COM (2005) 438 final  du 21/09/2005
Date d'adoption du texte par les instances européennes : 15/03/2006

Examen dans le cadre de l'article 88-4 de la Constitution

Texte déposé au Sénat le 30/09/2005
Examen : 31/01/2006 (délégation pour l'Union européenne)


Justice et affaires intérieures

Conservation des données de trafic téléphoniques ou électroniques

Texte E 2966 - COM (2005) 438 final
(Réunion du 31 janvier 2006)

M. Alex Türk :

La conservation des « données de trafic » par les opérateurs de services de communications téléphoniques ou électroniques aux fins d'enquête pénale ne constitue pas un sujet nouveau pour notre délégation.

Je rappelle qu'il ne s'agit pas d'autoriser l'accès au contenu des communications, qui est protégé par le secret des correspondances. Il s'agit d'imposer aux opérateurs de conserver les données relatives aux communications téléphoniques ou électroniques permettant d'identifier les interlocuteurs, leur localisation et la durée de leur communication, ce que l'on peut résumer par la formule suivante : « qui a procédé à une communication, avec qui, où, quand et comment ? ».

En pratique, l'exploitation des « données de trafic » représente souvent pour les magistrats et les policiers une « plus-value » essentielle pour faciliter leurs enquêtes sur les infractions les plus graves, comme le terrorisme, la traite des êtres humains ou encore la pédopornographie sur Internet. L'enquête sur les attentats terroristes de Madrid a démontré, en particulier, l'utilité de la conservation des données de trafic pour identifier les auteurs d'actes de terrorisme et démanteler les réseaux.

De nombreux États membres, à l'image de la France, ont introduit un tel dispositif dans leur droit national. Toutefois, la teneur de ces législations varie considérablement entre les pays quant aux délais de conservation de ces données et quant à la nature des données conservées par les opérateurs. Par ailleurs, certains États membres, notamment d'Europe centrale et orientale mais aussi l'Allemagne, ne disposent pas d'une législation comparable. Or, cette situation constitue une entrave à une coopération judiciaire et policière efficace à l'échelle européenne. C'est la raison pour laquelle quatre États membres (la France, l'Irlande, la Suède et le Royaume-Uni) avaient pris l'initiative de déposer, en avril 2004, un projet de décision-cadre afin d'harmoniser les législations nationales en la matière.

En décembre 2004, je vous avais présenté une communication sur ce texte et nous avions conclu au dépôt d'une proposition de résolution. Celle-ci a été examinée par la commission des lois, qui l'a adoptée, sous réserve d'une légère modification rédactionnelle. Elle est donc devenue résolution du Sénat.

Pourquoi dès lors évoquer à nouveau aujourd'hui cette question ? Parce que nous sommes saisis d'une proposition de directive, présentée par la Commission européenne, qui s'est substituée au texte sur lequel nous nous étions prononcés en lui apportant des modifications sensibles.

Je vais donc vous présenter d'abord comment l'on est passé d'une décision-cadre à une directive. Puis j'examinerai le fond des dispositions retenues par le Conseil et le Parlement européen, en le rapprochant de la résolution adoptée par notre assemblée.

I - DE LA DÉCISION-CADRE À LA DIRECTIVE

L'initiative présentée en avril 2004 par les quatre États membres, dont la France, a suscité une forte controverse au sujet de sa base juridique. En effet, la Commission européenne a contesté le choix d'une décision-cadre, prise sur le fondement du « troisième pilier », en considérant que ce domaine relevait du marché intérieur. A l'appui de son argumentation, elle a fait valoir qu'il existait déjà une législation européenne dans le domaine de la protection des données et que cette compétence avait été transférée à la Communauté. Elle a donc présenté, en septembre dernier, une proposition ayant le même objet mais fondée sur le « pilier communautaire », c'est-à-dire une proposition de directive.

La Commission européenne a reçu le soutien du Parlement européen et de certains États membres, comme l'Allemagne et les Pays-Bas. Le Parlement européen est généralement favorable au recours à la directive parce que celle-ci le place sur un pied d'égalité avec le Conseil, dans le cadre de la procédure de co-décision, alors qu'il est simplement consulté dans le cadre du « troisième pilier ».

En définitive, le Conseil s'est rallié au point de vue de la Commission européenne et du Parlement européen. C'est en effet sur la proposition de directive que le Conseil des ministres de la justice est finalement arrivé à un accord le 2 décembre, qui a été approuvé par le Parlement européen, le 14 décembre dernier. Le texte devrait être formellement adopté lors du prochain Conseil Justice et Affaires intérieures du 20 février.

Le choix de la directive n'a cependant été accepté qu'avec réticence par certains États, comme la France. Trois États membres, l'Irlande, la Slovénie et la Slovaquie, ont même voté contre la directive lors du Conseil « Justice et Affaires intérieures » du 2 décembre 2005 parce qu'ils jugeaient que la base juridique était erronée. Le ministre irlandais de la justice a d'ailleurs annoncé que son pays déposerait un recours devant la Cour de Justice de Luxembourg pour contester la base juridique retenue.

Les arguments qui plaident en faveur d'un instrument du « troisième pilier » ne sont pas dénués de fondement. Selon une jurisprudence constante de la Cour de Justice, l'objectif visé constitue l'élément principal pour déterminer la base juridique d'un texte. Or, la finalité poursuivie par la conservation des données tient bien à la lutte contre les formes graves de criminalité transnationale, comme le terrorisme.

D'ailleurs, on peut faire un parallèle entre cette affaire et l'accord conclu récemment au niveau européen sur le transfert des données sur les passagers détenues par les systèmes de réservation des compagnies aériennes (PNR) aux autorités américaines sur lequel nous avions exprimé de fortes réserves, notamment à propos de la base juridique. La décision du Conseil autorisant la conclusion de cet accord, ainsi que la décision de la Commission constatant un niveau de protection adéquat des données à caractère personnel, ont fait l'objet d'un recours de la part du Parlement européen, qui conteste la base juridique de ces décisions, fondées sur les dispositions du TCE relatives au marché intérieur. Dans ses conclusions, l'avocat général, Philippe Léger, donne raison au Parlement européen en considérant que la base juridique de ces décisions ne peut relever du marché intérieur en raison de la finalité de cet accord, qui vise la lutte contre les formes graves de criminalité, comme le terrorisme. Il conclut donc à l'annulation des deux décisions en raison du choix erroné de la base juridique. La Cour de justice devrait rendre son arrêt en mars prochain.

Dans ces conditions, je vous proposerai de prendre acte de la substitution par la proposition de directive du projet de décision-cadre, étant donné que ce changement de base juridique a fait l'objet d'un accord au sein du Conseil. Mais je crois qu'il serait important, pour l'avenir, de clarifier la situation du point de vue juridique. C'est la raison pour laquelle je vous proposerai de manifester notre souhait que la Cour de justice soit saisie de cette question, une fois que la directive sera adoptée formellement par les institutions européennes.

II - LES DISPOSITIONS AYANT FAIT L'OBJET D'UN ACCORD

J'en viens maintenant à l'examen des principales dispositions de la proposition de directive, au regard de la résolution que nous avions adoptée.

Le point le plus important de la résolution concerne la durée de conservation des données. Il s'agit, en effet, d'un aspect essentiel, tant du point de vue de l'efficacité des enquêtes, que du point de vue de la protection des données personnelles. A cet égard, nous avions estimé qu'une véritable harmonisation européenne ne devrait pas seulement consister à fixer - dans un but d'efficacité - une durée minimale de conservation des données, mais qu'elle devrait également prévoir - dans un souci de sauvegarde des libertés publiques - une durée maximale.

Sur ce point, le compromis trouvé entre le Conseil et le Parlement européen répond en partie aux préoccupations que nous avions exprimées, mais en partie seulement. En effet, alors que le Parlement européen s'était prononcé au départ en faveur d'une durée de conservation allant de 6 à 12 mois, le texte qui a fait l'objet d'un compromis prévoit une durée allant de 6 mois à deux années. Conformément à la préoccupation que nous avions exprimée, le texte prévoit donc bien une durée maximale de conservation des données. Mais cette règle générale peut souffrir d'exceptions. Une disposition permet, en effet, à un État membre d'aller au-delà de la durée maximale de deux ans s'il est confronté à des circonstances particulières et pour une période limitée, sous réserve de l'accord de la Commission européenne.

Les autres difficultés que nous avions évoquées tenaient, d'une part, au champ d'application de cet instrument et, d'autre part, à la question de l'indemnisation des opérateurs.

Sur le premier point, les négociations se sont avérées très difficiles entre les États membres et, en définitive, le compromis s'apparente à une harmonisation a minima. Ainsi, la directive n'impose pas aux opérateurs de conserver les données relatives aux appels infructueux (auxquels le correspondant ne répond pas). En effet, l'Allemagne s'y est opposée, car elle était soucieuse de limiter les coûts pour ses opérateurs de communication. En définitive, le compromis s'en remet sur ce point aux pratiques des opérateurs. Ceux qui conservent actuellement ce type de données à des fins de facturation devront les mettre à la disposition des autorités judiciaires, alors que ceux qui ne les conservent pas ne seront pas tenus de le faire. Or, les appels non aboutis peuvent parfois constituer un système de communication par « codes », voire déclencher à distance l'explosion d'une bombe, comme lors des attentats de Madrid.

Par ailleurs, la portée de l'harmonisation européenne a été amoindrie. Alors que le texte visait au départ « la prévention, la recherche, la détection et la poursuite d'infractions pénales, y compris du terrorisme », le champ d'application de la directive a été progressivement réduit à la seule « recherche, détection et poursuite des infractions pénales graves telles qu'elles sont définies par chaque État membre dans son droit interne ». Cette restriction a pour effet de limiter considérablement la portée de l'harmonisation européenne. En effet, chaque État membre restera compétent pour déterminer librement le régime applicable à la conservation des données de trafic pour les infractions dépourvues d'un caractère suffisant de gravité ou dans le but de prévenir les infractions, y compris les plus graves.

Par ailleurs, la proposition de directive ne prévoit pas de mécanisme de remboursement des frais supplémentaires entraînés par la conservation des données pour les opérateurs. Le texte contient uniquement une déclaration de la Commission européenne, qui précise que le remboursement de ces coûts par les États membres est compatible avec les règles européennes de la concurrence.

Enfin, le groupe dit « de l'article 29 », qui regroupe les différents organismes de protection des données (comme la CNIL pour la France), avait demandé que la durée de validité de la directive soit limitée à trois ans, comme le prévoyait la proposition initiale, et que l'on mette en place une évaluation régulière, dont les résultats seraient rendus publics. Le texte qui a fait l'objet d'un compromis répond en partie à cette préoccupation. En effet, s'il ne limite pas la durée de validité de cette directive, il prévoit néanmoins une évaluation réalisée par la Commission, au plus tard trois années après l'entrée en vigueur de la directive, dont les résultats devront être rendus publics. Et, il est précisé que cette évaluation devra prendre en compte les observations éventuelles des États membres ou des autorités chargées de la protection des données. En outre, il est prévu, dans une déclaration, la mise en place d'un groupe de suivi chargé de l'application de cette directive.

En définitive, le compromis trouvé entre le Conseil et le Parlement européen sur cette proposition de directive me paraît à la fois fragile du point de vue de la base juridique retenue et porteur d'un très faible degré d'harmonisation sur le fond. On peut se demander si, dans cette affaire, les ministres n'ont pas cédé aux fortes pressions de la présidence britannique, soucieuse de parvenir à tout prix à un résultat dans un souci d'affichage vis-à-vis de l'opinion publique.

*

À l'issue de cette communication, la délégation a adopté les conclusions suivantes :


Conclusions

La délégation pour l'Union européenne du Sénat,

Vu la proposition de directive sur la conservation des données traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public (texte E 2966) ;

Considère que le texte E 2966 ne permet pas, en raison de son faible degré d'harmonisation, de concilier le besoin d'efficacité des enquêtes et la protection des droits individuels ;

Regrette, en particulier, que le champ d'application ait été réduit et que la durée maximale de conservation des données soit assortie de dérogations ;

Prend acte de la substitution de cette proposition de directive au projet de décision-cadre présenté par quatre États membres, dont la France ; souhaite, cependant, que la Cour de justice soit saisie de cette directive, ce qui permettrait de savoir si, sur la base des dispositions relatives au marché intérieur du traité instituant la Communauté européenne, il est possible de prendre de telles mesures visant à renforcer la lutte contre le terrorisme et d'autres formes graves de criminalité transnationale.