G. LES PAYS-BAS
A. L'absence de toute obligation légale de conservation des données comme conséquence de la suspension de l'ancien régime juridique.
La loi du 18 juillet 2009 modifiant la loi sur les télécommunications (Wet bewaarplicht telecommunicatiegegevens) avait introduit, à des fins d'enquête et de poursuites d'infractions pénales graves, une obligation de conservation généralisée des données de connexion pendant six mois pour les données internet et jusqu'à douze mois pour les données téléphoniques.
Ce dispositif a toutefois été suspendu par le juge des référés du tribunal de La Haye le 11 mars 2015181(*) au motif d'une violation des articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne. Aucun appel n'a depuis été interjeté ni aucune procédure engagée sur le fond.
Depuis mars 2015, les opérateurs ne sont donc plus tenus de conserver les données de connexion de leurs utilisateurs. Seules les données conservées pour répondre aux besoins commerciaux des opérateurs eux-mêmes peuvent, dès lors, faire l'objet de réquisitions par les autorités répressives, qui ont émis à ce titre 35 130 demandes en 2017 et 34 221 en 2018182(*).
B. Une procédure peu encadrée d'accès aux données qui a été également suspendue par le tribunal.
Sur le fondement de la loi de 2009 précitée, l'accès aux données est limité aux infractions terroristes ou aux infractions pour lesquelles la détention provisoire est autorisée, c'est-à-dire celles qui sont punies d'une peine d'emprisonnement d'au moins quatre ans. Or, comme souligné par la décision du 11 mars 2015 du tribunal de la Haye, la détention provisoire est possible pour des délits comme le vol d'une bicyclette, ce qui a conduit le juge des référés à conclure à l'absence de garanties limitant l'accès aux données à ce qui est strictement nécessaire pour lutter contre la seule criminalité grave.
Le juge des référés de La Haye a, en outre, jugé que le procureur, qui émet la réquisition d'accès aux données, ne pouvait être considéré comme une autorité indépendante au sens de la jurisprudence de la Cour de Luxembourg. Il en a déduit que l'accès aux données conservées n'était pas soumis au contrôle préalable d'une autorité judiciaire ou administrative indépendante, en contradiction avec les exigences définies par la CJUE183(*).
C. La mise en place contrariée d'un nouveau régime juridique en matière de conservation des données et d'accès à celles-ci.
En réponse à ces développements, en septembre 2016, un projet de loi (Aanpassing bewaarplicht telecommunicatiegegevens) a été soumis à la Chambre des représentants néerlandaise184(*). Il prévoit un nouveau régime d'accès aux données de connexion, en amendant les articles 126n et 126u du Code de procédure pénale (Wetboek van Strafvordering), afin que la réquisition ne puisse être faite qu'après accord du juge d'instruction. Dans ce cadre, il appartient au procureur de la République, qui émet la demande, puis au juge d'instruction, qui la valide, d'apprécier si la gravité du délit justifie la réquisition des données de connexion conservées. En cas d'urgence, la demande et sa validation peuvent être faites oralement, à condition d'être actées par écrit dans un délai de trois jours.
Le gouvernement néerlandais reconnaît toutefois, dans son exposé des motifs, que la nouvelle procédure de réquisition des données de connexion « aura de graves conséquences financières et organisationnelles pour la police, le ministère public et la magistrature en exercice »185(*). Selon leurs estimations, le nombre de demandes portées devant le juge d'instruction augmentera structurellement, avec environ 42 000 demandes supplémentaires par an, pour des coûts supplémentaires d'environ deux millions d'euros par an.
En outre, si le projet de loi initial tendait à modifier les seules modalités d'accès aux données de connexion, il maintenait un régime de conservation générale et indifférenciée, selon des délais de conservation inchangés. Dès lors, à la suite de l'arrêt Tele2 Sverige du 21 décembre 2016186(*) qui exclut formellement le recours à une conservation généralisée et indifférenciée des données pour les affaires de criminalité grave, le ministre de la Justice néerlandais a annoncé au Parlement son intention de modifier le projet de loi afin de limiter l'obligation de conservation aux seules données d'identification187(*).
L'examen du texte a été repoussé pour des besoins d'expertise supplémentaire concernant la prise en compte du dispositif carrier grade network address translation (CGNAT), utilisé par les fournisseurs d'internet afin de regrouper une centaine de connexions internet sous une seule adresse IPv4188(*).
Le rapport d'expertise a été publié en 2019189(*) et propose notamment d'imposer de nouvelles obligations aux opérateurs. Pour autant, depuis mars 2018, le processus législatif est au point mort. Aucun projet de loi modifié n'a encore été déposé.
* 181 Tribunal de La Haye, 11 mars 2015, C/09/480009 / KG A 14/1575.
* 182 Réponse n° 178 (2019-2020) aux questions du député Van der Graaf sur l'article "Flaws in Cellphone Evidence Prompt Review of 10,000 Verdicts in Denmark".
* 183 CJUE, 2 mars 2021, Prokuratuur, aff. (C-746/18)
* 184 Projet de loi n°34 537, déposé le 13 septembre 2016, modifiant la loi sur les télécommunications et du code de procédure pénale concernant la conservation des données traitées dans le cadre de la fourniture de services publics de télécommunications et de réseaux publics de télécommunications.
* 185 Exposé des motifs du projet de loi n° 34 537, p. 30.
* 186 CJUE, 21 décembre 2016, Tele2 Sverige AB contre Post-och telestyrelsen et Secretary of State for the Home Department contre Tom Watson e.a. (C-203/15 et C-698/15)
* 187 Lettre du ministre de la Justice à la chambre des représentants du 26 mars 2018.
* 188 Lettre du ministre de la Justice à la chambre des représentants du 25 septembre 2018.
* 189 Zie T. van der Vorst, e.a., Mogelijkheden voor identificatie op internet op basis van IP-adres, Dialogic in opdracht van het WODC (Ministerie van Justitie en Veiligheid), Den Haag: nov. 2019