacles à la fourniture de services sur le marché intérieur de l’UE. Cela étant, elle augmentera les coûts de conservation des données dans les États membres où il n’existe pas d’obligation de conserver des données à des fins répressives.

Incidences sur les droits fondamentaux: la conservation et la consultation de données hors-contenu pourrait fournir aux autorités des informations sur la vie privée des personnes auxquelles se rapportent ces données, ce qui interfèrerait avec les droits fondamentaux qui protègent leur vie privée (article 7 de la charte des droits fondamentaux de l’Union européenne), leurs données à caractère personnel (article 8) et leur liberté d’expression (article 11). Renforcer la capacité des pouvoirs publics à extraire des données hors-contenu et à obtenir des preuves pour des procédures pénales servirait l’intérêt général en améliorant la détection des infractions et l’efficacité des poursuites pénales et en facilitant la libre prestation de services sur le marché intérieur de l’UE, ce qui pourrait se traduire par plus de justice pour les victimes, les suspects et les personnes poursuivies. Si les options envisagées dans l’analyse d’impact sont de nature à restreindre les droits fondamentaux, elles seront appréciées au regard de leur interférence avec l’exercice de ces droits, et toutes les garanties seront prévues pour que les options retenues soient nécessaires et proportionnées à l’obtention du résultat visé.

D. Instruments pour une meilleure réglementation

Analyse d'impact

La Commission réalisera une analyse d’impact en vue d'actualiser, s'il y a lieu, les règles de conservation des données au niveau de l’UE. Elle effectuera une consultation publique au deuxième/troisième trimestre 2025, conformément à sa politique en faveur d’une meilleure réglementation. Elle procédera à une vaste collecte d’informations auprès de différentes sources, notamment du grand public, qui sera consulté par différents moyens tels que le présent appel public à contributions, et à des enquêtes ciblées auprès des parties prenantes concernées.

Stratégie de consultation

La Commission prévoit plusieurs activités de consultation à l’appui de cette initiative, dans le but de recueillir des données et des avis auprès d’un large éventail de parties prenantes. Il s'agit principalement:

-du présent appel à contributions;

-d’une consultation publique qui sera publiée pendant 12 semaines, dans toutes les langues officielles de l’UE, sur le site web «Donnez votre avis» de la Commission; 

-de consultations ciblées auprès des parties prenantes concernées, sous forme d’entretiens et d’enquêtes, afin de recueillir aussi des données quantitatives et qualitatives sur la nécessité et la proportionnalité des mesures.

Conformément à la politique de la Commission européenne visant à «Mieux légiférer», qui vise à développer des initiatives fondées sur les meilleures connaissances disponibles, nous invitons également les chercheurs, les organisations universitaires, les sociétés savantes et les associations scientifiques disposant d’une expertise dans les domaines techniques et stratégiques liés à cette initiative à faire part de recherches, d’analyses et de données scientifiques pertinentes pour ce dossier, qu’elles soient publiées ou au stade de la prépublication. La Commission est particulièrement intéressée par les contributions synthétisant l’état actuel des connaissances dans le domaine concerné.

La Commission publiera un résumé factuel contenant les réponses à la consultation publique. Elle analysera aussi les réponses au présent appel à contributions et les résultats des consultations suivantes dans un rapport de synthèse qui sera joint à l'analyse d’impact (document de travail des services de la Commission).

Raisons de la consultation

L’objectif de cette consultation est d'asseoir l’analyse d'impact sur un large socle de données et d’expertise, aussi bien quantitatives que qualitatives, et de permettre aux parties prenantes (notamment les citoyens et ceux qu’elle concerne directement) de donner leur avis sur les options envisageables et d’y apporter leur contribution.

Public cible

Les principales catégories de parties prenantes que la Commission envisage de consulter sont les suivantes: le grand public; les praticiens exerçant dans les secteurs de la sécurité publique (justice, affaires intérieures et politiques numériques); les autorités policières et judiciaires; les experts en cybersécurité et les autorités chargées de la protection des données et de la vie privée; les associations professionnelles d’avocats, les universitaires, les chercheurs et les groupes de réflexion; les organisations de la société civile qui travaillent sur la défense des victimes de violations des droits numériques ou, plus largement, des droits fondamentaux; les entreprises du secteur.

(1) Selon l’analyse récente d’Eurojust et du réseau judiciaire européen en matière de cybercriminalité (EJCN) intitulée The effect of Court of Justice of the European Union case-law on national data retention regimes and judicial cooperation in the EU (L’effet de la jurisprudence de la Cour de justice de l’Union européenne sur les régimes nationaux de conservation des données et la coopération judiciaire dans l’UE), douze États membres (BE, DK, EE, IE, FR, HR, IT, LV, LT, PT, SK, SE) ont substantiellement modifié leur législation entre 2018 et 2022 en conséquence directe des arrêts rendus dans l’affaire C-746/18, Prokuratuur, et dans les affaires jointes C-511/18, C-512/18 et C-520/18, La Quadrature du Net e.a.; quatre États membres (DE, NL, RO, SI) n’ont plus de règles imposant la conservation de données à des fins d’enquêtes pénales (p. 6).
(2) Article 4, paragraphe 2, de la directive (UE) 2018/1972: «[on entend par] “service de communications électroniques”, le service fourni normalement contre rémunération via des réseaux de communications électroniques qui, à l’exception des services consistant à fournir des contenus transmis à l’aide de réseaux et de services de communications électroniques ou à exercer une responsabilité éditoriale sur ces contenus, comprend les types de services suivants:a) un «service d’accès à l’internet» défini à l’article 2, deuxième alinéa, point 2, du règlement (UE) 2015/2120;b) un service de communications interpersonnelles; etc) des services consistant entièrement ou principalement en la transmission de signaux tels que les services de transmission utilisés pour la fourniture de services de machine à machine et pour la radiodiffusion;».
Top