Avis du Comité économique et social européen sur la proposition de règlement du Parlement européen et du Conseil relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale

[COM(2018) 225 final — 2018/0108 (COD)]

et sur la proposition de directive du Parlement européen et du Conseil établissant des règles harmonisées concernant la désignation de représentants légaux aux fins de la collecte de preuves en matière pénale

[COM(2018) 226 final — 2018/0107 (COD)]

(2018/C 367/17)

Rapporteur général:

Christian BÄUMLER

Saisine	Parlement européen, 31.5.2018
Base juridique	Article 82, paragraphe 1, du traité sur le fonctionnement de l’Union européenne
Compétence	Section spécialisée «Emploi, affaires sociales et citoyenneté»
Décision du Bureau	22.5.2018
Adoption en session plénière	12.7.2018
Session plénière no	536
Résultat du vote (pour/contre/abstentions)	157/2/0

1. Conclusions et recommandations

1.1.

Le CESE juge l’utilisation croissante des services d’information problématique en matière d’application de la loi. Il existe à l’heure actuelle un manque de coopération fiable avec les fournisseurs de services, ainsi qu’un manque de transparence et une insécurité juridique liée aux compétences relatives aux moyens d’investigation.

1.2.

Le CESE se félicite que la proposition de règlement relatif aux injonctions européennes de production et de conservation de preuves électroniques introduise des instruments européens contraignants pour la collecte de données et l’accès à ces dernières.

1.3.

1.4.

Le CESE se félicite que l’injonction européenne de production ne s’applique qu’aux formes d’infraction les plus graves. Il fait observer que pour atteindre cet objectif, il conviendrait de se baser sur une peine minimale de trois mois plutôt que sur une peine maximale de trois ans.

1.5.

1.6.

1.7.

Le CESE se félicite que les deux injonctions doivent être émises ou confirmées par une autorité judiciaire d’un État membre. Il juge toutefois problématique que dans le cas des données relatives aux abonnés et des données relatives à l’accès, une injonction puisse également être émise par un procureur, et préconise d’élargir l’autorisation judiciaire à la collecte de toutes les données à caractère personnel.

1.8.

À l’instar de la Commission, le CESE juge problématique que des pays tiers puissent introduire à l’encontre des fournisseurs de services établis dans l’Union européenne des obligations qui ne respectent pas les droits fondamentaux de l’Union européenne. Le Comité se félicite que la proposition prévoie de solides garanties ainsi que des références explicites aux conditions et garanties déjà inhérentes à l’acquis de l’Union européenne.

1.9.

Le CESE soutient la possibilité offerte au destinataire, telle que prévue dans la proposition de la Commission, de contester la légalité, la nécessité ou la proportionnalité d’une injonction, et le fait que les immunités et privilèges protégeant les données requises dans l’État membre du fournisseur de services doivent être respectés par l’État d’émission.

1.10.

Le CESE se félicite que la proposition de la Commission prévoie l’obligation pour les fournisseurs de services de désigner un représentant légal dans l’Union chargé de recevoir, respecter et exécuter les décisions aux fins de la collecte de preuves.

1.11.

Le CESE est d’avis que les fournisseurs de services devraient, dans tous les cas, bénéficier du droit au remboursement de leurs frais lorsque le droit de l’État d’émission le prévoit.

2. Contexte de la proposition

2.1.

Plus de la moitié de toutes les enquêtes judiciaires comprennent aujourd’hui une demande transfrontière d’accès à des preuves électroniques telles que des textes, des courriers électroniques ou des applications de messagerie. La Commission propose dès lors de nouvelles règles, qui doivent permettre aux autorités policières et judiciaires d’obtenir plus facilement et plus rapidement un accès aux preuves électroniques dont elles estiment avoir besoin dans le cadre de leurs enquêtes susceptibles de conduire à l’arrestation et à la condamnation de criminels et de terroristes.

2.2.

En 2016, le Conseil (1) a réclamé des mesures concrètes fondées sur une approche européenne commune visant à rendre l’entraide judiciaire plus efficace, à améliorer la coopération entre les autorités des États membres et les fournisseurs de services établis dans des pays tiers, et à proposer des solutions au problème que pose la détermination de la compétence d’exécution dans le cyberespace.

2.3.

Le Parlement européen (2) a également souligné les défis que le cadre juridique actuellement fragmenté pose aux fournisseurs de services qui cherchent à se conformer aux demandes des services répressifs. Il a préconisé un cadre juridique européen garantissant les droits et les libertés de toutes les parties concernées.

2.4.

Pour les cas où les preuves ou les fournisseurs de services se trouvent dans un autre pays, des mécanismes de coopération ont été mis en place entre pays depuis plusieurs dizaines d’années. Malgré de fréquentes réformes, ces mécanismes de coopération sont de plus en plus mis à rude épreuve face à la nécessité grandissante d’accéder rapidement aux preuves électroniques à l’étranger. Plusieurs États membres et pays tiers ont réagi en développant leurs outils nationaux. De l’avis du CESE, la fragmentation qui en découle engendre une insécurité juridique et des obligations contradictoires, et soulève des questions relatives à la protection des droits fondamentaux et des garanties procédurales pour les personnes concernées par ce type de demandes.

2.5.

Le CESE juge l’utilisation croissante des services d’information problématique en matière d’application de la loi, étant donné le manque général de moyens des autorités compétentes pour traiter les preuves en ligne. Le processus fastidieux d’obtention des preuves constitue également l’un des principaux obstacles. Il existe à l’heure actuelle un manque de coopération fiable avec les fournisseurs de services, ainsi qu’un manque de transparence et une insécurité juridique liée aux compétences relatives aux moyens d’investigation. Le Comité est favorable à une coopération transfrontière directe entre les services répressifs et les fournisseurs de services numériques dans le cadre des enquêtes judiciaires.

2.6.

Le cadre juridique actuel de l’Union européenne se compose des instruments de coopération de l’Union en matière pénale, tels que la directive 2014/41/UE concernant la décision d’enquête européenne en matière pénale (3), la convention relative à l’entraide judiciaire en matière pénale entre les États membres de l’Union européenne (4), la décision 2002/187/JAI du Conseil instituant Eurojust (5), le règlement (UE) 2016/794 relatif à Europol (6), la décision-cadre 2002/465/JAI du Conseil relative aux équipes communes d’enquête (7), ainsi que les accords bilatéraux entre l’Union et les pays tiers.

3. Injonctions de conservation et de production

3.1.

Le CESE se félicite que la proposition de règlement relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale [COM(2018) 225] introduise des instruments européens contraignants pour la collecte de données et l’accès à ces dernières. Les destinataires sont les fournisseurs de services de communications électroniques, réseaux sociaux, marchés en ligne, fournisseurs de services d’hébergement et fournisseurs d’infrastructures internet comme les registres d’adresses IP et de noms de domaine.

3.2.

La directive concernant la décision d’enquête européenne en matière pénale couvre toutes les mesures d’enquête transfrontières au sein de l’Union européenne, y compris l’accès aux preuves électroniques, mais ne contient aucune disposition spécifique sur la collecte transfrontière de preuves électroniques. Le CESE se félicite donc que la Commission propose de nouvelles règles permettant aux autorités policières et judiciaires d’obtenir plus facilement et plus rapidement un accès aux preuves électroniques.

3.3.

Le CESE accueille favorablement le fait que l’injonction européenne de production et l’injonction européenne de conservation soient des mesures d’enquête qui ne peuvent être émises que dans le cadre d’enquêtes judiciaires ou procédures pénales pour des infractions pénales réelles. Le lien avec une enquête réelle les distingue des mesures préventives ou obligations de conservation de données prévues par la loi et garantit l’application des droits procéduraux applicables aux procédures pénales.

3.4.

Le CESE prend acte du fait que les injonctions de production de données relatives aux abonnés et de données relatives à l’accès pourront être émises pour toutes les infractions pénales, tandis que les injonctions de production de données relatives aux transactions ou au contenu ne pourront être émises que pour les infractions pénales passibles dans l’État d’émission d’une peine privative de liberté d’une durée maximale d’au moins trois ans ou pour les infractions spécifiques visées par la proposition, et lorsqu’il existe un lien particulier avec les outils et infractions électroniques visés par la directive 2017/541/UE relative à la lutte contre le terrorisme. Ce choix d’une peine maximale de trois ans est censé garantir que l’injonction européenne de production ne soit utilisée que pour les formes d’infractions les plus graves par rapport auxdites données. Le Comité fait observer que pour atteindre cet objectif, auquel il souscrit par ailleurs, il conviendrait plutôt de se baser sur une peine minimale de trois mois.

3.5.

La base juridique de l’action menée dans le domaine de la justice est constituée par l’article 82, paragraphe 1, du traité sur le fonctionnement de l’Union européenne (TFUE). L’article 82, paragraphe 1, prévoit que des mesures peuvent être adoptées conformément à la procédure législative ordinaire afin d’établir des règles et procédures pour assurer la reconnaissance de toutes les formes de jugements et de décisions judiciaires dans l’ensemble de l’Union.

3.6.

Les nouveaux instruments s’appuient sur ces principes de reconnaissance mutuelle afin de faciliter la collecte transfrontière des preuves électroniques. Aucune autorité dans le pays de résidence du destinataire de l’injonction ne devra procéder directement à sa signification ni à son exécution. Le CESE fait observer qu’une autorité d’un autre État membre de l’Union européenne est ainsi susceptible d’accéder aux données d’un citoyen de l’Union européenne selon ses propres règles.

3.7.

Le CESE souligne que le règlement se doit de respecter les droits fondamentaux et d’observer les principes reconnus en particulier par la charte des droits fondamentaux de l’Union européenne et les constitutions des États membres. Ceux-ci comprennent le droit à la liberté et à la sécurité, le respect de la vie privée et familiale, la protection des données à caractère personnel, la liberté d’entreprise, le droit de propriété, le droit à un recours effectif et à un procès équitable, la présomption d’innocence et les droits de la défense, les principes de légalité et de proportionnalité, ainsi que le droit à ne pas être jugé ou puni pénalement deux fois pour une même infraction. Le Comité souligne que la protection de ces droits dépend également des conditions selon lesquelles il est possible d’intervenir vis-à-vis de ces droits, et de qui est habilité à prendre une décision en la matière.

3.8.

Le CESE souligne que les questions de savoir sous quelles conditions a lieu l’accès aux données dans une procédure pénale et qui est habilité à prendre une décision en la matière reçoivent souvent des réponses différentes au niveau national. La compétence en matière d’accès aux données peut relever de la police, du ministère public ou d’une juridiction. Il existe également des différences quant à la question de savoir à quel stade de la procédure d’enquête et à partir de quel niveau de suspicion il est légalement autorisé d’accéder aux données. Le Comité estime qu’il y a lieu de développer des normes uniformes au niveau européen pour déterminer à quel moment l’accès aux données est autorisé.

3.9.

Le CESE se félicite que les deux injonctions doivent être émises ou confirmées par une autorité judiciaire d’un État membre. Pour émettre une injonction européenne de production ou de conservation, l’autorité judiciaire doit être concernée soit en qualité d’autorité d’émission, soit de validation. Pour les injonctions de production portant sur des données relatives aux transactions ou sur celles relatives au contenu, l’intervention d’un juge ou d’une juridiction est requise. La proposition de la Commission augmenterait dans l’ensemble le niveau de protection juridique en Europe.

3.10.

Le CESE juge toutefois problématique que dans le cas des données relatives aux abonnés et des données relatives à l’accès, une injonction puisse également être émise par un procureur, étant donné qu’il s’agit également de données à caractère personnel et qu’il est difficile d’assurer une protection juridique a posteriori en cas de consultation des données dans un autre État membre. Le Comité préconise d’élargir l’autorisation judiciaire à la collecte de toutes les données à caractère personnel.

3.11.

Le CESE soutient la possibilité offerte au destinataire, telle que prévue dans la proposition de la Commission, de contester la légalité, la nécessité ou la proportionnalité d’une injonction. Le plein respect des droits au titre de la législation de l’État chargé de la mise en œuvre est assuré, selon la proposition de la Commission, par l’obligation faite à l’État d’émission de respecter les immunités et privilèges protégeant les données requises dans l’État membre du fournisseur de services. Aux termes de la proposition, cela vaut tout particulièrement dans le cas où ces immunités et privilèges assurent une meilleure protection que la législation de l’État d’émission.

3.12.

Le CESE fait observer que l’injonction influence également les droits des fournisseurs de services, notamment leur liberté d’entreprise. Il accueille favorablement le fait que la proposition reconnaisse au fournisseur de services le droit de soulever certaines revendications dans l’État membre d’émission, par exemple dans le cas où l’injonction n’a pas été émise ou confirmée par une autorité judiciaire. Si l’injonction est renvoyée pour application à l’État chargé de la mise en œuvre, l’autorité chargée de la mise en œuvre peut décider de ne pas reconnaître ou de ne pas mettre en œuvre l’injonction si des motifs limités de refus apparaissent au moment de sa réception, et après consultation de l’autorité d’émission.

3.13.

La proposition de la Commission prévoit que les fournisseurs de services peuvent réclamer le remboursement de leurs frais auprès de l’État d’émission conformément au droit national de celui-ci si le droit national de l’État d’émission le prévoit pour les injonctions nationales dans des affaires nationales similaires. Le CESE est d’avis que les fournisseurs de services devraient, dans tous les cas, bénéficier du droit au remboursement de leurs frais lorsque le droit de l’État d’émission le prévoit.

4. Conflits d’obligations

4.1.

À l’instar de la Commission, le CESE juge problématique que des pays tiers puissent introduire à l’encontre des fournisseurs de services établis dans l’Union européenne des obligations qui manqueraient de cohérence avec les conditions de l’Union relatives aux droits fondamentaux, notamment le niveau élevé de protection des données garanti par l’acquis de l’Union.

4.2.

La proposition résout ce problème en définissant une mesure qui prévoit de solides garanties et des références explicites aux conditions et garanties déjà inhérentes à l’acquis de l’Union européenne. Le CESE partage l’avis de la Commission selon lequel cette mesure pourrait servir de modèle pour les législations étrangères.

4.3.

Le CESE approuve également l’ajout, prévu dans la proposition, d’une clause spécifique pour les «obligations contradictoires», qui permettrait aux fournisseurs de services de repérer et signaler les obligations contradictoires auxquelles ils font face, et de solliciter un contrôle juridictionnel. Cette clause vise à garantir le respect des lois générales de blocage, par exemple l’Electronic Communications Privacy Act américain (loi sur la confidentialité des communications électroniques, ECPA), qui interdit la divulgation de données relatives au contenu dans sa zone géographique excepté dans des circonstances limitées, ainsi que des lois qui n’interdisent pas la divulgation de manière générale mais peuvent le faire dans certains cas particuliers.

4.4.

Le CESE partage l’avis de la Commission selon lequel des accords internationaux avec d’autres partenaires clés permettraient de réduire davantage les situations de conflit de lois. Il s’agirait là du meilleur moyen d’éviter les conflits.

5. Directive concernant la désignation de représentants légaux

5.1.

La proposition de la Commission relative aux injonctions européennes de production et de conservation doit être complétée par une directive établissant des règles harmonisées concernant la désignation de représentants légaux en matière pénale [COM(2018) 226]. Les obligations imposées aux prestataires de services font actuellement l’objet d’approches diverses dans les États membres. Cette division concerne plus particulièrement les preuves électroniques. Une telle lacune est source d’insécurité juridique pour les personnes concernées et peut conduire à des régimes d’obligations et de sanctions différents et parfois contradictoires pour les prestataires de services à cet égard, selon que ceux-ci fournissent des services à l’échelle nationale, au niveau transfrontière au sein de l’Union, ou depuis un endroit situé en-dehors de celle-ci.

5.2.

La directive proposée par la Commission prévoit l’obligation pour les prestataires de services de désigner un représentant légal dans l’Union chargé de recevoir, respecter et exécuter les décisions aux fins de la collecte de preuves par les autorités nationales dans les procédures pénales.

5.3.

De l’avis du CESE, cette réglementation garantirait un fonctionnement plus efficace du marché intérieur, en harmonie avec le développement d’un espace commun de liberté, de sécurité et de justice. L’obligation de désigner un représentant légal pour tous les prestataires de services opérant dans l’Union garantirait la présence permanente d’un destinataire clairement désigné pour les mesures d’enquête. Il serait de la sorte plus facile pour les prestataires de services de respecter ces injonctions, étant donné que le représentant légal serait chargé de recevoir, de respecter et d’exécuter ces injonctions au nom du prestataire de services.

Bruxelles, le 12 juillet 2018.

Le président du Comité économique et social européen

Luca JAHIER

(1) Conclusions du Conseil de l’Union européenne du 9 juillet 2016 sur l’amélioration de la justice pénale dans le cyberespace, ST9579/16.

(2) P8_TA(2017)0366.

(3) Directive 2014/41/UE du Parlement européen et du Conseil du 3 avril 2014 concernant la décision d’enquête européenne en matière pénale (JO L 130 du 1.5.2014, p. 1).

(4) Acte du Conseil du 29 mai 2000 établissant, conformément à l’article 34 du traité sur l’Union européenne, la convention relative à l’entraide judiciaire en matière pénale entre les États membres de l’Union européenne.

(5) Décision 2002/187/JAI du Conseil du 28 février 2002 instituant Eurojust afin de renforcer la lutte contre les formes graves de criminalité.

(6) Règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l’Agence de l’Union européenne pour la coopération des services répressifs (Europol).

(7) Décision-cadre 2002/465/JAI du Conseil du 13 juin 2002.