J. LA SUÈDE
A. Un régime de conservation des données de connexion strict adapté à la jurisprudence récente de la CJUE.
La Suède a modifié à plusieurs reprises son régime légal d'accès et de conservation des données de connexion dans le cadre des enquêtes pénales pour prendre en compte l'évolution de la jurisprudence de la Cour de justice de l'Union européenne (CJUE). La première modification législative dans ce domaine est intervenue après l'arrêt Tele2 du 21 décembre 2016201(*) répondant à la demande de décision préjudicielle formulée par la Cour administrative d'appel de Stockholm. Par cet arrêt, la Cour a considéré que la loi suédoise, qui prévoyait une conservation générale et indifférenciée des données de trafic et de localisation, n'était pas conforme au droit de l'Union.
Une commission d'enquête a été créée dans le but de modifier la loi sur les communications électroniques (LEK)202(*) et la loi sur la collecte de données relatives aux communications électroniques en matière de renseignement (IHL)203(*). Les modifications issues de ces travaux, entrées en vigueur en octobre 2019, ont porté, d'une part, sur la limitation dans le temps et en fonction du type de données de la durée de conservation et de la portée de l'obligation de conservation et, d'autre part, sur la désignation du procureur comme instance compétente pour autoriser l'accès aux données en matière de renseignement.
Une nouvelle loi dite « LEK 2022204(*) », qui prévoit des modifications à la marge du système déjà en vigueur, a été adoptée pour se conformer aux exigences de la directive (UE) 2018/1972 établissant le code des communications électroniques européen.
Le législateur suédois a volontairement exclu la possibilité d'une conservation ciblée, considérant que ce système n'offrirait pas de garanties supplémentaires en termes d'efficacité et présenterait une atteinte disproportionnée au respect de la vie privée. Il a suivi la position du gouvernement qui considère qu'« introduire un cadre réglementaire qui aboutit à ce qu'il serait beaucoup plus difficile, et dans certains cas peut-être même impossible, d'éclaircir des crimes graves selon l'endroit où le crime a été commis ou planifié est inacceptable »205(*).
Le régime suédois est donc fondé sur la conservation généralisée et indifférenciée des données. La durée et les modalités de la conservation varient en fonction de la nature de la donnée. Depuis 2022, les données relatives aux conversations transférées, aux communications fixes et à la mise à disposition d'une capacité d'accès à internet ont été exclues du champ des données à conserver. Désormais, les données de localisation - qui sont considérées par la Cour de justice de l'Union européenne comme les plus sensibles - ne sont conservées que deux mois s'il s'agit de données de téléphonie ou six mois lorsqu'elles proviennent d'Internet. Les autres données de connexion sont conservées pendant six mois dans le cadre de la téléphonie et dix mois pour les données issues d'Internet. Ces délais de conservation sont plus courts que ceux observés dans la plupart des États membres de l'Union européenne.
Ce régime prévoit par ailleurs une procédure de quick freeze dans le cadre de la lutte contre la criminalité grave. La demande doit préciser la durée de conservation qui ne peut excéder 90 jours206(*). L'injonction de conservation est prononcée par le procureur ou l'enquêteur, l'opérateur pouvant en contester la légalité devant le juge.
Comme dans la plupart des États membres de l'Union européenne, la loi suédoise oblige les opérateurs207(*) à garantir la qualité, le stockage et la protection des données. Ces obligations sont édictées et contrôlées par l'autorité suédoise des postes et télécommunications (PTS) qui dispose de larges pouvoirs de sanction (amende, révocation de l'autorisation d'exercer, etc.). Les décisions de cette autorité sont susceptibles de recours devant le juge administratif.
B. Une procédure d'accès différenciée en fonction de la nature des données de connexion et de la finalité répressive.
Les règles d'accès aux données de connexion conservées varient en fonction du type de données et de la finalité répressive. Les données relatives aux abonnements sont directement accessibles aux autorités judiciaires, de renseignement, de la sécurité nationale et à certaines autorités administratives pour l'identification et la poursuite d'une activité criminelle ou d'une infraction présumée, sans critère de gravité et sans contrôle par une autorité indépendante.
L'accès aux données relatives au trafic et à la localisation n'est possible qu'en matière de lutte contre la criminalité grave et dans deux cas de figure :
- pour les besoins de l'enquête préliminaire, sur ordonnance du tribunal ;
- pour les besoins des activités de renseignement, sur décision du ministère public, après présentation d'une requête par les autorités concernées.
Le respect de la proportionnalité de la mesure est contrôlé a posteriori par la Commission de la sécurité et de la protection de l'intégrité, l'autorité requérante étant tenue de notifier l'autorisation de l'accès aux données dans un délai d'un mois après la clôture du dossier.
C. Malgré les évolutions récentes du droit suédois, des points de vigilance demeurent.
Malgré la réforme récente du régime d'accès et de conservation des données de connexion dans le cadre des enquêtes pénales, la conformité totale du droit suédois au droit de l'Union reste à confirmer, la Cour de justice de l'Union européenne ne s'étant pas prononcée sur certains aspects de la législation suédoise.
En matière de conservation, d'une part, il n'est pas certain que la modulation de la durée et la réduction du champ des données conservées suffisent à considérer que la Suède n'est plus dotée d'un système de conservation générale et indifférenciée des données, indépendamment des finalités poursuivies.
En matière d'accès, d'autre part, l'autorisation délivrée par le ministère public pour permettre l'accès aux données de trafic et de localisation pour les activités de renseignement ne semble pas répondre aux exigences de contrôle indépendant fixées par la Cour de justice de l'Union européenne208(*) qui a imposé la mise en oeuvre d'un « contrôle préalable, effectué soit par une juridiction, soit par une entité administrative indépendante »209(*).
* 201 CJUE, 21 décembre 2016, Tele2 Sverige AB contre Post-och telestyrelsen et Secretary of State for the Home Department contre Tom Watson e.a. (C-203/15 et C-698/15).
* 202 Loi 2003:389 sur les communications électroniques.
* 203 Loi 2012-278 sur la collective des données relatives aux communications électroniques en matière de renseignement.
* 204 Electronic Communications Act (2022:482) du 3 juin 2022.
* 205 Prop. 2018/19:86 Datalagring vid brottsbekämpning - anpassningar till EU-rätten, p. 32.
* 206 Avec possibilité de prorogation de 90 jours en cas de circonstances particulières.
* 207 Notons que le législateur suédois a lancé en 2021 une initiative pour dresser le bilan de l'évolution du droit depuis l'arrêt Tele2 et réfléchir à l'intégration des fournisseurs de services par contournement au champ des opérateurs soumis à ces obligations.
* 208 CJUE, 6 octobre 2020, Privacy International (C-623/17), La Quadrature du Net e.a., French Data Network e.a., (C-511/18 et C-512/18), Ordre des barreaux francophones et germanophone (C-520/18).
* 209 Consultable sur le site.