Navigation path

Left navigation

Additional tools

Other available languages: EN DE

Commission européenne - Fiche d'information

Foire aux questions: Nouvelles règles de l'UE pour l'obtention de preuves électroniques

Bruxelles, le 17 avril 2018

La Commission propose de nouvelles règles visant à permettre aux autorités policières et judiciaires d'obtenir plus facilement et plus rapidement les preuves électroniques, telles que des courriels ou des documents se trouvant dans le nuage, dont elles ont besoin pour enquêter sur les criminels et les terroristes, les poursuivre en justice et les condamner.

Qu'entend-on par «preuves électroniques»?

Les preuves électroniques recouvrent différents types de données sous format électronique qui sont utiles dans les enquêtes et les poursuites pénales — notamment les «données se rapportant au contenu», comme les courriels, les SMS ou textos, les photos et les vidéos —, souvent stockées sur les serveurs des prestataires de service en ligne, ainsi que d'autres catégories de données, comme les données relatives aux abonnés ou les informations sur le trafic concernant un compte en ligne. Ces types de données sont souvent essentiels dans les enquêtes pénales pour identifier une personne ou obtenir des informations sur ses activités.

Pourquoi améliorer l'accès aux preuves électroniques?

Dans l'environnement hors ligne, les autorités peuvent demander et obtenir les documents nécessaires pour enquêter sur une infraction dans leur propre pays, mais les preuves électroniques sont stockées en ligne par des prestataires de services souvent implantés dans un pays autre que celui de l'enquêteur. Certaines données peuvent même être stockées en de multiples endroits.

Aujourd'hui, dans plus de la moitié des enquêtes, une demande transfrontière est présentée pour obtenir des preuves électroniques. Les preuves électroniques sont nécessaires dans près de 85 % des enquêtes pénales et, dans les deux tiers des cas, il y a lieu de demander les preuves auprès de prestataires de services en ligne implantés dans une autre juridiction. Le nombre de demandes adressées aux principaux prestataires de services en ligne a augmenté de 70 % entre 2013 et 2016 (voir le graphique).

Évolution du nombre de demandes des États membres adressées aux principaux fournisseurs de services (sur la base des rapports de transparence de Facebook, de Google, de Microsoft, de Twitter et d'Apple)

V1

À l'heure actuelle, les procédures de coopération entre autorités judiciaires permettant d'obtenir des preuves électroniques dans des situations transfrontières sont trop lentes par rapport à la rapidité avec laquelle les données électroniques peuvent être modifiées ou effacées. En outre, les autorités judiciaires ont du mal à faire face au nombre croissant d'affaires nécessitant une demande transfrontière pour obtenir des preuves électroniques. La longueur de ces procédures fait que les autorités peinent à conclure leurs enquêtes et à punir les criminels ou les terroristes. En conséquence, les victimes se sentent moins protégées et les citoyens se sentent moins en sécurité.

Qu'est-ce qui va changer avec les nouvelles règles?

La proposition de règlement relatif à l'injonction européenne de conservation et à l'injonction européenne de production introduit de nouvelles règles pour aider les autorités à recueillir et à obtenir des preuves électroniques stockées par des prestataires de services, quel que soit le lieu de stockage. Les règles s'appuieront sur le principe existant de reconnaissance mutuelle entre les États membres.

L'injonction européenne de production permettra à une autorité judiciaire d'un État membre de demander l'accès à des preuves électroniques (telles que des courriels, des textos ou SMS ou des messages échangés dans des applications) directement auprès du représentant légal d'un prestataire de services dans un autre État membre, qui sera tenu de répondre dans un délai de 10 jours, et dans les 6 heures en cas d'urgence (contre 120 jours pour la décision d'enquête européenne existante ou 10 mois pour une procédure d'entraide judiciaire).

L'injonction européenne de conservation permettra aux autorités judiciaires d'un État membre de contraindre un prestataire de services ou son représentant légal dans un autre État membre de l'UE à empêcher que des preuves électroniques soient effacées avant que la demande de les produire soit exécutée.

Les injonctions ne s'appliqueront qu'aux données stockées. La proposition ne couvre pas l'interception des télécommunications en temps réel.

La proposition de directive sur les représentants légaux vise à faire obligation aux prestataires de services de désigner un représentant légal dans l'Union, de manière à garantir que tous les prestataires proposant des services dans l'Union européenne sont soumis à des obligations identiques, même si leur siège est situé dans un pays tiers. Le représentant légal dans l'Union est chargé d'assurer la réception et le respect des décisions et des injonctions.

Quels types de données sont couverts par la proposition?

Les catégories de données qui peuvent être obtenues au moyen d'une injonction européenne de production sont, entre autres, les données relatives aux abonnés, les données d'accès et les données transactionnelles (soit les trois catégories communément appelées «données ne se rapportant pas au contenu»), et les données se rapportant au contenu.

Type de données

Définition

Règles d'accès

Données relatives aux abonnés

Éléments servant à identifier un abonné ou un client, tels que le nom, la date de naissance, l'adresse postale, les données de facturation et de paiement, le numéro de téléphone ou l'adresse électronique.

Un procureur/juge dans un pays A peut demander directement au prestataire de services ou à son représentant légal dans un pays B de fournir les preuves électroniques.

Si la demande émane de la police, un procureur ou un juge du pays A doit valider l'injonction avant qu'elle soit transmise au prestataire de services ou à son représentant légal.

Données d'accès

Éléments qui, d'eux-mêmes et par eux-mêmes, ne permettent pas d'identifier l'utilisateur, mais sont absolument nécessaires en tant que première étape vers l'identification. Il s'agit, entre autres, des données relatives à l'accès d'un utilisateur à un service, comme la date et l'heure de l'utilisation, de la connexion ou de la déconnexion du service ou l'adresse IP allouée par le prestataire de services.

Un procureur/juge dans un pays A peut demander directement au prestataire de services ou à son représentant légal dans un pays B de fournir les preuves électroniques.

Si la demande émane de la police, un procureur ou un juge du pays A doit valider l'injonction avant qu'elle soit transmise au prestataire de services ou à son représentant légal.

Données transactionnelles

Éléments relatifs à la prestation d'un service, comme la source et la destination d'un message, la localisation de l'appareil, la date, l'heure, la durée, la taille, le routage, le format et le protocole utilisé, ainsi que le type de compression.

Un juge dans un pays A peut demander directement au prestataire de services ou à son représentant légal dans un pays B de fournir les preuves électroniques.

Si la demande émane de la police ou d'un procureur, un juge du pays A doit valider l'injonction avant qu'elle soit transmise au prestataire de services ou à son représentant légal.

Données se rapportant au contenu

Données stockées sous un format numérique - notamment sous forme de texte, de voix, de document vidéo, d'image et de son -, autres que les données relatives aux abonnés, les données d'accès ou les données transactionnelles.

 

Un juge dans le pays A peut demander directement au prestataire de services ou à son représentant légal dans un pays B de fournir les preuves électroniques.

Si la demande émane de la police ou d'un procureur, un juge du pays A doit valider l'injonction avant qu'elle soit transmise au prestataire de services ou à son représentant légal.

Quelles procédures permettent actuellement d'obtenir des preuves électroniques dans une situation transfrontière?

À l'heure actuelle, pour obtenir des preuves électroniques, les autorités répressives et judiciaires font appel à la coopération en recourant, hors de l'Union européenne, à des procédures d'entraide judiciaire ou, au sein de l'Union européenne, à la décision d'enquête européenne. Toutefois, ces instruments de coopération judiciaire sont souvent trop lents et trop lourds pour obtenir des preuves électroniques, dont le transfert ou l'effacement ne demande qu'un clic de souris.

La coopération volontaire entre les services répressifs et les prestataires de services basés aux États-Unis s'est imposée en tant qu'autre manière d'obtenir des preuves électroniques. Cette forme de coopération est généralement plus rapide que l'entraide judiciaire, mais les prestataires de services ont différentes manières de traiter les demandes de divulgation de preuves électroniques et la procédure manque de transparence, de responsabilisation et de sécurité juridique.

 

G1

G2

G3

Quels garde-fous seront mis en place pour protéger les libertés et les droits fondamentaux?

La proposition prévoit des garde-fous solides pour garantir le respect de la vie privée, la protection des données et le droit au recours juridictionnel.

L'émission d'injonctions européennes de production ou de conservation ne sera possible que dans le cadre de procédures pénales. Tous les droits procéduraux existants dans le cadre des procédures pénales s'appliqueront, y compris la réglementation pertinente au niveau de l'UE, telle que le droit d'accès à un avocat et le droit d'accéder au dossier de l'affaire. La proposition établit l'obligation pour les autorités d'obtenir l'approbation de toutes les injonctions par une autorité judiciaire, ce qui permet de garantir que leur légalité, leur nécessité et leur proportionnalité ont été vérifiées.

Les injonctions de production concernant des données transactionnelles (source et destination d'un message, localisation de l'appareil) ou des données se rapportant au contenu (texte, voix, vidéos ou images) ne peuvent être émises que pour des infractions pénales passibles, dans l'État d'émission, d'une peine d'une durée maximale d'au moins trois ans ou pour des actes de cybercriminalité et des crimes liés au terrorisme particuliers, définis dans la proposition.

Les données à caractère personnel couvertes par la proposition sont protégées et ne peuvent être traitées que conformément au règlement général sur la protection des données et à la directive «police», qui entrent tous deux en vigueur en mai 2018.

Sera-t-il obligatoire pour les prestataires de services de produire des preuves électroniques?

Oui, l'injonction européenne de conservation et l'injonction européenne de production sont juridiquement contraignantes.

Cela améliorera la sécurité juridique par rapport à la coopération volontaire existante, qui est source de difficultés pour les prestataires de services qui cherchent à satisfaire les demandes des services répressifs. Cela donnera également aux autorités répressives et judiciaires une plus grande certitude d'obtenir les preuves électroniques dont elles ont besoin.

La proposition autorise les prestataires de services à demander des éclaircissements aux autorités émettrices s'il y a lieu et à s'opposer à l'exécution d'une injonction dans certaines situations. Par ailleurs, une procédure particulière a été mise en place en cas de conflit entre l'obligation de produire des données et une obligation concurrente découlant de la législation d'un pays tiers. Les prestataires de services peuvent soulever une objection fondée sur un tel conflit d'obligations, ce qui déclenche un contrôle juridictionnel.

Lorsque la législation du pays tiers protège des droits fondamentaux ou des intérêts fondamentaux pour le pays en question, le juge devrait normalement lever l'injonction après consultation des autorités du pays tiers. Lorsque la législation du pays tiers protège d'autres intérêts, le juge devra mettre en balance les intérêts en jeu. Dans les deux cas, les données devraient être conservées par le prestataire de services.

Sur quoi porte la proposition concernant les représentants légaux?

À l'heure actuelle, les États membres suivent des approches différentes en ce qui concerne les obligations imposées aux prestataires de services, en particulier dans les procédures pénales et dans le cas des prestataires de services qui n'ont pas d'établissement dans l'Union. Cette fragmentation crée une insécurité juridique pour les prestataires concernés et peut les soumettre à des obligations différentes (parfois contradictoires).

La proposition oblige les prestataires de services à désigner des représentants légaux dans l'Union pour faciliter la réception, le respect et l'exécution de titres exécutoires concernant la collecte de preuves électroniques au nom de ces prestataires de services.

Ainsi se trouve éliminée la nécessité d'approches nationales individualisées et la sécurité juridique est assurée au niveau de l'UE. En outre, une approche uniforme place sur un pied d'égalité toutes les entreprises proposant le même type de services dans l'UE, quel que soit leur lieu d'établissement. Par ailleurs, la liberté qu'ont les entreprises de choisir où elles souhaitent stocker les données n'est pas remise en cause.

Quels prestataires de services sont concernés par les propositions?

Les propositions législatives prévoient des obligations pour les prestataires fournissant des services qui sont utilisés à des fins de communication (notamment les prestataires de services de télécommunication et d'autres services de communication électronique, y compris les services de communication interpersonnelle). De plus, elles s'appliquent également aux prestataires de services de la société de l'information qui facilitent les interactions entre les utilisateurs et qui sont utilisés pour le stockage de données (notamment les sites de marché qui facilitent les transactions entre pairs et les prestataires de services en nuage) ainsi qu'aux prestataires de services d'infrastructure internet (notamment les registres qui assignent les noms de domaine et adresses IP, nécessaires au fonctionnement de l'internet).

La proposition de la Commission s'appliquerait à ces prestataires lorsqu'ils proposent des services dans l'Union européenne. Selon les propositions, un prestataire propose des services dans l'Union européenne lorsqu'il permet aux utilisateurs d'un ou de plusieurs États membres d'utiliser ses services et lorsqu'il a un lien substantiel avec l'Union, par exemple lorsqu'il possède un établissement dans un État membre ou lorsqu'il fournit des services à un grand nombre d'utilisateurs dans cet État membre.

Que se passera-t-il si les données sont stockées dans un pays non membre de l'UE?

Il importe de distinguer l'endroit où les données sont stockées et celui où le prestataire est implanté. Le prestataire de services pourrait être implanté dans un pays tiers et les données pourraient être stockées dans l'UE, voire dans l'État menant l'enquête. Or, dans le système actuel, les autorités judiciaires doivent adresser une demande, par voie d'entraide judiciaire, au prestataire de services dans le pays tiers. La proposition modifierait cela.

Le règlement ne considère pas le stockage des données comme le facteur déterminant pour établir la compétence, mais requiert que les données demandées soient 1) nécessaires dans une procédure pénale pour laquelle l'autorité émettrice est compétente et 2) liées aux services d'un prestataire proposant des services dans l'Union. Si tel est le cas, les données doivent être conservées et produites, quel que soit le lieu où elles sont stockées.

Si un prestataire de services est confronté à des obligations contradictoires découlant de la législation d'un pays non membre de l'UE lorsque des preuves sont demandées, la proposition prévoit une procédure d'examen pour clarifier la situation. En fin de compte, la décision de suspendre ou non la demande incombera à la juridiction nationale compétente.

Un prestataire de services qui stocke des données se rapportant à ses utilisateurs européens en dehors de l'UE, par exemple aux États-Unis, sera donc tenu de fournir des données aux autorités européennes si la demande lui en est faite au moyen d'une injonction européenne de production, sauf en cas de conflit avec la législation d'un pays tiers.

Pour en savoir plus

Communiqué de presse

Fiche d'information

MEMO/18/3345

Personnes de contact pour la presse:

Renseignements au public: Europe Direct par téléphone au 00 800 67 89 10 11 ou par courriel


Side Bar