COMMISSION EUROPÉENNE
Bruxelles, le 10.9.2020
COM(2020) 568 final
2020/0259(COD)
Proposition de
RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL
concernant une dérogation temporaire à certaines dispositions de la directive 2002/58/CE du Parlement européen et du Conseil en ce qui concerne l’utilisation de technologies par des fournisseurs de services de communications interpersonnelles non fondés sur la numérotation pour le traitement de données à caractère personnel et d’autres données aux fins de la lutte contre les abus sexuels commis contre des enfants en ligne
EXPOSÉ DES MOTIFS
1.CONTEXTE DE LA PROPOSITION
•Objectifs de la proposition
La directive 2002/58/CE (directive «vie privée et communications électroniques») garantit la protection de la vie privée ainsi que la confidentialité des communications et des données à caractère personnel dans le secteur des communications électroniques. Elle met en œuvre les articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne (ci-après la «charte») dans le droit dérivé de l’Union.
Le 21 décembre 2020, date de mise en application du code des communications électroniques européen (CCEE), la définition des services de communications électroniques sera remplacée par une nouvelle définition qui inclut les services de communications interpersonnelles non fondés sur la numérotation. À partir de cette date, ces services seront donc couverts par la directive «vie privée et communications électroniques» qui se fonde sur la définition du CCEE. Ce changement concerne les services de communications tels que le courrier électronique web, les services de messagerie et la téléphonie internet.
Certains fournisseurs de services de communications interpersonnelles non fondés sur la numérotation utilisent déjà des technologies spécifiques pour détecter les abus sexuels commis contre des enfants sur leurs services et les signaler aux autorités répressives et aux organismes qui agissent dans l'intérêt public contre les abus sexuels commis contre des enfants, et/ou pour supprimer le matériel pédopornographique. Ces organismes renvoient aux lignes téléphoniques nationales à utiliser pour signaler le matériel pédopornographique, ainsi qu’à des organismes, situés tant dans l’UE que dans des pays tiers, dont l’objectif est de réduire l’exploitation sexuelle des enfants et de prévenir la victimisation des enfants.
Les abus sexuels commis contre des enfants constituent des crimes particulièrement graves, entraînant des conséquences lourdes et de grande ampleur, qui durent toute la vie pour les victimes. Comme ils touchent les enfants, ces crimes entraînent également d’importants dommages sociaux à long terme. La lutte contre les abus sexuels commis contre des enfants constitue une priorité pour l’UE. Le 24 juillet 2020, la Commission européenne a adopté une stratégie de l’UE en faveur d'une lutte plus efficace contre les abus sexuels commis contre des enfants, qui vise à apporter une réponse efficace aux crimes que constituent les abus sexuels commis contre des enfants. La Commission a annoncé qu’elle proposera, d’ici au deuxième trimestre de 2021, les dispositions législatives nécessaires pour lutter efficacement contre les abus sexuels commis contre des enfants en ligne, y compris des dispositions exigeant des fournisseurs de services en ligne concernés qu’ils détectent le matériel pédopornographique connu et le signalent aux autorités publiques. La législation annoncée sera destinée à remplacer le présent règlement, par la mise en place de dispositions contraignantes afin de détecter et de signaler les abus sexuels commis contre des enfants, afin d’apporter davantage de clarté et de certitude aux services répressifs et aux acteurs concernés du secteur privé dans leur travail visant les abus en ligne, tout en garantissant le respect des droits fondamentaux des utilisateurs, en particulier en ce qui concerne la liberté d’expression et d’opinion, la protection des données à caractère personnel et de la vie privée, et tout en mettant en place des mécanismes visant à garantir la responsabilité et la transparence.
Les fournisseurs de services de communications électroniques doivent se conformer à l’obligation, instaurée par la directive «vie privée et communications électroniques», de respecter la confidentialité des communications, et aux conditions prévues pour le traitement des données de communications. Les pratiques actuelles de certains services de communications interpersonnelles non fondés sur la numérotation pour détecter les abus sexuels commis contre des enfants en ligne pourraient interférer avec certaines dispositions de la directive «vie privée et communications électroniques». La directive «vie privée et communications électroniques» ne contient pas de base juridique explicite pour le traitement volontaire de contenus ou de données relatives au trafic aux fins de la détection d’abus sexuels commis contre des enfants en ligne. De ce fait, dans le cas des services relevant du champ d’application de la directive «vie privée et communications électroniques», les fournisseurs ne pourront continuer à appliquer ces mesures que si les États membres adoptent des dispositions législatives s'appuyant sur les motifs énoncés à l’article 15 de cette directive et conformes aux exigences de cette disposition. En l’absence de telles mesures législatives nationales et dans l’attente de l’adoption de la législation à long terme annoncée dans la stratégie de la Commission du 24 juillet 2020, les fournisseurs de services de communications interpersonnelles non fondés sur la numérotation manqueraient d’une base juridique pour continuer à détecter les abus sexuels commis contre des enfants sur leurs services. Ces activités volontaires jouent un rôle précieux car elles permettent d’identifier et de secourir les victimes et elles réduisent la diffusion de matériel pédopornographique tout en contribuant à l’identification des auteurs, à la recherche d'informations les concernant et à la prévention des infractions pédopornographiques.
La Commission considère qu’il est essentiel de prendre des mesures immédiates. La présente proposition constitue donc une solution législative provisoire étroite et ciblée dans le seul but de créer une dérogation, temporaire et strictement limitée, à l'applicabilité de l’article 5, paragraphe 1, et de l’article 6 de la directive «vie privée et communications électroniques», qui protègent la confidentialité des communications et des données relatives au trafic. La présente proposition respecte les droits fondamentaux, notamment les droits à la vie privée et à la protection des données à caractère personnel, tout en permettant aux fournisseurs de services de communications interpersonnelles non fondés sur la numérotation de continuer à utiliser des technologies spécifiques et de poursuivre leurs activités actuelles dans la mesure nécessaire pour détecter et signaler les abus sexuels commis contre des enfants en ligne et pour supprimer le matériel pédopornographique sur leurs services, dans l’attente de l’adoption de la législation à long terme annoncée. Les efforts volontaires visant à détecter la sollicitation d’enfants à des fins sexuelles («pédopiégeage») doivent également se limiter à l’utilisation des technologies de pointe actuelles qui correspondent aux garanties prévues. Le présent règlement devrait cesser de s’appliquer en décembre 2025. Si la législation à long terme annoncée est adoptée et entre en vigueur avant cette date, cette législation devrait abroger le présent règlement.
2.BASE JURIDIQUE, SUBSIDIARITÉ ET PROPORTIONNALITÉ
•Base juridique
La base juridique est l’article 16 et l’article 114 du traité sur le fonctionnement de l’Union européenne (TFUE).
Étant donné que le présent règlement prévoit une dérogation temporaire à certaines dispositions de la directive 2002/58/CE, adoptée sur la base de l’article 95 du traité instituant la Communauté européenne, il est approprié d’adopter le présent règlement sur la base de la disposition correspondante du TFUE, à savoir son article 114. En outre, tous les États membres n’ont pas adopté de mesures législatives conformément à l’article 15, paragraphe 1, de la directive «vie privée et communications électroniques» en ce qui concerne l’utilisation, par les fournisseurs de services de communications interpersonnelles non fondés sur la numérotation, de technologies aux fins de la lutte contre les abus sexuels commis contre des enfants en ligne et l’adoption de telles mesures comporte un risque non négligeable de fragmentation susceptible d’affecter négativement le marché intérieur. Il est donc approprié d’adopter le présent règlement sur la base de l’article 114 du TFUE.
L’article 16 du TFUE instaure une base juridique spécifique pour l’adoption de règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions de l’Union ainsi que par les États membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et de règles relatives à la libre circulation de ces données. La communication électronique qui implique une personne physique étant normalement considérée comme une donnée à caractère personnel, le présent règlement devrait également être fondé sur l’article 16 du TFUE.
•Subsidiarité (en cas de compétence non exclusive)
Le principe de subsidiarité veut que l’UE n'agisse que si les objectifs visés ne peuvent être atteints par la seule action des États membres. L’intervention de l’UE est nécessaire afin de préserver la capacité des fournisseurs de services de communications interpersonnelles non fondés sur la numérotation à détecter et signaler volontairement les abus sexuels commis contre des enfants en ligne, et à supprimer volontairement le matériel pédopornographique, et afin d’instaurer un cadre juridique uniforme et cohérent pour les activités en question dans tout le marché intérieur. L’absence d’action de l’Union en la matière risquerait d’entraîner une fragmentation si les États membres adoptaient des législations nationales divergentes. En outre, de telles solutions nationales ne pourraient très probablement pas être adoptées d’ici au 21 décembre 2020 dans tous les États membres. De plus, une dérogation à l’échelle de l’Union pour certaines dispositions de la directive «vie privée et communications électroniques» ne peut être adoptée qu’au moyen d’un acte législatif de l’Union. L’objectif ne peut donc être atteint efficacement par aucun État membre agissant seul, ni même par plusieurs États membres agissant collectivement.
•Proportionnalité
La proposition est conforme au principe de proportionnalité énoncé à l’article 5 du traité sur l’Union européenne car elle n’excédera pas ce qui est nécessaire pour atteindre les objectifs fixés. Elle prévoit une dérogation ciblée et temporaire en ce qui concerne certains aspects des modifications apportées au cadre actuel afin que certaines mesures restent autorisées pour autant qu’elles soient conformes au droit actuel de l’Union. En particulier, la proposition instaure une dérogation, provisoire et strictement limitée, à l'applicabilité de l’article 5, paragraphe 1, et de l’article 6 de la directive «vie privée et communications électroniques» , dans le seul but de permettre aux fournisseurs de services de communications interpersonnelles non fondés sur la numérotation de continuer à utiliser des technologies spécifiques et de poursuivre leurs activités actuelles dans la mesure nécessaire pour détecter et signaler les abus sexuels commis contre des enfants en ligne et pour supprimer le matériel pédopornographique sur leurs services, dans l’attente de l’adoption de la législation à long terme annoncée. Cette dérogation au champ d’application révisé de la directive «vie privée et communications électroniques» doit être interprétée de manière restrictive, en particulier du fait que les services de communications interpersonnelles non fondés sur la numérotation resteront soumis à cette directive pour toutes leurs autres activités. La proposition prévoit donc des sauvegardes afin de garantir que les technologies bénéficiant de la dérogation respectent les normes des meilleures pratiques actuellement appliquées et limite ainsi les intrusions dans la confidentialité des communications et le risque de contournement. La dérogation est limitée aux technologies régulièrement utilisées par les services de communications interpersonnelles non fondés sur la numérotation pour détecter et signaler les abus sexuels commis contre des enfants en ligne et pour supprimer le matériel pédopornographique avant l’entrée en vigueur du présent règlement, et garantit que les types de technologies utilisés sont les moins intrusifs dans la vie privée en l’état actuel de la technique dans le secteur. Les fournisseurs devraient également publier des rapports annuels sur le traitement appliqué. La durée de la dérogation est limitée au laps de temps strictement nécessaire à l’adoption de la législation à long terme.
•Choix de l’instrument
Un règlement est le moyen le plus efficace de réaliser les objectifs poursuivis par la présente proposition. Les dispositions seront ainsi directement applicables et assureront une approche uniforme et cohérente dans tout le marché intérieur, ce qui revêt une importance particulière étant donné que les mesures de lutte contre les abus sexuels commis contre des enfants en ligne sont appliquées par les entreprises de manière uniforme à tous leurs services; des mesures de transposition nationale divergente pourraient décourager la poursuite de l’engagement volontaire. Enfin, seul un règlement semble permettre de respecter la date du 21 décembre pour l’entrée en application.
3.RÉSULTATS DES ÉVALUATIONS EX POST, DES CONSULTATIONS DES PARTIES INTÉRESSÉES ET DES ANALYSES D'IMPACT
•Évaluations ex post/bilans de qualité de la législation existante
•Consultation des parties intéressées
•Obtention et utilisation d'expertise
•Analyse d'impact
Vu l’objectif visé et la nécessité d’une action rapide, aucune autre option n’est matériellement envisageable et une analyse d’impact n’est pas appropriée. En particulier, la proposition vise à instaurer une dérogation, temporaire et strictement limitée, à l'applicabilité de l’article 5, paragraphe 1, et de l’article 6 de la directive «vie privée et communications électroniques» afin de garantir que les fournisseurs de services de communications interpersonnelles non fondés sur la numérotation puissent continuer à utiliser volontairement des technologies spécifiques pour détecter et signaler les abus sexuels commis contre des enfants en ligne et pour supprimer le matériel pédopornographique sur leurs services après le 20 décembre 2020, dans l’attente de l’adoption d'une législation à long terme. La législation à long terme sera proposée au cours du deuxième trimestre de 2021, comme annoncé dans la stratégie de l’UE en faveur d'une lutte plus efficace contre les abus sexuels commis contre des enfants, et sera accompagnée d’une analyse d’impact.
•Droits fondamentaux
La proposition tient pleinement compte des droits et principes fondamentaux reconnus par la charte des droits fondamentaux de l’Union européenne. En particulier, les mesures proposées tiennent compte de l’article 7 de la charte des droits fondamentaux de l’Union européenne, qui protège le droit fondamental de toute personne au respect de sa vie privée et familiale, de son domicile et de ses communications, ce qui inclut la confidentialité des communications. La proposition tient également compte de l’article 24, paragraphe 2, de la charte, qui prévoit que, dans tous les actes relatifs aux enfants, qu'ils soient accomplis par des autorités publiques ou des institutions privées, l'intérêt supérieur de l'enfant doit être une considération primordiale. En outre, dans la mesure où le traitement des communications électroniques par des services de communications interpersonnelles non fondés sur la numérotation à la seule fin de détecter et signaler les abus sexuels commis contre des enfants en ligne et de supprimer le matériel pédopornographique entre dans le champ d’application de la dérogation créée par la présente proposition, le règlement général sur la protection des données, qui met en œuvre dans le droit dérivé l’article 8, paragraphe 1, de la charte, continue de s’appliquer à ce traitement.
4.INCIDENCE BUDGÉTAIRE
La présente proposition n’a pas d’incidence sur le budget de l’Union.
5.AUTRES ÉLÉMENTS
•Plans de mise en œuvre et modalités de suivi, d'évaluation et d'information
•Explication détaillée des différentes dispositions de la proposition
L’article 1er définit l’objectif de la proposition de créer une dérogation, temporaire et strictement limitée, à certaines obligations prévues par la directive 2002/58/CE, dans le seul but de permettre aux fournisseurs de services de communications interpersonnelles non fondés sur la numérotation de continuer à utiliser des technologies de traitement de données à caractère personnel et d’autres données dans la mesure nécessaire pour détecter et signaler les abus sexuels commis contre des enfants en ligne et pour supprimer le matériel pédopornographique sur leurs services.
L’article 2 fait référence à la définition des services de communications interpersonnelles non fondés sur la numérotation figurant dans la directive (UE) 2018/1972 (code des communications électroniques européen) et à certaines définitions de la directive 2011/93/UE relative à la lutte contre les abus sexuels et l’exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil.
L’article 3 définit le champ d’application de la dérogation en instaurant une dérogation limitée aux obligations prévues par l’article 5, paragraphe 1, et par l’article 6 de la directive «vie privée et communications électroniques» pour le traitement de données à caractère personnel et d’autres données liées à la fourniture de services de communications interpersonnelles non fondés sur la numérotation nécessaire à l’utilisation de technologies, y compris, au besoin, tout examen humain directement lié à l’utilisation de la technologie, dans le seul but de détecter ou signaler aux autorités répressives les abus sexuels commis contre des enfants en ligne et de supprimer le matériel pédopornographique, et dresse une liste des conditions applicables à cette dérogation.
L’article 4 fixe les dates d’entrée en vigueur et en application du règlement ainsi que la date ou les conditions de cessation d’application.
2020/0259 (COD)
Proposition de
RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL
concernant une dérogation temporaire à certaines dispositions de la directive 2002/58/CE du Parlement européen et du Conseil en ce qui concerne l’utilisation de technologies par des fournisseurs de services de communications interpersonnelles non fondés sur la numérotation pour le traitement de données à caractère personnel et d’autres données aux fins de la lutte contre les abus sexuels commis contre des enfants en ligne
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 16, paragraphe 2, en liaison avec son article 114, paragraphe 1,
vu la proposition de la Commission européenne,
après transmission du projet d'acte législatif aux parlements nationaux,
vu l’avis du Comité économique et social européen,
statuant conformément à la procédure législative ordinaire,
considérant ce qui suit:
(1)La directive 2002/58/CE du Parlement européen et du Conseil fixe les règles garantissant le droit au respect de la vie privée et à la confidentialité en ce qui concerne le traitement des données à caractère personnel dans les échanges de données dans le secteur des télécommunications électroniques. Cette directive précise et complète le règlement (UE) 2016/679 du Parlement européen et du Conseil.
(2) La directive 2002/58/CE s’applique au traitement des données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public. La définition de «service de communications électroniques» figure actuellement à l’article 2, point c), de la directive 2002/21/CE du Parlement européen et du Conseil. La directive (UE) 2018/1972 du Parlement européen et du Conseil abroge la directive 2002/21/CE avec effet au 21 décembre 2020. À partir de cette date, la définition des services de communications électroniques sera remplacée par une nouvelle définition, à l’article 2, point 4, de la directive (UE) 2018/1972, qui inclut les services de communications interpersonnelles non fondés sur la numérotation tels que définis à l’article 2, point 7, de cette directive. Ces services, qui comprennent, par exemple, la voix sur IP, les services de messagerie et les services de courrier électronique web, entreront donc dans le champ d'application de la directive 2002/58/CE à partir du 21 décembre 2020.
(3)Conformément à l'article 6, paragraphe 1, du traité sur l'Union européenne, l'Union reconnaît les droits, les libertés et les principes énoncés dans la charte des droits fondamentaux de l'Union européenne. L’article 7 de la charte des droits fondamentaux de l’Union européenne (ci-après la «charte») protège le droit fondamental de toute personne au respect de sa vie privée et familiale, de son domicile et de ses communications, ce qui inclut la confidentialité des communications. L’article 8 de la charte consacre le droit à la protection des données. L’article 24, paragraphe 2, de la charte, prévoit que, dans tous les actes relatifs aux enfants, qu'ils soient accomplis par des autorités publiques ou des institutions privées, l'intérêt supérieur de l'enfant doit être une considération primordiale.
(4)L’abus sexuel et l’exploitation sexuelle des enfants constituent des violations graves des droits de l’homme, en particulier du droit des enfants à être protégés de toute forme de violence, d’abus et de négligence, de maltraitance ou d’exploitation, y compris l’abus sexuel, comme le prévoient la convention des Nations unies relative aux droits de l’enfant de 1989 et la charte. La numérisation a généré de nombreux avantages pour la société et l’économie, mais aussi des défis tels que l’augmentation des abus sexuels d’enfants en ligne. La protection des enfants en ligne est l’une des priorités de l’Union. Le 24 juillet 2020, la Commission européenne a adopté une stratégie de l’UE en faveur d'une lutte plus efficace contre les abus sexuels commis contre des enfants, qui vise à apporter une réponse efficace aux crimes que constituent les abus sexuels commis sur des enfants.
(5)Certains fournisseurs de services de communications interpersonnelles non fondés sur la numérotation, tels que les services de courrier électronique web et de messagerie, utilisent déjà, sur une base volontaire, des technologies spécifiques pour détecter les abus sexuels commis contre des enfants en ligne et les signaler aux autorités répressives et aux organismes de lutte contre les abus sexuels commis contre des enfants, ou pour supprimer le matériel pédopornographique. Ces organismes renvoient aux lignes téléphoniques nationales à utiliser pour signaler le matériel pédopornographique, ainsi qu’à des organismes, situés tant dans l’UE que dans des pays tiers, dont l’objectif est de réduire l’exploitation sexuelle des enfants et de prévenir la victimisation des enfants. Ces activités volontaires jouent un rôle précieux car elles permettent d’identifier et de secourir les victimes et elles réduisent la diffusion de matériel pédopornographique tout en contribuant à l’identification des auteurs et à la prévention des infractions pédopornographiques.
(6)Jusqu’au 20 décembre 2020, le traitement des données à caractère personnel par les fournisseurs de services de communications interpersonnelles non fondés sur la numérotation au moyen de mesures volontaires visant à détecter et signaler les abus sexuels commis contre des enfants en ligne et à supprimer le matériel pédopornographique est régi par le règlement (UE) 2016/679.
(7)La directive 2002/58/CE ne contient aucune disposition spécifique concernant le traitement de données à caractère personnel et d’autres données en relation avec la fourniture de services de communications électroniques aux fins de la détection et du signalement d’abus sexuels commis contre des enfants en ligne et de la suppression du matériel pédopornographique. Toutefois, en application de l’article 15, paragraphe 1, de la directive 2002/58/CE, les États membres peuvent adopter des mesures législatives visant à limiter la portée des droits et obligations prévus, notamment, aux articles 5 et 6 de cette directive, qui concernent la confidentialité des communications et des données relatives au trafic, aux fins de la prévention et de la détection des infractions liées à des abus sexuels contre des enfants. En l’absence de telles mesures législatives, et dans l’attente de l’adoption d’un nouveau cadre juridique à plus long terme pour lutter efficacement contre les abus sexuels commis contre des enfants à l’échelon de l’Union, comme annoncé dans la stratégie, il n’y aurait pas de base juridique permettant aux fournisseurs de services de communications interpersonnelles non fondés sur la numérotation de continuer à détecter et signaler les abus sexuels commis contre des enfants en ligne et de supprimer le matériel pédopornographique sur leurs services au-delà du 21 décembre 2020.
(8)Le présent règlement prévoit donc une dérogation temporaire à l’article 5, paragraphe 1, et à l’article 6 de la directive 2002/58/CE, qui protègent la confidentialité des communications et des données relatives au trafic. La directive 2002/58/CE ayant été adoptée sur la base de l’article 114 du traité sur le fonctionnement de l’Union européenne, il est approprié d’adopter le présent règlement sur la même base juridique. En outre, tous les États membres n’ont pas adopté de mesures législatives au niveau national pour restreindre la portée des droits et obligations prévus par ces dispositions conformément à l’article 15, paragraphe 1, de la directive 2002/58/CE, et l’adoption de telles mesures comporte un risque important de fragmentation susceptible d’affecter négativement le marché intérieur.
(9)Étant donné que les communications électroniques entre personnes physiques constituent normalement des données à caractère personnel, il convient également de fonder le présent règlement sur l’article 16 du traité, qui instaure une base juridique spécifique pour l’adoption de règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions de l’Union ainsi que par les États membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et de règles relatives à la libre circulation de ces données.
(10)Dans la mesure où le traitement de données à caractère personnel dans le cadre de la fourniture de services de communications électroniques par des services de communications interpersonnelles non fondés sur la numérotation aux seules fins de détecter et de signaler les abus sexuels commis contre des enfants en ligne et de supprimer le matériel pédopornographique entre dans le champ de la dérogation prévue par le présent règlement, le règlement (UE) 2016/679 s’applique à ce traitement, y compris l’obligation de procéder à une analyse d’impact des opérations de traitement envisagées, lorsque cela est approprié en application de l’article 35 de ce règlement, avant le déploiement des technologies concernées.
(11)L’unique objectif du présent règlement étant de permettre la poursuite de certaines activités actuelles de lutte contre les abus sexuels commis contre des enfants en ligne, la dérogation prévue par le présent règlement devrait se limiter aux technologies bien établies régulièrement utilisées par des services de communications interpersonnelles non fondés sur la numérotation pour détecter et signaler les abus sexuels commis contre des enfants en ligne et pour supprimer le matériel pédopornographique avant l’entrée en vigueur du présent règlement. La référence à la technologie inclut, si nécessaire, tout examen humain directement lié à l’utilisation de la technologie et la supervisant. L’utilisation de la technologie en question devrait donc être courante dans l’industrie, sans qu'il soit nécessaire d'imposer que tous les fournisseurs y aient recours et sans exclure que cette technologie puisse encore évoluer dans le respect de la vie privée. À cet égard, la question ne devrait pas être de savoir si un fournisseur qui souhaite invoquer cette dérogation utilise déjà ou non cette technologie à la date d’entrée en vigueur du présent règlement. Les types de technologies déployés devraient être les moins intrusifs dans la vie privée en l’état actuel de la technique dans le secteur, ne devraient pas comporter de filtrage et de contrôle systématiques des communications contenant du texte et devraient n’examiner que des communications spécifiques en cas d’éléments concrets conduisant à soupçonner des abus sexuels contre des enfants.
(12)Afin de garantir autant que possible la justesse et la fiabilité, la technologie utilisée devrait, en l’état actuel de la technique dans le secteur, permettre de limiter le taux de faux positifs dans toute la mesure du possible et, si nécessaire, de rectifier sans délai les erreurs de ce type qui pourraient néanmoins survenir.
(13)Les données à caractère personnel et les autres données utilisées dans l’exercice des activités relevant de la dérogation prévue par le présent règlement, ainsi que la période pendant laquelle les données sont conservées ultérieurement en cas de résultats positifs, devraient être réduites au minimum afin de garantir que la dérogation reste limitée au strict nécessaire.
(14)Afin de garantir la transparence et la responsabilité eu égard aux activités entreprises en vertu de la dérogation, les fournisseurs devraient publier chaque année des rapports sur le traitement relevant du champ d’application du présent règlement, indiquant notamment le type et les volumes de données traitées, le nombre de cas recensés, les mesures appliquées pour sélectionner et améliorer les indicateurs clés, le nombre et le taux d’erreur (faux positifs) des différentes technologies mises en œuvre, les mesures appliquées pour limiter le taux d’erreur, le taux d’erreur atteint, la politique de conservation et les garanties en matière de protection des données.
(15)Le présent règlement devrait entrer en vigueur le troisième jour suivant celui de sa publication au Journal officiel de l’Union européenne afin d'être applicable à partir du 21 décembre 2020.
(16)Le présent règlement limite le droit à la protection de la confidentialité des communications et déroge à la décision prise dans la directive (UE) 2018/1972 de soumettre les services de communications interpersonnelles non fondés sur la numérotation aux mêmes règles que tous les autres services de communications en ce qui concerne la vie privée. La période d’application du présent règlement devrait donc être limitée au 31 décembre 2025, ce qui correspond à la période raisonnablement nécessaire à l’adoption d’un nouveau cadre juridique à long terme prévoyant des sauvegardes plus élaborées. Si la législation à long terme annoncée est adoptée et entre en vigueur avant cette date, cette législation devrait abroger le présent règlement.
(17)Les fournisseurs de services de communications interpersonnelles non fondés sur la numérotation devraient être soumis aux obligations spécifiques prévues dans la directive 2002/58/CE en ce qui concerne toutes les autres activités entrant dans son champ d’application.
(18)L'objectif du présent règlement est de créer une dérogation temporaire à certaines dispositions de la directive 2002/58/CE sans entraîner de fragmentation sur le marché intérieur. En outre, des législations nationales ne pourraient très probablement pas être adoptées à temps dans tous les États membres. Étant donné que cet objectif ne peut pas être atteint de manière suffisante par les États membres mais peut l'être mieux au niveau de l'Union, celle-ci peut prendre des mesures conformément au principe de subsidiarité consacré à l'article 5 du traité sur l'Union européenne. Conformément au principe de proportionnalité tel qu’énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre les objectifs poursuivis. Il instaure une dérogation, temporaire et strictement limitée, à l'applicabilité de l’article 5, paragraphe 1, et de l’article 6 de la directive 2002/58/CE, assortie d’une série de sauvegardes visant à garantir qu’elle n’excède pas ce qui est nécessaire à la réalisation des objectifs fixés.
(19)Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil et a rendu un avis le [...],
ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
Objet
Le présent règlement établit des règles temporaires et strictement limitées dérogeant à certaines obligations prévues dans la directive 2002/58/CE, dans le seul but de permettre aux fournisseurs de services de communications interpersonnelles non fondés sur la numérotation de continuer à utiliser des technologies de traitement des données à caractère personnel et d’autres données dans la mesure nécessaire pour détecter et signaler les abus sexuels commis contre des enfants en ligne et pour supprimer le matériel pédopornographique sur leurs services.
Article 2
Définitions
Aux fins du présent règlement, on entend par:
1) «service de communications interpersonnelles non fondé sur la numérotation», un service tel que défini à l’article 2, point 7, de la directive (UE) 2018/1972;
2) «abus sexuels commis contre des enfants en ligne»,
a) tout matériel pédopornographique tel que défini à l’article 2, point c), de la directive 2011/93/UE du Parlement européen et du Conseil;
b) la sollicitation d’enfants en vue de se livrer à des activités sexuelles avec eux ou de produire de la pédopornographie, par l’un des moyens suivants:
i) attirer des enfants en leur offrant des cadeaux ou d’autres avantages;
ii) menacer des enfants de conséquences négatives susceptibles d’avoir une incidence significative sur eux;
iii) présenter à des enfants du matériel pornographique ou en mettre à leur disposition;
c) tout spectacle pornographique tel que défini à l’article 2, point e), de la directive 2011/93/UE.
Article 3
Champ d’application de la dérogation
Les obligations spécifiques énoncées à l’article 5, paragraphe 1, et à l’article 6 de la directive 2002/58/CE, ne s’appliquent pas au traitement de données à caractère personnel et d’autres données dans le cadre de la fourniture de services de communications interpersonnelles non fondés sur la numérotation strictement nécessaire à l’utilisation de technologies dans le seul but de supprimer le matériel pédopornographique et de détecter ou de signaler les abus sexuels commis contre des enfants en ligne aux autorités répressives et aux organismes agissant dans l’intérêt public contre ces abus, pour autant que:
(a)le traitement soit proportionné et limité aux technologies bien établies régulièrement utilisées à cette fin par les fournisseurs de services de communications interpersonnelles non fondés sur la numérotation avant l’entrée en vigueur du présent règlement, et qui sont conformes à l’état de la technique dans le secteur et sont les moins intrusives dans la vie privée;
(b)la technologie utilisée soit en elle-même suffisamment fiable dans la mesure où elle limite autant que possible le taux d’erreurs en ce qui concerne la détection de contenus représentant des abus sexuels commis contre des enfants, et où les erreurs occasionnelles qui surviennent sont rectifiées sans délai;
(c)la technologie utilisée pour détecter la sollicitation d’enfants se limite à l’utilisation d’indicateurs clés, tels que des mots-clés et des facteurs de risque déterminés objectivement, tels que la différence d’âge, sans préjudice du droit à un examen humain;
(d)le traitement soit limité à ce qui est strictement nécessaire pour détecter et signaler les abus sexuels commis contre des enfants en ligne et pour supprimer le matériel pédopornographique et que, sauf si un abus sexuel contre des enfants en ligne a été détecté et confirmé, les données soient effacées immédiatement;
(e)le fournisseur publie chaque année un rapport sur le traitement, indiquant notamment le type et les volumes de données traitées, le nombre de cas recensés, les mesures appliquées pour sélectionner et améliorer les indicateurs clés, le nombre et le taux d’erreur (faux positifs) des différentes technologies mises en œuvre, les mesures appliquées pour limiter le taux d’erreur, le taux d’erreur atteint, la politique de conservation et les garanties en matière de protection des données.
En ce qui concerne le point d), lorsque des abus sexuels commis contre des enfants en ligne ont été détectés et confirmés, les données y afférentes peuvent être conservées uniquement aux fins suivantes et pendant la période nécessaire:
–pour établir un rapport et répondre à des demandes proportionnées des services répressifs et d’autres autorités publiques compétentes;
–pour bloquer le compte de l’utilisateur concerné;
–en relation avec des données identifiées de manière fiable comme pédopornographiques, aux fins de la création d’une signature numérique unique non reconvertible («hachage»).
Article 4
Entrée en vigueur et application
Le présent règlement entre en vigueur le troisième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Il est applicable du 21 décembre 2020 au 31 décembre 2025.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le
Par le Parlement européen
Par le Conseil
Le président
Le président