Échange d’informations dans les affaires de terrorisme au sein de l’Union européenne : une modernisation du dispositif en faveur de l’efficience

26.10.2023

Le règlement (UE) 2023/2131 et, dans une moindre mesure, la directive (UE) 2023/2123, adaptent et renforcent le partage d’informations et la coopération judiciaire en matière terroriste entre les États membres et l’instance de coopération judiciaire de l’Union européenne, Eurojust.

Quelques jours avant que le terrorisme islamiste ne frappe à nouveaux l’Europe (le 13 oct., par un attentat dans le lycée Gambetta à Arras en France et le 16 oct., par un attentat à Bruxelles en Belgique), Le Conseil de l’Union européenne adoptait définitivement un nouveau règlement prévoyant un échange d’informations accru entre les États membres et l’Union européenne en matière de terrorisme. Le caractère fréquemment international du terrorisme impose en effet un partage d’informations rapide et efficace entre les États membres et les instances policière (Europol) et judiciaire (Eurojust) de l’Union.

L’échange d’informations en matière terroriste remonte à la décision 2005/671/JAI du Conseil du 20 septembre 2005, qui prévoyait une procédure de transfert d’informations entre les États membres et les deux grandes instances européennes de coopération en matière pénale que sont Europol et Eurojust. Pour autant, des lacunes du dispositif alors en place sont apparues. Les États membres n’étaient pas réellement incités à transmettre des informations, le peu d’informations partagées étaient régulièrement désuètes car non mises à jour, les infrastructures en place, notamment au sein d’Eurojust, ne permettaient pas un transfert sécurisé des données numériques, etc. Ce manque d’effectivité nécessitait de modifier le dispositif, qui s’articule désormais de la façon suivante : la décision 2005/671/JAI régit les échanges d’informations en matière terroriste entre les États membres et Europol, tandis que le règlement (UE) 2018/1727 du 14 novembre 2018 régit ces échanges entre les États membres et Eurojust. La directive (UE) 2023/2123 et le règlement (UE) 2023/2131 viennent modifier ces deux textes.

L’actualisation de la décision 2005/671/JAI du Conseil du 20 septembre 2005

Mise en conformité avec la directive (UE) 2016/680 « police-justice » du 27 avril 2016. La directive (UE) 2023/2123 consiste principalement à mettre en conformité la décision 2005/671/JAI, relative à l’échange d’informations concernant les infractions terroristes, avec la directive (UE) 2016/680 « police-justice » du 27 avril 2016. Cette dernière impose notamment que tout traitement de données à caractère personnel indique, a minima, ses objectifs et finalités, ainsi que les données concernées, ce que ne faisait pas la décision de 2005. La directive comble ainsi ce vide en précisant les finalités du traitement prévu en matière terroriste (prévention et détection des infractions terroristes et des autres infractions pour lesquelles Europol est compétent, ainsi que les enquêtes et poursuites en la matière) ainsi que les données concernées. Ces dernières sont celles prévues à l’annexe II, section B, point 2, du règlement (UE) 2016/794 du 11 mai 2016 (relatif à Europol) : état civil (nom, prénom, sexe, date et lieu de naissance, nationalité, etc.), description physique, moyens d’identification (dont les données biométriques), profession et qualifications, informations économiques et financières, informations relatives au comportement (mode de vie, déplacements, lieux fréquentés, degré de dangerosité, traits de caractère en rapport avec la criminalité, etc.), entourage, moyens de communications et de transport, informations relatives aux activités criminelles (condamnations antérieures, modus operandi, appartenance à un groupe criminel, etc.), indication d’autres systèmes d’information stockant des données, et enfin, certains renseignements sur les personnes morales. Les États membres doivent se conformer à la nouvelle directive avant le 1^er novembre 2025.

Exclusion des références à Eurojust. Le règlement (UE) 2023/2131 vient entériner la distinction des sources normatives en matière de partage d’informations concernant les infractions terroristes, selon l’instance européenne en question. Le partage d’informations des États membres avec Europol est régi par la décision de 2005, tandis que lorsqu’il est effectué avec Eurojust, il est désormais entièrement régi par le règlement (UE) 2018/1727. Dans un souci de clarté et de cohérence, le règlement de 2023 vient donc supprimer les références faites par la décision de 2005 à Eurojust.

L’actualisation du règlement 2018/1727 du Parlement européen et du Conseil du 14 novembre 2018

Le transfert d’informations à Eurojust en matière terroriste. Le règlement (UE) 2023/2131 impose très clairement aux États membres la transmission d’informations en matière de terrorisme. Ainsi, chaque autorité nationale compétente (not. le parquet national antiterroriste – PNAT – pour la France) doit transmettre à Eurojust des informations sur toute enquête pénale en cours ou close concernant une infraction terroriste, dès qu’elle en est saisie (ce qui permettra à l’instance européenne de rapidement en avoir connaissance) et ce, que l’affaire en question présente des liens, ou non, avec un autre État membre ou État tiers.

Le nouveau règlement crée également une liste de données dont la transmission sera réservée à la matière terroriste, qu’il intègre au sein d’une nouvelle annexe III, jointe au règlement (UE) 2018/1727 : informations relatives à l’état civil (nom, prénom, pseudonyme, etc.), relatives à l’infraction terroriste en question (personnes morales impliquées, qualification juridique, affiliation à un groupe terroriste, type de terrorisme selon l’idéologie poursuivie, résumé de l’affaire), relatives aux procédures nationales (état d’avancement, parquet compétent, numéro de l’affaire, date d’ouverture des poursuites judiciaires, liens avec d’autres affaires pertinentes) et enfin des informations complémentaires permettant d’identifier le suspect (données dactyloscopiques et photographies). Les modalités de ce transfert de données sont également précisées.

D’une part, d’un point de vue organisationnel, le règlement oblige les États membres à désigner un ou plusieurs correspondants nationaux en matière terroriste, qui seront chargés de transmettre les informations aux membres nationaux qui ont été détachés auprès d’Eurojust. Dit autrement et en simplifiant quelque peu les choses, les correspondants nationaux en matière terroriste agissent pour le compte de l’État membre et transfèrent les informations aux membres nationaux, qui agissent, quant à eux, pour le compte d’Eurojust.

D’autre part, d’un point de vue opérationnel, et il s’agit là de l’un des apports principaux du règlement (UE) 2023/2131, ce transfert de donnés doit se faire numériquement, par le biais d’un canal de communication sécurisé. Les États membres devront ainsi impérativement passer par un système informatique décentralisé pour transmettre les informations requises. Cette transmission doit également être réalisée de façon quasi automatique et structurée, afin de permettre une régularité et une rapidité dans le partage des informations. Sur ce point, un délai est octroyé aux États membres qui ne disposeraient pas encore d’un accès à de tels canaux de communication, afin de pouvoir le mettre en place. Par ailleurs, les autorités nationales compétentes doivent actualiser les informations transmises, en informant les membres nationaux détachés auprès d’Eurojust de toute modification des données, au maximum dix jours après ladite modification. Cette obligation permettra ainsi une exactitude des données qui seront constamment tenues à jour.

Le traitement des informations confiées à Eurojust en matière terroriste. Une fois les informations transférées en toute sécurité par le biais du système informatique décentralisé, celles-ci sont stockées au sein du système de gestion des dossiers (le CMS : Case management system), qui est modernisé par le règlement (UE) 2023/2131. Le CMS accueille désormais le registre judiciaire européen antiterroriste (le CTR : Counter-terrorism register) – lequel a été créé en 2019 et vise à détecter les liens potentiels entre des procédures judiciaires en matière d’infractions terroristes –, ce qui permet de le pérenniser et de l’intégrer pleinement au sein de l’infrastructure d’Eurojust. Le CMS, quant à lui, vise désormais à stocker l’ensemble des informations transmises par les États membres, et procède à leur recoupement dans le but d’identifier de possibles liens entre différentes procédures judiciaires, et ainsi de révéler le caractère international de certaines affaires de terrorisme – caractère qui pourrait ne pas être perçu par les autorités nationales agissant de façon isolée. C’est le membre national détaché auprès d’Eurojust qui est chargé du stockage des informations dans le CMS par le biais du canal de communication sécurisé. Par ailleurs, notons également que le règlement (UE) 2023/2131 ouvre un accès au CSM aux procureurs de liaison de pays tiers, détachés auprès d’Eurojust.

Le règlement (UE) 2023/2131 précise également les données personnelles concernées par le transfert et le stockage en matière terroriste. Il s’agit de celles listées au sein des annexes II (données générales) et III (données spécifiques à la matière terroriste) du règlement (UE) 2018/1727. Il indique également que les personnes concernées par le transfert des données visées à l’annexe III sont les personnes à l’égard desquelles il existe des motifs sérieux de croire qu’elles ont commis ou sont sur le point de commettre une infraction pénale pour laquelle Eurojust est compétente et les personnes condamnées pour une telle infraction.

De plus, le règlement (UE) 2023/2131 précise qu’Eurojust pourra poursuivre le traitement de ces données : même après clôture de la procédure interne, même en cas d’acquittement, et même en cas de décision définitive de ne pas engager de poursuites.

Par ailleurs, la durée de conservation des données recueillies est allongée par rapport au régime général prévu par l’article 29 du règlement (UE) 2018/1727. Ainsi, en matière terroriste, les données peuvent être conservées par Eurojust durant cinq années après la décision judiciaire définitive intervenue en droit interne ou après la clôture d’une procédure, et durant deux ans après une décision définitive de ne pas engager de poursuites ou un acquittement.

Ce nouveau règlement européen, d’application immédiate en droit interne, devrait ainsi conduire à une coopération judiciaire particulièrement efficiente en matière de terrorisme, par le biais d’un échange d’informations imposé aux États membres afin de pouvoir disposer des données les plus complètes et les plus actualisées possibles.

Pour autant, si la nécessité d’une efficacité renforcée dans l’échange d’informations en matière terroriste est incontestable, les dérogations apportées aux règles générales de conservation des données personnelles peuvent légitimement susciter la méfiance, a fortiori lorsqu’elles concernent une personne bénéficiant pleinement – en principe du moins – de la présomption d’innocence (acquittement et décision définitive de ne pas engager de poursuites).