Avis du Contrôleur européen de la protection des données sur la proposition de directive du Parlement européen et du Conseil relative à l’exploitation et aux abus sexuels concernant des enfants et à la pédopornographie, abrogeant la décision-cadre 2004/68/JAI.
Rappel : le 29 mars 2010, la Commission a adopté une proposition de directive du Parlement européen et du Conseil relative à l’exploitation et aux abus sexuels concernant des enfants et à la pédopornographie, abrogeant la décision-cadre 2004/68/JAI. Celle-ci vise à abroger une décision-cadre adoptée le 22 décembre 2003, au motif que celle-ci présente un certain nombre de lacunes. Le nouveau texte améliorerait la lutte contre les abus concernant des enfants sous les aspects suivants: érection en infractions pénales des formes graves d’abus concernant des enfants, comme le tourisme sexuel impliquant des enfants; protection des enfants non accompagnés; enquêtes pénales et coordination des poursuites pénales; nouvelles infractions pénales dans l’environnement des technologies de l’information; protection des victimes; prévention des infractions.
En ce qui concerne la prévention des infractions, cet objectif serait notamment réalisé par la limitation de l’accès à la pédopornographie sur l’internet.
Le Contrôleur européen de la protection des données (CEPD) a pris acte du principal objectif de la proposition. Il n’entend pas remettre en cause la nécessité de mettre en place un meilleur cadre prévoyant des mesures adéquates pour protéger les enfants contre les abus. Il tient toutefois à mettre en évidence l’incidence de certaines des mesures envisagées dans la proposition, notamment le blocage de sites web et la mise en place de lignes directes, sur les droits fondamentaux au respect de la vie privée et à la protection des données des différentes personnes concernées. C’est pourquoi, il a décidé d’émettre le présent avis de sa propre initiative.
Analyse de la proposition :
Deux aspects de la proposition, qui ne sont pas spécifiques à la lutte contre les abus concernant des enfants mais à toute initiative visant la collaboration du secteur privé à des fins de répression, soulèvent des questions en matière de protection des données. Ils peuvent être décrits comme suit:
1) le rôle des fournisseurs d’accès à l’internet dans le blocage de sites web : la proposition envisage deux solutions possibles pour bloquer l’accès, depuis le territoire de l’Union, aux pages internet dont il a été établi qu’elles contenaient ou diffusaient des contenus pédopornographiques: soit des systèmes permettant aux autorités judiciaires ou policières compétentes d’ordonner un tel blocage, soit le blocage volontaire par les fournisseurs d’accès sur la base de codes de bonne conduite ou de lignes directrices. Le CEPD s’interroge sur les critères et les conditions devant donner lieu à une décision de blocage: alors qu’il pourrait approuver les mesures prises par les autorités judiciaires ou policières dans un cadre juridique bien défini, il a des doutes sérieux quant à la sécurité juridique d’un blocage opéré par des parties privées. Le CEPD s’interroge surtout sur les types de contrôle de l’internet susceptibles de conduire à un tel blocage. Cela peut en effet supposer différentes activités, notamment l’exploration de l’internet, le recensement des sites web illicites ou suspects et le blocage de l’accès des utilisateurs finaux, mais aussi le contrôle du comportement en ligne des utilisateurs qui cherchent à accéder à ce type de contenus ou à les télécharger. Ces activités de surveillance ne sont pas sans conséquences sur le plan de la protection des données, puisqu’elles supposent le traitement des données à caractère personnel de différents types de personnes, qu’il s’agisse de victimes, de témoins, d’utilisateurs ou de fournisseurs de contenus.
Dans ce contexte, le CEPD :
Le CEPD a déjà fait observer à plusieurs reprises que la surveillance des comportements des internautes et la collecte de leur adresse IP équivalent à une interférence dans leur droit au respect de la vie privée et de leur correspondance. Compte tenu de cette interférence, des dispositions plus appropriées sont nécessaires pour garantir que la surveillance ou le blocage ne seront exercés que de manière strictement ciblée et sous contrôle judiciaire, et que des mesures de sécurité appropriées empêchent toute utilisation abusive de ce mécanisme.
2) la mise en place d’un réseau de lignes directes : le réseau de lignes directes de la proposition est prévu par le programme pour un internet plus sûr. L’une des observations du CEPD concerne précisément les conditions selon lesquelles les informations seraient collectées, centralisées et échangées: il est nécessaire de définir précisément la notion de contenu illicite ou préjudiciable, les personnes habilitées à collecter et conserver des informations, ainsi que les conditions dans lesquelles elles y sont autorisées. Cela est particulièrement important compte tenu des conséquences d’un signalement: les données à caractère personnel en jeu sont non seulement celles des enfants, mais aussi celles de l’ensemble des personnes liées d’une manière ou d’une autre aux informations circulant sur le réseau, par exemple les informations concernant une personne soupçonnée de comportement préjudiciable, qu’il s’agisse d’un internaute ou d’un fournisseur de contenus, mais aussi celles concernant une personne signalant un contenu suspect ou la victime de l’abus.
Par ailleurs, les informations recueillies par les lignes directes seront très probablement utilisées à des fins de poursuites judiciaires. S’agissant des exigences de qualité et d’intégrité, il conviendrait de mettre en œuvre des mesures supplémentaires afin de garantir que ces informations, considérées comme des preuves numériques, ont été dûment recueillies et conservées et qu’elles seront donc recevables en justice. Les garanties liées à la supervision du système, qui doit en principe être assurée par les autorités répressives, sont des éléments incontournables. La transparence et la mise à disposition de possibilités de recours devant une instance indépendante sont d’autres éléments essentiels à intégrer dans un tel mécanisme.
Conclusion : bien qu’il n’y ait pas lieu de s’opposer à la mise en place d’un cadre solide et efficace pour lutter contre l’exploitation et les abus sexuels concernant des enfants et la pédopornographie, le CEPD insiste sur la nécessité de garantir la sécurité juridique en ce qui concerne toutes les parties concernées, y compris les fournisseurs d’accès à l’internet et les personnes utilisant le réseau. Le CEDP se réjouit que la proposition mentionne la nécessité de prendre en compte les droits fondamentaux des utilisateurs finaux mais estime que cela n’est pas suffisant. Il conviendrait d’y ajouter l’obligation pour les États membres de veiller à la mise en place de procédures harmonisées, claires et détaillées dans le cadre de la lutte contre les contenus illicites, et ce sous la supervision d’autorités publiques indépendantes.