Criminalité transfrontalière : bientôt des procédures d’injonction européennes pour l’accès aux preuves numériques

La proposition de règlement sur l’accès aux preuves numériques, désigné sous le nom de « E-evidence », vise à accélérer l’accès aux données des autorités enquêtrices. Le texte sera complété par une directive sur les représentants légaux des fournisseurs de services pour permettre une communication directe.

Obtenir les preuves électroniques de manière rapide et efficace, telle était la priorité annoncée par les ministères de la justice et de l’intérieur des États membres de l’UE dans une déclaration conjointe du 22 mars 2016 faisaient suite aux attentats de Bruxelles. L’objectif serait bientôt atteint avec la création de deux nouvelles procédures : les injonctions européennes de communication et de préservation des données.

Le 25 janvier 2025, le COREPER a validé formellement le consensus trouvé entre le Conseil de l’UE, la Commission européenne et le Parlement sur la proposition de règlement « E-evidence ». Les députés européens de la commission des libertés civiles ont également approuvé le texte qui devra être soumis au vote final lors de la prochaine session plénière en mai. Une fois publié au JOUE, il entrera en vigueur 20 jours plus tard et sera applicable après une période transitoire de 36 mois.

Les propositions de règlement et de directive sur les preuves numériques visent à compléter le corpus normatif en matière de protection des données personnelles et à combler les lacunes de la coopération judiciaire au sein de l’Union (règlement, consid. 6). Comme le souligne l’étude d’impact publiée le 17 avril 2018, l’un des objectifs est également de créer un instrument analogue au CLOUD Act américain de 2018 et de favoriser la coopération transatlantique, essentielle sur un marché numérique dominé par les entreprises américaines.   

Nouvelles procédures : injonctions européennes de production et de conservation de données

Les fournisseurs de services concernés 

L’intérêt principal des procédures d’injonctions créées par la proposition de règlement réside dans la possibilité, pour les enquêteurs européens, de s’adresser directement aux fournisseurs de services se trouvant en-dehors de leurs territoires nationaux. Les entreprises concernées seront celles qui fournissent :

  • les services de communication électronique (au sens de la directive (UE) 2018/1972),
  • les noms de domaine et services de proxy, notamment,
  • des services de la société de l’information (au sens de la directive (UE) 2015/1535) (art. 2§3).

Pour définir son champ d’application territoriale, le texte retient comme critère essentiel celui de « rattachement effectif à l’Union ». Ainsi, seront concernées les entreprises qui offrent des services de communication à des personnes morales ou physiques dans au moins un des États membres, celles ayant sur le territoire de l’Union un de leurs établissements ou, à défaut, un nombre significatif d’utilisateurs ou ciblant leurs activités en son sein (art. 2§4). Si l’intention est manifestement celle d’une application extraterritoriale, plusieurs précisions limitent ce cadre :

  • la simple accessibilité d’un site web depuis l’Union ne sera pas considérée comme un lien suffisant avec l’UE (consid. 27) ;
  • les entreprises sur son territoire mais s’adressant à un public extra-communautaire seront aussi exclues (consid. 26).

Les conditions de mise en œuvre :

L’instrument central prévu par cette proposition de règlement est l’injonction européenne de production de données. Il permettra, dans le cadre d’une enquête, d’obtenir des données directement de la part du fournisseur établi ou représenté dans un autre Etat-membre.

Conçue comme un préalable à un éventuel acte d’enquête transfrontalier, l’injonction de conservation permettra d’exiger du fournisseur de services la conservation de données dans le but d’éviter leur retrait, suppression ou altération (art. 6§2).

Les injonctions européennes de communication ou de préservation seront délivrées sous forme de certificats (European Production / Preservation Order Certificate, respectivement EPOC ou EPOC-PR).

Les conditions de recours à ces actes de procédure dépendent du type de données en cause (art. 2) :

  • les données les plus sensibles, celles de contenu et celles de trafic nécessaires au-delà de la simple identification de l’utilisateur (A);
  • les données relatives à l’abonné et requises aux seules fins d’identification de l’utilisateur (B).

Le recours à ces injonctions européennes est soumis aux conditions détaillées ci-dessous :

 

Injonction de production

Injonction de conservation

Sur des données sensibles (A)

Sur des données d’identification (B)

Type d’infraction

Punies d’au moins 3 ans selon le droit du pays émetteur.

+ les infractions commises au moyen de systèmes d’information dans les domaines de la :

  • fraude et contrefaçon de moyens de paiement autres que les espèces,
  • pédocriminalité,
  • cybercriminalité,
  • terrorisme (art.5§2).

Toutes, lorsque l’injonction du même type aurait été permise dans le cadre national (art.5§3).

Toutes infractions, lorsque une injonction du même type aurait été permise dans le cadre national (art. 6§2).

En cas d’exécution des peines ou de mesures de détention

D'au moins 3 ans ou 4 mois pour les infractions des domaines spécifiques visés à l’article 5§2 (art. 5§4).

D'au moins 4 mois (art.5§3).

D'au moins 4 mois (art. 6).

Autorités compétentes

Juges ou, avec leur accord, les autres autorités compétentes désignées par le droit national (art. 4§2).

Magistrats du siège, du parquet ou, avec leur accord, les autres autorités compétentes désignées par le droit national (art. 4§1).

Juges ou, avec leur accord, les autres autorités compétentes désignées par le droit national (art. 4§3).

La délivrance des injonctions pourra aussi être demandée par le mis en cause ou son conseil (art. 1§1a).

En cas d’urgence, la validation de l’injonction par le magistrat compétent peut être délivrée dans le cadre d’un contrôle ex post.

Délais d’exécution

10 jours, à compter de la réception ou, le cas échéant de la non-opposition des autorités du pays récepteur (art. 9§1a-b).

8 heures en cas d’urgence à compter de la réception ou, en cas de notification au pays émetteur, à compter de 96 heures maximum pendant lesquelles ce dernier peut opposer un refus (art. 9§2).

Immédiatement pour 60 jours, prorogation possible pour 30 jours supplémentaires (art. 10).

 

Une communication directe entre enquêteurs et fournisseurs des services

Les injonctions prises sur le fondement de ce règlement seront adressées à l’établissement du fournisseur de services ou à son représentant légal. Il devra être désigné en application de la future directive sur les représentants légaux (art. 7). Ainsi, les entreprises étrangères qui souhaitent accéder au marché européen devront désigner un établissement et un représentant légal au sein de l’Union pour répondre aux injonctions dans le cadre des enquêtes. Ce mécanisme permettra donc une application effective indépendamment du lieu de conservation des données.

Le texte de consensus prévoit une communication de l’autorité émettrice directement à l’établissement ou au représentant légal du fournisseur visé (art.7).

Refus d'exécution

Lorsque le destinataire d’un certificat s’estime fondé à refuser d’exécuter une injonction, il doit notifier son refus à l’autorité émettrice et à celles compétentes dans son pays (art. 10§3a). Si l’exécution est impossible en raison d’une information incomplète ou erronée contenue dans le certificat, il devra le signaler à l’émetteur sans délai et celui-ci disposera de 5 jours pour rectifier sa requête (art. 10§4).

Garanties procédurales

Le projet de règlement prévoit plusieurs garanties pour préserver les droits de la personne dont les données sont requises :

  • il rappelle explicitement que les procédures qu’il prévoit s’appliquent sans préjudice des droits fondamentaux (art. 1(2)) ;
  • les injonctions devront être nécessaires et proportionnées au but recherché (art. 5(2)) ;
  • sauf en cas d’impossibilité pour les raisons liées à l’enquête, la personne concernée par les données devra en être informée (art. 11) et disposera d’un droit de recours contre la décision d’injonction (art. 17) ;
  • le règlement prévoit des motifs légitimes de refus d’exécution liés notamment aux droit de la défense, aux immunités professionnelles ou à la liberté de la presse (art. 10a). 

Pays tiers et conflits de loi 

Le projet de règlement prévoit la possibilité, pour le destinataire d’une injonction, de soulever l’existence d’un conflit entre la loi invoquée par le pays émetteur et sa loi nationale. Dans ce cas, l’article 16 prévoit la possibilité d’un examen judiciaire de l’incompatibilité invoquée.

Sanctions

Le règlement oblige les États membres à adopter des normes nationales pour sanctionner les inexécutions des injonctions qu’il crée. Sans préjudice de celles-ci, l’amende prévue pour inexécution pourra aller jusqu’à 2% du chiffre d’affaires mondial du fournisseur de services (art. 13).

 

© Lefebvre Dalloz