Avis du Contrôleur européen de la protection des données sur le rapport d’évaluation de la Commission au Conseil et au Parlement européen concernant la directive sur la conservation des données (directive 2006/24/CE)
Le CEPD rappelle que la Commission a présenté le 18 avril 2011 un rapport d’évaluation concernant la directive sur la conservation des données, envoyé à titre d’information au Contrôleur à cette même date.
Il rappelle également que la directive sur la conservation des données constituait une réponse de l’UE à des défis de sécurité urgents, après les attentats terroristes de Madrid en 2004 et de Londres en 2005. Malgré la finalité légitime de la mise en place d’un système de conservation des données, des voix se sont élevées contre l'impact considérable que la mesure pouvait avoir sur la vie privée des citoyens.
Depuis 2005, le CEPD suit de près la création, la mise en œuvre et l’évaluation de la directive de différentes manières. Le CEPD a rendu un avis critique en 2005, après la publication de la proposition par la Commission.
De manière générale, le Contrôleur estime que la directive sur la conservation des données constitue un exemple frappant d’une mesure de l’UE visant à assurer la disponibilité pour des activités répressives des données générées et traitées dans le contexte des communications électroniques. Maintenant que la mesure est en place depuis plusieurs années, une évaluation de son application pratique devrait véritablement prouver la nécessité et la proportionnalité de la mesure à la lumière des droits au respect de la vie privée et de la protection des données à caractère personnel.
Le CEPD estime que la procédure d’évaluation actuelle devrait être utilisée pour guider l’évaluation d’autres instruments de l’UE et pour assurer que seules les mesures véritablement justifiées restent en place. Il présente dès lors son avis en cherchant à analyser la directive afin de déterminer si la conservation des données satisfait aux exigences du respect des droits fondamentaux. L’analyse tentera également de déterminer si la nécessité de la conservation des données telle qu’arrêtée par la directive, a été suffisamment démontrée.
L’avis présente le contenu principal de la directive sur la conservation des données et son lien avec la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. Il expose également les changements apportés par le traité de Lisbonne, contient l’analyse de la validité de la directive sur la conservation des données, à la lumière des droits à la vie privée et à la protection des données à caractère personnel et présente les éventuelles pistes à suivre.
La directive ne répond pas aux exigences : le rapport d’évaluation met en évidence plusieurs faiblesses de la présente directive. Les informations fournies dans le rapport montrent que la directive n’a pas réussi à atteindre son objectif principal, à savoir harmoniser les législations nationales en matière de conservation des données. La Commission note des différences «sensibles» entre les mesures de transposition régissant la limitation des finalités, l'accès aux données, les durées de conservation, la protection et la sécurité des données, et les statistiques. Un tel manque d’harmonisation ne peut qu’être préjudiciable à toutes les parties concernées: les citoyens, les chefs d’entreprise ainsi que les autorités répressives.
Sur la base du rapport d’évaluation, la directive ne satisfait pas aux exigences établies par les droits à la vie privée et à la protection des données à caractère personnel, pour les motifs suivants:
Dans ce contexte, le CEPD appelle la Commission à envisager sérieusement la possibilité d’abroger purement et simplement la directive, de façon exclusive ou combinée avec une proposition de mesure alternative de l’UE plus ciblée.
Nécessité : le CEPD estime que la Commission aurait dû être plus critique à l’égard des États membres pour qu’ils produisent des éléments suffisants démontrant la nécessité de la mesure. Les déclarations politiques de certains États membres sur la nécessité d’une telle mesure ne peuvent justifier à elles seules une action de l’UE.
Constatant que sous sa forme actuelle, la directive ne pouvait être maintenue, le CEPD affirme qu’avant de proposer une version révisée de la directive:
Il convient de souligner que l’évaluation de la nécessité et l’examen des moyens alternatifs moins intrusifs dans la vie privée ne peuvent être menés équitablement que si toutes les options pour l’avenir de la directive sont laissées ouvertes. À cet égard, la Commission semble exclure la possibilité d’abroger purement et simplement la directive. Le CEPD appelle donc la Commission à considérer sérieusement cette option dans l’étude d’impact qu’elle présentera pour réviser la présente directive. Le CEPD estime par ailleurs que toute future directive sur la conservation des données ne pourra être envisagée que si tout le monde s’accorde sur la nécessité d’une réglementation de l’UE du point de vue du marché interne et de la coopération policière et judiciaire en matière pénale et si, durant l’étude d’impact, la nécessité de la conservation des données, encouragée et réglementée par l’UE, peut être suffisamment démontrée, avec un examen minutieux des mesures alternatives. Il ne nie toutefois pas la valeur des données conservées à des fins de répression ni le rôle capital qu’elles peuvent jouer dans des cas spécifiques.
Directive sur la vie privéeet les communications électroniques : conformément à l’article 15 par 1 de cette directive, il est possible pour les États membres de prendre des mesures législatives pour limiter la portée des obligations prévues lorsqu’il s’agit d’une mesure «nécessaire, appropriée et proportionnée, au sein d'une société démocratique, pour des raisons spécifiques d'ordre public, à savoir pour sauvegarder la sécurité nationale (c'est-à-dire la sûreté de l'État), la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d'infractions pénales […]». La question de la conservation des données est explicitement mentionnée à cet article. Or, de nombreux États membres ont utilisés les données conservées à d’autres finalités, ce qui, pour le CEPD, laisse entrevoir une forme de «vide juridique» dans ce domaine.
La conservation des données va au-delà de ce qui est nécessaire : il ressort de l’analyse du CEPD que la directive sur la conservation des données a réglementé la conservation des données bien au-delà de ce qui était nécessaire, ou, tout au moins, qu’elle a été incapable de garantir que la conservation des données n’avait pas été appliquée de manière abusive. Le CEPD affirme ainsi que :
Exigences minimales d’un futur instrument : pour le CEPD, toute future directive sur la conservation des données devra satisfaire aux exigences fondamentales suivantes: