Analyse du futur règlement en matière de production de preuves électroniques (eu)

Un article de la Grande Bibliothèque du Droit, le droit partagé.
Europe >   Droit privé >  Droit européen 
Eu flag.png

Article publié sur la blog ip NEWS
Auteur: Axel Beelen, juriste spécialisé en propriété intellectuelle
Octobre 2018


L’Europe veut s’attaquer au problème spécifique que posent la nature volatile des preuves électroniques et leur dimension internationale.
Le texte proposé (et qui est discuté de manière extrêmement rapide par les institutions européennes) vise à introduire des injonctions européennes de production et de 
conservation de données électroniques.
Il s’agirait d’adapter les mécanismes de coopération à l’ère numérique pour lutter contre les formes modernes de criminalité.
Analyse de la proposition de Règlement.


Pourquoi un tel texte?

Les infractions pour lesquelles il existe des preuves électroniques sont souvent commises lorsque l’infrastructure de stockage des preuves électroniques et le fournisseur de services exploitant ladite infrastructure relèvent d’un cadre juridique national différent, au sein ou en dehors de l’Union européenne, de celui de la victime ou de l’auteur de l’infraction.


Par conséquent, accéder aux preuves électroniques peut s’avérer long et complexe pour le pays à l’origine de la demande en l’absence de règles communes européennes minimales.


C’est pourquoi, la Commission européenne a très récemment présenté une proposition de Règlement ayant comme objet d’introduire des injonctions européennes de production et de conservation contraignantes en matière de preuves électroniques (un « European Production Order » (“EPO”) et un « European Preservation Order (“EPrO”)).


Le texte a été présenté le 17 avril 2018.


Grâce au Règlement, une autorité compétente de l’Union européenne pourra imposer à un fournisseur de services exerçant ses activités dans l’Union mais établi dans un autre État membre de produire voire aussi de conserver des preuves électroniques lorsqu’il y a lieu de penser que les données informatiques sont en l’espèce particulièrement vulnérables à la perte ou aux modifications.


Contenu de la proposition de règlement

Intervention au préalable d'une autorité judiciaire

Contrairement aux mesures de surveillance ou aux obligations de conservation des données établies par la loi (lesquelles ne sont pas couvertes par le présent règlement) l’injonction européenne de conservation est une injonction émise ou validée préalablement par une autorité judiciaire dans le cadre d’une procédure pénale concrète, après évaluation de la proportionnalité et de la nécessité dans chaque cas particulier.


Les deux injonctions visent les auteurs connus ou inconnus d’une infraction pénale déjà commise.


L’injonction européenne de conservation permet uniquement de conserver des données déjà stockées au moment de la réception de l’injonction, et non d’accéder aux données à une date postérieure à la réception.


Elle ne couvre pas non plus l’interception des télécommunications en temps réel.


L’intervention préalable d’une autorité judiciaire lors de l’émission d’une injonction entend garantir que la légalité de la mesure, ainsi que sa nécessité et sa proportionnalité par rapport à l’affaire en cause ont été vérifiées.


L’intervention judiciaire préalable devrait aussi permettre d’éviter que l’injonction n’empiète indûment sur les droits fondamentaux des individus (il s’agit en effet de mesures très intrusives dans la vie privée des individus), y compris les effets de principes de droit tels que le privilège des confidences à l’avocat.


L’autorité d’émission doit s’assurer dans chaque cas que la mesure est nécessaire et proportionnée, notamment au vu de la gravité de l’infraction faisant l’objet de l’enquête.


La proposition de Règlement prévoit également des seuils pour les données relatives aux transactions et au contenu afin que l’injonction européenne de production ne soit utilisée que pour les formes d’infractions les plus graves par rapport auxdites données.


Types de données électroniques visées

Les deux injonctions ne peuvent servir que dans le cadre de procédures pénales, depuis la phase d’instruction préalable au procès jusqu’à la clôture de la procédure par voie de jugement ou d’une autre décision.


Les injonctions de production de données relatives aux abonnés (« subscriber data ») et de données relatives à l’accès (« access data ») peuvent être émises pour toutes les infractions pénales, tandis que les injonctions de production de données relatives aux transactions (« transactional data ») ou au contenu (« content data ») (le cas le plus extrême) ne peuvent être émises que pour les infractions pénales passibles dans l’État d’émission d’une peine privative de liberté d’une durée maximale d’au moins trois ans ou pour les infractions spécifiques visées par la proposition, et lorsqu’il existe un lien particulier avec les outils et infractions électroniques visés par la directive 2017/541/UE relative à la lutte contre le terrorisme.


Destinataires des injonctions

Une injonction peut être émise pour conserver ou produire des données stockées par un fournisseur de services situé dans une autre juridiction, et qui doivent servir de preuves dans le cadre d’enquêtes judiciaires ou de procédures pénales.


Les injonctions ne peuvent donc être émises que dans le cadre de procédures pénales (les procédures administratives ou civiles sont donc hors scope du Règlement) et à condition que des situations comparables existent au niveau national, tant lors de la phase préalable au procès que durant le procès.


Quid de la conformité de ce texte avec la jurisprudence de la CJUE?


Les deux injonctions devront être signifiées aux fournisseurs de services de communications électroniques,réseaux sociaux, marchés en ligne, autres fournisseurs de services d’hébergement et fournisseurs d’infrastructures internet comme les registres d’adresses IP et de noms de domaine, ou à leurs représentants légaux le cas échéant.


Les destinataires devront s’exécuter qu’importe le lieu (pays) où se trouvent en réalité les données (y compris donc si elles se trouvent hors de l’Union européenne).


Les données requises au moyen d’une injonction européenne de production devront être transmises directement aux autorités compétentes du pays d’émission sans l’intervention des autorités de l’État membre où est établi ou représenté le fournisseur de services.


L’injonction européenne de conservation, à l’instar de l’injonction de production, est adressée au représentant légal hors de la juridiction de l’État membre d’émission afin de conserver les données en vue d’une demande ultérieure de production desdites données, par exemple au moyen des canaux d’entraide judiciaire dans le cas de pays tiers ou d’une décision d’enquête européenne entre des États membres participants.


A ce sujet, la Commission européenne a présenté le même jour une proposition de Directive [1] devant accompagner le Règlement que nous venons de vous présenter.


La directive voudrait imposer aux fournisseurs électroniques de désigner un représentant légal capable de se conformer aux ordonnances de production et de conservation des États membres.


Possible réactions aux injonctions

Le fournisseur de services qui sera le destinataire des demandes aura le droit de soulever certaines revendications dans l’État membre d’émission, par exemple dans le cas où l’injonction n’a pas été émise ou validée par une autorité judiciaire.


De plus, le destinataire peut lui-même s’opposer à l’injonction devant l’autorité chargée de la mise en œuvre sur la base de ces motifs limités.


Sont notamment concernés les cas où il apparaît que l’injonction n’est pas émise ou validée par une autorité compétente, ou si son application constitue une violation manifeste de la Charte ou est clairement abusive.


Uniquement pour les données déjà stockées

La proposition ne concerne que les données et métadonnées stockées par les destinataires des injonctions.


Elle ne couvre pas l’interception des télécommunications en temps réel.


La mesure se limite aux données nécessaires et proportionnées aux fins des procédures pénales concernées.


Elle ne couvre donc pas la prévention de la criminalité ni d’autres types de procédures ou d’infractions (telles que des procédures administratives ou civiles).


Le Règlement devrait aussi comporter le droit à un recours effectif pour les personnes dont les données sont requises.


Conclusion

Le règlement sera directement applicable au sein de l’Union européenne. Il sera donc appliqué directement par les praticiens sans aucune modification des systèmes juridiques internes.


Le texte fait évidemment pensé au CLOUD ACT américain qui a été beaucoup critiqué par la doctrine.


Cette initiative a d’énormes conséquences juridiques et politiques importantes, non seulement pour les clients des entreprises actives dans le cloud mais aussi pour les entreprises technologiques, les autorités répressives établis dans l’UE et les clients du cloud basés en dehors de l’Union.


Elle pourrait entraîner une expansion significative de la juridiction des États membres sur les données numériques détenues par des fournisseurs de services situés en dehors de l’UE.


Ce sujet est à suivre avec beaucoup d’attention.