Surveiller pour punir ? Pour une réforme de l'accès aux données de connexion dans l'enquête pénale

II. DES INQUIÉTUDES PROFONDES QUI REJAILLISSENT SUR L'UNION EUROPÉENNE

La France n'a pas été le seul État à voir son droit interne bouleversé par les arrêts de la Cour de justice de l'Union européenne : une quinzaine^46(*) d'États membres se sont engagés dans une mise en conformité, totale ou partielle, de leurs régimes de conservation des données de connexion et d'accès à celles-ci, avec parfois des conséquences importantes sur la capacité d'élucidation des infractions pour les services d'enquête. Cela étant, aucun pays ne semble faire preuve d'un enthousiasme particulier face aux arrêts de la CJUE et, si la plupart des États ne font pas mystère des difficultés qu'ils rencontrent dans l'application de la jurisprudence, les autres (à l'exception notable de l'Allemagne) se partagent entre indifférence et résignation. Tous subissent, en revanche, un sentiment identique de « flottement » créé par l'effet conjugué du nombre substantiel de questions préjudicielles posées à la Cour sur le sujet des données de connexion (une vingtaine depuis 2014) et par l'absence d'engagement par la Commission européenne de recours en manquement, même envers les États dont la législation est en contradiction manifeste avec les arrêts rendus par la Cour de Luxembourg.

L'approche quantitative n'épuise pas le sujet puisque, comme l'ont relevé plusieurs personnalités rencontrées par les rapporteurs, l'impact concret, dans chaque État, des limites posées par la Cour en matière de données de connexion est extrêmement difficile à mesurer. Il varie ainsi en fonction, d'une part, des autres outils dont disposent les États dans leur arsenal probatoire et dont l'utilisation renforcée peut « compenser » un moindre accès aux données de connexion (lecteurs automatiques de plaques d'immatriculation, système de vidéo-protection, etc.) et, d'autre part, du « seuil de judiciarisation » des affaires et de la frontière entre l'action des services de police judiciaire et celle des services de renseignement. Il apparaît ainsi que, chez certains de nos voisins européens, la limitation massive des possibilités de recours aux métadonnées dans un cadre pénal s'est traduite par un développement des enquêtes administratives ou par un recours croissant à des outils plus intrusifs encore, comme les interceptions téléphoniques.

Par ailleurs, la situation d'un même État peut faire l'objet d'analyses profondément divergentes d'un interlocuteur à l'autre, à l'instar de l'Allemagne : alors que la direction des libertés publiques et des affaires juridiques (DLPAJ) du ministère de l'intérieur juge que les enquêteurs allemands ne peuvent plus mener à bien certaines enquêtes d'envergure, faute de disposer du matériau précieux que sont les données de connexion et de localisation, particulièrement en ce qui concerne le crime organisé ou les crimes en série, l'association European digital rights (EDRi) l'a au contraire présentée comme un exemple à suivre puisqu'elle aurait pu se dispenser de toute obligation légale de conservation des métadonnées sans, pour autant, dégrader la qualité de sa réponse pénale.

Sans compter les États qui ont, à ce stade, fait le choix de maintenir inchangées leurs normes internes (comme la Pologne, la Lituanie et la Lettonie), on peut répartir les pays européens en trois groupes principaux :

- ceux qui ont fait le choix de renoncer à toute conservation des métadonnées à des fins pénales (voire, pour certains, de renoncer à la conservation quelle qu'en soit la finalité) ;

- ceux qui ont tenté de mettre en oeuvre des régimes de conservation ciblée ;

- enfin, ceux qui (comme la France) essaient de trouver des voies de compromis en instaurant des systèmes proportionnés, dont la compatibilité avec la jurisprudence de la CJUE reste toutefois à confirmer.

En tout état de cause, aucune des initiatives mises en place dans les autres États membres ne semble de nature à surmonter la rigueur des arrêts de la Cour et à ménager, dans le même temps, un système donnant satisfaction aux services d'enquête.

En Allemagne, aux Pays-Bas et en Slovaquie, les régimes existants de conservation des données ont été rendus ex abrupto inapplicables par les juges nationaux au motif de leur non-conformité aux règles européennes. Les opérateurs ne sont donc plus soumis, à ce jour, à aucune obligation légale de conservation des données de connexion, les seules données encore conservées l'étant sur le fondement de considérations purement techniques ou commerciales.

Néanmoins, l'absence d'obligation de conservation ne semble qu'un état de droit transitoire pour l'Allemagne et les Pays-Bas.

Fondées sur des modèles relativement similaires, les lois néerlandaises de 2009 et slovaques de 2011 relatives aux données de connexion imposaient une obligation de conservation généralisée des données pour une durée de six à douze mois. Les deux régimes pâtissaient également d'un système de collecte des données peu encadré. Les autorités répressives pouvaient accéder à ces données sans contrôle préalable dans le cadre d'enquêtes sur une infraction pénale particulièrement grave, dans le cas slovaque, ou pour toute infraction passible d'une détention provisoire^47(*), dans le cas néerlandais. Dès 2015, ces régimes ont été rendus inapplicables par le juge des référés du tribunal de La Haye^48(*) et par la Cour constitutionnelle slovaque^49(*), au motif notamment de la violation des articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne. Le dispositif allemand de conservation des données^50(*) a, quelques années plus tard, subi un sort identique. Introduit en 2015, il semblait pourtant relativement exigeant, puisqu'il limitait la durée de conservation généralisée des métadonnées à quatre semaines pour les données de localisation et à dix semaines pour les autres types de données. La loi allemande imposait également un strict cahier des charges aux opérateurs afin de garantir une protection efficace des données. Enfin, la collecte de ces données était soumise au contrôle préalable d'un juge et limitée aux infractions particulièrement graves.

Cependant, le 22 juin 2017, quelques jours avant son entrée en vigueur, la Cour administrative d'appel de la Rhénanie du Nord-Westphalie rendait une ordonnance de référé dans laquelle elle déclarait le dispositif allemand de conservation des données contraire au droit de l'Union^51(*). Le 28 juin suivant, dans l'attente d'une décision définitive sur cette affaire, l'Agence fédérale allemande des réseaux (Bundesnetzagentur), annonçait renoncer temporairement à prendre des mesures visant à faire respecter les règles de conservation des données. Le dispositif allemand était ainsi privé de tout effet contraignant et, en cela, de toute effectivité.

La ligne des juges allemands a, par la suite, été confirmée par la Cour de justice de l'Union européenne. Saisie d'une question préjudicielle sur ces mêmes affaires par le Tribunal administratif fédéral allemand, la Cour a ainsi jugé le dispositif allemand non conforme au droit de l'Union au motif qu'il serait, indépendamment de la durée et des conditions d'accès, « susceptible de permettre de tirer des conclusions très précises concernant la vie privée de la ou des personnes concernées » (point 88)^52(*). Par conséquent, et conformément à cette décision préjudicielle, les tribunaux nationaux et la Bundesnetzagentur ont définitivement écarté l'application des dispositions de la loi allemande sur la conservation des données^53(*).

D'effet immédiat, ces décisions ont ainsi rendu inapplicable, dans les pays étudiés, toute obligation légale de conservation des données de connexion. Seules les données conservées par les opérateurs pour répondre à leurs propres besoins techniques et commerciaux peuvent, dès lors, faire l'objet de réquisitions par les autorités répressives au titre de la lutte contre la criminalité grave. Aux Pays-Bas, 34 221 demandes ont été émises à ce titre en 2018^54(*).

Si cette transition a été faite sans modification législative en Allemagne et aux Pays-Bas, en Slovaquie le législateur a adopté, dès novembre 2015, une nouvelle loi qui acte la suppression de toute obligation légale de conservation généralisée des données de connexion. Elle prévoit, en compensation, la possibilité pour le juge de demander une conservation rapide des données. La réforme de 2015 a également conforté le contrôle du juge en matière d'accès aux données de connexion. L'autorisation préalable du juge est désormais systématique et les réquisitions de données ne peuvent s'exercer que pour les infractions pénales graves.

L'impact opérationnel d'un tel régime de conservation et ses implications pour la résolution des enquêtes pénales ont suscité des interrogations dans les pays concernés.

L'ambassade de France en Slovaquie a ainsi indiqué aux rapporteurs que, selon les services du ministère de la justice slovaque, le cadre législatif existant « n'est pas suffisant pour une lutte efficace contre la criminalité grave ». Le poste diplomatique a rapporté, à ce titre, que de nombreuses enquêtes pénales échoueraient en raison de l'impossibilité de remonter aux communications passées des suspects, faute de conservation obligatoire des données de connexion. Le problème affecterait en particulier la majorité des enquêtes en matière de pédocriminalité.

Témoignant également de la fragilité d'un régime privé de toute obligation légale de conservation, les gouvernements néerlandais et allemand se sont engagés dans une révision de leurs cadres juridiques.

Aux Pays-Bas, un projet de loi, soumis au Parlement dès 2016, prévoyait un nouveau régime d'accès aux données de connexion, placé sous le contrôle du juge d'instruction^55(*). Parce qu'elle préservait le régime de conservation générale et indifférenciée posé en 2009, cette position semblait difficile à maintenir à la suite de l'arrêt Tele2 Sverige^56(*). Le ministre de la justice néerlandais a ainsi, en 2018, annoncé au Parlement son intention de modifier le projet de loi afin de limiter l'obligation de conservation aux seules données d'identification^57(*), tout en envisageant de réintroduire une obligation générale de conservation des données de trafic et de localisation « si à l'avenir, par exemple dans le cadre des discussions au niveau européen, il s'avère qu'une [telle] obligation [...] sous quelque forme que ce soit est compatible avec le droit européen ». Ces derniers mots témoignent d'une forme de circonspection quant à l'idée qu'un modèle ne reposant sur aucune obligation légale de conservation puisse être maintenu à long terme.

La question de l'exploitabilité d'un régime sans obligation légale de conservation tend également à diviser la coalition gouvernementale allemande. Un avant-projet de loi a été annoncé par le ministre fédéral de la justice afin de mettre en place un dispositif fondé exclusivement sur la conservation rapide des données (quick freeze)^58(*). Estimant que ce gel rapide « peut être utilisé comme instrument d'accompagnement dans des applications spécifiques et fournir des résultats d'enquête importants, mais n'est pas un remplacement adéquat pour le stockage des adresses IP », la ministre fédérale de l'intérieur soutient, de son côté, une approche qui prévoit à la fois une conservation généralisée des adresses IP et une conservation ciblée sur la base de critères géographiques^59(*).

Loin de susciter l'adhésion des autorités des pays étudiés, l'absence d'obligation légale de conservation des métadonnées demeure donc controversée. La tendance est ainsi moins à une expansion de ce modèle qu'à un réexamen des dispositifs de conservation différenciés selon les types de données.

Conformément à la jurisprudence de la CJUE^60(*), un système mixte, conciliant conservation ciblée des métadonnées dans le cadre de la lutte contre la criminalité grave et conservation généralisée à des fins plus spécifiques, a été récemment mis en place en Belgique et au Danemark.

Toutefois, l'application faite par ces États des exigences de la CJUE (avec, notamment, l'existence d'un certain nombre de contournements au principe du « ciblage ») conduit à s'interroger sur la pertinence pratique des modèles existants de conservation ciblée.

La Belgique et le Danemark ont tous deux adopté, en 2022, une nouvelle loi sur les métadonnées qui prévoit la possibilité d'une conservation ciblée et d'un accès au « stock » ainsi constitué en cas d'infraction grave. Ces évolutions normatives sont la conséquence, d'une part, de l'annulation de la loi alors en vigueur par la Cour constitutionnelle belge en 2021^61(*) et, d'autre part, de la prise en compte par le gouvernement danois de la non-conformité de la précédente loi nationale avec l'arrêt Tele2 Sverige^62(*).

Dans le cas belge, les données de connexion sont automatiquement conservées dans les zones particulièrement exposées à des menaces de crimes graves ou d'atteinte à la sécurité nationale (aéroports, gares, etc.), ainsi que dans les arrondissements judiciaires sujets à un taux important de criminalité grave^63(*).

Dans le cas danois, la conservation des données comprend des « zones critiques pour la sécurité » (palais royaux, ponts, gares, etc.), ainsi que les parties du territoire national où le nombre réel d'infractions pénales graves ou le nombre de résidents condamnés pour de telles infractions est supérieur à 1,5 fois la moyenne nationale.

En sus des critères géographiques, le système danois prévoit également une conservation ciblée en fonction de catégories de personnes. Elle est automatique pour les personnes condamnées pour des infractions graves, ainsi que pour les lignes de téléphone faisant l'objet d'une ordonnance d'interception.

Ce dispositif de conservation automatique des données est assorti d'une procédure de conservation rapide « à la demande ». En Belgique, l'injonction de conservation rapide est émise par le ministère public pour une durée de conservation de six mois au maximum. Au Danemark, il revient au tribunal d'enjoindre aux opérateurs ce gel rapide des données, pour une durée de conservation d'un an. Dans ce cadre, la portée du ciblage est réduite à l'échelle d'une affaire, qui doit concerner une infraction passible d'une peine d'emprisonnement d'un an ou plus, dans le cas belge, ou de trois ou plus, dans le cas danois.

Le dispositif de conservation ciblée des données s'appuie également sur une procédure d'accès fortement encadrée au Danemark. La demande des autorités d'enquête est soumise à l'autorisation du tribunal et ne peut concerner qu'une personne soupçonnée d'avoir commis une infraction grave, c'est-à-dire passible d'une peine d'emprisonnement de trois ans ou plus. Une procédure de contrôle préalable est également prévue, en Belgique, pour collecter les données de trafic et de localisation. Ces dernières ne sont ainsi accessibles qu'après autorisation du juge d'instruction et pour les seules infractions de nature à entraîner une peine d'emprisonnement d'un an ou plus. Les données d'identification peuvent, en revanche, être requises pour toute infraction et sans contrôle.

La réalité du caractère ciblé de la conservation peut, toutefois, être doublement nuancée : en effet, non seulement la Belgique et le Danemark sont tous deux régis par un système mixte, combinant une conservation généralisée et une conservation ciblée des données selon le type de données ou la nature de l'infraction, mais surtout la définition du « ciblage » s'avère particulièrement large, permettant de facto de soumettre une part substantielle des territoires et des populations à une obligation légale de conservation.

En premier lieu, donc, la Belgique et le Danemark ont intégré à leur droit des hypothèses de conservation généralisée des données de connexion :

- en Belgique, les données de trafic et de localisation font ainsi l'objet d'une conservation généralisée pour la détection des fraudes ou des utilisations abusives du réseau de communication électronique, bien que la CJUE ne réserve cette possibilité qu'aux fins de la sauvegarde de la sécurité nationale^64(*) ;

- au Danemark, le ministre de la justice peut ordonner la conservation générale des données pendant un an s'il y a des raisons de croire qu'il existe des menaces graves pour la sécurité nationale. Dans un premier temps, le gouvernement danois avait considéré que les autorités pouvaient accéder, aux fins de lutter contre les infractions graves, aux données conservées de manière généralisée pour la sécurité nationale. À la suite de l'arrêt Commissioner of An Garda Síochána^65(*), rendu six jours seulement après l'entrée en vigueur de la nouvelle loi, les autorités danoises ont toutefois estimé nécessaire de revenir sur leur interprétation. Elles envisagent, depuis lors, de recourir exclusivement à la conservation géographique ciblée dans le cadre de la lutte contre les infractions graves. La mise en oeuvre du dispositif prévu par la loi n'est toutefois pas encore achevée^66(*).

En second lieu, force est de constater que les larges critères géographiques retenus par la Belgique et le Danemark pour définir la conservation ciblée permettent une couverture de la quasi-totalité de leur territoire. Ainsi, la police nationale danoise estime que 67 % de la population sera concernée par la conservation ciblée des données^67(*).

De même, si le gouvernement belge, dans l'exposé des motifs du projet de loi, considère « qu'il n'est pas impossible que l'entièreté du territoire national soit visée par une conservation des données », il ajoute, dans une figure rhétorique révélatrice, qu'il s'agira alors « d'une conservation ciblée dans son approche mais généralisée dans ses conséquences »^68(*). Visant à ce titre les critères de ciblage excessivement larges retenus par la loi belge du 20 juillet 2022, la Ligue des droits Humains et la Liga voor mensenrechten ont chacune déposé un recours en annulation devant la Cour constitutionnelle de Belgique^69(*).

Le calcul des taux de criminalité utilisés pour identifier les territoires ciblés est, en effet, discutable. Au Danemark, les paramètres de mesure sont fondés sur le nombre réel d'infractions ou de condamnations, sans que ce chiffre ne soit rapporté à la taille de la population locale, de sorte que les grandes villes sont automatiquement comptabilisées. En Belgique, le taux de criminalité grave est calculé d'après les données saisies par les officiers de police judiciaire, qui comprennent « de nombreuses inexactitudes et/ou erreurs » selon l'Organe de contrôle de l'information policière^70(*). La notion d'infractions graves utilisée pour calculer le taux de criminalité inclut, en outre, des délits de droits communs tels que la fraude informatique, le vol avec violence ou la détention de stupéfiants^71(*).

Les rapporteurs jugent que les difficultés rencontrées par les autorités belges et danoises démontrent, au-delà des cas d'espèce, le caractère paradoxal et peu opérationnel des critères posés par la CJUE, les États ayant tenté de se conformer à sa jurisprudence s'étant rapidement trouvés poussés à en contourner la rigueur et subissant, au niveau national, des contestations quant aux discriminations induites par la conservation ciblée.

Certains États membres ont fait le choix de renforcer leur législation pour prendre en compte l'évolution de la jurisprudence de la Cour de justice de l'Union européenne sans remettre en cause le principe d'une conservation généralisée des données.

Les législateurs nationaux ont opéré des choix variés pour tenter d'atteindre un équilibre précaire entre efficacité de l'action publique et protection de la vie privée : renforcement du contrôle de l'accès aux données de connexion (Italie, Estonie), procédure de conservation rapide dite « quick freeze » (Italie, Suède et Irlande), modulation de la durée de conservation des données (Suède, Irlande, Italie), réduction du champ des données conservées (Suède, Irlande), etc.

En l'absence de jurisprudence récente concernant ces différentes réformes, la conformité de ces systèmes de conservation « proportionnée » au droit de l'Union pose encore question.

Les juridictions nationales suédoises, estoniennes et irlandaises ont adressé des questions préjudicielles à la Cour de justice de l'Union européenne qui a confirmé la non-conformité de leur législation nationale au droit de l'Union^72(*).

En conséquence, les législateurs nationaux ont fait évoluer leur régime de conservation des données de connexion et d'accès à celles-ci dans le cadre des enquêtes pénales en 2022. Les pouvoirs publics suédois et estoniens ont explicitement refusé de recourir à un système de conservation ciblée pour des raisons techniques et politiques liées notamment à la difficulté de définir des critères de ciblage non discriminatoires : ils ont ainsi fait le choix de mieux encadrer le recours aux données de connexion tout en maintenant le principe d'une conservation généralisée. Ces réformes ont porté sur :

- la modulation de la durée de conservation des données, réduite à 12 mois en Estonie et en Irlande, sauf exceptions^73(*), et à deux à dix mois en Suède en fonction de la nature des données^74(*) ;

- la réduction du champ des données conservées. En Irlande, la conservation des données de trafic et de localisation est désormais cantonnée à la lutte contre une menace sérieuse et réelle, actuelle et prévisible pour la sécurité nationale. En Suède, les données relatives aux conversations transférées, aux communications fixes et à la mise à disposition d'une capacité d'accès à internet ont été exclues du champ des données à conserver ;

- la mise en place d'une procédure de conservation rapide dite « quick freeze » en Suède, en Irlande et en Italie, pour une durée de 90 jours prorogeable sous conditions, et dans des cas particuliers (lutte contre la criminalité grave en Suède et en Italie, uniquement pour les données de trafic et de localisation en Irlande) ;

- l'amélioration de l'information du citoyen. En Estonie, l'Autorité de la protection des consommateurs publie chaque année, sur son site internet, le nombre de requêtes et les délais de conservation des données de connexion utilisées dans le cadre des enquêtes pénales et transmet ces informations à la Commission européenne.

En Italie, si le régime légal de conservation des données de connexion n'a pas évolué, l'accès à ces données a été modifié par le décret-loi du n° 132 du 30 septembre 2021 dans le but de mieux se conformer à l'exigence d'un contrôle indépendant et impartial dégagée par la jurisprudence européenne^75(*). L'accès aux données de connexion est désormais cantonné aux seuls cas de commission d'infractions graves et autorisé sur ordre motivé du juge ou, en cas d'urgence, par le procureur de la République, sous le contrôle du juge.

Les législateurs estonien et irlandais ont choisi, quant à eux, de faire varier la rigueur du contrôle de l'accès aux données en fonction de la nature des données concernées. En Estonie, l'accès à certaines données de connexion n'est autorisé que dans le cadre de la lutte contre la criminalité grave. De même, les données de trafic et de localisation ne sont désormais accessibles que sur décision du juge compétent en vertu du code de procédure pénale et non plus du procureur.

La législation irlandaise prévoit trois procédures distinctes :

- un accès direct aux données d'identification des utilisateurs, sans contrôle judiciaire ;

- un accès sur autorisation du juge du tribunal de district compétent aux données des sources internet et de trafic ;

- un accès autorisé par le supérieur hiérarchique de l'agent demandeur avec validation a posteriori par le juge des données de localisation de l'équipement terminal.

La jurisprudence de la Cour de justice de l'Union européenne a fait vaciller l'équilibre préalablement établi du droit européen et la conciliation que le législateur de l'Union a tenté d'assurer entre la protection de la vie privée, d'une part, et la prérogative régalienne des États membres en tant que garants des ordres publics nationaux, d'autre part. Elle a, en tant que telle, eu des conséquences au-delà du strict périmètre des données de connexion, ralentissant voire mettant à l'arrêt des négociations sur des textes clés dans tout le secteur du numérique.

Dans ce contexte, les États membres tentent actuellement de se coordonner pour proposer un raisonnement alternatif à celui de la Cour et étudier les évolutions possibles du droit de l'Union. La présidence suédoise a ainsi installé, au premier semestre 2023, un groupe d'experts de haut niveau sur l'accès à l'information numérique en matière pénale.

La jurisprudence de la CJUE est venue redistribuer les cartes dans un paysage institutionnel déjà fragmenté au niveau européen, accentuant les lignes de fracture préexistantes et, partant, aggravant les difficultés à bâtir un consensus sur des sujets pourtant essentiels.

En effet, les co-législateurs européens ont eux-mêmes des positions disparates, que l'on peut résumer (avec la dose de caricature qu'un tel exercice de synthèse implique) de la manière suivante :

- le Conseil européen, émanation des États, insiste depuis plusieurs années sur l'impérieuse nécessité d'une adaptation des moyens de répression aux innovations technologiques. C'est ainsi qu'il a, dès ses conclusions du 23 juin 2017, estimé « que l'accès effectif aux preuves électroniques est essentiel pour lutter contre les formes graves de criminalité et le terrorisme » et que, « sous réserve de garanties appropriées, la disponibilité des données devrait être assurée ». La stratégie de l'UE contre le crime organisé 2021-2025 demandait, de même, « d'adapter les services répressifs et judiciaires à l'ère numérique ». Ces prises de position ont trouvé un prolongement opérationnel avec de vastes opérations coordonnées par Europol et associant plusieurs États, qui ont permis l'infiltration de services cryptés utilisés à des fins criminelles (ANOM, EncroChat, SKY ECC) puis le démantèlement des réseaux de criminalité organisée correspondants ;

- tout à l'inverse, le Parlement européen fait traditionnellement preuve d'un attachement fort aux libertés publiques - parfois au détriment des principes avec lesquelles celles-ci doivent être conciliées. Ses positions en trilogue sont marquées par une volonté de prohiber toute atteinte, par les autorités répressives, à la confidentialité des données échangées en ligne ou a minima de réduire au strict minimum le niveau d'immixtion des États dans les communications privées - ce qui peut paraître surprenant dans un contexte où les opérateurs continuent de bénéficier d'un accès faiblement régulé aux mêmes données, puisqu'ils peuvent les traiter presque sans limites pour leurs besoins commerciaux, y compris en établissant le profil des utilisateurs afin de leur proposer une publicité ciblée répondant à leur « profil » tel qu'il a été révélé par leur activité en ligne. Certains interlocuteurs des rapporteurs à Bruxelles ont ainsi jugé que les parlementaires européens faisaient preuve de défiance vis-à-vis des gouvernements nationaux, dont les positions étaient vues comme liberticides par nature, et se montraient a contrario particulièrement sensibles à la force de conviction déployée par les lobbies associatifs européens qui agissent pour la défense des droits individuels sur internet. Le Parlement européen apparaît, en somme, comme le tenant d'une protection maximale des données échangées en ligne, y compris dans les cas où un accès auxdites données est proposé à des fins de lutte contre la criminalité ;

- enfin, la Commission européenne ne semble pas apte à parler d'une seule voix sur le sujet des données de connexion, ses différentes directions générales affichant en la matière des points de vue difficilement conciliables. En effet, les intérêts objectifs des trois directions impliquées dans le débat, à savoir la DG Justice, la DG Connect et la DG Affaires intérieures (Home) sont divergents, la première ayant pour priorité la protection des droits et libertés fondamentaux tandis que la seconde a pour objectif de développer le marché du numérique en Europe, l'innovation et la recherche afin de renforcer la compétitivité collective des États, et que la troisième est chargée de la sécurité intérieure à l'Union et du contrôle des frontières. Comme les rapporteurs l'ont constaté, le dialogue entre ces directions peut s'avérer complexe, voire fastidieux. Dès lors, le devenir d'un projet dépend étroitement de la DG qui a été chargée du pilotage du texte au sein de la Commission, l'identité de la direction pilote constituant par elle-même un « cadre » spécifique de réflexion et le révélateur de la priorité qui est poursuivie.

C'est dans ce contexte institutionnel qu'il faut analyser l'impact de la jurisprudence de la CJUE sur le processus normatif européen.

Les décisions de la Cour, de pair avec l'existence de dissensions entre les États, ont en effet contribué à complexifier les négociations sur plusieurs textes importants, au premier rang desquels le futur règlement dit « e-privacy 2 » (ou « vie privée et communications électroniques » 2), lex specialis du RGPD (règlement général sur la protection des données) ayant vocation tant à préciser son application dans le domaine des communications électroniques qu'à apporter, le cas échéant, des dérogations ponctuelles et proportionnées aux principes qu'il fixe. Ce règlement doit à terme remplacer l'actuelle directive e-privacy, qui constitue à la fois le texte fondateur au niveau européen en matière de traitement des données téléphoniques internet et la base de la première censure prononcée par la Cour de Luxembourg en 2014.

La directive e-privacy est en cours de renégociation depuis janvier 2017, soit depuis près de 7 ans : après le vote par le Parlement européen de son rapport en 2018 et l'atteinte d'un accord au sein du Conseil en février 2021, l'examen du texte est au point mort et la phase de trilogue ne semble pas connaître d'avancées significatives. Cette lente avancée des discussions découle largement de la volonté des États de trouver, à l'occasion de l'adoption du futur règlement, une voie de contournement de la jurisprudence de la CJUE qui consisterait, en pratique, à rappeler au sein de ce texte que le principe de confidentialité des communications ne s'applique ni « aux activités qui ne relèvent pas du champ d'application du droit de l'Union », ni « aux activités menées par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces »^76(*).

Comme le rappelle le Secrétariat général aux affaires européennes dans sa réponse écrite au questionnaire des rapporteurs, « il est peu probable que les négociations aboutissent à moyen terme » notamment au vu de la position allemande très protectrice sur les données de connexion et de l'émergence d'autres priorités en matière numérique (par exemple, en ce qui concerne la régulation de l'intelligence artificielle) qui occupent l'agenda des institutions européennes. Pour autant, le maintien en vigueur de la directive e-privacy n'est pas une option tenable, celle-ci n'étant pas entièrement compatible avec le RGPD. En l'état, la stratégie de la Commission ne semble pas arrêtée : celle-ci pourrait donc reprendre les discussions après les élections européennes et le renouvellement subséquent de la Commission en juin 2024, ou encore fragmenter le texte pour dégager plus facilement des accords sur certaines portions - étant relevé que ces deux options ne sont pas mutuellement exclusives.

Le texte e-privacy 2 n'est pas le seul à s'être trouvé bousculé par la jurisprudence de la Cour, puisque la conformité de plusieurs réglementations (ou projets de réglementations) européennes se trouve remise en question par ricochet par ses décisions sur les données de connexion. Outre les textes qui, même au-delà du numérique, se trouvent impactés par les débats liés aux métadonnées (à l'instar du projet de législation européenne sur la liberté des médias, qui a conduit à poser la question d'une définition par le droit de l'Union de la notion de « criminalité grave »), deux exemples méritent d'être cités.

Le premier concerne la lutte contre les abus sexuels sur mineurs, ce sujet faisant l'objet d'un projet de règlement^77(*) ayant donné lieu au dépôt au Sénat d'une proposition de résolution européenne de Ludovic Haye, Catherine Morin-Desailly et André Reichardt, adoptée par le Sénat le 20 mars 2023^78(*). La lutte contre la pédocriminalité en ligne est l'un des thèmes sur lesquels la tension entre la nécessaire répression des infractions, d'une part, et la protection des données personnelles, d'autre part, est la plus saillante : le projet de règlement comporte ainsi, aux côtés de propositions plus consensuelles, une mesure controversée et contestable dans son principe consistant à obliger les fournisseurs de services de communication et d'hébergement en ligne à effectuer des analyses, y compris au sein des correspondances privées des utilisateurs et en cas de chiffrement des communications, à la fois pour identifier des images ou des vidéos déjà répertoriées comme pédo-criminelles et disposant d'une empreinte numérique d'identification, et pour détecter par l'utilisation d'outils prédictifs des contenus pédo-criminels ou de « pédo-piégeage » nouveaux. L'atteinte lourde à la confidentialité des échanges et le risque élevé, dans le cas des contenus nouveaux, de « faux positifs » posent une véritable question de principe : comme le relevaient les auteurs de la proposition de résolution précitée, « la possibilité d'émettre des injonctions de détection des contenus pédopornographiques ou de pédopiégeage est une atteinte manifeste à l'interdiction de surveillance généralisée des contenus ». Au surplus, l'analyse demandée aux fournisseurs n'étant pas de nature à reposer sur les seuls contenus et supposant un « croisement » de ceux-ci avec les données personnelles de l'utilisateur, le projet de règlement crée le risque d'un « 'chalutage généralisé' des données par les fournisseurs que pourrait ouvrir une telle réglementation »^79(*). En d'autres termes, cette initiative, pourtant portée par la Commission européenne, soulève des problèmes de fond et apparaît en complète incohérence avec la ligne défendue par la Cour de justice.

Il est intéressant de constater que la jurisprudence européenne a, en l'espèce, fait office de force régulatrice, invoquée en particulier dans l'avis conjoint du Contrôleur européen de la protection des données (CEPD) et du Comité européen de la protection des données (ECDP) dont les termes sont proches de la résolution adoptée par la Haute assemblée.

Le second exemple porte sur le traitement des données des passagers par les transporteurs aériens (données PNR). Saisie d'une question préjudicielle sur ce traitement, la Cour de justice s'est appuyée^80(*) sur ses décisions rendues en matière de données de connexion pour considérer, d'une part, que le principe d'une conservation généralisée pouvait être admis pour autant que l'objectif poursuivi (la lutte contre le terrorisme) concernait une menace pour la sécurité nationale des États et que, d'autre part, le caractère nécessaire et proportionné de l'atteinte portée aux droits reconnus par les articles 7 et 8 de la Charte devait être apprécié en fonction des critères dégagés par elle dans des arrêts relatifs aux métadonnées (à savoir Digital Rights et La Quadrature du Net). Elle s'est donc dans ce cadre posé la question d'un éventuel traitement de ces données aux fins de lutte contre des infractions qui semblent relever non pas de la criminalité grave, mais de la délinquance ordinaire.

Plus encore, la jurisprudence a d'ores et déjà eu un impact palpable sur des réglementations européennes définitivement adoptées, et notamment sur le contenu du « paquet » e-evidence, relatif aux preuves numériques. Issus d'une réflexion lancée en 2015 après les dramatiques attentats de Paris traduite par une proposition rendue publique par la Commission en 2017, la directive et le règlement e-evidence ont été définitivement adoptés à l'été 2023 et sont venus inscrire dans le droit probatoire européen des règles étroitement inspirées des différents arrêts des juges de Luxembourg.

Source : commission des lois.

Or ces textes, s'ils constituent un mécanisme bienvenu de « rattrapage » européen face au Cloud Act américain et s'ils comportent des points rassurants pour les acteurs nationaux de l'enquête (notamment quant à la possibilité pour les parquets d'émettre seuls des injonctions portant sur des données d'identification, ou encore s'agissant de la reconnaissance d'un mécanisme d'accès dérogatoire en cas d'urgence), viennent graver dans le marbre des points de la jurisprudence de la Cour non encore stabilisés. Tel est le cas, en particulier, du principe selon lequel des données de connexion d'identification peuvent être obtenues pour une infraction sans quantum de peine minimal particulier (donc hors du champ de la criminalité « grave ») et, surtout, de l'émergence d'une appréciation autonome par le droit de l'Union de la notion de « criminalité grave » hors du cadre de la coopération européenne^81(*), comme en atteste la fixation d'un quantum à partir duquel il sera possible de requérir les données de trafic et de contenu (soit trois ans d'emprisonnement), y compris pour des enquêtes strictement nationales. Si ce seuil correspond à ce que prévoit la législation française en matière de données de connexion « classiques », il est de nature à ouvrir la voie à une définition européenne des règles de procédure pénale, ce que les rapporteurs estiment tout à la fois inopportun et contraire à l'esprit comme à la lettre du Traité sur le fonctionnement de l'Union européenne.

Dans le même temps, et face aux contestations que faisait naître la jurisprudence de la CJUE comme aux défis soulevés par la montée en puissance du chiffrement des communications, la présidence suédoise a estimé nécessaire de mettre en place une réflexion intitulée Going dark. Réunissant les ministres de la justice et de l'intérieur des États-membres ainsi que les délégations nationales du Conseil, elle s'appuie sur un groupe d'experts de haut niveau (ou « HLEG » pour high level experts group) dédié, placé sous l'autorité conjointe de la Commission et de la présidence tournante du Conseil et dont les travaux ont débuté en juin 2023. Ce groupe d'experts, rebaptisé ADELE (pour access to data for effective law enforcement -accès aux données pour l'application effective du droit), rendra ses conclusions en juin 2024.

L'objectif du HLEG, tel que résumé par la DG Home qui en assure le pilotage pour le compte de la Commission européenne, est de passer d'un travail en silos à une réflexion pluridisciplinaire qui doit permettre de concilier les attentes opérationnelles des entités répressives et les principes de régulation portés par les autorités de protection des données. Le groupe fait ainsi intervenir des praticiens de l'enquête pénale, des experts de la protection des données, des opérateurs privés et des acteurs associatifs et universitaires. D'après les éléments recueillis par les rapporteurs lors de leur déplacement à Bruxelles, le HLEG s'organise désormais en trois sous-groupes structurés par types de données et travaillant respectivement sur l'accès aux données stockées sur le terminal d'un utilisateur (un téléphone portable, par exemple), aux données stockées par un fournisseur (ce qui correspond au sujet de réflexion de la présente mission d'information) et aux données en transit (ce qui concerne, à titre principal, les interceptions en temps réel).

S'ils se réjouissent de cette initiative bienvenue, les rapporteurs n'ont pu qu'être frappés par la divergence d'interprétation qui s'est exprimée au cours de leurs échanges au sein même des directions de la Commission quant aux objectifs du HLEG et à l'état de ses réflexions. Ainsi, alors que le but affiché par la DG Home est d'identifier une base juridique solide permettant une conservation large des données et une exploitation de celles-ci y compris hors du périmètre de la criminalité grave - ce qui reviendrait à une remise en cause substantielle des arrêts de la CJUE^82(*) -, la DG Justice estime, tout à l'inverse, que les conclusions du groupe d'experts devront être en pleine conformité avec la jurisprudence actuelle. De la même manière, si la DG Home voit dans les dernières évolutions des travaux de la Cour (et notamment dans la réouverture de la phase orale du dossier dit « Hadopi ») un signal positif pouvant témoigner d'une ouverture nouvelle et de la possibilité d'une évolution sur le fond de la jurisprudence, la DG Justice estime que la position de la CJUE est à la fois remarquablement stable et insusceptible de faire l'objet d'un revirement, y compris à moyen terme. Enfin, là où la DG Justice s'est montrée rétive à toute réflexion tendant à étendre les possibilités de conservation des données dans un cadre pénal et a jugé nécessaire de s'en tenir à un quick freeze prospectif n'ouvrant pas d'accès à des données antérieurement stockées, la DG Home a au contraire envisagé un encadrement renforcé de l'accès aux données en contrepartie d'une conservation vaste^83(*), sur le modèle des « garanties de bout en bout » exigées par la Cour européenne des droits de l'homme et qui donnent aux États une possibilité de choix quant aux moyens qu'ils utilisent pour garantir leur sécurité tout en les soumettant à une obligation de résultat quant à la préservation des libertés fondamentales des citoyens^84(*).

Source : commission des lois

Cette ambiguïté, qui ne peut qu'être préjudiciable au déroulement des travaux du groupe d'experts comme à toute réflexion collective sur les données de connexion, témoigne de l'absence de vision commune au niveau européen, tant sur le point d'équilibre entre les impératifs de sécurité et la protection de la vie privée que sur la répartition des compétences entre les États et l'Union et sur les marges de manoeuvre dont doivent disposer les autorités nationales en matière pénale.

* ⁴⁶ Selon le Secrétariat général pour les affaires européennes (SGAE), outre la France, douze États-membres appliquent encore aujourd'hui un principe de conservation généralisée des données, soit parce qu'ils refusent de se mettre en conformité avec la jurisprudence de la CJUE, soit parce qu'ils n'ont pas été directement visés par celle-ci.

* ⁴⁷ Rentraient dans ce champ des infractions d'une gravité relative, comme le vol d'une bicyclette.

* ⁴⁸  Tribunal de La Haye, 11 mars 2015, C/09/480009 / KG A 14/1575.

* ⁴⁹  Cour constitutionnelle slovaque, 29 avril 2015, PL. ÚS 10/2014.

* ⁵⁰ Article 176 du Telekommunikationsgesetz (loi relative aux télécommunications).

* ⁵¹  OVG Nordrhein-Westfalen, 22.06.2017 - 13 B 238/17 : le juge des référés de la Cour administrative d'appel de la Rhénanie du Nord-Westphalie décharge ainsi un petit fournisseur d'accès à Internet de Munich, SpaceNet, de l'obligation de conserver les données de trafic et de localisation de ses clients. Cette décision a été confirmée au fond par le tribunal administratif de Cologne, pour les entreprises SpaceNet et Deutsche Telekom (Verwaltungsgericht Köln, 20 avril 2018 - 9 K 7417/17 et 9 K 3859/16).

* ⁵² CJUE, 20 septembre 2022, SpaceNet Ag et Telekom Deutschland GmbH (C-793/19, C-794/19).

* ⁵³ BVerwG, 14.08.2023 - 6 C 6.22 et 6 C 7.22. Notosn également le communiqué de la Bundesnetagentur d'août 2023, consultable à l'adresse suivante : https://www.bundesnetzagentur.de/DE/Fachthemen/Telekommunikation/OeffentlicheSicherheit/Ueberwachung_Auskunftsert/VDS_113aTKG/node.html

* ⁵⁴  Réponse n° 178 (2019-2020) aux questions du député Van der Graaf sur le message "Flaws in Cellphone Evidence Prompt Review of 10,000 Verdicts in Denmark".

* ⁵⁵  Projet de loi n°34 537, déposé le 13 septembre 2016, modifiant la loi sur les télécommunications et du code de procédure pénale concernant la conservation des données traitées dans le cadre de la fourniture de services publics de télécommunications et de réseaux publics de télécommunication.

* ⁵⁶ CJUE, 21 décembre 2016, Tele2 Sverige AB contre Post-och telestyrelsen et Secretary of State for the Home Department contre Tom Watson e.a. (C-203/15 et C-698/15)

* ⁵⁷  Lettre du ministre de la Justice à la chambre des représentants du 26 mars 2018.

* ⁵⁸  Avant-projet du Ministère fédéral de la justice du 25 octobre 2022 pour l'introduction d'une ordonnance de conservation des données de trafic dans l'ordonnance de procédure pénale, avec motifs.

* ⁵⁹ Article d'Ingo Dachwitz et Andre Meister «  Buschmann legt Alternative zur Vorratsdatenspeicherung vor », netzpolitik, 25 octobre 2022.

* ⁶⁰ CJUE, 5 avril 2022, Commissioner of An Garda Siochana (C-140/20), point 101.

* ⁶¹ Cour constitutionnelle belge, 22 avril 2021, n°57/2021.

* ⁶² CJUE, 21 décembre 2016, Tele2 Sverige AB contre Post-och telestyrelsen et Secretary of State for the Home Department contre Tom Watson e.a. (C-203/15 et C-698/15)

* ⁶³ Il s'agit en l'occurrence, en vertu de l'article 10 de la loi du 20 juillet 2022, des « arrondissements judiciaires dans lesquels au moins trois infractions visées à l'article 90 ter, §§ 2 à 4, du cCode d'instruction criminelle par 1 000 habitants par an ont été constatées sur une moyenne des trois années calendriers qui précèdent celle en cours ».

* ⁶⁴ CJUE, 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C-520/18, point 168.

* ⁶⁵ CJUE, 5 avril 2022, Commissioner of An Garda Siochana (C-140/20).

* ⁶⁶  Réponse du ministre de la Justice à la question n° 776 posée le 7 avril 2022 par la commission des affaires juridiques du Parlement danois.

* ⁶⁷  Réponse du ministre de la Justice à la question n° 62 relative au projet de loi L. 93 posée le 25 janvier 2022 par la commission des affaires juridiques du Parlement danois.

* ⁶⁸ Exposé des motifs du projet de loi relatif à la collecte et à la conservation des données d'identification et des métadonnées dans le secteur des communications électroniques et à la fourniture de ces données aux autorités, déposé le 17 mars 2022 à la Chambre des représentants de Belgique, DOC 55 2572/007, p. 12.

* ⁶⁹ Introduites en février 2023, ces affaires sont pendantes. Communiqués de presse du 9 février 2023 de la Ligue des droits humains et du 7 février 2023 de la Liga voor Mensenrechten.

* ⁷⁰ Organe de contrôle de l'information policière (COC), Rapport d'activité 2020, p. 18.

* ⁷¹ Cf. article 90 ter du code d'instruction criminelle.

* ⁷² CJUE, 21 décembre 2016, Tele2 Sverige AB contre Post-och telestyrelsen et Secretary of State for the Home Department contre Tom Watson e.a. (C-203/15 et C-698/15), CJUE, 2 mars 2021, Prokuratuur, aff. (C-746/18) et CJUE, 5 avril 2022, Commissioner of An Garda Siochana (C-140/20).

* ⁷³ En Estonie, la durée légale de conservation peut être prorogée, pour une durée limitée, pour la sauvegarde de l'ordre public et de la sécurité nationale. En Irlande, elle peut être modulée par décision ministérielle ou judiciaire dans le cadre de la lutte contre la criminalité grave en fonction de la nature des données et de la finalité répressive.

* ⁷⁴ En Suède, les données de localisation ne sont conservées que deux mois s'il s'agit de données de téléphonie ou six mois lorsqu'elles proviennent d'internet. Les autres données de connexion sont conservées pendant six mois dans le cadre de la téléphonie et dix mois pour les données issues d'internet.

* ⁷⁵ CJUE, 2 mars 2021, Prokuratuur, aff. C-746/18.

* ⁷⁶  Texte provisoire du règlement, consultable sur le site https://eur-lex.europa.eu.

* ⁷⁷  Proposition de règlement du Parlement européen et du Conseil établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants.

* ⁷⁸  Consultable sur le site du Sénat.

* ⁷⁹ Exposé des motifs de la proposition de résolution précitée.

* ⁸⁰ CJUE (grande chambre), 21 juin 2022, Ligue des droits humains c. Conseil des ministres, affaire C-817/19.

* ⁸¹ Les seuils existants en droit européen étaient, jusqu'à ce jour, liés à la coopération européenne et aux compétences d'Europol (décision-cadre 2002/584/JAI du Conseil du 13 juin 2002 relative au mandat d'arrêt européen et aux procédures de remise entre États membres et règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l'Agence de l'Union européenne pour la coopération des services répressifs (Europol)).

* ⁸² La DLPAJ estime, de même, que l'existence même du groupe d'experts et les motifs de sa création « démontrent un consensus fort entre les États membres et la Commission sur la nécessité de changer le cadre européen pour dépasser le blocage créé par la CJUE » (réponses écrites au questionnaire des rapporteurs).

* ⁸³ Ce qui est en cause, davantage qu'une conservation étendue, est la remise en cause de l'interdiction posée par la Cour d'une porosité des finalités - ou, en d'autres termes, la possibilité pour les États d'utiliser en matière pénale les données qu'ils ont conservées aux fins de lutter contre les menaces envers la sécurité nationale, avec des modalités adaptées et contrôlées d'accès.

* ⁸⁴ CEDH, 25 mai 2021, Big Brother Watch et autres c. Royaume-Uni, req. nos 58170/13, 62322/14 et 24960/15. La doctrine des « garanties de bout en bout », appliquée ici en matière de sécurité nationale, permet une analyse des garde-fous apportés à chaque étape du processus de gestion des données pour apprécier le caractère acceptable, ou non, de l'équilibre ainsi créé entre l'objectif sécuritaire poursuivi et la protection de la vie privée.