I. LA SLOVAQUIE
A. Un système qui depuis 2015 fonctionne sans obligation de conservation généralisée des données, mais qui tend à affaiblir l'efficacité des services d'enquête.
Dans sa version originale de 2011, la loi slovaque sur les communications électroniques imposait, à ses articles 58 et 63, une conservation généralisée des données de connexion pendant six mois pour les communications par internet et jusqu'à douze mois pour les autres types de communication.
Saisie par un groupe de députés, la Cour constitutionnelle slovaque a abrogé en avril 2015 ces dispositions195(*), déclarées à la fois contraires à trois articles de la Constitution slovaque, à la Convention européenne des droits de l'Homme, ainsi qu'à la Charte des droits fondamentaux de l'UE à la lumière de l'arrêt Digital Rights Ireland du 8 avril 2014.
Tirant les conséquences de cette décision, le législateur a amendé, en novembre 2015, la loi sur les communications électroniques et le code de procédure pénale196(*). Les opérateurs ne sont ainsi plus soumis à une obligation légale de conservation des données de connexion, y compris en matière de renseignement. Les autorités ne peuvent, dès lors, accéder qu'aux données de connexion conservées par les opérateurs pour répondre à leurs propres besoins.
Le juge peut également ordonner aux opérateurs un gel rapide des données de connexion (quick freeze)197(*), à la demande d'une autorité habilitée198(*). La conservation rapide est limitée à une période ne pouvant excéder six mois, renouvelable pour deux mois sur décision du juge.
Si le régime actuel apparaît conforme aux exigences posées par la CJUE, les services du ministère de la Justice slovaque considèrent que l'absence de conservation obligatoire des données de connexion pénalise l'efficacité de la lutte contre la criminalité grave, notamment en matière de pédocriminalité199(*).
B. Une procédure d'accès aux données de connexion renforcée en 2015, conformément à la jurisprudence de la CJUE.
Avant la réforme de 2015, les autorités répressives pouvaient accéder aux données de connexion dans le cadre d'une enquête pénale ordinaire, après autorisation par un juge. Le contrôle du juge n'était, pour autant, pas nécessaire lorsque la réquisition concernait une infraction pénale particulièrement grave, en l'occurrence les actes de terrorisme, les trafics d'armes et de stupéfiants ou la criminalité organisée.
La réforme de 2015, en sus de supprimer l'obligation de conservation généralisée des données, a conforté le contrôle du juge en matière d'accès aux données de connexion. Ainsi, les autorités répressives accèdent à ces données sous réserve de l'accord systématique du juge et dans le seul cadre d'une procédure pénale relative à une infraction pénale grave. La notion d'infraction pénale « grave » comprend les crimes ou délits passibles de trois ans de prison ou plus, les actes ayant causé des blessures physiques graves ou la mort, les menaces graves contre une personne, les atteintes à la vie privée au sein du domicile, les actes d'escroquerie et les infractions définies par un traité international200(*).
En pratique, le procureur chargé de l'affaire adresse une demande au juge en justifiant par écrit son caractère indispensable à l'avancée de l'enquête. Le juge autorise l'accès aux données par une ordonnance motivée. En cas d'urgence, le ministère public peut adresser la réquisition directement à l'opérateur, à condition de la notifier au juge. Si ce dernier ne valide pas l'ordre de réquisition dans les 24 heures, les données ainsi obtenues ne seront pas utilisables et devront être détruites.
* 195 Cour constitutionnelle slovaque, 29 avril 2015, PL. ÚS 10/2014, consultable sur leur site.
* 196 Titre III de la loi n° 397/2015 du 13 novembre 2015
* 197 Art. 112 de la Loi sur les communications électroniques (zákon n° 452/2021 z 24. novembra 2021 o elektronických komunikáciá).
* 198 En plus des services d'enquêtes, certaines institutions peuvent également accéder à ces données de connexion comme les douanes, l'agence nationale de cybersécurité, sous le contrôle du Parlement, dans le but de résoudre un incident de cybersécurité ou encore, jusqu'à la fin de l'urgence sanitaire, l'agence nationale de santé publique dans le but de lutter contre une pandémie.
* 199 Source : réponse au questionnaire adressé à l'Ambassade de France en Slovaquie.
* 200 Article 116 du code procédure pénale (zákon z 24. mája 2005 trestný poriadok).