Le projet de règlement « E-evidence » (preuves électroniques)  présenté par la Commission européenne : un « Cloud Act » européen

La Commission européenne a présenté le 17 avril dans un communiqué de presse (IP/18/3343)  une proposition de règlement (COM(2018)225 final) afin de rendre plus facile et plus rapide pour les autorités policières et judiciaires l’obtention de preuves électroniques (telles que des mails ou autres documents situés dans le cloud), nécessaires afin d’enquêter, de poursuivre et de condamner des criminels et des terroristes.

Ce texte – un de plus serait-on tentée de dire, visant à faciliter la lutte contre le terrorisme et la grande criminalité – devrait permettre aux autorités répressives des Etats membres de pouvoir accéder à des preuves se trouvant dans le « nuage » des fournisseurs de services, indépendamment de la localisation de celui-ci sur le territoire européen. Mais il devrait concerner aussi des Etats tiers, ce qui signifie alors un effet d’extraterritorialité. Le règlement « E-evidence » apparaît de la sorte comme une réponse, pour ne pas dire une riposte, au « Cloud Act » promulgué par le Président américain Donald Trump le 23 mars dernier. Il intervient dans un contexte complexe de relations transatlantiques marqué par la tentative, de la part des Etats-Unis, d’accéder aux données à caractère personnel entre les mains des GAFAM (Google, Amazon, Facebook, Apple, Microsoft) où qu’elles se trouvent. La pratique du cloud computing complique toutefois un tel projet.

Comprendre le projet de règlement européen « E-evidence » (II) nécessite dès lors de considérer le contexte transatlantique qui en est l’arrière-fond (I), afin de mieux en cerner les enjeux (III)

1.  Le contexte : le Cloud Act américain

Le point de départ se trouve dans une banale procédure judiciaire aux États-Unis dans une affaire de trafic de stupéfiants. Un juge américain a en effet ordonné en 2013 à la société Microsoft de lui livrer les emails d’un suspect, situés dans le cloud, le serveur étant en Irlande. Microsoft s’y est toutefois refusée, car la loi américaine de 1986 fondant l’injonction du juge (Stored Communications Act, SCA) n’avait pas d’effet extraterritorial selon elle. La Cour d’appel a confirmé ce point de vue, estimant que la loi SCA ne s’appliquait qu’aux données stockées sur le territoire des États-Unis. Le gouvernement américain a alors saisi la Cour Suprême en octobre 2017, cette dernière étant censée rendre son jugement en juin 2018.

Entre temps, le Président américain Donald Trump a pris toutefois le juge de vitesse, en incluant le Cloud Act (clarifying lawful overseas use of data act) dans le projet de loi fédérale sur le budget 2018, soit 32 pages noyées dans plus de 2000 pages … Le Congrès avait déjà tenté à deux reprises de modifier la loi SCA de 1986, mais sans succès (projets de “Loi sur l’accès aux données stockées à l’étranger”, LEADS Act, de 2015 et loi sur la protection des communications internationales, ICPA, en 2017). Cette importante loi a ainsi été adoptée sans examen spécifique, profitant de l’adoption globale de la loi de finances.

Ce texte, paradoxalement soutenu par les grandes entreprises du web (Microsoft, Apple, Google…) au nom de la sécurité juridique, donne désormais un cadre légal à la saisie par des agences gouvernementales (renseignement) ou des forces de police, d’emails, documents et communications électroniques localisés dans des serveurs de sociétés américaines à l’étranger (cloud). Doté clairement d’un effet d’extraterritorialité, il se présente comme une alternative extrêmement simplifiée au processus actuellement en vigueur quant au partage d’informations, basé sur le traité d’assistance mutuelle (MLAT : mutual legal assistance treaty). Dès lors qu’il permet aux différentes autorités intéressées un accès à tous les emails, conversations en ligne, photos et vidéos sur Facebook, Snapchat etc., il pose question quant à la protection des droits fondamentaux (protection des données à caractère personnel) du point de vue européen.

La Commission européenne, qui avait présenté une lettre dans l’affaire Microsoft auprès de la Cour Suprême américaine, estimait que : « Selon l’Union européenne, du point de vue du droit international public, lorsqu’une autorité publique demande à une société établie dans sa propre juridiction de produire des données électroniques stockées sur un serveur situé dans une juridiction étrangère, les principes de territorialité et de courtoisie en droit international public sont engagés, et les intérêts et les lois de cette juridiction étrangère doivent être pris en compte ». La commissaire à la Justice de l’UE, Vera Jourova, a souligné en tout état de cause le caractère précipité de la loi, et déclaré qu’elle espérait obtenir des règles compatibles dans le cadre d’un projet de loi sur la preuve électronique de l’UE. Ceci montre bien d’ores et déjà l’un des motifs justifiant l’adoption du projet « E-evidence » européen : il s’agit clairement de faire pièce à l’initiative américaine, les enjeux du texte européen étant manifestement plus vastes – voire plus inquiétants – que ceux simplement annoncés dans le communiqué de presse de la Commission européenne du 17 avril (voir infra partie III).

2. Le projet de règlement E-evidence (preuves électroniques)

L’objectif affiché du projet de règlement européen est d’assurer aux autorités répressives un meilleur accès aux preuves électroniques, tout en assurant aux personnes intéressées toute une série de garanties quant à la protection de leurs droits fondamentaux.

Le premier vice-président de la Commission, M. Frans Timmermans, a ainsi noté que « Les propositions présentées (…) visent non seulement à mettre en place de nouveaux instruments qui permettront aux autorités compétentes de recueillir des preuves électroniques rapidement et efficacement par-delà les frontières, mais aussi à assurer des garanties solides pour les droits et les libertés de toutes les personnes concernées ».

Le communiqué de presse de la Commission explique que, aujourd’hui, dans plus de la moitié de l’ensemble des enquêtes pénales, une demande transfrontière est présentée en vue de l’obtention de preuves électroniques détenues par des prestataires de services établis dans un autre État membre, voire en dehors de l’UE. Toutefois, les processus de coopération judiciaire et d’entraide judiciaire qui sont obligatoirement mis en œuvre, aux fins de l’obtention de ces données, s’avèrent extrêmement longs et lourds. C’est pourquoi le dispositif proposé par la Commission en matière d’obtention de preuves électroniques se veut plus rapide et plus efficace.

La Commission européenne propose ainsi la mise en place des mécanismes suivants :

– la création  d’une injonction européenne de production: elle devrait permettre à une autorité judiciaire d’un État membre de demander des preuves électroniques (telles que des courriels, des SMS ou des messages échangés dans des applications) directement auprès d’un prestataire offrant des services dans l’Union et établi ou représenté dans un autre État membre, indépendamment de la localisation des données; ce prestataire sera alors tenu de répondre dans un délai de 10 jours, et dans les 6 heures en cas d’urgence (contre 120 jours pour la décision d’enquête européenne existante ou 10 mois pour une procédure d’entraide judiciaire) ;

la création  d’une injonction européenne deconservation, permettant d’empêcher l’effacement de données : elle devrait permettre quant à elle à une autorité judiciaire d’un État membre de contraindre un prestataire offrant des services dans l’Union et établi ou représenté dans un autre État membre à conserver certaines données afin que ladite autorité puisse demander ces informations ultérieurement par voie d’entraide judiciaire ou au moyen d’une décision d’enquête européenne ou d’une injonction européenne de production ;

les mécanismes précédents doivent être assortis dela mise en place de garanties solides ainsi que de voies de recours: les deux types d’injonctions ne peuvent être émis que dans le cadre de procédures pénales, et toutes les garanties procédurales de droit pénal sont applicables. Les nouvelles règles garantissent l’intervention d’autorités judiciaires et posent des exigences supplémentaires pour l’obtention de certaines catégories de données. Elles comportent également des garanties concernant le droit à la protection des données à caractère personnel. Les prestataires de services et les personnes dont les données sont demandées bénéficieront de plusieurs garanties, parmi lesquelles la possibilité, pour le prestataire de services, de demander un examen si, par exemple, l’injonction constitue une violation manifeste de la charte des droits fondamentaux de l’Union européenne;

une disposition du projet de règlement apparaît ensuite comme correspondant à l’effet extraterritorial du Cloud Actaméricain : il est en effet prévu de contraindre les prestataires de services à désigner un représentant légal dans l’Union. De la sorte, tous les prestataires qui proposent leurs services dans l’Union européenne seraient soumis à des obligations identiques, même si leur siège est situé dans un pays tiers. Le représentant légal dans l’Union désigné nécessairement par le prestataire de services assurerait ainsi la réception, le respect et l’exécution des décisions et injonctions émises par les autorités compétentes des États membres àdes fins de collecte de preuves en matière pénale ;

– enfin, et cette disposition semble correspondre aux attentes des fournisseurs de service, comme l’affaire Microsoft le montre aux États-Unis, il est prévu de par ce nouveau texte de procurer une sécurité juridique aux entreprises et aux prestataires de services : actuellement, les autorités répressives sont tributaires du bon vouloir des prestataires de services à leur remettre les preuves dont elles ont besoin. Avec le nouveau règlement, s’il est adopté, les autorités et prestataires de services bénéficieront d’une plus grande sécurité juridique grâce à la mise en œuvre de règles identiques pour tous en matière de fournitures de preuves électroniques.

Il reste à cerner les enjeux de cet ambitieux texte, qui devra franchir toutes les étapes du processus législatif avant les élections du Parlement européen en 2019…

3. Les enjeux

L’analyse peut se porter pour l’essentiel sur deux aspects : la protection des droits fondamentaux et les relations avec les pays tiers, principalement les États-Unis.

S’agissant d’abord des droits fondamentaux, c’est naturellement la protection des données à caractère personnel qui est en jeu ici. La question se pose avec d’autant plus d’acuité qu’il ne s’agit pas seulement par exemple de métadonnées de communications (comme dans la directive 2006/24/CE invalidée par la Cour de justice de l’UE dans son désormais célèbre arrêt Schrems), mais aussi de ce que l’on désigne sous le terme de « données de contenu », à savoir contenu des mails, vidéos, images, son etc.

Les garanties offertes par le projet de règlement sont d’abord procédurales. Dans le cadre d’une enquête pénale, un juge d’un pays A pourra directement demander au fournisseur de services (ou à son représentant légal pour un fournisseur de services hors UE)  dans un pays B de lui présenter des preuves électroniques. En revanche, si la demande émane de services de police ou du Procureur, ils devront alors demander à un juge d’approuver l’injonction avant de le transmettre au fournisseur de services (ou son représentant légal). A noter que la production de données de contenu ne sera possible que pour les infractions pénales punissables dans l’État d’émission d’une peine privative de liberté d’un maximum d’au moins 3 ans, ainsi que pour certaines catégories d’infractions graves délimitées dans le texte (voir article 5 § 4 de la proposition).

Les suspects et les accusés disposent ensuite d’un droit au recours contre les injonctions émises lors d’une procédure pénale (voir article 17 proposition), sans préjudice des possibilités de recours découlant des nouveaux textes européens en matière de protection des données à caractère personnel, à savoir la directive 2016/680 (protection des données en matière policière et judiciaire pénale) et le règlement 2016/679 (Règlement Général sur la Protection des Données). Ce droit à un recours effectif doit être exercé devant un tribunal de l’État d’émission conformément à sa législation nationale et doit inclure la possibilité de contester la légalité de la mesure, y compris sa nécessité et sa proportionnalité (article 17 § 3). Les références aux textes législatifs européens fondamentaux en matière de protection des données semblent garantir de la sorte une protection étendue en la matière.

La question des relations avec les pays tiers, dont les États-Unis pour l’essentiel, et donc l’effet extraterritorial de la législation européenne, ouvre des questions plus complexes, voire suscite l’inquiétude.

Comme nous l’avons souligné, le Cloud Act américain a manifestement pour objet de produire un effet extraterritorial, et ainsi, selon sa logique, des données personnelles situées par exemple sur le sol français et concernant des citoyens français pourraient être adressées aux autorités répressives américaines, sur simple demande de celles-ci au fournisseur de services américain disposant d’un datacenter sur le territoire français… Dès lors, pourquoi une autorité répressive française ne pourrait-elle pas agir de la même façon de façon réciproque ? « Le risque dangereux de mimétisme » (voir Théodore Christakis) semble aujourd’hui se concrétiser par la présentation du projet de règlement européen…

En tout état de cause, il est loisible de se demander si l’Union européenne serait prête à accepter que des pays étrangers (États-Unis par exemple) enjoignent à des filiales locales des GAFAM de les laisser collecter unilatéralement les données de citoyens européens, stockées sur des serveurs en Europe ? Et réciproquement…On pourrait voir dans un tel unilatéralisme un danger réel pour la protection des droits fondamentaux (prenons simplement pour exemple la liberté d’expression si des journalistes étaient l’objet de telles mesures…), d’autant que les personnes objets de telles procédures se retrouveraient dépourvues de tout recours juridictionnel (pas de possibilité devant les tribunaux dont elles sont ressortissantes, car le pays en question n’aura pas transmis les informations, et pas de possibilité de recours devant les tribunaux de l’Etat captant ces informations).

Il semblerait donc au total que l’UE fasse d’un danger une opportunité en proposant ce texte E-evidence. Dans un contexte général de lutte contre le terrorisme et la criminalité grave, et de multiplication d’outils de coopération européenne et internationale en la matière, il est possible d’imaginer que l’UE s’oriente vers la conclusion d’un accord de partage de données avec les États-Unis, la réciprocité dans l’échange lui apportant un bénéfice de nature – dans une analyse globale – à compenser les inconvénients du flux de données de l’Europe vers les États-Unis. S’il s’avérait que c’était le calcul du législateur européen, l’efficacité de la lutte contre le terrorisme en bénéficierait incontestablement, mais le cynisme d’un tel procédé, qui permettrait, quasiment ad libitum, aux autorités américaines de disposer de données personnelles de ressortissants européens, laisse pour le moins perplexe…

Certes, les standards européens en matière de protection des droits fondamentaux (protection des données) imposent certaines limites et garanties, notamment celles d’un « niveau de protection adéquat » ou « substantiellement équivalent » comme l’a indiqué la CJUE, mais à la fois l’actuel accord PNR UE-États-Unis aussi bien que le Privacy Shield (permettant les dataflows UE-États-Unis dans un cadre commercial), tous deux très largement, et à juste titre, critiqués, laissent planer un doute sur l’effectivité d’une telle garantie…Si un arbre ne doit pas cacher la forêt, les avantages qu’offre le futur règlement E-evidence en matière de coopération entre autorités répressives européennes devront nécessairement être mis en balance avec le risque qu’il induit s’agissant d’échange de données transatlantique. Il est à noter pour terminer que dans l’affaire Microsoft, suite à l’entrée en vigueur du Cloud Act, le département de la justice américain a classé l’affaire, et ainsi la Cour suprême ne se prononcera pas en juin comme prévu. Les jeux sont faits…