La Délégation est saisie d’une proposition de directive sur la conservation des données traitées dans le cadre de la fourniture des services de communications électroniques présentée par la Commission le 21 septembre 2005.

M. Christian Philip, rapporteur, a présenté ce document au cours de la réunion de la Délégation du 20 décembre 2005.

La proposition de directive vise à harmoniser les législations des Etats membres en matière de conservation des « données de trafic » et des « données de localisation » générées par une communication, qu’elles soit acheminées via la téléphonie fixe ou mobile, des services de messages courts ou les protocoles Internet. La diversité des législations nationales dans ce domaine (les durées de conservation et la liste des données sont très variables) entrave en effet l’efficacité de la coopération judiciaire en matière de lutte contre la criminalité grave, et en particulier le terrorisme. Ces données, qui permettent de savoir qui a appelé qui, quand et où et pour combien de temps, à l’exclusion du contenu des communications, se sont en effet révélées essentielles lors des enquêtes qui ont suivi les attentats de Madrid et de Londres. Le projet de loi relatif à la lutte contre le terrorisme que l’Assemblée nationale a adopté le 29 novembre dernier comporte d’ailleurs plusieurs dispositions renforçant notre arsenal juridique sur ce point.

Cette proposition de directive est en concurrence avec le projet de décision-cadre sur la rétention des données relatives au trafic des télécommunications( 1), déposé par la France, l’Irlande, la Suède et le Royaume-Uni le 28 avril 2004 et que l’Assemblée nationale a approuvé dans sa résolution du 25 mai 2005( 2) à la suite du rapport de la Délégation sur l’UE et la lutte contre le terrorisme( 3) (I). Le choix d’une directive plutôt que d’une décision-cadre s’est progressivement imposé au Conseil comme la seule option permettant une harmonisation dans ce domaine (II). Le compromis finalement adopté est cependant en deçà du niveau d’ambition fixé par la France (III).

Cette proposition de directive est en concurrence avec le projet de décision-cadre déposée par la France, l’Irlande, la Suède et le Royaume-Uni en avril 2004. Considérée comme prioritaire par le Conseil européen, qui a appelé à l’adoption de règles dans ce domaine après les attentats de Madrid du 11 mars 2004, cette décision-cadre n’a pas été adoptée en raison des controverses liées à sa base juridique. Le Parlement européen et la Commission, soutenus par certains Etats membres, ont en effet estimé que ce texte relève de la réglementation du marché intérieur (art. 95 du traité instituant la Communauté européenne) et non de la coopération judiciaire pénale. Selon eux, il devrait prendre la forme d’une directive du premier pilier communautaire, adoptée à la majorité qualifiée et en codécision avec le Parlement européen, et non d’une décision-cadre du troisième pilier (titre VI du traité sur l’Union européenne relatif à la coopération policière et judiciaire en matière pénale), adoptée à l’unanimité après simple consultation de l’Assemblée de Strasbourg.

C’est pour cette raison que le Parlement européen a rejeté à l’unanimité, lors de ses sessions plénières de juin et septembre 2005, le projet de décision-cadre et que la Commission a déposé la présente proposition de directive en septembre dernier. Le point de vue de la Commission et du Parlement l’a finalement emporté, et c’est sur la base de la directive que le Conseil est parvenu à un accord le 2 décembre dernier, que le Parlement a approuvé en première lecture le 14 décembre 2005.

Ces affrontements sur la base juridique sont devenues le « sport favori » des institutions européennes en matière de coopération judiciaire pénale. Peu d’instruments relevant de ce domaine échappent, en cours de négociation ou après leur adoption, à une controverse de ce type. Une décision-cadre sur la protection de l’environnement par le droit pénal a ainsi été annulée par la Cour de justice le 13 septembre 2005, et la Commission estime que sept autres décisions-cadres (dont certaines ont déjà été transposées en droit français) devraient être remplacées par des directives ou d’autres instruments de droit communautaire( 4). Cette situation est particulièrement regrettable lorsque les questions en jeu concernent un sujet aussi important que la lutte contre le terrorisme, et l’on ne peut que déplorer le retard considérable pris à cause de ces arguties. A cet égard, le traité constitutionnel européen aurait apporté un progrès important en supprimant les piliers au profit d’un cadre juridique unique.

Au-delà de cette observation préliminaire, cette proposition de directive soulève deux questions :

– le Conseil a-t-il eu raison d’accepter que ce texte prenne la forme d’une directive plutôt qu’une décision-cadre ?

– le compromis adopté par le Conseil et le Parlement sur le contenu du texte est-il satisfaisant sur le fond ?

 Deux séries d’arguments, de nature juridique et politique, plaidaient en faveur de l’adoption d’une directive plutôt que d’une décision-cadre.

> Sur le plan juridique, il existe déjà un cadre communautaire dans le domaine visé. La directive 95/46 du 24 octobre 1995 concernant le traitement des données à caractère personnel et à la libre circulation de ces données fixe en effet des obligations générales s’imposant aux opérateurs. Elle est complétée par la directive 2002/58 du 12 juillet 2002 concernant le traitement des données à caractère personnel et à la protection de la vie privée dans le secteur des télécommunications électroniques, dont l’article 15 permet aux Etats membres d’adopter des mesures législatives autorisant, sous certaines conditions, la rétention de données pour assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales.

Les services juridiques de la Commission et du Conseil, dans deux avis rendus respectivement le 22 mars 2005 et le 5 avril 2005, en concluent que l’harmonisation des catégories de données à conserver par les fournisseurs de services pendant une période déterminée, ainsi que la fixation de la durée de cette période, relèvent de la compétence de la Communauté. L’adoption d’une décision-cadre sur ce sujet serait dès lors contraire à l’article 47 du traité sur l’Union européenne, aux termes duquel aucune disposition du traité sur l’UE n’affecte les traités instituant les Communautés européennes. La primauté du traité instituant la Communauté européenne sur le traité sur l’Union européenne découlant de cet article interdit aux institutions européennes de légiférer dans le cadre du troisième pilier si la mesure envisagée peut être adoptée dans le cadre des compétences communautaires. La portée de cet article a été renforcée par l’arrêt de la Cour de justice du 13 septembre 2005 (aff. C-176/03, Commission c. Conseil ) ayant annulé une décision-cadre qui aurait dû être adoptée par la Communauté européenne sous la forme d’une directive( 5). Dans ces conditions, il semble préférable, dans un souci de sécurité juridique, d’adopter une directive plutôt qu’une décision-cadre dont la légalité serait contestable.

> Sur le plan politique, l’adoption d’une directive plutôt qu’une décision-cadre présente plusieurs avantages. Le premier est l’association du Parlement européen, qui doit adopter la directive en codécision avec le Conseil (au lieu d’être simplement consulté s’il s’était agi d’une décision-cadre). Compte tenu des mesures envisagées et de leur impact sur les libertés publiques, un contrôle parlementaire renforcé est indispensable. Certes, ce contrôle parlementaire est également exercé au niveau national – au titre de l’article 88-4 de la Constitution en France – mais il reste le plus souvent non contraignant (à l’exception notable des pays nordiques, qui pratiquent le mandat impératif). L’intervention du Parlement européen en codécision est donc souhaitable pour assurer la légitimité des mesures adoptées, en particulier lorsqu’elles concernent les droits fondamentaux des citoyens. Il était d’autant plus difficile de s’y opposer, même pour les Etats qui estiment que cette question relève de la coopération judiciaire pénale, que les gouvernements des Vingt-cinq l’ont acceptée en signant le traité constitutionnel européen, qui prévoit d’étendre la codécision et la majorité qualifiée au droit pénal.

Il était également important, sur un sujet tel que la lutte contre le terrorisme, d’éviter de donner l’impression que les institutions européennes sont divisées. Le choix de la directive a permis de montrer que toutes les institutions de l’Union sont mobilisées et unies dans le cadre de la stratégie de lutte contre le terrorisme.

Enfin, un accord sur la décision-cadre aurait exigé l’unanimité au sein du Conseil, et les Etats membres apparaissaient trop divisés, en particulier sur le choix de l’instrument, pour parvenir à un accord dans les délais fixés par le Conseil européen. Les Pays-Bas, par exemple, avaient annoncé qu’ils refuseraient d’approuver la décision-cadre, sous la pression de leur Parlement. Le choix n’était donc plus entre une directive ou une décision-cadre, mais plutôt entre une directive ou aucune harmonisation, ce qui était inacceptable compte tenu de la nécessité d’affirmer la détermination de l’Union face au terrorisme.

 Le choix de la directive comporte cependant des inconvénients et reste contesté par certains Etats membres. L’un de ces inconvénients est que la logique d’harmonisation qui prévaut dans le cadre du marché intérieur, plus poussée que dans le troisième pilier, risque de ne pas offrir de marges de manœuvre suffisantes aux Etats pour adopter des dispositions plus contraignantes (conservation de davantage de données, durée de rétention plus longue, absence d’indemnisation des opérateurs, etc.). La « communautarisation » progressive du droit pénal risque donc d’avoir des conséquences sur le contenu des actes adoptés et de réduire les compétences des Etats membres dans un domaine particulièrement sensible. C’est pourquoi le Gouvernement français – qui figurait parmi les auteurs de la décision-cadre – ne l’a accepté qu’avec réticence et sous réserve qu’une souplesse suffisante soit accordée aux Etats membres.

L’Irlande, la Slovénie et la Slovaquie ont en outre voté contre la proposition de directive lors du Conseil « Justice et affaires intérieures » du 2 décembre 2005, car elles estiment que ce texte aurait dû prendre la forme d’une décision-cadre et qu’il ne va pas assez loin. Le ministre de la Justice irlandais a d’ailleurs annoncé que son pays attaquerait sans doute la directive devant la Cour de justice.

Les négociations sur ce texte ont été longues et difficiles. La présidence britannique a dû concilier, au Conseil, les points de vue des Etats souhaitant donner les moyens les plus efficaces possibles à leurs services répressifs pour combattre le terrorisme (France, Danemark, Irlande et Slovaquie notamment) avec ceux des Etats voulant minimiser les coûts pour leurs opérateurs de télécommunications (Allemagne, Finlande et Pays-Bas). Elle a également su rapprocher la position du Conseil de celle du Parlement européen, attaché à la protection de la vie privée et soucieux des coûts supplémentaires engendrés pour les industries concernées. Au sein du Parlement européen, le débat a également été difficile et le rapporteur de la commission des libertés civiles, de la justice et des affaires intérieures, M. Alexander Nuno Alvaro (ALDE, All.) s’est opposé au texte finalement approuvé en plénière grâce aux amendements de compromis des groupes PPE et PSE.

Une synthèse des premiers débats relatifs à la décision-cadre figure dans le rapport d’information n° 2123 de la Délégation sur l’Union européenne et la lutte contre le terrorisme. Depuis, les discussions ont porté principalement sur le champ d’application du texte, la durée de conservation des données, l’inclusion des données Internet et des données relatives aux appels non aboutis, le degré de flexibilité laissée aux Etats membres pour adopter des mesures plus contraignantes et le remboursement des coûts générés pour les opérateurs. Les modifications apportées ont réduit le niveau d’ambition du texte et c’est finalement une version « édulcorée » de la directive qui a été approuvée.

  Le champ d’application de la directive

Le projet de décision-cadre visait, à l’origine, la prévention, la recherche, la détection et la poursuite d’infractions pénales, y compris du terrorisme. Ce champ d’application, jugé trop large par certaines délégations et surtout par le Parlement européen, a été progressivement réduit. La prévention des infractions pénales a ainsi été supprimée, puis le champ d’application a été limité à la recherche, la détection et la poursuite des infractions pénales graves telles qu’elles sont définies par chaque Etat membre dans son droit interne. Une déclaration commune du Conseil et de la Commission précise que ces infractions pénales graves peuvent inclure la liste des 32 infractions pour lesquelles le mandat d’arrêt européen a supprimé l’exigence de la double incrimination, ainsi que les infractions ayant pour objet les télécommunications.

Les restrictions ainsi apportées au champ d’application de la directive limitent considérablement sa portée. Le texte apparaît ainsi très en retrait par rapport aux dispositions du projet de loi relatif à la lutte contre le terrorisme en cours d’adoption en France.

  La durée de conservation des données

Le projet de décision-cadre prévoyait une durée de conservation des données de 12 mois au moins et de 36 mois au plus après leur création (avec des dérogations pour certaines données, telles que les services de messages courts, SMS). Le Parlement européen s’est prononcé, lors de l’examen de la proposition de directive par la commission des libertés civiles, de la justice et des affaires intérieures, en faveur d’une durée beaucoup moins longue, allant de 6 à 12 mois. Le compromis finalement adopté fixe une durée allant de 6 à 24 mois, que certains Etats (tels que l’Italie et l’Irlande) jugent trop courte car leurs législations pénales prévoient des délais supérieurs.

Un article du texte permet cependant à un Etat membre d’aller au-delà de la durée maximale de 24 mois, pour une période limitée, s’il est confronté à des circonstances particulières, sous réserve que la Commission ne s’y oppose pas. L’article 95 § 4 du traité instituant la Communauté européenne permet en outre à un Etat membre de maintenir ses dispositions nationales si cela est justifié par des exigences importantes liées notamment à la sécurité publique.

  La conservation des données Internet

Certaines délégations se sont opposées à la conservation obligatoire des données Internet (accès à l’Internet, téléphonie par Internet et courrier électronique par Internet) ou étaient favorables à des durées de conservation moins longues. Le compromis final inclut les données Internet parmi les données devant être conservées et ne fixe pas de durée de conservation inférieure, mais laisse aux Etats membres un délai supplémentaire de dix-huit mois durant lequel l’application de la directive peut être différée pour ces données.

  La conservation des données relatives aux appels infructueux

Les données relatives aux appels infructueux (auxquels le correspondant ne répond pas, par exemple) sont rarement conservées par les opérateurs car elles ne présentent pas d’intérêt aux fins de facturation. Elles peuvent cependant se révéler précieuses à des fins d’enquêtes : c’est à partir des données relatives à un appel non abouti que les services espagnols ont pu arrêter les auteurs des attentats de Madrid. Un appel non abouti peut en effet permettre d’établir une relation entre deux personnes, constituer un système de communication par « codes », voire déclencher l’explosion d’une bombe, comme lors des attentats de Madrid.

Plusieurs Etats et le Parlement européen se sont pourtant opposés à ce que la conservation des appels non aboutis soit obligatoire. Le compromis étonnant adopté sur ce point prévoit que les données relatives aux appels non aboutis déjà conservées par certains opérateurs le resteront, mais que la directive n’imposera pas d’obligations aux opérateurs qui ne les conservent pas actuellement. Les données relatives aux appels non connectés au réseau ne pourront, en tout état de cause, faire l’objet d’une obligation de conservation.

  La souplesse laissée aux Etats membres pour adopter des mesures plus contraignantes

Compte tenu du faible niveau d’ambition du texte, il est essentiel de permettre aux Etats membres d’adopter des dispositions plus contraignantes. Le Gouvernement français a obtenu sur ce point que l’article 11 et un considérant de la proposition de directive précisent que l’article 15 de la directive 2002/58/CE continuera de permettre aux Etats membres d’imposer la conservation des données qui n’ont pas à l’être en application de la présente directive. La directive en cours d’adoption ne constituerait donc qu’un socle minimal, au-delà duquel chaque Etat membre pourrait aller s’il le souhaite. Cette construction juridique complexe apparaît fragile, et l’on ne peut que regretter que ce point fondamental fasse l’objet de dispositions dont la rédaction apparaît ambiguë.

  Le remboursement des coûts supplémentaires générés pour les opérateurs

Certaines délégations, ainsi que le Parlement européen et la Commission étaient favorables à ce que la directive prévoit un mécanisme de remboursement des coûts supplémentaires générés par la directive pour les opérateurs. La liste des données devant être retenues et les durées prévues vont en effet au-delà de celles qui sont conservées par ces derniers à des fins de facturation. D’autres délégations s’y sont opposées, préférant laisser un libre choix aux Etats membres sur ce point. C’est ce point de vue qui a prévalu, la Commission se contentant d’une déclaration précisant que le remboursement de ces coûts ne saurait, en tout état de cause, être considéré comme une aide d’Etat contraire au traité CE.

*

* *

Le degré d’harmonisation apporté par la directive sera minimal, et se situe bien en deçà du niveau d’ambition que l’on était en droit d’attendre de l’Union sur ce sujet, à la suite des attentats de Madrid puis de Londres. La directive se situe, en particulier, en retrait des dispositions du projet de loi relatif à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers, que l’Assemblée nationale a adopté le 29 novembre dernier. La souplesse laissée aux Etats membres pour aller au-delà de ces normes minimales constitue donc un point essentiel de l’accord donné par la France au Conseil sur ce texte, et il est regrettable qu’elle ne soit assurée que par un article à la rédaction ambiguë, complété par un simple considérant dont la portée normative est limitée. Il serait en effet paradoxal que cette directive, censée renforcer l’efficacité de la lutte contre le terrorisme et la criminalité grave, ait pour résultat de fragiliser notre arsenal juridique en la matière.

Ce texte est la première décision-cadre à avoir été finalement adoptée sous la forme d’une directive en codécision avec le Parlement européen. Il avait à cet égard valeur de test, et force est de constater, à la lumière du compromis final, que ce test n’est pas réussi. L’association du Parlement européen à la prise de décision, légitime et souhaitable, a malheureusement conduit à un appauvrissement de la valeur ajoutée du texte au regard des objectifs poursuivis. Compte tenu de ce résultat, la mise en place d’une coopération renforcée sur ce sujet eût sans doute été préférable à l’adoption d’un texte aussi décevant.

*

* *

Après l’exposé de M. Christian Philip, rapporteur, M. Jacques Floch a déclaré que les attentats de Madrid et de Londres avaient fait évoluer les Etats membres sur ce sujet, même si certains d’entre eux se croient encore à l’abri et, au nom de principes très légitimes de protection des libertés, hésitent à prendre des mesures.

Ces attentats ont montré qu’un terrorisme mobilisant des individus capables d’aller jusqu’au sacrifice de leur vie n’a pas besoin de beaucoup de moyens financiers ni d’un grand nombre d’intervenants pour agir. Le seul moyen de lutte efficace contre ce phénomène est le renseignement et l’information recueillie à travers les systèmes de communication. La France a la chance de disposer d’un service de renseignement de grande qualité sur lequel le Parlement demande d’ailleurs à exercer un contrôle renforcé. Il a déjà été difficile d’obtenir l’adoption du mandat d’arrêt européen et d’étendre de trois à trente–deux le champ des infractions pour lesquelles n’est plus exigée une double incrimination pour arrêter leurs auteurs. Il faut se demander désormais si plusieurs Etats membres pourraient aller plus loin dans le cadre d’une coopération renforcée, comme semble le démontrer le G5 au sein duquel la France a développé une coopération substantielle, notamment avec l’Allemagne et le Royaume-Uni.

Un autre aspect concerne les réticences de toutes les entreprises de communication à conserver des informations et leur tendance à exercer un chantage un peu abusif sur les Etats, qui s’est traduit dans le budget du ministère de la justice par un paiement et un coût afin d’obtenir l’information. Or, un audit sur la réalité de ce coût a montré que ces entreprises ont réalisé un très grand bénéfice dans une situation où elles auraient dû se comporter en entreprises citoyennes. Compenser un coût est admissible, financer un profit est scandaleux.

La directive aurait dû associer davantage les systèmes judiciaires des Etats membres, mais elle constitue un premier pas vers la coordination d’un système judiciaire européen.

M. Guy Lengagne a demandé si les données internet étaient incluses dans la directive, dans la mesure où le contrôle sur des fournisseurs disséminés dans le monde s’avère plus difficile.

Le rapporteur a répondu que la directive incluait les données internet parmi les données devant être conservées et ne fixait pas de durée de conservation inférieure, mais laissait aux Etats membres un délai supplémentaire de dix–huit mois durant lequel l’application de la directive pourrait être différée pour ces données.

Le Président Pierre Lequiller a demandé quels Etats membres étaient les plus réticents.

Le rapporteur a cité la Finlande, siège de grands fabricants, les PaysBas en raison d’une position politique de principe prise par leur parlement et l’Allemagne en raison des coûts pesant sur les opérateurs.

A l’issue de ce débat, la Délégation a adopté les conclusions suivantes sur proposition de son rapporteur :

«  La Délégation pour l’Union européenne,

Invite le Gouvernement français à s’assurer que ce texte assure la flexibilité suffisante pour permettre au législateur d’adopter des mesures plus ambitieuses en droit interne, en particulier celles figurant dans le projet de loi relatif à la lutte contre le terrorisme que l’Assemblée nationale a adopté le 29 novembre 2005.  »

(1) Projet de décision-cadre sur la rétention des données traitées et stockées en rapport avec la fourniture de services de communications électroniques accessibles au public ou de données transmises via des réseaux de communications publics, aux fins de la prévention, la recherche, la détection et la poursuite de délits et d’infractions pénales, y compris du terrorisme (E 2916).
(2) Résolution n° 440 du 25 mai 2005 sur l’Union européenne et la lutte contre le terrorisme.
(3) Rapport d’information n° 2123, L’Europe face au terrorisme. Quelle valeur ajoutée ? 2 mars 2005.
(4) Communication du 23 novembre 2005 de la Commission au Parlement européen et au Conseil sur les conséquences de l'arrêt de la Cour du 13 septembre 2005 (C-176/03, Commission contre Conseil).
(5) V. aussi CJCE, 12 mai 1998, aff. C-170/96.