Communications électroniques: données personnelles, protection de la vie privée et accès aux données relatives au trafic à des fins antiterroristes

2005/0182(COD)

Avis du Contrôleur européen de la protection des données sur le rapport d’évaluation de la Commission au Conseil et au Parlement européen concernant la directive sur la conservation des données (directive 2006/24/CE)

Le CEPD rappelle que la Commission a présenté le 18 avril 2011 un rapport d’évaluation concernant la directive sur la conservation des données, envoyé à titre d’information au Contrôleur à cette même date.

Il rappelle également que la directive sur la conservation des données constituait une réponse de l’UE à des défis de sécurité urgents, après les attentats terroristes de Madrid en 2004 et de Londres en 2005. Malgré la finalité légitime de la mise en place d’un système de conservation des données, des voix se sont élevées contre l'impact considérable que la mesure pouvait avoir sur la vie privée des citoyens.

Depuis 2005, le CEPD suit de près la création, la mise en œuvre et l’évaluation de la directive de différentes manières. Le CEPD a rendu un avis critique en 2005, après la publication de la proposition par la Commission.

De manière générale, le Contrôleur estime que la directive sur la conservation des données constitue un exemple frappant d’une mesure de l’UE visant à assurer la disponibilité pour des activités répressives des données générées et traitées dans le contexte des communications électroniques. Maintenant que la mesure est en place depuis plusieurs années, une évaluation de son application pratique devrait véritablement prouver la nécessité et la proportionnalité de la mesure à la lumière des droits au respect de la vie privée et de la protection des données à caractère personnel.

Le CEPD estime que la procédure d’évaluation actuelle devrait être utilisée pour guider l’évaluation d’autres instruments de l’UE et pour assurer que seules les mesures véritablement justifiées restent en place. Il présente dès lors son avis en cherchant à analyser la directive afin de déterminer si la conservation des données satisfait aux exigences du respect des droits fondamentaux. L’analyse tentera également de déterminer si la nécessité de la conservation des données telle qu’arrêtée par la directive, a été suffisamment démontrée.

L’avis présente le contenu principal de la directive sur la conservation des données et son lien avec la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. Il expose également les changements apportés par le traité de Lisbonne, contient l’analyse de la validité de la directive sur la conservation des données, à la lumière des droits à la vie privée et à la protection des données à caractère personnel et présente les éventuelles pistes à suivre.

La directive ne répond pas aux exigences : le rapport d’évaluation met en évidence plusieurs faiblesses de la présente directive. Les informations fournies dans le rapport montrent que la directive n’a pas réussi à atteindre son objectif principal, à savoir harmoniser les législations nationales en matière de conservation des données. La Commission note des différences «sensibles» entre les mesures de transposition régissant la limitation des finalités, l'accès aux données, les durées de conservation, la protection et la sécurité des données, et les statistiques. Un tel manque d’harmonisation ne peut qu’être préjudiciable à toutes les parties concernées: les citoyens, les chefs d’entreprise ainsi que les autorités répressives.

Sur la base du rapport d’évaluation, la directive ne satisfait pas aux exigences établies par les droits à la vie privée et à la protection des données à caractère personnel, pour les motifs suivants:

  • la nécessité de la conservation des données telle qu’arrêtée par la directive sur la conservation des données n’a pas été suffisamment démontrée ;
  • la conservation des données aurait pu être réglementée d’une manière moins intrusive dans la vie privée ;
  • la directive sur la conservation des données manque de prévisibilité.

Dans ce contexte, le CEPD appelle la Commission à envisager sérieusement la possibilité d’abroger purement et simplement la directive, de façon exclusive ou combinée avec une proposition de mesure alternative de l’UE plus ciblée.

Nécessité : le CEPD estime que la Commission aurait dû être plus critique à l’égard des États membres pour qu’ils produisent des éléments suffisants démontrant la nécessité de la mesure. Les déclarations politiques de certains États membres sur la nécessité d’une telle mesure ne peuvent justifier à elles seules une action de l’UE.

Constatant que sous sa forme actuelle, la directive ne pouvait être maintenue, le CEPD affirme qu’avant de proposer une version révisée de la directive:

  • la Commission devait, durant l’étude d’impact, s’atteler à collecter des preuves pratiques supplémentaires auprès des États membres afin de démontrer la nécessité de la conservation des données en tant que mesure au titre du droit de l’UE;
  • si une majorité des États membres considère la conservation des données comme étant nécessaire, ces États membres doivent tous fournir des preuves quantitatives et qualitatives pour le démontrer;
  • les États membres qui s’opposent à une mesure de conservation des données doivent fournir à la Commission les informations pertinentes pour permettre une évaluation plus large de la question.

Il convient de souligner que l’évaluation de la nécessité et l’examen des moyens alternatifs moins intrusifs dans la vie privée ne peuvent être menés équitablement que si toutes les options pour l’avenir de la directive sont laissées ouvertes. À cet égard, la Commission semble exclure la possibilité d’abroger purement et simplement la directive. Le CEPD appelle donc la Commission à considérer sérieusement cette option dans l’étude d’impact qu’elle présentera pour réviser la présente directive. Le CEPD estime par ailleurs que toute future directive sur la conservation des données ne pourra être envisagée que si tout le monde s’accorde sur la nécessité d’une réglementation de l’UE du point de vue du marché interne et de la coopération policière et judiciaire en matière pénale et si, durant l’étude d’impact, la nécessité de la conservation des données, encouragée et réglementée par l’UE, peut être suffisamment démontrée, avec un examen minutieux des mesures alternatives. Il ne nie toutefois pas la valeur des données conservées à des fins de répression ni le rôle capital qu’elles peuvent jouer dans des cas spécifiques.

Directive sur la vie privéeet les communications électroniques : conformément à l’article 15 par 1 de cette directive, il est possible pour les États membres de prendre des mesures législatives pour limiter la portée des obligations prévues lorsqu’il s’agit d’une mesure «nécessaire, appropriée et proportionnée, au sein d'une société démocratique, pour des raisons spécifiques d'ordre public, à savoir pour sauvegarder la sécurité nationale (c'est-à-dire la sûreté de l'État), la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d'infractions pénales […]». La question de la conservation des données est explicitement mentionnée à cet article. Or, de nombreux États membres ont utilisés les données conservées à d’autres finalités, ce qui, pour le CEPD, laisse entrevoir une forme de «vide juridique» dans ce domaine.

La conservation des données va au-delà de ce qui est nécessaire : il ressort de l’analyse du CEPD que la directive sur la conservation des données a réglementé la conservation des données bien au-delà de ce qui était nécessaire, ou, tout au moins, qu’elle a été incapable de garantir que la conservation des données n’avait pas été appliquée de manière abusive. Le CEPD affirme ainsi que :

  • la finalité imprécise de la mesure et la notion plutôt large des «autorités nationales compétentes» a donné lieu à une utilisation des données conservées à des fins, et par des autorités, bien trop nombreuses ;
  • la période de conservation maximale de 2 ans semble aller au-delà de ce qui est nécessaire. Les informations statistiques de certains États membres montrent qu’une grande majorité des demandes d’accès portent sur des données d’une ancienneté de 6 mois maximum. En outre, l’absence d’une période de conservation fixée pour l’ensemble des États membres a créé toute une série de législations nationales divergentes ;
  • le niveau de sécurité n’est pas suffisamment harmonisé et donc une consultation plus large et un examen plus concret des cas d’abus s’avèrent nécessaires ;
  • l’évaluation ne permet pas de déterminer si toutes les catégories de données conservées se sont avérées nécessaires (seules quelques distinctions générales sont établies entre données téléphoniques et internet).

Exigences minimales d’un futur instrument : pour le CEPD, toute future directive sur la conservation des données devra satisfaire aux exigences fondamentales suivantes:

  • il doit être global et véritablement harmoniser les règles sur l’obligation de conservation des données, ainsi que sur l’accès et l’utilisation ultérieure des données par les autorités compétentes;
  • il doit être exhaustif, ce qui signifie qu’il doit avoir une finalité claire et précise, et que le vide juridique existant à l’article 15, paragraphe 1, de la directive sur la vie privé et les communications électroniques doit être comblé;
  • il doit être proportionnel et ne pas aller au-delà de ce qui est nécessaire.