L'édito de Philippe Bailly

Vous souhaitez recevoir l’Insight NPA ?

Journal Officiel de l’Union européenne : Avis du contrôleur européen de la protection des données concernant les deux propositions de décisions du Conseil autorisant les États membres à signer et à ratifier, dans l’intérêt de l’Union européenne, le deuxième Protocole additionnel à la convention sur la cybercriminalité relatif au renforcement de la coopération et de la divulgation de preuves électroniques

(Le texte complet de l’avis en anglais, français et allemand est disponible sur le site internet du CEPD www.edps.europa.eu)

(2022/C 182/04)

Le 25 novembre 2021, la Commission a adopté deux propositions de décisions du Conseil, au titre de l’article 16, de l’article 82, paragraphe 1, et de l’article 218, paragraphes 5 et 6, du traité sur le fonctionnement de l’Union européenne, l’une autorisant les États membres à signer et l’autre à ratifier, dans l’intérêt de l’Union européenne, le deuxième protocole additionnel à la convention de Budapest sur la cybercriminalité. L’annexe des propositions contient les instructions du Conseil concernant les réserves, les déclarations et les communications lors de la signature et de la ratification du protocole.

Les enquêtes et les poursuites pénales sont un objectif légitime, et la coopération internationale, y compris l’échange d’informations, est devenue plus importante que jamais. Comme le préconise le CEPD depuis longtemps, l’Union doit conclure avec des pays tiers des accords viables concernant le partage de données à caractère personnel à des fins répressives, qui soient pleinement compatibles avec les traités de l’Union et la charte des droits fondamentaux. Même lorsqu’elles enquêtent sur des affaires internes, les autorités répressives rencontrent de plus en plus souvent des «questions transfrontières», parce que les informations sont stockées sous forme électronique dans un pays tiers. Le volume croissant de demandes et le caractère volatil des informations numériques mettent à mal les modèles de coopération existants, tels que les traités d’entraide judiciaire. Le CEPD entend bien que les autorités sont engagées dans une course contre la montre lorsqu’il s’agit d’obtenir des données pour leurs enquêtes, et soutient les efforts visant à concevoir de nouveaux modèles de coopération, y compris dans le cadre de la coopération avec les pays tiers.

Le protocole vise à améliorer les canaux de coopération traditionnels et comprend des dispositions visant à renforcer la coopération directe entre les autorités répressives et les fournisseurs de services dans un contexte transfrontière. En particulier, le protocole renforcerait la coopération en matière de cybercriminalité et la collecte de preuves sous forme électronique concernant des infractions pénales aux fins d’enquêtes ou de procédures pénales spécifiques.

Tout en reconnaissant qu’il n’est pas possible de reproduire entièrement la terminologie et les définitions du droit de l’UE dans un accord international multilatéral, le CEPD souligne que les garanties appropriées pour les personnes doivent être prévues afin de respecter pleinement le droit de l’Union.

Les principes de protection des données, notamment l’équité, l’exactitude et la pertinence des informations, le contrôle indépendant et les droits individuels des personnes physiques, sont aussi pertinents pour les organismes publics que pour les entreprises privées. Ces principes de base sont d’autant plus importants que les données nécessaires aux enquêtes pénales sont sensibles.

Le présent avis vise à fournir une analyse objective et des conseils constructifs aux institutions de l’UE, alors que le Conseil examine les propositions de la Commission visant à signer et à ratifier le protocole et avant que le Parlement européen ne soit appelé à donner son accord à la conclusion du protocole.

Le CEPD se félicite qu’aucune disposition relative à l’accès direct des autorités répressives aux données n’ait été incluse dans le texte final du protocole. Il se réjouit également du fait que le protocole contienne un article consacré à la protection des données à caractère personnel. En outre, le CEPD prend note avec satisfaction des nombreuses garanties qui ont été incluses dans le protocole.

Le CEPD comprend qu’il est confirmé que l’accord-cadre UE-États-Unis s’appliquerait aux transferts de l’UE vers les États-Unis d’Amérique dans le cadre des dispositions énoncées dans le protocole concernant la coopération entre les autorités. Le CEPD déplore ce résultat.

En cas d’adoption d’une décision du Conseil autorisant les États membres à, respectivement, signer et ratifier, dans l’intérêt de l’Union, le protocole, le CEPD se félicite des propositions de la Commission visant à ce que les États membres fassent, dans l’intérêt de l’Union, la déclaration, la notification et la communication au titre de l’article 7, paragraphe 2, point b), et de l’article 7, paragraphe 5, points a) et e), du protocole. Ces propositions garantissent que les fournisseurs de services de l’Union ne puissent être sollicités pour le transfert de données à caractère personnel que sur la base d’injonctions émises, dans le pays tiers requérant partie au Protocole, par un procureur ou une autre autorité judiciaire, ou sous la supervision d’un procureur ou d’une autre autorité judiciaire, ou sous une autre forme de supervision indépendante et sous le contrôle d’une autorité compétente dans l’État membre requis.

Le CEPD note également avec satisfaction la proposition selon laquelle les États membres font la déclaration visée à l’article 8, paragraphe 4, du protocole (sur la coopération entre les autorités compétentes pour donner suite aux injonctions de fournir les données relatives aux abonnés et au trafic), de sorte que des informations complémentaires soient nécessaires pour donner effet aux injonctions au titre de cette disposition.

En outre, le CEPD formule les recommandations suivantes en ce qui concerne les futures décisions du Conseil, si le protocole devait être signé et ratifié par les États membres, dans l’intérêt de l’Union:

certaines données figurant dans la catégorie des informations relatives aux abonnés au sens de la convention sur la cybercriminalité peuvent être considérées, en vertu du droit de l’Union, comme des données relatives au trafic impliquant une ingérence grave dans les droits fondamentaux de la personne concernée, dont l’accès ne peut être justifié que par la lutte contre la criminalité grave. Par conséquent, contrairement à la proposition de la Commission, le CEPD recommande aux États membres de se réserver le droit de ne pas appliquer l’article 7 du protocole sur la divulgation des données relatives aux abonnés par les fournisseurs de services directement aux autorités compétentes d’un autre pays en ce qui concerne certains types de numéros d’accès, conformément à l’article 7, paragraphe 9, point b);

les États membres devraient désigner, conformément à l’article 7, paragraphe 5, point e), du protocole, une autorité judiciaire ou une autre autorité indépendante;

la communication proposée par les États membres aux autorités des États-Unis, au moment de la signature ou du dépôt de leur instrument de ratification, d’acceptation ou d’approbation, en rapport avec l’accord-cadre UE-États-Unis, devrait être clarifiée;

il y a lieu de modifier l’examen proposé à l’aune d’autres accords ou arrangements au titre de l’article 14, paragraphe 1, point c), du protocole, qui pourraient remplacer sa disposition relative à la protection des données (article 14).

1.   INTRODUCTION ET CONTEXTE

1.

En juin 2017, le comité de la convention sur la cybercriminalité du Conseil de l’Europe a approuvé le mandat en vue de la préparation d’un deuxième protocole additionnel à la convention sur la cybercriminalité au cours de la période comprise entre septembre 2017 et décembre 2019 (1).

2.

Le 5 février 2019, la Commission a adopté une recommandation (2) de décision du Conseil visant à autoriser la participation de la Commission, au nom de l’Union européenne, aux négociations relatives à un deuxième protocole additionnel (ci-après le «protocole») (3) à la convention du Conseil de l’Europe sur la coopération internationale renforcée en matière de cybercriminalité et de preuves électroniques (ci-après la «convention sur la cybercriminalité») (STCE no 185) (4).

3.

Le Contrôleur européen de la protection des données (ci-après le «CEPD») a adopté un avis sur la recommandation le 2 avril 2019 (5). Par décision du 6 juin 2019, le Conseil de l’Union européenne a autorisé la Commission à participer, au nom de l’Union européenne, aux négociations sur le protocole (6).

4.

Le comité de la convention sur la cybercriminalité a prorogé le mandat à deux reprises, jusqu’en décembre 2020 dans un premier temps et jusqu’en mai 2021 ensuite. Le protocole a été élaboré par le comité de la convention sur la cybercriminalité (T-CY) entre septembre 2017 et mai 2021. Au cours de cette période, plus de quatre-vingt-dix sessions de la plénière de rédaction du protocole T-CY, du groupe de rédaction et des sous-groupes ainsi que six cycles de consultation des parties prenantes ont eu lieu.

5.

Le comité européen de la protection des données (ci-après l’«EDPB») a contribué aux consultations publiques sur le projet de protocole le 13 novembre 2019, le 2 février 2021 et le 4 mai 2021 (7).

6.

Le Parlement européen a reconnu la nécessité de conclure les travaux sur le protocole dans sa résolution de 2021 sur la stratégie de cybersécurité de l’Union pour la décennie numérique (8).

7.

Le 17 novembre 2021, le Comité des Ministres du Conseil de l’Europe a adopté le protocole. Il devrait être ouvert à la signature en mai 2022. Des amendements ne peuvent donc être proposés que par une partie au protocole et adoptés par le Comité des Ministres. Le protocole exige l’acceptation de toutes les parties pour que les amendements entrent en vigueur (9).

8.

L’Union européenne ne peut devenir partie au protocole, étant donné que tant le protocole que la convention sur la cybercriminalité sont ouverts aux seuls États (10).

9.

Le 25 novembre 2021, la Commission a adopté deux propositions de décisions du Conseil, au titre de l’article 16, de l’article 82, paragraphe 1, et de l’article 218, paragraphes 5 et 6, du traité sur le fonctionnement de l’Union européenne (ci-après le «TFUE») (11).

10.

Selon ces propositions (12), le protocole relève d’un domaine couvert, dans une large mesure, par des règles communes au sens de l’article 3, paragraphe 2, TFUE. Par ces propositions, la Commission cherche à obtenir deux décisions du Conseil autorisant les États membres à signer et à ratifier, respectivement, le protocole dans l’intérêt de l’Union européenne. Les deux propositions sont accompagnées d’une annexe (ci-après l’«annexe») qui donne des instructions aux États membres en ce qui concerne les réserves, déclarations, notifications ou communications et autres considérations à formuler lors de la signature et de la ratification, dans l’intérêt de l’Union européenne, du protocole. La proposition relative à la ratification est également accompagnée d’une annexe contenant le texte du protocole.

11.

Pour que l’accord puisse être conclu, dans l’hypothèse ou le Conseil déciderait d’autoriser sa signature par les États membres, dans l’intérêt de l’Union, il devrait adopter une décision autorisant les États membres, dans l’intérêt de l’Union, à ratifier l’accord, après avoir obtenu l’approbation du Parlement européen. Le protocole entrera en vigueur le premier jour du mois suivant l’expiration d’une période de trois mois après la date à laquelle cinq parties à la convention sur la cybercriminalité auront exprimé leur consentement à être liées par le protocole, conformément aux dispositions de l’article 16, paragraphes 1 et 2, du protocole (13).

12.

Le CEPD a été consulté sur les deux propositions par la Commission européenne après leur adoption, conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 (14). Les considérants 12 et 13 des propositions relatives à la ratification et à la signature du protocole font référence au présent avis. Le CEPD tient à souligner que le présent avis est délivré sans préjudice des observations supplémentaires qu’il pourrait formuler sur la base d’informations disponibles ultérieurement.

7.   CONCLUSIONS

129.

Compte tenu de la prolifération de la cybercriminalité et de l’importance croissante des preuves électroniques dans les enquêtes pénales et au vu de la complexité de l’obtention de ces preuves lorsqu’elles ne relèvent pas de la compétence des États membres, le CEPD comprend la nécessité pour les autorités répressives d’obtenir rapidement et efficacement des preuves électroniques afin de pouvoir lutter efficacement contre la criminalité.

130.

Le CEPD est donc favorable à une réponse internationale assortie de garanties appropriées aux questions existantes dans ce contexte.

131.

Le protocole vise à la fois à améliorer les canaux de coopération traditionnels et à établir une coopération directe entre les autorités répressives et les fournisseurs de services transfrontières. Il ne contient pas de dispositions sur l’accès direct aux données par les autorités répressives, ce dont le CEPD se réjouit.

132.

Tout en reconnaissant qu’il n’est pas possible de reproduire entièrement la terminologie et les définitions du droit de l’UE dans un accord international multilatéral, le CEPD souligne que les garanties appropriées en matière de protection des données pour les personnes physiques doivent être prévues afin de respecter pleinement le droit de l’Union.

133.

Le CEPD se félicite du fait que le protocole contienne un article spécifique sur la protection des données à caractère personnel. Il note également avec satisfaction les nombreuses garanties qui ont été incluses dans le protocole.

134.

Le CEPD comprend qu’il est confirmé que l’accord-cadre UE-États-Unis s’appliquerait aux transferts de l’UE vers les États-Unis d’Amérique dans le cadre des dispositions énoncées dans le protocole concernant la coopération entre les autorités. Le CEPD déplore ce résultat.

135.

En cas d’adoption d’une décision du Conseil autorisant les États membres à, respectivement, signer et ratifier, dans l’intérêt de l’Union, le protocole, le CEPD se félicite des propositions de la Commission visant à ce que les États membres fassent, dans l’intérêt de l’Union, la déclaration, la notification et la communication au titre de l’article 7, paragraphe 2, point b), et de l’article 7, paragraphe 5, points a) et e), du protocole. Ces propositions garantissent que les fournisseurs de services de l’Union ne puissent être sollicités pour le transfert de données à caractère personnel que sur la base d’injonctions émises, dans le pays tiers requérant partie au Protocole, par un procureur ou une autre autorité judiciaire, ou sous la supervision d’un procureur ou d’une autre autorité judiciaire, ou sous une autre forme de supervision indépendante et sous le contrôle d’une autorité compétente dans l’État membre requis.

136.

Le CEPD note également avec satisfaction la proposition selon laquelle les États membres font la déclaration visée à l’article 8, paragraphe 4, du protocole (sur la coopération entre les autorités compétentes pour donner suite aux injonctions de fournir les données relatives aux abonnés et au trafic), de sorte que des informations complémentaires soient nécessaires pour donner effet aux injonctions au titre de cette disposition.

137.

Le CEPD formule les recommandations suivantes en ce qui concerne les futures décisions du Conseil, si le protocole devait être signé et ratifié par les États membres, dans l’intérêt de l’Union:

certaines données relevant de la catégorie des données relatives aux abonnés au sens de la convention sur la cybercriminalité peuvent être considérées, en vertu du droit de l’Union, comme des données relatives au trafic impliquant une ingérence grave dans les droits fondamentaux de la personne concernée, dont l’accès ne peut être justifié que par la lutte contre la criminalité grave. Par conséquent, contrairement à la proposition de la Commission, le CEPD recommande aux États membres de se réserver le droit de ne pas appliquer l’article 7 du protocole sur la divulgation des données relatives aux abonnés par les fournisseurs de services directement aux autorités compétentes d’un autre pays en ce qui concerne certains types de numéros d’accès, conformément à l’article 7, paragraphe 9, point b);

les États membres devraient désigner, conformément à l’article 7, paragraphe 5, point e), du protocole, une autorité judiciaire ou une autre autorité indépendante;

la communication proposée par les États membres aux autorités des États-Unis, au moment de la signature ou du dépôt de leur instrument de ratification, d’acceptation ou d’approbation, en rapport avec l’accord-cadre UE-États-Unis, devrait être clarifiée;

il y a lieu de modifier l’examen proposé à l’aune d’autres accords ou arrangements au titre de l’article 14, paragraphe 1, point c), du protocole, qui pourraient remplacer sa disposition relative à la protection des données (article 14).

138.

Enfin, le CEPD souligne qu’un procureur d’un État membre et, partant, le Parquet européen ne devraient pouvoir émettre une injonction de produire ou de transférer des données sur la base de l’injonction d’une autre partie au titre de l’article 8 que s’il est établi que cette injonction fait l’objet d’un contrôle par une autorité judiciaire ou une entité indépendante au sens de la jurisprudence de la CJUE.

139.

Le CEPD reste à la disposition de la Commission, du Conseil et du Parlement européen pour fournir d’autres conseils au cours la procédure. Le présent avis est délivré sans préjudice des observations supplémentaires que le CEPD pourrait formuler sur la base d’informations disponibles ultérieurement.

L’extrait du Journal Officiel de l’Union européenne est à retrouver ici.

Vous êtes abonnés à l’Insight NPA ? Merci de renseigner vos identifiants pour accéder à l’ensemble de cet article.

Pas encore inscrit à l'Insight NPA ?