Dans le cadre de la commission LIBE du 24 septembre 2014 s’est tenue une discussion relative à la Convention de l’Europe sur la cybercriminalité. La Convention de l’Europe sur la cybercriminalité de 2001 offre un cadre législatif international de coopération entre Etats (d’assistance mutuelle) en matière pénale quand l’infraction a été commise au moyen d’un système informatique ou lorsque les preuves existent sous forme électronique.
L’apparition des réseaux informatiques et des autoroutes de l’information, notamment l’Internet avait révélé la nécessité de mettre en place une coopération internationale permettant de faciliter les enquêtes pénales ayant trait au cyber-espace. Bien que cette convention internationale présente déjà comme avantage d’avoir défini 9 types d’infraction relevant de la cyber criminalité, et d’avoir créé un cadre de coopération entre autorités compétentes, des améliorations pourraient cependant être apportées. En effet la généralisation de l’internet a touché tous les domaines, une attention particulière doit donc être porté sur les infractions pouvant trouver un foyer dans le cyber espace. De plus la mobilité des données et des auteurs des infractions pose la question du transfert des données entre Etats ainsi que les moyens de mise en œuvre d’une coopération qui faciliterait au maximum les enquêtes en matière pénale.
Erik Planken, Président du comité de la convention sur la criminalité, a souligné que l’objectif ce cette convention était de «pénaliser un certain nombre d’infractions commises via internet », et qu’il fallait donc que celle ci permette de «localiser les infractions commises par des individus pouvant se déplacer ». Selon lui une analyse de l’efficacité des dispositifs mis en place, devrait mettre en évidence la nécessité d’améliorer l’accès aux données situées dans un autre Etats, que celui où a lieu l’enquête pénale.
Sujet sensible, le transfert des données, pose de réelles questions en matière de protection de la vie privée. Mais Erik Planken, a rappelé que l’objectif n’était pas d’élargir le champ d’application de la Convention, prévu uniquement en matière pénale, mais d’améliorer les dispositifs existants ainsi que de les adapter à la situation actuelle.
Le Comité de la Convention Cybercriminalité (T-CY) a ainsi produit une note d’orientation relative à l’Accès transfrontalier aux données (article 32). Cette note d’orientation propose une modification substantielle de l’article 32 de la Convention qui devrait permettre de gagner en efficacité. Erik Planken a défendu le contenu de la proposition, dans le but de convaincre les députés sur l’opportunité d’une telle modification qui pourrait être accomplie par la signature d’un protocole additionnel.
Rafał Wiewiórowski, inspecteur général de la protection des données personnelles en Pologne, a insisté sur deux aspects, d’une part le consentement au transfert des données d’autre part l’applicabilité dans l’UE de la directive 95/46/CE relatif à la protection des données. Se pose donc la question de savoir qui doit donner légalement son consentement pour que le transfert puisse être réalisé. Ce consentement peut émaner soit du propriétaire soit par les fournisseurs d’accès à internet. Selon lui l’accès consenti par les Fournisseurs d’accès à internet (FAI) est inadmissible car il ne correspond pas au consentement donné par le propriétaire réel de ces données. Selon lui l’accès inconditionnel aux données est « dangereux » et ne doit passer que par une meilleure coopération entre agences compétentes.
Certains députés européens ont mal reçu la proposition faite par le Comité constitué pour l’occasion afin de discuter d’un éventuel protocole additionnel qui viendrait faciliter le transfert des données nécessaires dans le cadre d’une enquête pénale. On peut citer Jan Philipp Albrecht, député vert allemand et vice président de la commission LIBE, qui s’est montré plutôt opposé à l’idée d’approuver un tel protocole. Il a dénoncé l’absence de base juridique pour signer un tel accord, et s’est indigné face aux affirmations du panel qui a interrogé la commission LIBE sur ses intentions de protection des citoyens, en affirmant qu’ils travaillaient depuis plus de cinq ans sur cette question.
Les députés ont rappelé la nécessité d’adopter le plus rapidement possible une nouvelle législation en matière de protection des données.
Où se situent les points de frictions ?
– Le champ d’application : L’article 14 de la Convention de Budapest définit le champ d’application de la dite convention. Les données informatiques doivent être traitées de la même manière que toute autre donnée dans le cadre pénal. Toute donnée informatique pouvant constituer une preuve, celle ci doit pouvoir être accessible dans le cadre d’une enquête dans un Etat partie et donc doit pouvoir être accessible. Les Etats parties à la Convention doivent donc dans leur législation prévoir la possibilité d’accéder aux données informatiques, et pouvoir la transmettre aux autorités compétentes de l’Etat requérant les données pour la poursuite d’une enquête pénale.
Les Etats doivent permettre l’interception des communications, et traduire cela juridiquement par la possibilité de saisir les agences et autorités compétentes pour contrôler. Cela pose donc la question de l’efficacité de la transmission et de la saisie des données. Les Fournisseurs d’accès à internet doivent favoriser l’acquisition de ces informations et l’interception de données électroniques.
D’autre part les Etats n’ont pas tous transposé les dispositifs prévus par la Convention sur la cybercriminalité, et l’UE n’a pas encore ratifié la Convention européenne des droits de l’homme (des négociations longues et difficiles sont en cours) ce qui complique la coopération dans ce domaine.
Les députés ont donc rappelé la nécessité d’adopter une réglementation en matière de protection des données avant 2015.
– Le transfert des données : L’article 32 de la Convention de Budapest détermine les cas dans lequel un transfert de données transfrontalier est autorisé. Deux cas sont prévus ; le transfert est possible si les informations ont été rendues publiques ou sont d’accès ou reçues « au moyen d’un système informatique situé sur son territoire, des données informatiques stockées situées dans un autre Etat ».
Erik Planken a insisté sur la nécessité d’œuvrer dans un sens. Le problème selon lui ne touche pas à l’accès aux données mais à leur transfert.
Le transfert des données est au cœur des préoccupations. La Convention de Budapest pose un corpus législatif complexe, dont la langue a été un des freins à la traduction et à la ratification de la Convention par les Etats.
L’accès direct aux données par un Etat partie à la Convention est-il autorisé par la Convention ?
L’article 32 b énonce une exception au principe de territorialité en autorisant dans des circonstances limitées l’accès transfrontalier unilatéral sans passer par l’entraide judicaire. L’article 32b prévoit deux cas de figure mais fait preuve d’ambiguïté en disposant que d’autres situations « ne sont ni autorisées ni exclues. Les deux situations prévus par la convention sont les suivants ; celle dans laquelle les données en question sont accessibles au public, et ensuite celle dans laquelle la Partie a obtenu accès à ou reçu des données situées en dehors de son territoire, au moyen d’un système informatique situé sur son territoire, et a obtenu le consentement légal et volontaire de la personne légalement autorisée à lui divulguer ces données au moyen de ce système informatique. La question de savoir qui est la personne « légalement autorisée » pour communiquer des données peut varier en fonction des circonstances, la nature de la personne et du droit applicable concernés.
Alexander Seger, secrétaire exécutif du comité de la convention sur la cybercriminalité, ainsi que Giovanni Buttarelli, directeur adjoint de l’Agence européenne du contrôle de la protection des données (CEPD-EDPS), ont soulevé la nécessité de renforcer l’accès direct aux données informatiques et d’ouvrir le champs d’application à la criminalité et non seulement à la cyber criminalité.
– La coopération entre autorités ou agences compétentes :
La coopération entre autorités compétentes en matière de données informatiques et réseaux informatique, à l’échelle nationale doit être approfondie. Le panel a insisté sur la lourdeur des procédures ainsi que le cadre législatif peu efficace pour agir rapidement en matière criminelle. Les données électroniques peuvent rapidement se déplacer et le cadre juridique n’offre pas directement un accès inconditionnel aux données informatiques d’un Etat partie se situant sur un autre Etat parti. La coopération entre autorité compétente doit donc être accentuée. Les infractions transfrontalières sont en augmentation et les zones de « Dark net » de plus en plus nombreuses, et la question de l’accès transfrontalier des données pose des problèmes d’efficacité dans les enquêtes pénales.
Les députés ont à nouveau exprimé leurs réserves la proposition de créer un protocole additionnel qui viendrait ouvrir les possibilités offertes par l’article 13B en matière d’accès transfrontalier aux données.
Certains députés méfiants craignant la manipulation que pourrait être faite des données des citoyens ont rappelé les derniers scandales en matière d’espionnage et de surveillance de masse. Helga Stevens, a insisté sur le principe de proportionnalité qui doit être appliqué dans le cadre du traitement des données, et des méthodes de mise en œuvre de saisies et acquisitions transfrontalières de données électroniques.
La commission LIBE a clôturé cet échange de vues en rappelant la nécessité d’adopter une nouvelle réglementation en matière de protection des données pour protéger la vie privée des citoyens. Elle a aussi rappelé que certains Etats de l’UE n’avaient toujours pas ratifié la Convention de Budapest.
D’autre part il a été souligné la nécessité de coopérer entre Etats et avec tous les Etats car la question de cyber criminalité n’a pas de frontière.
Marie-Anne Guibbert
En savoir plus :
-. Note d’orientation du n° 3 Accès transfrontalier aux données (article 32) – Comité de la Convention Cybercriminalité(T-CY) – Conseil de l’Europe – Strasbourg, version 5 novembre 2013 (FR) : http://www.coe.int/t/dghl/cooperation/economiccrime/Source/Cybercrime/TCY/TCY%202013/T- CY(2013)7F_REV_GN3_transborder_V11.pdf
-. Rapport explicatif – Convention sur la Cyber criminalité- Conseil de l’Europe – (FR)
http://conventions.coe.int/Treaty/fr/Reports/Html/185.htm
-. Convention sur la Cyber criminalité – Conseil de l’Europe – 23 novembre 2001- (FR)
http://conventions.coe.int/Treaty/fr/Treaties/Html/185.htm
Le verbatim de la réunion établi par anne-marie Guibbert peut être obtenu sur demande