La commission a adopté le rapport de Alexander Nuno ALVARO (ADLE, DE) modifiant la proposition en première lecture de la procédure de codécision:
- l’article 1 (objectif de la directive) est modifié de sorte à ce que puissent être conservées à des fins de recherche, de détection et de poursuite, mais pas de «prévention», de formes d'infractions graves, au motif qu’il s’agit d’un concept vague rendant les données conservées plus vulnérables aux abus. En outre, alors que la proposition donne simplement des exemples d’infractions graves («comme le terrorisme et la criminalité organisée»), la commission préfère renvoyer à la définition visée à l’article 2, paragraphe 2, du mandat d’arrêt européen;
- de nouvelles dispositions à l’article 1 précisent qu’un des objectifs de la directive doit être d'assurer que soient pleinement respectés les droits au respect de la vie privée et à la protection des données à caractère personnel lorsque ces données sont conservées. La présente directive s’applique uniquement aux données relatives au trafic et aux données de localisation, ainsi qu’aux données nécessaires pour identifier l'abonné ou l'utilisateur enregistré. Elle ne s’applique pas aux données «connexes»;
- les données conservées conformément à la présente directive ne sont transmises qu’aux autorités nationales compétentes à des fins de recherche, de détection et de poursuite des infractions pénales graves «après approbation des autorités judiciaires et des autres autorités compétentes conformément à la législation nationale»;
- deux nouveaux articles introduisent des dispositions régissant l’accès aux données conservées, à la protection des données et à la sécurité des données. Ces dispositions veillent notamment à garantir que l’accès aux données conservées ne soit autorisé qu’à des fins spécifiques, au cas par cas, et soit limité aux données nécessaires «pertinentes et proportionnées» dans le contexte d'une enquête spécifique. Il n'inclut pas «l'extraction à grande échelle de données concernant les profils de déplacements et de communications» de personnes non soupçonnées par les services nationaux compétents. Les données sont effacées dès qu'elles ne sont plus nécessaires et lorsqu’elles sont inexactes. Tout accès aux données est enregistré. Enfin, les autorités nationales ne peuvent transmettre ces données à des pays tiers (tels que les États-Unis) que par le biais d'un accord international conclu sur la base de l'article 300 du traité et seulement si l'approbation de cet accord par le Parlement européen a été obtenue;
- un autre nouvel article prévoit que les États membres imposent des sanctions effectives, proportionnées et dissuasives pour infractions aux dispositions nationales adoptées en vue de la mise en œuvre de la présente directive;
- Les députés européens veulent que toutes les données (c’est-à-dire la téléphonie et l’internet) soit conservées pour une période de 6 à 12 mois puis effacées, alors que la proposition prévoit simplement que les données pour la téléphonie soient conservées un an et pour l’internet 6 mois;
- la commission restructure la proposition de manière à placer l’annexe (liste des catégories de données à conserver) dans le corps principal du texte (à l’article 4);
- tout en soutenant l’enregistrement des données de localisation pour les conversations téléphoniques, les sms et les protocoles internet, les députés européens préfèrent laisser aux États membres la possibilité d'imposer aux entreprises de télécommunications une rétention des appels infructueux. Ils introduisent une nouvelle définition - «tentatives infructueuses de communication» - dans la directive;
- les entreprises de télécommunications obtiennent le remboursement des surcoûts qu’ils justifient avoir supportés pour s’acquitter des obligations leur incombant en vertu de la présente directive, y compris les investissement et les frais de fonctionnement, ainsi que des surcoûts de toute future modification de ladirective, alors que la proposition ne prévoit que le remboursement inclut les coûts «prouvés»;
- enfin, la directive est révisée après 2 ans, et tous les 3 ans par la suite, en accordant une attention particulière sur les types de données conservées et les périodes de rétention.