N° 128
______
SÉNAT
SESSION ORDINAIRE DE 2004-2005
Annexe au procès-verbal de la séance du 16 décembre 2004
PROPOSITION DE
RÉSOLUTION
présentée au nom de la délégation pour l'Union européenne (1) en application de l'article 73 bis du Règlement, sur le projet de décision-cadre sur la rétention de données traitées et stockées en rapport avec la fourniture de services de communications électroniques accessibles au public ou de données transmises via des réseaux de communications publics , aux fins de la prévention , la recherche , la détection , la poursuite des délits et d' infractions pénales , y compris du terrorisme (E 2616),
Par M. Alex TÜRK,
Sénateur.
(Renvoyée à la commission des Lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale, sous réserve de la constitution éventuelle d'une commission spéciale dans les conditions prévues par le Règlement.)
(1) Cette délégation est composée de : M. Hubert Haenel, président ; MM. Denis Badré, Jean Bizet, Jacques Blanc, Jean François-Poncet, Bernard Frimat, Simon Sutour, vice-présidents ; MM. Robert Bret, Aymeri de Montesquiou, secrétaires ; MM. Robert Badinter, Jean-Michel Baylet, Yannick Bodin, Didier Boulaud, Mme Alima Boumediene-Thiery, MM. Louis de Broissia, Gérard César, Christian Cointat, Robert Del Picchia, Marcel Deneux, André Dulait, Pierre Fauchon, André Ferrand, Yann Gaillard, Paul Girod, Mmes Marie-Thérèse Hermange, MM. Serge Lagauche, Gérard Le Cam, Louis Le Pensec, Mmes Colette Melot, Monique Papon, MM. Yves Pozzo di Borgo, Mme Catherine Tasca, MM. Alex Turk, Serge Vinçon.
Union européenne.
EXPOSÉ DES MOTIFS
Mesdames, Messieurs
Ce projet de décision cadre, qui est soumis au Sénat au titre de l'article 88-4 de la Constitution, ne résulte pas d'une initiative de la Commission européenne, mais de quatre États membres : la France, le Royaume-Uni, l'Irlande et la Suède. Dans le cadre de la coopération policière et de la coopération judiciaire en matière pénale (le « troisième pilier »), la Commission européenne ne dispose pas, en effet, du monopole de l'initiative, car le droit d'initiative est partagé entre la Commission européenne et les États membres.
Ce projet répond à l'une des priorités dégagées par les chefs d'État et de gouvernement de l'Union européenne dans leur déclaration du 25 mars 2004 sur la lutte contre le terrorisme, adoptée quelques jours après les attentats de Madrid. Il a toutefois un objectif plus large que la lutte contre le terrorisme, puisqu'il vise, plus globalement, à faciliter « la recherche, la détection et la poursuite d'infractions pénales ». Pour cela il prévoit d' harmoniser les législations des États membres relatives à la conservation, par les opérateurs économiques, de données stockées et traitées dans le cadre de la fourniture de services de télécommunication . Ces données peuvent être acheminées via le téléphone (fixe ou portable), les services de messages courts (SMS), les services de médias électroniques (EMS), les services de messagerie multimédias (MMS) ou encore par Internet (courrier électronique, web, etc.).
Cette initiative ne porte pas sur le contenu des communications, qui est protégé par le secret des correspondances, mais sur les données de trafic permettant d'identifier les interlocuteurs, leur localisation et la durée de leur communication, ce que l'on peut résumer par la formule suivante : « qui a procédé à une communication, avec qui, où, quand et comment ? ».
En pratique, l'exploitation des « données de trafic » représente souvent pour les magistrats et les policiers une « plus-value » essentielle pour faciliter leurs enquêtes sur les infractions les plus graves comme le terrorisme, le trafic de stupéfiants, la traite des êtres humains ou encore la pédopornographie sur Internet. L'enquête sur les attentats terroristes de Madrid a démontré, en particulier, l'utilité de la conservation des données de trafic de communication, pour identifier les auteurs d'actes de terrorisme et démanteler les réseaux.
En France, la loi du 15 novembre 2001 relative à la sécurité quotidienne, complétée par la loi du 18 mars 2003 relative à la sécurité intérieure, a introduit, dans le Code des postes et des télécommunications électroniques, un article L 34-1, qui prévoit la conservation par les opérateurs des données de connexion. Ces données peuvent ensuite être mises à la disposition de la justice par le biais de réquisitions. L'article L 34-1 renvoie à un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés (CNIL), le soin de déterminer les catégories de données concernées, ainsi que la durée de leur conservation. Ce décret est en cours d'élaboration.
De nombreux États membres ont introduit un dispositif similaire dans leur droit national. Toutefois, la teneur de ces législations varie considérablement quant aux délais de conservations de ces données et quant à la nature des données conservées par les opérateurs. Par ailleurs, certains États membres, notamment d'Europe Centrale et Orientale mais aussi l'Allemagne, ne disposent pas d'une législation comparable.
Or, cette situation constitue une entrave à une coopération judiciaire et policière efficace à l'échelle européenne. C'est là que réside la principale valeur ajoutée de cette initiative pour les services judiciaires et de police des États membres.
Même si ce texte fait l'objet de négociations au sein du Conseil depuis déjà plusieurs semaines, il se situe encore au début du processus législatif. En outre, plusieurs États membres n'ont pas encore pris de position sur ce texte, comme d'ailleurs la Commission européenne et le Parlement européen.
A ce stade, il ne paraît donc pas nécessaire d'entrer dans le détail de ce projet, mais de s'en tenir à quelques observations d'ordre général . Au-delà de ses nombreuses difficultés techniques, cette initiative paraît, en effet, soulever trois questions de principe .
1. La première question de principe porte sur le champ d'application de l'instrument, c'est-à-dire la nature des données conservées .
Cette question a opposé, dès le début des négociations, deux groupes d'États membres.
Certains États, comme l'Allemagne et plusieurs pays d'Europe centrale et orientale, ont souhaité s'en tenir aux données d'ores et déjà stockées par les fournisseurs de services pour les besoins de l'entreprise (facturation ou autres fins commerciales). Cette option présente l'avantage de la simplicité et d'un coût limité pour les opérateurs.
À l'inverse, d'autres États membres, comme la France, ont souhaité retenir un champ d'application plus large, qui s'appliquerait à l'ensemble des données nécessaires aux enquêtes. Ces États font valoir que les données actuellement stockées varient selon les opérateurs et que l'efficacité des enquêtes ne peut dépendre de décisions prises par les opérateurs privés pour des raisons commerciales.
Cette question a été au centre des discussions du Conseil « Justice et Affaires intérieures » du 2 décembre dernier. En définitive, lors de ce Conseil, une nette majorité des représentants des États membres a estimé préférable de retenir un champ d'application large qui ne serait pas limité aux seules données déjà stockées par les opérateurs de télécommunication .
A ce stade, il ne paraît donc pas nécessaire d'intervenir plus avant sur ce point .
2. La deuxième interrogation porte sur le coût de la conservation de ces données pour les opérateurs et la nature de leur indemnisation.
Le fait de contraindre les opérateurs de télécommunication à conserver des données de trafic pendant une période plus ou moins longue se traduira par un coût supplémentaire pour ces opérateurs. Cela d'autant plus si l'on les oblige à conserver des données qu'ils ne stockent pas actuellement. À cet égard, ce n'est pas tant le stockage lui-même de ces données qui pose problème (puisqu'il suffit de stocker ces données sur un disque dur), mais plutôt le traitement de ces données par un personnel qualifié.
Or, le projet qui est soumis à notre examen est muet sur la question de l'indemnisation des opérateurs . Ainsi, la question de l'indemnisation des opérateurs serait laissée à la discrétion des États. Or, cela pourrait être source de distorsion de concurrence entre les opérateurs de télécommunication au sein de l'Union européenne. En effet, certains États membres ne prévoient pas d'indemnisation des opérateurs pour la conservation des données, tandis que, dans d'autres États, les régimes sont très différents. Dans le cas de la France, le projet de décret prévoit que les opérateurs seront indemnisés par l'État des frais liés à la conservation des données sur la base des tarifs applicables aux réquisitions judiciaires. Ce surcoût est estimé à plus de dix millions d'euros par année pour les opérateurs et à quatre millions d'euros par an pour le budget de l'État.
Il serait donc utile que la Commission européenne procède à une évaluation du surcoût de la conservation des données de trafic pour les fournisseurs de services et à une étude sur les différentes possibilités concernant le régime d'indemnisation de ces opérateurs pour les surcoûts occasionnés .
3. Enfin, la troisième difficulté porte sur la durée de conservation des données.
L'harmonisation de la durée de conservation des données de trafic constitue la disposition centrale du projet de décision cadre . En effet, la durée de conservation de ces données varie considérablement entre les États membres, comme il ressort des réponses au questionnaire adressé par la Commission européenne sur ce texte.
Ainsi, certains États, comme l'Italie, ont retenu dans leur législation une durée assez longue de conservation des données pouvant aller jusqu'à quatre années pour la téléphonie, alors que d'autres États, comme les Pays-Bas, ont fixé une durée maximale de trois mois.
La France se situe dans une position intermédiaire puisque la loi relative à la sécurité intérieure a fixé une durée maximale d'un an pour la conservation des données pour les besoins des enquêtes pénales.
Selon les policiers et les magistrats, un délai de conservation d'une année constitue une nécessité absolue pour améliorer l'efficacité des enquêtes relatives aux infractions les plus graves, qui supposent le plus souvent des investigations longues et complexes, en particulier pour les affaires transfrontalières.
Le projet de décision-cadre prévoit une durée minimale d'un an de conservation des données, tout en laissant la possibilité pour les États membres de prévoir des dérogations pour retenir des durées de conservations plus courtes en ce qui concerne les données transmises via les services de messagerie ou par Internet, à l'exception de la téléphonie. La durée minimale de conservation des données correspond donc à la durée maximale autorisée par la législation française.
Le projet prévoyait également, dans sa version initiale, une durée maximale de trois ans de conservation de ces données , tout en laissant la possibilité pour les États membres de fixer des périodes de rétention plus longues « pour autant qu'une rétention plus longue constitue une mesure nécessaire, appropriée et proportionnée dans une société démocratique » (article 4 du projet).
Or, les négociations au sein du Conseil ont abouti à supprimer dans ce texte toute référence à une durée maximale de conservation des données . En l'état, le projet ne prévoit qu'une durée minimale de rétention des données de trafic, fixée à un an, mais il ne prévoit plus de durée maximale de conservation de ces données. Ainsi, rien n'obligerait un État à prévoir une durée de conservation supérieure à une année. Mais rien ne s'opposerait non plus à ce qu'un État retienne une durée de dix ans ou de quinze ans pour la conservation de ces données.
Il y a là une difficulté de fond .
Pour le groupe, dit « de l'article 29 », qui regroupe au niveau européen les autorités chargées de la protection des données dans les différents États membres (comme la CNIL en France), imposer aux opérateurs de conserver des données de trafic constitue une dérogation sans précédent au principe de finalité.
Il convient de rappeler que, d'après le principe de finalité, qui est un principe essentiel en matière de protection des données personnelles, une donnée ne peut être utilisée à d'autres fins que celle pour laquelle elle a été communiquée . On peut déroger au principe de finalité, mais cela suppose de retenir une durée de conservation courte, conformément au principe de proportionnalité .
Cette position a été rappelée dans l'avis rendu sur ce texte par le groupe sur la protection des données le 9 novembre dernier. D'après cet avis, « les citoyens exécutent de plus en plus quotidiennement des activités et des opérations faisant appel aux réseaux et services de communications électroniques. Les données engendrées par ces communications (...) reflètent donc aussi un large éventail de détails concernant la façon dont les citoyens mènent leur vie quotidienne. (...) La conservation systématique de toutes sortes de données de trafic pendant une période d'une année ou plus serait manifestement démesurée et par voie de conséquence inacceptable ».
Une véritable harmonisation européenne ne devrait donc pas seulement consister à fixer - dans un but d'efficacité - une durée minimale de conservation des données de trafic, mais devrait également prévoir - dans un souci de sauvegarde des libertés publiques - une durée maximale .
*
Pour ces raisons, votre délégation pour l'Union européenne a conclu au dépôt de la proposition de résolution qui suit :
PROPOSITION DE RÉSOLUTION
Le Sénat,
Vu l'article 88-4 de la Constitution,
Vu le projet de décision-cadre sur la rétention de données traitées et stockées en rapport avec la fourniture de services de communications électroniques accessibles au public ou de données transmises via des réseaux de communications publics, aux fins de la prévention, la recherche, la détection, la poursuite de délits et d'infractions pénales, y compris du terrorisme (texte E 2616) ;
Approuve le principe d'une harmonisation européenne en matière de conservation, par les opérateurs économiques, des données stockées et traitées dans le cadre de la fourniture de services de télécommunication, mais considère que le projet ne permet pas, dans sa version actuelle, de répondre à cet objectif et de concilier le besoin d'efficacité des enquêtes et la protection des droits individuels ;
Juge indispensable que le texte prévoie une durée maximale de conservation des données et demande, par conséquent, au gouvernement d'oeuvrer au sein du Conseil en ce sens ;
Invite, en outre, le gouvernement à demander à la Commission européenne de procéder à une évaluation du surcoût de la conservation des données de trafic pour les fournisseurs de services et à une étude sur les différentes possibilités concernant le régime d'indemnisation de ces opérateurs.