B. LA BELGIQUE
A. La mise en place en 2022 d'un système mixte conciliant une conservation ciblée et généralisée des données de connexion.
La Cour constitutionnelle belge a annulé, en 2021, la loi de 2016 sur la collecte et la conservation de métadonnées. Cette dernière imposait une conservation généralisée des données de connexion pour une durée de douze mois et un accès limité dans le temps en fonction de la gravité de l'infraction145(*).
Adoptée le 20 juillet 2022, la nouvelle loi en vigueur institue un système de conservation mixte, à la fois généralisée et ciblée selon le type de données ou la nature de l'infraction146(*).
Les données d'identification font, d'une part, l'objet d'une conservation généralisée sur une durée de douze mois pour la lutte contre la criminalité en général147(*). S'agissant des données relatives au trafic et à la localisation, la conservation généralisée est limitée aux fins de détection d'une fraude ou d'une utilisation malveillante des réseaux.
D'autre part, est instauré un système de conservation ciblée pour une durée de quatre à douze mois, fondée sur des critères géographiques, aux fins de la prévention des menaces graves pour la sécurité publique et de la prévention ou de la poursuite de faits relevant de la criminalité grave. Dans ce cadre, les données sont automatiquement conservées dans les zones particulièrement exposées à des menaces de crimes graves ou d'atteinte à la sécurité nationale (aéroports, gares etc.), ainsi que dans les zones sujettes à un taux important de criminalité grave. Ce taux est constaté par arrondissement judiciaire sur une moyenne de trois ans et rapporté à mille habitants. Il est calculé par le biais de la Banque nationale générale des données (BNG), renseignée par les officiers de police judiciaire.
Le procureur du Roi peut, en outre, ordonner, par une décision motivée, aux opérateurs le gel rapide des données de trafic et de localisation pour autant qu'il existe des indices sérieux pouvant donner lieu à une peine d'emprisonnement d'un an ou plus. La durée totale de conservation des données ne peut excéder six mois.
B. La conformité réelle du système belge aux exigences de la CJUE est cependant sujette à interrogation.
En somme, la législation belge sur la conservation des données de connexion reprend, en apparence, le modèle exposé dans l'arrêt du 5 avril 2022, Commissioner of An Garda Síochána (alinéa 79 à 82)148(*). Pour autant, les associations de protection des données personnelles dénoncent un simple respect des formes.
Le législateur belge considère, ainsi, que la conservation généralisée des données de trafic et de localisation peut être justifiée par l'objectif de détection d'une fraude ou d'une utilisation malveillante des réseaux, alors que la CJUE ne réserve cette possibilité qu'aux fins de la sauvegarde de la sécurité nationale149(*).
Les critères géographiques retenus pour définir la conservation ciblée permettent, par ailleurs, une couverture vaste du territoire belge. Ainsi, la notion d'infractions graves telle qu'utilisée pour calculer le taux de criminalité est extrêmement large, incluant, à l'article 90ter du code d'instruction criminelle, des infractions de droit commun (fraude, détention de stupéfiants, etc.).
Les taux de criminalité assignés aux unités territoriales dépendent, en plus, de la fiabilité des données criminelles enregistrées par les services de police. Or, selon l'Organe de contrôle de l'information policière dans son rapport annuel de 2020, « la BNG contient de nombreuses inexactitudes et/ou erreurs » et souligne les trop fréquentes « qualification(s) erronée(s) conférée(s) aux faits »150(*).
C. Un contrôle seulement partiel de l'accès aux données de connexion.
En fonction du type de données, le système belge ne soumet pas systématiquement les demandes d'accès aux données de connexion au contrôle d'un juge ou d'une autorité administrative indépendante.
S'agissant des données d'identification, la réquisition est ordonnée par le procureur du Roi qui assume le rôle de la partie poursuivante et « ne peut donc être considéré comme impartial » selon la Cour constitutionnelle belge151(*). Une décision écrite doit expliciter le caractère proportionné de la demande. Pour les infractions passibles d'une peine d'emprisonnement inférieure à un an, seules les données émises dans les six mois précédant la décision peuvent être demandées.
S'agissant des données de trafic et de localisation, la décision est prise par le juge d'instruction (article 88 bis du Code d'instruction criminelle). L'accès à ces données est autorisé en présence d'indices sérieux que les infractions sont de nature à entraîner une peine d'emprisonnement d'un an ou plus. Toutefois, un seuil si bas peut difficilement être associé à une infraction grave au sens de la jurisprudence de la CJUE.
Par ailleurs, des exceptions existent. En cas de flagrant délit, la décision peut émaner du procureur du Roi, sous réserve d'une confirmation par le juge d'instruction dans les vingt-quatre heures. Cette dernière n'est pas nécessaire en matière d'infraction terroriste, de prise d'otage, de détention illégale ou d'extorsion.
Cette approche différenciée de la procédure de collecte des données en fonction du type de données de connexion et des infractions considérées est susceptible de ne pas être compatible avec la jurisprudence de la CJUE, qui exige que toute demande d'accès, sans distinction, fasse l'objet d'un contrôle préalable par une juridiction ou une autorité indépendante152(*).
* 145 Cour constitutionnelle belge, 22 avril 2021, n°57/2021, point B.17, consultable à l'adresse suivante : https://www.const-court.be/public/f/2021/2021-057f.pdf
* 146 Loi n° 2022/015454 du 20 juillet 2022 relative à la collecte et à la conservation des données d'identification et des métadonnées dans le secteur des communications électroniques et à la fourniture de ces données aux autorités, consultable à l'adresse suivante : http://www.ejustice.just.fgov.be/eli/loi/2022/07/20/2022015454/moniteur
* 147 Les données d'identification comprennent aussi bien l'identité civile que numérique (adresse IP). Par exception, l'accès aux adresses IP attribuées à la source n'est autorisé qu'aux fins de la lutte contre la criminalité grave, lorsque l'autorité serait en mesure de tracer le parcours de navigation d'un utilisateur final sur Internet (article 127/1, §3, al.4 de la loi du 13 juin 2005, modifiée par la loi du 20 juillet 2022).
* 148 CJUE, 5 avril 2022, Commissioner of An Garda Siochana (C-140/20).
* 149 CJUE, 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C-520/18, point 168.
* 150 Organe de contrôle de l'information policière (COC), Rapport d'activité 2020, p. 18.
* 151 Cour constitutionnelle, 25 janvier 2017, arrêt n°6/2017, C 6325 et 6326, B. 5.2.)
* 152 CJUE, 2 mars 2021, Prokuratuur, aff. (C-746/18).