C. LE DANEMARK
A. Un régime modulable qui, dans la pratique, s'est limité à une obligation de conservation généralisée des données.
En mars 2017, le gouvernement danois a reconnu que la loi de 2007 sur la conservation des données, qui imposait une conservation générale et indifférenciée d'un an, n'était pas conforme au droit de l'UE tel qu'interprété par la CJUE dans l'arrêt Télé2153(*). La révision de la loi danoise a été reportée cinq fois, dans l'attente de la décision La Quadrature du Net. La nouvelle loi est entrée en vigueur le 8 mars 2022154(*).
Cette dernière pose un système double et alternatif, combinant à la fois une conservation généralisée et une conservation ciblée des données en cas d'infractions graves. Néanmoins, l'interprétation étendue qui a été faite, lors de l'élaboration de la loi, de l'accès aux données conservées de manière généralisée a rendu le dispositif d'une conservation ciblée inopérant en pratique.
En premier lieu, l'article 786f de la loi sur l'administration de la justice (Retsplejeloven) prévoit la conservation générale et indifférenciée des données d'identification relatives à un utilisateur d'internet, dont les adresses IP sources, pour la lutte contre la criminalité en général.
En second lieu, en vertu de l'article 786e de cette même loi, le ministre de la Justice peut ordonner la conservation générale des données s'il y a des raisons de croire que la sécurité nationale du Danemark est gravement menacée. Les arrêtés sont délivrés pour une période de douze mois155(*).
Dans une première interprétation, le gouvernement danois a estimé que les autorités répressives pouvaient accéder à ces données conservées de manière généralisée pour les affaires impliquant des infractions graves et ayant, ainsi, des fins autres que la protection de la sécurité nationale. .
B. Une nouvelle interprétation de la règle de droit tendant à limiter le recours à la conservation généralisée et à mettre en place une conservation ciblée.
À la suite de la décision Commissioner of An Garda Síochána156(*) rendue six jours après l'entrée en vigueur de la nouvelle loi danoise, la police nationale danoise et le Procureur général sont revenus sur leur première interprétation et ont restreint, par voie de circulaire, l'accès de leurs services aux données conservées à des fins de protection de la sécurité nationale157(*).
En conséquence, à compter de juin 2022, le gouvernement a eu recours à une conservation géographique ciblée. Celle-ci était rendue possible par deux articles de la loi de mars 2022, jusqu'alors non appliqués et autorisant une conservation ciblée des données, en cas d'infraction grave et pour une durée d'un an. Une telle mesure de conservation est établie en fonction de catégories de personnes (article 786b de la loi sur l'administration de la justice) ou de critères géographiques (article 786c).
En vertu de l'article 786b, la conservation ciblée des données est automatique pour les personnes condamnées pour des infractions pénales graves et cela pendant une période comprise entre trois et dix ans, ainsi que pour les numéros de téléphone qui ont fait l'objet d'une ordonnance d'interception des communications.
Conformément à l'article 786c, une zone sur le territoire danois de 3 km² sera automatiquement couverte par une conservation ciblée des données si le nombre d'infractions pénales graves signalées à la police ou le nombre de résidents locaux condamnés pour des infractions pénales graves est supérieur à 1,5 fois la moyenne nationale au cours des trois dernières années. La conservation des données visées à l'article 786c comprend également des « zones critiques pour la sécurité ». Y sont listés différents types de bâtiments institutionnels et d'infrastructures tels que les palais royaux, les ponts et les gares158(*).
La loi de mars 2022 met également en place des procédures de conservation rapide des données existantes (quick freeze), d'une part, et des données produites en temps réel ou dans le futur (future freeze), d'autre part. En premier lieu, pour la poursuite des infractions graves159(*), l'article 786a autorise la police à enjoindre aux opérateurs de sauvegarder, pour une période de 90 jours renouvelable, les métadonnées conservées au moment de la demande. En second lieu, l'article 786d permet au juge d'ordonner la conservation ciblée, pour une durée maximum de six mois renouvelable, des données concernant des personnes ou des zones spécifiques s'il y a des raisons de penser qu'elles sont liées à des infractions graves.
Le caractère « ciblé » du nouveau régime de conservation apparait néanmoins relatif. En effet, la mesure se fonde sur le nombre brut, et non rapporté à la population, d'infractions ou de condamnations sur un territoire : par conséquent, les villes les plus peuplées sont inévitablement intégrées au « ciblage ».
La police nationale danoise a estimé que la conservation des données ciblées couvre 11 % de la zone géographique du Danemark et 67 % de la population160(*).
À l'heure actuelle, le ministère de la Justice continue de travailler avec les opérateurs pour clarifier les possibilités de mise en oeuvre des autres modalités de la conservation ciblée. La pratique d'un accès restreint aux données conservées de manière généralisée pour les besoins de sécurité nationale n'est, d'ailleurs, pas encore entérinée par la loi. En réponse à une question parlementaire sur le sujet, le gouvernement a annoncé qu'un projet de loi, annoncé depuis avril 2022, sera éventuellement soumis au Parlement lors de la session parlementaire 2023-2024161(*).
C. Une procédure d'accès aux données de connexion contrôlée par un juge, conformément aux exigences de la CJUE.
L'accès aux données de connexion ne peut être accordé aux autorités répressives que sous trois conditions (article 781 de la loi sur l'administration de la justice) :
- s'il existe certaines raisons de supposer que des communications sont effectuées à destination ou en provenance d'un suspect ;
- si ces données sont présumées être d'une importance décisive pour l'enquête ;
- si l'enquête concerne une infraction punissable par la loi d'une peine d'emprisonnement de trois ans et plus ou une infraction liée à des conflits entre bandes violentes.
Il revient au tribunal de statuer par ordonnance sur le respect de ces trois conditions (article 783 de la loi sur l'administration de la justice). L'ordonnance précise le délai dans lequel l'intervention peut être effectuée. Il ne peut excéder 4 semaines, mais peut être renouvelé.
En cas d'urgence, la police peut décider de procéder à la collecte, mais doit saisir le tribunal au plus tard dans les vingt-quatre heures. Le tribunal autorise a posteriori l'intervention et statue sur la durée de son maintien. Si l'intervention est jugée illicite, le tribunal en avise le procureur général, qui le signale au ministère de la Justice.
* 153 CJUE, 21 décembre 2016, Tele2 Sverige AB contre Post-och telestyrelsen et Secretary of State for the Home Department contre Tom Watson e.a. (C-203/15 et C-698/15)
* 154 Loi n°291 du 8 mars 2022 modifiant la loi sur l'administration de la justice et la loi sur les réseaux et services de communication électronique (Lov om ændring af retsplejeloven og lov om elektroniske kommunikationsnet og -tjenester).
* 155 Un deuxième arrêté a été émis pour la période du 30 mars 2023 au 29 mars 2024, cf. arrêté n° 337 du 28 mars 2023 (Bekendtgørelse om generel og udifferentieret registrering af trafikdata fra og med den 30. marts 2023 til og med den 29. marts 2024 og opbevaring til og med den 29. marts 2025).
* 156 CJUE, 5 avril 2022, Commissioner of An Garda Siochana (C-140/20)
* 157 Réponse du Ministre de la Justice à la question n° 776 posée le 7 avril 2022 par la commission des affaires juridiques du Parlement danois, consultable à l'adresse suivante : https://www.ft.dk/samling/20211/almdel/reu/spm/776/svar/1874527/2560122.pdf
* 158 De manière exhaustive, sont compris les palais royaux, le Parlement, la résidence du Premier Ministre, les ambassades, les commissariats, les prisons, les zones militaires, les industries dangereuses (par exemple les explosifs), les ponts, les tunnels, les intersections de trafic et les routes principales, les points de passages frontaliers, les gares ferroviaires et le métro.
* 159 Les infractions graves comprennent notamment celles passibles d'une peine d'emprisonnement de trois ou plus (art. 786a, §1).
* 160 Réponse du ministre de la Justice à la question n° 62 relative au projet de loi L. 93 posée le 25 janvier 2022 par la commission des affaires juridiques du Parlement danois, consultable à l'adresse suivante : https://www.ft.dk/samling/20211/lovforslag/L93/spm/62/svar/1852881/2524089.pdf
* 161 Réponse du ministre de la Justice à la question n°133 relative à la proposition de loi de finances pour l'exercice 2023 (L 207) posée le 19 septembre 2022 par la commission des finances du Parlement danois, consultable à l'adresse suivante : https://www.ft.dk/samling/20211/lovforslag/l207/spm/133/index.htm