This document is an excerpt from the EUR-Lex website
Document 32023L1544
Directive (EU) 2023/1544 of the European Parliament and of the Council of 12 July 2023 laying down harmonised rules on the designation of designated establishments and the appointment of legal representatives for the purpose of gathering electronic evidence in criminal proceedings
Directive (UE) 2023/1544 du Parlement européen et du Conseil du 12 juillet 2023 établissant des règles harmonisées concernant la désignation d’établissements désignés et de représentants légaux aux fins de l’obtention de preuves électroniques dans le cadre des procédures pénales
Directive (UE) 2023/1544 du Parlement européen et du Conseil du 12 juillet 2023 établissant des règles harmonisées concernant la désignation d’établissements désignés et de représentants légaux aux fins de l’obtention de preuves électroniques dans le cadre des procédures pénales
PE/3/2023/REV/1
JO L 191 du 28.7.2023, p. 181–190
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
28.7.2023 |
FR |
Journal officiel de l'Union européenne |
L 191/181 |
DIRECTIVE (UE) 2023/1544 DU PARLEMENT EUROPÉEN ET DU CONSEIL
du 12 juillet 2023
établissant des règles harmonisées concernant la désignation d’établissements désignés et de représentants légaux aux fins de l’obtention de preuves électroniques dans le cadre des procédures pénales
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne, et notamment ses articles 53 et 62,
vu la proposition de la Commission européenne,
après transmission du projet d’acte législatif aux parlements nationaux,
vu l’avis du Comité économique et social européen (1),
statuant conformément à la procédure législative ordinaire (2),
considérant ce qui suit:
(1) |
Les services basés sur un réseau peuvent être fournis à partir de n’importe quel endroit et ne nécessitent pas d’infrastructure physique, de locaux ou de personnel dans le pays où le service en question est proposé, ni dans le marché intérieur. Par conséquent, il peut être difficile d’appliquer et de faire respecter les obligations imposées par le droit national et le droit de l’Union aux fournisseurs de services concernés, notamment l’obligation de se conformer à une injonction ou à une décision émanant d’une autorité judiciaire. C’est le cas notamment en droit pénal, domaine dans lequel les autorités des États membres rencontrent des difficultés pour notifier ou signifier, faire respecter et exécuter leurs décisions, en particulier lorsque les services concernés sont fournis depuis un lieu situé à l’extérieur de leur territoire. Dans ce contexte, les États membres ont pris des mesures en sens divers pour appliquer et faire respecter plus efficacement leur législation. Parmi celles-ci figurent des mesures permettant de s’adresser aux fournisseurs de services en vue d’obtenir des preuves électroniques qui sont pertinentes dans le cadre des procédures pénales. À cette fin, certains États membres ont adopté, ou envisagent d’adopter, une législation rendant obligatoire la représentation légale sur leur propre territoire d’un certain nombre de fournisseurs qui proposent des services sur ledit territoire. Ces obligations créent des obstacles à la libre prestation des services dans le marché intérieur. |
(2) |
Il existe un risque que, en l’absence d’une approche à l’échelle de l’Union, d’autres États membres tentent de surmonter les lacunes existantes en ce qui concerne la collecte des preuves électroniques dans les procédures pénales en imposant des obligations nationales disparates. Des obligations nationales aussi disparates créeraient de nouveaux obstacles à la libre prestation des services dans le marché intérieur. |
(3) |
L’absence d’approche à l’échelle de l’Union entraîne une insécurité juridique qui touche à la fois les fournisseurs de services et les autorités nationales. Des obligations disparates et potentiellement incompatibles s’appliquent aux fournisseurs de services établis, ou proposant leurs services, dans plusieurs États membres, ce qui a pour conséquence que ces fournisseurs de services font l’objet de sanctions différentes en cas de manquement. Il est probable que ces divergences dans le cadre des procédures pénales s’accentueront encore en raison de l’importance croissante que revêtent les services de communication et de la société de l’information dans notre quotidien et dans nos sociétés. Ces divergences constituent non seulement un obstacle au bon fonctionnement du marché intérieur, mais engendrent aussi des difficultés dans la mise en place et le bon fonctionnement de l’espace de liberté, de sécurité et de justice de l’Union. |
(4) |
Pour éviter des divergences dans le cadre juridique et faire en sorte que les entreprises opérant dans le marché intérieur soient soumises à des obligations identiques ou similaires, l’Union a adopté un certain nombre d’actes juridiques dans des domaines connexes tels que la protection des données, à savoir le règlement (UE) 2016/679 du Parlement européen et du Conseil (3) et la directive 2002/58/CE du Parlement européen et du Conseil (4). Afin d’améliorer le niveau de protection des personnes concernées, le règlement (UE) 2016/679 prévoit la désignation d’un représentant légal dans l’Union par les responsables du traitement ou les sous-traitants qui ne sont pas établis dans l’Union mais qui proposent des biens ou des services aux personnes concernées se trouvant dans l’Union ou qui suivent le comportement des personnes concernées, dans la mesure où ce comportement a lieu au sein de l’Union, à moins que le traitement des données soit occasionnel, n’implique pas un traitement, à grande échelle, de catégories particulières de données à caractère personnel ou le traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions, et ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement, ou si le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public. |
(5) |
La mise en place de règles harmonisées relatives à la désignation d’établissements désignés et de représentants légaux de certains fournisseurs de services dans l’Union en vue d’assurer la réception, le respect et l’exécution des décisions et injonctions émises par les autorités compétentes des États membres à des fins d’obtention de preuves électroniques dans le cadre de procédures pénales devrait permettre de lever les obstacles existants à la libre prestation des services et d’éviter que des approches nationales divergentes en la matière ne soient imposées à l’avenir. Il y a donc lieu de mettre en place des conditions de concurrence équitables pour les fournisseurs de services. Selon que les fournisseurs de services sont ou non établis dans l’Union, les États membres devraient veiller à ce que les fournisseurs de services désignent un établissement désigné ou un représentant légal. Ces règles harmonisées concernant la désignation d’établissements désignés et de représentants légaux ne devraient pas porter atteinte aux obligations qui incombent aux fournisseurs de services en vertu d’autres législations de l’Union. En outre, il convient de faciliter une application plus efficace du droit pénal au sein l’espace de liberté, de sécurité et de justice de l’Union. |
(6) |
Les établissements désignés et les représentants légaux prévus par la présente directive devraient être les destinataires des décisions et des injonctions aux fins de l’obtention de preuves électroniques sur la base du règlement (UE) 2023/1543 du Parlement européen et du Conseil (5), de la directive 2014/41/UE du Parlement européen et du Conseil (6) et de la convention établie par le Conseil conformément à l’article 34 du traité sur l’Union européenne (7), relative à l’entraide judiciaire en matière pénale entre les États membres de l’Union européenne, y compris lorsque ces décisions et injonctions sont transmises sous la forme d’un certificat. Le recours à l’établissement désigné ou au représentant légal devrait être conforme aux procédures prévues dans les instruments et la législation applicables à la procédure judiciaire, y compris lorsque ces instruments permettent la signification ou la notification directe d’injonctions dans des situations transfrontières à l’établissement désigné ou au représentant légal du fournisseur de services, ou lorsqu’ils reposent sur la coopération entre les autorités judiciaires compétentes. Les autorités compétentes de l’État membre dans lequel l’établissement désigné est établi ou dans lequel le représentant légal réside devraient agir conformément au rôle qui leur est assigné dans l’instrument dans lequel leur intervention est prévue. Les États membres devraient également être en mesure d’adresser des décisions et des injonctions visant à obtenir des preuves électroniques en vertu du droit national à une personne physique ou morale agissant en qualité de représentant légal ou d’établissement désigné d’un fournisseur de services sur leur territoire. |
(7) |
Il convient que les États membres veillent à ce que les fournisseurs de services qui proposent des services dans l’Union au 18 février 2026 aient l’obligation de désigner au moins un établissement désigné ou au moins un représentant légal au plus tard le 18 août 2026 et que les fournisseurs de services qui commencent à proposer des services dans l’Union après cette date aient l’obligation de désigner au moins un établissement désigné ou au moins un représentant légal dans un délai de six mois à partir de la date à laquelle ils commencent à proposer des services dans l’Union. Sans préjudice des garanties en matière de protection des données, cet établissement désigné ou ce représentant légal pourrait se partager entre plusieurs fournisseurs de services, en particulier des fournisseurs de services qui sont des petites ou moyennes entreprises. |
(8) |
L’obligation de désigner un établissement désigné ou un représentant légal devrait s’appliquer aux fournisseurs de services qui proposent des services dans l’Union, c’est-à-dire dans un ou plusieurs États membres. Les situations dans lesquelles un fournisseur de services est établi sur le territoire d’un État membre et propose ses services exclusivement sur le territoire dudit État membre ne devraient pas relever de la présente directive. |
(9) |
Aux fins de l’obtention de preuves électroniques dans le cadre de procédures pénales, les États membres devraient toujours pouvoir s’adresser aux fournisseurs de services établis sur leur territoire, pour des situations purement nationales, conformément au droit de l’Union et à leur droit national respectif. Nonobstant les possibilités actuellement prévues dans le droit national permettant aux États membres de s’adresser à des fournisseurs de services sur leur propre territoire, les États membres ne devraient pas contourner les principes sous-tendant la présente directive ou le règlement (UE) 2023/1543. |
(10) |
Pour déterminer si un fournisseur de services propose des services dans l’Union, il est nécessaire d’évaluer si le fournisseur de services permet à des personnes physiques ou morales dans un ou plusieurs États membres d’utiliser ses services. Toutefois, la seule accessibilité d’une interface en ligne dans l’Union, comme par exemple l’accessibilité d’un site internet, d’une adresse électronique ou d’autres coordonnées de contact d’un fournisseur de services ou d’un intermédiaire, prise isolément, devrait être considérée comme insuffisante pour déterminer si un fournisseur de services propose des services dans l’Union au sens de la présente directive. |
(11) |
Pour déterminer si un fournisseur de services propose des services dans l’Union, il faut non seulement évaluer si le fournisseur de services permet à des personnes physiques ou morales dans un ou plusieurs États membres d’utiliser ses services, mais aussi déterminer s’il existe un lien substantiel avec l’Union. Un tel lien substantiel avec l’Union devrait être considéré exister lorsque le fournisseur de services dispose d’un établissement dans l’Union. En l’absence d’un tel établissement, le critère de lien substantiel devrait être basé sur des critères factuels spécifiques, tels que l’existence d’un nombre significatif d’utilisateurs dans un ou plusieurs États membres, ou le ciblage des activités sur un ou plusieurs États membres. Le ciblage des activités sur un ou plusieurs États membres devrait être déterminé sur la base de toutes les circonstances pertinentes, et notamment de facteurs comme l’utilisation d’une langue ou d’une monnaie généralement utilisées dans cet État membre, ou la possibilité de commander des biens ou des services. Le ciblage des activités sur un État membre pourrait également être constaté sur la base de la disponibilité d’une application ("appli") dans la boutique d’applications nationale correspondante, de la diffusion de publicité locale ou de publicité dans la langue généralement utilisée dans cet État membre ou de la gestion des relations avec la clientèle, comme, par exemple, la fourniture d’un service à la clientèle dans la langue généralement utilisée dans cet État membre. Un lien substantiel devrait également être considéré exister lorsqu’un fournisseur de services dirige ses activités vers un ou plusieurs États membres comme le mentionne le règlement (UE) no 1215/2012 du Parlement européen et du Conseil (8). En revanche, la fourniture d’un service dans le simple but de se conformer à l’interdiction de discrimination prévue par le règlement (UE) 2018/302 du Parlement européen et du Conseil (9) ne devrait pas, en l’absence d’autres motifs, être considérée comme constitutive d’activités dirigées ou ciblées sur un territoire donné au sein de l’Union. Les mêmes considérations devraient s’appliquer pour déterminer si un fournisseur de services propose des services sur le territoire d’un État membre donné. |
(12) |
Différents instruments relevant du champ d’application du titre V, chapitre 4, du traité sur le fonctionnement de l’Union européenne s’appliquent à la coopération entre États membres lors de l’obtention de preuves dans le cadre de procédures pénales. Du fait de la géométrie variable qui existe dans l’espace de liberté, de sécurité et de justice de l’Union, il est nécessaire de garantir que la présente directive ne favorise pas la création de nouvelles disparités ou d’obstacles supplémentaires à la fourniture de services au sein du marché intérieur en permettant aux fournisseurs de services proposant des services sur le territoire d’États membres de désigner des établissements désignés ou des représentants légaux au sein des États membres qui ne participent pas aux instruments juridiques concernés. En conséquence, au moins un établissement désigné ou un représentant légal devrait être désigné dans un État membre qui participe aux instruments juridiques de l’Union concernés, afin d’éviter le risque que l’efficacité de la désignation prévue par la présente directive ne soit affaiblie et afin qu’il soit tiré parti des synergies résultant de l’existence d’un établissement désigné ou d’un représentant légal aux fins de la réception, du respect et de l’exécution des décisions et des injonctions relevant du champ d’application de la présente directive, y compris dans le cadre du règlement (UE) 2023/1543, de la directive 2014/41/UE et de la convention établie par le Conseil conformément à l’article 34 du traité sur l’Union européenne, relative à l’entraide judiciaire en matière pénale entre les États membres de l’Union européenne. En outre, la désignation d’un établissement désigné ou d’un représentant légal, qui pourrait aussi servir à garantir le respect d’obligations légales nationales, permettrait de tirer parti des synergies résultant de l’existence d’un point d’accès clairement défini permettant de s’adresser aux fournisseurs de services à des fins d’obtention de preuves dans le cadre des procédures pénales. |
(13) |
Il convient que les fournisseurs de services soient libres de choisir l’État membre dans lequel ils désignent leur établissement désigné ou, le cas échéant, leur représentant légal, et que les États membres ne puissent restreindre cette liberté de choix, par exemple en imposant l’obligation de désigner l’établissement désigné ou le représentant légal sur leur propre territoire. Toutefois, la présente directive devrait également prévoir certaines restrictions à la liberté de choix des fournisseurs de services, notamment concernant le fait que l’établissement désigné devrait être établi ou, le cas échéant, le représentant légal devrait résider dans un État membre dans lequel le fournisseur de services fournit des services ou est établi, ainsi que prévoir une obligation de désigner un établissement désigné ou un représentant légal dans l’un des États membres participant à un instrument juridique visé dans la présente directive. Le seul fait de désigner un représentant légal ne devrait pas être considéré comme constituant un établissement du fournisseur de services. |
(14) |
Les fournisseurs de services présentant le plus d’intérêt pour l’obtention de preuves dans le cadre des procédures pénales sont les fournisseurs de services de communications électroniques et certains fournisseurs de services de la société de l’information qui facilitent les interactions entre les utilisateurs. Dès lors, ces deux groupes devraient être couverts par la présente directive. Les services de communications électroniques sont définis dans la directive (UE) 2018/1972 du Parlement européen et du Conseil (10) et comprennent les services de communications interpersonnelles tels que la voix par le protocole de l’internet (IP), la messagerie instantanée et les services de courrier électronique. La présente directive devrait aussi s’appliquer aux fournisseurs de services de la société de l’information, au sens de la directive (UE) 2015/1535 du Parlement européen et du Conseil (11), qui ne sont pas considérés comme des fournisseurs de services de communications électroniques, mais qui offrent à leurs utilisateurs la possibilité de communiquer les uns avec les autres ou qui proposent à leurs utilisateurs des services qui peuvent être utilisés pour stocker ou traiter d’une autre manière des données pour leur compte. Cette approche serait conforme aux termes utilisés dans la convention sur la cybercriminalité du Conseil de l’Europe (STE no 185), signée à Budapest le 23 novembre 2001, également appelée convention de Budapest. Le traitement des données devrait être compris au sens technique de création ou manipulation de données, c’est-à-dire des opérations techniques destinées à produire ou modifier des données en faisant appel à la puissance de traitement des ordinateurs. Les catégories de fournisseurs de services relevant du champ d’application de la présente directive devraient comprendre, par exemple, les places de marché en ligne offrant aux consommateurs et aux entreprises la possibilité de communiquer les uns avec les autres, et les autres services d’hébergement, notamment lorsque le service est fourni par l’intermédiaire de l’informatique en nuage, ainsi que les plateformes de jeux en ligne et les plateformes de jeux d’argent et de hasard en ligne. Lorsqu’un fournisseur de services de la société de l’information n’offre pas à ses utilisateurs la possibilité de communiquer les uns avec les autres, mais uniquement la possibilité de communiquer avec le fournisseur de services, ou n’offre pas la possibilité de stocker ou de traiter d’une autre manière des données ou lorsque le stockage des données ne constitue pas une composante déterminante, c’est-à-dire une partie essentielle, du service fourni aux utilisateurs, tels que les services juridiques ou les services d’architecture, d’ingénierie et de comptabilité fournis à distance en ligne, ce fournisseur ne devrait pas entrer dans le champ de la définition de "fournisseur de services" prévue par la présente directive, et ce même si les services qu’il fournit sont des services de la société de l’information au sens de la directive (UE) 2015/1535. |
(15) |
Les fournisseurs de services d’infrastructure internet liés à l’attribution de noms et de numéros, tels que les registres et les bureaux d’enregistrement de noms de domaine et les fournisseurs de services d’anonymisation et d’enregistrement fiduciaire, ou les registres internet régionaux pour les adresses de protocole de l’internet (IP), présentent un intérêt particulier lorsqu’il s’agit d’identifier des acteurs cachés derrière des sites internet malveillants ou compromis. Ils détiennent des données qui pourraient permettre l’identification d’une personne ou d’une entité cachée derrière un site internet utilisé dans une activité criminelle, ou de la victime d’une activité criminelle. |
(16) |
Il convient que les États membres veillent à ce que les fournisseurs de services établis sur leur territoire ou proposant des services sur leur territoire dotent leurs établissements désignés et leurs représentants légaux des pouvoirs et des ressources nécessaires pour se conformer aux décisions et injonctions relevant du champ d’application de la présente directive, reçues d’un État membre. Il y a lieu que les États membres vérifient également que les établissements désignés ou les représentants légaux qui résident sur leur territoire ont reçu de la part des fournisseurs de services les pouvoirs et les ressources nécessaires pour se conformer aux décisions et injonctions relevant du champ d’application de la présente directive reçues de tout État membre et qu’ils coopèrent avec les autorités compétentes lorsqu’ils reçoivent ces décisions et injonctions, conformément au cadre légal applicable. L’absence de telles mesures ou les lacunes dans ces mesures ne devraient pas servir de motifs pour justifier le non-respect de décisions ou d’injonctions relevant du champ d’application de la présente directive. En outre, les fournisseurs de services ne devraient pas pouvoir justifier leur non-respect d’obligations découlant du cadre légal applicable lors de la réception de décisions ou d’injonctions relevant du champ d’application de la présente directive en invoquant l’absence de procédures internes ou l’inefficacité des procédures internes, puisqu’il leur incombe de fournir les ressources et les pouvoirs nécessaires pour garantir le respect desdites décisions et injonctions. Les établissements désignés ou les représentants légaux ne devraient pas non plus pouvoir justifier ce non-respect de leurs obligations en faisant valoir, par exemple, qu’ils ne sont pas habilités à fournir des données. À cette fin, les États membres devraient veiller à ce que tant l’établissement désigné ou le représentant légal que le fournisseur de services puissent être considérés comme solidairement responsables en cas de non-respect d’obligations découlant du cadre légal applicable lors de la réception de décisions et d’injonctions relevant du champ d’application de la présente directive, de sorte que chacun d’entre eux puisse être sanctionné en cas de manquement de l’un d’entre eux. En particulier, le fournisseur de services ou l’établissement désigné, ou le représentant légal le cas échéant, ne devrait pas pouvoir invoquer l’absence de procédures internes appropriées entre le fournisseur de services et l’établissement désigné ou le représentant légal pour justifier le non-respect de ces obligations. La responsabilité solidaire ne devrait pas s’appliquer aux actions ou omissions du fournisseur de services ou de l’établissement désigné, ou du représentant légal le cas échéant, qui constituent une infraction pénale dans l’État membre appliquant les sanctions. |
(17) |
Les États membres devraient veiller à ce que chaque fournisseur de services établi sur leur territoire ou proposant des services sur leur territoire notifie par écrit à l’autorité centrale de l’État membre dans lequel est établi son établissement désigné ou dans lequel réside son représentant légal, désignée en vertu de la présente directive, les coordonnées de contact de cet établissement désigné ou de ce représentant légal, ainsi que toute modification de celles-ci. Il convient également que cette notification comporte des informations sur les langues dans lesquelles il est possible de s’adresser à l’établissement désigné ou au représentant légal, lesquelles devraient inclure une ou plusieurs des langues officielles prévues par le droit national de l’État membre dans lequel est établi l’établissement désigné ou dans lequel réside le représentant légal, mais peuvent aussi inclure d’autres langues officielles de l’Union, comme la langue de l’État membre dans lequel est situé le siège social. Lorsqu’un fournisseur de services désigne plusieurs établissements désignés ou plusieurs représentants légaux conformément à la présente directive, les États membres devraient veiller à ce que ce fournisseur de services indique, pour chaque établissement désigné ou représentant légal, la portée territoriale précise de sa désignation. Le territoire de tous les États membres participant aux instruments relevant du champ d’application de la présente directive devrait être couvert. Les États membres devraient veiller à ce que leurs autorités compétentes respectives adressent toutes leurs décisions et injonctions en vertu de la présente directive à l’établissement désigné ou au représentant légal du fournisseur de services indiqué. Les États membres devraient veiller à ce que les informations qui leur sont notifiées conformément à la présente directive soient mises à la disposition du public sur une page internet spécifique du Réseau judiciaire européen en matière pénale afin de faciliter la coordination entre États membres et de rendre plus aisé le recours à l’établissement désigné ou au représentant légal par les autorités d’un autre État membre. Les États membres devraient veiller à ce que ces informations soient régulièrement mises à jour. Il devrait également être possible de diffuser davantage les informations afin de faciliter l’accès des autorités compétentes à ces informations, par exemple par la voie de sites intranet ou de forums et plateformes spécifiques. |
(18) |
Les États membres devraient déterminer le régime des sanctions applicables aux violations des dispositions nationales adoptées conformément à la présente directive et devraient prendre toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions. Les sanctions prévues devraient être effectives, proportionnées et dissuasives. Les États membres devraient informer la Commission, au plus tard à la date fixée dans la présente directive, du régime ainsi déterminé et des mesures ainsi prises, de même que, sans retard, de toute modification apportée ultérieurement à ce régime ou à ces mesures. En outre, les États membres devraient informer chaque année la Commission des cas de fournisseurs de services défaillants, des mesures d’exécution prises à leur encontre et des sanctions imposées. Ces sanctions ne devraient en aucun cas conduire à une interdiction de la prestation de services, que ce soit à titre permanent ou à titre temporaire. Les États membres devraient coordonner leurs mesures d’exécution lorsqu’un fournisseur de services propose des services dans plusieurs États membres. Les autorités centrales devraient se coordonner pour garantir une approche cohérente et proportionnée. La Commission devrait faciliter cette coordination si nécessaire, et devrait, en tout état de cause, être informée des cas d’infraction. La présente directive ne régit pas les dispositions conventionnelles concernant le transfert ou l’imputation, entre les fournisseurs de services, les établissements désignés et les représentants légaux, des conséquences financières des sanctions qui leur sont imposées. |
(19) |
Lorsqu’elles déterminent les sanctions appropriées applicables en cas d’infractions par les fournisseurs de services, les autorités compétentes devraient tenir compte de l’ensemble des circonstances pertinentes, telles que la capacité financière du fournisseur de services, la nature, la gravité et la durée de l’infraction, le fait que l’infraction ait été commise intentionnellement ou par négligence et le fait que le fournisseur de services ait déjà été tenu responsable ou non d’infractions similaires. À cet égard, une attention particulière devrait être accordée aux microentreprises. |
(20) |
La présente directive est sans préjudice des pouvoirs des autorités nationales dans les procédures civiles et administratives, y compris lorsque celles-ci peuvent entraîner des sanctions. |
(21) |
Afin de garantir une application cohérente de la présente directive, il convient de mettre en place des mécanismes supplémentaires de coordination entre États membres. À cet effet, les États membres devraient désigner une ou plusieurs autorités centrales qui soient en mesure de transmettre des informations et de prêter une assistance aux autorités centrales des autres États membres pour l’application de la présente directive, notamment lorsqu’il est envisagé de prendre des mesures d’exécution en vertu de celle-ci. Ce mécanisme de coordination devrait permettre d’informer les États membres concernés de l’intention d’un État membre de prendre une mesure d’exécution. En outre, les États membres devraient faire en sorte que les autorités centrales puissent se transmettre toute information pertinente et se prêter assistance en pareil cas, et coopérer entre elles si nécessaire. La coopération entre autorités centrales dans le cas d’une mesure d’exécution pourrait rendre nécessaire la coordination d’une telle mesure entre les autorités compétentes de différents États membres. Cette coopération devrait viser à éviter les conflits de compétence positifs ou négatifs. Aux fins de la coordination d’une mesure d’exécution, les autorités centrales devraient également associer la Commission au dossier si nécessaire. L’obligation de coopérer incombant à ces autorités ne devrait pas porter atteinte au droit de chaque État membre d’imposer des sanctions aux fournisseurs de services qui ne respectent pas les obligations qui leur incombent en application de la présente directive. La désignation des autorités centrales et la publication des informations les concernant permettraient aux fournisseurs de services de notifier plus aisément la désignation et les coordonnées de contact de leur établissement désigné ou de leur représentant légal à l’État membre dans lequel leur établissement désigné est établi ou leur représentant légal réside. À cette fin, les États membres devraient informer la Commission de la désignation de leur(s) autorité(s) centrale(s), et la Commission devrait transmettre aux États membres une liste des autorités centrales désignées et la rendre publique. |
(22) |
Étant donné que l’objectif de la présente directive, à savoir la levée des obstacles à la libre prestation des services dans le cadre de l’obtention de preuves électroniques dans les procédures pénales, ne peut pas être atteint de manière suffisante par les États membres mais peut, en raison de la nature sans frontière des services en question, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité énoncé audit article, la présente directive n’excède pas ce qui est nécessaire pour atteindre cet objectif. |
(23) |
Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (12) et a rendu un avis le 6 novembre 2019 (13). |
(24) |
La Commission devrait procéder à une évaluation de la présente directive fondée sur les cinq critères d’efficience, d’efficacité, de pertinence, de cohérence et de valeur ajoutée de l’UE, et cette évaluation devrait servir de base aux analyses d’impact d’éventuelles mesures supplémentaires. Il y a lieu de réaliser cette évaluation au plus tard le 18 août 2029 pour permettre de recueillir suffisamment de données sur sa mise en œuvre pratique. Des informations devraient être recueillies de manière régulière dans le but d’alimenter l’évaluation de la présente directive, |
ONT ADOPTÉ LA PRÉSENTE DIRECTIVE:
Article premier
Objet et champ d’application
1. La présente directive établit des règles relatives à la désignation d’établissements désignés et de représentants légaux de certains fournisseurs de services qui proposent des services dans l’Union pour la réception, le respect et l’exécution des décisions et des injonctions émises par les autorités compétentes des États membres aux fins de l’obtention de preuves dans le cadre de procédures pénales.
2. La présente directive s’applique aux décisions et aux injonctions visant à obtenir des preuves électroniques sur la base du règlement (UE) 2023/1543, de la directive 2014/41/UE et de la convention établie par le Conseil conformément à l’article 34 du traité sur l’Union européenne, relative à l’entraide judiciaire en matière pénale entre les États membres de l’Union européenne. Elle s’applique aussi aux décisions et aux injonctions visant à obtenir des preuves électroniques sur la base du droit national qui sont adressées par un État membre à une personne physique ou morale agissant en qualité de représentant légal ou d’établissement désigné d’un fournisseur de services sur le territoire de cet État membre.
3. La présente directive est sans préjudice des pouvoirs des autorités nationales découlant du droit de l’Union et du droit national de s’adresser directement aux fournisseurs de services établis sur leur territoire aux fins de l’obtention de preuves électroniques dans le cadre de procédures pénales.
4. Les États membres n’imposent pas aux fournisseurs de services d’autres obligations que celles découlant de la présente directive, notamment en ce qui concerne la désignation d’établissements désignés ou de représentants légaux, aux fins énoncées au paragraphe 1.
5. La présente directive s’applique aux fournisseurs de services définis à l’article 2, point 1), qui proposent leurs services dans l’Union. Elle ne s’applique pas aux fournisseurs de services qui sont établis sur le territoire d’un seul État membre et proposent des services exclusivement sur le territoire de cet État membre.
Article 2
Définitions
Aux fins de la présente directive, on entend par:
1) |
"fournisseur de services": toute personne physique ou morale qui fournit une ou plusieurs des catégories de services suivants, à l’exception des services financiers visés à l’article 2, paragraphe 2, point b), de la directive 2006/123/CE du Parlement européen et du Conseil (14):
|
2) |
"proposer des services sur le territoire d’un État membre":
|
3) |
"proposer des services dans l’Union":
|
4) |
"établissement": une entité qui exerce de manière effective une activité économique pendant une durée indéterminée au moyen d’une infrastructure stable à partir de laquelle l’activité de fourniture de services est réalisée ou à partir de laquelle l’activité est gérée; |
5) |
"établissement désigné": un établissement doté de la personnalité juridique désigné par écrit par un fournisseur de services établi dans un État membre participant à un instrument juridique visé à l’article 1er, paragraphe 2, aux fins visées à l’article 1er, paragraphe 1, et à l’article 3, paragraphe 1; |
6) |
"représentant légal": toute personne physique ou morale désignée par écrit par un fournisseur de services qui n’est pas établi dans un État membre participant à un instrument juridique visé à l’article 1er, paragraphe 2, aux fins visées à l’article 1er, paragraphe 1, et à l’article 3, paragraphe 1. |
Article 3
Établissements désignés et représentants légaux
1. Les États membres veillent à ce que les fournisseurs de services qui proposent des services dans l’Union désignent au moins un destinataire pour la réception, le respect et l’exécution des décisions et des injonctions relevant du champ d’application prévu à l’article 1er, paragraphe 2 (ci-après dénommées "décisions et injonctions relevant du champ d’application prévu à l’article 1er, paragraphe 2"), émises par les autorités compétentes des États membres aux fins de l’obtention de preuves dans le cadre des procédures pénales, comme suit:
a) |
pour les fournisseurs de services établis dans l’Union et dotés de la personnalité juridique, les États membres dans lesquels les fournisseurs de services sont établis veillent à ce que ces fournisseurs de services désignent le ou les établissements désignés responsables des activités décrites dans la partie introductive du présent paragraphe; |
b) |
pour les fournisseurs de services qui ne sont pas établis dans l’Union et dotés de la personnalité juridique, les États membres veillent à ce que les fournisseurs de services qui proposent des services sur leur territoire désignent le ou les représentants légaux responsables des activités décrites dans la partie introductive du présent paragraphe dans les États membres participant aux instruments visés à l’article 1er, paragraphe 2; |
c) |
pour les fournisseurs de services établis dans des États membres qui ne participent pas aux instruments visés à l’article 1er, paragraphe 2, les États membres veillent à ce que les fournisseurs de services qui proposent des services sur leur territoire désignent le ou les représentants légaux responsables des activités décrites dans la partie introductive du présent paragraphe dans les États membres participant à ces instruments. |
2. Les États membres veillent à ce que les destinataires visés au paragraphe 1:
a) |
soient établis ou résident dans un État membre où les fournisseurs de services proposent leurs services; et |
b) |
puissent faire l’objet de procédures d’exécution. |
3. Les États membres veillent à ce que les décisions et injonctions relevant du champ d’application prévu à l’article 1er, paragraphe 2, soient adressées à l’établissement désigné ou au représentant légal, désigné à cette fin conformément au paragraphe 1 du présent article.
4. Les États membres veillent à ce que les fournisseurs de services établis sur leur territoire ou proposant des services sur leur territoire dotent leurs établissements désignés et leurs représentants légaux des pouvoirs et des ressources nécessaires pour se conformer aux décisions et injonctions relevant du champ d’application prévu à l’article 1er, paragraphe 2, reçues d’un État membre. Les États membres vérifient également que les établissements désignés qui sont établis sur leur territoire ou les représentants légaux qui résident sur leur territoire ont reçu de la part des fournisseurs de services les pouvoirs et les ressources nécessaires pour se conformer aux décisions et injonctions reçues d’un État membre et qu’ils coopèrent avec les autorités compétentes lorsqu’ils reçoivent ces décisions et injonctions, conformément au cadre légal applicable.
5. Les États membres veillent à ce que tant l’établissement désigné ou le représentant légal que le fournisseur de services puissent être tenus solidairement responsables du non-respect d’obligations découlant du cadre légal applicable lors de la réception de décisions et d’injonctions relevant du champ d’application prévu à l’article 1er, paragraphe 2, de sorte que chacun d’entre eux puisse être soumis à des sanctions en cas de manquement de l’un d’entre eux. En particulier, les États membres veillent à ce que le fournisseur de services ou l’établissement désigné, ou le représentant légal le cas échéant, ne puisse invoquer l’absence de procédures internes appropriées entre le fournisseur de services et l’établissement désigné ou le représentant légal pour justifier le non-respect de ces obligations. La responsabilité solidaire ne s’applique pas aux actions ou omissions du fournisseur de services ou de l’établissement désigné, ou du représentant légal le cas échéant, qui constituent une infraction pénale dans l’État membre qui impose les sanctions.
6. Les États membres veillent à ce que les fournisseurs de services qui proposent des services dans l’Union au 18 février 2026 aient l’obligation de désigner des établissements désignés ou des représentants légaux au plus tard le 18 août 2026 et que les fournisseurs de services qui commencent à proposer des services dans l’Union après le 18 février 2026 aient l’obligation de désigner des établissements désignés ou des représentants légaux dans un délai de six mois à compter de la date à laquelle ces fournisseurs de services commencent à proposer des services dans l’Union.
Article 4
Notifications et langues
1. Les États membres veillent à ce que chaque fournisseur de services établi sur leur territoire ou proposant des services sur leur territoire notifie par écrit, à l’autorité centrale de l’État membre dans lequel son établissement désigné est établi ou dans lequel son représentant légal réside, désignée conformément à l’article 6, les coordonnées de contact de cet établissement ou de ce représentant légal, et toute modification de ces données.
2. La notification visée au paragraphe 1 précise la ou les langues officielles de l’Union, visées dans le règlement no 1 du Conseil (15), dans lesquelles il est possible de s’adresser au représentant légal ou à l’établissement désigné. Ces langues comprennent une ou plusieurs des langues officielles prévues par le droit national de l’État membre dans lequel l’établissement désigné est établi ou dans lequel le représentant légal réside.
3. Lorsqu’un fournisseur de services désigne plusieurs établissements désignés ou plusieurs représentants légaux conformément à l’article 3, paragraphe 1, les États membres veillent à ce que ces fournisseurs de services précisent, dans la notification visée au paragraphe 1 du présent article, la portée territoriale précise de la désignation de ces établissements désignés ou de ces représentants légaux. La notification précise la ou les langues officielles de l’Union ou des États membres dans lesquelles il est possible de s’adresser à chacun des établissements désignés ou des représentants légaux.
4. Les États membres veillent à ce que les informations qui leur sont notifiées conformément au présent article soient mises à la disposition du public sur une page internet spécifique du Réseau judiciaire européen en matière pénale. Les États membres veillent à ce que ces informations soient régulièrement mises à jour. Ces informations peuvent être diffusées davantage pour en faciliter l’accès par les autorités compétentes.
Article 5
Sanctions
Les États membres déterminent le régime des sanctions applicables aux violations des dispositions nationales adoptées en vertu des articles 3 et 4 et prennent toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions. Ces sanctions doivent être effectives, proportionnées et dissuasives. Les États membres informent la Commission, au plus tard le 18 février 2026, du régime ainsi déterminé et des mesures ainsi prises, de même que, sans retard, de toute modification apportée ultérieurement à ce régime ou à ces mesures. En outre, les États membres informent chaque année la Commission des cas de fournisseurs de services défaillants, des mesures d’exécution prises à leur encontre et des sanctions imposées.
Article 6
Autorités centrales
1. Conformément à leur ordre juridique, les États membres désignent une ou plusieurs autorités centrales pour garantir l’application cohérente et proportionnée de la présente directive.
2. Les États membres informent la Commission de la désignation de la ou des autorités centrales en vertu du paragraphe 1. La Commission transmet aux États membres une liste des autorités centrales désignées et met cette liste à la disposition du public.
3. Les États membres veillent à ce que leurs autorités centrales se coordonnent et coopèrent entre elles et, le cas échéant, avec la Commission, et à ce que les autorités centrales se transmettent toute information utile et se prêtent une assistance mutuelle afin d’appliquer la présente directive d’une manière cohérente et proportionnée. La coordination, la coopération, la transmission d’informations et la fourniture d’assistance concernent, en particulier, les mesures d’exécution.
Article 7
Transposition
1. Les États membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive au plus tard le 18 février 2026. Ils communiquent immédiatement à la Commission le texte de ces dispositions.
2. Lorsque les États membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d’une telle référence lors de leur publication officielle. Les modalités de cette référence sont arrêtées par les États membres.
3. Les États membres communiquent à la Commission le texte des dispositions de droit interne qu’ils adoptent dans le domaine régi par la présente directive.
Article 8
Évaluation
Au plus tard le 18 août 2029, la Commission procède à une évaluation de la présente directive. Elle transmet le rapport d’évaluation au Parlement européen et au Conseil. L’évaluation est réalisée conformément aux lignes directrices de la Commission pour une meilleure réglementation. Les États membres fournissent à la Commission les informations nécessaires à l’élaboration de ce rapport.
Article 9
Entrée en vigueur
La présente directive entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Article 10
Destinataires
Les États membres sont destinataires de la présente directive conformément aux traités.
Fait à Strasbourg, le 12 juillet 2023.
Par le Parlement européen
La présidente
R. METSOLA
Par le Conseil
Le président
P. NAVARRO RÍOS
(1) JO C 367 du 10.10.2018, p. 88.
(2) Position du Parlement européen du 13 juin 2023 (non encore parue au Journal officiel) et décision du Conseil du 27 juin 2023.
(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
(4) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37).
(5) Règlement (UE) 2023/1543 du Parlement européen et du Conseil du 12 juillet 2023 relatif aux injonctions européennes de production et aux injonctions européennes de conservation de preuves électroniques, dans les procédures pénales et aux fins de l’exécution de peines privatives de liberté prononcées à l’issue d’une procédure pénale (voir page 118 du présent Journal officiel).
(6) Directive 2014/41/UE du Parlement européen et du Conseil du 3 avril 2014 concernant la décision d’enquête européenne en matière pénale (JO L 130 du 1.5.2014, p. 1).
(7) Convention établie par le Conseil conformément à l’article 34 du traité sur l’Union européenne, relative à l’entraide judiciaire en matière pénale entre les États membres de l’Union européenne (JO C 197 du 12.7.2000, p. 3) et son protocole (JO C 326 du 21.11.2001, p. 2).
(8) Règlement (UE) no 1215/2012 du Parlement européen et du Conseil du 12 décembre 2012 concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale (JO L 351 du 20.12.2012, p. 1).
(9) Règlement (UE) 2018/302 du Parlement européen et du Conseil du 28 février 2018 visant à contrer le blocage géographique injustifié et d’autres formes de discrimination fondée sur la nationalité, le lieu de résidence ou le lieu d’établissement des clients dans le marché intérieur, et modifiant les règlements (CE) no 2006/2004 et (UE) 2017/2394 et la directive 2009/22/CE (JO L 60 I du 2.3.2018, p. 1).
(10) Directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen (JO L 321 du 17.12.2018, p. 36).
(11) Directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information (JO L 241 du 17.9.2015, p. 1).
(12) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).
(13) JO C 32 du 31.1.2020, p. 11.
(14) Directive 2006/123/CE du Parlement européen et du Conseil du 12 décembre 2006 relative aux services dans le marché intérieur (JO L 376 du 27.12.2006, p. 36).
(15) Règlement no 1 du Conseil portant fixation du régime linguistique de la Communauté économique européenne (JO 17 du 6.10.1958, p. 385).