L’UE établit les règles d’accès transfrontalier aux preuves électroniques
Le Conseil, le Parlement et la Commission sont parvenus, mardi soir (29 novembre), à un accord politique sur une nouvelle législation permettant aux services répressifs d’obtenir des preuves électroniques stockées dans un autre État membre.
Le Conseil, le Parlement et la Commission sont parvenus, mardi soir (29 novembre), à un accord politique sur une nouvelle législation permettant aux services répressifs d’obtenir des preuves électroniques stockées dans un autre État membre.
Le règlement relatif aux preuves électroniques (e-Evidence) vise à faciliter les enquêtes criminelles transfrontalières en mettant en place un mécanisme de coopération permettant aux forces de police européennes d’obtenir des preuves stockées sous forme électronique par un fournisseur de services tel qu’un service de messagerie ou de courrier électronique basé dans un autre État membre de l’UE.
L’accord provisoire, qui doit encore être ratifié par les eurodéputés et les gouvernements de l’UE, a suscité la controverse. D’une part, les pays membres ont demandé un allègement des formalités administratives pour favoriser des enquêtes rapides. D’autre part, les eurodéputés ont insisté sur la nécessité de mettre en place des garanties plus élevées contre les abus.
En juin dernier, la présidence française du Conseil de l’UE a tenté de conclure un accord mais a dépassé les limites de son mandat. Par la suite, la présidence tchèque a repris les consultations avec les ministres nationaux après avoir obtenu un mandat révisé par les ambassadeurs de l’UE la semaine dernière, comme l’avait anticipé EURACTIV.
« Outre les avantages évidents pour les autorités répressives, nous ne devons pas oublier que la coopération directe entre les autorités répressives d’un État membre et le fournisseur de services d’un autre État membre comporte également des risques », a déclaré Birgit Sippel, principale rapporteure du Parlement européen sur le dossier.
« C’est pourquoi le Parlement a insisté sur la protection des droits fondamentaux. »
Critère de résidence
Le règlement relatif aux preuves électroniques habilite les autorités judiciaires à émettre des injonctions européennes de production pour demander des preuves électroniques à un prestataire de services établi dans un autre État membre de l’UE. Le délai imparti est de dix jours dans des circonstances normales et de huit heures en cas d’urgence.
L’autre outil prévu par la législation est l’injonction européenne de conservation, qui permet à un juge d’ordonner à un fournisseur de services de conserver des données relatives à un suspect qui sont susceptibles d’être demandées ultérieurement.
Un point politiquement sensible était de savoir si l’État membre délivrant l’injonction devait en informer les autorités du pays destinataire.
Pour les eurodéputés, cette notification est nécessaire car le pays émetteur pourrait ne pas savoir si la personne concernée fait partie d’une catégorie protégée telle que les journalistes, les avocats ou les médecins. En revanche, les gouvernements nationaux estiment que le mécanisme de notification va à l’encontre de l’objectif du règlement, qui vise à accélérer la collecte transfrontalière de preuves.
Le compromis a consisté à se mettre d’accord sur un « critère de résidence », selon lequel la notification ne devrait avoir lieu qu’à la double condition que les États membres émetteurs aient des motifs raisonnables de croire que la personne en question réside sur leur territoire et que l’infraction pénale a été commise ou sera commise dans leur juridiction.
En outre, il faut définir ce qu’est la résidence. L’autorité émettrice disposera d’un large pouvoir d’appréciation pour déterminer ce que sont des « motifs raisonnables », mais pour ce faire, elle devra avant tout vérifier si la personne concernée est enregistrée comme résidente dans un autre pays membre du bloc. D’autres éléments pourront également être pris en compte, comme le fait que la personne possède un compte bancaire ou un certificat d’immatriculation de véhicule.
Motifs de refus
À la suite de la notification, les autorités du pays accueillant les prestataires de services pourraient invoquer des motifs de refus. Ceux-ci concernent les violations potentielles des droits fondamentaux, comme la liberté de la presse. Cette partie du texte devra toutefois faire l’objet de dernières retouches sur le plan technique.
Un autre élément controversé était de savoir si le pays hôte devait avoir l’obligation ou la simple possibilité de formuler de tels motifs de refus. D’après les informations d’EURACTIV, ce point constituait une ligne rouge pour les deux co-législateurs, car il était susceptible de se traduire par des termes ambigus qui pourraient être interprétés dans les deux sens.
Effets suspensifs et suppression des données
Une fois les autorités du pays d’accueil informées, les eurodéputés ont demandé que la notification suspende l’obligation pour le prestataire de services de se conformer à l’injonction. Toutefois, les États membres ont obtenu que l’effet suspensif ne s’applique qu’aux cas ordinaires, et non aux cas d’urgence.
Si les motifs de refus sont invoqués après la transmission des données aux autorités répressives, le gouvernement de l’État membre d’exécution devra indiquer si les données doivent être supprimées ou peuvent être utilisées sous certaines conditions.
Responsables du traitement des données et sous-traitants
Conformément au règlement général sur la protection des données de l’UE (RGPD), la législation demande aux services répressifs de faire la distinction entre les cas où le fournisseur de services n’est pas le véritable responsable du traitement des données, mais traite les données pour le compte du responsable du traitement.
Les États membres estiment toutefois que cette distinction ferait peser une charge inutile sur les services d’enquête, car il ne sera pas immédiatement évident de savoir si une organisation est un responsable du traitement ou un simple sous-traitant.
La manière de résoudre ces situations ambiguës sera probablement clarifiée au niveau technique. Parallèlement, les fournisseurs de services peuvent toujours indiquer aux services répressifs qu’ils ne sont pas le responsable du traitement des données.
Système informatique décentralisé
Les injonctions seront déposées par le biais d’un système informatique décentralisé qui sera hébergé par la Commission européenne.
Les États membres seront quant à eux chargés de le tenir à jour.
[Édité par Anne-Sophie Gayet]
