Retour aux articles

Preuves électroniques en matière pénale : le point sur les derniers travaux du Parlement européen

Pénal - Procédure pénale
09/05/2019
Présenté par la Commission européenne le 17 avril 2018, le règlement relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale, est actuellement en cours d’examen au Parlement européen. Focus sur les deux derniers documents de travail publiés, relatifs à l’exécution d'injonctions européennes de production et de conservation de preuves électroniques et aux garanties et recours.
La proposition de règlement relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale vise à adapter les mécanismes de coopération judiciaire au contexte numérique, pour répondre au caractère à la fois volatile et international de ce type de preuve.
 
Ce que prévoit cette proposition de règlement
En pratique, cette proposition de règlement institue des injonctions européennes de production et de conservation de preuves électroniques en cas de délit en ligne de dimension transfrontière. Sont concernées, les échanges sur les réseaux sociaux, les messageries électroniques ou les applications sur Internet et ce, uniquement dans le cadre de procédures pénales. Ces services peuvent en effet être utilisés pour organiser ou faciliter des actes criminels. Ils constituent alors la seule source d’indices permettant aux enquêteurs d’identifier l'auteur d’un crime et d’obtenir des preuves invocables devant les juridictions.

Ce règlement permet donc aux autorités des États membres d’accéder à des données susceptibles de servir de preuves et qui sont stockées à l’extérieur de leurs frontières et/ou par des fournisseurs de services établis dans d’autres États membres ou dans des pays tiers.
 
Dans le système prévu par la Commission européenne, une autorité judiciaire (un tribunal, pour les données relatives aux transactions et au contenu et le procureur, pour les données portant sur les abonnés et les accès ; v. Parlement européen, 2e doc. de travail sur la proposition de règlement relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale (2018/0108 (COD)) – champ d’application et relation avec d’autres instruments, 6 févr. 2019) peut directement demander à un fournisseur de services, ou à son représentant légal dans l’Union européenne, des données, sur le fondement d’une injonction de production (EPOC) et de conservation (EPOC-PR) de preuves électronique.
 
Mais cette facilitation d’accès aux preuves numériques s’accompagne de solides mécanismes de
protection des droits fondamentaux, au centre des deux derniers documents de travail qui viennent d’être rendus publics par le Parlement européen.
 
Les points sur lesquels des arbitrages sont nécessaires
Un certain nombre de problématiques doivent particulièrement faire l’objet de débats lors de la procédure d’examen du texte, pour garantir à la fois la mise en place de procédures réalistes et la protection des droits fondamentaux.
 
Les points soulevés par le 6e document de travail sont les suivants :
  • notification de la personne concernée et principe de l’égalité des armes et du contradictoire, (droit à un procès équitable) : la proposition de règlement sur les preuves électroniques empêche le prestataire de services d’informer la personne dont les données sont demandées « afin de ne pas entraver la procédure pénale concernée » ; mais à quelles situations ce texte renvoie-t-il effectivement ? 
  • limitation de la notification de la personne concernée (injonction de non-divulgation) : elle doit être clairement définie et limitée, par exemple, aux cas de danger grave et clair pour la vie, l’intégrité physique ou les biens ;
  • confidentialité des prestataires de services : le sous-traitant est-il également lié par les règles de confidentialité et, par conséquent, est-il également tenu de ne pas informer le responsable du traitement de la réception d’une injonction ?
Concrètement, le  6e document de travail suggère les modifications suivantes :
  • confidentialité :
    • la mise en place d’un régime de notification clair qui limite strictement l’exercice de la confidentialité par les autorités répressives à des mesures exceptionnelles,
    • des délais clairs pour l’obligation de confidentialité (par exemple, au maximum jusqu’à la mise en accusation),
    • une obligation de notification rapide a posteriori, une fois que le fondement légitime de la confidentialité cesse de s’appliquer et, en tout état de cause, bien avant la divulgation intégrale des éléments de preuve dans l’affaire, avec le droit pour la personne concernée de contester le recours à la confidentialité et la légalité de la production des preuves,
    • une obligation explicite, pour les autorités répressives qui demandent des données électroniques (dans le cadre de la confidentialité), d’étendre les EPOC et EPOC-PR afin de couvrir également les éléments de preuve à décharge ;
  • motivation : la justification obligatoire, par les autorités répressives, de l’exercice d’une injonction de non-divulgation, ainsi qu’un contrôle juridictionnel sur le recours à ces injonctions et l’obligation, pour les autorités émettrices qui demandent au prestataire de services de s’abstenir d’informer la personne concernée, de présenter au prestataire de services des motifs clairs et précis pour justifier la demande d’absence de notification;
  • notification : une notification supplémentaire aux autorités judiciaires de l’État membre dans lequel le prestataire de services est établi et/ou dans lequel la personne dont les données sont demandées réside;
  • informations complémentaires : le droit, pour les prestataires de services qui ne seraient pas satisfaits par les justifications d’injonction de non-divulgation fournies par l’État d’émission, de demander des informations complémentaires ;
  • contrôle de l'exception de non-divulgation : des mesures dissuasives incitant les services répressifs à ne pas abuser de cette exception ;
  • recours : prévoir une obligation, pour l’État d’émission, de notifier la personne concernée en ce qui concerne les EPOC-PR (obligation prévue pour les EPOC), afin qu’elle puisse contester le recours à la confidentialité et la légalité de la conservation des preuves.
S’agissant maintenant des sanctions et de la mise en œuvre de cette procédure, le 7e document de travail s’interroge sur un certain nombre de points :
  • définition des sanctions : en l’état actuel de la proposition de règlement, il appartiendrait aux États membres de choisir les sanctions qui leur sembleraient les plus appropriées à leurs systèmes respectifs ; avec cet écueil que si les États membres sont seuls compétents pour déterminer et appliquer les sanctions, les fournisseurs de services risquent de nommer leurs représentants légaux dans les États membres dans lesquels, bien évidemment, les sanctions sont les moins rigoureuses ;
  • délai d’exécution : l’article 9 du règlement proposé exige des fournisseurs qu’ils transmettent les données requises au plus tard 10 jours après la réception de l’EPOC et au plus tard 6 heures après réception d’un EPOC dans les cas d’urgence, un délai qui peut paraître très ambitieux ;
  • opposition à injonction : l’article 14 prévoit que le fournisseur de services ne peut s’opposer à l’EPOC ou à l’EPOC-PR que s’il estime, sur la base de sa propre évaluation, que les conditions énumérées au paragraphe 4, points a) à f) (EPOC) et au paragraphe 5, points a) à e) (EPOC-PR) sont remplies ; cela revient à laisser aux seuls fournisseurs de services (qui sont des entités privées) le soin d’évaluer ces motifs de refus.
 Et propose les aménagement suivants :
  • sanction : harmoniser le régime de sanctions, pour prévoir des sanctions minimales obligatoires applicables dans l’ensemble des États membres ;
  • délai : mise en place deux régimes de délais distincts, l’un applicable aux grandes entreprises, l’autre aux petites et moyennes entreprises, ou si maintien d’un régime unique applicable à tous, allongement les délais fixés par la Commission ;
  • procédure : faire intervenir les autorités de l’État d’exécution à un stade plus précoce de la procédure (c’est-à-dire au moment où l’EPOC ou l’EPOC-PR est émis et envoyé au fournisseur de services), en leur envoyant le cas échéant une notification assortie soit d’une demande de confirmation expresse, soit d’une demande de confirmation tacite, c’est-à-dire déduite de l’absence de réponse dans les délais impartis (en fonction des catégories de données concernées);
  • motivation des refus d'exécution : en cas de modification du règlement proposé dans le sens d’une plus grande implication de l’État d’exécution, limiter par exemple les motifs de refus d’exécution des EPOC ou EPOC-PR par les fournisseurs de services aux injonctions émises par des autorités manifestement non judiciaires, ou à des situations particulièrement circonscrites et bien définies ;
  • proportionnalité : faire figurer dans les certificats d’injonction de production (EPOC) ou de conservation (EPOC-PR) envoyés aux fournisseurs de services une justification plus détaillée du caractère nécessaire et proportionnel de l’EPOC ou de l’EPOC-PR concerné ; sans ces informations, il est peu probable que le fournisseur de services soit en mesure d’apprécier la licéité de la demande.
Source : Actualités du droit