D. L'ESTONIE
A. Un régime d'accès et de conservation des données de connexion modifié pour prendre en compte les dernières évolutions de la jurisprudence de la CJUE.
1. Des garanties supplémentaires en matière d'accès aux données de connexion
À la suite de l'arrêt Prokuratuur de la Cour de justice de l'Union européenne du 2 mars 2021162(*) prononcé dans le cadre d'un renvoi préjudiciel formulé par la juridiction suprême estonienne, le législateur estonien a modifié le code de procédure pénale en 2022 afin de mieux encadrer l'accès aux données de connexion. Les données de trafic et de localisation ne sont désormais accessibles que sur décision de la juridiction - et non plus du procureur -, la requête ne pouvant cibler que des données conservées par les opérateurs pour leurs besoins propres. Par ailleurs, d'après les réponses apportées par le ministère de la justice estonien au questionnaire adressé par les rapporteurs, l'accès aux métadonnées est limité à la lutte contre la délinquance organisée163(*).
L'Estonie a par ailleurs renforcé l'information des citoyens sur l'usage des données de connexion dans le cadre des enquêtes pénales puisque les opérateurs sont tenus de fournir annuellement à l'Autorité de la protection des consommateurs et de la régulation technique le nombre de requêtes et les délais de conservation. L'Autorité a l'obligation de publier ces informations sur son site internet et de les transmettre à la Commission européenne164(*).
2. Un régime de conservation généralisée révisé à la marge
Si le régime de conservation a été adapté à la marge pour prendre en compte les évolutions du droit européen, le législateur estonien n'a pas souhaité mettre en oeuvre un système de conservation ciblée, système jugé « irréaliste et inopérant »165(*) pour des raisons à la fois techniques et juridiques tenant notamment à l'impossibilité de définir des critères de ciblage non discriminatoires.
L'Estonie a donc conservé un régime de conservation généralisée des données tout en limitant la durée de conservation à douze mois pour les données d'identification, de trafic et de localisation. Cette période peut être prorogée, pour une durée limitée, pour la sauvegarde de l'ordre public et de la sécurité nationale, en informant la Commission européenne et les États membres de cette décision.
B. Malgré la réforme de l'accès aux données de connexion, un régime de conservation généralisée des données qui pose encore question au regard du droit de l'Union.
Même si elle s'est efforcée de se conformer aux exigences du droit de l'Union en matière d'accès, l'Estonie a choisi de maintenir un système de conservation généralisée et indifférenciée des données, indépendamment de la nature des données et des finalités poursuivies.
L'IRLANDE
A. Un nouveau régime légal de conservation des données adopté en urgence pour prendre en compte l'évolution de la jurisprudence européenne.
La loi du 21 juillet 2022 dite « Communications (Retention of Data) (Amendement) Act 2022 » a été adoptée en procédure accélérée en moins de trois semaines166(*) à la suite de l'arrêt de la Grande chambre de la CJUE du 5 avril 2022, Graham Dwyer c/ Commissioner of An Garda Síochánax167(*) qui, dans le cadre d'une question préjudicielle adressée par la Cour suprême d'Irlande, a confirmé que la loi irlandaise de 2011 sur les données de connexion n'était pas conforme au droit de l'Union.
Auparavant, le législateur irlandais n'avait pas souhaité modifier la législation en vigueur depuis 2011 malgré son invalidation par la CJUE par la décision du 8 avril 2014, Digital Rights Ireland168(*). L'ancien régime prévoyait la conservation générale et indifférenciée des métadonnées pour une période de 2 ans et autorisait l'accès à ces données sans contrôle préalable et indépendant.
Le nouveau régime de conservation réduit le champ des données concernées et prévoit que la durée légale de conservation varie en fonction de la nature des données et de la finalité poursuivie. Cette durée peut être adaptée par décision ministérielle ou judiciaire, dans le strict respect des principes de nécessité et de proportionnalité.
Pour les données d'identité civile et numérique, la durée de conservation, fixée à un an, peut être rallongée sur décision ministérielle ; cette prolongation peut aller jusqu'à une année supplémentaire dans le cadre de la lutte contre la criminalité en général, et peut aller au-delà d'un an en matière de lutte contre la criminalité grave ou la sauvegarde de la sécurité nationale. La conservation des données de trafic et de localisation est restreinte à la lutte contre une menace sérieuse et réelle, actuelle et prévisible pour la sécurité nationale, sur décision du juge compétent et pour une durée d'un an, conformément aux exigences fixées par la Cour de justice de l'Union européenne.
B. Un contrôle de l'accès dont la rigueur varie en fonction de la nature des données concernées.
La procédure d'accès aux données de connexion et les modalités de son contrôle varient en fonction de la nature des données. Les données d'identification des utilisateurs sont directement accessibles aux agents habilités à y accéder, sans contrôle judiciaire. En revanche, le juge du tribunal de district compétent doit autoriser l'accès aux données des sources internet et aux données de trafic, tandis que l'accès aux données de localisation de l'équipement terminal doit être autorisé par le supérieur hiérarchique de l'agent puis validé a posteriori par le juge qui effectue un contrôle de proportionnalité.
La liste des autorités habilitées à accéder aux données de connexion demeure large, la loi irlandaise permettant à certains agents (ceux de l'administration fiscale et de la Commission de la concurrence et de la protection des consommateurs) une possibilité d'accès aux métadonnées pour d'autres motifs que la lutte contre la criminalité grave.
C. Des doutes subsistent quant à l'effectivité et à la conformité de la législation irlandaise au droit de l'Union.
La conformité totale au droit de l'Union reste à confirmer car ni les juges nationaux, ni le juge européen ne se sont prononcés sur cette question.
La procédure d'adoption de la loi du 21 juillet 2022 précitée a été vivement critiquée par l'opposition, la société civile et les institutions européennes, le texte ayant été promulgué 17 jours seulement après son dépôt devant le Parlement169(*). Des doutes subsistent donc quant à l'efficacité et l'applicabilité du nouveau régime légal de conservation des données qui, au regard des délais d'examen du texte, n'ont pas pu être correctement anticipés par les pouvoirs publics irlandais. Le projet de loi n'ayant pas été notifié à la Commission européenne dans les délais prévus par la procédure d'information dite « TRIS » prévue par la directive (UE) 2015/1535 qui permet à la Commission de formuler des observations, l'entrée en vigueur de la loi a été repoussée au 26 juin 2023.
L'ITALIE
A. Un régime d'accès aux données de connexion adapté pour tenir compte de l'évolution de la jurisprudence européenne.
Le régime italien d'accès aux données de connexion a été modifié par le décret-loi n° 132 du 30 septembre 2021 adopté après l'arrêt Prokuratuur de la Cour de justice de l'Union européenne170(*).
Désormais, les données qui font l'objet de la requête sont acquises auprès de l'opérateur à la demande du procureur de la République ou de l'avocat de la personne mise en cause, de la personne mise en examen, de la victime et des parties civiles et sur ordre motivé du juge. En cas d'urgence, le procureur de la République peut ordonner lui-même l'accès aux données, par une décision motivée communiquée au juge. Si le juge n'a pas validé la requête dans un délai de 48 heures, les données acquises ne peuvent être utilisées.
Par ailleurs, la réforme de 2021 a limité l'accès aux métadonnées aux seuls cas de commission d'infractions graves.
B. Un régime de conservation qui demeure en contradiction avec la jurisprudence de la CJUE.
L'Italie a en revanche maintenu un régime de conservation généralisée dont la conformité au droit de l'Union pose question. L'article 132 du code de la vie privée prévoit un régime de conservation qui couvre tous les moyens de communication électronique et tous les utilisateurs de ces moyens, sans distinction. La législation italienne prévoit également une procédure de conservation rapide dite « quick freeze » pour une durée de 90 jours prorogeable, sous certaines conditions, jusqu'à six mois. La conservation rapide peut être ordonnée pour les besoins d'une enquête visant la prévention d'infractions graves ou dans le but de la constatation et de la poursuite d'infractions spécifiques. L'ordre de conservation rapide doit être communiqué dans un délai de 48 heures au procureur de la République pour contrôle et validation. Il peut définir, le cas échéant, des modalités particulières de conservation des données et prévoir l'indisponibilité des données visées pour les opérateurs, les fournisseurs ou les tiers171(*).
La Cour de cassation italienne a jugé à plusieurs reprises que les règles internes étaient conformes aux principes consacrés par la CJUE dans la mesure où, notamment, celles-ci limitent la durée de conservation dans le temps et confient à l'autorité judiciaire le contrôle effectif de l'accès aux données172(*). Les délais de conservation généralisée des données varient en effet entre 30 jours et six ans en fonction de la nature de la donnée et de la finalité poursuivie173(*). Cependant, les opérateurs ignorant, en amont, le type d'infractions justifiant l'accès aux données de connexion, ils se voient dans l'obligation de conserver l'ensemble des données pour une durée de six ans.
De même, la législation italienne prévoit la conservation des données aux fins de lutte contre la criminalité en général et non pas uniquement en matière de criminalité grave, en opposition aux principes dégagés par la Cour de justice de l'Union européenne dans l'arrêt La Quadrature du Net et autres du 6 octobre 2020174(*). Cependant, « ces dispositions ne s'appliquent pas, faute de droit d'accès175(*) » car l'étendue du régime de conservation des métadonnées entre en contradiction directe avec le régime d'accès très restrictif qui ne permet par l'accès à ces données dans le cadre de la lutte contre la criminalité en général.
* 162 CJUE, 2 mars 2021, Prokuratuur, aff. (C-746/18).
* 163 « Access to data is limited and only possible in case of serious offences », réponse du ministère de la justice au questionnaire adressé par les rapporteurs.
* 164 Article 112 de la loi sur les communications électroniques du 8 décembre 2004.
* 165 Source : réponse du ministère de la justice estonien au questionnaire adressé par la mission d'information.
* 166 Le projet de loi a été déposé devant le Parlement le 4 juillet 2022 et promulgué le 21 juillet 2022. La loi est entrée en vigueur le 26 juin 2023 à l'issue de la procédure d'information prévue par la directive (UE) 2015/1535 qui permet à la Commission européenne de formuler des observations.
* 167 CJUE, 5 avril 2022, Commissioner of An Garda Siochana (C-140/20).
* 168 CJUE, 8 avril 2014, Digital Rights Ireland Ltd contre Minister for Communications, Marine and Natural Resources e.a. et Kärntner Landesregierung e.a. (C-293/12).
* 169 Le projet de loi a été déposé devant le Parlement le 4 juillet 2022 et promulgué le 21 juillet 2022. La loi est entrée en vigueur le 26 juin 2023 à l'issue de la procédure d'information prévue par la directive (UE) 2015/1535 qui permet à la Commission européenne de formuler des observations.
* 170 CJUE, 2 mars 2021, Prokuratuur, aff. (C-746/18).
* 171 Source : étude sur la conservation des données de connexion et les modalités d'accès à ces données dans le cadre d'une enquête judiciaire (Allemagne, Belgique, Irlande, Italie, Suède) commandée par la direction des affaires européennes et internationales du ministère de la justice (1er mars 2023).
* 172 Cass., sez. V, 24 avril 2018, n. 33851 ; sez. III, 23 août 2019, n. 36380 ; sez. II, 10 décembre 2019, n. 5741. À l'inverse, la doctrine italienne et le Garant de la vie privée ont à plusieurs reprises dénoncé l'incompatibilité du régime légal italien et du droit de l'Union, même si la CJUE ne s'est pas prononcée, à ce jour, sur cette question.
* 173 Dans le cadre de la lutte contre la criminalité grave, les données sont conservées pendant 72 mois. Dans le cadre de la lutte contre la criminalité en général, les données téléphoniques sont conservées durant 30 jours (pour les appels sans réponse), 12 mois (pour les données télématiques) ou 24 mois (pour les données téléphoniques).
* 174 CJUE, 6 octobre 2020, La Quadrature du Net e.a. contre Premier ministre e.a. (C-511/18).
* 175 Source : étude sur la conservation des données de connexion et les modalités d'accès à ces données dans le cadre d'une enquête judiciaire (Allemagne, Belgique, Irlande, Italie, Suède) commandée par la direction des affaires européennes et internationales du ministère de la justice (1er mars 2023).