Surveiller pour punir ? Pour une réforme de l'accès aux données de connexion dans l'enquête pénale

ANNEXE 1
DROIT COMPARÉ - CONSERVATION ET ACCÈS AUX DONNÉES DE CONNEXION DANS L'UNION EUROPÉENNE

A. L'ALLEMAGNE

A. Un système de conservation des données non-applicable depuis l'arrêt SpaceNet du 20 septembre 2022.

Le précédent régime allemand de conservation des données s'articulait autour de l'article 176 du Telekommunikationsgesetz (loi de 2021 relative aux télécommunications, ci-après dénommé « TKG »), qui prévoyait une obligation de conservation généralisée des données de localisation pour une durée de quatre semaines et des données de trafic pour une durée de dix semaines.

Dans l'esprit du législateur, le régime de conservation posé en 2021 respectait le droit de l'Union européenne dans la mesure où des limitations strictes étaient apportées. En sus des courts délais de conservation des données, l'accès à ces dernières était restreint aux fins de répression des infractions pénales graves ou de prévention d'un risque concret pour la sécurité nationale. De plus, l'article 178 du TKG prévoyait la mise en place par les opérateurs de mesures visant à protéger les données conservées, conformément à un catalogue d'obligations techniques élaborées par la Bundesnetzagentur. Cette agence fédérale s'assurait du respect par les opérateurs de ces obligations de sécurité et pouvait prendre des mesures pour les y contraindre, pouvant aller jusqu'à interdire l'utilisation des opérateurs concernés (article 183, al. 4, TKG).

Toutefois, dans sa décision du 20 septembre 2022 SpaceNet et Telekom Deutschland, la CJUE a jugé la loi allemande de 2021 relative aux télécommunications non conforme au droit de l'Union européenne^140(*), confirmant en cela les précédentes décisions des juridictions nationales^141(*).

La Cour de Justice a, en effet, considéré que la conservation des données de trafic et de localisation « présente en tout état de cause un caractère grave indépendamment de la durée de la période de conservation, de la quantité ou de la nature des données conservées, lorsque ledit ensemble de données est susceptible de permettre de tirer des conclusions très précises concernant la vie privée de la ou des personnes concernées » (point 88). La Cour écarte également l'argument tendant à compenser un système élargi de conservation des données par un système d'accès plus restreint, en précisant que « la conservation de ces données et l'accès à celles-ci constituent (...) des ingérences distinctes dans les droits fondamentaux garantis aux articles 7 et 11 de la Charte, nécessitant une justification distincte » (point 91).

Dans la droite ligne de la jurisprudence européenne, la loi allemande relative à la conservation des données n'est ainsi définitivement plus appliquée par les juridictions nationales^142(*) et la Bundesnetzagentur^143(*).

Les opérateurs allemands ne sont dès lors soumis, à ce stade, à aucune obligation de conservation des données de connexion. Seules les données permettant de répondre aux besoins commerciaux et techniques des opérateurs sont conservées pour une durée pouvant aller jusqu'à six mois.

B. Une volonté de réforme à la faveur d'un système d'injonction de conservation rapide des données.

Annoncé par le ministre de la Justice et encore en discussion au sein de la coalition gouvernementale, un avant-projet de loi prévoit la possibilité pour les instances répressives d'enjoindre aux opérateurs d'effectuer une conservation rapide de métadonnées^144(*).

La mesure ne pourra être prononcée que pour une durée de conservation d'un mois, renouvelable deux fois. Seront exigés des indices factuels laissant supposer qu'une infraction grave a été commise et que les données à conserver pourront jouer un rôle pour l'établissement des faits ou la localisation du suspect.

L'initiative appartiendra au ministère public, qui devra en principe adresser sa demande au « juge de l'enquête » (Ermittlungsrichter) du tribunal cantonal (Amtsgericht). Ce dernier émettra, le cas échéant, une injonction écrite aux opérateurs justifiant de la nécessité et de la proportionnalité de la mesure. En cas de péril imminent, l'injonction peut émaner directement du ministère public, sous réserve de la confirmation de la demande par le juge dans un délai de trois jours ouvrés.

C. Soumise au contrôle du juge, la procédure allemande d'accès aux données demeure inchangée.

Selon l'article 100e du Strafprozeßordnung (StPO), les mesures de collecte des données sont ordonnées par le tribunal, sur demande du ministère public. En cas d'urgence, l'ordonnance peut toutefois être prise par le ministère public, mais doit être confirmée par le tribunal dans un délai de trois jours ouvrables.

L'accès aux données conservées est soumis au respect de plusieurs conditions. D'une part, il nécessite l'existence d'une infraction particulièrement grave, c'est-à-dire susceptible de troubler le sentiment de sécurité publique de la population. La gravité de l'infraction est donc ici indépendante de la peine encourue. D'autre part, il exige l'existence d'un soupçon simple qu'une personne ait été auteur ou complice d'infractions listées à l'article 100a du StPO. Il en résulte que l'accès aux données de tout autre tiers (témoin, victime) est exclu. Enfin, la collecte doit être nécessaire et proportionnée à l'infraction poursuivie.

Pour des infractions ne présentant pas une « particulière gravité », un accès aux données peut encore être accordé, en vertu de l'article 100g, alinéa 1^er du StPO, lorsqu'elles sont commises avec des moyens de télécommunication. Dans ce cas, en vertu d'une clause de subsidiarité, il est exigé que l'établissement des faits soit difficile ou voué à l'échec par d'autres moyens.

L'avant-projet entend conserver, sous réserve d'un toilettage, les conditions d'accès aux données de connexion telles qu'elles ont été décrites ci-avant, puisque celles-ci apparaissent vraisemblablement conformes aux exigences du droit de l'Union. Par extension, l'accès aux données ayant fait l'objet d'un « quick freeze » obéirait à la même procédure.

* ¹⁴⁰ CJUE, 20 septembre 2022, SpaceNet Ag et Telekom Deutschland GmbH (aff. jointes C-793/19, C-794/19).

* ¹⁴¹  OVG Nordrhein-Westfalen, 22.06.2017 - 13 B 238/17 : le juge des référés de la Cour administrative d'appel de la Rhénanie du Nord - Westphalie décharge ainsi le fournisseur d'accès à Internet, SpaceNet, de l'obligation de stocker les données relatives au trafic et à la localisation de ses clients. Cette décision a été confirmée au fond par le tribunal administratif de Cologne, qui a jugé en avril 2018 que les entreprises SpaceNet et Deutsche Telekom n'étaient pas obligées de respecter la loi de 2015 sur la conservation des données (Verwaltungsgericht Köln, 20 avril 2018 - 9 K 7417/17 et 9 K 3859/16).

* ¹⁴² BVerwG, 14.08.2023 - 6 C 6.22 et 6 C 7.22

* ¹⁴³ Communiqué de la Bundesnetzagentur d'août 2023, consultable à l'adresse suivante : https://www.bundesnetzagentur.de/DE/Fachthemen/Telekommunikation/OeffentlicheSicherheit/Ueberwachung_Auskunftsert/VDS_113aTKG/node.html

* ¹⁴⁴ Avant-projet du Ministère fédéral de la justice du 25 octobre 2022 pour l'introduction d'une ordonnance de conservation des données de trafic dans l'ordonnance de procédure pénale, avec motifs, consultable à l'adresse suivante : https://kripoz.de/wp-content/uploads/2022/10/refE-quick-freeze.pdf