Résumé de l’avis du contrôleur européen de la protection des données sur la proposition de dérogations temporaires à la directive 2002/58/CE aux fins de la lutte contre les abus sexuels commis contre des enfants en ligne

(Le texte complet de l’avis en anglais, français et allemand est disponible sur le site internet du CEPDwww.edps.europa.eu)

(2021/C 102/04)

Le 10 septembre 2020, la Commission a publié une proposition de règlement concernant une dérogation temporaire à certaines dispositions de la directive 2002/58/CE «vie privée et communications électroniques» en ce qui concerne l’utilisation de technologies par des fournisseurs de services de communications interpersonnelles non fondés sur la numérotation pour le traitement de données à caractère personnel et d’autres données aux fins de la lutte contre les abus sexuels commis contre des enfants en ligne. La dérogation concerne l’article 5, paragraphe 1, et l’article 6 de la directive «vie privée et communications électroniques» et porte sur le traitement de données à caractère personnel liées à la fourniture de services de communications interpersonnelles non fondés sur la numérotation nécessaire à l’utilisation de technologies dans le seul but de détecter ou signaler aux autorités les abus sexuels commis contre des enfants en ligne.

Dans le présent avis, le CEPD formule ses recommandations relatives à la proposition en réponse à une consultation formelle de la Commission en vertu de l’article 42 du règlement (UE) 2018/1725.

Il fait observer en particulier que les mesures envisagées dans la proposition constitueraient une ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données de tous les utilisateurs de services de communications électroniques très populaires, tels que les plateformes et applications de messagerie instantanée. La confidentialité des communications est un élément essentiel des droits fondamentaux au respect de la vie privée et familiale. Même les mesures volontaires prises par des entreprises privées constituent une ingérence dans ces droits lorsque ces mesures comprennent le suivi et l’analyse du contenu des communications et le traitement des données à caractère personnel.

Le CEPD tient à souligner que les questions en jeu ne sont pas spécifiques à la lutte contre les abus commis contre des enfants, mais à toute initiative visant la collaboration du secteur privé à des fins de répression. Si elle est adoptée, la proposition constituera inévitablement un précédent pour la législation future dans ce domaine. Le CEPD estime donc essentiel que cette proposition ne soit pas adoptée, même sous la forme d’une dérogation temporaire, tant que toutes les garanties nécessaires énoncées dans le présent avis ne sont pas intégrées.

En particulier, dans un souci de sécurité juridique, le CEPD estime qu’il est nécessaire de préciser si la proposition elle-même est destinée à fournir une base juridique au traitement au sens du règlement général sur la protection des données (RGPD). Dans le cas contraire, le CEPD recommande de préciser explicitement dans la proposition quelle base juridique au titre du RGPD serait applicable en l’espèce. À cet égard, le CEPD souligne que les orientations données par les autorités chargées de la protection des données ne sauraient remplacer le respect de l’exigence de légalité. Il est insuffisant de disposer que la dérogation temporaire est «sans préjudice» du RGPD et d’exiger la consultation préalable des autorités chargées de la protection des données. Le colégislateur doit assumer sa responsabilité et veiller à ce que la dérogation proposée soit conforme aux exigences de l’article 15, paragraphe 1, tel qu’interprété par la Cour de justice de l’Union européenne (CJUE).

Pour satisfaire à l’exigence de proportionnalité, une réglementation doit prévoir des règles claires et précises régissant la portée et l’application des mesures en cause et imposant des exigences minimales, de telle sorte que les personnes dont les données à caractère personnel sont concernées disposent de garanties suffisantes permettant de protéger efficacement ces données contre les risques d’abus.

Enfin, le CEPD est d’avis que la période de cinq ans proposée ne semble pas proportionnée compte tenu de l’absence a) de démonstration préalable de la proportionnalité de la mesure envisagée et b) de l’inclusion de garanties suffisantes dans le texte de la législation. Il estime que la durée de validité de toute mesure transitoire ne devrait pas dépasser deux ans.

I. INTRODUCTION ET CONTEXTE

1.1. Contexte

Le 24 juillet 2020, la Commission a adopté une communication intitulée «Stratégie de l’UE en faveur d’une lutte plus efficace contre les abus sexuels commis contre des enfants» (1). La communication indique qu’à partir de décembre 2020, la directive 2002/58/CE du Parlement européen et du Conseil (la «directive “vie privée et communications électroniques”») (2) aura un champ d’application élargi en raison du code des communications électroniques européen (le «CCEE») (3), qui a déjà été adopté. Le CCEE élargit le champ d’application de la directive «vie privée et communications électroniques» aux services de communications interpersonnelles par contournement (OTT), tels que les services de messagerie et le courrier électronique. Selon la communication, cela empêcherait certaines entreprises (en l’absence de mesures législatives nationales adoptées en vertu de l’article 15, paragraphe 1, de la directive «vie privée et communications électroniques») de continuer à appliquer leurs propres mesures volontaires concernant la détection, la suppression et le signalement d’abus sexuels commis contre des enfants en ligne (4).

Le 10 septembre 2020, la Commission a publié (5) une proposition de règlement provisoire relatif au traitement de données à caractère personnel et d’autres données aux fins de la lutte contre les abus sexuels commis contre des enfants, qui prévoit une dérogation temporaire à l’article 5, paragraphe 1, et à l’article 6 de la directive «vie privée et communications électroniques» (la «proposition»). La Commission estime qu’une telle dérogation est nécessaire pour permettre la poursuite des activités volontaires actuelles après décembre 2020. Cette dérogation concernerait le traitement de données à caractère personnel dans le cadre de la fourniture de «services de communications interpersonnelles non fondés sur la numérotation» (6) (par exemple, voix sur IP, services de messagerie et services de courrier électronique web) strictement nécessaire à l’utilisation de technologies dans le seul but de supprimer le matériel pédopornographique et de détecter ou de signaler les abus sexuels commis contre des enfants en ligne aux autorités répressives et aux organismes agissant dans l’intérêt public contre ces abus. La proposition énumère plusieurs conditions pour que la dérogation soit applicable, lesquelles seront analysées ultérieurement dans le présent avis.

Le CEPD a été officiellement consulté par la Commission le 16 septembre 2020. Le 30 septembre, la Commission a lancé une consultation publique pour recueillir des avis sur sa proposition.

1.2. Relation avec la directive 2011/93/UE

L’UE a déjà adopté un instrument juridique complet pour lutter contre les abus sexuels et l’exploitation sexuelle des enfants, ainsi que la pédopornographie, à savoir la directive 2011/93/UE du Parlement européen et du Conseil (directive relative aux abus sexuels commis contre des enfants) (7).

La directive relative aux abus sexuels commis contre des enfants établit des règles minimales relatives à la définition des infractions pénales et des sanctions dans le domaine des abus sexuels et de l’exploitation sexuelle des enfants et de la pédopornographie. Elle impose aux États membres de veiller à ce que les comportements intentionnels suivants, lorsqu’ils sont commis sans droit (8), soient punissables:

—	le fait d’accéder intentionnellement et en connaissance de cause, au moyen des technologies de l’information et de la communication, à de la pédopornographie;

—	la distribution, la diffusion ou la transmission de pédopornographie;

—	le fait d’offrir, de fournir ou de mettre à disposition de la pédopornographie (9).

La directive relative aux abus sexuels commis contre des enfants oblige également les États membres à prendre les mesures nécessaires pour que soient punissables certains comportements assimilables à de la sollicitation d’enfants à des fins sexuelles, y compris au moyen des technologies de l’information et de la communication.

La directive relative aux abus sexuels commis contre des enfants oblige les États membres à prendre les mesures nécessaires pour faire rapidement supprimer les pages internet contenant ou diffusant de la pédopornographie qui sont hébergées sur leur territoire et à s’efforcer d’obtenir la suppression des pages hébergées en dehors de celui-ci, ainsi que de saisir et confisquer les instruments et produits de telles infractions (10). En outre, les États membres peuvent prendre des mesures pour bloquer l’accès par les internautes sur leur territoire aux pages internet contenant ou diffusant de la pédopornographie (11).

En 2010, le CEPD a publié de sa propre initiative un avis sur la proposition de directive relative à l’exploitation et aux abus sexuels concernant des enfants et à la pédopornographie (12). Cet avis contient des considérations et des recommandations qui sont également pertinentes pour la présente proposition de règlement provisoire. Le cas échéant, le CEPD réitère son avis de 2010 et/ou y fait référence.

III. CONCLUSIONS

52.

Les mesures envisagées dans la proposition constitueraient une ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données de tous les utilisateurs de services de communications électroniques très populaires, tels que les plateformes et applications de messagerie instantanée. Même les mesures volontaires prises par des entreprises privées constituent une ingérence dans ces droits lorsque ces mesures comprennent le suivi et l’analyse du contenu des communications et le traitement des données à caractère personnel.

53.

Les questions en jeu ne sont pas spécifiques à la lutte contre les abus commis contre des enfants, mais à toute initiative visant la collaboration du secteur privé à des fins de répression. Si elle est adoptée, la proposition constituera inévitablement un précédent pour la législation future dans ce domaine. Le CEPD estime donc essentiel que cette proposition ne soit pas adoptée, même sous la forme d’une dérogation temporaire, tant que toutes les garanties nécessaires énoncées dans le présent avis ne sont pas intégrées.

54.

Dans un souci de sécurité juridique, le CEPD estime qu’il est nécessaire de préciser si la proposition elle-même est destinée à fournir une base juridique au traitement au sens du RGPD. Dans le cas contraire, le CEPD recommande de préciser explicitement dans la proposition quelle base juridique au titre du RGPD serait applicable en l’espèce. À cet égard, le CEPD souligne que les orientations données par les autorités chargées de la protection des données ne sauraient remplacer le respect de l’exigence de légalité. Il est insuffisant de disposer que la dérogation temporaire est «sans préjudice» du RGPD et d’exiger la consultation préalable des autorités chargées de la protection des données. Le colégislateur doit assumer sa responsabilité et veiller à ce que la dérogation proposée soit conforme aux exigences de l’article 15, paragraphe 1, tel qu’interprété par la CJUE.

55.

56.

L’absence de définition précise des mesures faisant l’objet de la dérogation est susceptible de porter atteinte à la sécurité juridique.

57.

Fait à Bruxelles, le 10 novembre 2020.

Wojciech WIEWIOROWSKI

(1) COM(2020) 607 final, https://ec.europa.eu/home-affairs/sites/homeaffairs/files/what-we-do/policies/european-agenda-security/20200724_com-2020-607-commission-communication_fr.pdf

(2) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive «vie privée et communications électroniques») (JO L 201 du 31.7.2002, p. 37).

(3) Directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen (JO L 321 du 17.12.2018, p. 36).

(4) COM(2020) 607 final, p. 4. La communication fait observer qu’étant donné que la directive «vie privée et communications électroniques» ne contient pas de base juridique pour le traitement volontaire du contenu et des données de trafic aux fins de la détection des abus sexuels commis contre des enfants, les fournisseurs peuvent uniquement appliquer de telles mesures sur la base d’une mesure législative nationale, qui répond aux exigences de l’article 15 de la directive «vie privée et communications électroniques» restreignant le droit à la confidentialité. En l’absence de pareilles mesures législatives, les mesures volontaires destinées à détecter les abus sexuels commis contre des enfants adoptées par ces fournisseurs, qui traitent du contenu ou des données de trafic, seraient dépourvues de base juridique.

(5) COM(2020) 568 final, 2020/0259 (COD), proposition de règlement du Parlement européen et du Conseil concernant une dérogation temporaire à certaines dispositions de la directive 2002/58/CE du Parlement européen et du Conseil en ce qui concerne l’utilisation de technologies par des fournisseurs de services de communications interpersonnelles non fondés sur la numérotation pour le traitement de données à caractère personnel et d’autres données aux fins de la lutte contre les abus sexuels commis contre des enfants en ligne, https://ec.europa.eu/digital-single-market/en/news/interim-regulation-processing-personal-and-other-data-purpose-combatting-child-sexual-abuse

(6) Selon l’article 2, paragraphe 5, du CCEE, un «service de communications interpersonnelles» est «un service normalement fourni contre rémunération qui permet l’échange interpersonnel et interactif direct d’informations via des réseaux de communications électroniques entre un nombre fini de personnes, par lequel les personnes qui amorcent la communication ou y participent en déterminent le ou les destinataires et qui ne comprend pas les services qui rendent possible une communication interpersonnelle et interactive uniquement en tant que fonction mineure accessoire intrinsèquement liée à un autre service». Un «service de communications interpersonnelles non fondé sur la numérotation» est un service de communications interpersonnelles qui n’établit pas de connexion à des ressources de numérotation attribuées publiquement, c’est-à-dire un numéro ou des numéros figurant dans des plans nationaux ou internationaux de numérotation, ou qui ne permet pas la communication avec un numéro ou des numéros figurant dans des plans nationaux ou internationaux de numérotation (article 2, paragraphe 7, du CCEE).

(7) Directive 2011/93/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l’exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil (JO L 335 du 17.12.2011, p. 1).

(8) Les termes «sans droit» permettent aux États membres de prévoir une défense pour les actes relatifs au matériel pornographique ayant, par exemple, un objectif médical, scientifique ou similaire. Ils permettent également de mener des activités en vertu de compétences légales nationales, telles que la détention légitime de pédopornographie par les autorités à des fins de poursuites pénales ou de prévention, de détection ou d’enquête pénale. En outre, ils n’excluent pas les défenses légales ou les principes similaires applicables qui exemptent une personne de sa responsabilité dans certaines circonstances, par exemple dans le contexte d’activités de signalement de tels cas via des lignes d’urgence, téléphoniques ou via l’internet. Considérant 25 de la directive 2011/93/UE.

(9) Article 5, paragraphes 3, 4 et 5, de la directive 2011/93/UE.

(10) Articles 11 et 25, paragraphe 1, de la directive 2011/93/UE.

(11) Article 25, paragraphe 2, de la directive 2011/93/UE.

(12) Avis du Contrôleur européen de la protection des données sur la proposition de directive du Parlement européen et du Conseil relative à l’exploitation et aux abus sexuels concernant des enfants et à la pédopornographie, abrogeant la décision-cadre 2004/68/JAI, 10 mai 2010, https://edps.europa.eu/sites/edp/files/publication/10-05-10_child_abuse_fr.pdf