COMMISSION EUROPÉENNE

Strasbourg, le 17.4.2018

COM(2018) 226 final

2018/0107(COD)

Proposition de

DIRECTIVE DU PARLEMENT EUROPÉEN ET DU CONSEIL

établissant des règles harmonisées concernant la désignation de représentants légaux aux fins de la collecte de preuves en matière pénale

{SWD(2018) 118 final}
{SWD(2018) 119 final}

EXPOSÉ DES MOTIFS

1.CONTEXTE DE LA PROPOSITION

•Justification et objectifs de la proposition

Les prestataires de services en ligne, tels que les services de communications électroniques ou les réseaux sociaux, les places de marché en ligne et les prestataires d’autres services d'hébergement sont des vecteurs importants d’innovation et de croissance dans l’économie numérique. Ils facilitent un accès inédit à l’information et permettent aux individus de communiquer plus aisément les uns avec les autres. Ces services relient des centaines de millions d’utilisateurs et fournissent des prestations innovantes aux individus et aux entreprises. Ils génèrent des avantages non négligeables pour le marché unique numérique et le bien-être économique et social des utilisateurs dans l’ensemble de l’Union et au-delà. L’importance et la présence croissantes de l’internet et des services de la société de l’information et de la communication dans notre vie quotidienne et dans nos sociétés se traduisent par une utilisation qui connaît une augmentation exponentielle. Or ces services peuvent aussi être détournés pour commettre ou faciliter des délits, y compris des délits graves comme des attentats terroristes. Lorsque cela se produit, ces services et applications sont souvent les seuls éléments qui donnent la possibilité aux enquêteurs de trouver des pistes permettant d’identifier l’auteur d’un délit et d’obtenir des preuves susceptibles d’être produites devant les tribunaux.

L’internet ne connaissant pas de frontières, de tels services peuvent, en principe, être fournis depuis n’importe quel endroit dans le monde et ne requièrent pas nécessairement une infrastructure physique, un établissement ou du personnel présent dans les États membres où ces services sont proposés ou dans le marché intérieur dans son ensemble. L’offre transfrontière de tels services est encouragée et soutenue au sein de l’UE au moyen, notamment, de la libre prestation de services.

Les prestataires de services actifs au sein du marché intérieur peuvent être répartis en trois grandes catégories: 1) les prestataires de services dont le siège est situé dans un État membre et qui proposent des services uniquement sur le territoire de cet État membre; 2) les prestataires de services dont le siège se trouve dans un État membre et qui proposent des services dans plusieurs États membres; et 3) les prestataires de services dont le siège se trouve en dehors de l’UE et qui proposent des services dans un ou plusieurs États membres, avec ou sans établissement dans un ou plusieurs de ceux-ci.

Les prestataires de services n’étant pas soumis à l'obligation générale de garantir une présence physique sur le territoire de l’Union, les États membres ont pris des mesures au niveau national afin de garantir le respect d’obligations légales nationales qu’ils jugent essentielles et conformes à l’article 3, paragraphe 4, de la directive 2000/31/CE relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur 1 (la «directive sur le commerce électronique»). Parmi ces mesures figure l’obligation de donner accès à des éléments de preuve ou à d’autres types d’informations lorsque les autorités judiciaires en font la demande dans le cadre d’une procédure pénale. Les approches nationales varient considérablement d’un État membre à l’autre et prévoient des mesures allant d’une compétence d’exécution étendue 2 à l’obligation de désigner un représentant légal sur le territoire de l’État membre concerné pour certains prestataires qui y proposent des services. L’Allemagne, par exemple, a adopté récemment une «loi sur l'application effective de la législation par les réseaux sociaux» 3 , qui oblige les fournisseurs de réseaux sociaux 4 à désigner en Allemagne une personne habilitée à recevoir les demandes des services répressifs. Cette loi prévoit l’infliction de sanctions pouvant aller jusqu’à 500 000 EUR lorsqu’il n’est pas procédé à la désignation d’un représentant ou que la personne habilitée à recevoir les significations ne répond pas à des demandes de renseignements. Des discussions sur des mesures similaires sont en cours en Italie 5 . D’autres États membres, tels que la Belgique, n’exigent pas la désignation d'un représentant sur leur territoire, mais cherchent plutôt à faire respecter les obligations nationales directement auprès des prestataires établis à l’étranger au moyen de procédures nationales 6 .

Les États membres appliquent également plusieurs critères de rattachement différents pour affirmer leur compétence à l’égard d’un prestataire de services, tels que le siège principal de celui-ci, le lieu où les services sont proposés, la localisation des données, ou une combinaison de plusieurs de ces critères. Il existe en outre, entre les autorités de certains États membres et des prestataires de services, des mécanismes de coopération et des accords informels qui présentent des disparités. Quelques-uns des plus grands prestataires de services ont estimé, aux fins de l’analyse d’impact, que les coûts annuels liés au respect de leurs obligations légales nationales sont supérieurs à 5 millions d'EUR. Le coût de mise en conformité avec des exigences nationales divergentes, bien que probablement proportionné à la présence sur le marché, peut s’avérer prohibitif pour les prestataires de services de taille plus restreinte.

En ce qui concerne la force exécutoire de demandes adressées dans le cadre de tels accords, il existe des différences entre les États membres quant à la question de savoir si les prestataires de services sont ou non dans l’obligation de coopérer. Les sanctions et les mesures d’exécution en cas de non-conformité sont également variables. Même dans les cas où le prestataire de services se conforme à l’acte infligeant la sanction, il est toujours difficile de faire respecter l’injonction de communication de données initiale.

Les États membres ont mis en évidence ces défis à plusieurs reprises comme constituant des aspects clés auxquels il convient de s’attaquer conjointement:

·le 22 mars 2016, une déclaration commune des ministres de la justice et de l’intérieur et des représentants des institutions de l’UE sur les attentats terroristes perpétrés à Bruxelles 7 a insisté sur la nécessité de trouver, en priorité, des moyens de recueillir et d'obtenir plus rapidement et efficacement des preuves numériques, en intensifiant la coopération avec les pays tiers et les prestataires de services qui sont actifs sur le territoire européen, de façon à permettre un meilleur respect de la législation de l'UE et des États membres;

·dans les conclusions du Conseil adoptées le 9 juin 2016 8 , les États membres ont réaffirmé leur détermination à agir pour faire respecter l’État de droit dans le cyberespace et ont appelé la Commission à élaborer en priorité une approche commune de l'UE en vue de l’amélioration de la justice pénale dans le cyberespace.

Ces défis exigent une double démarche sur le plan législatif. La présente proposition prévoit des règles relatives à la représentation légale dans l’Union de certains prestataires de services aux fins de la collecte de preuves dans le cadre de procédures pénales. Un instrument adopté sur la base de l’article 82, paragraphe 1, du TFUE est en outre nécessaire aux fins de la signification directe d’injonctions au prestataire de service dans des situations transfrontières. Les défis en question sont donc relevés grâce à une combinaison des deux propositions. Il importe cependant de garder à l’esprit que la présente proposition vise clairement, avant tout, à permettre l'identification du destinataire des injonctions émanant des autorités des États membres aux fins de l’obtention des preuves détenues par les prestataires de services dans le cadre de procédures pénales. La présente proposition a donc pour objet de lever certains des obstacles rencontrés lorsqu'il s’agit de s’adresser aux prestataires de services, grâce à une approche commune à l’échelle de l’UE permettant d’adresser des injonctions à ces prestataires par l’intermédiaire d’un représentant légal. Des approches nationales individualisées et non coordonnées ne seront, de ce fait, plus nécessaires, ce qui crée une sécurité juridique au niveau de l’Union européenne. À cette fin, la présente proposition prévoit l’obligation pour les États membres de veiller à ce que les prestataires de services désignent des représentants légaux habilités, chargés de respecter, au nom desdits prestataires, les injonctions et décisions émanant d’une autorité judiciaire.

En outre, une approche harmonisée permet de placer sur un pied d’égalité toutes les entreprises proposant le même type de services dans l’UE, quel que soit l’endroit où elles sont établies ou à partir duquel elles exercent leurs activités, tout en respectant le principe du pays d’origine énoncé à l’article 3 de la directive sur le commerce électronique. Ce principe s’applique exclusivement aux prestataires de services de la société de l’information qui sont établis dans l’UE et est, qui plus est, assorti d’un certain nombre d’exceptions et de possibilités de dérogation. Des règles harmonisées au niveau de l’UE sont nécessaires, non seulement pour lever les obstacles à la prestation de services et assurer un meilleur fonctionnement du marché intérieur, mais pour garantir une approche plus cohérente du droit pénal au sein de l’Union. Des conditions de concurrence équitables sont également nécessaires pour d’autres principes fondamentaux d’un bon fonctionnement du marché intérieur, tels que la protection des droits fondamentaux des citoyens et le respect de la souveraineté et de la puissance publique pour ce qui est de la mise en œuvre et de l’application effectives des législations nationales et européenne.

•Cohérence avec le cadre juridique existant de l’UE dans le domaine d'action

L’obligation de désigner un représentant légal pour les prestataires qui ne sont pas établis dans l’UE mais qui offrent des services au sein de celle-ci est déjà énoncée dans certains actes du droit de l’Union applicables dans des domaines particuliers. Tel est le cas, par exemple, du règlement général sur la protection des données [règlement (UE) 2016/679] (article 27) 9 et de la directive (UE) 2016/1148 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (article 18) 10 . La proposition de la Commission relative à un règlement «vie privée et communications électroniques» contient également une telle obligation (article 3) 11 .

Comme indiqué ci-dessus, la présente proposition est en harmonie avec la directive sur le commerce électronique et, en particulier, avec le principe du pays d’origine énoncé à l’article 3 de celle-ci. Elle est sans préjudice des dispositions de cette directive, notamment ses exigences en matière d’information prévues à l’article 5.

•Résumé de la proposition de directive (amélioration du cadre actuel)

Les obligations imposées aux prestataires de services, en particulier dans le cadre de procédures pénales, font actuellement l’objet d’approches diverses dans les États membres. Cette division concerne plus particulièrement les preuves électroniques, étant donné que certains prestataires de services conservent des informations qui peuvent être utiles à l’instruction et à la répression d’infractions pénales. Elle est source d’insécurité juridique pour les personnes concernées et peut conduire à des régimes d'obligations et de sanctions différents et parfois contradictoires pour les prestataires de services à cet égard, selon que ceux-ci fournissent des services à l’échelle nationale, au niveau transfrontière au sein de l’Union, ou depuis un endroit situé en-dehors de celle-ci. En vue de réduire les entraves à la libre prestation des services, la présente directive prévoit l’obligation pour les prestataires de services de désigner un représentant légal dans l’Union chargé de recevoir, respecter et exécuter les décisions aux fins de la collecte de preuves par les autorités nationales dans les procédures pénales. La réduction consécutive des obstacles en la matière garantirait un fonctionnement plus efficace du marché intérieur, en harmonie avec le développement d’un espace commun de liberté, de sécurité et de justice.

L’obligation de désigner un représentant légal pour tous les prestataires de services opérant dans l’Union garantirait la présence permanente d’un destinataire clairement désigné pour les injonctions visant à recueillir des preuves dans le cadre de procédures pénales. Il serait de la sorte plus facile pour les prestataires de services de respecter ces injonctions, étant donné que le représentant légal serait chargé de recevoir, de respecter et d’exécuter ces injonctions au nom du prestataire de services.

2.BASE JURIDIQUE, SUBSIDIARITÉ ET PROPORTIONNALITÉ

•Base juridique

La base juridique de l’action menée dans ce domaine est constituée par les articles 53 et 62 du traité sur le fonctionnement de l’Union européenne, qui prévoient l’adoption de mesures visant à coordonner les dispositions législatives, réglementaires et administratives des États membres relatives à l’établissement et à la prestation de services.

En l’espèce, l’obligation de désigner un représentant légal dans l’Union contribuerait notamment à lever les restrictions à la libre prestation des services, consacrée par l’article 56 du traité sur le fonctionnement de l’Union européenne, comme indiqué plus haut.

•Choix de l’instrument

•Subsidiarité

La présente proposition concerne les prestataires de services qui proposent des services dans l’UE, quel que soit leur lieu d’établissement, que celui-ci se trouve à l'intérieur ou en dehors de l’UE. En l’absence d’approche commune au niveau de l’UE, des approches nationales non coordonnées relatives à la réception, au respect ou à l’exécution de décisions aux fins de la collecte de preuves dans de le cadre de procédures pénales sont susceptibles d’entraîner un morcellement, créant une mosaïque d’obligations nationales diverses et parfois contradictoires pour les prestataires de services opérant sur plusieurs marchés. Cela entrave la prestation de services dans l’Union. Compte tenu de la diversité des approches juridiques et du nombre important de parties prenantes, une législation européenne constitue le moyen le plus approprié de remédier aux problèmes constatés.

•Proportionnalité

La proposition vise à présenter une approche harmonisée afin de supprimer les obstacles existants à la prestation de services et d’empêcher l’apparition de nouveaux obstacles en la matière en ce qui concerne la réception, le respect ou l’exécution de décisions aux fins de la collecte de preuves dans le cadre de procédures pénales. L’approche retenue est jugée proportionnée à la charge imposée. Compte tenu de l’importance et de la présence croissantes de l’internet et des services de la société de l’information, il existe plusieurs options possibles pour remédier aux obstacles existants. Parmi ces options, comme expliqué plus en détail dans l’analyse d’impact 12 accompagnant la proposition législative, l’obligation pour certains prestataires de services actifs dans l’UE de désigner un représentant légal satisfait à l’objectif de mettre en place un mécanisme efficace permettant la signification des injonctions légales sans imposer une charge excessive aux prestataires de services.

L’obligation de désigner un représentant légal constitue une charge plus élevée pour les entreprises non établies dans l’UE, qui ne peuvent s’appuyer sur un établissement dans l’UE. Par ailleurs, ce représentant légal pourrait être une tierce partie, qui pourrait se partager entre plusieurs prestataires de services, en particulier des petites et moyennes entreprises («PME»), et cumuler différentes fonctions (les représentants désignés en vertu du règlement général sur la protection des données ou du règlement «vie privée et communications électroniques» pourraient, par exemple, revêtir en plus la fonction de représentant légal prévue par le présent instrument). Cela ne s’appliquera qu’aux PME qui proposent des services dans l’UE, et non en cas de traitement occasionnel de données dans l’UE.

3.RÉSULTATS DES ÉVALUATIONS EX POST, DES CONSULTATIONS DES PARTIES INTÉRESSÉES ET DES ANALYSES D'IMPACT

•Consultation des parties intéressées

Pendant plus d’un an et demi, la Commission a consulté toutes les parties intéressées afin de cerner les problèmes et de dégager des solutions, y compris les possibilités d’amélioration des outils permettant une interaction entre les autorités et les prestataires de services. Elle a, à cet effet, procédé à des enquêtes, allant d’une consultation publique à des enquêtes ciblées auprès des pouvoirs publics concernés. Des réunions d’experts et des réunions bilatérales ont également été tenues en vue d’examiner l’incidence potentielle de la législation de l’UE. Des conférences sur l’accès transfrontière aux preuves électroniques ont également permis d'obtenir un retour d’informations sur l’initiative.

Une enquête ciblée menée auprès des autorités publiques des États membres a révélé qu’il n’existait pas d’approche commune concernant l’obtention d’un accès transfrontière aux preuves électroniques, chaque État membre ayant sa propre pratique en la matière. De même, les prestataires de services répondent différemment aux demandes émanant d’autorités répressives étrangères, et les délais de réponse varient en fonction de l’État membre qui émet une demande. Cela engendre une insécurité juridique pour toutes les parties concernées.

Tout au long de la consultation, les prestataires de services et certaines organisations de la société civile ont souligné la nécessité de garantir une sécurité juridique au moyen d’une collaboration directe avec les pouvoirs publics et d’éviter les conflits de droit. Parmi les aspects clés mis en évidence par les pouvoirs publics figuraient l’absence de coopération fiable avec les prestataires de service, un manque de transparence et l’insécurité juridique entourant la compétence relative aux mesures d’enquête. Certaines organisations de la société civile ont estimé qu’il n’était pas utile de disposer d’une législation en la matière au niveau de l’UE et ont déclaré privilégier une limitation de l’action de l’UE à l’amélioration des procédures d’entraide judiciaire, qui se poursuivra parallèlement.

•Analyse d'impact

Le comité d’examen de la réglementation a émis un avis favorable sur l’analyse d’impact 13 et a formulé plusieurs propositions d’amélioration 14 . À la suite de cet avis, l’analyse d’impact a été modifiée en vue d'un examen plus approfondi des questions relatives aux droits fondamentaux liées à l’échange transfrontière de données, et plus particulièrement les liens entre les différentes mesures s’inscrivant dans le cadre de l’option privilégiée. L’analyse a également été modifiée afin de mieux refléter les positions respectives des parties intéressées et des États membres et la façon dont celles-ci avaient été prises en considération. En outre, le contexte stratégique a été réexaminé afin d’inclure des renvois supplémentaires à différents aspects, tels que les discussions au sein des groupes d’experts, qui ont contribué à l’élaboration de l’initiative. La complémentarité entre les différentes mesures a été précisée pour ce qui est du champ d’application, du calendrier et de la portée, et le scénario de base a été revu afin de mieux tenir compte de l’évolution susceptible de se produire indépendamment de l’adoption des mesures proposées. Enfin, des diagrammes ont été ajoutés afin de mieux décrire les flux de travail liés au partage des données.

Quatre options stratégiques principales ont été examinées en plus du scénario de base (option O): plusieurs mesures concrètes visant à améliorer les procédures de coopération judiciaire et la coopération directe entre les autorités publiques et les prestataires de services (option A: non législative); une option combinant les mesures concrètes de l’option A avec des solutions à l’échelle internationale (option B: législative); une option combinant les mesures précédentes contenues dans l’option B avec une injonction de production européenne et une mesure visant à améliorer l’accès aux bases de données (option C: législative); et une option combinant toutes les mesures précédentes contenues dans l’option C avec la législation sur l’accès direct à des données stockées à distance (option D: législative). L’analyse d’impact a également mis en évidence la nécessité pour les prestataires de services proposant des services dans l’UE de désigner un représentant légal dans l’Union, ce que prévoyaient les options C et D.

L’analyse d’impact a révélé que les options incluant le représentant légal (options C et D) présentaient une valeur ajoutée évidente par rapport aux autres options. Même si les prestataires de services devraient supporter des coûts supplémentaires à court terme du fait de la désignation d’un représentant légal, un cadre harmonisé au niveau de l’UE est de nature à alléger la charge imposée aux prestataires qui répondent actuellement, sur une base volontaire, aux demandes de communication de données adressées par des services répressifs, demandes qu’ils doivent examiner à la lumière des ordres juridiques différents des États membres. Le modèle de coût mis en place et validé en collaboration avec les prestataires de services concernés montre que l’initiative générerait d’importantes économies à moyen et à long terme et permettrait de lever les entraves au marché intérieur. En outre, la sécurité juridique et la normalisation des procédures devraient aussi avoir une incidence positive sur les PME, qui devraient supporter une charge administrative moins importante. Dans l’ensemble, l’initiative devrait également permettre à ces entreprises de réaliser des économies.

•Droits fondamentaux

L’obligation de désigner un représentant légal vise à supprimer les obstacles et, partant, à faciliter l’exercice de la libre prestation des services. La proposition permet en particulier aux prestataires de services établis dans l’Union de désigner un établissement existant en qualité de représentant légal, sauf, et c'est la seule exception, lorsque cet établissement se trouve dans un État membre ne participant pas à des instruments de coopération judiciaire adoptés en application du titre V du traité. Cette exception vise à remédier à la situation particulière résultant du titre V du traité, dont il convient de tenir compte.

4.INCIDENCE BUDGÉTAIRE

5.AUTRES ÉLÉMENTS

•Plans de mise en œuvre et modalités de suivi, d'évaluation et d'information

•Explication détaillée des différentes dispositions de la proposition

Article 1er - Objet et champ d’application

L’article 1er établit l’objet de la directive, qui est de définir des règles relatives à la représentation légale dans l’Union de certains prestataires de services aux fins de la collecte de preuves dans le cadre de procédures pénales.

Les obligations imposées aux prestataires de services peuvent prendre plusieurs formes, parmi lesquelles la réception, dans le cadre d’une procédure pénale, d’une injonction émanant d’un procureur ou d’un juge et ayant des conséquences juridiques, la communication de données nécessaires dans le cadre de cette procédure pénale, l’adoption de certaines mesures de conservation de données dans une procédure pénale ou encore la mise en place d’une procédure d’exécution en cas de non-conformité. Du fait de leurs stratégies commerciales et territoriales, il peut être difficile pour les prestataires de services de se conformer à ces différents types de demandes, qui sont de plus en plus fréquentes. Par ailleurs, les autorités compétentes ont besoin de savoir à quels prestataires de services établis dans l’Union ou offrant des services sur le territoire de celle-ci elles doivent s’adresser, et comment procéder à cet effet.

Les États membres ne peuvent pas imposer aux prestataires de services d’autres obligations que celles qui découlent de la présente directive, telles que l’obligation de désigner un représentant légal sur leur propre territoire plutôt qu’en un endroit quelconque de l’Union où ils proposent des services.

Des règles harmonisées concernant la représentation légale ne devraient pas limiter le pouvoir qu’ont les autorités compétentes, en vertu du droit de l’Union et du droit national, de s’adresser aux prestataires de services établis sur leur territoire. En pareil cas, si les autorités nationales décident d’adresser leurs injonctions directement à l’établissement du prestataire de services, la responsabilité du représentant légal telle qu’énoncée dans la présente directive ne s’applique pas.

Article 2 - Définitions

L’article 2 établit les définitions qui s’appliquent à l’instrument juridique.

Le représentant légal peut être une personne morale ou physique chargée par le prestataire de services d’agir en son nom aux fins du respect des décisions relatives à la collecte de preuves dans le cadre de procédures pénales qui émanent de services répressifs et d’autorités judiciaires. Les prestataires de services devraient être à même de choisir de désigner un établissement existant dans un État membre, y compris leur siège, ou de désigner plusieurs représentants légaux.

Sont visées par la directive, les catégories de prestataires de services suivantes: les prestataires de services de communications électroniques, les prestataires de services de la société de l’information qui stockent des données dans le cadre de la prestation fournie à l’utilisateur, y compris les réseaux sociaux, les sites de marché et les autres prestataires de services d’hébergement, et les fournisseurs de noms de domaines sur l’internet et de services d’adressage.

Le champ d’application de la présente directive couvre les prestataires de services de communications électroniques, tels que définis [dans la directive établissant le code des communications électroniques européen]. Les services de télécommunications traditionnels, les particuliers et les entreprises recourent de plus en plus, pour leurs communications interpersonnelles, à de nouveaux services basés sur l’internet, tels que la voix sur IP, la messagerie instantanée et les services de messagerie électronique, au lieu des services de communication traditionnels. Ces services, tout comme les réseaux sociaux, tels que Twitter et Facebook, qui permettent aux utilisateurs de partager des contenus, sont donc visés par la présente proposition.

Dans de nombreux cas, les données ne sont plus stockées sur l’appareil de l’utilisateur, mais sont disponibles sur une infrastructure en nuage permettant en principe d’y accéder depuis n’importe quel endroit. Les prestataires de services ne doivent pas être établis ou disposer de serveurs sur chaque territoire et utilisent au contraire des systèmes centralisés pour fournir leurs services. Afin de tenir compte de cette évolution, la définition couvre les services en nuage qui fournissent diverses ressources informatiques, telles que les réseaux, les serveurs et autres infrastructures, le stockage, les applications et les services permettant de conserver les données à des diverses fins. L’instrument s’applique également aux sites de marché qui permettent aux consommateurs et/ou aux opérateurs de conclure des transactions au moyen de contrats de ventes ou de services en ligne avec les opérateurs. Ces opérations sont effectuées sur le site web, soit du site de marché, soit de l’opérateur qui recourt aux services informatiques fournis par le site de marché. C’est donc ce site de marché qui, généralement, détient les preuves électroniques qui pourraient s’avérer nécessaires dans le cadre des procédures pénales.

Les services pour lesquels le stockage de données ne constitue pas un élément déterminant ne sont pas visés par la proposition. Bien que la plupart des services fournis par des prestataires impliquent actuellement une certaine forme de stockage de données, en particulier lorsque ces services sont fournis en ligne à distance, il existe des services dans le cas desquels le stockage de données ne constitue pas une caractéristique principale et ne revêt donc qu’un caractère accessoire, à savoir, notamment, les services juridiques, les services d’architecture, les services d’ingénierie et les services comptables fournis en ligne à distance.

Les données détenues par les prestataires de services d’infrastructure internet, tels que les registraires et registres de noms de domaines et les prestataires de services d’anonymisation et d’enregistrement fiduciaire, ou par des registres internet régionaux pour les adresses de protocole internet, peuvent être pertinentes aux fins des procédures pénales, dans la mesure où elles peuvent fournir des pistes en vue de l’identification d’un individu ou d’une entité susceptible d’avoir pris part à des activités criminelles.

Aux fins de la définition de ces prestataires de services entrant dans le champ d’application de la présente directive, il devrait exister un lien suffisant entre le prestataire et l’Union. À cet égard, il convient d’examiner si le prestataire de services permet à des personnes physiques ou morales dans l’Union de recourir à ses services. Néanmoins, la simple accessibilité du service (qui pourrait aussi découler de l’accessibilité du site internet du prestataire de services ou d’un intermédiaire, ou d’une adresse électronique et d’autres coordonnées) ne devrait pas constituer une condition suffisante aux fins de l’application de la directive. Il conviendrait donc d’exiger l’existence d’un lien étroit avec l’Union. Il y a lieu de considérer qu’un tel lien existerait en toute hypothèse dès lors que le prestataire de services dispose d’un établissement dans l’Union. En l’absence d’établissement dans l’Union, le critère relatif à l’existence d’un lien étroit avec l’Union devrait être apprécié sur la base de l’existence d’un nombre significatif d’utilisateurs dans un ou plusieurs États membres ou du ciblage des activités sur un ou plusieurs États membres. Le ciblage des activités sur un ou plusieurs États membres peut être établi sur la base de l’ensemble des circonstances pertinentes, y compris des facteurs tels que l’utilisation d’une langue ou d’une devise utilisée généralement dans cet État membre ou la possibilité de commander des biens ou des services. Le ciblage des activités sur un État membre pourrait également être déduit de la disponibilité d’une application dans la boutique d’applications nationale pertinente, de la diffusion de publicités à l’échelle locale ou dans la langue utilisée dans cet État membre, de l’utilisation de toute information émanant de personnes dans des États membres dans l’exercice de leurs activités ou de la gestion des relations avec la clientèle, comme par exemple l’offre d’un service clientèle dans la langue généralement utilisée dans cet État membre. Il convient également de supposer qu’il existe un lien étroit lorsqu’un prestataire de services dirige ses activités vers un ou plusieurs États membres, conformément à l’article 17, paragraphe 1, point c), du règlement (UE) nº 1215/2012 concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale.

Article 3 - Représentant légal

À l’article 3, paragraphes 1 et 2, figure l’obligation qui sera imposée aux prestataires de services de l’Union de désigner un représentant légal dans l’Union. En principe, les prestataires de services devraient être libres de décider dans quel État membre ils désignent leur représentant légal, et conformément à l’article 1er, paragraphe 2, les États membres ne peuvent restreindre cette liberté de choix, par exemple en imposant l’obligation de désigner le représentant légal sur leur territoire. Toutefois, les paragraphes 1 à 3 de l’article 3 énoncent certaines restrictions en ce qui concerne cette liberté de choix conférée aux prestataires de services, à savoir, notamment, le fait que le représentant légal devrait être établi dans un État membre dans lequel le prestataire de services fournit des services ou est établi. Cette restriction, qui requiert l’existence préalable d’un lien entre le prestataire de services et l’État membre dans lequel le représentant légal doit être désigné, limite la possibilité pour les prestataires de services de choisir l’État membre sur la base de considérations qui iraient à l’encontre de la finalité de la présente directive, comme le niveau des amendes. L’article 3, paragraphes 1 à 3, définit également les États membres compétents en ce qui concerne l’imposition de l’obligation aux prestataires de services.

L’article 3, paragraphe 1, s’applique aux prestataires de services établis dans l’Union. Ceux-ci doivent désigner au moins un représentant légal dans l’Union, et plus spécifiquement dans un État membre dans lequel ils proposent des services ou sont établis. Les États membres dans lesquels les prestataires de services sont établis sont chargés de l’imposition de cette obligation.

L’article 3, paragraphe 2, s’applique aux prestataires de services qui ne sont pas établis dans l’Union. Ceux-ci doivent désigner un représentant légal dans l’un des États membres dans lesquels ils fournissent des services. Les États membres dans lesquels le prestataire de services fournit des services sont chargés de l’imposition de cette obligation.

L’article 3, paragraphe 3, s’applique dans les deux cas couverts par l’article 3, paragraphes 1 et 2, et énonce des exigences supplémentaires pour résoudre le problème inhérent à l’interaction entre un instrument du marché intérieur et les instruments de coopération judiciaire adoptés en application du titre V du traité. Un représentant légal désigné dans un État membre ne participant pas à un instrument de coopération judiciaire pertinent n’assumerait pas pleinement son rôle, car une injonction ne pourrait lui être adressée en vertu du présent instrument. C’est la raison pour laquelle l’article 3, paragraphe 3, prévoit que les prestataires de services qui proposent des services dans des États membres participant à de tels instruments doivent désigner un représentant légal dans l’un de ces États membres. Par conséquent, un prestataire de services qui désigne un représentant légal dans un État membre participant à un instrument de coopération judiciaire en application du titre V s’acquitterait des obligations lui incombant en application du paragraphe 1 ou du paragraphe 2, selon le cas, et du paragraphe 3. Par ailleurs, un prestataire de services qui désigne un représentant légal dans un État membre ne participant pas à un instrument de coopération judiciaire en application du titre V remplirait les obligations lui incombant en vertu du paragraphe 1 ou du paragraphe 2, mais il devrait désigner un autre représentant légal dans l’un des États membres participant à un instrument de coopération judiciaire en application du titre V afin de pouvoir remplir également l’obligation lui incombant en vertu du paragraphe 3. Les États membres prenant part à un instrument judiciaire et dans lesquels le prestataire de services offre des services sont tenus d’imposer cette obligation.

En raison de la «géométrie variable» qui caractérise le droit pénal, avec d'une part le Danemark ne participant à aucune législation de l’Union en application du titre V et, d'autre part, le droit de consentement préalable («opt-in») conféré au Royaume-Uni et à l’Irlande, différents instruments s’appliquent actuellement dans le cadre des relations entre les États membres en ce qui concerne la collecte de preuves dans le cadre de procédures pénales. Au nombre de ces instruments figurent la directive concernant la décision d’enquête européenne et la convention d’entraide judiciaire de 2000. L’injonction de production européenne viendra à s’ajouter à ce régime légal pluridimensionnel. Du fait de la complexité qui en résulte, les États membres parties au règlement sur les injonctions européennes de production risquent davantage d’élaborer des solutions non coordonnées à l’échelle nationale, qui accentueraient encore le morcellement et l’insécurité juridique pour toutes les parties intéressées. C’est la raison pour laquelle tous les États membres devraient être tenus de veiller à ce que les prestataires de services qui ne sont pas établis dans l’Union mais qui proposent des services dans celle-ci y désignent un représentant, auquel seraient adressées les demandes directes dans les cas transfrontières et les demandes fondées sur la coopération judiciaire entre autorités judiciaires. En outre, pour éviter que les instruments juridiques de l’UE adoptés en application du titre V, chapitre 4, du traité sur le fonctionnement de l’Union européenne aux fins de l’obtention de preuves dans le cadre de procédures pénales, instruments auxquels seuls quelques États membres participent, soient moins efficaces, un représentant légal devrait être désigné dans l’un des États membres participant auxdits instruments juridiques.

Les prestataires de services devraient être libres de désigner un de leurs établissements au sein de l’Union, y compris leur siège principal, en qualité de représentant légal, sous réserve du respect des conditions énoncées dans la directive.

L’article 3, paragraphe 6, précise que les États membres doivent veiller, dans leur législation nationale, à ce qu'un représentant légal désigné puisse être tenu pour responsable en cas de non-respect, sans préjudice de la responsabilité du prestataire de services lui-même. Les prestataires de services ne devraient pas être en mesure de décliner leur responsabilité, par exemple en cas de non-respect de la part de leur représentant légal. Ils ne peuvent pas non plus invoquer, à leur décharge, l’absence de procédures internes ou l'inefficacité de telles procédures, étant donné qu’ils sont tenus de fournir les ressources et compétences nécessaires pour garantir le respect des injonctions et des décisions nationales. Le représentant légal ne devrait pas non plus pouvoir se défausser en affirmant, par exemple, qu’il n’est pas habilité à fournir des données.

Article 4 - Notifications et langues

En vertu de l’article 4, les États membres sont tenus de veiller à ce que les prestataires de services désignent un ou plusieurs représentants légaux et fournissent les coordonnées de celui-ci ou de ceux-ci.

La notification devrait aussi indiquer la ou les langues dans lesquelles il est possible de s’adresser au prestataire de services. La langue officielle de l’État membre dans lequel le représentant légal est établi sera celle utilisée par défaut. S’il existe plusieurs langues officielles, le prestataire de services peut opter pour une ou plusieurs d’entre elles. En outre, les prestataires de services pourront choisir des langues officielles supplémentaires de l’Union dans lesquelles les autorités compétentes de tous les États membres pourront s’adresser à eux. Les prestataires de services pourront de la sorte choisir une langue utilisée dans les communications internes avec le siège, par exemple, ou souvent utilisée actuellement dans les demandes, ce qui accroîtra la cohérence et la sécurité, tant pour les autorités compétentes que pour les prestataires eux-mêmes.

Lorsqu’un prestataire de services désigne plusieurs représentants légaux, il peut également notifier des règles permettant de déterminer à quel représentant légal il convient de s’adresser. Ces règles ne sont pas contraignantes pour les autorités des États membres mais devraient être respectées, sauf dans des cas dûment justifiés.

Les prestataires de services sont chargés de mettre ces informations à la disposition du public, par exemple sur leur site web, et de les tenir à jour. Il convient en outre que les États membres mettent à disposition les informations pertinentes sur des sites web spécifiques afin d’aider les autorités judiciaires à identifier le bon destinataire.

Article 5 - Sanctions

Lorsque les prestataires de services visés par la présente directive ne se conforment pas aux dispositions nationales adoptées en application de la présente directive, les États membres devraient prévoir dans leur droit national des sanctions effectives, proportionnées et dissuasives qui puissent être imposées aux prestataires de services pour n’avoir pas désigné un représentant légal conformément à la présente directive et n’avoir pas fourni les compétences, ressources et conditions nécessaires, telles que des infrastructures permettant au représentant légal de se conformer d’une manière générale aux décisions des autorités nationales et de fournir les preuves demandées.

Les sanctions ou amendes infligées pour non-exécution par le représentant légal d’une décision spécifique, telle qu’une injonction dans le cadre d’une procédure concrète, font par ailleurs l’objet d’autres instruments spécifiques, tels que le règlement européen relatif aux injonctions européennes de production et de conservation de preuves électroniques dans le cadre de procédures pénales ou le droit national.

Article 6 - Mécanisme de coordination

Pour garantir une approche cohérente, la directive prévoit un mécanisme de coordination reposant sur des autorités centrales désignées par les États membres. Ce mécanisme de coordination permettra aux États membres d’échanger des informations, de fournir une assistance et de coopérer en ce qui concerne les mesures qu'ils prennent pour faire respecter les règles établies, par exemple en déterminant l’État membre qui est le plus à même de prendre des mesures dans un cas de non-conformité donné.

Articles 7, 8, 9 et 10

Ces articles contiennent des dispositions en ce qui concerne la transposition de la directive par les États membres, le réexamen de celle-ci par la Commission, son entrée en vigueur et ses destinataires. La directive proposée entrera en vigueur le vingtième jour suivant celui de sa publication au Journal officiel. Les États membres disposeront d’un délai de six mois pour transposer dans leur législation nationale les dispositions de la directive proposée. La Commission procèdera à une évaluation de la présente directive conformément aux lignes directrices de la Commission pour une meilleure réglementation et au point 22 de l’accord interinstitutionnel du 13 avril 2016 15 .

2018/0107 (COD)

Proposition de

DIRECTIVE DU PARLEMENT EUROPÉEN ET DU CONSEIL

établissant des règles harmonisées concernant la désignation de représentants légaux aux fins de la collecte de preuves en matière pénale

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne, et notamment ses articles 53 et 62,

vu la proposition de la Commission européenne,

après transmission du projet d’acte législatif aux parlements nationaux,

vu l’avis du Comité économique et social européen 16 ,

statuant conformément à la procédure législative ordinaire,

considérant ce qui suit:

(1)Les services basés sur des réseaux peuvent, en principe, être fournis depuis n’importe quel endroit et ne nécessitent pas la présence d’une infrastructure physique, d’un établissement ou de personnel dans le pays où les services sont offerts, ni même dans le marché intérieur. Par conséquent, il peut être difficile d’appliquer et de faire respecter les obligations imposées par le droit national et le droit de l’Union aux prestataires de services concernés, notamment l’obligation de se conformer à une injonction ou à une décision émanant d’une autorité judiciaire. C’est le cas notamment en droit pénal, domaine dans lequel les États membres rencontrent des difficultés à signifier, faire respecter et exécuter leurs décisions, en particulier lorsque les services concernés sont fournis depuis l’extérieur de leur territoire.

(2)Dans ce contexte, les États membres ont pris des mesures en sens divers pour appliquer et faire respecter plus efficacement leur législation. Parmi celles-ci figurent des mesures permettant de solliciter les prestataires de services pour obtenir des preuves électroniques pertinentes dans le cadre de procédures pénales.

(3)À cette fin, certains États membres ont adopté, ou envisagent d’adopter, une législation rendant obligatoire la représentation légale sur leur propre territoire d’un certain nombre de prestataires qui offrent des services sur ledit territoire. Or ces obligations créent des obstacles à la libre prestation des services dans le marché intérieur.

(4)Il existe un risque non négligeable que d’autres États membres tentent de surmonter les lacunes existantes en ce qui concerne la collecte des preuves dans les procédures pénales en imposant des obligations nationales disparates, à défaut d’une approche à l’échelle de l’Union. Cela ne manquera pas de créer de nouveaux obstacles à la libre prestation des services dans le marché intérieur.

(5)Dans les circonstances actuelles, l’insécurité juridique qui résulte de cette situation touche à la fois les prestataires de services et les autorités nationales. Des obligations disparates et potentiellement incompatibles sont prévues pour les prestataires de services établis, ou offrant leurs services, dans plusieurs États membres, qui font donc aussi l’objet de régimes de sanction différents en cas de non-respect. Cette divergence dans le cadre de la procédure pénale devrait s’accentuer encore en raison de l’importance croissante que revêtent les services de communication et les services de la société de l’information dans notre quotidien et dans nos sociétés. Cet état de fait constitue non seulement un obstacle au bon fonctionnement du marché intérieur, mais engendre aussi des difficultés dans la mise en place et le bon fonctionnement de l’espace de liberté, de sécurité et de justice de l’Union.

(6)Pour éviter cette fragmentation et faire en sorte que toutes les entreprises opérant dans le marché intérieur soient soumises à des obligations identiques ou similaires, l’Union a adopté plusieurs actes juridiques dans des domaines connexes tels que la protection des données 17 . Afin d’améliorer le niveau de protection des personnes concernées, le règlement général sur la protection des données 18 impose aux responsables du traitement et aux sous-traitants qui ne sont pas établis dans l’Union mais offrent des biens ou des services à des personnes se trouvant dans l’Union ou surveillent le comportement de telles personnes, dans la mesure où celui-ci a lieu au sein de l’Union, de désigner un représentant légal au sein de l’Union, à moins que le traitement soit occasionnel, n’implique pas un traitement, à grande échelle, de catégories particulières de données à caractère personnel ou le traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions, et ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement, ou si le responsable du traitement est une autorité publique ou un organisme public.

(7)La définition de règles harmonisées relatives à la représentation légale de certains prestataires de services dans l’Union en vue d’assurer la réception, le respect et l’exécution des décisions émises par les autorités compétentes des États membres à des fins de collecte de preuves dans le cadre de procédures pénales devrait permettre de lever les obstacles existants à la libre prestation des services et d’éviter dorénavant que des approches nationales divergentes soient imposées en la matière. Il y a lieu de mettre en place des conditions de concurrence équitables pour les prestataires de services. En outre, il convient de faciliter une application plus efficace du droit pénal au sein l’espace de liberté, de sécurité et de justice

(8)Le représentant légal en question devrait servir de destinataire pour les injonctions et décisions nationales et pour les injonctions et décisions adoptées dans le champ d’application du titre V, chapitre 4, du traité sur le fonctionnement de l’Union européenne à des fins de collecte de preuves en matière pénale. Cela s’entend aussi bien des instruments permettant la signification directe d’injonctions au prestataire de services dans des situations transfrontières que des instruments fondés sur la coopération judiciaire entre autorités judiciaires dans le cadre du titre V, chapitre 4.

(9)Les États membres devraient faire en sorte que l’obligation de désigner un représentant légal soit immédiate, c’est-à-dire applicable à partir de la date de transposition prévue à l’article 7, pour les prestataires de services offrant déjà des services au sein de l’Union, ou à partir de la date à laquelle les prestataires de services commencent à offrir des services dans l’Union, dans les cas où cette date est postérieure à la date de transposition.

(10)L’obligation de désigner un représentant légal devrait s’appliquer aux prestataires de services offrant des services dans l’Union, c’est-à-dire dans un ou plusieurs États membres. Les situations dans lesquelles un prestataire de services est établi sur le territoire d’un État membre et offre ses services exclusivement sur le territoire dudit État membre ne devraient pas relever de la présente directive.

(11)Nonobstant la désignation d’un représentant légal, les États membres devraient toujours pouvoir s’adresser aux prestataires de services établis sur leur territoire, que ce soit dans des situations purement nationales ou à la suite de la réception d’une demande d’assistance dans le cadre des instruments juridiques relatifs à l’entraide judiciaire et à la reconnaissance mutuelle en matière pénale.

(12)Pour déterminer si un prestataire de services offre des services dans l’Union, il est nécessaire d’établir si le prestataire en question permet à des personnes morales ou physiques présentes dans l’Union d’utiliser ses services. Néanmoins, la simple accessibilité d’une interface en ligne (par exemple l’accessibilité du site internet du prestataire de services ou d’un intermédiaire, ou d’une adresse électronique et d’autres coordonnées de contact) ne devrait pas constituer, prise isolément, une condition suffisante pour que la présente directive soit applicable.

(13)L’existence d’un lien étroit avec l’Union devrait également intervenir dans la détermination du champ d’application de la présente directive. Il y a lieu de considérer qu’un tel lien étroit existe lorsque le prestataire de services dispose d’un établissement dans l’Union. En l’absence d’un tel établissement, le critère d’existence d’un lien étroit devrait être apprécié sur la base de l’existence d’un nombre significatif d’utilisateurs dans un ou plusieurs États membres ou du ciblage des activités sur un ou plusieurs États membres. Le ciblage des activités sur un ou plusieurs États membres peut être établi sur la base de l’ensemble des circonstances pertinentes, notamment des facteurs tels que le recours à une langue ou à une devise utilisée généralement dans cet État membre ou la possibilité de commander des biens ou des services. Le ciblage des activités sur un État membre pourrait également se déduire de la disponibilité d’une application dans la boutique d’applications nationale concernée, de la diffusion de publicités à l’échelle locale ou dans la langue utilisée dans cet État membre, ou de la gestion des relations avec la clientèle, par exemple de la fourniture d’un service clientèle dans la langue utilisée généralement dans cet État membre. Il convient également de supposer qu’il existe un lien étroit lorsqu’un prestataire de services dirige ses activités vers un ou plusieurs États membres, comme le prévoit l’article 17, paragraphe 1, point c), du règlement (UE) nº 1215/2012 concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale. En revanche, la fourniture d’un service dans le simple but de se conformer à l’interdiction de discrimination instaurée par le règlement (UE) 2018/302 19 ne peut, pour ce seul motif, être considérée comme constitutive d’activités dirigées ou ciblées vers un territoire donné au sein de l’Union. Les mêmes considérations devraient être retenues pour déterminer si un prestataire de services propose des services dans un État membre donné.

(14)Les prestataires de services tenus de désigner un représentant légal devraient avoir la possibilité de choisir à cet effet un établissement existant dans l’État membre en question, qu’il s’agisse d’une personne morale, d’une succursale, d’une agence, d’un bureau ou d’un siège principal ou social, ainsi que de désigner plusieurs représentants légaux. Toutefois, les groupes de sociétés ne devraient pas être contraints de désigner plusieurs représentants, à savoir un par entreprise du groupe. Différents instruments adoptés dans le champ d’application du titre V, chapitre 4, du traité sur le fonctionnement de l’Union européenne s’appliquent aux relations entre États membres lors de la collecte de preuves dans le cadre de procédures pénales. Du fait de l’existence de cette «géométrie variable» dans l’espace commun de droit pénal, il est nécessaire de garantir que la directive ne favorise pas la création de nouvelles disparités et d’obstacles supplémentaires à la prestation des services au sein du marché intérieur en permettant, dans le cas d’États membres qui ne participent pas aux instruments juridiques pertinents, que des prestataires de services offrant des services sur leur territoire y désignent leurs représentants, auquel cas le problème resterait entier. En conséquence, au moins un représentant devrait être désigné dans un État membre qui participe auxdits instruments juridiques de l’Union, afin que l’efficacité de la désignation prévue par la présente directive ne risque pas d’être affaiblie et qu’il soit tiré parti des synergies résultant de l’existence d’un représentant légal aux fins de la réception, du respect et de l’exécution des décisions et des injonctions rendues dans le contexte de la collecte de preuves dans le cadre de procédures pénales, y compris dans le cadre du [règlement] ou de la convention d’entraide judiciaire de 2000. En outre, la désignation d’un représentant légal, qui pourrait aussi servir à garantir le respect d’obligations juridiques nationales, permettrait de tirer parti des synergies résultant de l’existence d’un point d’accès clairement défini permettant de s’adresser aux prestataires de services à des fins de collecte de preuves en matière pénale.

(15)Il convient que les prestataires de services soient libres de choisir l’État membre dans lequel ils désignent leur représentant légal, et que les États membres ne puissent restreindre cette liberté de choix, par exemple en imposant l’obligation de désigner le représentant légal sur leur propre territoire. Toutefois, la directive comporte également certaines restrictions à la liberté de choix des prestataires de services à cet égard, notamment la condition que le représentant légal soit établi dans un État membre dans lequel le prestataire de services fournit des services ou est établi, et l’obligation de désigner un représentant légal dans l’un des États membres participant à des instruments de coopération judiciaire adoptés en vertu du titre V du traité.

(16)Les prestataires de services présentant le plus d’intérêt pour la collecte de preuves dans le cadre de procédures pénales sont les prestataires de services de communications électroniques et certains prestataires de services de la société de l’information qui facilitent l’interaction entre utilisateurs. Ces deux groupes devraient donc entrer dans le champ d’application de la présente directive. Les prestataires de services de communications électroniques sont définis dans la proposition de directive établissant le code des communications électroniques européen. Ces services incluent les moyens de communication interpersonnelle tels que la voix sur IP, la messagerie instantanée et le courrier électronique. Les catégories de services de la société de l’information visées ici sont celles pour lesquelles le stockage des données est un élément déterminant du service fourni à l’utilisateur; il s’agit notamment des réseaux sociaux dans la mesure où ils ne sont pas considérés comme des services de communications électroniques, des sites de marché facilitant les opérations entre leurs utilisateurs (par exemple des consommateurs ou des entreprises) et des autres prestataires de services d’hébergement, y compris ceux dont les services font appel à l’informatique en nuage. Il y a lieu d’exclure du champ d’application de la présente directive les services de la société de l’information pour lesquels le stockage des données n’est pas un élément déterminant et ne revêt qu’un caractère accessoire, tels que les services juridiques, les services d’architecture, les services d’ingénierie et les services comptables fournis en ligne à distance, même lorsqu’ils sont susceptibles de relever de la définition des services de la société de l’information au sens de la directive (UE) 2015/1535.

(17)Les prestataires de services d’infrastructure internet liés à l’attribution de noms et de numéros, tels que les registraires et registres de noms de domaine et les services d’anonymisation et d’enregistrement fiduciaire ou les registres internet régionaux répertoriant les adresses IP, revêtent un intérêt particulier lorsqu’il s’agit d’identifier les acteurs à l’origine de sites web malveillants ou corrompus. Ils détiennent des données qui sont particulièrement pertinentes pour les enquêtes pénales dans la mesure où elles peuvent permettre d’identifier un individu ou une entité agissant sous le couvert d’un site web servant à des activités criminelles, ou la victime d’activités criminelles en cas d’usurpation d’un site web détourné par des criminels.

(18)Le représentant légal devrait être en mesure, lorsque des décisions et injonctions lui sont adressées par les autorités des États membres, de s’y conformer pour le compte du prestataire de services, lequel devrait prendre les mesures requises pour garantir ce résultat, notamment en accordant au représentant des ressources et des pouvoirs suffisants. L’absence ou l’insuffisance de ces mesures ne devrait pas servir de motif justifiant le non-respect, que ce soit par le prestataire de services ou son représentant légal, de décisions ou d’injonctions relevant du champ d’application de la présente directive.

(19)Les prestataires de services devraient notifier à l’État membre de résidence ou d’établissement de leur représentant légal l’identité et les coordonnées de celui-ci, ainsi que toute modification et actualisation de ces informations. Il convient également que cette notification comporte des informations sur les langues dans lesquelles il est possible de s’adresser au représentant légal, langues qui devraient inclure au moins une des langues officielles de l’État membre dans lequel le représentant légal réside ou est établi, mais qui peuvent inclure d’autres langues officielles de l’Union, comme la langue du siège social. Lorsqu’un prestataire de services désigne plusieurs représentants légaux, il peut également notifier des règles permettant de déterminer à quel représentant il y a lieu de s’adresser. Ces règles ne sont pas contraignantes pour les autorités des États membres, mais elles devraient être respectées, sauf dans des cas dûment justifiés. L’ensemble de ces informations, qui revêtent un intérêt particulier pour les autorités des États membres, devraient être rendues publiques par le prestataire de services, par exemple sur son site web, selon des modalités comparables aux exigences de mise à disposition d’informations générales prévues à l’article 5 de la directive 2000/31/CE relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur 20 (directive sur le commerce électronique). Pour les prestataires de services soumis à la directive sur le commerce électronique, les dispositions de l’article 3, paragraphe 3, complètent les exigences en question mais ne les remplacent pas. En outre, il convient que les États membres publient aussi les informations les concernant sur un site spécifique du portail e-Justice afin de faciliter la coordination entre États membres et de rendre plus aisé pour les autorités d’un autre État membre de faire appel au représentant légal.

(20)Le non-respect des obligations de désignation d’un représentant légal et de notification et de publication des informations le concernant devrait faire l’objet de sanctions efficaces, proportionnées et dissuasives. Ces sanctions ne devraient en aucun cas prévoir une interdiction de la prestation de services, que ce soit à titre permanent ou à titre temporaire. Les États membres devraient coordonner leur action destinée à faire respecter les règles établies lorsqu’un prestataire de services propose des services dans plusieurs États membres. Pour garantir une approche cohérente et proportionnée, un mécanisme de coordination est prévu. La Commission pourrait faciliter cette coordination si nécessaire, mais elle doit, à cet effet, être informée des cas de non-respect. La présente directive ne régit pas les dispositions conventionnelles concernant le transfert ou l’imputation, entre les prestataires de services et les représentants légaux, des conséquences financières des sanctions qui leur sont infligées.

(21)La présente directive est sans préjudice des pouvoirs d’enquête des autorités dans les procédures civiles et administratives, y compris lorsque celles-ci peuvent entraîner des sanctions.

(22)Afin de garantir une application cohérente de la directive, il convient de mettre en place des mécanismes supplémentaires de coordination entre États membres. À cet effet, les États membres devraient désigner une autorité centrale qui soit en mesure de transmettre des informations et de prêter une assistance aux autorités centrales des autres États membres pour l’application de la directive, notamment lorsqu’il est envisagé de mener des actions répressives en vertu de celle-ci. Ce mécanisme de coordination devrait permettre d’informer les États membres concernés de l’intention d’un État membre d’entreprendre une action répressive. En outre, les États membres devraient faire en sorte que les autorités centrales puissent se prêter assistance en pareil cas, et coopérer entre elles si nécessaire. La coopération entre autorités centrales dans le cas d’une action répressive peut rendre nécessaire la coordination d’une action répressive entre les autorités compétentes de différents États membres. Aux fins de la coordination d’une action répressive, les autorités centrales associeront également la Commission au dossier si nécessaire. L’existence du mécanisme de coordination ne porte pas atteinte au droit de chaque État membre d’infliger des sanctions aux prestataires de services qui ne respectent pas les obligations qui leur incombent en application de la directive. La désignation des autorités centrales et la publication des informations les concernant permettront aux prestataires de services de notifier plus aisément la désignation et les coordonnées de leur représentant légal à l’État membre dans lequel celui-ci réside ou est établi.

(23)Étant donné que l’objectif de la présente directive, à savoir la levée des obstacles à la libre prestation des services dans le cadre de la collecte de preuves dans les procédures pénales, ne peut pas être atteint de manière suffisante par les États membres mais peut, en raison de la nature sans frontière des services en question, être mieux réalisé au niveau de l’Union, celle-ci peut adopter des mesures conformément au principe de subsidiarité consacré par l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité tel qu’énoncé audit article, la présente directive n’excède pas ce qui est nécessaire pour atteindre ces objectifs.

(24)Le Contrôleur européen de la protection des données a été consulté conformément à l’article 28, paragraphe 2, du règlement (CE) nº 45/2001 du Parlement européen et du Conseil 21 et a rendu un avis le (…) 22 ,

(25)Il convient que la Commission procède à une évaluation de la présente directive qui soit fondée sur les cinq critères que sont l’efficacité, l’effectivité, la pertinence, la cohérence et la valeur ajoutée de l’UE, et qui serve de base aux analyses d’impact d’éventuelles mesures supplémentaires. Il y a lieu de réaliser cette évaluation cinq ans après l’entrée en application de la directive pour permettre de recueillir suffisamment de données sur sa mise en œuvre pratique. Des informations devraient être recueillies de manière régulière et dans le but d’alimenter l’évaluation de la présente directive;

ONT ADOPTÉ LA PRÉSENTE DIRECTIVE:

Article premier
Objet et champ d’application

1.La présente directive établit des règles relatives à la représentation légale dans l’Union de certains prestataires de services pour la réception, le respect et l’exécution des décisions et des injonctions rendues par les autorités compétentes des États membres aux fins de la collecte de preuves dans le cadre de procédures pénales.

2.Les États membres ne peuvent pas imposer d’autres obligations que celles qui découlent de la présente directive aux prestataires de services visés par la présente directive aux fins énoncées au paragraphe 1.

3.La présente directive est sans préjudice des compétences des autorités nationales découlant du droit de l’Union et du droit national en ce qui concerne la prise de mesures à l’égard des prestataires de services établis sur leur territoire aux fins visées au paragraphe 1.

4.La présente directive s’applique aux prestataires de services définis à l’article 2, paragraphe 2, qui proposent leurs services dans l’Union. Elle ne s’applique pas lorsque ces prestataires de services sont établis sur le territoire d’un seul État membre et proposent des services exclusivement sur le territoire de cet État membre.

Article 2
Définitions

Aux fins de la présente directive, on entend par:

(1) «représentant légal»: toute personne physique ou morale désignée par écrit par un prestataire de services aux fins de l’article 1er, paragraphe 1, et de l’article 3, paragraphes 1, 2 et 3;

(2) «prestataire de services»: toute personne physique ou morale qui fournit une ou plusieurs des catégories de services suivantes:

(a)des services de communications électroniques tels que définis à l’article 2, paragraphe 4, de la [directive établissant le code des communications électroniques européen];

(b)des services de la société de l’information tels que définis à l’article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil 23 , pour lesquels le stockage des données est un élément déterminant du service fourni à l’utilisateur, y compris les réseaux sociaux, les sites de marché facilitant les opérations entre leurs utilisateurs, et les autres prestataires de services d’hébergement;

(c)des services d’attribution de noms de domaine sur l’internet et d’adressage IP, tels que fournisseurs d’adresses IP, registres de noms de domaine, registraires de noms de domaine et services d'anonymisation et d'enregistrement fiduciaire associés;

(3)«offrir des services dans un État membre»:

(a)permettre aux personnes physiques ou morales dans un État membre de recourir aux services visés au point 2); et

(b)avoir un lien étroit avec l’État membre visé au point a);

(4)«établissement»: soit l’exercice effectif d’une activité économique pendant une durée indéterminée au moyen d’une infrastructure stable à partir de laquelle la prestation des services est assurée, soit une infrastructure stable à partir de laquelle l’activité est gérée;

(5)«groupe»: un groupe tel que défini à l’article 3, point 15), de la directive (UE) 2015/849 du Parlement européen et du Conseil 24 .

Article 3
Représentant légal

1.Les États membres dans lesquels un prestataire de services offrant des services dans l’Union est établi veillent à ce que ce prestataire désigne au moins un représentant légal dans l’Union aux fins de la réception, du respect et de l’exécution des décisions et des injonctions rendues par les autorités compétentes des États membres aux fins de la collecte de preuves dans le cadre de procédures pénales. Le représentant légal réside ou est établi dans un des États membres où le prestataire de services est établi ou offre les services.

2.Les États membres veillent à ce que tout prestataire de services non établi dans l’Union qui offre des services sur leur territoire désigne au moins un représentant légal dans l’Union aux fins de la réception, du respect et de l’exécution des décisions et des injonctions rendues par les autorités compétentes des États membres aux fins de la collecte de preuves dans le cadre de procédures pénales. Le représentant légal réside ou est établi dans un des États membres où le prestataire de services offre les services.

3.En ce qui concerne la réception, le respect et l’exécution des décisions et des injonctions rendues par les autorités compétentes des États membres en vertu d’instruments juridiques adoptés par l’Union dans le champ d’application du titre V, chapitre 4, du traité sur le fonctionnement de l’Union européenne, en vue de la collecte de preuves dans le cadre de procédures pénales, les États membres participant à ces instruments juridiques veillent à ce que les prestataires de services qui offrent des services sur leur territoire désignent au moins un représentant dans l’un d’entre eux. Le représentant légal réside ou est établi dans un des États membres où le prestataire de services offre les services.

4.Les prestataires de services sont libres de désigner des représentants légaux supplémentaires, résidant ou établis dans d’autres États membres, y compris ceux où les prestataires de services offrent leurs services. Les prestataires de services qui font partie d’un groupe sont autorisés à désigner collectivement un seul représentant légal.

5.Les États membres veillent à ce que les décisions et les injonctions rendues par leurs autorités compétentes aux fins de la collecte de preuves dans le cadre de procédures pénales soient adressées au représentant légal désigné à cet effet par le prestataire de services. Ce représentant est chargé de la réception, du respect et de l’exécution de ces décisions et injonctions pour le compte du prestataire de services concerné.

6.À cette fin, les États membres veillent à ce que le représentant légal résidant ou établi sur leur territoire coopère avec les autorités compétentes lorsqu’il reçoit ces décisions et injonctions, conformément au cadre légal applicable.

7.Les États membres veillent à ce que les prestataires établis ou offrant des services sur leur territoire dotent leur représentant légal des pouvoirs et des ressources nécessaires pour se conformer à ces décisions et injonctions.

8.Les États membres veillent à ce que le représentant légal désigné puisse être considéré comme responsable du non-respect d’obligations découlant du cadre légal applicable lors de la réception de décisions et d’injonctions, sans préjudice de la responsabilité du prestataire de services et des actions en justice qui pourraient être intentées contre ce dernier. En particulier, l’absence de procédures internes appropriées entre le prestataire de services et les représentants légaux ne peut pas être invoquée pour justifier le non-respect de ces obligations.

9.Les États membres veillent à ce que l’obligation de désigner un représentant légal s’applique à partir de la date de transposition prévue à l’article 7 pour les prestataires de services qui offrent déjà des services dans l’Union à cette date, ou à partir de la date à laquelle les prestataires de services commencent à offrir des services dans l’Union, dans les cas où cette date est postérieure à la date de transposition de la directive.

Article 4
Notifications et langues

1.Les États membres veillent à ce que lorsqu’il désigne son représentant légal conformément à l’article 3, paragraphes 1, 2 et 3, chaque prestataire de services établi ou offrant des services sur leur territoire notifie par écrit, à l’autorité centrale de l’État membre où son représentant légal réside ou est établi, la dénomination et les coordonnées de ce dernier, ainsi que toute modification de ces données.

2.La notification précise la ou les langues officielles de l’Union, visées dans le règlement nº 1/58, dans lesquelles il est possible de s’adresser au représentant légal. Celles-ci comprennent au moins une des langues officielles de l’État membre dans lequel le représentant légal réside ou est établi.

3.Lorsqu’un prestataire de services désigne plusieurs représentants, la notification précise la ou les langues officielles de l’Union utilisées ou les États membres couverts par chacun d’eux, ou tout autre élément d’appréciation permettant de déterminer à quel représentant légal il convient de s’adresser. Dans des cas dûment justifiés, les autorités compétentes des États membres peuvent ne pas tenir compte de ces éléments.

4.Les États membres veillent à ce que le prestataire de services mette à la disposition du public les informations qu’il leur notifie conformément au présent article. Les États membres publient ces informations sur une page spécifique du portail e-Justice.

Article 5
Sanctions

1.Les États membres déterminent le régime des sanctions applicables aux violations des dispositions nationales adoptées conformément à la présente directive et prennent toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions. Ces sanctions doivent être effectives, proportionnées et dissuasives.

2.Les États membres informent la Commission, au plus tard à la date fixée à l’article 7, du régime ainsi déterminé et des mesures ainsi prises, de même que, sans retard, de toute modification apportée ultérieurement à ce régime ou à ces mesures. En outre, les États membres informent chaque année la Commission des cas de non-respect des règles par les prestataires de services et des mesures prises pour contraindre ces derniers à les respecter.

Article 6
Mécanisme de coordination

1.Les États membres désignent une autorité centrale ou, lorsque leur ordre juridique le prévoit, plusieurs autorités centrales, pour garantir l’application cohérente et proportionnée de la présente directive.

2.Les États membres informent la Commission de la désignation de la ou des autorités centrales visées au paragraphe 1. La Commission transmet aux États membres une liste des autorités centrales désignées. La Commission mettra également une liste des autorités centrales désignées à la disposition du public pour faciliter les notifications que les prestataires de services sont tenus d’effectuer aux États membres dans lesquels leur représentant légal réside ou est établi.

3.Les États membres veillent à ce que les autorités centrales se transmettent toute information utile et se prêtent une assistance mutuelle en rapport avec l’application de la présente directive d’une manière cohérente et proportionnée. La transmission d’informations et l’assistance mutuelle concernent, en particulier, les mesures prises pour faire respecter les règles établies.

4.Les États membres veillent à ce que les autorités centrales coopèrent entre elles et, si nécessaire, avec la Commission afin de garantir l’application cohérente et proportionnée de la présente directive. La coopération concerne, en particulier, les mesures prises pour faire respecter les règles établies.

Article 7
Transposition

1.Les États membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive dans un délai de 6 mois à compter de la date de son entrée en vigueur. Ils en informent immédiatement la Commission.

2.Lorsque les États membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d'une telle référence lors de leur publication officielle. Les modalités de cette référence sont arrêtées par les États membres.

3.Les États membres communiquent à la Commission le texte des dispositions de droit interne qu'ils adoptent dans le domaine régi par la présente directive.

Article 8
Évaluation

Au plus tard le [5 ans après la date d’application de la présente directive], la Commission procède à une évaluation de la directive et présente au Parlement européen et au Conseil un rapport sur l’application de la présente directive qui comporte une évaluation de la nécessité d’élargir le champ d’application de celle-ci. Ce rapport est accompagné, si nécessaire, d’une proposition de modification de la présente directive. L’évaluation est réalisée selon les lignes directrices de la Commission pour une meilleure réglementation. Les États membres fournissent à la Commission les informations nécessaires à l'établissement de ce rapport.

Article 9
Entrée en vigueur

La présente directive entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.

Article 10
Destinataires

Les États membres sont destinataires de la présente directive conformément aux traités.

Fait à Strasbourg, le

(1)     Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur (JO L 178 du 17.7.2000, p. 1).

(2)    Par «compétence d'exécution», il convient d’entendre la compétence des autorités concernées pour diligenter des mesures d'enquête.

(3)     http://www.bmjv.de/DE/Themen/FokusThemen/NetzDG/NetzDG_node.html .

(4)    La loi s’applique aux «prestataires de services de medias électroniques qui, dans un but lucratif, exploitent des plateformes internet devant permettre aux utilisateurs de partager un contenu, quel qu’il soit, avec d’autres utilisateurs ou de mettre un tel contenu à la disposition du public (réseaux sociaux) (...). Il en va de même des plateformes devant permettre à des individus de communiquer les uns avec les autres ou à des contenus spécifiques d’être diffusés.»

(5)     http://www.publicpolicy.it/wp-content/uploads/2016/03/Relazione-Franco-Roberti-Dna.pdf .

(6)    Cour d’appel d’Anvers, arrêt du 15 novembre 2017, http://www.lesoir.be/124825/article/2017-11-17/la-justice-belge-condamne-skype-payer-une-amende-de-30000-euros.

(7)     Déclaration commune des ministres européens de la justice et de l'intérieur et des représentants des institutions de l'UE sur les attentats terroristes perpétrés le 22 mars 2016 à Bruxelles .

(8)     Conclusions du Conseil de l’Union européenne sur l’amélioration de la justice pénale dans le cyberespace , ST9579/16 .

(9)     Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (JO L 119 du 4.5.2016, p. 1).

(10)     Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (JO L 194 du 19.7.2016, p. 1).

(11)

    Proposition de règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»), COM(2017) 10 final.

(12)    Document de travail des services de la Commission – «Impact Assessment accompanying the Proposal for a Regulation on European Production and Preservation Orders for electronic evidence in criminal matters and the Proposal for a Directive laying down harmonised rules on the appointment of legal representatives for the purpose of gathering evidence in criminal proceedings» (Analyse d’impact accompagnant la proposition de règlement relatif aux injonctions européennes de production et de conservation de preuves électroniques dans le cadre de procédures pénales et la proposition de directive établissant des règles harmonisées concernant la désignation de représentants légaux aux fins de la collecte de preuves dans le cadre de procédures pénales), SWD(2018) 118.

(13)    Document de travail des services de la Commission – «Impact Assessment accompanying the Proposal for a Regulation on European Production and Preservation Orders for electronic evidence in criminal matters and the Proposal for a Directive laying down harmonised rules on the appointment of legal representatives for the purpose of gathering evidence in criminal proceedings» (Analyse d’impact accompagnant la proposition de règlement relatif aux injonctions européennes de production et de conservation de preuves électroniques dans le cadre de procédures pénales et la proposition de directive établissant des règles harmonisées concernant la désignation de représentants légaux aux fins de la collecte de preuves dans le cadre de procédures pénales), SWD(2018) 118.

(14)    Comité d'examen de la réglementation de la Commission européenne – Avis concernant l’analyse d’impact - «Proposal for a Regulation on European Production and Preservation Orders for electronic evidence in criminal matters and Proposal for a Directive laying down harmonised rules on the appointment of legal representatives for the purpose of gathering evidence in criminal proceedings» (Proposition de règlement relatif aux injonctions européennes de production et de conservation de preuves électroniques dans le cadre de procédures pénales et la proposition de directive établissant des règles harmonisées concernant la désignation de représentants légaux aux fins de la collecte de preuves dans le cadre de procédures pénales ), SWD(2018) 199.

(15)    Accord interinstitutionnel du 13 avril 2016 entre le Parlement européen, le Conseil de l’Union européenne et la Commission européenne intitulé «Mieux légiférer» JO L 123 du 12.5.2016, p. 1.

(16)    OJ C , , p. .

(17)     Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281 du 23.11.1995, p. 31). Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).  Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37).

(18)     Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (JO L 119 du 4.5.2016, p. 1).

(19)     Règlement (UE) 2018/302 du Parlement européen et du Conseil du 28 février 2018 visant à contrer le blocage géographique injustifié et d’autres formes de discrimination fondée sur la nationalité, le lieu de résidence ou le lieu d’établissement des clients dans le marché intérieur, et modifiant les règlements (CE) nº 2006/2004 et (UE) 2017/2394 et la directive 2009/22/CE (JO L 601 du 2.3.2018, p. 1).

(20)     Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur (JO L 178 du 17.7.2000, p. 1).

(21)     Règlement (CE) nº 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).

(22)    JO C du , p. .

(23)     Directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information (JO L 241 du 17.9.2015, p. 1).

(24)     Directive (UE) 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, modifiant le règlement (UE) nº 648/2012 du Parlement européen et du Conseil et abrogeant la directive 2005/60/CE du Parlement européen et du Conseil et la directive 2006/70/CE de la Commission (JO L 141 du 5.6.2015, p. 73).