III. LA PROPOSITION DE RÉSOLUTION SOUMISE À VOTRE COMMISSION : PROTÉGER LES DROITS FONDAMENTAUX ET ÉVITER LES DISTORSIONS DE CONCURRENCE
Réunie le 15 décembre 2004, la délégation pour l'Union européenne du Sénat a adopté, à l'initiative de notre collègue M. Alex Türk, une proposition de résolution relative au projet de décision-cadre soumis au Sénat.
Cette proposition de résolution, tend d'abord à approuver le principe d'une harmonisation européenne en matière de conservation , par les opérateurs économiques, des données stockées et traitées dans le cadre de la fourniture de services de communications électroniques.
Votre commission, sous réserve d'une modification rédactionnelle, est en plein accord sur ce point avec la délégation pour l'Union européenne.
En effet, les infractions commises par des organisations criminelles transnationales requièrent en général des investigations longues et complexes. L'aboutissement de ces enquêtes suppose que les services compétents puissent disposer de données relatives aux communications échangées par les réseaux criminels, parfois plusieurs mois après leur enregistrement 27 ( * ) .
La proposition de résolution considère par ailleurs que le projet de décision-cadre ne permet pas, dans sa version actuelle, « de répondre à cet objectif et de concilier le besoin d'efficacité des enquêtes et la protection des droits individuels » et vise à attirer l'attention du Gouvernement sur la nécessité de prévoir une durée maximale de conservation des données de trafic . Elle tend enfin à demander au Gouvernement que soit réalisée une évaluation du surcoût de la conservation des données pour les fournisseurs de services.
A. UN DÉLAI MAXIMAL DE CONSERVATION DES DONNÉES POUR CONCILIER PROTECTION DES DROITS FONDAMENTAUX ET EFFICACITÉ DES ENQUÊTES
Le principal enjeu de la proposition de résolution soumise à votre commission est de concilier la nécessité de lutter contre le terrorisme et le respect des droits fondamentaux.
L'obligation de protection des personnes ne justifie pas la violation du principe du respect des droits de ces personnes. En outre, cette première obligation préventive est subsidiaire et subordonnée à la seconde.
Ce double devoir trouve sa justification dans l'interprétation des droits fondamentaux par la Cour européenne des droits de l'Homme.
En effet, deux interprétations s'opposent. La première, qualifiée de classique et libérale, considère que les droits de l'Homme sont des droits négatifs, l'Etat étant seulement tenu de les faire respecter. La seconde, qui est celle de la Cour européenne des droits de l'Homme, suppose que les Etats ont des obligations positives et doivent agir afin de sauvegarder les libertés garanties par la Convention européenne de sauvegarde des droits de l'Homme et des libertés fondamentales (CEDH).
Dans le domaine visé par la proposition de résolution qui est soumise à votre commission, c'est-à-dire celui de la rétention d'informations relatives aux communications électroniques, l'obligation positive des Etats parties à la CEDH est de préserver les droits et libertés visés par l'article 8 de cette convention, en limitant et encadrant strictement l'ingérence commise dans la vie privée des personnes .
Cette juste proportion est possible en suivant les critères fixés par la Cour européenne des droits de l'Homme , dans son interprétation de l'article 8.
1. Le respect des exigences de l'article 8 de la CEDH
Les données de trafic peuvent comporter des détails quant à l'heure et au lieu des communications, ainsi qu'aux numéros utilisés. Elles entrent par conséquent dans la sphère privée des citoyens et dans le champ d'application de l'article 8, paragraphe 1 de la CEDH 28 ( * ) . D'ailleurs, suivant une jurisprudence constante, la Cour de Strasbourg estime que la mémorisation par une autorité publique de données relatives à la vie privée d'un individu constitue une ingérence au sens de cet article 29 ( * ) .
Dans sa recommandation 2/99 concernant le respect de la vie privée dans le contexte de l'interception des télécommunications, adoptée le 3 mai 1999, le groupe de travail sur la protection des personnes à l'égard du traitement des données à caractère personnel 30 ( * ) définit l'interception comme « la prise de connaissance par un tiers du contenu et/ou des données afférentes aux communications privées entre deux ou plusieurs correspondants, en particulier les données de trafic liées à l'utilisation des services de télécommunications ».
Le groupe de l'article 29 reprend cette analyse dans son avis 9/2004 adopté le 9 novembre 2004 sur le projet de décision-cadre, estimant que « les mêmes critères fondamentaux s'appliquent à la conservation des données de trafic au-delà de ce qui est nécessaire pour la fourniture des services de communications et d'autres objectifs commerciaux légitimes, et pour tout accès à des données pour le respect du droit ».
Une telle conservation constitue en effet, selon ses membres, une violation du droit à la vie privée des individus et du secret de la correspondance.
Aussi le groupe de l'article 29 considère-t-il que la conservation des données de trafic est inacceptable, à moins qu'elle ne réponde à trois critères fondamentaux énoncés à l'article 8, paragraphe 2, de la CEDH et à l'interprétation qu'en donne la Cour. Ces trois critères sont :
- la base légale de la mesure ;
- la conformité de la mesure à l'un des buts légitimes énumérés dans la Convention ;
- la nécessité de cette mesure dans une société démocratique.
2. Le critère de la base légale
L'ingérence doit être prévue par la loi, conformément au paragraphe 2 de l'article 8 de la CEDH: « Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit [à la vie privée] que pour autant que cette ingérence est prévue par la loi ».
Le terme de loi est à prendre ici au sens le plus large, c'est-à-dire l'ensemble du droit interne de l'Etat membre concerné.
Mais cette exigence vise également la qualité de la loi (accessibilité de la loi à la personne concernée, prévisibilité des conséquences de la loi). Ainsi, dans l'arrêt Malone du 2 août 1984 (§ 67), la Cour de Strasbourg a jugé que la loi devait « user de termes assez clairs pour indiquer à tous de manière suffisante en quelles circonstances et sous quelles conditions elle habilite la puissance publique à opérer pareille atteinte secrète, et virtuellement dangereuse, au droit au respect de la vie privée et de la correspondance ».
En l'espèce, votre commission estime que le champ des données visées et la définition d'une durée de conservation minimale commune constituent une base légale suffisante.
3. La légitimité du but de l'ingérence
L'article 8, paragraphe 2, de la CEDH énonce les buts légitimes susceptibles de fonder l'ingérence d'une autorité publique dans la vie privée.
L'ingérence que vise à permettre et encadrer le projet de décision-cadre recouvre ainsi trois objectifs légitimes : la sécurité nationale, la sûreté publique et la prévention des infractions pénales . La lutte contre le terrorisme s'inscrit dans ces objectifs.
Il existe en effet un impératif de défense évident depuis les attentats terroristes qui ont frappé les Etats-Unis et l'Espagne. Les menaces terroristes persistantes font apparaître un indispensable besoin d'harmonisation pour assurer une coopération judiciaire efficace.
4. La nécessité de la mesure
Le paragraphe 2 de l'article 8 de la CEDH stipule que l'ingérence n'est acceptable que si elle « constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui ».
La Cour de Strasbourg a notamment donné une interprétation de ce critère dans l'arrêt Klass du 6 septembre 1978 (§ 59), en jugeant nécessaire de concilier « les impératifs de la défense de la société démocratique et ceux de la sauvegarde des droits individuels » 31 ( * ) . Par conséquent, les autorités doivent mettre en place des moyens suffisants afin de contrôler les éventuels dysfonctionnements du système qui porteraient une atteinte trop importante et non proportionnée au principe du respect de la vie privée des personnes.
Le projet de décision-cadre définit des règles de protection et de sécurité des données propres à éviter de tels dysfonctionnements.
Toutefois , comme l'a rappelé la Cour européenne des droits de l'Homme dans l'arrêt Klass (§ 49), les Etats ne disposent pas « d'une latitude illimitée pour assujettir à des mesures de surveillance secrète les personnes soumises à leur juridiction ».
Le groupe de l'article 29 a considéré que la conservation des données de trafic ferait de la « surveillance autorisée dans des circonstances exceptionnelles la règle générale », et qu'imposer aux opérateurs de conserver des données « dont ils n'ont pas besoin à des fins propres constituerait une dérogation sans précédent au principe de finalité ».
En l'espèce, la durée de conservation des données relatives au trafic des communications est un paramètre essentiel de la protection des droits fondamentaux. Par conséquent, s'il est démontré que la conservation de ces données pendant un an constitue une nécessité pour l'efficacité des enquêtes relatives à la criminalité transnationale, il ne paraît pas acceptable de laisser les Etats membres fixer des périodes de rétention plus longues, sans aucune limitation.
Ainsi, l'ingérence qui serait commise par le stockage des données de trafic ne serait justement proportionnée que si la décision-cadre fixait une durée maximale de conservation.
Votre commission partage donc entièrement le souhait de la délégation pour l'Union européenne de rétablir une durée maximale de conservation des données et de demander au Gouvernement d'oeuvrer en ce sens au sein du Conseil.
Les Etats membres pourraient en outre, comme le prévoit le projet dans sa version actuelle, fixer des périodes de rétention plus longues en fonction de critères nationaux « pour autant qu'une rétention plus longue constitue une mesure nécessaire, appropriée et proportionnée dans une société démocratique ».
* 27 Ainsi, selon le ministère de la justice, le délai d'instruction en matière criminelle s'élevait à 22,7 mois en France en 2002.
* 28 Cf supra, II, A.
* 29 Arrêts Leander contre Suède du 26 mars 1987, § 48 et Kopp contre Suisse du 25 mars 1998, § 53.
* 30 Ce groupe de travail, dit « groupe de l'article 29 », a été établi en vertu de l'article 29 de la directive 95/46/CE. Il s'agit d'un organe consultatif européen indépendant sur la protection des données et de la vie privée. Il est composé d'un représentant de l'autorité ou des autorités de contrôle désignées par chaque Etat membre (pour la France, il s'agit de la CNIL), d'un représentant de l'autorité ou des autorités créées pour les institutions et organismes communautaires et d'un représentant de la Commission. Ses missions sont définies à l'article 30 de la directive 95/46/CE et à l'article 14 de la directive 97/66/CE.
* 31 Cf également l'arre^t du 23 juillet 1968, Affaire "linguistique belge", § 5.