Tribune de Jean-Sébastien Mariez, avocat fondateur du cabinet Momentum.
Enjeu majeur de l’effectivité de la lutte contre les contenus illicite, l’accès aux informations des utilisateurs de services internet fait partie des derniers sujets à l’agenda du trilogue qui doivent être tranchés afin de fixer définitivement les obligations que le « Digital Services Act » (DSA) fera prochainement peser sur les plateformes numériques en la matière.
Quel que soit le contexte des investigations, la divulgation des données permettant d’identifier l’utilisateurs d’un service internet est encadrée par des conditions strictes. Leur objet est de garantir les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel des personnes dont les données sont concernées par les demandes d’accès. Une série de récents arrêts de la Cour de justice de l’Union européenne, on peut citer l’arrêt La Quadrature du Net e.a., démontre s’il en était besoin que le droit de l’Union ne transige pas avec ces questions, quitte à contraindre les Etats membres à adapter en conséquence les règles encadrant la conservation et l’accès aux données d’identification.
L’imbroglio est exacerbé dans les situations transfrontalières où l’autorité d’un Etat membre de l’Union européenne, la France par exemple, requiert la communication de données directement auprès du fournisseur de services internet qui n’est pas établit sur son territoire national. Si l’autorité ne fonde pas sa demande sur un des instruments de coopération inter-étatiques en vigueur, la Cour de cassation a jugé dès 2013 que le fournisseur n’est pas tenu d’y répondre. Illustration de la confusion ambiante, cette règle issue de la Haute juridiction n’a pour autant pas dissuadé le parquet de Versailles de faire appel de la décision de relaxer, Twitter à qui était reproché son absence de coopération avec les autorités.
Pour tenter de remédier aux critiques récurrentes des instruments en place – complexité, lourdeur, coût – le DSA innove et prévoit à son article 9 la possibilité pour toutes les autorités judiciaires ou administratives nationales compétentes d’enjoindre la communication des données d’identifications aux fournisseurs établis dans un autre Etat membre.
Concernant les investigations judiciaire, pénale ou sous l’autorité d’une juge civil agissant par voie d’ordonnance, l’apport du texte n’apparaît pas de manière évidente. Il semble doublonner les instruments existants, en matière civile, le Règlement Bruxelles I Bis ou, en matière pénale, le très récent deuxième protocole additionnel à la convention sur la cybercriminalité du Conseil de l'Europe et le projet à venir de Règlement e-Evidence dont l’objet porte précisément sur la mise en place d’une procédure de divulgation directe et transfrontière des données relatives aux abonnés des services internet. S’agissant ensuite des garanties applicables au regard du droit des personnes et de la définition des catégories de données concernées, l’article 9 renvoie largement aux règles de procédures civile et pénale de rigueur. Il faut donc souhaiter qu’il fasse l’objet d’une application rigoureusement cohérente avec ces dernières garanties.
Le volet administratif est davantage problématique dès lors qu’il ne reprend pas les exigences récemment clarifiées par la CJUE dans son arrêt Prokuratuur. Les fournisseurs de services internet seraient en effet tenus de répondre directement à toute autorité administrative sans que le texte ne prévoie de garanties spécifiques quant à l’indépendance de l’autorité requérante et son contrôle préalable par une autorité tierce chargée de concilier de manière objective et impartiale les différents intérêts et droits en cause. A défaut de précisions, l’article 9 risque donc de donner lieu à des demandes de communication dans des conditions non conformes au droit de l’Union. Il faut souhaiter que les derniers trilogues permettent de remédier à cette difficulté de taille.
Jean-Sébastien Mariez, avocat fondateur du cabinet Momentum