L’UE veut accélérer le partage de données avec la police

Exclusif. Les applications de messagerie et autres services numériques seront obligés de partager les données de leurs utilisateurs avec la police dans les dix jours suivant une demande, ou en six heures en cas d’urgence.

La Commission européenne va faire preuve de sévérité envers les entreprises de la tech pour qu’elles partagent les preuves électroniques, nécessaires pour des enquêtes criminelles. Et ce, quel que soit l’endroit où siège l’entreprise ou l’endroit où sont stockées les données, selon des propositions obtenues par Euractiv. La réforme devrait être annoncée le 17 avril.

La loi sur les preuves électroniques forcera un large éventail d’application de communication numérique à répondre rapidement à des demandes de données de la part des forces de l’ordre ou de la justice.

Les services qui tomberont sous le coup des nouvelles règles sont « des réseaux sociaux comme Twitter et Facebook », des fournisseurs de services en nuage, les registres de noms de domaines et même les plateformes de e-commerce permettant à des consommateurs ou des commerçants de conclure des transactions

La proposition de la Commission fait référence à une « utilisation exponentielle de l’utilisation de services et applications en ligne, parfois détournée pour commettre des crimes ».

La commissaire à la justice, Věra Jourová, affirme que des changements juridiques sont nécessaires car les autorités sont confrontées à des procédures longues et difficiles pour recevoir des données stockées dans d’autres pays pour leurs enquêtes.

Changements controversés

Les changements à apporter sont controversés. Les défenseurs de la vie privée contestent le projet de la Commission de forcer les entreprises à rapidement fournir des données.

Le nouveau système contournera les TEJ, traités d’entraide judiciaire, jugés trop longs par les autorités. Dans le cadre de ces accords, les responsables de la justice des pays partenaires coopèrent entre eux. Avec la nouvelle loi sur les preuves électroniques, les autorités s’adresseront directement à une entreprise étrangère, sans intermédiaire.

La Commission proposera deux nouvelles lois drastiques pour les entreprises de la tech. Un nouveau règlement autorisera ainsi les autorités dans les États membres à demander aux entreprises de partager leurs données dans les dix jours, voire six heures « en cas de menace imminente pour la vie ou l’intégrité physique d’une personne ou pour une infrastructure cruciale ».

Une directive obligera par ailleurs toute société fournissant des services qui collectent des preuves électroniques dans l’UE à nommer un représentant légal dans l’Union européenne. Les juristes nommés par ces entreprises devront répondre aux demandes de données de la police.

Exigences de la police européenne

Le système imposera un grand changement aux entreprises qui n’ont actuellement pas de bureau ou ne stockent pas de données sur les utilisateurs dans l’UE : si leurs services sont disponibles dans le bloc, ces entreprises devront se conformer aux exigences de la police européenne.

La proposition précise que tous les services auxquels les utilisateurs basés dans l’UE peuvent accéder par l’intermédiaire des app stores seront également soumis aux règles.

Par conséquent, les autorités policières des pays de l’UE pourront exiger des données utilisateur de n’importe quelle application de messagerie ou service de communication numérique opérant dans le bloc.

« Étant donné la nature sans frontières de l’Internet, ces services peuvent être fournis de n’importe où et n’exigent pas nécessairement d’infrastructure physique, une présence corporative ou du personnel dans les États membres où les services sont proposés », précise le règlement.

Bruxelles veut faciliter l'accès de la police aux données chiffrées

L’exécutif européen insiste sur le fait que ses propositions pour faciliter l’accès de la police aux données privées n’affaibliront pas le chiffrement.

Les entreprises pourront faire appel des ordres juridiques et demander le remboursement des transferts de données si les lois nationales des États membres couvrent ces coûts. Elles feront toutefois face à des sanctions si elles refusent de répondre aux demandes.

Les autorités policières ne peuvent exiger des données que pour les crimes passibles de peines allant jusqu’à trois ans de prison.

En raison de ce seuil élevé, la Commission a décidé que les demandes se concentreraient sur des infractions graves telles que « l’appartenance à une organisation criminelle, le financement de groupes terroristes », la formation à des actes terroristes ou le soutien à une organisation criminelle.

Les gouvernements nationaux ont fait pression sur la Commission pour qu’elle propose des règles visant à faciliter l’accès de la police aux données stockées dans d’autres États membres de l’UE. Mais les nouvelles propositions vont plus loin en couvrant les entreprises situées en dehors de l’UE.

Plus tôt cette année, Věra Jourováa confirmé qu’elle cherchait à étendre le nouveau système pour y inclure une entente de partage de données avec les États-Unis.

Ces plans sont maintenant incertains. Les autorités américaines pourront exiger des données détenues à l’étranger si elles sont nécessaires pour des enquêtes, en vertu de la nouvelle loi CLOUD, que les législateurs ont approuvée la semaine dernière lors d’un vote accéléré.

Accords bilatéraux avec les États-Unis

Des experts juridiques soutiennent que la nouvelle loi européenne sur la protection des données, qui entrera en vigueur en mai, empêchera les entreprises d’être obligées de fournir des données aux autorités américaines, à moins que les États membres de l’UE n’acceptent des accords bilatéraux avec les États-Unis.

Cela signifie qu’en vertu des nouvelles propositions, les entreprises basées aux États-Unis seront tenues de fournir des données aux autorités européennes si elles opèrent dans le bloc. Mais que les entreprises européennes n’auront pas besoin de se conformer aux exigences américaines en matière de données.

Věra Jourová s’est dite déçue par la nouvelle loi américaine, et a tweeté le 26 mars que la loi CLOUD « rédui[sait] la marge de manœuvre pour une solution potentiellement compatible entre l’UE et les États-Unis ».

La responsable de la justice européenne a écrit qu’elle faisait pression pour « une approche coordonnée afin d’éviter différents accords bilatéraux ».

Un assistant de la commissaire a révélé en novembre dernier que la commissaire avait demandé au procureur général des États-Unis, Jeff Sessions, plusieurs mois auparavant, d’entamer des négociations en vue d’un accord entre l’UE et les États-Unis.

Les tensions politiques autour de l’accès de la police aux données s’exacerbent des deux côtés de l’Atlantique depuis plusieurs mois.

Microsoft est actuellement au centre d’une affaire très médiatisée devant la Cour suprême des États-Unis à la suite du refus de l’entreprise de transmettre des données aux autorités américaines qui sont stockées sur un serveur en Irlande. La Commission a elle-même saisi la Cour suprême américaine.

Selon le projet de règlement de l’UE sur les preuves électroniques, la Commission prévoit toujours de « discuter avec les États-Unis et d’autres pays tiers de la possibilité de futurs accords bilatéraux ou multilatéraux ».

Entre-temps, l’exécutif de l’UE souhaite que les TEJ existants avec les autorités des pays extérieurs au bloc fonctionnent plus rapidement.

Le projet de règlement de la Commission prévoit un financement d’un million d’euros pour former les autorités policières des États membres à l’utilisation des TEJ, « en mettant l’accent sur les États-Unis en tant que pays tiers recevant le plus grand nombre de demandes de l’UE ».

L'UE veut faciliter l'accès de la police à Whatsapp

La Commission européenne va proposer des mesures pour permettre aux services de police d’accéder aux données cryptées des applications comme Whatsapp. La commissaire à la justice, Věra Jourová, répond ainsi aux requêtes des ministres de l’Intérieur.

Subscribe to our newsletters

Subscribe