C. LE PROJET DE DÉCISION-CADRE : POUR UNE HARMONISATION DES DISPOSITIFS
Lors de sa réunion du 25 mars 2004, le Conseil européen a décidé d'accorder une priorité notamment à la proposition concernant la conservation des données relatives au trafic des communications, en vue de son adoption d'ici juin 2005 23 ( * ) .
1. Le champ des données concernées
Le projet de décision-cadre porte sur les données relatives au trafic 24 ( * ) , les données de localisation 25 ( * ) , celles relatives à l'utilisateur et celles relatives à l'abonné (art. 2). Il ne s'applique pas au contenu des communications échangées (art. 1 er ).
Les données visées devraient ainsi permettre d'identifier la source d'une communication et les services pour lesquels un abonnement a été souscrit, de déterminer l'acheminement, la destination, l'heure, la date et la durée d'une communication, d'identifier le dispositif utilisé et de localiser la communication.
Ces données peuvent être générées par des services de téléphonie fixe ou mobile, des services de messages courts (SMS), de médias électroniques (EMS) et de messages multimédias (MMS), par des protocoles Internet ou par des développements technologiques futurs dans le domaine des communications.
La question de la nature des données conservées a opposé les Etats membres au début des négociations. En effet, l'Allemagne et plusieurs pays d'Europe centrale et orientale souhaitaient que l'obligation de stockage ne porte que sur les données déjà conservées par les opérateurs à des fins commerciales. En revanche, d'autres Etats comme la France tenaient à une harmonisation portant sur l'ensemble des données nécessaires aux enquêtes.
Lors du Conseil « justice et affaires intérieures » du 2 décembre 2004, une nette majorité des représentants des Etats membres s'est prononcée en faveur d'un champ d'application large, correspondant aux besoins des services judiciaires.
2. L'obligation de rétention et d'accès aux données aux fins de la coopération judiciaire en matière pénale
La version initiale de l'article 4 du projet de décision-cadre prévoyait que les Etats membres prendraient les mesures nécessaires afin de veiller à ce que les données soient retenues pendant une période d'au moins douze mois et au maximum de trente-six mois après leur création. La référence à une durée maximale a été supprimée lors des négociations au Conseil, à la demande de l'Italie et de l'Irlande 26 ( * ) .
Il serait en outre possible aux Etats de fixer des périodes de rétention plus longues en fonction de critères nationaux, s'il s'agit d'une mesure nécessaire, appropriée et proportionnée dans une société démocratique.
Les Etats pourraient déroger à la durée minimale d'un an et prévoir des durées de rétention plus courtes pour les données produites par les services de messages courts, de médias électroniques, de messagerie multimédias ou par les protocoles Internet, ces dérogations devant être réexaminées chaque année.
Tout Etat membre devrait donner suite à la demande d'un autre Etat membre d'avoir accès aux données conservées dans les conditions prévues par les instruments de la coopération judiciaire en matière pénale, en subordonnant le cas échéant son consentement au respect des conditions qui seraient imposées dans un cas similaire au niveau national (art. 5).
3. Les garanties de protection et de sécurité des données
L'article 6 du projet de décision-cadre prévoit que les Etats membres respectent les principes de la protection des données, en établissant notamment des voies de recours conformément aux dispositions du chapitre III de la directive 95/46/CE.
L'accès aux données devrait être défini en fonction de finalités déterminées, explicites et légitimes , au cas par cas et dans le respect du droit national. Les données devraient être « adéquates, pertinentes et non excessives au regard des finalités poursuivies » et ne pas être conservées sous une forme permettant l'identification des personnes concernées pendant une durée excédant celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées.
La confidentialité et l'intégrité des données devraient être garanties, des mesures devant être prises pour effacer ou rectifier les données à caractère personnel qui seraient inexactes.
Aux termes de l'article 7 qui énonce les principes de sécurité des données, les Etats membres devraient assurer que celles-ci :
- sont de la même qualité que les données sur le réseau ;
- font l'objet de mesures destinées à les protéger contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération ou toute forme de traitement illicite ;
- sont détruites à la fin de la période de rétention.
* 23 Déclaration sur la lutte contre le terrorisme, DOC 7906/04.
* 24 Au sens de l'article 2 de la directive 2002/58/CE : les données traitées en vue de l'acheminement d'une communication par un réseau de communications électroniques ou de sa facturation.
* 25 Au sens de l'article 2 de la directive 2002/58/CE : les données traitées dans un réseau de communications électroniques indiquant la position géographique de l'équipement terminal d'un utilisateur d'un service de communications électroniques accessible au public.
* 26 Ces deux Etats appliquent en effet des délais de rétention plus longs, s'élevant respectivement à trois ans minimum et vingt-quatre mois renouvelables une fois.