Par Olivier d’Abo, associé, et Marion Seranne, of counsel, EBL Lexington

La collecte de la donnée numérique est clé dans 85 % des enquêtes pénales. Dans la moitié de ces affaires, l’obtention des preuves ne peut être effectuée directement dans le pays dans lequel se tient l’enquête et doit faire l’objet d’une demande de coopération internationale encore trop complexe. En synthèse, la collecte d’une donnée, par nature volatile et effaçable, est aujourd’hui menée aux termes de longues procédures compte tenu du manque de coopération des fournisseurs de services du numérique. En outre, les réponses inégales à la coopération ou l’entraide internationale des autorités des pays récipiendaires des demandes ne fait qu’accentuer les insécurités afférentes aux procédures actuelles. 

Numérique, terrorisme et souveraineté

L’évolution de la réglementation européenne a toutefois été appelée pour la première fois par la déclaration commune des ministres européens de la Justice et de l’Intérieur et des représentants des institutions de l’UE effectuée sur les attentats terroristes perpétrés le 22 mars 2016 à Bruxelles. La priorité affichée était de trouver «des moyens de recueillir et d’obtenir plus rapidement et efficacement des preuves numériques, en intensifiant la coopération avec les pays tiers et les prestataires de services qui sont actifs sur le territoire européen». Le Conseil annonçait, dès juin 2016, réfléchir aux mesures concrètes à déployer. Ainsi s’ouvraient des débats au sein des instances de l’Union européenne.

Bien au-delà d’une mesure de lutte contre le terrorisme, l’arsenal réglementaire envisagé vient désormais répondre à une autre problématique d’envergure pour l’Union européenne, à savoir la protection de sa souveraineté.

En effet, le calendrier de cette réglementation a pris une tournure différente le 23 mars 2018, concomitamment à l’entrée en vigueur du Clarifying Lawful Overseas Use of Data Act ou Cloud Act. Par ces dispositions, les autorités américaines se sont donnés des moyens de s’affranchir des règles afférentes à la coopération internationale. Concrètement, elles peuvent, sur la simple délivrance de l’équivalent d’une autorisation de perquisition (1) obtenir des données stockées par des entreprises américaines dans d’autres pays du monde. En d’autres termes, un juge américain peut s’adresser à une société française, filiale d’une société américaine et récupérer des données stockées en France, en formulant simplement la demande. Le Cloud Act répond ainsi aux mêmes logiques que le FCPA (Foreing Corrupt Practices Act), en matière de corruption d’agents étrangers, ou encore à la loi Sarbanes-Oxley, en matière comptable et financière ; les Etats-Unis s’octroient ainsi par ces lois, la possibilité d’étendre de manière très ample les critères de rattachement entre une infraction et le territoire américain.

Hasard du calendrier (ou pas), un mois plus tard, le 17 avril 2018, la Commission proposait le projet de nouvelle réglementation aux fins d’améliorer l’accès aux preuves électroniques.

La présentation des mesures proposées par la Commission était doublée d’une réaction des ministres de l’UE à négocier avec les autorités américaines suite à l’examen effectué du Cloud Act et de ses conséquences. Dernière évolution significative en date, les 4-6 juin 2019, le Conseil donnait mandat à la Commission pour négocier des accords internationaux concernant les preuves électroniques en matière pénale. Les objectifs affichés de cette négociation – en cours – sont clairs : fixer des règles communes et mettre en place des obligations réciproques entre l’UE et les USA.

Le rééquilibrage espéré, porté par de nouveaux outils

L’arsenal réglementaire proposé par la Commission se compose de deux volets, destinés à mettre en place de nouvelles procédures permettant un accès transfrontalier, rapide et efficace aux preuves électroniques.

Le premier consiste en une proposition de Règlement du Parlement européen et du Conseil relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale (2). D’une part, une injonction de production pourrait être émise par une autorité judiciaire d’un Etat A, aux fins de production ou de conservation de données, dans un Etat B. Cette demande serait désormais adressée directement à un fournisseur de services d’hébergement de données, par exemple, situé dans le pays B, limitant ainsi le nombre d’intermédiaires. Ce prestataire devra faire droit à cette demande dans un délai de dix jours, ou dans un délai d’urgence de six heures toutes les fois où cela sera justifié. D’autre part, une injonction de conservation pourrait être émise, là encore directement auprès de la société de services concernée afin de prévenir l’effacement des données et permettre à l’autorité d’émission (Etat A dans notre exemple) de demander la production des données par d’autres canaux «traditionnels», tels que l’entraide judiciaire.

Il est en outre prévu que ces injonctions soient dirigées vers un représentant légal désigné par le fournisseur de services, aux fins de recueillir des preuves dans le cadre de procédures pénales, conformément aux dispositions du second volet de cet arsenal, la proposition de directive du Parlement européen et du Conseil établit des règles harmonisées concernant la désignation de représentants légaux aux fins de la collecte de preuves en matière pénale (3).

Actuellement, les prestataires de services n’ont pas d’obligation uniforme, au sein de l’Union, de disposer d’une présence physique au sein du territoire de l’Union. Exiger une telle présence permet, à tout le moins, d’harmoniser les structures aptes à répondre aux injonctions qui seraient prochainement émises, à l’instar de ce qui existe d’ores et déjà en Allemagne.

En effet, la législation allemande oblige depuis quelques années les plateformes de réseaux sociaux à désigner une personne habilitée à recevoir et traiter les demandes des services répressifs. Cette loi expose les entreprises qui ne mettraient pas en place ces dispositions à des sanctions financières pouvant aller jusqu’à 500 000 euros.

La réponse de l’UE s’inscrit dans cette lignée : les Etats membres devront veiller à ce que les prestataires de services désignent des représentants légaux habilités, chargés de respecter, au nom desdits prestataires, les injonctions et décisions émanant d’une autorité judiciaire. En outre, les Etats membres pourraient solliciter tout établissement du fournisseur de services au sein de l’Union, notamment s’il existe un risque sérieux de perte de données.

En cas de non-respect de ces obligations, les fournisseurs de services s’exposent à des sanctions pécuniaires très élevées calculées sur la base de leur chiffre d’affaires annuel mondial total de leur exercice précédent.

Négociations et perspectives

Les Etats-Unis étant le troisième pays récipiendaire des demandes d’accès à la preuve numérique formulée au sein de l’Union européenne, les négociations en cours sont décisives.

Si le Cloud Act prévoit la possibilité pour les Etats tiers de conclure des accords bilatéraux, sur le plan structurel, les objectifs confiés à la Commission, à savoir la mise en œuvre de règles communes et réciproques pour le traitement des injonctions entre l’UE et les USA, paraissent difficilement atteignables. En effet, le Cloud Act limite l’impact des accords bilatéraux par la possibilité de contester les injonctions exclusivement devant les juridictions américaines et selon ses lois. En toute hypothèse, la recherche d’un système «réciproque» compte tenu des transferts de données massives susceptibles d’être générés n’est pas nécessairement souhaitable sans garantie sérieuse du respect des droits fondamentaux et sans remise en question des principes édictés par le RGPD.

Si l’on peut espérer que le changement d’administration aux Etats-Unis puisse faire évoluer les contours des négociations UE/USA, reste à déterminer pourquoi dans un tel contexte le rapport du député Raphaël Gauvain, pour «rétablir la souveraineté de la France et de l’Europe et protéger nos entreprises des lois et mesures à portée extraterritoriale», rendu le 26 juin 2019, est resté lettre morte. Un texte législatif destiné à rénover en profondeur la «poussiéreuse» loi dite de blocage de 1968 (ou blocking Statute) devait être présenté il y a un an. Le risque de violation d’une loi nationale étant l’un des seuls garde-fous efficace pour protéger les entreprises des lois extraterritoriales, nous ne pouvons qu’espérer que le rapport Gauvain soit rediscuté prochainement en France. 

(1). Autorisation qu’il est possible d’émettre dans des hypothèses très étendues.

(2). COM/2018/225 final - 2018/0108 (COD).

(3). 2018/0107(COD).