H. LA POLOGNE
La législation polonaise sur la conservation et l'accès aux données de connexion n'a quasiment pas évolué depuis la loi du 15 janvier 2016 modifiant la loi sur la police et organisant la rétention de données et l'accès à celles-ci. Le droit en vigueur en Pologne est donc resté hermétique aux jurisprudences récentes de la CJUE.
Dans un courrier du Médiateur de la République polonais adressé au Premier ministre en date du 6 janvier 2023, celui-ci fait état de la non-conformité des dispositions prévoyant des mesures préventives et généralisées de collecte et de rétention indifférenciée des données avec les normes internationales et européennes, définies dans la jurisprudence de la CJUE.
A. Un régime de conservation des données généralisée et indifférenciée
Les articles 180a et 180c de la loi du 16 juillet 2004 sur les télécommunications disposent que les opérateurs de télécommunications sont tenus de conserver et de stocker les données d'identification, de trafic et de localisation, générées dans le réseau de télécommunication ou traitées par eux, pour une durée de douze mois190(*).
Les données de connexion font donc l'objet d'une conservation généralisée et indifférenciée. Les dispositions législatives polonaises ne prévoient pas de régime différencié de conservation selon le double critère de la nature des données collectées et de la finalité de leur conservation.
Comme le souligne l'ambassade de France en Pologne dans ses réponses au questionnaire qui lui a été adressé dans le cadre de la présente mission d'information, « le droit polonais n'a pas été mis en conformité avec le droit européen depuis l'arrêt Quadrature du Net, ni s'agissant de la conservation des données de connexion (durée, motifs), ni concernant l'accès à ces données (motifs invoqués, contrôle des données recueillies par un organisme indépendant) ».
B. Un encadrement a minima de l'accès aux données de connexion au regard de la finalité poursuivie
S'agissant des infractions à caractère
pénal, les services relevant du ministre chargé des
affaires intérieures - à savoir la police, les
gardes-frontières et le service du renseignement intérieur - sont
autorisés à obtenir communication des
données conservées par les entreprises
de
télécommunication dans le cadre de la
« reconnaissance opérationnelle
menée au nom de la prévention et de la
détection des crimes et des
infractions fiscales »191(*).
La notion « d'opération de reconnaissance opérationnelle » a été précisée dans la loi du 15 janvier 2016 modifiant la loi sur la police afin de limiter l'accès aux données par les autorités de police au strict nécessaire. Depuis lors, la demande d'accès doit être ciblée, c'est-à-dire qu'elle doit être liée à une personne, un lieu ou un appareil clairement identifié. Toutefois, cette évolution législative ne répond pas aux enjeux identifiés par la jurisprudence de la CJUE en matière de conservation des données de connexion.
C. L'absence d'un contrôle effectif et indépendant préalable à l'accès aux données de connexion en pratique
Plusieurs dispositions législatives prévoient l'encadrement, par l'autorité judiciaire, de l'accès aux données de connexion. L'article 218 du code de procédure pénale dispose que les opérateurs de télécommunications « sont tenus de fournir aux juridictions ou au procureur [...] les données visées à l'article 180c et à l'article 180d de la loi du 16 juillet 2004 sur les télécommunications [...]. Seul une juridiction ou le procureur a le droit de les ouvrir ou d'en ordonner l'ouverture »192(*).
À cette procédure de contrôle a priori s'ajoute une procédure de contrôle a posteriori par les tribunaux de districts compétents, sur le fondement de rapports semestriels recensant les données auxquelles la police et les autres entités autorisées ont pu accéder.
En pratique toutefois, l'ambassade de France en Pologne relève « l'absence d'un contrôle effectif et indépendant » de l'action des services d'enquête nationaux en matière de données de connexion193(*). En effet, le procureur polonais, chargé d'effectuer un contrôle a priori sur les demandes d'accès aux données de connexion, ne semble pas disposer des caractéristiques d'une « juridiction » au sens de la CJUE du fait de son insuffisante indépendance vis-à-vis de l'enquête194(*).
* 190 Avant 2012, la durée de conservation des données de connexion était de 24 mois.
* 191 Source : réponses au questionnaire adressé à l'ambassade de France en Pologne.
* 192 Réponse de la Pologne à la requête de la Lettonie sur la conservation des données en date du 19 juin 2023 dans le cadre du réseau de coopération législative des ministères de la Justice de l'Union européenne (RECL - LEGICOOP)
* 193 Source : réponses au questionnaire adressé à l'ambassade de France en Pologne.
* 194 Paragraphe 32 - REPORT of the investigation of alleged contraventions and maladministration in the application of Union law in relation to the use of Pegasus and equivalent surveillance spyware | A9-0189/2023 | European Parliament (europa.eu)