8958/04  du 28/04/2004

Examen dans le cadre de l'article 88-4 de la Constitution

Texte déposé au Sénat le 21/06/2004
Examen : 15/12/2004 (délégation pour l'Union européenne)

Ce texte a fait l'objet de la proposition de résolution : voir le dossier legislatif


Rétention de données traitées par des prestataires de services de communication électronique ou de communication publique afin de lutter notamment contre le terrorisme (texte E 2616)

Communication de M. Alex Türk

(Réunion du 15 décembre 2004)

Ce projet de décision cadre qui nous est soumis ne résulte pas d'une initiative de la Commission européenne, mais de quatre États membres : la France, le Royaume-Uni, l'Irlande et la Suède. Je rappelle que, dans le cadre de la coopération policière et de la coopération judiciaire en matière pénale (le « troisième pilier »), la Commission européenne ne dispose pas du monopole de l'initiative, car le droit d'initiative est partagé entre la Commission européenne et les États membres.

Ce projet répond à l'une des priorités dégagées par les chefs d'État et de gouvernement de l'Union européenne dans leur déclaration du 25 mars 2004 sur la lutte contre le terrorisme, adoptée quelques jours après les attentats de Madrid. Il a toutefois un objectif plus large que la lutte contre le terrorisme, puisqu'il vise, plus globalement, à faciliter « la recherche, la détection et la poursuite d'infractions pénales ». Pour cela il prévoit d'harmoniser les législations des États membres relatives à la conservation, par les opérateurs économiques, de données stockées et traitées dans le cadre de la fourniture de services de télécommunication. Ces données peuvent être acheminées via le téléphone (fixe ou portable), les services de messages courts (SMS), les services de médias électroniques (EMS), les services de messagerie multimédias (MMS) ou encore par Internet (courrier électronique, Web, etc.).

Cette initiative ne porte pas sur le contenu des communications, qui est protégé par le secret des correspondances, mais sur les données de trafic permettant d'identifier les interlocuteurs, leur localisation et la durée de leur communication, ce que l'on peut résumer par la formule suivante : « qui a procédé à une communication, avec qui, où, quand et comment ? ». Il convient donc de bien distinguer la rétention de données et le régime des interceptions (ou écoutes) téléphoniques.

En pratique, l'exploitation des « données de trafic » représente souvent pour les magistrats et les policiers une « plus-value » essentielle pour faciliter leurs enquêtes sur les infractions les plus graves comme le terrorisme, le trafic de stupéfiants, la traite des êtres humains ou encore la pédopornographie sur Internet. L'enquête sur les attentats terroristes de Madrid a démontré, en particulier, l'utilité de la conservation des données de trafic de communication, pour identifier les auteurs d'actes de terrorisme et démanteler les réseaux.

En France, la loi du 15 novembre 2001 relative à la sécurité quotidienne, complétée par la loi du 18 mars 2003 relative à la sécurité intérieure, a introduit, dans le Code des postes et des télécommunications électroniques, un article L 34-1, qui prévoit la conservation par les opérateurs des données de connexion. Ces données peuvent ensuite être mises à la disposition de la justice par le biais de réquisitions. L'article L 34-1 renvoie à un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés (CNIL), le soin de déterminer les catégories de données concernées, ainsi que la durée de leur conservation. Ce décret est en cours d'élaboration.

De nombreux États membres ont introduit un dispositif similaire dans leur droit national. Toutefois, la teneur de ces législations varie considérablement quant aux délais de conservations de ces données et quant à la nature des données conservées par les opérateurs. Par ailleurs, certains États membres, notamment d'Europe Centrale et Orientale, mais aussi l'Allemagne, ne disposent pas d'une législation comparable. Or, cette situation constitue une entrave à une coopération judiciaire et policière efficace à l'échelle européenne. C'est là que réside la principale valeur ajoutée de cette initiative pour les services judiciaires et de police des États membres.

Même si ce texte fait l'objet de négociations au sein du Conseil depuis déjà plusieurs semaines, nous nous situons encore au début du processus législatif. En outre, plusieurs États membres n'ont pas encore pris de position sur ce texte, comme d'ailleurs la Commission européenne et le Parlement européen. A ce stade, je vous propose donc de ne pas entrer ici dans le détail de ce projet, mais de m'en tenir à quelques observations d'ordre général. Au-delà de ses nombreuses difficultés techniques, cette initiative me paraît, en effet, soulever trois questions de principe.

1. La première question de principe porte sur le champ d'application de l'instrument, c'est-à-dire la nature des données conservées.

Cette question a opposé, dès le début des négociations, deux groupes d'États membres.

Certains États, comme l'Allemagne et plusieurs pays d'Europe centrale et orientale, ont souhaité s'en tenir aux données d'ores et déjà stockées par les fournisseurs de services pour les besoins de l'entreprise (facturation ou autres fins commerciales). Cette option présente l'avantage de la simplicité et d'un coût limité pour les opérateurs.

À l'inverse, d'autres États membres, comme la France, ont souhaité retenir un champ d'application plus large, qui s'appliquerait à l'ensemble des données nécessaires aux enquêtes. Ces États font valoir que les données actuellement stockées varient selon les opérateurs et que l'efficacité des enquêtes ne peut dépendre de décisions prises par les opérateurs privés pour des raisons commerciales.

Cette question a été au centre des discussions du Conseil « Justice et Affaires intérieures » du 2 décembre dernier. En définitive, lors de ce Conseil, une nette majorité des représentants des États membres a estimé préférable de retenir un champ d'application large qui ne serait pas limité aux seules données déjà stockées par les opérateurs de télécommunication.

A ce stade, je vous propose donc de ne pas intervenir plus avant sur ce point.

2. La deuxième interrogation porte sur le coût de la conservation de ces données pour les opérateurs et la nature de leur indemnisation.

Le fait de contraindre les opérateurs de télécommunication à conserver des données de trafic pendant une période plus ou moins longue se traduira par un coût supplémentaire pour ces opérateurs. Cela d'autant plus si l'on les oblige à conserver des données qu'ils ne stockent pas actuellement. À cet égard, ce n'est pas tant le stockage lui-même de ces données qui pose problème (puisqu'il suffit de stocker ces données sur un disque dur), mais plutôt le traitement de ces données par un personnel qualifié.

Or, le projet qui est soumis à notre examen est muet sur la question de l'indemnisation des opérateurs. Ainsi, la question de l'indemnisation des opérateurs serait laissée à la discrétion des États. Or, cela pourrait être source de distorsion de concurrence entre les opérateurs de télécommunication au sein de l'Union européenne. En effet, certains États membres ne prévoient pas d'indemnisation des opérateurs pour la conservation des données, tandis que, dans d'autres États, les régimes sont très différents. Dans le cas de la France, le projet de décret prévoit que les opérateurs seront indemnisés par l'État des frais liés à la conservation des données sur la base des tarifs applicables aux réquisitions judiciaires. Ce surcoût est estimé à plus de dix millions d'euros par année pour les opérateurs et à quatre millions d'euros par an pour le budget de l'État.

Il serait utile que la Commission européenne procède à une évaluation du surcoût de la conservation des données de trafic pour les fournisseurs de services et à une étude sur les différentes possibilités concernant le régime d'indemnisation de ces opérateurs pour les surcoûts occasionnés.

3. Enfin, last but not least, la troisième difficulté porte sur la durée de conservation des données.

L'harmonisation de la durée de conservation des données de trafic constitue la disposition centrale du projet de décision cadre. En effet, la durée de conservation de ces données varie actuellement considérablement entre les États membres, comme il ressort des réponses au questionnaire adressé par la Commission européenne sur ce texte. Ainsi, certains États, comme l'Italie, ont retenu dans leur législation une durée assez longue de conservation des données pouvant aller jusqu'à quatre années pour la téléphonie, alors que d'autres États, comme les Pays-Bas, ont fixé une durée maximale de trois mois. La France se situe dans une position intermédiaire puisque la loi relative à la sécurité intérieure a fixé une durée maximale d'un an pour la conservation des données pour les besoins des enquêtes pénales. Selon les policiers et des magistrats, un délai de conservation d'une année constitue une nécessité absolue pour améliorer l'efficacité des enquêtes relatives aux infractions les plus graves, qui supposent le plus souvent des investigations longues et complexes, en particulier pour les affaires transfrontalières. Le projet de décision-cadre prévoit une durée minimale d'un an de conservation des données, tout en laissant la possibilité pour les États membres de prévoir des dérogations pour retenir des durées de conservations plus courtes en ce qui concerne les données transmises via les services de messagerie ou par Internet, à l'exception de la téléphonie. La durée minimale de conservation des données correspond donc à la durée maximale autorisée par notre législation.

Le projet prévoyait également, dans sa version initiale, une durée maximale de trois ans de conservation de ces données, tout en laissant la possibilité pour les États membres de fixer des périodes de rétention plus longues « pour autant qu'une rétention plus longue constitue une mesure nécessaire, appropriée et proportionnée dans une société démocratique » (article 4 du projet). Or, les négociations au sein du Conseil ont abouti à supprimer dans ce texte toute référence à une durée maximale de conservation des données. En l'état, le projet ne prévoit qu'une durée minimale de rétention des données de trafic, fixée à un an, mais il ne prévoit plus de durée maximale de conservation de ces données. Ainsi, rien n'obligerait un État à prévoir une durée de conservation supérieure à une année. Mais rien ne s'opposerait non plus à ce qu'un État retienne une durée de dix ans ou de quinze ans pour la conservation de ces données. Je trouve qu'il y a là une difficulté de fond.

Pour le groupe, dit « de l'article 29 », qui regroupe au niveau européen les autorités chargées de la protection des données dans les différents États membres (comme la CNIL en France), imposer aux opérateurs de conserver des données de trafic constitue une dérogation sans précédent au principe de finalité. Je rappelle que, d'après le principe de finalité, qui est un principe essentiel en matière de protection des données personnelles, une donnée ne peut être utilisée à d'autres fins que celle pour laquelle elle a été communiquée. On peut déroger au principe de finalité, mais cela suppose de retenir une durée de conservation courte, conformément au principe de proportionnalité.

Cette position a été rappelée dans l'avis rendu sur ce texte par le groupe sur la protection des données le 9 novembre dernier. D'après cet avis, « les citoyens exécutent de plus en plus quotidiennement des activités et des opérations faisant appel aux réseaux et services de communications électroniques. Les données engendrées par ces communications (...) reflètent donc aussi un large éventail de détails concernant la façon dont les citoyens mènent leur vie quotidienne. (...) La conservation systématique de toutes sortes de données de trafic pendant une période d'une année ou plus serait manifestement démesurée et par voie de conséquence inacceptable ». Je vous laisse donc imaginer les réactions que pourrait susciter ce projet s'il permettait de conserver des données sans aucune limitation de durée.

Une véritable harmonisation européenne ne devrait donc pas seulement consister à fixer - dans un but d'efficacité - une durée minimale de conservation des données de trafic, mais devrait également prévoir - dans un souci de sauvegarde des libertés publiques - une durée maximale.

Je vous propose donc de manifester notre opposition à la suppression de tout délai maximal de conservation des données.

Compte rendu sommaire du débat

M. Robert Del Picchia :

Les dispositifs nationaux en matière de protection des données restent très différents. Est-ce que ce projet contient des garanties en matière de protection des données, notamment en ce qui concerne l'échange de ces données entre les États membres ?

M. Alex Türk :

L'article 6 du projet de décision-cadre porte sur la protection des données. Il prévoit que l'accès aux données retenues est soumis à un régime défini en fonction de finalités « déterminées, explicites et légitimes », au cas par cas par les autorités compétentes, et dans le respect du droit national. Il prévoit aussi que ces données sont traitées « loyalement et licitement ». Ces autorités ne doivent, en outre, accéder effectivement qu'aux données « adéquates, opportunes et non excessives » au regard du but poursuivi. Des voies de recours doivent être prévues par les États membres.

En vertu de l'article 5 du projet, les demandes d'accès aux données conservées, formulées par un État à un autre État membre, obéissent au régime général de l'entraide judiciaire en matière pénale. Toutefois, une garantie supplémentaire est prévue. En effet, l'État membre requis peut subordonner son acceptation à « toute condition qui devrait être observée dans un cas similaire » en vertu de son droit interne.

Votre interrogation pose en réalité la question plus générale de la protection des données personnelles dans le cadre de la coopération policière et de la coopération judiciaire en matière pénale (le « troisième pilier »). Une réflexion est d'ailleurs actuellement en cours sur ce sujet au sein de la Commission européenne qu'il conviendra de suivre avec une attention particulière.

Mme Marie-Thérèse Hermange :

Je voudrais vous poser deux questions :

- pourquoi ne pas demander au gouvernement de prévoir dans cet instrument une durée maximale d'un an de conservation des données ?

- ce projet permettra-t-il réellement d'améliorer l'efficacité de la lutte contre la pédopornographie sur Internet, qui semble en constante progression et qui personnellement me préoccupe beaucoup ?

M. Alex Türk :

À titre personnel, une durée maximale d'un an de conservation des données, qui correspond à la législation française, me paraît de nature à concilier le besoin d'efficacité des enquêtes pénales et la nécessaire protection des droits individuels.

Toutefois, compte tenu du fait que certains États ont prévu une durée beaucoup plus longue de conservation des données dans leur législation interne, il sera très difficile de se mettre d'accord à vingt-cinq États membres sur cette durée d'un an en raison de la règle de l'unanimité. Il me semble donc que, dans un souci de réalisme, nous devrions nous en tenir à rappeler certains principes et à demander l'inscription d'une durée maximale de conservation des données, la plus courte possible, mais sans indiquer, à ce stade, une durée précise.

Sur votre deuxième point, ce projet permettra effectivement de renforcer la lutte contre la pédopornographie sur Internet.

À l'issue de ce débat, la délégation a conclu à l'unanimité au dépôt de la proposition qui suit :

Proposition de résolution

Le Sénat,

Vu l'article 88-4 de la Constitution,

Vu le projet de décision-cadre sur la rétention de données traitées et stockées en rapport avec la fourniture de services de communications électroniques accessibles au public ou de données transmises via des réseaux de communications publics, aux fins de la prévention, la recherche, la détection, la poursuite de délits et d'infractions pénales, y compris du terrorisme (texte E 2616) ;

Approuve le principe d'une harmonisation européenne en matière de conservation, par les opérateurs économiques, des données stockées et traitées dans le cadre de la fourniture de services de télécommunication, mais considère que le projet ne permet pas, dans sa version actuelle, de répondre à cet objectif et de concilier le besoin d'efficacité des enquêtes et la protection des droits individuels ;

Juge indispensable que le texte prévoie une durée maximale de conservation des données et demande, par conséquent, au gouvernement d'oeuvrer au sein du Conseil en ce sens ;

Invite, en outre, le gouvernement à demander à la Commission européenne de procéder à une évaluation du surcoût de la conservation des données de trafic pour les fournisseurs de services et à une étude sur les différentes possibilités concernant le régime d'indemnisation de ces opérateurs.