Annexe 2 – Rapport
explicatif
1. Le deuxième
Protocole additionnel à la Convention sur la cybercriminalité relatif
à une coopération et la divulgation de preuves électroniques renforcée
(«le présent Protocole») a été adopté par le Comité des Ministres
du Conseil de l'Europe lors de sa [xxx] réunion ([jour mois année])
des Délégués des Ministres et le Protocole a été ouvert à la signature
à [lieu] le [jour mois année] [sur la question de la [conférence]
et [ ]]. Le Comité des Ministres a également pris note du rapport
explicatif.
2. Le texte du présent rapport explicatif est destiné à guider
et à aider les Parties dans l'application du présent Protocole et
reflète la compréhension des rédacteurs quant à son fonctionnement.
Introduction
Contexte
3. Depuis son ouverture à la signature
à Budapest, le 23 novembre 2001, la Convention sur la cybercriminalité
(STE n° 185; ci-après «la Convention»), est devenue un instrument
auquel ont adhéré des pays de toutes les régions du monde et qui
a des incidences sur chacune d’elles.
4. En 2003, la Convention a été complétée par le Protocole additionnel
à la Convention sur la cybercriminalité relatif à l’incrimination
des actes de nature raciste et xénophobe commis par le biais de systèmes
informatiques (STE n° 189; dénommé ci-après le «Premier Protocole»).
5. Les technologies de l’information et des communications ont
extraordinairement évolué et transformé la société partout dans
le monde depuis l’ouverture de la Convention à la signature en 2001.
Toutefois, depuis lors, on a également constaté une augmentation
significative de l'exploitation de technologies à des fins criminelles.
La cybercriminalité est désormais considérée par de nombreuses Parties
comme une grave menace pour les droits fondamentaux des personnes,
l’État de droit et le fonctionnement des sociétés démocratiques.
Les menaces posées par la cybercriminalité sont nombreuses. On peut
citer comme exemple la violence sexuelle exercée en ligne contre
des enfants et les autres atteintes à la dignité et à l’intégrité
des personnes; le vol et l’utilisation détournée de données personnelles
qui constituent une ingérence dans le droit au respect de la vie
privée; l’ingérence dans les processus électoraux et autres attaques
contre les institutions démocratiques; les attaques contre les infrastructures
critiques telles que celles par déni de service distribué et par
des logiciels rançonneurs; ou l’utilisation abusive de ces technologies
à des fins terroristes. En 2020-2021, pendant la pandémie du COVID-19,
les pays ont observé une flambée massive de cybercriminalité liée au
COVID-19, qui a pris des formes variées: attaques contre les hôpitaux
et établissements médicaux qui développent des vaccins contre le
virus, utilisation abusive de noms de domaine pour promouvoir de
faux vaccins, traitements et remèdes, ainsi que d’autres types d’activités
frauduleuses.
6. Malgré la croissance des technologies fondées sur les données
et l'expansion et l'évolution pernicieuses de la cybercriminalité,
les concepts énoncés dans la Convention sont neutres sur le plan
technologique, de sorte que les infractions de droit pénal matériel
peuvent être appliquées aux technologies concernées tant actuelles
que futures, et la Convention reste essentielle dans la lutte contre
la cybercriminalité. La Convention vise principalement à (1) harmoniser
les éléments de droit pénal matériel interne des infractions et
les dispositions connexes dans le domaine de la cybercriminalité,
(2) prévoir les procédures pénales internes nécessaires pour les
enquêtes et les poursuites concernant ces infractions ainsi que
d'autres infractions commises au moyen d'un système informatique
ou relatives à l'utilisation de preuves électroniques d'autres infractions
et (3) mettre en place des mécanismes de coopération internationale.
7. En appliquant la Convention, les Parties respectent la responsabilité
qu'ont les gouvernements de protéger les individus contre la criminalité,
qu'elle soit commise en ligne ou hors ligne, par des enquêtes et
des poursuites pénales efficaces. En effet, certaines Parties à
la Convention considèrent qu'elles sont liées par une obligation
internationale de fournir les moyens de protection contre les infractions
commises au moyen d'un système informatique (voir K.U. c. Finlande,
Cour européenne des droits de l’homme (requête n° 2872/02) (qui fait
référence aux procédures et pouvoirs en matière d'enquêtes ou de
procédures pénales que les Parties doivent établir en vertu de la
Convention)).
8. Les Parties ont constamment cherché à remplir leur engagement
de lutter contre la cybercriminalité en s'appuyant sur divers mécanismes
et organes créés en vertu de la Convention et en prenant les mesures nécessaires
pour permettre des enquêtes et des procédures pénales plus efficaces.
Il est important de noter que l'utilisation et la mise en œuvre
de la Convention sont facilitées par le Comité de la Convention
sur la cybercriminalité (T-CY) établi en vertu de l'article 46 de
cette Convention. En outre, la Convention est soutenue par des programmes
de renforcement des capacités mis en œuvre par le Bureau du programme
sur la cybercriminalité du Conseil de l'Europe à Bucarest, en Roumanie,
qui aident les pays du monde entier à mettre en œuvre la Convention.
Ce triangle composé (a) des normes communes de la Convention dans
le domaine de la cybercriminalité, associé (b) à un mécanisme solide
d'engagement permanent des Parties par le biais de la T-CY, et (c)
à l'accent mis sur les programmes de renforcement des capacités,
a contribué de manière significative à la portée et à l'impact de
la Convention.
9. En 2012, le T-CY, agissant conformément au mandat que lui
confère l’article 46, paragraphe 1, de la Convention concernant
«l’échange d’informations sur les nouveautés juridiques, politiques
ou techniques importantes observées dans le domaine de la criminalité
informatique et la collecte de preuves sous forme électronique»
et «l’examen de l’éventualité de compléter ou d’amender la Convention»,
a créé le Groupe ad hoc sur l’accès frontalier aux données et sur
les questions de compétence territoriale («Groupe sur l’accès transfrontalier»).
En décembre 2014, le T-CY avait déjà terminé une évaluation des
dispositions d'entraide de la Convention sur la cybercriminalité
et adopté une série de recommandations, dont certaines devaient
être traitées dans un nouveau protocole à la Convention. Ces efforts
ont mené à la création, en 2015, du Groupe de travail sur l’accès
de la justice pénale aux preuves stockées dans les «nuages», y compris
par le biais de l’entraide judiciaire («Groupe sur les preuves dans
le nuage»).
10. En 2016, le Groupe sur les preuves dans le nuage a conclu,
entre autres points, que «la cybercriminalité, le nombre de terminaux,
de services et d’utilisateurs (notamment de terminaux et services
mobiles) et, partant, le nombre de victimes ont atteint des proportions
telles que seule une infime partie de la cybercriminalité ou autres
infractions impliquant des preuves électroniques sera jamais enregistrée
et donnera jamais lieu à des enquêtes. L’immense majorité des victimes
ne peut pas s’attendre à ce que justice soit rendue. Les principales difficultés
mises en évidence par le groupe concernaient «l’informatique en
nuage, la territorialité et la compétence» et, de ce fait, l’obtention
d’un accès efficace aux preuves électroniques et leur divulgation.
11. En examinant les conclusions du Groupe sur les preuves dans
le nuage, les Parties à la Convention ont conclu qu’il n’était pas
nécessaire de modifier la Convention ni de prévoir de nouvelles
incriminations par le biais du droit pénal matériel. Toutefois,
les Parties sont convenues que des mesures supplémentaires devaient être
prises pour renforcer la coopération et la capacité des autorités
de justice pénale à obtenir des preuves électroniques en élaborant
un deuxième Protocole additionnel, ce afin de rendre plus efficace
l’action de la justice pénale et de préserver l’État de droit.
Les travaux préparatoires
12. Lors de sa 17e réunion plénière
(8 juin 2017), le T-CY a approuvé le mandat pour la préparation
du présent Protocole sur la base d’une proposition formulée par
le Groupe sur les preuves dans le nuage. Il a décidé d’engager de
sa propre initiative le processus de rédaction de ce Protocole en
se prévalant de l’article 46, paragraphe 1.c, de la Convention.
Le 14 juin 2017, la Secrétaire générale adjointe du Conseil de l’Europe a
informé le Comité des Ministres (1289ème réunion des Délégués des
Ministres) de cette initiative du T-CY.
13. Couvrant initialement la période allant de septembre 2017
à décembre 2019, le mandat a été ultérieurement prorogé par le T-CY
jusqu’en décembre 2020, puis à nouveau jusqu’en mai 2021.
14. En application des dispositions de ce mandat, le T-CY a créé
une Plénière de rédaction du Protocole (PDP) composée de représentants
des Parties à la Convention, et d’États, d’organisations et d’organes
du Conseil de l’Europe dotés du statut d’observateur auprès du T-CY
en qualité d’observateurs. La PDP était assistée dans la préparation
du projet de protocole par un Groupe de rédaction du Protocole (PDG),
composé d’experts des Parties à la Convention. Le PDG a créé à son
tour plusieurs sous-groupes et groupes ad hoc chargé d’élaborer
des dispositions spécifiques.
15. Entre septembre 2017 et mai 2021, le T-CY a tenu 10 Plénières
de rédaction, 16 réunions du Groupe de rédaction et un grand nombre
de réunions de sous-groupe et de groupe ad hoc. La plus grande partie
du présent Protocole a été préparée pendant la pandémie de COVID-19.
Du fait des restrictions liées à la COVID-19, entre mars 2020 et
mai 2021, plus de 65 réunions ont eu lieu par visioconférence.
16. Les méthodes de travail susvisées (plénières, groupes de rédaction
et sous-groupes et groupes ad hoc) ont permis aux représentants
et aux experts des Parties d’apporter des contributions très importantes
à la rédaction du Protocole et de mettre au point des solutions
innovantes.
17. La Commission de l’Union européenne a participé à ces travaux
au nom des États parties à la Convention qui étaient membres de
l’Union européenne en vertu d’un mandat de négociation conféré par
le Conseil de l’Union européenne le 6 juin 2019.
18. Une fois le projet de dispositions établi et adopté à titre
provisoire par le PDP, ce projet d’articles a été publié et les
parties prenantes ont été invitées à formuler des observations à
son sujet.
19. Le T-CY a organisé six séries de consultations avec les parties
prenantes de la société civile, du secteur privé ainsi que des experts
en protection des données: en marge de la Conférence Octopus sur
la cybercriminalité à Strasbourg en juillet 2018, avec des experts
en protection des données à Strasbourg en novembre 2018, sous la
forme d’une invitation à présenter des observations écrites sur
le projet d’articles en février 2019, en marge de la Conférence
Octopus sur la cybercriminalité à Strasbourg en novembre 2019, sous la
forme d’une invitation à présenter des observations écrites sur
le nouveau projet d’articles en décembre 2020, et en mai 2021 via
des soumissions écrites et une réunion virtuelle tenue le 6 mai
2021.
20. Par ailleurs, le T-CY a consulté le Comité européen pour les
problèmes criminels (CDPC) et le Comité consultatif de la Convention
pour la protection des personnes à 'égard du traitement automatisé
des données à caractère personnel (T-PD) du Conseil de l'Europe.
21. La 24e plénière du T-CY tenue le 28 mai 2021 a approuvé le
projet du présent Protocole et décidé de le soumettre au Comité
des Ministres pour adoption.
Questions de fond
22. Du point de vue du fond, les
travaux d’élaboration du présent Protocole sont partis, d’une part,
des résultats de l’évaluation par le T-CY, en 2014, des dispositions
de la Convention relatives à l’entraide, ainsi que des analyses
et recommandations du Groupe sur l’accès transfrontalier et du Groupe
sur les preuves dans le nuage, en 2014 et 2017, respectivement.
En particulier, les défis en matière de territorialité et de compétence
se rapportant aux preuves électroniques, c’est-à-dire le fait que
les données nécessaires aux fins d’une enquête pénale peuvent être
stockées dans des juridictions multiples, changeantes ou inconnues
(«dans le nuage»), et le fait que des solutions doivent être apportées
pour obtenir la divulgation de ces données de façon efficace et
efficiente aux fins d’enquêtes ou de procédures pénales données,
ont été jugés préoccupants.
23. Devant la complexité de ces défis, les rédacteurs du présent
Protocole sont convenus d’axer leur attention sur les questions
spécifiques énumérées ci-après:
- Au
moment de la rédaction du Protocole, les demandes d'entraide judiciaire
étaient la principale méthode pour obtenir des preuves électroniques
d'une infraction pénale auprès d'autres États, y compris les outils
d'entraide judiciaire de la convention. Toutefois, l’entraide judiciaire
n’est pas toujours un bon moyen de traiter un nombre croissant de
demandes de preuves électroniques volatiles. On a donc jugé nécessaire
de mettre au point un mécanisme plus rationnel pour émettre des
ordres ou des demandes aux fournisseurs de services d'autres parties
afin de produire des informations sur les abonnés et des données
relatives au trafic.
- Les données relatives aux abonnés – servant par exemple
à identifier l’utilisateur d’un compte de messagerie électronique
ou de média social, ou d’une adresse de protocole Internet (IP)
utilisée pour commettre une infraction – sont les données le plus
souvent recherchées dans les enquêtes pénales nationales et internationales
liées à la cybercriminalité et à d’autres crimes impliquant des
preuves électroniques. En l’absence de ces données, il est souvent
impossible de poursuivre une enquête. Dans la plupart des cas, le
recours à l’entraide judiciaire pour obtenir les données relatives
aux abonnés n’est pas efficace et engorge le système d’entraide
judiciaire. Ces données sont d’ordinaire détenues par les fournisseurs
de services. L’article 18 de la Convention traite bien certains
aspects de l’obtention des données relatives aux abonnés auprès
des fournisseurs de services (voir la note d’orientation du T-CY relative
à l’article 18), y compris dans les autres Parties, mais il a été
jugé nécessaire de concevoir des outils complémentaires pour obtenir
la divulgation de données relatives aux abonnés directement auprès
d’un fournisseur de services d’une autre Partie. Ces outils permettraient
d'accroître l'efficacité du processus et aussi d'alléger la pression
sur le système d’entraide.
- Les données relatives au trafic sont également souvent
recherchées dans le cadre d'enquêtes criminelles, et leur divulgation
rapide peut s'avérer nécessaire pour remonter à la source d'une communication
et servir de point de départ à la collecte de preuves supplémentaires
ou à l'identification d'un suspect.
- De même, comme de nombreuses formes de criminalité en
ligne sont facilitées par des domaines créés ou exploités à des
fins criminelles, il est nécessaire d’identifier la personne qui
a enregistré un domaine de ce type. De telles informations sont
détenues par des entités fournissant des services d’enregistrement
de noms de domaine, c’est-à-dire, en général, des bureaux d’enregistrement.
Il s’impose donc de mettre en place un dispositif efficace permettant
d’obtenir ces informations auprès des entités en question dans les
autres Parties.
- Lorsque, dans une situation d’urgence, il existe un risque
grave et imminent pour la vie ou la sécurité d’une personne physique,
il faut intervenir rapidement soit en fournissant une entraide d’urgence,
soit en utilisant le réseau de points de contact disponibles 24
heures sur 24 créé en application de la Convention.
- En outre, les outils éprouvés d’entraide mutuelle et de
coopération internationale devraient être utilisés plus largement
et entre toutes les parties. D’importantes mesures telles que la
visioconférence ou les équipes communes d’enquête sont d’ores et
déjà disponibles en vertu d’instruments du Conseil de l’Europe (par
exemple, le deuxième Protocole additionnel à la Convention européenne
d’entraide judiciaire en matière pénale, STE n°182) ou d’autres
accords bilatéraux et multilatéraux. Cependant, de tels mécanismes
ne sont pas universellement disponibles parmi les Parties à la Convention,
et le Protocole vise à combler cette lacune.
- La Convention prévoit la collecte et l'échange d'informations
et de preuves pour des enquêtes ou des procédures pénales spécifiques.
Les rédacteurs ont reconnu que l'établissement, la mise en œuvre
et l'application des pouvoirs et des procédures liés aux enquêtes
et aux poursuites pénales doivent toujours être soumis à des conditions
et à des garanties qui assurent une protection adéquate des droits de
l'homme et des libertés fondamentales. Il était donc nécessaire
d'inclure un article sur les conditions et les garanties, (similaire
à l'article 15 de la Convention). En outre, reconnaissant l'exigence
de nombreuses Parties de protéger la vie privée et les données à
caractère personnel afin de satisfaire à leurs obligations constitutionnelles
et internationales, les rédacteurs ont décidé de prévoir des garanties spécifiques
de protection des données dans ce Protocole. Ces garanties de protection
des données complètent les obligations de nombreuses Parties à la
Convention, qui sont également parties à la Convention pour la protection
des personnes à l'égard du traitement automatisé des données à caractère
personnel (STE n° 108). Le protocole d'amendement à cette Convention
(STCE n° 223) a été ouvert à la signature lors de la rédaction de
ce Protocole en octobre 2018. Il convient également de noter que
le processus de rédaction de ce Protocole a associé des Parties
non soumises, à l’époque, aux instruments du Conseil de l’Europe
relatifs à la protection des données ni aux règles de protection
des données de l’Union européenne. En conséquence, des efforts importants
ont été consentis pour élaborer un Protocole équilibré qui tienne
compte des nombreux systèmes juridiques des États appelés à devenir
Parties au Protocole tout en notant qu’il importait d’assurer la
protection des droits au respect de la vie privée et à la protection
des données comme l'exigent les constitutions et les obligations internationales
des autres Parties à la Convention.
24. Les rédacteurs ont également examiné d’autres mesures qui,
à l’issue d’une discussion approfondie, n’ont pas été retenues dans
le présent Protocole. Deux de ces dispositions, à savoir «enquêtes
clandestines à l’aide d’un système informatique» et «extension du
champ des perquisitions», présentaient un grand intérêt pour les
Parties, mais auraient exigé des efforts et du temps supplémentaires
et de nouvelles consultations avec les parties prenantes. Il n’a
donc pas été jugé possible de les traiter dans le délai imparti
pour la préparation du présent Protocole. Les rédacteurs ont proposé
d’en poursuivre l’examen sous une autre forme et, éventuellement,
dans le cadre d’un instrument juridique distinct.
25. Dans l’ensemble, les rédacteurs ont considéré que les dispositions
du présent Protocole apporteraient une forte valeur ajoutée sur
le plan opérationnel aussi bien que sur celui des principes directeurs.
Le Protocole améliorera considérablement la capacité des Parties
à renforcer la coopération entre elles et entre les parties et les
fournisseurs de services et autres entités et à obtenir la divulgation
de preuves électroniques aux fins d'enquêtes ou de procédures pénales
spécifiques. Ainsi, ce Protocole, comme la Convention, vise à accroître la
capacité des autorités de justice pénale à lutter contre la cybercriminalité
et d'autres infractions, tout en respectant pleinement les droits
de l'homme et les libertés fondamentales, et il souligne l'importance
et la valeur d'un Internet fondé sur la libre circulation des informations.
Le Protocole
26. Comme énoncé dans le préambule,
le présent Protocole vise à renforcer davantage la coopération en matière
de cybercriminalité et de collecte de preuves sous forme électronique
et la capacité des autorités de justice pénale à recueillir des
preuves sous forme électronique d’une infraction pénale aux fins
d’enquêtes ou de procédures pénales spécifiques au moyen d’outils
supplémentaires ayant trait à une entraide judiciaire plus efficace
et à d’autres formes de coopération entre autorités compétentes;
la coopération dans les situations d’urgence (c’est-à-dire les situations
où existe un risque important et imminent pour la vie ou la sécurité
d’une personne physique) et la coopération directe entre les autorités
compétentes et les fournisseurs de services et d’autres entités
ayant en leur possession ou sous leur contrôle des informations
pertinentes. Le présent Protocole a donc pour but de compléter la
Convention et, entre les Parties à celle-ci, le premier Protocole.
27. Le présent Protocole est divisé en quatre chapitres: I. Dispositions
communes; II. Mesures de coopération renforcée; III. Conditions
et garanties, et IV. Dispositions finales.
28. Les dispositions communes du chapitre I portent sur le but
et la portée de ce Protocole. Comme c’est le cas de la Convention,
le Protocole a trait à des enquêtes ou procédures pénales spécifiques,
concernant non seulement la cybercriminalité, mais toute infraction
pénale pour laquelle les preuves se présentent sous forme électronique,
également appelée communément «preuve électronique» ou «preuve numérique».
Ce chapitre rend les définitions de la Convention applicables au
présent Protocole et donne des définitions supplémentaires pour
les termes qui reviennent fréquemment dans le Protocole. De plus,
étant donné que les exigences en matière de connaissance de la langue
au titre de l’entraide judiciaire et d’autres formes de coopération
entravent souvent l’efficacité des procédures, un article sur la
«langue» a été ajouté pour permettre d’adopter une approche plus
pragmatique à cet égard.
29. Le chapitre II comprend les principaux articles de fond du
Protocole, qui décrivent plusieurs types de coopération auxquels
s’appliquent différents principes. Aussi a-t-il été nécessaire de
diviser ce chapitre en sections, intitulées respectivement 1) principes
généraux applicables au chapitre II, 2) procédures de renforcement
de la coopération directe avec les fournisseurs de services et les
entités fournissant des services d'enregistrement de noms de domaine
dans d'autres Parties, 3) procédures de renforcement de la coopération internationale
entre les autorités pour obtenir la divulgation de données informatiques
stockées, 4) procédures relatives à l’entraide judiciaire d’urgence,
et 5) procédures relatives à la coopération internationale en l’absence d’accords
internationaux applicables.
30. Le chapitre III prévoit des conditions et des garanties. Elles
exigent des Parties qu’elles appliquent également des conditions
et garanties analogues à celles qui font l’objet de l’article 15
de la Convention aux pouvoirs et procédures énoncés dans le présent
Protocole. En outre, le présent chapitre inclut un ensemble détaillé
de garanties applicables à la protection des données à caractère
personnel.
31. La plupart des dispositions finales du chapitre IV sont peu
différentes des dispositions finales classiques des instruments
du Conseil de l’Europe ou rendent les dispositions de la Convention
applicables au présent Protocole. Font exception l’Article 15 intitulé
«Effets de ce Protocole», l’Article 17 «Clause fédérale» et l’Article 23
«Concertation des Parties et évaluation de l’application», qui diffèrent
à des degrés divers des dispositions analogues de la Convention.
Non seulement ce dernier article rend-t-il l’article 46 de la Convention
applicable, mais il dispose également que l’application et l’utilisation
effective des dispositions du présent Protocole est évaluée périodiquement
par les Parties.
Commentaire sur les articles du
Protocole
Chapitre I – Dispositions communes
Article 1 – But
32. Le présent Protocole a pour objet
de compléter a) la Convention entre les Parties au présent Protocole et,
b) le Premier Protocole entre les Parties à celui-ci qui sont également
Partie au présent Protocole.
Article 2 – Champ
d’application
33. La portée générale d’application
de ce Protocole est la même que celle de la Convention: les mesures prévues
par ce Protocole doivent être appliquées, entre les Parties à ce
Protocole, à des enquêtes ou procédures pénales spécifiques, concernant
des infractions pénales liées à des systèmes et données informatiques
(autrement dit les infractions couvertes par l’article 14 de la
Convention, paragraphe 2, lettres a-b), ainsi qu’au recueil de preuves
sous forme électronique d’une infraction pénale (Article 14 de la
Convention, paragraphe 2.c). Comme expliqué aux paragraphes 141
et 243 du Rapport explicatif à la Convention, cela veut dire que
lorsque l’infraction est commise par le biais d’un système informatique,
ou lorsqu’une infraction qui n’a pas été commise par le biais d’un
système informatique (par exemple un meurtre) implique des preuves électroniques,
les pouvoirs, procédures et mesures de coopération créées par ce
Protocole ont pour finalité de pouvoir être utilisées pour des enquêtes
ou procédures pénales spécifiques.
34. Le paragraphe 2.1.b prévoit qu’entre les Parties au Premier
Protocole qui sont Parties à ce Protocole, ce dernier s’applique
aussi à des enquêtes ou procédures pénales spécifiques concernant
les infractions pénales établies dans le Premier Protocole. Les
Parties à ce Protocole qui ne sont pas Partie au Premier Protocole
ne prennent aucun engagement les obligeant à appliquer les termes
du présent Protocole à ces infractions.
35. En vertu du paragraphe 2, il est demandé à chaque Partie de
disposer d’une base juridique pour s’acquitter des obligations prévues
dans le Protocole si ses traités, droit ou dispositifs ne contiennent
pas déjà ces dispositions. Cela ne fait pas de dispositions explicitement
discrétionnaires des dispositions contraignantes, et certaines dispositions
prévoient des déclarations et des réserves. Certaines Parties peuvent ne
pas avoir besoin de textes législatifs d’application pour mettre
en œuvre les dispositions de ce Protocole.
Article 3 – Définitions
36. Le paragraphe 1 reprend les définitions
fournies aux articles 1 («Système informatique», «Données informatiques»,
«Fournisseur de services» et «Données relatives au trafic») et 18,
paragraphe 3, de la Convention («Données relatives aux abonnés»)
dans le présent Protocole. Les rédacteurs ont repris ces définitions
de la Convention parce que ces termes sont utilisés dans le dispositif
et le rapport explicatif de ce Protocole. Les rédacteurs ont également
prévu que les explications fournies dans le rapport explicatif de
la Convention et les notes d’orientation adoptés par le T-CY au
sujet de ces termes s’appliqueraient également au présent Protocole.
37. Les définitions des infractions et des autres termes utilisés
dans le texte de la Convention sont destinées à s’appliquer aux
fins de la coopération entre les Parties au présent Protocole, et
les définitions des infractions et des autres termes utilisés dans
le texte du Premier Protocole sont destinées à s’appliquer aux fins
de la coopération entre les Parties au Premier Protocole. Ainsi,
par exemple, l’article 2, paragraphe 1, dispose que «les mesures
que le présent Protocole énonce s’appliquent… «pour ce qui concerne
les Parties à la Convention qui sont Parties au présent Protocole,
à des enquêtes ou procédures pénales spécifiques concernant des
infractions pénales liées à des données et systèmes informatiques».
Par conséquent, lorsque la coopération au titre du présent Protocole
porte sur des infractions liées à la pornographie enfantine, la définition
de la «pornographie enfantine» figurant à l'article 9, paragraphe
2, de la Convention s'applique, et la définition de «mineur» figurant
à l'article 9, paragraphe 3, de la Convention. De même, pour ce
qui concerne les Parties au Premier Protocole qui sont Parties au
présent Protocole, la définition du «matériel raciste et xénophobe»
de l’article 2 du Premier Protocole s’applique. Les Parties au présent
Protocole qui ne sont pas Parties au Premier Protocole ne sont pas
tenues d’appliquer les termes ou définitions énoncés dans le Premier Protocole.
38. Le paragraphe 2 de l'article 3 comprend des définitions supplémentaires
qui s'appliquent au protocole et à la coopération au titre du protocole.
Le paragraphe 2.a définit l’«autorité centrale» comme étant l’autorité ou
les autorités désignées en vertu d’un traité d’entraide ou d’un
arrangement reposant sur des législations uniformes ou réciproques
en vigueur entre les Parties concernées, ou, à défaut, l’autorité
ou les autorités désignées par une Partie aux termes de l’article
27, paragraphe 2.a, de la Convention. Le Protocole utilise les autorités
centrales dans plusieurs articles pour que la coopération soit assurée
par un moyen que les Parties mettent déjà en œuvre et qu’elles connaissent
bien. Ainsi, les Parties qui ont conclu des traités d’entraide ou des
arrangements reposant sur des législations uniformes ou réciproques
sont tenues d’utiliser les autorités centrales désignées aux termes
de ces traités ou arrangements. Lorsqu’aucun traité ou arrangement
de ce type n’est en vigueur entre les Parties concernées, ces dernières
sont tenues d’utiliser la même autorité centrale qu’elles utilisent
actuellement en vertu des dispositions de l’article 27, paragraphe
2.a de la Convention. Tous les traités d’entraide ou arrangements
reposant sur des législations uniformes ou réciproques n’utilisent
pas l’expression «autorité centrale», mais les rédacteurs ont souhaité
qu’il désigne les autorités de coordination désignées dans lesdits
traités ou arrangements, quelle que soit la façon dont elles y sont
dénommées.
39. Sauf disposition expresse du présent Protocole, le fait que
les Parties mobilisent aux fins de ce dernier des autorités centrales
mises en place à l’aide des moyens susvisés ne veut pas dire que
d'autres dispositions de ces traités ou arrangements d'entraide
s'appliquent.
40. La définition de l’«autorité compétente» énoncée au paragraphe
2.b est inspirée du paragraphe 138 du rapport explicatif de la Convention.
Le présent Protocole utilisant fréquemment cette expression, cette définition
a été insérée dans le dispositif pour en faciliter la consultation.
41. Le paragraphe 2.c définit l’«urgence» comme «une situation
présentant un risque grave et imminent pour la vie ou la sécurité
d’une personne physique». Ce terme est utilisé dans les articles
10,12 et 9. Dans le présent Protocole, la définition de l’«urgence»
est destinée à imposer un seuil nettement plus élevé que les «cas
d’urgence» visés à l’article 25, paragraphe 3, de la Convention.
Par ailleurs, cette définition a été élaborée de façon que les Parties
puissent prendre en considération les différents contextes dans
lesquels le terme est utilisé dans le présent Protocole tout en
tenant compte des lois et politiques applicable dans chacune d’elles.
42. La définition d’une urgence se rapporte aux situations dans
lesquelles le risque est grave et imminent, excluant ainsi les situations
dans lesquelles le risque pour la vie ou la sécurité d’une personne
appartient déjà au passé ou est négligeable, ou dans lesquelles
peut exister un risque futur qui n’est pas imminent. Ces prescriptions
relatives à la gravité et au caractère imminent tiennent au fait
que les articles 9 et 10 imposent à la Partie requise comme à la
Partie requérante l’obligation, qui exige de nombreux intervenants,
de réagir de manière très accélérée en situation d’urgence, les
demandes en urgence devant alors se voir accorder un rang de priorité
plus élevé que d’autres cas qui, tout en étant importants, sont
un peu moins urgents, même s’ils ont été soumis plus tôt. Les situations
impliquant «un risque grave et imminent pour la vie ou la sécurité
d’une personne physique» sont, par exemple, la prise d’otage, situation
dans laquelle existe un risque crédible et imminent de décès, de
blessure grave ou d’un autre préjudice comparable pour la victime;
la persistance des abus sexuels auxquels un enfant est soumis; les
scénarios immédiatement postérieurs à une attaque terroriste, dans
lesquels les autorités cherchent à savoir avec qui les attaquants
ont été en communication afin de déterminer si de nouvelles attaques
sont imminentes, et les menaces pour la sécurité d’infrastructures essentielles
s’accompagnant d’un risque grave et imminent pour la vie ou la sécurité
d’une personne physique.
43. Comme expliqué au paragraphe 4 de l’article 10 et au paragraphe
154 du rapport explicatif qui concerne l’article 9, une Partie requise
déterminera, en vertu de ces articles, si une «urgence» existe,
en appliquant la définition donnée dans le présent article.
44. Le paragraphe 2.d définit les «données à caractère personnel»
comme «les informations relatives à une personne physique identifiée
ou identifiable». On entend par «personne physique identifiable»
une personne qui peut être identifiée, directement ou indirectement,
à partir, en particulier, d’un numéro d’identification ou d’un ou
plusieurs facteurs propres à son identité physique, physiologique,
mentale, économique, culturelle ou sociale. La définition des «données
à caractère personnel» dans le présent protocole correspond à celle donnée
par d’autres instruments internationaux, comme la Convention pour
la protection des personnes à l'égard du traitement automatisé des
données à caractère personnel (STE no 108) telle que modifiée par
son Protocole d’amendement (STCE no 223), les Lignes directrices
de 2013 de l’OCDE sur la protection de la vie privée, le Règlement
général de protection des données et la directive «Police-Justice»
de l’Union européenne, ainsi que la Convention de l’Union africaine
sur la cybersécurité et la protection des données à caractère personnel
(«Convention de Malabo»).
45. Une personne est considérée comme n’étant pas «identifiable»
lorsque l’identification nécessiterait un temps, des efforts ou
des ressources déraisonnables. Si certaines informations sont propres
à une personne donnée et établissent donc par définition un lien
avec cette personne, d’autres informations peuvent ne permettre
une identification qu’en combinaison avec des informations identifiantes
ou à caractère personnel supplémentaires. En conséquence, si l’identification
d’une personne par recoupement avec des informations supplémentaires
de cette nature devait nécessiter un temps, des efforts ou des ressources
déraisonnables, les informations dont il est question ne constituent
pas des données à caractère personnel. Le fait qu’une personne physique
puisse être identifiée ou soit identifiable, directement ou indirectement,
dépend des circonstances propres à un contexte donné (et peut varier
dans le temps avec les innovations technologiques ou autres).
46. Les exigences de protection des données fixées par le présent
Protocole ne s’appliquent pas aux données qui n’ont pas de «caractère
personnel», comme les informations anonymisées qui ne peuvent pas être
réidentifiées sans y consacrer un temps, des efforts ou des ressources
déraisonnables.
Article 4 – Langue
47. Cet article fournit un cadre
pour les langues qui peuvent être utilisées lorsqu'on s'adresse
aux Parties et aux fournisseurs de services ou autres entités en
vertu du présent Protocole. Même lorsque, dans la pratique, les
Parties sont en mesure de travailler dans des langues autres que
leurs langues officielles, cette possibilité peut ne pas être prévue
par le droit interne ou les traités. L'objectif de cet article est
d'apporter plus de souplesse dans le cadre du présent Protocole.
48. Les traductions inexactes ou coûteuses des demandes d'entraide
en matière de preuves électroniques sont constamment critiquées
et constituent un problème qui doit être traité d’urgence. Cet obstacle
sape les processus légitimes d'obtention de données et de protection
de la sécurité publique. Les mêmes considérations s'appliquent en
dehors de l'entraide judiciaire traditionnelle, par exemple lorsqu'une
Partie transmet une injonction directement à un prestataire de services
sur le territoire d'une autre Partie en vertu de l'article 7, ou
demande de donner effet à une injonction en vertu de l'article 8.
Les possibilités de traduction automatique devraient s'améliorer,
mais elles sont actuellement insuffisantes. Pour ces raisons, le
problème de la traduction a été mentionné à plusieurs reprises dans
les propositions relatives aux articles à inclure dans ce Protocole.
49. La traduction de et vers des langues moins courantes est particulièrement
problématique, car ces traductions peuvent retarder considérablement
une demande ou être dans les faits impossibles à obtenir. Elles peuvent
aussi être trompeuses au point d’être inutilisables et leur mauvaise
qualité peut faire perdre du temps aux deux Parties. Toutefois,
le coût et la difficulté des traductions incombent de manière disproportionnée
aux Parties requérantes où des langues moins courantes sont parlées.
50. En raison de cette charge disproportionnée, un certain nombre
de Parties non anglophones ont demandé que l'anglais soit obligatoire
dans ce Protocole. Ils ont noté que l'anglais est une langue couramment utilisée
par les principaux fournisseurs de services. En outre, à mesure
que les données sont déplacées et stockées plus largement dans le
monde et que de plus en plus de pays s'entraident, la traduction
peut devenir encore plus lourde et peu pratique. Par exemple, deux
Parties peuvent utiliser des langues moins courantes, être géographiquement
éloignées et avoir peu de contacts. Si la Partie A a soudainement
besoin de l’aide de la Partie B, il se peut qu'elle ne parvienne
pas à trouver un traducteur pour la langue de la Partie B, ou qu'une traduction
éventuelle soit moins intelligible que la traduction anglaise effectuée
par des personnes non-anglophones. Les rédacteurs ont particulièrement
souligné que, pour accélérer l'assistance, tous les efforts devraient
être faits pour accepter, en particulier, les demandes d'urgence
au titre du présent Protocole, en anglais ou dans une langue commune,
plutôt que d'exiger une traduction dans la langue officielle de
la Partie requise.
51. Les rédacteurs du Protocole ont conclu que l'anglais ne devrait
pas être obligatoire dans le texte de ce Protocole. Certaines Parties
ont des exigences en matière de langues officielles qui excluent
un tel mandat; de nombreuses Parties partagent une langue commune
et n'ont pas besoin de l'anglais; et, dans certaines Parties, les
fonctionnaires en dehors des capitales sont moins susceptibles de
pouvoir lire l'anglais mais sont souvent impliqués dans l'exécution
des demandes.
52. Ainsi, le paragraphe 1 est formulé en termes de «langue acceptable
pour la Partie requise ou la Partie à laquelle les actes sont notifiés
en vertu de l'article 7». Cette Partie peut spécifier des langues
acceptables – par exemple, des langues largement répandues comme
l'anglais, l'espagnol ou le français – même si elles ne sont pas
prévues dans sa législation ou ses traités nationaux.
53. Au paragraphe 1, les termes «demandes, injonctions et renseignements
qui les accompagnent» désignent
- en
vertu de l'article 8, la demande (paragraphe 3), l'injonction (paragraphe
3.a), des renseignements à l'appui (paragraphe 3.b) et de toute
instruction spéciale de procédure (paragraphe 3.c);
- dans le cas des Parties qui exigent une notification en
vertu de l'article 7, paragraphe 5, l'injonction (paragraphe 3),
les renseignements à l'appui (paragraphe 4) et le résumé des faits
(paragraphe 5.a).
- en vertu de l’Article 9, la requête (paragraphe 3)
Le terme «demandes» renvoie également au contenu des demandes
en vertu des articles 10,11 et 12, qui comprend la documentation
qui fait partie de la demande.
54. Dans la pratique, certains pays
peuvent être disposés à accepter des demandes et des injonctions
dans une langue autre qu'une langue spécifiée dans le droit interne
ou dans les traités. Aussi, une fois par an, le T-CY mènera une
enquête informelle sur les langues acceptables pour les demandes
et les injonctions. Les Parties peuvent modifier leurs renseignements
en tout temps et l’ensemble des Parties seront informées de ces
changements. Elles peuvent indiquer qu'elles n'acceptent que des
langues spécifiques pour certaines formes d'assistance. Les résultats
de cette enquête seront visibles pour toutes les Parties à la Convention,
et pas seulement pour les Parties à ce Protocole.
55. Cette disposition pragmatique démontre l'extrême importance
d'accélérer la coopération. Elle fournit une base conventionnelle
permettant à une Partie d'accepter d'autres langues aux fins du
présent Protocole.
56. Dans de nombreux cas, les Parties ont conclu des traités d'entraide
judiciaire qui précisent la ou les langues dans lesquelles les demandes
doivent être présentées en vertu de ces traités. Le présent article n'interfère
pas avec les termes de ces traités ou autres accords entre les Parties.
En outre, aux fins du présent Protocole, on s'attend à ce qu’«une
langue acceptable pour la Partie requise ou la Partie à laquelle
les actes sont notifiés en vertu de l'article 7» comprenne toute
langue ou toutes langues spécifiées par ces traités ou accords.
Par conséquent, une Partie requérante devrait appliquer la langue
spécifiée dans les traités d'entraide judiciaire ou autres accords
aux demandes et notifications faites au titre du présent Protocole,
à moins que la Partie requise ou à laquelle les actes sont notifiés
n'indique qu'elle est également disposée à accepter ces demandes
ou notifications dans d'autres langues.
57. Si une Partie est disposée à accepter d'autres langues, elle
indiquera au T-CY qu'elle a l’intention d’accepter certaines ou
toutes sortes de demandes ou de notifications d’injonctions au titre
du présent Protocole dans une autre langue.
58. Le paragraphe 2 détermine la (les) langue(s) que la Partie
émettrice utilise pour soumettre des injonctions ou des demandes
et les renseignements connexes aux fournisseurs de services ou des
entités fournissant des services d’enregistrement de noms de domaine
sur le territoire d'une autre Partie aux fins des articles 6 et
7. Cette disposition vise à assurer une coopération rapide et une
certitude accrue sans imposer une charge supplémentaire aux fournisseurs
de services ou des entités fournissant des services de noms de domaine
lorsqu'ils reçoivent des injonctions ou des demandes de données.
La première option prévue au paragraphe 2.a indique que l'injonction
ou la demande peut être présentée dans une langue dans laquelle
le prestataire de services ou l’entité accepte habituellement des
injonctions ou demandes nationales de ses propres autorités dans
le cadre d'enquêtes spécifiques ou de procédures pénales («procédure
interne comparable»). Pour les Parties qui ont une ou plusieurs
langues officielles, il s'agirait d'une de ces langues. La deuxième
option, prévue au paragraphe 2.b, indique que si un prestataire
de services ou l’entité accepte de recevoir des injonctions ou des
demandes dans une autre langue, par exemple la langue de son siège,
ces injonctions et les informations qui les accompagnent peuvent
être soumises dans cette langue. En troisième lieu, le paragraphe
2.c prévoit que, lorsque l’injonction ou la demande et les informations
qui l'accompagnent ne sont pas émises dans l'une des langues des
deux premières options, elles sont accompagnées d'une traduction
dans l'une de ces langues.
59. Au paragraphe 2, les termes «injonctions en vertu de l’article
7 et les demandes en vertu de l’article 6, et tout renseignement
complémentaire» désignent:
- en
vertu de l'article 6, la demande (paragraphe 3); et
- en vertu de l'article 7, l'ordonnance (paragraphe 3) et
les informations complémentaires (paragraphe 4)
60. Lorsqu'une Partie a exigé une notification conformément à
l'article 7, une Partie requérante doit être prête à envoyer l’injonction
et tout renseignement qui l'accompagne dans une langue acceptable
pour la Partie qui exige la notification, même si le fournisseur
de services accepte d'autres langues.
61. Le T-CY s'efforcera également de recueillir de manière informelle
des informations sur les langues dans lesquelles les injonctions
et les demandes ainsi que les informations qui les accompagnent
seront soumises aux prestataires de services et aux entités fournissant
des services d’enregistrement de noms de domaine en vertu du paragraphe
2 de l'article 4 et en informera les Parties dans le cadre de l'enquête
décrite au paragraphe 54 du Rapport explicatif, ci-dessus.
Chapitre II – Mesures de coopération
renforcée
Section 1 – Dispositions générales
applicables au Chapitre II
Article 5 – Principes
généraux applicables au Chapitre II
62. Le paragraphe 1 de cet article
précise que les Parties s’assurent la coopération «la plus large
possible», conformément aux dispositions du Chapitre II et comme
prévu à l’article 23 et à l’article 25, paragraphe 1, de la Convention.
Ce principe fait obligation aux Parties de s’assurer une coopération
étendue et de réduire au minimum les obstacles à la circulation
rapide et fluide de l’information et des preuves entre pays.
63. Les paragraphes 2 à 5 organisent les sept mesures de coopération
du présent Protocole en quatre sections distinctes qui suivent la
première section, relative aux principes généraux. Ces sections
portent sur les différents types de coopération visés: la section 2
couvre la coopération directe avec des entités privées, la section 3
concerne la coopération renforcée entre les autorités pour la divulgation
de données stockées, la section 4 porte sur l’entraide en cas d’urgence
et la section 5 conclut par les dispositions internationales régissant
la coopération en l’absence de traité d’entraide ou d’arrangement
reposant sur des législations uniformes ou réciproques en vigueur
entre les Parties concernées. Elles sont aussi structurées de manière globalement
progressive, allant des formes d’assistance souvent souhaitées dans
les premiers stades d’une enquête – pour obtenir la divulgation
de l’enregistrement de noms de domaine et informations relatives
aux abonnés – aux demandes de données relatives au trafic puis aux
données relatives au contenu, suivies des vidéoconférences et des
équipes communes d’enquête, qui sont souvent les formes d’assistance
recherchées à un stade plus avancée d’une enquête.
64. Cette section consacrée aux principes généraux indique clairement
à quel point chaque mesure est affectée ou non par l’existence d’un
traité d’entraide ou d’un arrangement reposant sur des législations uniformes
ou réciproques en vigueur entre les Parties concernées, c’est-à-dire
entre la Partie requérante et la Partie requise dans le cas de la
coopération interétatique ou la Partie demandant les informations
et la Partie sur le territoire de laquelle est située l’entité privée
qui est en possession de ces informations ou qui en a le contrôle,
pour la coopération directe en vertu des articles 6 et 7. On entend
par «arrangement sur la base de législations uniformes ou réciproques»
les mécanismes «tel que le système de coopération instauré entre
les pays nordiques, qui est également reconnu par la Convention
européenne d’entraide judiciaire en matière pénale (article 25,
paragraphe 4), et le système instauré entre les membres du Commonwealth»
(voir le paragraphe 263 du Rapport explicatif à la Convention).
Les mesures prévues aux sections 2 à 4 de ce chapitre s’appliquent,
que les Parties concernées soient ou non mutuellement liées par
un accord d’entraide ou un arrangement applicable reposant sur des
législations uniformes ou réciproques. Les dispositions de la section 5
relatives à la coopération internationale s’appliquent uniquement
en l’absence d’un tel accord ou d’un tel arrangement, sauf dispositions
contraires.
65. Comme décrit au paragraphe 2 de cet article, la section 2
de ce chapitre se compose de l'article 6, intitulé «Demande d’informations
concernant l’enregistrement d'un nom de domaine», et de l'article
7, intitulé «Divulgation de données relatives aux abonnés». Il s'agit
des articles dits de «coopération directe», qui permettent aux autorités
compétentes d'une Partie de s'engager directement avec des entités
privées – c'est-à-dire avec des entités fournissant des services
d’enregistrement de noms de domaine à l'article 6, et avec des prestataires
de services à l'article 7 – aux fins d'enquêtes ou de procédures
pénales spécifiques. L'article 2 s'applique qu'il existe ou non
un traité ou un arrangement d'entraide sur la base d'une législation
uniforme ou réciproque en vigueur entre la Partie qui recherche
les informations et la Partie sur le territoire de laquelle se trouve
l'entité privée en possession ou en charge de ces informations.
66. Comme décrit au paragraphe 3 de cet article, la section 3
de ce chapitre se compose de l'article 8, intitulé «Donner effet
aux injonctions d’une autre Partie ordonnant la production accélérée
de données», et de l'article 9, intitulé «Divulgation accélérée
de données informatiques stockées en situation d’urgence». Il s'agit
de mesures de «coopération internationale renforcée entre autorités»,
c'est-à-dire qu'elles prévoient une coopération entre autorités
compétentes, mais d'une nature différente de la coopération internationale traditionnelle.
La section 3 s'applique qu'il existe ou non un traité ou un arrangement
d'entraide sur la base d'une législation uniforme ou réciproque
en vigueur entre les parties requérante et requise.
67. Comme décrit au paragraphe 4 du présent article, la section
4 du présent chapitre se compose de l'article 10, intitulé «Entraide
d'urgence». Bien que l’entraide d'urgence soit une disposition d'entraide,
elle constitue un outil de coopération important pour les situations
d'urgence qui n'est pas expressément prévu dans de nombreux traités
d'entraide. Par conséquent, les rédacteurs ont décidé que cette
section devait s'appliquer, qu'il existe ou non un accord ou un
arrangement d'entraide applicable, sur la base de la législation uniforme
ou réciproque en vigueur entre les Parties concernées. En ce qui
concerne les procédures qui régissent l'entraide en cas d'urgence,
il existe deux possibilités. Lorsque les Parties concernées sont mutuellement
liées par un accord d'entraide applicable, ou un arrangement d'entraide
applicable sur la base d'une législation uniforme ou réciproque,
la section 4 est complétée par les dispositions de cet accord, à
moins que les Parties concernées ne décident mutuellement d'appliquer
certaines dispositions de la Convention à la place. Voir l’article
10, paragraphe 8. Lorsque les Parties concernées ne sont pas mutuellement
liées par un tel accord ou arrangement, les Parties appliquent certaines
procédures énoncées aux articles 27 et 28 de la Convention (régissant
l'entraide en l'absence de traité). Voir l'article 10, paragraphe
7.
68. Comme décrit au paragraphe 5 du présent article, la section
5 du présent chapitre se compose de l'article 11, intitulé «Vidéoconférence»,
et de l'article 12, intitulé «Équipes communes d'enquête et enquêtes communes».
Ces dispositions sont des mesures de coopération internationale,
qui ne s'appliquent que lorsqu'il n'existe pas de traité ou d'arrangement
d'entraide sur la base d'une législation uniforme ou réciproque
en vigueur entre les Parties requérante et requise. Ces mesures
ne s'appliquent pas lorsqu'un tel traité ou arrangement existe,
sauf que l'article 12, paragraphe 7 s'applique qu'un tel traité
ou arrangement existe ou non. Toutefois, les Parties concernées
peuvent décider mutuellement d'appliquer les dispositions de la
section 5 en lieu et place d'un tel traité ou arrangement existant,
à moins que cela ne soit interdit par les termes du traité ou de
l'arrangement.
69. Le paragraphe 6 prend pour modèle l'article 25 paragraphe
5 de la Convention, et le paragraphe 259 du rapport explicatif de
la Convention est donc également valable ici: «Lorsque la Partie
requise est autorisée à exiger la double incrimination comme condition
de l'octroi de l'entraide [...] la double incrimination est réputée présente
si le comportement à l'origine de l'infraction pour laquelle l'entraide
est demandée constitue également une infraction pénale en vertu
des lois de la Partie requise, même si ses lois classent l'infraction dans
une catégorie différente ou utilisent une terminologie différente
pour la désigner. Cette disposition a été jugée nécessaire afin
de s'assurer que les Parties requises n'adoptent pas un critère
trop rigide lorsqu'elles appliquent la double incrimination. Compte
tenu des différences entre les systèmes juridiques nationaux, des variations
dans la terminologie et la catégorisation des comportements criminels
sont inévitables. Si le comportement constitue une infraction pénale
dans les deux systèmes, ces différences techniques ne devraient
pas entraver l'assistance. Au contraire, dans les affaires où le
critère de la double incrimination est applicable, il doit être
appliqué de manière souple afin de faciliter l'octroi de l'assistance.»
70. Le paragraphe 7 prévoit que «[l]es dispositions du présent
chapitre ne restreignent pas la coopération entre les Parties, ou
entre les Parties et les prestataires de services ou d'autres entités,
par le biais d’autres accords, arrangements, pratiques ou de la
loi nationale, applicables.» Cela signifie que le Protocole n'élimine ni
ne restreint aucune coopération entre les Parties ou entre les Parties
et des entités privées, qui est par ailleurs disponible – que ce
soit par le biais d'accords, d'arrangements, de la loi nationale,
applicables ou même de pratiques informelles. Les rédacteurs avaient
l'intention d'élargir, et non de restreindre, les outils disponibles dans
la boîte à outils du praticien de l'application des lois pour obtenir
des informations ou des preuves dans le cadre d'enquêtes ou de procédures
pénales spécifiques. Les rédacteurs ont reconnu que dans certaines situations,
les mécanismes existants, tels que l'entraide judiciaire, peuvent
être les mieux utilisés par un praticien. Cependant, dans d'autres
situations, les outils créés par ce Protocole peuvent être plus
efficaces ou préférables. Par exemple, si une autorité compétente
a besoin de données relatives au contenu de manière non urgente,
elle choisira probablement d'utiliser une demande d'entraide traditionnelle
en vertu d'un traité bilatéral ou de l'article 27 de la Convention,
selon le cas, car le Protocole ne contient pas de dispositions permettant
d'obtenir des données relatives au contenu de manière non urgente.
Mais si elle avait besoin d'informations sur les abonnés, elle pourrait
choisir d'utiliser l'article 7 du Protocole pour émettre un ordre directement
à un fournisseur de services.
71. Enfin, un certain nombre de dispositions du chapitre II et
d'autres dispositions du Protocole permettent d'imposer des limitations
ou des conditions d'utilisation, telles que la confidentialité.
Lorsque, conformément aux dispositions du Protocole, la réception
des preuves ou des informations recherchées est soumise à une telle
limitation ou condition d'utilisation, des exceptions ont été reconnues
par les négociateurs et sont implicites dans le texte. Premièrement,
en tant que mesure de protection des droits de l'homme et des libertés conformément
à l'article 13, en vertu des principes juridiques fondamentaux de
nombreux États, si des éléments fournis à la Partie destinataire
sont considérés par celle-ci comme étant à décharge d'une personne accusée,
ils doivent être divulgués à la défense ou à une autorité judiciaire.
Ce principe est sans préjudice du texte de l'article 12, paragraphe
6.b et du Rapport explicatif, paragraphe 275 qui peuvent être appliqués lorsque
les Parties ont mis en place une équipe commune d'enquête. Il est
entendu par les rédacteurs que, dans de tels cas, la Partie destinataire
notifie la Partie transférante avant la divulgation et, si cette
dernière le demande, consulte la Partie transférante. Deuxièmement,
lorsqu'une limitation d'utilisation a été imposée à l'égard de matériel
reçu en vertu du présent Protocole et dont l'utilisation est prévue
au cours d'un procès, le procès (y compris les divulgations au cours
des procédures judiciaires préalables au procès) est normalement une
procédure publique. Une fois rendu public lors du procès, le matériel
tombe dans le domaine public. Dans ces situations, il n'est pas
possible de garantir la confidentialité de l'enquête ou de la procédure
pour laquelle le matériel a été demandé. Ces exceptions sont similaires
aux exceptions liées à l’application de l'article 28, paragraphe
2, de la Convention, comme expliqué au paragraphe 278 du Rapport
explicatif de la Convention. Enfin, le matériel peut être utilisé
à d'autres fins lorsque le consentement préalable d'une Partie transférante
a été obtenu.
Section 2 – Procédures renforçant
la coopération directe avec les fournisseurs et les entités des
autres Parties
Article 6 – Demande
d’informations sur l’enregistrement d’un nom de domaine
72. Cet article établit une procédure
qui prévoit la coopération directe entre les autorités d’une Partie
et une entité prestataire de services d’enregistrement de noms de
domaine, située sur le territoire d’une autre Partie, pour obtenir
des informations sur l’enregistrement de noms de domaine sur Internet.
Comme pour l’article 7, la procédure s’appuie sur les conclusions
du Groupe sur les preuves dans le nuage du Comité de la Convention
sur la cybercriminalité, reconnaissant l’importance que revêt un
accès transfrontalier rapide à des preuves électroniques pour des
enquêtes ou des procédures pénales spécifiques, au vu des difficultés
que posent les procédures existantes pour l’obtention de preuves
électroniques.
73. La procédure reconnaît également le modèle actuel de gouvernance
internet qui repose sur l’élaboration de politiques multi-parties
prenantes basées sur le consensus. Ces politiques sont normalement
fondées sur le droit des contrats. La procédure visée dans cet article
entend compléter ces politiques pour les objectifs de ce Protocole,
autrement dit aux fins d’enquêtes ou de procédures pénales spécifiques.
L’obtention des données d’enregistrement d’un nom de domaine constitue
souvent une première étape indispensable pour de nombreuses enquêtes
criminelles, et pour déterminer où adresser des demandes de coopération internationale.
74. De nombreuses formes de cybercriminalité sont facilitées par
le fait que des criminels créent et exploitent des domaines à des
fins malveillantes et illicites. Ainsi, un nom de domaine peut être
utilisé comme plateforme pour disséminer des maliciels, des botnets,
mener des activités de phishing et autres activités de même genre,
se livrer à la fraude, ou encore à la diffusion de matériels de
pédopornographie, pour ne citer que quelques exemples. L’accès aux
informations sur la personne physique ou morale qui a enregistré
le domaine (le «déclarant») est donc critique pour identifier un
suspect dans une enquête ou procédure pénale spécifique. Au départ,
les données d’enregistrement des noms de domaine étaient accessibles
à tous; maintenant, certaines parties de l’information sont d’accès
restreint, ce qui a des répercussions sur les missions de politique
publique des services judiciaires et répressifs.
75. Les informations concernant l’enregistrement de noms de domaine
sont détenues par des entités prestataires de services d’enregistrement
de noms de domaine. Ces dernières prennent la forme d’organisations
vendant des noms de domaine au public (les «registraires») ainsi
que d’opérateurs régionaux ou nationaux de registres qui conservent
des bases de données officielles (les «registres») de tous les noms de
domaine enregistrés pour un domaine de premier niveau et qui acceptent
des demandes d’enregistrement. Dans certains cas, ces informations
peuvent constituer des données à caractère personnel et être protégées en
vertu des dispositions de protection des données dans le droit interne
de la Partie sur le territoire de laquelle se trouve l’entité concernée
fournissant des services d’enregistrement de noms de domaine (registraire
ou registre) ou la personne à laquelle se réfèrent les données.
76. L’article 6 entend donner un cadre effectif et efficient d’obtention
d’informations pour identifier ou contacter le registrant d’un nom
de domaine. Les modalités de sa mise en œuvre dépendent des considérations
légales et politiques des différentes Parties. Cet article entend
compléter les politiques et pratiques actuelles et futures de gouvernance
internet.
Paragraphe 1
77. En vertu du paragraphe 1, chaque
Partie adopte les mesures nécessaires pour habiliter ses autorités compétentes
à adresser des demandes directement à une entité prestataire de
services d’enregistrement de noms de domaine située sur le territoire
d’une autre Partie, autrement sans demander aux autorités compétentes
sur le territoire où l’entité est située d’intervenir en tant qu’intermédiaire.
Le paragraphe 1 donne aux Parties une certaine flexibilité par rapport
au format dans lequel les demandes sont présentées, car le format
dépend des considérations juridiques et politiques respectives des
Parties. Une Partie peut utiliser les procédures disponibles dans
son système de loi nationale, y compris l'émission d'une injonction;
toutefois, aux fins du présent article, une telle demande est traitée
comme une demande non contraignante. La forme de la demande ou les
effets qu'elle produit en vertu du droit interne de la Partie requérante
n'affecterait donc pas le caractère volontaire de la coopération
internationale au titre du présent article et, si l'entité ne divulgue
pas les informations recherchées, le paragraphe 5 serait applicable.
78. Le libellé du paragraphe 1 est suffisamment générique pour
reconnaître qu’une telle demande peut aussi être émise et les informations
obtenues via une interface, un portail ou autre outil technique
mis à disposition par des organisations. Ainsi, une organisation
peut fournir une interface ou un outil de recherche pour faciliter
ou accélérer la divulgation d’informations sur l’enregistrement
d’un nom de domaine à la suite d’une demande. En revanche, plutôt
que de viser un portail ou interface spécifiques, l’article utilise
des termes neutres du point de vue technologique pour permettre
une adaptation à l’évolution en la matière.
79. Comme prévu dans l’article 2, une demande en vertu du paragraphe
1 peut être émise uniquement aux fins d’enquêtes ou procédures pénales
spécifiques. L’expression «autorités compétentes» est définie sous l’Article
3, paragraphe 2.b et «désigne une autorité judiciaire, administrative
ou policière habilitée en droit interne à ordonner, autoriser ou
entreprendre l’exécution de mesures au titre du présent protocole».
Une «entité prestataire de services d’enregistrement de noms de
domaine» renvoie actuellement aux registraires et registres. Pour
prendre en compte la situation actuelle et dans le même temps permettre
une adaptation pour le cas où les modèles économiques et l’architecture
de l’Internet changent au fil du temps, cet article utilise l’expression
plus générique de «entité prestataire de services d’enregistrement
de noms de domaine».
80. Si les informations pour identifier ou contacter le registrant
d’un nom de domaine sont souvent stockées par des entités prestataires
de services génériques d’enregistrement de noms de domaine dans
le monde entier, ce qu’on appelle des «domaines génériques de premier
niveau («generic top level domains» ou gTLDs), les Parties ont reconnu
que des services plus spécifiques en matière d’enregistrement de
noms de domaine liés à des entités nationales ou régionales (les
domaines nationaux de premier niveau, «country-code top level domains»
ou ccTLDs)) peuvent aussi être enregistrés par des personnes morales
ou physiques dans d’autres pays et peuvent aussi être utilisées
par des criminels. Cet article ne se limite donc pas aux entités
prestataires de gTLD, car les deux types de services concernant
l’enregistrement de noms de domaine – ou les futurs types de services
de ce genre – peuvent être utilisés pour perpétrer des actes de
cybercriminalité.
81. L’expression «Informations … pour identifier ou contacter
le registrant d’un nom de domaine» renvoie aux informations qui
étaient auparavant publiquement accessibles par des outils de recherche
connus sous l’acronyme WHOIS, par exemple le nom, l’adresse physique,
l’adresse électronique et le numéro de téléphone d’un registrant.
Certaines Parties peuvent considérer ces informations comme un sous-ensemble
des informations relatives aux abonnés au sens de l'article 18.3
de la Convention. Les informations d'enregistrement de noms de domaine
sont des informations de base qui ne permettraient pas de tirer
des conclusions précises concernant la vie privée et le modus vivendi
de quelqu’un. Leur divulgation peut donc être moins intrusive que
celle d’autres catégories de données.
Paragraphe 2
82. Le paragraphe 2 fait obligation
à chaque Partie d’adopter des mesures pour permettre à des entités prestataires
de services d’enregistrement de noms de domaine établies sur son
territoire de divulguer ces informations en réponse à une demande
visée au paragraphe 1, sous réserve des conditions raisonnables prévues
par la loi nationale, qui, dans certaines Parties, peuvent inclure
des conditions découlant des lois sur la protection des données
à caractère personnel. En même temps, l’article 14 limite la possibilité
de refuser des transferts de données en vertu des règles de protection
des données pour les transferts internationaux, et les facteurs
du paragraphe 82 ont été inclus pour faciliter le traitement en
vertu des règles de protection des données. Ces mesures devraient
faciliter la divulgation des données demandées de manière rapide
et efficace dans toute la mesure du possible.
83. Cet article ne fait pas obligation aux Parties d’adopter des
textes législatifs contraignant ces entités à répondre à une demande
émanant d’une autorité d’une autre Partie. Ainsi, l'entité offrant
des services d’enregistrement de noms de domaine peut avoir besoin
de déterminer si elle doit divulguer les informations recherchées.
Le Protocole contribue à cette détermination en fournissant des
garanties qui devraient faciliter la capacité des entités de répondre
sans difficulté aux demandes au titre du présent article, telles
que:
- le Protocole fournit ou
oblige les Parties à fournir une base juridique pour les demandes;
- cet article exige que la demande provienne d'une autorité
compétente (article 6, paragraphes 1 et 3.a et paragraphe 79 et
84 de ce Rapport explicatif);
- le Protocole prévoit qu'une demande est faite aux fins
d'enquêtes ou de procédures pénales spécifiques 2;
- cet article exige que la demande contienne une déclaration
selon laquelle le besoin de l'information découle de sa pertinence
pour une enquête ou une procédure pénale spécifique et que l'information
ne soit utilisée que pour cette enquête ou procédure pénale spécifique.
(article 6, paragraphe 3.c);
- le protocole prévoit des garanties pour le traitement
des données à caractère personnel divulguées et transférées conformément
à ces demandes au titre de l'article 14;
- les informations à divulguer sont limitées et ne permettraient
pas de tirer des conclusions précises concernant la vie privée des
personnes visées;
- il est possible d’escompter des entités qu’elles coopèrent
ou de les y obliger en vertu d’arrangements contractuels avec l’ICANN.
Paragraphe 3
84. Le paragraphe 3 de cet article
spécifie les informations qui, à minima, doivent être fournies par
une autorité formulant une demande en vertu du paragraphe 1 de cet
article. Ces informations sont particulièrement pertinentes pour
l’exécution de la demande par l’entité prestataire de services d’enregistrement
de noms de domaine. La demande devra inclure:
a la date d’émission ainsi que l’identité et les coordonnées
de l’autorité compétente qui émet la demande (paragraphe 3.a) (voir
paragraphe 79 du Rapport explicatif);
b le nom de domaine au sujet duquel les informations sont
demandées et une liste détaillée des informations recherchées, y
compris les éléments de données spécifiques tels que le nom, l’adresse physique,
l’adresse électronique ou le numéro de téléphone du registrant (paragraphe
3.b);
c une déclaration selon laquelle la demande est émise conformément
au présent Protocole; par cette déclaration, la Partie atteste que
la demande est conforme aux dispositions du Protocole (paragraphe 3.c).
La Partie émettrice confirme également dans cette déclaration qu’elle
a «besoin» de ces informations du fait de leur pertinence pour une
enquête ou procédure pénale spécifique et que les informations ne
seront utilisées que pour cette enquête ou procédure pénale spécifique.
Si les Parties sont des pays européens, le critère du «besoin de
ces informations» – autrement dit les informations doivent être
nécessaires et proportionnées – pour une enquête ou procédure pénale
devrait découler des principes de la Convention du Conseil de l’Europe
de 1950 relative à la protection des droits de l’homme et des libertés
fondamentales, de sa jurisprudence applicable et du droit et de
la jurisprudence internes aux Parties. Il découle de ces sources
que la compétence ou la procédure devraient être proportionnelles
à la nature et aux circonstances d’une infraction (voir paragraphe
146 du Rapport explicatif de la Convention). D’autres Parties appliqueront
les principes de leur droit interne adaptés tels que le principe
de pertinence (en d’autres termes, la preuve recherchée par une
demande doit être pertinente pour l’enquête ou les poursuites. Les
parties devraient éviter les demandes générales de divulgation d'informations
concernant les noms de domaine, à moins qu'elles ne soient nécessaires
pour l'enquête ou la procédure pénale spécifique;
d l’échéance et les modalités de divulgation des informations
et autres instructions procédurales spéciales (paragraphe 3.d).
L’expression «Instructions procédurales spéciales» entend inclure
toute demande de confidentialité, notamment une demande de non-divulgation
de la demande au registrant ou à un autre tiers. Si la confidentialité
est demandée pour éviter une divulgation prématurée de l’affaire,
cela devrait figurer dans la demande. Dans certaines Parties, la
confidentialité de la demande sera appliquée automatiquement par
dispositions légales, alors que dans d’autres, ce ne sera pas nécessairement
le cas. C’est pourquoi, là où la confidentialité est nécessaire,
les Parties sont encouragées à examiner les informations publiquement
accessibles et demander des conseils aux autres Parties concernant
le droit applicable ainsi que des politiques des entités prestataires
de services d’enregistrement de noms de domaine concernant l’information
d’un abonné/registrant avant de soumettre à l’entité une demande
en vertu du paragraphe 1. En outre, les instructions procédurales
spéciales peuvent prévoir la spécification du canal de transmission
le plus adapté aux besoins de l’autorité.
85. Le paragraphe 3 ne prévoit pas d’obligation d’inclure un descriptif
des faits dans la demande, étant donné que ces informations sont
confidentielles dans la plupart des enquêtes criminelles et ne peuvent
être divulguées à une personne non habilitée. Toutefois, l’entité
qui reçoit une demande au titre du présent article peut avoir besoin
de certaines informations supplémentaires qui lui permettraient
de prendre une décision positive concernant la demande. Par conséquent,
l'entité peut demander un complément d’informations lorsque, sans
celles-ci, elle n’est pas en mesure d’exécuter la demande.
Paragraphe 4
86. L'objectif du paragraphe 4 est
d'encourager l'utilisation de moyens électroniques lorsque ceux-ci
sont acceptables pour l’entité fournissant des services d’enregistrement
de noms de domaine, car ce sont presque toujours les moyens de communication
les plus efficaces et les plus rapides. En conséquence, si cela
est acceptable pour l’entité fournissant des services d’enregistrement
de noms de domaine, une Partie peut soumettre une demande à l’entité
sous forme électronique, par exemple en utilisant le courrier électronique, les
portails électroniques ou d'autres moyens. Bien que l'on suppose
que les entités préfèrent recevoir les demandes sous cette forme,
il ne s'agit pas d'une exigence. Comme le prévoient d'autres articles
du présent protocole autorisant les ordonnances ou les demandes
sous forme électronique (tels que les articles 7, 8 et autres),
des niveaux appropriés de sécurité et d'authentification peuvent
être exigés. Les parties et les entités peuvent décider elles-mêmes
si des voies ou des moyens de transmission et d'authentification
sécurisés sont disponibles ou si des protections de sécurité spéciales
(y compris le cryptage) peuvent être nécessaires dans un cas sensible
particulier.
Paragraphe 5
87. Bien que cette disposition relève
des «demandes» et non des «injonctions» contraignantes pour la divulgation
de données d’enregistrement de noms de domaine, il est escompté
que l’entité destinataire de la demande sera en mesure de divulguer
les informations demandées en vertu de cette disposition, une fois
les conditions applicables satisfaites. Si l’entité ne divulgue
pas les informations demandées, d’autres mécanismes pourraient être
envisagés pour les obtenir, en fonction des circonstances. Le paragraphe
5 prévoit donc une consultation entre les Parties concernées pour
obtenir des informations supplémentaires et déterminer quels mécanismes
peuvent être activés. Afin de faciliter les consultations, le paragraphe
5 dispose également qu'une Partie requérante peut demander des informations
complémentaires à une entité. Les entités sont encouragées à motiver
leur refus de divulguer les données demandées en réponse à une telle demande.
Paragraphe 6
88. Le paragraphe 6 impose que les
Parties désignent, au moment de la signature de ce Protocole ou
du dépôt de leur instrument de ratification, d’acceptation ou d’approbation,
ou à tout autre moment, une autorité aux fins de la consultation
prévue au paragraphe 5. La désignation d’un point de contact dans
l’État partie où est située l’entité aidera la Partie requérante
à déterminer rapidement les mesures auxquelles il est possible de
recourir pour obtenir les données souhaitées dans le cas où l’entité
refuse d’accéder à une requête directe adressée en vertu de cet
article.
Paragraphe 7
89. Le paragraphe 7 est explicite
et dispose que le Secrétaire Général du Conseil de l’Europe établit
et tient à jour un registre des autorités désignées en vertu du
paragraphe 6 et que chaque Partie veille à ce que les données qu'elle
a fournies pour le registre soient correctes à tout moment.
Article 7 – Divulgation
des informations sur les abonnés
90. Cet article établit une procédure
prévoyant la coopération directe entre les autorités d’une Partie
et un fournisseur de services sur le territoire d’une autre Partie
en vue d’obtenir des données relatives aux abonnés. Cette procédure
repose sur les conclusions du Groupe de travail du Comité de la
Convention sur les preuves dans le nuage et sur la Note d’orientation
du Comité relative à l’article 18 de la Convention, reconnaissant l’importance
de l’accès transfrontalier en temps opportun aux éléments de preuve
électroniques dans les enquêtes ou les procédures pénales spécifiques,
eu égard aux difficultés que posent les procédures existantes pour
obtenir des éléments de preuve électroniques auprès des fournisseurs
de services dans d’autres pays.
91. Un nombre croissant d’enquêtes ou de procédures pénales nécessitent
aujourd’hui d’avoir accès à des éléments de preuve électroniques
détenus par des fournisseurs de services dans d’autres pays. Même
dans le cas d’infractions strictement internes par nature – c’est-à-dire
lorsque la victime et l’auteur se trouvent tous deux dans le pays
où a lieu l’infraction, de même que l’autorité chargée de l’enquête
– les éléments de preuve électroniques peuvent être détenus par
un fournisseur de services sur le territoire d’un autre pays. Dans
bien des situations, les autorités qui enquêtent sur une infraction
peuvent être amenées à recourir à des procédures de coopération
internationale, comme l’entraide judiciaire, qui ne permettent pas
toujours d’obtenir une aide rapide ou suffisamment efficace pour
répondre aux besoins de l’enquête ou de la procédure en raison du volume
des demandes de preuves électroniques, qui ne cesse d’augmenter.
92. Les données relatives aux abonnés sont les informations les
plus fréquemment recherchées dans les enquêtes pénales relatives
à la cybercriminalité et à d’autres types d’infractions qui nécessitent
l’obtention de preuves électroniques. Elles indiquent l’identité
d’un abonné à un service particulier, son adresse et des informations
similaires visées à l’article 18.3 de la Convention. Ces données
ne permettent pas de tirer des conclusions précises sur la vie privée
et les habitudes quotidiennes des personnes concernées, ce qui signifie que
leur divulgation peut être moins intrusive que celle d’autres catégories
de données.
93. Les données relatives aux abonnés sont définies à l’article 18,
paragraphe 3, de la Convention (incorporées à l’article 3, paragraphe
1, de ce Protocole) selon lequel «toute information, sous forme
de données informatiques ou sous toute autre forme, détenue par
un fournisseur de services et se rapportant aux abonnés de ses services,
autres que des données relatives au trafic ou au contenu, et permettant
d’établir: a. le type de service de communication utilisé, les dispositions
techniques prises à cet égard et la période de service; b. l’identité,
l’adresse postale ou géographique et le numéro de téléphone de l’abonné,
et tout autre numéro d’accès, les données concernant la facturation
et le paiement, disponibles sur la base d’un contrat ou d’un arrangement
de services; c. toute autre information sur le site d'installation
des équipements de communication, disponible sur la base du contrat
ou de l'arrangement de service...» (voir aussi le Rapport explicatif
de la Convention, paragraphes 177-183). Les informations nécessaires
à l’identification d’un abonné à un service peuvent inclure certaines
données relatives à l’adresse IP (Internet Protocol) – l’adresse IP utilisée
au moment de la création du compte, l’adresse IP utilisée la plus
récemment pour se connecter au service ou les adresses IP utilisées
pour se connecter à un moment précis, par exemple. Dans certains
États parties, ces informations sont traitées comme des données
relatives au trafic pour diverses raisons, notamment parce qu’elles
sont considérées comme ayant trait à la transmission d’une communication.
En conséquence, le paragraphe 9.b prévoit une possibilité de réserve
pour certaines Parties.
94. Bien que l’article 18 de la Convention traite déjà de certains
aspects de la nécessité d’un accès rapide et effectif aux preuves
électroniques détenues par des fournisseurs de services, il n’apporte
pas à lui seul une solution complète à ce problème, étant donné
qu’il s’applique dans des circonstances plus limitées. Plus précisément,
cet article s’applique lorsqu’un fournisseur de services se trouve
«sur le territoire» de la Partie émettrice (voir article 18, paragraphe
1.a de la Convention) ou «offre ses prestations» dans la Partie
émettrice (voir article 18, paragraphe 1.b). Compte tenu des limites
de l’article 18 et des difficultés qui se posent dans la mise en
œuvre de l’entraide judiciaire, il a été jugé important d’établir
un mécanisme complémentaire qui permettrait un accès transfrontalier
plus effectif aux informations nécessaires aux enquêtes ou aux procédures pénales
spécifiques. En conséquence, le champ d’application de cet article
est plus étendu que celui de l’article 18 de la Convention, car
il permet à une Partie d’adresser certaines injonctions aux fournisseurs
de services sur le territoire d’une autre Partie. Les Parties ont
reconnu que, bien que de telles injonctions adressées directement
par les autorités d’une Partie à des fournisseurs de services situés
dans une autre Partie soient souhaitables pour favoriser un accès
rapide et efficace aux données requises, il ne devrait pas être
permis à une Partie d’employer tous les mécanismes d’exécution prévus
par son droit interne pour faire exécuter ces injonctions. Pour
cette raison, l’exécution de ces injonctions, dans les cas où le
fournisseur ne divulgue pas les données relatives aux abonnés demandées,
est limitée à la manière énoncée au paragraphe 7 de cet article.
Cette procédure prévoit des garanties permettant de tenir compte
des exigences particulières découlant d’une coopération directe
entre les autorités d’une Partie et les fournisseurs de services se
trouvant sur le territoire d’une autre Partie.
95. Comme indiqué à l’article 5, paragraphe 7, le présent article
est sans préjudice de la capacité des Parties à exécuter les injonctions
adressées en application de l’article 18 ou de toute autre manière
autorisée par la Convention, et ne porte pas non plus atteinte à
la coopération (y compris une coopération spontanée) entre Parties,
ou entre Parties et fournisseurs de services, au moyen d’autres
accords, dispositions, pratiques ou lois nationales.
Paragraphe 1
96. Le paragraphe 1 impose aux Parties
de conférer aux autorités compétentes les pouvoirs nécessaires pour
adresser à un fournisseur de services sur le territoire d’une autre
Partie une injonction de produire des données relatives aux abonnés.
Cette injonction ne peut être émise qu’aux fins d’obtention de données spécifiées
et stockées relatives à des abonnés.
97. Le paragraphe 1 prévoit également l’obligation selon laquelle
les injonctions ne peuvent être émises et adressées que dans le
cadre d’«enquêtes ou de procédures pénales spécifiques» menées par
le pays émetteur, au sens de l’article 2 de ce Protocole. En outre,
les injonctions ne peuvent être émises que pour obtenir des informations
«nécessaires» à l’enquête ou à la procédure en question. Pour les
pays européens, les informations requises – qui doivent être nécessaires
et proportionnées – pour une enquête ou une procédure pénale doivent
respecter les principes issus de la Convention de sauvegarde des
droits de l’homme et des libertés fondamentales du Conseil de l’Europe
(1950), de sa jurisprudence applicable, ainsi que de la législation
et de la jurisprudence nationales. D’après ces principes, les pouvoirs
ou les procédures doivent être proportionnelles à la nature et aux
circonstances de l’infraction (voir paragraphe 146 du Rapport explicatif
de la Convention sur la cybercriminalité). D’autres Parties mettront
en œuvre des principes connexes de leur droit interne, comme les
principes de pertinence (l’élément de preuve demandé au moyen de
l’injonction doit être pertinent pour l’enquête ou les poursuites
engagées) et de limitation de la portée des injonctions de produire des
données relatives aux abonnés, pour éviter qu’elle soit trop large.
Cette restriction souligne le principe déjà énoncé à l’article 2
de ce Protocole et au paragraphe 1 de cet article, qui limite la
mesure à des enquêtes et procédures pénales spécifiques, selon lequel
ces dispositions ne peuvent être utilisées pour obtenir la communication
de données en masse (voir également le Rapport explicatif, paragraphe
182 de la Convention).
98. Comme défini au paragraphe 2.b de l'article 3, l'expression
«autorités compétentes» désigne une autorité judiciaire, administrative
ou autre autorité chargée de l'application de la loi qui est habilitée
par le droit interne à ordonner, autoriser ou entreprendre l'exécution
des mesures prévues par le présent protocole. La même approche est
prévue aux fins de la procédure de coopération directe visée dans
cet article. En conséquence, l’ordre juridique national d’une Partie
détermine quelle autorité est considérée comme une autorité compétente
pour adresser une injonction. Bien que la Partie émettrice définisse
laquelle de ses autorités est habilitée à émettre l’injonction,
cet article prévoit une garantie au paragraphe 5, selon lequel la Partie
destinataire peut exiger qu’une autorité désignée examine les injonctions
adressées en application de cet article et ait la possibilité de
mettre fin à la coopération directe, comme décrit plus loin.
99. Dans cet article, l’expression «fournisseur de services sur
le territoire d’une autre Partie» nécessite que le fournisseur de
services soit physiquement présent sur le territoire de l’autre
Partie. En vertu de cet article, le simple fait, par exemple, qu’un
fournisseur de services ait établi une relation contractuelle avec
une entreprise dans un État partie, mais que le fournisseur de services
lui-même ne soit pas physiquement présent sur le territoire de cette
Partie, ne permettrait pas de considérer que le fournisseur de services
se trouve «sur le territoire» de cette Partie. Le paragraphe 1 exige,
en outre, que les données soient en la possession ou sous le contrôle
du fournisseur de services.
Paragraphe 2
100. Aux termes du paragraphe 2 de
cet article, les Parties sont tenues d’adopter toutes les mesures nécessaires
pour que les fournisseurs de services sur leur territoire répondent
à une injonction adressée par une autorité compétente dans une autre
Partie, conformément au paragraphe 1. Compte tenu des différences entre
les systèmes juridiques nationaux, les Parties peuvent mettre en
œuvre des mesures différentes pour appliquer une procédure permettant
d’établir une coopération directe de manière efficace et efficiente.
Ces dispositions peuvent aller de l’élimination des obstacles juridiques
auxquels se heurtent les fournisseurs de services pour répondre
à une injonction, à la mise en place d’une base positive obligeant
les fournisseurs de services à répondre à une injonction adressée
par une autorité d’un autre État partie de manière efficace et efficiente.
Chaque Partie doit veiller à ce que les fournisseurs de services
puissent se conformer en toute légalité aux injonctions visées par
cet article d’une manière qui garantisse la sécurité juridique,
de sorte que les fournisseurs de services ne voient pas leur responsabilité
juridique engagée du seul fait qu’ils se sont conformés de bonne
foi à une injonction adressée en vertu du paragraphe 1 et pour laquelle
une Partie a déclaré qu’elle est émise en application de ce Protocole
(paragraphe 3.b). Cela n’exclut pas que cette responsabilité soit
engagée pour d’autres raisons que le fait d’avoir suivi l’injonction,
comme un manquement à une quelconque obligation légale applicable
selon laquelle un fournisseur de services doit assurer des conditions
de sécurité suffisantes pour les données stockées. La forme de la
mise en œuvre dépend des considérations juridiques et politiques
des Parties; pour les Parties qui ont des exigences en matière de protection
des données, il s’agirait notamment de définir une base claire pour
le traitement des données à caractère personnel. Au vu des exigences
supplémentaires prévues par les lois sur la protection des données pour
autoriser d’éventuels transferts internationaux de données relatives
aux abonnés, le présent Protocole traduit l’importance de l’intérêt
public pour cette mesure de coopération directe et prévoit à son
article 14 les garanties requises à cette fin.
101. Comme cela est énoncé ci-dessus, l’ordre juridique national
d’une Partie détermine quelle autorité est considérée comme une
autorité compétente pour adresser une injonction. Certaines Parties
ont estimé de disposer d’une garantie supplémentaire permettant
un contrôle plus poussé de la légalité de l’injonction (voir par
exemple paragraphe 96 ci-dessus) en raison du caractère direct de
la coopération. Alors que la Partie émettrice définit parmi ses
autorités celles chargées d’adresser l’injonction, le paragraphe 2.b
autorise les Parties à faire une déclaration selon laquelle «l’injonction
adressée en application du paragraphe 1 doit être émise par un procureur
ou une autre autorité judiciaire, sous la supervision de cette autorité
ou sous une forme de supervision indépendante». Une Partie faisant
usage de cette possibilité doit accepter toute injonction émise
par l’une des autorités citées ou sous la supervision de l’une d’elles.
Paragraphe 3
102. Le paragraphe 3 de cet article
précise les informations qui doivent, au minimum, être fournies
par une autorité adressant une injonction en application du paragraphe 1
de cet article, bien qu’une Partie émettrice puisse décider d’inclure
des renseignements complémentaires dans l’injonction elle-même pour
faciliter son traitement ou parce que son droit interne lui impose
de les y faire figurer. Les informations visées au paragraphe 3
sont particulièrement pertinentes pour l’exécution de l’injonction
par le fournisseur de services, ainsi que pour l’intervention éventuelle
de l’autorité de l’État partie dans lequel se trouve le fournisseur
de services, conformément au paragraphe 5. L’injonction doit mentionner
le nom de l’autorité émettrice et la date d’émission, donner des
informations permettant d’identifier le fournisseur de services,
préciser l’infraction qui fait l’objet de l’enquête ou de la procédure
pénale, désigner l’autorité qui sollicite les données relatives
aux abonnés et présenter une description détaillée des données spécifiques
relatives aux abonnés qui sont demandées. L’injonction doit également
contenir une déclaration selon laquelle elle est émise en application de
ce Protocole; en faisant cette déclaration, la Partie indique que
l’injonction est conforme aux dispositions du Protocole.
103. En ce qui concerne la différence entre le paragraphe 3.a (l’autorité
émettrice) et le paragraphe 3.d. (l’autorité qui sollicite les données
relatives aux abonnés), dans certaines Parties, l’autorité émettrice
et l’autorité qui sollicite les données sont distinctes. Ainsi,
les enquêteurs ou les procureurs peuvent jouer le rôle de l’autorité
qui sollicite les données, alors que l’injonction est adressée par
un juge. Dans de telles situations, il est alors nécessaire d’identifier
l’autorité qui sollicite les données et celle qui émet l’injonction.
104. Il n’est pas nécessaire de produire un exposé des faits, étant
donné que ces informations sont confidentielles dans la plupart
des enquêtes pénales et qu’elles ne peuvent être divulguées à une
partie privée.
Paragraphe 4
105. Alors que le paragraphe 3 énonce
les informations qui doivent, au minimum, être transmises lors de l’émission
d’une injonction au titre du paragraphe 1, ces injonctions ne peuvent
souvent être exécutées que si le fournisseur de services (et, le
cas échéant, l’autorité désignée par la Partie destinataire en application
du paragraphe 5) reçoit des informations complémentaires. Par conséquent,
le paragraphe 4 de cet article précise qu’une autorité émettrice
doit fournir des informations complémentaires sur le fondement juridique interne
qui habilite l’autorité à adresser une injonction; mentionner les
dispositions juridiques et les sanctions applicables à l’infraction
qui est à l’origine d’une enquête ou de poursuites; donner les coordonnées
de l’autorité à laquelle le fournisseur de services doit communiquer
les données relatives aux abonnés, demander de plus amples informations
ou adresser toute autre réponse; indiquer le délai et le mode de
communication de ces données; spécifier si une demande de conservation
des données a été formulée précédemment, en précisant la date de
conservation et tout numéro de référence applicable; évoquer tout
type d’instructions spéciales en matière de procédure (demandes
de confidentialité ou d’authentification) et ajouter toute autre information
qui pourrait aider à obtenir la divulgation des données relatives
aux abonnés. Il n’est pas nécessaire que les coordonnées fournies
concernent précisément une personne, mais seulement une entité administrative.
Ces renseignements complémentaires peuvent être transmis séparément
mais peuvent également être inclus dans l’injonction elle-même,
si la législation de la Partie émettrice le permet. L’injonction comme
les informations complémentaires sont transmises directement au
fournisseur de services.
106. Les instructions spéciales en matière de procédure portent
notamment sur toute demande de confidentialité, y compris les demandes
de non-divulgation de l’injonction à l’abonné concerné ou à d’autres tiers.
Si des mesures de confidentialité sont nécessaires pour éviter une
divulgation prématurée de l’affaire, il faut l’indiquer dans la
demande. Dans certains États parties, la confidentialité de l’injonction
est maintenue de plein droit, alors que dans d’autres États parties
ce n’est pas nécessairement le cas. Par conséquent, afin d’éviter
tout risque de divulgation prématurée de l’enquête, les Parties
sont encouragées à prendre connaissance de la législation applicable
et des politiques des fournisseurs de services en matière de notification
des abonnés, avant d’adresser l’injonction au fournisseur de services
en application du paragraphe 1. En outre, au titre des instructions
spéciales en matière de procédure, le moyen de transmission le plus
adapté aux besoins de l’autorité peut être spécifié. Le fournisseur
de services peut également demander des renseignements complémentaires
concernant le compte ou d’autres informations pour l’aider à fournir
une réponse rapide et complète. Une demande de confidentialité ne
devrait pas empêcher les prestataires de services de rendre compte,
dans un souci de transparence, des nombres agrégés anonymes d'ordres
reçus au titre du présent article.
Paragraphe 5
107. Aux termes du paragraphe 5.a,
une Partie peut notifier au Secrétaire Général du Conseil de l’Europe que,
lorsqu'une commande est émise en vertu du paragraphe 1 à l'intention
d'un prestataire de services sur son territoire, elle exigera une
notification simultanée soit dans tous les cas (c'est-à-dire pour
toutes les commandes transmises aux prestataires de services sur
son territoire), soit dans des circonstances déterminées.
108. En application du paragraphe 5.b, une Partie peut également,
en vertu de son droit interne, exiger d’un fournisseur de services
qui se voit adresser une injonction par une autre Partie qu’il la
consulte dans certaines circonstances déterminées. Une Partie ne
peut pas exiger d’être consultée pour chaque injonction, car cela ajouterait
une mesure supplémentaire qui pourrait retarder considérablement
le traitement des demandes, mais seulement dans des circonstances
limitées et définies. L’obligation de procéder à une consultation
devrait être limitée aux circonstances dans lesquelles il y a un
risque accru de devoir imposer des conditions ou invoquer un motif
de refus ou une crainte de préjudice potentiel pour les enquêtes
ou procédures pénales menées par la Partie transférante.
109. Les procédures de notification et de consultation sont laissées
à l’entière discrétion des Parties, qui ne sont pas tenues d’exiger
l’une ou l’autre.
110. Les Parties notifiées en vertu du paragraphe 5.a ou consultées
en vertu du paragraphe 5.b peuvent ordonner à un fournisseur de
services de ne pas divulguer des informations pour les motifs prévus
au paragraphe 5.c, qui sont décrits plus en détail au paragraphe 141
du Rapport explicatif de l’article 8. De ce fait, la capacité d'une
partie à être notifiée ou consultée constitue une garantie supplémentaire.
Cela dit, la coopération doit en principe être étendue et les obstacles
à celle-ci strictement limités. En conséquence, comme l'expliquent
les paragraphes 242 et 253 du rapport explicatif de la convention,
la détermination par la Partie notifiée ou consultée des conditions
et des refus qui s'appliqueraient en vertu des articles 25, paragraphe
4, et 27, paragraphe 4, de la convention devrait également être
limitée conformément aux objectifs de cet article, à savoir éliminer
les obstacles à l'accès transfrontalier aux preuves électroniques
aux fins d'enquêtes pénales et prévoir des procédures plus efficaces
et accélérées dans ce domaine.
111. En vertu de paragraphe 5.d, les Parties qui font une déclaration
en application du paragraphe 5.a ou qui exigent une consultation
au titre du paragraphe 5.b peuvent contacter l’autorité désignée
en vertu de l’article 4.c et lui demander des renseignements complémentaires
pour déterminer s’il y a lieu, en vertu du paragraphe 5.c, d’ordonner
au fournisseur de services de ne pas se conformer à l’injonction.
Le processus se veut aussi rapide que les circonstances le permettent.
La Partie notifiée ou consultée doit recueillir les informations
nécessaires et prendre leur décision en vertu du paragraphe 5.c
«dans les plus brefs délais». Cette Partie doit également informer
rapidement les autorités de la Partie émettrice si elle décide d’ordonner au
fournisseur de services de ne pas répondre favorablement, en indiquant
les raisons de cette décision.
112. Une Partie qui exige d’être informée ou consultée peut décider
d’imposer au fournisseur un délai d’attente avant qu’il ne fournisse
les données relatives aux abonnés en réponse à l’injonction, afin
de permettre la communication d’informations ou la tenue de la consultation
et toute formulation de demandes de renseignements complémentaires
par la Partie.
113. Aux termes du paragraphe 5.e, une Partie qui exige d’être
informée ou consultée doit désigner une autorité unique et, lorsqu’une
notification est requise en vertu du paragraphe 5.a, communiquer
au Secrétaire Général du Conseil de l’Europe les coordonnées de
cette autorité, et les Parties sont tenus de veiller à ce que les
informations soient tenues à jour, y compris lorsque les Parties
changent d’autorité unique désignées.
114. Une Partie peut modifier son exigence de notification ou de
consultation à tout moment, selon les facteurs qu’elle juge pertinents,
par exemple si elle souhaite passer d’un système de notification
à un système de consultation ou si elle est suffisamment à l’aise
avec la coopération directe pour pouvoir revoir ou annuler une obligation
de notification ou de consultation adoptée précédemment. Elle peut
également décider que, compte tenu de l’expérience qu’elle a acquise
dans l’utilisation du mécanisme de coopération directe, elle souhaite
instaurer un système de notification ou de consultation.
115. En vertu du paragraphe 5.f, le Secrétaire Général du Conseil
de l’Europe est tenu d’établir et de tenir à jour un registre de
toutes les exigences en matière de notification en vertu du paragraphe
5. La mise à disposition d’un registre public et à jour est essentielle
pour garantir que les autorités de la Partie émettrice et les fournisseurs
de services sont informés des exigences de notification de chaque
Partie, lesquelles, comme indiqué ci-dessus, peuvent être modifiées
à tout moment. Étant donné que toutes les Parties peuvent apporter une
telle modification à leur discrétion, chaque Partie qui apporte
une modification ou relève une inexactitude concernant ses données
dans le registre est tenue d’en aviser immédiatement le Secrétaire
Général afin de s’assurer que les autres Parties ont connaissance
des exigences en vigueur et peuvent les appliquer correctement.
Paragraphe 6
116. Le paragraphe 6 indique clairement
que la communication d’informations à une autre Partie et la fourniture
d’informations supplémentaires par voie électronique, y compris
par l’utilisation de courrier électronique et de portails électroniques,
est autorisée. Si le fournisseur de services le juge acceptable,
une Partie peut soumettre une commande en vertu du paragraphe 1
et des informations supplémentaires en vertu du paragraphe 4 sous
forme électronique. L’objectif est d’encourager le recours à des
moyens électroniques s'ils sont acceptables pour le prestataire
de services, car ce sont presque toujours les moyens de communication
les plus efficaces et les plus rapides. Les méthodes d’authentification
appliquées peuvent comprendre divers moyens, utilisés éventuellement
en les associant, pour permettre une identification sécurisée de
l’autorité requérante. Ces moyens peuvent par exemple être les suivants:
l’obtention d’une confirmation d’authenticité par l’intermédiaire
d’une autorité connue au sein de la Partie émettrice (auprès de l’expéditeur
ou d’une autorité centrale ou désignée, par exemple); des communications
ultérieures entre l’autorité émettrice et la Partie destinataire;
l’utilisation d’une adresse électronique officielle ou de futures méthodes
de vérification technologique qui peuvent être facilement utilisées
par les autorités qui transmettent les informations. Des dispositions
similaires figurent au paragraphe 2 de l’article 10 et d’autres
orientations concernant les exigences en matière de sécurité sont
proposées au paragraphe 175 du Rapport explicatif. L’article 6,
paragraphe 4, et l’article 8 contient également des dispositions
similaires, au paragraphe 5.
Paragraphe 7
117. Le paragraphe 7 prévoit que,
si un fournisseur de services ne se conforme pas à l’injonction
adressée au titre de cet article, la Partie émettrice ne peut en
demander l’exécution qu’en application de l’article 8 ou d’une autre
forme d’entraide. Les Parties qui invoquent cet article ne peuvent
chercher à obtenir une exécution unilatérale.
118. S’agissant de l’exécution de l’injonction au moyen de l’article 8,
le Protocole envisage une procédure simplifiée de conversion d’une
injonction émise en vertu de cet article en une injonction émise
en application de l’article 8 afin qu’il soit plus facile, pour
la Partie émettrice, d’obtenir des données relatives aux abonnés.
119. Afin d’éviter les doublons, une Partie émettrice doit accorder
au fournisseur de services un délai de 30 jours ou le délai prévu
au sous-paragraphe 4.d, la plus longue période étant retenue, pour
que le processus de notification et de consultation ait lieu et
que le fournisseur de services communique les informations demandées
ou indique son refus de le faire. Ce n’est qu’après l’expiration
de ce délai, ou si le fournisseur a indiqué son refus de se conformer
à l’injonction avant l’expiration de ce délai, qu’une Partie émettrice
peut demander son exécution au titre de l’article 8 ou d’autres
formes d’entraide. Pour permettre aux autorités d’évaluer s’il y
a lieu de demander l’exécution en vertu du paragraphe 7, les fournisseurs
de services sont encouragés à donner les raisons pour lesquelles
ils n’ont pas transmis les données demandées. Un fournisseur de
services peut par exemple expliquer que ces données ne sont plus
disponibles.
120. Si une autorité informée en application du paragraphe 5.a
ou consultée au titre du paragraphe 5.b a informé la Partie émettrice
que le fournisseur de services a reçu instruction de ne pas divulguer
les informations demandées, la Partie émettrice peut néanmoins demander
l’exécution de son injonction au moyen de l’article 8 ou d’une autre
forme d’entraide. Toutefois, il existe un risque de rejet de cette
nouvelle demande. Il est conseillé à la Partie émettrice de consulter
à l’avance une autorité désignée en application des paragraphes 5.a
ou 5.b afin de remédier à toute insuffisance de l’injonction initiale
et d’éviter de transmettre des injonctions au moyen de l’article 8
ou de tout autre mécanisme d’entraide qui pourrait donner lieu à
un refus.
Paragraphe 8
121. Aux termes du paragraphe 8, une
Partie peut déclarer qu’une autre Partie doit solliciter la divulgation
de données relatives aux abonnés auprès du fournisseur de services
avant de la demander en application de l’article 8, à moins que
la Partie émettrice ne fournisse une explication raisonnable justifiant
de ne pas l’avoir fait. Ainsi, une Partie peut faire une telle déclaration
parce qu’elle considère que les procédures prévues par cet article
devraient permettre aux autres Parties d’obtenir des données relatives
aux abonnés plus rapidement qu’en invoquant l’article 8 et, par
conséquent, pourraient réduire le nombre de cas dans lesquels l’article 8
doit être invoqué. Les procédures prévues par l’article 8 ne seraient
alors utilisées que lorsque les démarches visant à obtenir la divulgation
de données relatives aux abonnés directement auprès du fournisseur
de services ont échoué, lorsque la Partie émettrice a une explication
raisonnable pour ne pas appliquer cet article en premier lieu ou
lorsque la Partie émettrice s’est réservé le droit de ne pas appliquer
cet article. Une Partie émettrice peut ainsi en faire la démonstration
lorsqu’un fournisseur de services s’abstient régulièrement de transmettre
des données relatives aux abonnés en réponse à des injonctions adressées
directement par cette Partie. Autre exemple, si une Partie émettrice,
au moyen d’une injonction unique, demande la divulgation de données
relatives aux abonnés et de données relatives au trafic à une autre
Partie qui applique l’article 8 à ces deux catégories de données,
la Partie émettrice n’a pas besoin de demander dans un premier temps
les données relatives aux abonnés séparément.
Paragraphe 9
122. En vertu du paragraphe 9.a, une
Partie qui se réserve le droit de ne pas appliquer cet article n’est
pas tenue de prendre des mesures en application du paragraphe 2
pour que les fournisseurs de services sur son territoire divulguent
des données relatives aux abonnés en réponse à des injonctions adressées
par d’autres Parties. Une Partie qui se réserve ce droit n’est pas
autorisée à adresser des injonctions au titre du paragraphe 1 à
des fournisseurs de services sur le territoire d’autres Parties.
123. Le paragraphe 9.b dispose que – pour les raisons mentionnées
au paragraphe 92 ci-dessus – si la divulgation de certains types
de numéros d’accès en vertu de cet article serait incompatible avec
les principes fondamentaux de son ordre juridique interne, une Partie
peut se réserver le droit de ne pas appliquer cet article à ces
numéros. Une Partie qui formule une telle réserve n’est pas autorisée
à adresser des injonctions concernant ces numéros au titre du paragraphe 1
à des fournisseurs de services sur le territoire d’autres Parties.
Section 3 – Procédures complétant
la coopération internationale et l'entraide existantes entre les autorités
Article 8 – Donner
effet aux injonctions d’une autre Partie ordonnant la production
accélérée de données
124. Cet article a pour but de donner
à une Partie requérante la capacité d’émettre une injonction à produire à
une Partie requise, dans le cadre d’une demande, et de faire en
sorte que la Partie requise soit en mesure de donner effet à ladite
injonction en ordonnant à un fournisseur de services sur son territoire
de produire des informations sur l’abonné ou des données relatives
au trafic qui sont en possession ou sous le contrôle du fournisseur
de services.
125. Cet article établit un mécanisme qui complète les dispositions
de la Convention relatives à l’entraide judiciaire. Il est conçu
pour être plus simple que l’entraide judiciaire actuelle, puisque
les informations que doit fournir la Partie requérante sont plus
limitées et le processus d’obtention des donnés plus rapide. Il
complète sans pour autant remplacer d’autres processus d’entraide
judiciaire prévus par la Convention, ou d’autres accords multilatéraux
ou bilatéraux, qu’une Partie demeure libre d’invoquer. De fait,
lorsqu’une Partie requérante souhaite demander des données relatives
au trafic à une Partie qui a émis une réserve concernant cet aspect
de cet article, la Partie requérante peut recourir à une autre procédure
d’entraide judiciaire. Lorsque, comme c’est fréquemment le cas,
la demande porte sur la production simultanée d’informations sur
l’abonné, de données relatives au trafic et de données relatives
au contenu stocké, il peut être plus efficient de demander les trois
formes de données à partir du même compte au moyen d’une seule demande
d’entraide traditionnelle plutôt que de demander certains types
de données au moyen de la méthode prévue par cet article pour d’autres
types de données au moyen d’une demande d’entraide distincte.
Paragraphe 1
126. Le paragraphe 1 dispose que la
Partie requérante doit être en mesure d’émettre une injonction en
vue d’obtenir des informations relatives à l’abonné ou données relatives
au trafic détenues par un fournisseur de services sur le territoire
d’une autre Partie. Le terme «injonction» utilisé dans le présent
article signifie tout processus judiciaire ayant pour but d’obliger
un fournisseur de services à fournir des informations relatives
à un abonné ou données relatives au trafic. L’injonction peut ainsi
prendre la forme d’une injonction de produire, d’une assignation
ou autre mécanisme autorisé en droit et qui peut être émis pour
ordonner la production d’informations relatives à un abonné ou données
relatives au trafic.
127. Tel que cela est défini au paragraphe 2.b de l’Article 3,
l’expression «autorité compétente» au paragraphe 1 du présent article
recouvre «une autorité judiciaire, administrative ou répressive
compétente en droit interne pour ordonner, autoriser ou entreprendre
l’exécution de mesures en vertu de ce Protocole en vue de la collecte
ou de la production de preuves concernant des enquêtes criminelles
ou procédures pénales spécifiques». On relèvera que les autorités
compétentes pour émettre une injonction en vertu du paragraphe 1
ne seront pas nécessairement les mêmes que les autorités désignées
pour soumettre l’injonction à laquelle il convient de donner effet
conformément au paragraphe 10 a) du présent article, comme décrit
de manière plus détaillée ci-dessous.
128. Dans cet article, l’expression «un fournisseur de services
sur le territoire d’une autre Partie» requiert que le fournisseur
de services soit physiquement présent sur le territoire de l’autre
Partie. En vertu de cet article, le simple fait que, par exemple,
un fournisseur de services ait établi une relation contractuelle
avec une société dans une Partie, mais qu’il ne soit pas lui-même
physiquement présent dans cette Partie ne le qualifierait comme
étant «sur le territoire» de cette Partie. Le paragraphe 1 requiert
en outre que les données soient en possession ou sous le contrôle
du fournisseur de services.
Paragraphe 2
129. En vertu du paragraphe 2, la
Partie requise adopte les mesures nécessaires aux fins de donner
effet sur son territoire à une injonction émise en vertu du paragraphe
1, sous réserve des garanties qui vont être décrites ci-après. «Donner
effet» signifie que la Partie requise devra ordonner au fournisseur
de services de communiquer les informations relatives à l’abonné
et données relatives au trafic en utilisant le mécanisme correspondant
au choix de la Partie requise, à condition que le mécanisme rende
l’injonction exécutoire dans le droit interne de la Partie requise
et respecte les dispositions du présent article. Par exemple, une
Partie requise peut donner effet à l’injonction émanant d’une Partie
requérante en acceptant l’injonction comme équivalente à des injonctions
émises dans son droit interne, en l’endossant pour lui donner la
même force exécutoire qu’une injonction émise dans son droit interne
ou en émettant sa propre injonction de production. Quel que soit
le mécanisme choisi, il sera soumis aux dispositions du droit interne
de la Partie requise, puisque ce sont les procédures de cette dernière
qui l’encadreront. La Partie requise peut ainsi s’assurer que son propre
droit, y compris les conditions en matière constitutionnelle et
de droits de l’homme, est respecté tout particulièrement pour ce
qui est des éventuelles garanties supplémentaires, y compris celles
qui sont nécessaires en matière de production des données relatives
au trafic.
130. Il existe certes diverses manières d’appliquer cet article,
et une Partie peut souhaiter concevoir ses propres processus internes
en y intégrant la flexibilité nécessaire pour traiter les demandes
émanant de toute une série d’autorités compétentes diverses et variées.
Le paragraphe 3.b a été négocié pour garantir que la Partie requise
se voie fournir suffisamment d’informations pour qu’un examen complet
puisse être mené au besoin, car certaines Parties ont indiqué qu’elles
émettraient leurs propres injonctions pour donner effet à celle de
la Partie requise.
Paragraphe 3
131. Pour déclencher auprès de la
Partie requise le processus qui donnera effet à l’injonction, la
Partie requérante transmet l’injonction et les informations à l’appui
de cette dernière. Le paragraphe 3 décrit ce qu’une Partie requérante
doit communiquer à la Partie requise pour que celle-ci donne effet
à l’injonction et enjoigne à un prestataire de service sur son territoire
de produire les éléments demandés. L’alinéa 3.a décrit les informations
devant figurer dans l’injonction elle-même et inclut des informations
fondamentales pour l’exécution de l’injonction. Les informations
visées par le paragraphe 3.b, uniquement à l’usage de la Partie requise
et qui ne doivent pas être communiquées avec le fournisseur de services
sauf sur autorisation de la Partie requérante, sont des informations
en appui à l’injonction qui posent dans le présent Protocole la
base juridique nationale et internationale pour l’injonction, et
sert à la Partie requise pour évaluer les motifs potentiels d’une
réponse conditionnelle ou d’un refus en vertu du paragraphe 8. Lorsqu’elles
envoient une demande en vertu de cet article, les Parties devraient
indiquer si des informations relevant du paragraphe 3.b peuvent
être partagées avec le fournisseur de services. En vertu du paragraphe
3.c, la demande devrait aussi au moment de sa transmission et afin
de garantir le traitement correct de la demande, inclure toutes
instructions spéciales, par exemple des demandes pour une certification
ou de confidentialité de la demande (similairement à l’article 27,
paragraphe 8, de la Convention).
132. L'injonction de produire des informations concernant l’abonné
ou de données concernant le trafic décrite au paragraphe 3.a. doit,
sur sa première page, mentionner le nom du ou des fournisseurs de
services devant être notifiés, la mention que l’injonction est émise
conformément au présent Protocole, une description détaillée des
données spécifiques demandées (autrement dit l’identité de l’abonné,
l’adresse postale ou géographique, le numéro de téléphone ou autre
numéro d’accès ainsi que les informations relatives à la facturation
et au règlement disponibles du fait du contrat ou des modalités
de service (voir l'article 3 du présent Protocole incorporant l'article
18, paragraphe 3, de la Convention et du Rapport explicatif paragraphe
93 ci-dessus); et pour ce qui est des données relatives au trafic,
les données informatiques concernant une communication au moyen
d’un système informatique, générées par un système informatique
qui faisait partie de la chaîne de communication indiquant l’origine,
la destination, le routage, l’heure, la date, la durée ou le type de
services sous-jacent (voir l’article 3, paragraphe 1 de ce Protocole
incorporant l’article 1, paragraphe d, de la Convention), l’autorité
qui a émis l’injonction, l’autorité qui demande les données, et
l’infraction qui fait l’objet de l’enquête criminelle ou de la procédure
pénale. Si l’autorité émettrice et celle qui demande les données
sont différentes, en vertu de la disposition, les deux doivent être
identifiées. Ainsi, une autorité d’enquête ou de poursuite peut
être celle qui demande les données et un juge celui qui émet l’injonction.
Ces informations viennent à l’appui de la légitimité de l’injonction
et de la clarté des instructions pour son exécution.
133. Les informations en appui décrites à l’alinéa 3.b. ont pour
but de communiquer à la Partie requise les informations dont elle
a besoin pour donner effet à l’injonction de la Partie requérante.
Il serait également possible de faciliter leur communication en
recourant à un formulaire facile à remplir qui rendrait le processus encore
plus efficient et recueillerait notamment les éléments suivants:
a au titre de l’alinéa 3.b.i, la
base légale qui donne compétence à l’autorité émettrice pour émettre l’injonction
visant à obliger le fournisseur de services à produire les données
demandées. En d’autres termes, cette rubrique comprendra la loi
pertinente qui donne pouvoir à une autorité compétente pour émettre
l’injonction décrite au paragraphe 1;
b au titre de l’alinéa 3.b.ii, la disposition juridique
concernant l’infraction mentionnée dans l’injonction telle que visée
à l’alinéa 3.a.iv et le barème de sanctions qui lui est associé.
L’inclusion de ces deux éléments est importante pour que la Partie
requise évalue si la demande entre dans le périmètre de ses obligations;
c au titre de l’alinéa 3.b.iii, toutes informations pouvant
être fournies par la Partie requérante qui l’ont amenée à conclure
que le ou les fournisseurs de services visés par l’injonction sont
en possession des informations ou données demandées ou en ont le
contrôle. Ces informations sont fondamentales pour démarrer le processus
dans la Partie requise. L’identification du fournisseur national
de services et le fait de penser que celui-ci possède ou contrôle
les informations ou données requises est souvent une condition préalable
à l’émission d’une demande d’injonction de produire;
d au titre de l’alinéa 3.b.iv, un bref résumé des faits
liés à l’enquête ou à la procédure. Ces informations sont également
essentielles pour que la Partie requise détermine s’il convient
ou non de donner effet à une injonction sur son territoire;
e au titre de l’alinéa 3.b.v, une déclaration concernant
la pertinence des informations ou données pour l’enquête ou la procédure.
Cette déclaration est destinée à aider la Partie requise à décider
si les conditions prévues au paragraphe 1 de cet article sont remplies,
autrement dit si les informations ou données sont «nécessaires pour
les enquêtes ou procédures pénales spécifiques de la Partie requérante»;
f au titre de l’alinéa 3.b.vi, les coordonnées de contact
d’une ou de plusieurs autorités si l’autorité compétente dans la
Partie requise a besoin d’informations supplémentaires pour donner
effet à l’injonction;
g au titre de l’alinéa 3.b.vii, des précisions concernant
l’éventualité que la conservation des informations ou données a
déjà été demandée. Cette information est importante pour la Partie
requise, en particulier pour ce qui concerne les données liées au
trafic, et devrait préciser, par exemple, les références de la demande
et la date de la conservation, car elle permet à la Partie requise
de rapprocher la demande nouvellement reçue d’une demande antérieure
de conservation, et ainsi de faciliter la communication des informations
ou données conservées à l’origine. Pour réduire le risque que des
informations ou données soient effacées, les Parties sont encouragées
à demander au plus tôt la conservation des informations ou données
recherchées et de le faire avant d’intenter une demande d’entraide
en vertu du présent article, ainsi que de veiller à ce que l’extension
de la préservation soit demandée en temps opportun;
h au titre de l’alinéa 3.b.iii, des précisions sur l’éventualité
que les données aient déjà été demandées par d’autres moyens et
si oui, comment. Cette disposition concerne essentiellement le cas
où une Partie requérante a déjà sollicité directement auprès du
fournisseur de service des informations relatives à l’abonné ou
des données relatives au trafic.
134. Les informations à fournir en vertu de l’alinéa 3.b ne sont
pas communiquées au fournisseur de services sans l’accord de la
Partie requérante. En particulier, le résumé des faits et la déclaration
concernant la pertinence des informations ou données pour l’enquête
ou les poursuites est communiqué à la Partie requise pour déterminer
s’il y a lieu d’imposer des termes ou conditions ou de refuser,
mais relève souvent du secret de l’enquête.
135. En vertu de l’alinéa 3.c, la Partie requérante peut demander
des instructions procédurales spécifiques, dont des demandes de
non-divulgation de l’injonction à l’abonné ou des formulaires d’authentification
à remplir pour la preuve. Ces informations doivent être connues
dès le départ, étant donné que certaines instructions spéciales
peuvent entraîner des processus supplémentaires chez la Partie requise.
136. Pour donner effet à l’injonction et faciliter davantage la
production des informations et données, la Partie requise peut communiquer
au fournisseur de services des informations complémentaires telles
que la méthode de production, et le destinataire de la production
des données chez la Partie requise.
Paragraphe 4
137. En vertu du paragraphe 4, il
peut être nécessaire de fournir des informations complémentaires
à la Partie requise pour donner effet à l’injonction. Ainsi, dans
les lois nationales de certaines Parties, la production de données
sur le trafic peut exiger la communication d’informations supplémentaires
du fait de conditions supplémentaires dans ce droit pour l’obtention
de ces données. De plus, la Partie requise peut demander des éclaircissements
concernant les informations fournies en vertu de l’alinéa 3.b. ou
encore des Parties peuvent demander des informations supplémentaires
lorsque l’injonction n’a pas été émise ou revue par un procureur ou
une autre autorité administrative judiciaire ou indépendante de
la Partie requérante. Les Parties qui feront ce type de déclaration
devraient être aussi spécifiques que possible pour ce qui concerne
le type d’informations complémentaires requises.
Paragraphe 5
138. Le paragraphe 5 exige que la
Partie requise accepte les demandes sous forme électronique. Il
peut exiger l'utilisation de moyens de communication électroniques
sûrs et authentifiables pour faciliter la transmission d'informations
ou de données et de documents, y compris la transmission d'ordonnances
et de renseignements à l'appui. Les articles 6 à 11 prévoient également
de tels moyens de communication.
Paragraphe 6
139. En vertu du paragraphe 6, la
Partie requise devrait prendre des mesures pour traiter rapidement
la demande. Elle fait des efforts raisonnables pour traiter les
demandes et notifier le fournisseur de services dans les 45 jours
suivant sa réception de tous les documents et informations nécessaires.
La Partie requise ordonnera au fournisseur de services de produire
les informations relatives à l’abonné dans les 20 jours et les données
relatives au trafic dans les 45 jours. La Partie requise devrait
certes s’efforcer d’obtenir la production aussi rapidement que possible,
toutefois de nombreux facteurs peuvent retarder celle-ci, par exemple
les objections des fournisseurs de services, le fait que ces derniers
ne répondent pas aux demandes ou ne respectent pas les délais pour
la production, mais aussi le volume de demandes qu’une Partie requise
peut se voir demander de traiter. Il a donc été décidé d’exiger
que les Parties requises fassent des efforts raisonnables pour mener
à bien uniquement les processus sous leur contrôle.
Paragraphe 7
140. Les Parties ont reconnu que certaines
instructions procédurales spéciales demandées par la Partie requérante
peuvent aussi causer des retards dans le traitement des injonctions,
si les instructions requièrent des processus nationaux supplémentaires
pour donner effet aux instructions procédurales spéciales. La Partie requise
peut aussi demander des informations supplémentaires à la Partie
requérante pour étayer toutes demandes d’injonctions supplémentaires
telles que des injonctions de confidentialité (injonctions de non-divulgation).
Certaines instructions procédurales peuvent ne pas être prévues
dans le droit de la Partie requise, auquel cas le paragraphe 7 prévoit
que celle-ci en informe rapidement la Partie requérante et spécifie
les conditions dans lesquelles elle pourrait donner suite à la demande,
ce qui permet alors à la Partie requérante de déterminer si elle
souhaite ou non poursuivre avec sa demande.
Paragraphe 8
141. En vertu du paragraphe 8, la
Partie requise peut refuser d’exécuter une requête si les motifs
de refus établis aux articles 25, paragraphe 4 ou 27, paragraphe
4 de la Convention existent. Par exemple, conformément au paragraphe
257 du Rapport explicatif de la Convention, cette disposition est
soumise aux motifs de refus prévus par les traités d'entraide judiciaire
et les lois nationales applicables et offre «des garanties pour
les droits des personnes se trouvant dans la Partie requise», et
conformément au paragraphe 268 de ce même Rapport explicatif, l'entraide
peut être refusée pour «atteinte à la souveraineté de l'État, à
la sécurité, à l'ordre public ou à d'autres intérêts essentiels».
Elle peut également imposer les conditions nécessaires pour permettre
l’exécution de la demande, telles que la confidentialité. En outre,
la Partie requise peut différer l’exécution de la requête en vertu
de l’article 27, paragraphe 5, de la Convention. La Partie requise
notifie à la Partie requérante sa décision de refuser, de conditionner
ou de différer la demande. En outre, les Parties peuvent appliquer
une limitation de l'usage conformément aux termes de l'article 28,
paragraphe 2.b de la Convention.
142. Afin de promouvoir le principe de la coopération la plus large
possible (voir article 5, paragraphe 1), les motifs de refus établis
par une Partie requise devraient être étroits et exercés avec retenue.
Il convient de rappeler que le paragraphe 253 du Rapport explicatif
de la Convention prévoit que «l'entraide doit en principe être étendue
et les entraves dont elle peut faire l'objet doivent être strictement
limitées.» En conséquence, les conditions et refus devraient également
être limités conformément aux objectifs de cet article pour éliminer
les obstacles au partage transfrontalier des informations relatives
à l’abonné et des données relatives au trafic et pour mettre en
place des procédures plus efficientes et rapides que l’entraide
traditionnelle.
Paragraphe 9
143. En vertu du paragraphe 9, «si
une Partie requérante ne peut se conformer à une condition imposée
par la Partie requise en vertu du paragraphe 8, elle en informe
rapidement la Partie requise. La Partie requise détermine alors
si les informations ou le matériel doivent néanmoins être fournis.
Si la Partie requérante accepte la condition, elle est liée par
celle-ci. La partie requise qui fournit des renseignements ou du
matériel soumis à une telle condition peut exiger de la partie requérante
qu'elle explique, en relation avec cette condition, l'usage qui
a été fait de ces renseignements ou de ce matériel».
Paragraphe 10
144. L'objet du paragraphe 10 est
de faire en sorte que les Parties, au moment de la signature, ou
au moment du dépôt de leurs instruments de ratification, d'acceptation
ou d'approbation, identifient les autorités chargées de soumettre
et de recevoir les commandes en vertu du présent article. Les Parties
ne sont pas tenues de donner le nom et l'adresse d'une personne
en particulier, mais peuvent identifier un bureau ou une unité qui
a été jugé compétent aux fins de l'envoi et de la réception des
ordres en vertu du présent article.
Paragraphe 11
145. Le paragraphe 11 permet à une
Partie de déclarer qu’elle demande que les injonctions qui lui sont soumises
en vertu de cet article soient transmises par l’autorité centrale
de la Partie requérante ou une autre autorité s’il en est ainsi
convenu ensemble par les Parties. Les Parties sont encouragées à
prévoir la plus grande souplesse pour la soumission de demandes.
Paragraphe 12
146. Le paragraphe 12 requiert que
le Secrétaire Général ou la Secrétaire Générale du Conseil de l’Europe établisse
et tienne à jour un registre des autorités désignées par les Parties
en vertu du paragraphe 10 et que chaque Partie veille à ce que ses
informations contenues dans le registre soient justes et précises.
Ces informations aideront les Parties requises à vérifier l’authenticité
des demandes.
Paragraphe 13
147. En vertu du paragraphe 13, une
Partie qui se réserve le droit de ne pas appliquer cet article aux
données relatives au trafic n’est pas tenue de donner effet à des
injonctions de production de données relatives au trafic émanant
d’une autre Partie. Une Partie qui émet des réserves concernant
cet article n’est pas autorisée à soumettre des injonctions de production
de données relatives au trafic à d’autres Parties en vertu du paragraphe
1.
Article 9 – Divulgation
rapide de données informatiques stockées en cas d’urgence
148. Outre les autres formes de coopération
accélérée prévues par le Protocole, les rédacteurs étaient conscients
de la nécessité de faciliter la capacité des Parties d’obtenir rapidement,
dans une situation d’urgence spécifiée, des données informatiques
stockées en possession ou sous le contrôle d’un fournisseur de services
sur le territoire d’une autre Partie pour les utiliser dans le cadre
d’enquêtes ou de procédures pénales spécifiques. Comme indiqué dans
les paragraphes 42 et 172 du Rapport explicatif, il peut être nécessaire
de demander une coopération la plus rapide possible dans diverses
situations où l’urgence est un facteur primordial, juste après une
attaque terroriste par exemple, après une attaque par rançongiciel
qui peut paralyser le système d’un hôpital, ou lors de l’enquête
sur les comptes de messagerie utilisés par les ravisseurs pour faire
connaître des exigences et communiquer avec la famille de la victime.
149. En vertu de la Convention, dans des situations d’urgence,
les Parties font des demandes d’entraide pour obtenir des données
et, en vertu de l’article 35, paragraphe 1.c, de la Convention,
le Réseau 24/7 est disponible pour faciliter l’exécution de ces
demandes. En outre, les systèmes juridiques de quelques pays permettent
aux autorités compétentes d’autres pays de demander la divulgation
d’urgence des données par l’intermédiaire du Réseau 24/7 sans envoyer
de demande d’entraide.
150. Comme indiqué dans l’article 5, paragraphe 7, ce présent article
ne porte pas atteinte à la coopération (y compris spontanée) entre
les Parties ou entre les Parties et les fournisseurs de services
par le biais d’autres accords, arrangements, pratiques ou lois nationales
applicables.
Par conséquent, en vertu du Protocole, tous les mécanismes
susmentionnés restent à la disposition des autorités compétentes
qui demandent des données en situation urgente. L’innovation du
Protocole est l’élaboration de deux articles qui obligent toutes les
Parties à fournir, au minimum, des voies spécifiques pour une coopération
accélérée pouvant être activée rapidement dans les situations urgentes,
à savoir le présent article et l’article 10.
151. Le présent article permet aux Parties de coopérer pour obtenir
des données informatiques dans des situations d’urgence en utilisant
comme canal le Réseau 24/7 établi par l’article 35 de la Convention.
Le Réseau 24/7 est particulièrement bien adapté pour traiter les
demandes pour lesquelles le facteur temps est crucial et hautement
prioritaires prévues au présent article. Le Réseau est doté de Points
de Contact qui, dans la pratique, communiquent rapidement et sans
avoir besoin de traductions écrites et sont en mesure d’exécuter les
demandes reçues d’autres Parties, que ce soit en allant directement
auprès de fournisseurs sur leur territoire, en sollicitant l’aide
d’autres autorités compétentes ou en s’adressant aux autorités judiciaires,
si cette condition est prévue par la loi nationale de la Partie.
Ces Points de Contact peuvent également conseiller les Parties requérantes
sur des questions qu’elles pourraient se poser concernant les fournisseurs
et la collecte de preuves électroniques, par exemple, en expliquant
le cadre de la loi nationale qui doit être satisfait pour obtenir
des éléments de preuve. Cette communication en aller-retour améliore
la compréhension par la Partie requérante du droit interne dans
la Partie requise et permet un recueil plus facile des éléments
de preuve nécessaires.
152. L’utilisation du canal prévu au présent article peut avoir
des avantages par rapport au canal d’entraide judiciaire d’urgence
énoncé à l’article10. Par exemple, ce canal présente l’avantage
de ne pas nécessiter la préparation à l’avance d’une demande d’entraide.
Il faut parfois beaucoup de temps pour préparer au préalable une
demande d’entraide, la faire traduire et la transmettre par les
voies nationales à l’autorité centrale de la Partie requérante compétente
en matière d’entraide, ce qui ne serait pas nécessaire en vertu
du présent article. En outre, une fois que la Partie requise a reçu
la demande, si elle doit obtenir des renseignements supplémentaires
avant de pouvoir accorder une aide, le temps supplémentaire qui
peut être nécessaire pour une demande d’entraide est susceptible
de ralentir l’exécution de la demande. Dans le contexte de l’entraide, les
Parties requises exigent souvent que les informations supplémentaires
soient fournies sous une forme écrite et plus détaillée, alors que
le canal 24/7 fonctionne par l’échange d’informations en temps réel.
D’autre part, le canal de l’entraide judiciaire urgente offre des
avantages dans certaines situations. Par exemple, (1) on ne perd
pas ou peu de temps en utilisant ce canal s’il existe des relations
de travail particulièrement étroites entre les autorités centrales
concernées; (2) l’entraide d’urgence peut être utilisée pour obtenir
des formes supplémentaires de coopération au-delà des données informatiques
détenues par les fournisseurs, et (3) il peut être plus facile d’authentifier
les éléments de preuve obtenus par l’intermédiaire de l’entraide
judiciaire. Il appartient aux Parties, sur la base de leur expérience
et des circonstances juridiques et factuelles spécifiques en cause,
de décider quel est le meilleur canal à utiliser dans un cas particulier.
Paragraphe 1
153. En vertu du paragraphe 1.a, chaque
Partie adopte les mesures nécessaires pour s’assurer que son Point
de Contact pour le Réseau 24/7 est en mesure de transmettre les
demandes en cas d’urgence au Point de Contact d’une autre Partie
demandant une assistance immédiate pour obtenir la divulgation accélérée
des données informatiques spécifiées et stockées détenues par les
fournisseurs sur le territoire de cette Partie et recevoir des demandes
de Points de Contact dans d’autres Parties concernant lesdites données
détenues par des fournisseurs sur son territoire. Comme le prévoit
l’Article 2, la demande doit être présentée dans le cadre d’une
enquête ou procédure pénale spécifique.
154. Les Points de Contact 24/7 doivent avoir la capacité de transmettre
et de recevoir ces demandes en cas d’urgence sans qu’une demande
d’entraide doive être préparée et transmise à l’avance comme décrit
au paragraphe 152 du Rapport explicatif ci-dessus, sous réserve
de la possibilité d’une déclaration au titre de l’article 9, paragraphe
5. Le terme «urgente» est défini à l’article 3. En vertu du présent
article, la Partie requise devra déterminer s’il existe une «urgence»
par rapport à une demande en utilisant les informations fournies
au paragraphe 3.
155. Contrairement à d’autres articles du présent Protocole, tels
que l’Article 7, qui ne peuvent être utilisés que pour obtenir des
«informations relatives à l’abonné spécifiées et stockées», le présent
article utilise l’expression plus large «données informatiques spécifiées
et stockées». Le champ d’application de cette expression est large
mais il n’est pas générique: il couvre les données informatiques
«spécifiées» telles que définies à l’article 1.b de la Convention,
qui est repris à l'article 3, paragraphe 1, du présent Protocole. L’utilisation
de cette expression plus large reconnaît l’importance d’obtenir
du contenu stocké et des données de trafic, et pas uniquement des
informations relatives à l’abonné, dans des situations d’urgence
sans exiger la présentation d’une demande d’entraide comme condition
préalable. Les données en question sont stockées ou existantes et
n’incluent pas de données qui n’existent pas encore, telles que
les données de trafic ou les données de contenu relatives aux communications
futures (voir le Rapport explicatif de la Convention, paragraphe
170.)
156. Cette disposition offre à la Partie requérante la latitude
nécessaire pour déterminer quelles autorités devraient la présenter,
par exemple ses autorités compétentes qui mènent l’enquête, ou son
Point de Contact 24/7, conformément au droit interne. Le Point de
Contact du Réseau 24/7 de la Partie requérante fonctionne alors
comme canal pour transmettre la demande au Point de Contact 24/7
de l’autre Partie.
157. En vertu du paragraphe 1.b, une Partie peut déclarer qu’elle
n’exécutera pas une demande en vertu du présent article visant uniquement
des informations relatives à l’abonné, telles que définies à l’article
18.3 de la Convention, incorporées à l'article 3, paragraphe 1,
du présent Protocole. Pour certaines Parties, recevoir des demandes
en vertu du présent article uniquement pour des informations relatives
aux abonnés risquerait de surcharger les Points de Contact du Réseau
24h/7 en détournant les ressources et l’énergie des demandes de
contenu ou de données relatives au trafic. Dans de tels cas, les
Parties qui ne cherchent qu’à obtenir des informations sur les abonnés
peuvent plutôt utiliser les articles 7 ou 8, qui facilitent la divulgation
rapide de ces informations. Une telle déclaration n’interdit pas
à d’autres Parties d’inclure une demande d’informations relatives
aux abonnés lorsqu’elles émettent également une demande en vertu
du présent article pour le contenu et/ou les données relatives au
trafic.
Paragraphe 2
158. Le paragraphe 2 exige que chaque
Partie adopte les mesures nécessaires pour que ses autorités soient habilitées,
en vertu de sa loi nationale, à demander et à obtenir des données
demandées en vertu du paragraphe 1 auprès des fournisseurs de services
sur son territoire et à répondre à ces demandes sans que la Partie
requérante n’ait à présenter une demande d’entraide, sous réserve
de pouvoir faire une déclaration conformément au paragraphe 5.
159. Compte tenu des différences entre droits internes, le paragraphe
2 vise à donner aux Parties la souplesse nécessaire pour la construction
de leurs systèmes de réponse aux demandes en vertu du paragraphe
1. Les Parties sont toutefois encouragées à élaborer des mécanismes
conformes au présent article qui mettent l’accent sur la rapidité
et l’efficacité, sont adaptés aux exigences d’une situation d’urgence et
donnent une base juridique générale pour la divulgation aux autres
Parties de données dans les situations d’urgence.
160. Il appartient à la Partie requise de déterminer: (1) si les
conditions permettant d’invoquer le présent article ont été remplies;
2) si un autre mécanisme est approprié pour aider la Partie requérante;
(3) l’autorité compétente pour exécuter une demande reçue par le
Point de Contact du Réseau 24/7. Bien que le Point de Contact du
Réseau 24/7 de certaines Parties puisse déjà avoir la compétence
requise pour exécuter la demande lui-même, d’autres Parties peuvent
exiger que le Point de Contact transmette la demande à une ou d’autres
autorités pour demander au fournisseur de divulguer les données.
Dans certaines Parties, cela peut dépendre de l’obtention d’une
ordonnance judiciaire pour demander la divulgation des données.
La Partie requise a également tout pouvoir pour déterminer le canal
à utiliser pour transmettre les données en réponse à la Partie requérante,
que ce soit par l’intermédiaire du Point de Contact 24/7 ou par
l’intermédiaire d’une autre autorité.
Paragraphe 3
161. Le paragraphe 3 précise les informations
à fournir dans une demande formulée en vertu du paragraphe 1. Les
informations spécifiées au paragraphe 3 visent à faciliter l’examen
et, le cas échéant, l’exécution de la demande par l’autorité compétente
de la Partie requise.
162. En ce qui concerne le paragraphe 3.a, la Partie requérante
précise l’autorité compétente au nom de laquelle les données sont
demandées.
163. En ce qui concerne le paragraphe 3.b, la Partie requérante
doit indiquer que la demande est émise conformément au présent Protocole.
Cela permettra d’assurer que la demande est faite conformément au Protocole
et que toutes les données reçues en conséquence seront traitées
d’une manière conforme aux exigences du Protocole. Cela permettra
également de différencier la demande des autres demandes de divulgation
d’urgence que le Point de Contact du Réseau 24/7 pourrait recevoir.
164. En application du paragraphe 3.e, la Partie requérante doit
communiquer suffisamment de faits à l’appui de l’existence d’une
situation urgente, telle que définie à l’article 3, et expliquer
comment les données recherchées par la demande se rapportent à ladite
situation. Si la Partie requise a besoin d’éclaircissements sur
la demande ou exige des informations supplémentaires pour donner
suite à la demande, elle devrait consulter le Point de Contact du
Réseau 24/7 de la Partie requérante.
165. En application du paragraphe 3.g, la demande précise toute
instruction procédurale spéciale. Il s’agit notamment des demandes
particulières de non-divulgation de la demande aux abonnés et autres
tiers ou des formulaires d’authentification à remplir pour les données
recherchées. En vertu de ce paragraphe, ces instructions de procédure
sont fournies dès le départ, car des instructions spéciales peuvent
entraîner des processus supplémentaires chez la Partie requise.
Dans certaines Parties, la confidentialité peut être préservée par
application de la loi, alors que dans d’autres Parties, ce n’est
pas nécessairement le cas. Par conséquent, afin d’éviter le risque
de divulgation prématurée de l’enquête, les Parties sont encouragées
à communiquer sur la nécessité de préserver la confidentialité et
les difficultés qui pourraient se poser, préciser les éventuelles
lois applicables, ainsi que les politiques d’un fournisseur de services
concernant la notification. Étant donné que les demandes d’authentification
des données en réponse à une demande peuvent souvent ralentir le
processus alors que l’objectif clé est la divulgation rapide des
données recherchées, les autorités de la Partie requise devraient
déterminer, en consultation avec les autorités de la Partie requérante,
quand et de quelle manière la confirmation de l’authenticité doit
être donnée.
166. En outre, la Partie ou le fournisseur de services peut exiger
des informations supplémentaires pour localiser et divulguer les
données informatiques stockées recherchées par la Partie.
Paragraphe 4
167. Le paragraphe 4 exige que la
Partie requise accepte les demandes sous forme électronique. Les
Parties sont encouragées à utiliser des moyens de communication
rapides pour faciliter la transmission d'informations ou de données
et de documents, y compris la transmission des demandes. Ce paragraphe
est basé sur le paragraphe 5 de l’Article 8 mais il a été modifié
pour ajouter qu'une Partie peut accepter des demandes oralement,
une méthode de communication fréquemment utilisée par le réseau
24/7.
Paragraphe 5
168. Le paragraphe 5 permet à une
Partie de déclarer qu’elle exige que d’autres Parties qui lui demandent des
données conformément au présent article fournissent, après l’exécution
de la demande et transmission des données, la demande et toute information
supplémentaire transmise à l’appui de celle-ci, dans un format spécifique
et par le biais d’un canal spécifique. Par exemple, une Partie peut
déclarer que dans des circonstances spécifiques, elle demandera
à une Partie requérante que cette dernière soumette subséquemment
une demande d’entraide judiciaire afin de justifier formellement
la demande d’urgence et la divulgation des données. Pour certaines
Parties, une telle procédure serait exigée par leurs lois nationales, tandis
que d’autres Parties ont indiqué qu’elles n'ont pas de conditions
de ce type et n’ont pas à se prévaloir de cette possibilité de déclaration.
Paragraphe 6
169. Le présent article fait référence
à des «demandes» et n’exige pas que les Parties requises fournissent les
données demandées aux Parties requérantes. Par conséquent, les rédacteurs
reconnaissent qu’il y aura des situations dans lesquelles les Parties
requises ne fourniront pas les données demandées à une Partie requérante
en vertu du présent article. La Partie requise peut déterminer que,
dans un cas particulier, une entraide d’urgence en vertu de l’article
10 ou un autre moyen de coopération serait le plus approprié. Par conséquent,
le paragraphe 6 prévoit que lorsqu’une Partie requise détermine
qu’elle ne fournira pas les données demandées à une Partie qui a
fait une demande en vertu du paragraphe 1 du présent article, la
Partie requise informe la Partie requérante de sa décision rapidement
et, le cas échéant, précise les conditions dans lesquelles elle
fournirait les données et explique toute autre forme de coopération
qui pourrait être disponible, afin d’atteindre l’objectif mutuel
des Parties d’accélérer la divulgation des données en cas d’urgence.
Paragraphe 7
170. Le paragraphe 7 décrit les procédures
applicables lorsque l’État requis a spécifié les conditions dans lesquelles
il accède à la demande de coopération qui lui a été adressée en
vertu du paragraphe 6. Si la partie requérante ne peut pas se conformer
à ces conditions, le paragraphe 7.a lui impose d’en informer rapidement la
Partie requise, qui décidera alors si l’assistance demandée peut
tout de même être accordée. En revanche, lorsque la Partie requérante
accepte une condition spécifique, elle est tenue de la respecter. En
vertu du paragraphe 7.b, une Partie requise qui a transmis des renseignements
ou du matériel sous réserve d’une condition fixée en application
du paragraphe 6 peut, afin de pouvoir contrôler le respect de cette
condition, exiger que la Partie requérante explique l’usage qui
a été fait des renseignements ou du matériel transmis, mais il a
été entendu que la Partie requérante ne peut pas exiger une comptabilité
trop lourde. (Voir Rapport explicatif, paragraphes 279 et 280 de
la Convention).
Section 4 – Procédures relatives
à l’entraide d’urgence
Article 10 – Entraide
d’urgence
171. L’article 10 du protocole a pour
but de prévoir une procédure qui soit rapide pour les demandes d’entraide
effectuées en situation d’urgence. Une situation d’urgence est définie
à l’article 3, paragraphe 2.c et expliquée dans les paragraphes
correspondants 41 et 42 du présent rapport explicatif.
172. Étant donné que l’article 10 de ce Protocole est limité aux
urgences justifiant une telle célérité dans l’action, il est distinct
de l’article 25, paragraphe 3 de la Convention, qui prévoit que
les demandes d’entraide peuvent être transmises par des moyens de
communication rapides en situations d’urgence qui ne sont pas du
niveau d’urgence défini. En d’autres termes, l’article 25, paragraphe
3, a une portée plus large que l’article 10 du Protocole puisqu’il
couvre des situations non couvertes par ce dernier, par exemple
les risques existants mais non imminents pour la vie ou la sécurité
de personnes physiques, la destruction potentielle de preuves qui
pourrait résulter d’un retard, le fait que la date d’un procès se
rapproche ou autres types d’urgences. Alors que le mécanisme visé
à l’article 25, paragraphe 3, prévoit une méthode plus rapide pour
transmettre une demande et y répondre, les obligations en cas d’urgence
relevant de l’article 10 du Protocole sont nettement plus lourdes;
en d’autres termes, lorsqu’il existe un risque significatif et imminent
pour la vie ou la sécurité d’une personne physique, le processus
devrait être encore plus rapide. (Voir paragraphe 42 du présent
rapport explicatif ci-dessus pour des exemples de situations d’urgence).
Paragraphe 1
173. En vertu du paragraphe 1, lorsqu’elle
présente une demande d’urgence, la Partie requérante doit à la fois
conclure qu’il existe une urgence au sens de l’article 3, paragraphe
2.c, et inclure dans sa demande une description des faits tendant
à le démontrer et expliquer comment l’entraide sollicitée est nécessaire
pour répondre à la situation urgente, en plus des informations qui
doivent figurer dans la demande en vertu du traité applicable ou
du droit interne de la Partie requise. A cet égard, il convient
de rappeler qu’au titre de l’article 25, paragraphe 4 de la Convention,
l’exécution des demandes d’entraide judiciaire, y compris urgentes,
est en général «soumise aux conditions fixées par le droit interne
de la Partie requise ou par les traités d'entraide applicables,
y compris les motifs sur la base desquels la Partie requise peut
refuser la coopération». Les rédacteurs ont compris que cela s'appliquait
également aux demandes d'entraide d'urgence au titre du présent protocole.
Paragraphe 2
174. Le paragraphe 2 exige de la Partie
requise qu’elle accepte la demande d’entraide sous forme électronique.
Avant d’accepter la demande, la Partie requise peut conditionner
son acceptation au respect par la Partie requérante de niveaux de
sécurité et d’authentification appropriés. Pour ce qui est de la
condition de sécurité prévue dans ce paragraphe, les Parties peuvent
décider d’un commun accord s’il est nécessaire d’établir des protections
de sécurité spéciales (dont le cryptage) en cas d’affaire particulièrement
sensible.
Paragraphe 3
175. Lorsque la Partie requise demande
un complément d’informations pour étayer la situation urgente au sens
de l’Article 3, paragraphe 2.c, et/ou que les autres conditions
liées à la demande d’entraide ont été remplies, le paragraphe 3
prévoit que ce complément d’informations doit être demandé de manière
accélérée. Réciproquement, le paragraphe 3 exige de la Partie requérante
qu’elle communique le complément d’informations avec la même célérité.
Les deux Parties doivent donc faire leur maximum pour éviter toute
perte de temps qui pourrait involontairement entraîner une issue
tragique.
Paragraphe 4
176. En vertu du paragraphe 4, une
fois que les informations nécessaires à l’exécution de la demande
ont été communiquées, il est demandé à la Partie requise d’exécuter
la demande urgente avec la même célérité. En général, cela signifie
d’obtenir d’urgence les mandats judiciaires obligeant le fournisseur
à produire les données qui prouvent l’infraction et de faire procéder
d’urgence à la signification de l’injonction au fournisseur. Cependant,
les autorités de la Partie requise ne sauraient être tenues responsables
des retards occasionnés par les délais de réponse du fournisseur
à ces injonctions.
Paragraphe 5
177. En vertu du paragraphe 5, toutes
les Parties veillent à ce que des membres de leur autorité centrale
ou d’autres autorités responsables des demandes d’entraide soient
joignables 24 heures sur 24, sept jours sur sept, pour recevoir
des demandes d’entraide urgentes qui parviendraient en-dehors des
heures ouvrables. Il convient de rappeler qu’à cet égard, le réseau
24/7 créé au titre de l’article 35 de la Convention-mère est disponible
pour se coordonner avec les autorités responsables de l’entraide.
L’obligation prévue dans ce paragraphe n’exige pas de l’autorité
centrale ou des autres autorités responsables des demandes d’entraide qu’elle(s)
prévoie(nt) un personnel d’astreinte à tout moment. En revanche,
elle devrait prendre des mesures pour garantir que des membres de
son personnel sont joignables en-dehors des heures ouvrables pour examiner
des demandes urgentes. Le T-CY s'efforcera de manière informelle
de tenir un répertoire de ces autorités.
Paragraphe 6
178. Le paragraphe 6 offre une base
qui permet aux autorités centrales et aux autres autorités responsables de
l’entraide de s’entendre sur un canal alternatif de transmission
des informations demandées ou de la preuve; il peut s’agir du mode
de transmission ou des autorités entre lesquelles s’opère la transmission.
Ainsi, plutôt que de renvoyer les informations ou preuves demandées
par le biais de l’autorité centrale habituellement utilisée pour
la transmission des informations prévues ou des preuves aux fins
de l’exécution de la demande par la Partie requérante, elles peuvent
alors décider d’utiliser un canal différent pour accélérer la transmission, préserver
l’intégrité de la preuve ou pour toute autre raison. Par exemple,
en cas d’urgence, les autorités peuvent décider de la transmission
des preuves directement à une autorité d’enquête ou de poursuite
de la Partie requérante qui les utilisera, plutôt que de les transmettre
via la chaîne des autorités qui se chargent en temps normal de les
acheminer. Les autorités peuvent aussi, par exemple, déterminer
un traitement spécial de preuves matérielles pour être à même d’écarter
dans les procédures judiciaires ultérieures les contestations au
motif que la preuve aurait pu avoir été altérée ou contaminée, ou
peuvent décider ensemble d'un traitement spécial de la transmission
de preuves sensibles.
Paragraphe 7
179. S’agissant des procédures visées
à cet article, il existe deux possibilités, décrites aux paragraphes 7
et 8. Le paragraphe 7 dispose que les Parties concernées, lorsqu’elles
ne sont pas liées par un accord d’entraide en vigueur, ou par un
accord d'entraide applicable sur la base d'une législation uniforme
ou réciproque, appliquent certaines procédures définies aux paragraphes
visés des articles 27 et 28 de la Convention (régissant l’entraide
en l’absence d’un traité).
Paragraphe 8
180. En vertu du paragraphe 8, lorsque
les Parties concernées sont liées par un tel accord ou arrangement, cet
article est complété par les dispositions de cet accord, à moins
que les Parties concernées décident d’un commun accord d’appliquer
tout ou partie des dispositions de la Convention visées au paragraphe 7
en lieu et place dudit accord.
Paragraphe 9
181. Enfin, le paragraphe 9 prévoit
la possibilité d’une déclaration par laquelle les Parties au présent Protocole
peuvent prévoir que les demandes peuvent être faites directement
entre les procureurs ou autres autorités judiciaires. Dans certaines
Parties, ces voies de communication directes entre autorités judiciaires sont
bien établies et peuvent constituer un moyen efficace d'accélérer
encore la présentation et l'exécution des demandes. La transmission
de la demande d'urgence par le point de contact de la Partie 24
heures sur 24 et 7 jours sur 7 ou par l'Organisation internationale
de police criminelle (INTERPOL) est utile non seulement pour réduire
tout retard mais aussi pour renforcer les normes de sécurité et
d'authentification. Toutefois, dans certaines Parties, l'envoi d'une
demande directement à une autorité judiciaire de la Partie requise
sans l'intervention et l'approbation de son autorité centrale pourrait
être contre-productif dans la mesure où, sans les conseils et/ou
l'approbation de l'autorité centrale, l'autorité destinataire peut
ne pas être habilitée à agir de manière indépendante, ou peut ne
pas être familiarisée avec la procédure appropriée. Par conséquent,
une partie doit déclarer que les demandes peuvent être envoyées
par ces canaux d'autorité non centrale.
Section 5 – Procédures relatives
à la coopération internationale en l'absence d'accords internationaux applicables
182. Comme le prévoit l'article 5,
paragraphe 5, la présente section, relative aux articles 11 et 12,
s'applique «lorsqu'il n'existe pas de traité ou d'arrangement d'entraide
sur la base des législations uniformes ou réciproques en vigueur
entre les Parties requérante et requise. Les dispositions de la
section 5 ne s'appliquent pas lorsqu'un tel traité ou arrangement
existe, sauf dans les cas prévus à l'article 12, paragraphe 7. Toutefois, les
Parties concernées peuvent décider d'un commun accord d'appliquer
la section 5 en lieu et place de celle-ci, si le traité ou l'arrangement
ne l'interdit pas». Ceci suit l'approche de l'article 27 de la Convention.
183. Entre certaines Parties à ce Protocole, les sujets des articles
11 et 12 sont déjà réglementés par les termes des traités d'entraide
(par exemple, le deuxième Protocole additionnel à la Convention
européenne d'entraide judiciaire en matière pénale (STE n° 182);
ou l'Accord d'entraide judiciaire entre l'Union européenne et les
États-Unis d'Amérique). D'autres traités d'entraide, tels que le
STE n° 182, peuvent également fournir plus de détails sur les circonstances
dans lesquelles une telle coopération peut avoir lieu, ainsi que
sur les conditions et les procédures qui la régissent.
184. Bien que les rédacteurs aient examiné ces traités, les articles
11 et 12 du présent Protocole contiennent des termes qui diffèrent
des dispositions analogues figurant dans d'autres traités d'entraide.
185. Bien que les termes de la STE n° 182 continueront à être appliqués
entre les Parties à celle-ci, il a été jugé approprié de réglementer
ces deux articles dans le présent Protocole d'une manière qui diffère
à certains égards pour les raisons suivantes:
- La composition du STE n° 182 est différente de celle de
la Convention sur la cybercriminalité et ses dispositions ne sont
donc pas disponibles pour la coopération entre toutes les Parties
à la Convention sur la cybercriminalité. Le STE n° 182 a été négocié
pour répondre aux besoins des États membres du Conseil de l'Europe
plutôt qu'aux exigences, systèmes et besoins juridiques de toutes
les Parties à la Convention sur la cybercriminalité, bien que, en
principe, la Convention européenne d'entraide judiciaire en matière
pénale (STE n° 30) et ses Protocoles soient ouverts à l'adhésion
des États non-membres du Conseil de l'Europe à la suite d'une invitation
du Comité des Ministres.
- Les dispositions du présent Protocole relatives à l'entraide
judiciaire ont un champ d'application matériel spécifique en ce
sens qu'elles s'appliquent aux «enquêtes ou procédures pénales spécifiques concernant
les infractions pénales liées aux systèmes et données informatiques,
ainsi qu'à la collecte de preuves sous forme électronique d'une
infraction pénale» (Article 2). Compte tenu des problèmes particuliers
de ce type d'enquêtes ou de procédures – tels que la volatilité
des données, les questions liées à la territorialité et à la compétence,
et au volume des demandes – les dispositions analogues de la STE
n° 182 ne sont pas toujours applicables de la même manière.
- Les rédacteurs ont reconnu que «puisque la Convention
s'applique à des Parties ayant des systèmes juridiques et des cultures
très différents, il n'est pas possible de préciser en détail les
conditions et les garanties applicables à chaque pouvoir ou procédure».
(Voir paragraphe 145 du rapport explicatif de la Convention). En
revanche, les Parties sont tenues de veiller à assurer «une protection
adéquate des droits de l'homme et des libertés» et à appliquer «des
normes communes [et] des garanties minimales auxquelles les Parties...
doivent adhérer», y compris «les garanties découlant des obligations
qu'une Partie a contractées en vertu des instruments internationaux
relatifs aux droits de l'homme applicables» (voir le rapport explicatif,
paragraphe 145 de la Convention). Voir l'article 13 du présent Protocole (incorporant
l'article 15 de la Convention). Par conséquent, contrairement aux
dispositions de la STE n° 182 – par exemple, l'article 9 sur l'«audition
par vidéoconférence» – qui prescrivent des procédures et des garanties
spécifiques à suivre par les Parties à la STE n° 182, les dispositions
correspondantes du présent Protocole permettent une plus grande
souplesse dans la mise en œuvre par les Parties. Par exemple, les
procédures et conditions régissant le fonctionnement des équipes
communes d'enquête doivent être convenues entre les autorités compétentes
des Parties (voir article 12, paragraphe 2), et en ce qui concerne
la vidéoconférence, une Partie requise peut exiger des conditions
et garanties particulières lorsqu'elle autorise l'audition d'un
suspect ou d'une personne poursuivie par vidéoconférence (voir Article
11, paragraphe 7). Dans la mesure prévue par ces articles, les Parties peuvent
également décider de ne pas coopérer si leurs exigences en matière
de conditions et de garanties ne sont pas satisfaites.
186. Les articles 11 et 12 du présent Protocole ne s'appliquent
qu'en l'absence d'autres traités ou arrangements d'entraide sur
la base de législations uniformes ou réciproques – à moins que les
parties concernées ne décident d'un commun accord d'appliquer tout
ou partie de leurs dispositions à la place de celles-ci, si le traité
ou l'arrangement ne l'interdit pas. Toutefois, l'article 12, paragraphe
7, s'applique qu'il existe ou non un traité ou un arrangement d'entraide
sur la base des législations uniformes ou réciproques en vigueur entre
les parties concernées.
Article 11 – Vidéoconférence
187. L’article 11 concerne avant tout
le recours à la technologie de la vidéoconférence pour recueillir
des dépositions. Cette forme de coopération peut être prévue dans
des traités d’entraide judiciaire bilatéraux et multilatéraux, par
exemple dans le STE 182 (Deuxième Protocole additionnel à la Convention
d’entraide judiciaire en matière pénale). Pour ne pas se substituer
à des dispositions spécifiquement conçues pour répondre aux besoins
des parties à ces traités ou conventions, et comme indiqué dans
les principes généraux applicables à la présente section (Article
5, paragraphe 5), l'Article 11, comme l'article 12 du présent Protocole «s’applique
en l’absence de traité sur l’entraide judiciaire, ou d’arrangements
sur la base de l’uniformité ou de la réciprocité législatives, en
vigueur entre les Parties requérante et requise. Les dispositions
de la section 5 ne sont pas applicables lorsqu'un tel traité ou
arrangement existe, sauf dans les cas prévus à l'article 12, paragraphe
7. Toutefois, les parties concernées peuvent convenir de déterminer
d'un commun accord d'appliquer les dispositions de la section 5
en lieu et place de celles-ci, si le traité ou l'arrangement ne
l'interdit pas».
Paragraphe 1
188. Le paragraphe 1 autorise le recueil
de dépositions d’un témoin ou expert par le recours à la vidéoconférence.
Il laisse à la Partie requise toute latitude pour accepter ou non
la demande d’entraide ou pour fixer des conditions à son assistance.
Par exemple, une Partie peut refuser ou remettre à ultérieurement
de fournir une assistance pour les motifs prévus à l’Article 27,
paragraphes 4 et 5 de la Convention. Par ailleurs, lorsqu'il serait
plus efficace que l'assistance soit fournie d'une manière différente,
par exemple au moyen d'un formulaire écrit authentifiant des documents
officiels ou commerciaux, la Partie requise peut choisir de fournir l'assistance
de cette manière.
189. Dans le même temps, il est attendu des Parties au Protocole
qu’elles disposent de la capacité technique de base pour exécuter
la demande d’entraide au moyen de la vidéoconférence.
190. Utiliser la vidéoconférence pour recueillir une déposition
peut poser de nombreuses difficultés, notamment de nature juridique,
logistique ou technique. Pour que la vidéoconférence fonctionne
sans heurts, il est essentiel de se coordonner par avance et parfois
durant l’opération si la Partie requise pose des conditions préalables
à la vidéoconférence. Le paragraphe 1 exige donc aussi que les Parties
requérante et requise se concertent au besoin pour faciliter la
résolution de tout problème de ce type qui pourrait se poser. Par
exemple, comme expliqué plus avant, la vidéoconférence peut devoir
suivre une certaine procédure pour que les éléments recueillis soient
admissibles en tant que preuve devant les juridictions de la Partie requérante.
Il se peut aussi que la Partie requise ait besoin d’appliquer ses
propres conditions juridiques à certains égards (par exemple pour
une prestation de serment du témoin ou la notification de ses droits
à ce dernier). De plus, la Partie requise peut exiger que son ou
ses représentants des services concernés soient présents à la vidéoconférence
dans certains ou dans tous les cas, qu’ils puissent contrôler la
procédure ou veiller à ce que les droits de la personne dont on
recueille la déposition soient respectés. A cet égard, il peut ressortir
des consultations que certaines Parties requises exigent que leur
représentant à la vidéoconférence puisse intervenir, interrompre
ou mettre un terme à l’audition s’il y a des doutes quant à la conformité
avec les dispositions de son droit interne, alors que d’autres Parties
peuvent autoriser la tenue d’une vidéoconférence sans participation
d’un représentant dans certains cas. Autre exemple, des Parties
requises peuvent envisager des garanties spécifiques concernant
les témoins menacés, les enfants témoins, etc. Ces questions doivent être
discutées et décidées à l’avance. Dans certains cas, le souhait
de la Partie requise de mener une seule procédure peut aller à l’encontre
des dispositions légales de la Partie requérante ayant pour objectif
de faciliter l’utilisation de la déposition durant le procès. En
de tels cas, les Parties devraient faire leur maximum pour tenter
de trouver des solutions créatives répondant aux impératifs de chacune.
De plus, les Parties devraient se consulter à l’avance pour faciliter
la résolution des problèmes tels que la manière de répondre aux objections
ou revendications de privilège ou d’immunité de la part de la personne
concernée ou de son avocat, ou encore la manière d’utiliser des
preuves documentaires ou autres durant la vidéoconférence. Il est
aussi possible que des procédures particulières soient nécessaires
du fait de conditions posées à la tenue de la vidéoconférence. Des
questions logistiques, par exemple savoir qui, de la Partie requérante
ou de la Partie requise, devrait assurer l’interprétation et l’enregistrement
de la déposition, devraient aussi être discutées; la coordination
technique devrait aussi être abordée pour régler les modalités relatives
au démarrage et au maintien de la transmission, ainsi que pour disposer
de canaux alternatifs de communication si la transmission est interrompue.
Paragraphe 2
191. Le paragraphe 2 traite de plusieurs
aspects d’ordre procédural et apparenté régissant cette forme de coopération
(outre les autres procédures et conditions applicables exposées
dans les autres paragraphes de cet article), qui ont été repris
ou adaptés de la Convention. Le paragraphe 2 se subdivise en deux
sous-paragraphes.
192. La vidéoconférence constituant une forme d’entraide, le paragraphe 2.a
dispose que les autorités centrales des Parties requises et requérantes
communiquent directement entre elles aux fins de l’application de
cet article. Cet article s’appliquant uniquement en l’absence d’un
accord ou d’un arrangement d’entraide sur la base d'une législation
uniforme ou réciproque, on entend ici par «autorité centrale» l’autorité
ou les autorités désignées en vertu de l’article 27, paragraphe
2.a, de la Convention. Voir l’article 3, paragraphe 2.a, et le paragraphe
38 du Rapport explicatif.
193. Le paragraphe 2.a prévoit aussi qu’une Partie requise accepte
une requête de vidéoconférence sous forme électronique et qu’elle
puisse exiger des niveaux de sécurité et d’authentification appropriés
avant d’accepter cette demande.
194. Le paragraphe 2.b (de même que l’article 27, paragraphe 7,
de la Convention) impose à la Partie requise d’informer la Partie
requérante des raisons pour lesquelles elle n’a pas exécuté la demande
ou tardé à l’exécuter. Comme indiqué au paragraphe 192 ci-dessus,
ces communications doivent passer par des autorités centrales. Enfin,
le paragraphe 2.b prévoit que l’article 27, paragraphe 8 (relatif
à la confidentialité d’une demande d’entraide en l’absence d’un
traité) et l’article 28, paragraphes 2 à 4 (relatifs à la confidentialité de
la réponse et à l’imposition de conditions restrictives en l’absence
d’un traité), de la Convention s’appliquent à la vidéoconférence.
Paragraphe 3
195. Étant donné que pour une vidéoconférence,
il se peut que des personnels judiciaires et auxiliaires de justice
de la Partie requérante doivent être disponibles pour participer
au recueil de la déposition dans la Partie requise, qui peut se
trouver à plusieurs fuseaux horaires de distance de la Partie requérante,
il faut absolument que la personne auditionnée soit sur place à
l’heure dite. En vertu du paragraphe 3, lorsque la Partie requise prête
son concours au titre du présent article, elle doit faire tout son
possible pour obtenir la comparution de la personne dont la déposition
est requise. Les solutions les plus appropriées peuvent être tributaires
des circonstances de l’affaire, ou du cadre de la loi nationale
de la Partie requise; la question peut également se poser du degré
de confiance à accorder à la comparution volontaire de la personne
au moment prévu. En revanche, pour garantir la comparution de la
personne, il peut être souhaitable que la Partie requise délivre une
injonction ou une citation à comparaître, et ce paragraphe l’y autorise,
conformément aux garanties prévues par son droit interne.
Paragraphe 4
196. La procédure pour mener les vidéoconférences
est exposée au paragraphe 4. L’objectif essentiel consiste à fournir
la déposition à la Partie requérante sous une forme qui lui permettra
de s’en servir comme preuve dans son enquête et sa procédure. C’est
pourquoi ce sont les procédures demandées par la Partie requérante
qui seront suivies, à moins qu’elles ne soient contraires aux dispositions
légales de la Partie requise, notamment aux principes juridiques
applicables dans la Partie requise qui ne sont pas codifiés dans sa
législation. Ainsi, durant la vidéoconférence, il s’agirait de privilégier
la procédure selon laquelle la Partie requise autorise les autorités
de la Partie requérante à interroger directement la personne dont
on veut obtenir la déposition. Cette tâche incombera au procureur,
juge d’instruction ou enquêteur de la Partie requérante, qui connaît
le mieux l’enquête pénale ou les poursuites et est donc le mieux
placé pour savoir quelles sont les questions à poser qui seront
les plus utiles à l’enquête ou aux poursuites ainsi que la meilleure
manière de les poser pour se conformer au droit de la Partie requérante.
Dans ce cas, l’autorité de la Partie requise participant à l’audition
n’interviendra que si cela est nécessaire du fait que l’autorité
de la Partie requérante a eu un comportement incompatible avec le
droit de la Partie requise. Elle pourra alors réfuter des questions,
reprendre elle-même l’interrogatoire ou procéder à tout acte approprié
en vertu de son droit et des circonstances dans lesquelles se déroule
la vidéoconférence. L’expression «incompatible avec le droit de
la Partie requise» ne couvre pas des situations dans lesquelles
la procédure est simplement différente de celle qui a cours dans
la Partie requise, ce qui sera souvent le cas. Elle vise plutôt
des situations dans lesquelles la procédure est contraire au droit
de la Partie requise ou ne peut pas fonctionner dans ce cadre. En
un tel cas, ou si la Partie requérante n’a pas demandé de procédure
spécifique, la procédure par défaut sera celle qui s’applique dans le
droit interne de la Partie requise. Si l’application du droit de
la Partie requise pose problème à la Partie requérante, par exemple
pour ce qui est de l’admissibilité de la déposition lors du procès,
les Parties requérante et requise peuvent chercher à s’entendre
sur une procédure différente qui satisfera la Partie requérante
tout en évitant le problème potentiel dans le droit interne de la
Partie requise.
Paragraphe 5
197. Le paragraphe 5, qui concerne
la peine ou sanction applicable pour faux témoignage, refus de répondre et
autres comportements répréhensibles, a pour but de protéger l’intégrité
du processus de recueil d’une déposition lorsque le témoin se trouve
physiquement dans un autre pays que celui où se déroule la procédure pénale.
Dans la mesure où la Partie requise a fait obligation à la personne
entendue de témoigner, de dire toute la vérité, ou qu’elle lui a
interdit certains comportements (notamment le fait de perturber
la procédure), la personne entendue subira la conséquence de ses
actes prévue dans la juridiction où elle se trouve. En de tels cas,
la Partie requise doit pouvoir appliquer la sanction qu’elle appliquerait
si le comportement répréhensible s’était produit dans le cadre de
l’une de ses procédures nationales. La sanction s’applique sans
préjudice d’une éventuelle compétence de la Partie requérante. Cette
condition est une incitation supplémentaire pour que le témoin témoigne,
témoigne sincèrement et ne se livre pas à un comportement répréhensible.
Si aucune sanction n’est prévue dans les procédures en droit interne
de la Partie requise (par exemple pour faux témoignage par une personne
inculpée), il n’est pas demandé d’en prévoir une pour un tel comportement commis
durant une vidéoconférence. Cette disposition sera particulièrement
utile pour permettre de poursuivre un témoin faisant un faux témoignage
mais qui ne peut être extradé pour être poursuivi dans la Partie requérante
du fait par exemple que la Partie requise interdit l’extradition
de ses ressortissants.
Paragraphe 6
198. Le paragraphe 6 prévoit des règles
concernant la couverture des frais liés à des vidéoconférences.
De manière générale, les frais engendrés dans le cadre d’une vidéoconférence
sont supportés par la Partie requise, sauf pour ce qui concerne
(1) les honoraires d’un témoin expert; (2) les frais de traduction, d’interprétation
et de transcription, et (3) des coûts si élevés qu’ils en deviennent
exceptionnels. Les frais de voyage et d’hébergement dans la Partie
requise sont la plupart du temps négligeables et en général couverts par
cette dernière. Les règles en matière de couverture des coûts peuvent
cependant être modifiées d’un commun accord entre les Parties requérante
et requise. Ainsi, si la Partie requérante prévoit que la présence d’un
interprète sera nécessaire ou qu’il faudra des services de transcription
à la fin de la vidéoconférence, il est possible que la Partie requise
ne paie pas pour la prestation de ces services. Quand la Partie
requise prévoit des frais exceptionnels pour la fourniture de l’entraide,
conformément au paragraphe 6.b), la Partie requérante et la Partie
requise se concertent préalablement à l’exécution de la demande
pour déterminer si la Partie requérante peut supporter ces frais
et, en cas contraire, comment les éviter.
Paragraphe 7
199. Si le paragraphe 1 autorise expressément
l’utilisation de la technologie de vidéoconférence pour le recueil
d’une déposition, paragraphe 7.a) prévoit que les dispositions de
l’article 11 peuvent sur consentement mutuel être appliquées aux
fins de la réalisation d’une vidéoconférence. De plus, le paragraphe
7.b) prévoit que, sur consentement mutuel des Parties requérante
et requise, la technologie peut être utilisée à d’autres «fins,
pour des auditions … par exemple l’identification de personnes ou
d’objets». Ainsi, si elles en sont convenues, les Parties requérante
et requise peuvent envisager d’utiliser la technologie de vidéoconférence pour
auditionner ou mener des procédures concernant un suspect ou un
inculpé (on relèvera que certaines Parties peuvent considérer qu’un
suspect ou un inculpé est un «témoin», de sorte que le recueil de
sa déposition serait déjà couvert par les dispositions du paragraphe
1 du présent article). Si le paragraphe 1 n’est pas applicable,
il est possible de s’appuyer juridiquement sur le paragraphe 6 pour
autoriser l’utilisation de cette technologie dans ces cas-là.
Paragraphe 8
200. Le paragraphe 8 traite la situation
dans laquelle la Partie requise choisit d’autoriser l’audition d’un suspect
ou inculpé par exemple pour recueillir une déposition ou des déclarations,
ou aux fins de notifications ou pour d’autres mesures procédurales.
Tout comme la Partie requise a toute latitude pour autoriser l’utilisation de
la vidéoconférence en vue d’entendre un témoin ordinaire ou expert,
elle peut en faire de même pour ce qui est d’entendre un suspect
ou un inculpé. De plus, outre toute autre condition ou limitation
qu’une Partie requise peut imposer pour autoriser la tenue d’une
vidéoconférence, le droit interne d’une Partie peut prévoir des conditions
particulières concernant l’audition de suspects ou d’inculpés et
par exemple imposer le consentement du suspect ou de l’inculpé préalablement
à l’audition, ou encore interdire ou limiter l’utilisation de la
vidéoconférence pour les notifications ou autres mesures procédurales.
Le paragraphe 8 est donc conçu pour insister sur le fait que les
procédures visant un suspect ou un inculpé peuvent entraîner la
nécessité de mettre en place des conditions ou garanties en complément
de celles qui s’appliqueraient par ailleurs.
Article 12 – Équipes
communes d'enquête et enquêtes communes
201. La cybercriminalité et la preuve
électronique étant par nature transnationales, les enquêtes et poursuites qui
y sont relatifs présentent souvent des liens avec d'autres États.
Les équipes communes d'enquête (ECE) peuvent être un moyen efficace
de coopération ou coordination opérationnelles entre deux États
ou plus. L'article 12 donne une base pour de telles formes de coopération.
202. L'expérience a montré que lorsqu'un État enquête sur une infraction
ayant une dimension transfrontalière en lien avec la cybercriminalité
ou pour laquelle il faut obtenir des preuves électroniques, l'enquête
peut tirer parti de la participation des autorités d'autres États
qui sont également en train d'enquêter sur les mêmes actes criminels
ou des actes connexes, ou bénéficier utilement d'une coordination.
203. Comme indiqué dans l'article 5 du présent Protocole et les
paragraphes 182 à 186 du rapport explicatif, les dispositions du
présent article ne s'appliquent pas en présence d'un traité d'entraide
judiciaire ou d'un arrangement sur la base de dispositions législatives
uniformes ou réciproques en vigueur entre les Parties requérante
et requise, à moins que les Parties concernées ne conviennent d'appliquer
tout ou partie du reste de cet article en leur lieu et place, si
le traité ou l’arrangement ne l’interdit pas. Comme expliqué ci-dessous,
le paragraphe 7 s'applique qu'il existe ou non un traité ou un arrangement
d'entraide sur la base des législations uniformes ou réciproques
en vigueur entre les parties concernées.
Paragraphe 1
204. Le paragraphe 1 prévoit que les
autorités compétentes de deux Parties ou plus peuvent convenir d'établir
une ECE lorsqu'elles l'estiment particulièrement utile. La participation
à une ECE se fait par accord mutuel. Les termes «commun accord»,
«accord» et «convenir» – tels qu'utilisés dans cet article – ne
doivent pas être compris comme comprenant la nécessité d'un accord
contraignant au sens du droit international.
205. Le présent article utilise deux expressions liées: «autorités
compétentes» et «autorités participantes». Chaque Partie détermine
quelles sont les autorités compétentes – les «autorités compétentes»
– pour conclure un accord établissant une ECE. Certaines Parties
peuvent y autoriser un ensemble de fonctionnaires tels que des procureurs,
des juges d'instruction ou également des officiers de police de
haut rang dirigeant des enquêtes ou procédures pénales à participer
à ce type d'accord; d'autres peuvent autoriser l'autorité centrale –
le service normalement responsable des questions d'entraide – à
le faire. De même, la détermination des autorités qui participent
effectivement à une ECE – les «autorités participantes» – relève
respectivement des Parties concernées.
Paragraphe 2
206. Le paragraphe 2 prévoit que les
procédures et modalités régissant le fonctionnement des équipes communes
d'enquête, telles que leurs objectifs spécifiques, leur composition;
leurs fonctions; leur durée et toute éventuelle prolongation; leur
emplacement; leur organisation; les conditions de recueil, de transmission et
d'utilisation des informations ou preuves; les conditions de confidentialité;
et les conditions de l’implication des autorités participantes d'une
Partie dans des mesures d'enquête se déroulant sur le territoire
d'une autre Partie, feront l’objet d’un accord entre les autorités
compétentes concernées. En particulier, lorsqu'elles discutent du
contenu à donner à l'accord, les Parties concernées peuvent souhaiter
établir des critères de refus ou de restriction de l'utilisation
des informations et preuves y compris, par exemple, pour les motifs
établis aux paragraphes 4 ou 5 de l’article 27 de la Convention,
et préciser la procédure à suivre si ces dernières sont nécessaires
pour des finalités autres que celles qui avaient présidé à l’établissement
de l'accord (y inclus l'utilisation des informations ou preuves
par le ministère public ou la défense dans une autre affaire ou
leur utilisation pour prévenir une situation d’urgence telle que
définie à l’article 3, paragraphe 2.c, c’est-à-dire présentant un
risque significatif et imminent pour la vie ou la sécurité d'une
personne physique). Les Parties sont encouragées à spécifier dans
l'accord les limites des pouvoirs des personnes habilitées participantes d'une
Partie qui sont physiquement présentes sur le territoire d'une autre
Partie. Les Parties sont également encouragées à permettre dans
l'accord la transmission électronique des informations ou preuves
recueillies.
207. Il est supposé que les Parties établissent généralement par
écrit ces procédures et conditions. Dans tout accord, il conviendrait
de tenir compte du niveau de détail requis. Un texte standardisé
peut présenter le niveau de précision nécessaire pour des situations
prévisibles, avec la possibilité d'ajouter des dispositions supplémentaires
si les circonstances exigeaient davantage de précisions. Les Parties
prendront en compte le champ d’application territorial et la durée
de l'accord établissant l’ECE et le fait que l'accord pourrait nécessiter d’être
modifié ou étendu en cas de faits nouveaux.
208. Les informations ou preuves utilisées dans le cadre de l'équipe
commune d'enquête peuvent inclure des données à caractère personnel
sous la forme de données relatives aux abonnés, de données de trafic
ou de données de contenu. Comme pour d'autres mesures de coopération
couvertes par le Protocole, l'article 14 s'applique au transfert
de données à caractère personnel dans le cadre d'ECE.
209. Comme c'est généralement le cas pour toutes informations ou
preuves reçues par une Partie en vertu du Protocole, les règles
de la preuve applicables dans son droit interne régiront l’admissibilité
des informations ou preuves dans les procédures judiciaires.
Paragraphe 3
210. Le paragraphe 3 permet à une
Partie de déclarer, au moment de sa signature de ce Protocole ou
lors du dépôt de son instrument de ratification, d’acceptation ou
d’approbation, que son autorité centrale doit être signataire de
l’accord portant création de l’équipe ou y souscrire d’une autre
manière. Cette disposition a été insérée pour plusieurs raisons.
Tout d’abord, plusieurs Parties considèrent que les ECE constituent
une forme d’entraide. De plus, dans plusieurs autres Parties, les
autorités centrales chargées de l’entraide peuvent avoir un rôle
à jouer pour garantir que les conditions de droit interne applicables
sont remplies lorsque les autorités compétentes (qui peuvent être
des procureurs ou des services de police à l’expérience relativement
limitée en matière de coopération internationale) préparent un accord
établissant une ECE en vertu de cet article. L’expérience d’une
autorité centrale en matière d’accords internationaux régissant
l’entraide et d’autres formes de coopération internationale (y compris
aux termes du présent Protocole) peut aussi l’aider à jouer un rôle précieux
pour garantir le respect des conditions fixées par le Protocole.
Enfin, lorsqu’une Partie a fait une déclaration en vertu de ce paragraphe,
les autorités des autres Parties souhaitant établir une ECE avec
la partie déclarante savent que l’autorité centrale de la Partie
déclarante doit signer l’accord établissant l’ECE ou y souscrire
d’une autre manière afin que cet accord soit valide en vertu du
Protocole. Cette disposition empêche la conclusion d’un accord établissant
une ECE qui n’aurait pas reçu l’autorisation requise ou qui ne serait
pas conforme aux conditions légales applicables de la Partie déclarante.
Paragraphe 4
211. En vertu du paragraphe 4, les
autorités compétentes déterminées par les Parties en vertu du paragraphe 1
et les autorités participantes visées au paragraphe 2 communiqueront
en principe directement entre elles dans un souci d'efficience et
d'efficacité. Cependant, si des circonstances exceptionnelles exigent
une coordination plus centrale – par exemple dans des affaires présentant
des ramifications particulièrement graves ou des situations présentant
des problèmes particuliers de coordination -, il peut être convenu
d'autres canaux appropriés. Ainsi, les autorités centrales chargées
de l'entraide peuvent être sollicitées pour aider à se coordonner
dans ces circonstances.
Paragraphe 5
212. Le paragraphe 5 prévoit que,
si des mesures d'enquêtes doivent être prises sur le territoire
de l'une des Parties participantes, les autorités participantes
de cette dernière peuvent demander à leurs propres autorités d’effectuer
lesdites mesures. Ces dernières déterminent en fonction de leur
droit interne si elles le peuvent. Si elles sont en mesure de le
faire, il n'est pas nécessaire que d'autres Parties participantes
présentent une demande d'entraide. Cette disposition couvre l'un
des aspects les plus innovants des ECE. Toutefois, dans certains
cas, il est possible que ces autorités n'aient pas la compétence
nécessaire en droit interne pour effectuer une mesure d'enquête
pour le compte d'une autre Partie sans demande d'entraide.
Paragraphe 6
213. Le paragraphe 6 traite de l'utilisation
des informations ou preuves communiquées aux autorités participantes
d'une Partie par les autorités participantes d'une autre Partie.
L'utilisation peut être refusée ou limitée conformément aux termes
d'un accord tel que visé aux paragraphes 1 et 2; toutefois, si cet
accord ne prévoit rien en termes de refus ou de limitation de l'utilisation,
les informations ou preuves peuvent être utilisées selon les modalités
prévues au paragraphe 6 a à c. Les circonstances prévues au paragraphe
6 s'appliquent sans préjudice des conditions fixées pour les transferts
ultérieurs d'informations ou de preuves à un autre État telles que
prévues à l'Article 14.
214. Il convient de noter que, lorsque les paragraphes 6.a à c
s'appliquent, les autorités participantes peuvent néanmoins convenir
entre elles de limiter davantage l'utilisation d'informations ou
preuves particulières pour éviter de nuire à l'une de leurs enquêtes,
soit avant, soit après la fourniture des informations ou preuves.
Ainsi, même si l'utilisation de preuves par la Partie qui les a
reçues répond à l'un des objectifs pour lesquels l'ECE avait été
établie, cela peut nuire à l'enquête de la Partie qui fournit les
informations ou preuves (par exemple en révélant à un groupe criminel
qu'une enquête est en train d'être menée sur eux, ce qui risque
de les faire fuir, de les amener à détruire des preuves ou à intimider
des témoins). Dans ce cas, la Partie qui a fourni les informations
ou preuves peut demander à l'autre Partie d'accepter de ne pas les
rendre publiques tant que le risque n'a pas disparu.
215. Au paragraphe 6.b, les rédacteurs visaient la situation où,
en l'absence d'accord prévoyant les conditions du refus ou de la
limitation de l'utilisation des informations ou preuves obtenues
dans le cadre de l’ECE, il ne serait pas nécessaire d'obtenir le
consentement des autorités les ayant fournies dans le cas où, en vertu
des principes juridiques fondamentaux de la Partie dont les autorités
participantes les ont reçues, ces informations ou preuves importantes
pour une défense effective dans une procédure concernant d'autres infractions
doivent être absolument divulguées à la défense ou à une autorité
judiciaire. Même si, dans ce cas, le consentement n'est pas exigé,
la divulgation des informations et preuves à cette fin sera notifiée
sans retard indu. Si possible, elle devrait intervenir avant la
divulgation, afin de permettre à la Partie qui a fourni les informations
ou preuves de se préparer à leur divulgation et de mettre les Parties
en mesure de se consulter en tant que de besoin.
216. Selon la compréhension des rédacteurs, le paragraphe 6.c fait
référence à des circonstances exceptionnelles dans lesquelles les
autorités de la Partie destinataire pourraient utiliser directement
les informations ou preuves pour prévenir une urgence, telle que
définie à l’Article 3, paragraphe 2.c de ce Protocole. La sécurité
d’une personne physique signifie des dommages corporels graves.
La notion de «risque significatif et imminent pour la vie ou la
sécurité d'une personne» est expliquée plus en détail dans le Rapport explicatif
au paragraphe 42 qui fournit aussi des exemples de ce type de situation.
Les rédacteurs ont considéré que cette notion inclut les situations
dans lesquelles un risque significatif et imminent pour des biens ou
réseaux met en cause la vie ou la sécurité d'une personne physique.
Si des informations ou preuves sont utilisées en application de
l'alinéa 6.c, les autorités participantes de la Partie qui les a
fournies doivent en être notifiées sans retard indu sauf autre accord.
Ainsi, par exemple, les autorités participantes peuvent décider que
l'autorité centrale devrait être notifiée.
Paragraphe 7
217. Enfin, il convient de rappeler
de manière générale qu’il existe une longue histoire de coopération internationale
mise en œuvre directement au cas par cas entre partenaires des services
répressifs, dans le cadre de laquelle une équipe de procureurs et/ou
enquêteurs d'un pays coopère avec ses homologues étrangers dans
une enquête spécifique, selon un format autre que celui d'une ECE.
Le paragraphe 7 couvre ces cas de coopération internationale et,
pour les Parties qui en auraient besoin, fournit une base juridique internationale
pour mener une enquête conjointe sans un accord tel que visé aux
paragraphes 1 et 2. Comme pour toutes les mesures prévues par le
présent protocole, les enquêtes conjointes visées au paragraphe
7 sont soumises aux conditions et garanties du chapitre III.
Chapitre III – Conditions et garanties
Article 13 – Conditions
et garanties
218. Fondé sur l'article 15 de la
Convention, l'article 13 prévoit que «chaque Partie veille à ce
que l'établissement, la mise en œuvre et l'application des pouvoirs
et procédures prévus par le présent Protocole soient soumis aux
conditions et garanties prévues par son droit interne, qui assure
une protection adéquate des droits de l'homme et des libertés».
Cet article étant fondé sur l'article 15 de la Convention, l'explication
de cet article aux paragraphes 145 à 148 du Rapport explicatif de
la Convention est également valable pour l'article 13 du présent
Protocole, notamment le fait que le principe de proportionnalité «est
mis en œuvre par chaque Partie conformément aux principes pertinents
de son droit interne» (voir paragraphe 146 du Rapport explicatif
de la Convention).
219. Il convient de noter qu'en plus de cet article, d'autres articles
contiennent des garanties importantes. Par exemple, les mesures
prévues par le présent Protocole ont un champ d'application limité,
c'est-à-dire «aux enquêtes ou procédures pénales spécifiques concernant
des infractions pénales liées à des systèmes et des données informatiques,
et à la collecte de preuves sous forme électronique d'une infraction
pénale» (voir article 2). En outre, certains articles précisent
les informations à inclure dans les demandes, les ordonnances et
les informations d'accompagnement qui peuvent aider à appliquer
les garanties nationales (voir l'article 7, paragraphes 3 et 4;
l'article 6, paragraphe 3; l'article 8, paragraphe 3; l'article
9, paragraphe 3). En outre, les types de données à divulguer sont
précisés dans chaque article, comme par exemple à l'article 7 qui
est limité aux informations sur les abonnés. De plus, les Parties
peuvent émettre des réserves et des déclarations, par exemple, pour
limiter le type d'informations à fournir comme dans les articles
7 et 8. Enfin, lorsque des données à caractère personnel sont transférées
en vertu du présent Protocole, les garanties de protection des données de
l'article 14 s'appliquent.
Article 14 – Protection
des données à caractère personnel
Paragraphe 1 – Champ
d’application
220. Les mesures prévues au chapitre II
du présent Protocole nécessitent souvent le transfert de données
à caractère personnel. Étant donné qu’un grand nombre de Parties
au Protocole peuvent être tenues, pour se conformer à leurs obligations
constitutionnelles ou internationales, d’assurer la protection des
données à caractères personnel, l’article 14 prévoit des garanties
de protection des données à caractère personnel pour permettre aux
Parties de satisfaire à ces obligations et de rendre ainsi possible
le traitement de données à caractère personnel aux fins du présent
Protocole.
221. En vertu du paragraphe 1.a, chaque Partie est tenue de traiter
les données à caractère personnels qu’elle reçoit en vertu du présent
Protocole conformément aux garanties expressément prévues aux paragraphes
2 à 15. Sont également couvertes les données à caractère personnel
transférées en exécution d’une injonction ou d’une demande faite
en vertu du présent Protocole. Toutefois, les paragraphes 2 à 15
ne s’appliquent pas si les conditions des exceptions exposées aux
paragraphes 1.b ou 1.c sont applicables.
222. La première exception figure au paragraphe 1.b, qui dispose
que «[s]i, au moment de la réception de données à caractère personnel
en vertu du présent Protocole, la Partie de transfert et la Partie
destinataire sont toutes deux liées par un accord international
établissant un cadre global entre ces Parties pour la protection
des données à caractère personnel, applicable au transfert de données
à caractère personnel aux fins de la prévention, de la détection,
de l'investigation et de la poursuite d'infractions pénales, et
qui prévoit que le traitement des données à caractère personnel
en vertu de cet accord est conforme aux exigences de la législation
sur la protection des données des Parties concernées, les termes
de cet accord s'appliquent, pour les mesures relevant du champ d'application
du présent Protocole, aux données à caractère personnel reçues en
vertu du Protocole en lieu et place des paragraphes 2 à 15, sauf
accord contraire entre les Parties concernées.» À cet égard, un
cadre serait généralement considéré comme «global» s’il couvre l’ensemble
des aspects de la protection des données pour les transferts de
données. Deux exemples d’accords visés au paragraphe 1.b sont la
Convention pour la protection des personnes à l'égard du traitement
automatisé des données à caractère personnel (STE no 108) telle
que modifiée par son Protocole d’amendement (STCE no 223) et l’Accord
entre les États-Unis d’Amérique et l’Union européenne sur la protection
des informations à caractère personnel traitées à des fins de prévention
et de détection des infractions pénales, d’enquêtes et de poursuites
en la matière. Les termes de ces accords s’appliquent en lieu et
place des paragraphes 2 à 15 en ce qui concerne les mesures entrant
dans leur champ d’application. Pour les Parties à la Convention
pour la protection des personnes à l'égard du traitement automatisé
des données à caractère personnel (STE no 108) telle que modifiée
par son Protocole d’amendement (STCE no 223), il en résulte que
l’article 14, paragraphe 1, tel qu’expliqué en détail aux paragraphes
105 à 107 du Rapport explicatif au Protocole d’amendement, est applicable.
En termes de chronologie, les paragraphes 2 à 15 de cet article
ne seront subrogés que si les Parties sont mutuellement liées par
l’accord au moment de la réception de données à caractère personnel
en vertu du présent Protocole. Cela vaut aussi longtemps que l’accord
dispose que les données transférées en application de ses dispositions
continueront d’être traitées dans les conditions qu’il définit.
223. La seconde exception est exposée au paragraphe 1.c, qui dispose
que même si la Partie transférante et la Partie destinataire ne
sont pas mutuellement liées par un accord du type de celui décrit
au paragraphe 1.b, elles peuvent néanmoins déterminer conjointement
que le transfert de données à caractère personnel en vertu du présent
Protocole peut se faire sur la base d’autres accords ou arrangements
en lieu et place des paragraphes 2 à 15 de cet article. Ceci garantit
aux Parties une certaine souplesse pour fixer les garanties de protection
des données qui s’appliquent aux transferts effectués entre elles
en vertu du présent Protocole. Dans un souci de sécurité juridique
et de transparence pour les individus et pour les fournisseurs et
les entités impliqués dans les transferts de données en application
des mesures prévues à la section 2 du chapitre II de ce Protocole,
les Parties sont encouragées à communiquer clairement au public
leur détermination commune à ce qu’un accord ou un arrangement de
cette nature régisse les aspects relatifs à la protection des données lors
des transferts de données entre elles.
224. Les rédacteurs ont considéré que le Protocole garantit des
protections satisfaisantes pour les transferts de données effectués
en application de ses dispositions grâce aux garanties de protection
des données prévues aux paragraphes 2 à 15. À cette fin, conformément
au paragraphe 1.d, les transferts de données visés au paragraphe
1.a seront réputés satisfaire aux exigences du cadre juridique de
chacune des Parties régissant la protection des données pour les
transferts internationaux de données à caractère personnel; en conséquence,
aucune autre autorisation ne sera requise en vertu de ces cadres
juridiques pour ces transferts. En outre, dans la mesure où les
dispositions des accords décrits au paragraphe 1.b établissent que
le traitement des données à caractère personnel en vertu de ces
accords satisfait aux exigences de la législation des Parties concernées
relative à la protection des données, le paragraphe 1.d étend cette
approbation aux transferts effectués en vertu du présent Protocole.
Ce paragraphe est donc producteur de sécurité juridique pour les
transferts internationaux de données à caractère personnel effectués
en vertu des paragraphes 1.a ou 1.b en réponse aux injonctions ou
demandes adressées en vertu du présent Protocole, le but étant de garantir
l’efficacité et la prévisibilité des échanges de données. Comme
les accords ou arrangements décrits au paragraphe 1.c ne font pas
nécessairement mention de la conformité au cadre juridique des Parties
relatif à la protection des données – par exemple dans le cas des
traités bilatéraux d’entraide judiciaire –, ils ne reçoivent pas
la même approbation en vertu de ce Protocole que dans les cas relevant
des paragraphes 1.a ou 1.b. Toutefois, les Parties concernées peuvent
décider d’un commun accord que cette approbation est acquise.
225. De plus, le paragraphe 1.d dispose qu’une Partie est autorisée
à refuser ou à empêcher les transferts de données à une autre Partie
en vertu du présent Protocole uniquement pour des raisons de protection
des données: (i) dans les conditions exposées au paragraphe 15 relatif
à la consultation et à la suspension ou (ii) aux termes d’accords
ou d’arrangements spécifiques visés aux paragraphes 1.b ou 1.c,
lorsque l’un de ces paragraphes s’applique.
226. Enfin, l’objectif de cet article est d’établir des garanties
satisfaisantes pour permettre le transfert de données à caractère
personnel entre les Parties au présent Protocole. L’article 14 n’impose
pas une harmonisation des cadres juridiques nationaux régissant
le traitement général des données à caractère personnel ni du cadre
relatif au traitement spécifique des données à caractère personnel
aux fins de l’application du droit pénal. Le paragraphe 1.e dispose
que rien n’empêche les Parties d’appliquer des garanties plus strictes
que celles prévues aux paragraphes 2 à 15 pour le traitement, par
leurs autorités respectives, des données à caractère personnel reçues
en vertu du présent Protocole. Inversement, le paragraphe 1.e. n’a
pas pour but de permettre aux Parties d’imposer des conditions supplémentaires
de protection des données autres que celles expressément prévues
dans cet article pour les transferts de données effectués en vertu
du présent Protocole.
Paragraphe 2 – But
et utilisation
227. Le paragraphe 2 traite des buts
et de l’utilisation pour lesquels les Parties peuvent procéder au traitement
de données à caractère personnel en vertu du présent Protocole.
Le paragraphe 2.a dispose que «la Partie destinataire de données
personnelles («Partie destinataire») traite les données aux fins
prévues à l’article 2», c’est-à-dire aux fins «[d’]enquêtes ou procédures
pénales spécifiques concernant des infractions pénales liées à des
données et systèmes informatiques» et de «recueil de preuves d’une
infraction pénale sous forme électronique» et, pour ce qui concerne
les Parties au Premier Protocole, aux fins «d’enquêtes ou procédures
pénales spécifiques concernant les infractions pénales établies
dans le Premier Protocole». En d’autres termes, il faut que les
autorités aient ouvert une enquête ou entamé des poursuites concernant
une activité criminelle définie, cette enquête ou ces poursuites
constituant le but légitime dans lequel il est possible de rechercher
des preuves ou des informations contenant des données à caractère
personnel et de les traiter.
228. Si la raison première pour laquelle le Protocole peut être
invoqué est uniquement l’obtention d’informations ou de preuves
dans une enquête ou une procédure pénale donnée, à l’exclusion d’autres
fins, le paragraphe 2.a dispose aussi qu’une Partie «ne [doit pas
procéder] à d’autres traitements des données personnelles dans un
but incompatible avec l’article 2 et [qu’]elle ne traite pas non
plus les données lorsque son cadre juridique ne l’autorise pas».
Pour déterminer si la finalité d’un traitement supplémentaire n’est
pas incompatible avec le but initial, l’autorité compétente est
encouragée à procéder à une évaluation globale des circonstances
de l’espèce comme (i) le rapport entre le but initial et le but
supplémentaire ultérieur (établi par un éventuel lien objectif,
par exemple); (ii) les conséquences (potentielles) pour les personnes
concernées de l’utilisation supplémentaire envisagée, en tenant
compte de la nature des données à caractère personnel (leur sensibilité,
par exemple); (iii) les attentes raisonnables potentielles des personnes
concernées quant au but de cette utilisation supplémentaire et à
l’égard des entités qui pourraient traiter les données, et (iv)
la manière dont les données seront traitées et protégées contre
toute utilisation indue. Le cadre juridique d’une Partie peut fixer des
limites particulières concernant d’autres objectifs pour lesquels
les données peuvent être utilisées.
229. Le traitement des données dans un but qui ne soit pas incompatible
devrait normalement comprendre leur utilisation à des fins de coopération
internationale conformément aux législations nationales et aux accords
ou arrangements internationaux en matière pénale (pour l’entraide
judiciaire, par exemple). Il pourrait aussi inclure, entre autres,
des utilisations dans le cadre de certaines fonctions administratives,
comme les déclarations aux organes de contrôle, les enquêtes connexes
sur des infractions au droit pénal, civil ou administratif (y compris
les enquêtes menées par d’autres instances administratives) et leur
jugement, les divulgations ordonnées par décision de justice, la
divulgation à des personnes privées parties à un litige, la communication
de certaines informations à l’avocat d’un accusé et la divulgation
directe au public ou aux médias (y compris dans le cadre des demandes
d’accès aux documents et de procédures judiciaires publiques). De
même, un traitement supplémentaire des données à caractère personnel
à des fins d’archivage dans l’intérêt public, de recherche scientifique
ou historique, ou à des fins statistiques pourrait être considéré comme
compatible avec l’article 2.
230. Le paragraphe 2.a autorise en outre les Parties à imposer
des conditions et restrictions supplémentaires à l’utilisation de
données à caractère personnel dans des cas donnés, dans la mesure
prévue au chapitre II du présent Protocole. Toutefois, ces conditions
ne doivent pas comporter de conditions génériques de protection des
données – c’est-à-dire des conditions qui ne soient pas propres
à des cas donnés – allant au-delà de celles prévues par cert article.
À titre d’exemple, différents systèmes de supervision sont admis
en vertu de l’article 14 et une Partie n’est pas autorisée à poser
comme condition préalable au transfert de données dans un cas individuel
que la Partie requérante dispose de l’équivalent d’une autorisée
spécialisée de protection des données.
231. Enfin, le paragraphe 2.b fait obligation à la Partie destinataire,
lorsqu’elle cherche à obtenir des données à caractère personnel
et les utilise en vertu du présent Protocole, «[de veiller], dans
le cadre de son droit interne, à ce que les données à caractère
personnel demandées et traitées soient pertinentes et qu’elles ne soient
pas excessives au regard de la finalité de ce traitement». Cette
obligation peut par exemple être mise en œuvre au moyen des règles
de la preuve et de limitations de la portée des injonctions contraignantes,
des principes de nécessité, de proportionnalité et du caractère
raisonnable, et de directives et politiques internes limitant la
collecte ou l’utilisation des données. Les Parties sont également
encouragées à considérer, dans leurs cadres juridiques nationaux,
les situations impliquant des personnes vulnérables, comme les victimes
ou les mineurs, par exemple.
Paragraphe 3 – Qualité
et intégrité
232. Le paragraphe 3 impose aux Parties
de prendre «des mesures raisonnables pour veiller à ce que les données
à caractère personnel soient conservées de manière aussi exacte
et complète et soient aussi actuelles qu’il est nécessaire et approprié
pour qu’elles puissent être traitées conformément à la loi compte tenu
des buts dans lesquels elles sont traitées.». Le contexte est important
et ce principe peut donc être mis en œuvre différemment selon les
situations. Il ne s’appliquerait par exemple pas de la même manière
à des fins de poursuites pénales que dans d’autres buts.
233. S’agissant des enquêtes et des procédures pénales, le paragraphe 3
ne doit pas être interprété dans le sens qu’il imposerait aux autorités
de poursuites pénales de modifier les informations qui pourraient
servir de preuves dans une affaire pénale – même lorsque ces informations
sont inexactes ou incomplètes –, parce que l’inexactitude de ces
données peut être un élément majeur de l’infraction (par exemple
en cas de fraude) et parce que cela saperait en outre l’objectif
d’équité à l’égard de l’accusé si les autorités modifiaient une
preuve recueillie grâce au présent Protocole.
234. Dans de nombreuses situations, lorsqu’il y a des doutes quant
à la fiabilité des données à caractère personnel, cela devrait être
clairement indiqué. Par exemple, dans la mesure où des informations
ou des preuves ont été reçues grâce au présent Protocole sont utilisées
pour retracer une conduite criminelle passée, les procédures applicables
devraient prévoir les moyens de corriger ou de garder la trace des
erreurs dans les informations (notamment en modifiant ou en complétant
les informations originales) et d’actualiser, modifier ou compléter
les données peu fiables ou obsolètes afin de minimiser le risque
que les autorités prennent des mesures répressives inappropriées
ou potentiellement défavorables sur la base de données de mauvaise qualité
(par exemple en arrêtant la mauvaise personne ou en arrêtant une
personne en s’appuyant sur une compréhension erronée de son comportement).
Les Parties sont encouragées à prendre des mesures raisonnables
pour s’assurer que lorsque des données communiquées à une autre
autorité ou reçues d’une autre autorité se révèlent inexactes ou
obsolètes, cette autre autorité en est informée aussi rapidement
que possible afin qu’il puisse être procédé aux corrections nécessaires
et appropriées compte tenu des finalités du traitement.
Paragraphe 4 – Données
sensibles
235. Le paragraphe 4 concerne les
mesures qui doivent être prises par les Parties en vertu du présent Protocole
lorsqu’elles traitent certains types de données qui peuvent être
nécessaires, en particulier, à titre de preuves dans une enquête
ou une procédure pénale mais dont la nature impose que des garanties
appropriées soient prises pour se prémunir contre le risque d’effets
préjudiciables injustifiés pour la personne concernée par l’utilisation
de ces données, en particulier contre le risque de discrimination
illicite.
236. Aux termes du paragraphe 4, les données sensibles sont notamment
«les données à caractère personnel révélant l’origine ethnique ou
raciale, les opinions politiques, les croyances religieuses ou autres,
ou l’affiliation syndicale, ainsi que [les] données génétiques,
[les]données biométriques considérées comme sensibles compte tenu
des risques qu’elles comportent ou [les] données à caractère personnel
concernant la santé ou la sexualité», ce dernier élément recouvrant
à la fois l’orientation sexuelle et les pratiques sexuelles. Les
données relatives à la santé peuvent comprendre des données relatives
à la santé physique ou mentale d’une personne qui révèlent des informations
sur son état de santé passé, présent ou futur (comme des informations
sur une maladie, un handicap, un risque de maladie, l’historique
médical d’une personne ou ses traitements, ou encore son état physiologique
ou biomédical). Les données génétiques peuvent comprendre, par exemple,
les résultats d’analyses chromosomiques, d’ADN ou d’ARN, qui concernent
les caractéristiques génétiques héritées ou acquises d’une personne
et contiennent des informations uniques sur sa physiologie, sa santé
ou sa filiation.
237. La notion de données biométriques couvre toute une série d’identifiants
uniques résultant de caractéristiques physiques ou physiologiques
mesurables utilisées pour identifier une personne ou vérifier l’identité
déclinée par cette dernière (empreintes digitales, motif de l’iris
ou des veines de la main, schémas vocaux, photographies ou séquences
vidéo, par exemple). Certaines Parties considèrent aussi que les identifiants
uniques fournis par des caractéristiques biologiques ou comportementales
constituent des données biométriques. Si certaines formes de données
biométriques peuvent être jugées sensibles au vu des risques qu’elles
impliquent, ce n’est pas le cas de toutes. Ainsi, certaines Parties
considèrent que les données biométriques qui sont informatisées
ou extraites d’un échantillon ou d’une image biométrique (comme
les modèles biométriques) sont des données sensibles. Inversement,
certaines photographies ou séquences vidéo, même si elles révèlent
des caractéristiques physiques ou anatomiques telles que des cicatrices,
des marques sur la peau et des tatouages, ne seront généralement
pas considérées comme des données biométriques sensibles. Puisque
le niveau de sensibilité des données biométriques peut varier, le
paragraphe 4 offre aux Parties une latitude pour réglementer cette
question en indiquant que les données sensibles comprennent les
«données biométriques considérées comme sensibles compte tenu des
risques qu’elles comportent». Cette formulation reconnaît que la
biométrie est un domaine en évolution et que les données considérées
comme «sensibles» aux termes de ce paragraphe devront faire l’objet
d’une évaluation dans la durée au regard des nouveautés technologiques
et en matière de techniques d’enquête et autres et compte tenu des
risques qu’elles entraînent pour les personnes concernées. En ce
qui concerne les Parties à la Convention pour la protection des
personnes à l'égard du traitement automatisé des données à caractère personnel
(STE n° 108), telle qu'amendée par le Protocole (STCE n° 223), l'interprétation
de ce qui constitue des données biométriques "sensibles" devrait
être guidée par l'article 6, paragraphe 1, de cette Convention, tel
que détaillé aux paragraphes 58 et 59 du Rapport explicatif de cette
Convention.
238. L’utilisation abusive et le traitement indu de données sensibles
présentent des risques de préjudice pour les personnes concernées,
notamment des risques de discrimination illicite. Le système de
justice pénale devrait être configuré de sorte à assurer une protection
contre les conséquences préjudiciables injustifiées et la discrimination
illicite fondée, par exemple, sur l’utilisation de preuves révélant
la race, la religion ou la sexualité d’une personne. Pour donner
un autre exemple, ce paragraphe reconnaît aussi l’importance de protéger
contre le risque de préjudice causé par la divulgation injustifiée
ou illégale afin d’éviter, par exemple, qu’une personne soit ostracisée
en raison d’informations révélant son orientation sexuelle ou son
identité de genre. À cet égard, le paragraphe 4 exige des Parties
qu’elles mettent en place des «garanties appropriées» pour se prémunir
contre ces risques.
239. Le caractère approprié des garanties devrait être apprécié
au regard de la sensibilité des données, de la portée, du contexte,
des buts et de la nature du traitement (par exemple en cas de prise
de décisions automatisée) ainsi que de la probabilité et de la gravité
des risques. Ces garanties peuvent varier d’un système juridique
interne à l’autre et dépendre de ces facteurs. Une liste non exhaustive
de garanties pourrait inclure la restriction du traitement des données
(qui ne serait, par exemple, autorisé qu’au cas par cas ou à certaines fins),
la limitation de leur diffusion, la restriction de l’accès à ces
dernières (ouvert seulement à certains personnels, par exemple,
en vertu de procédures spéciales d’autorisation ou d’authentification
nécessitant une formation spécialisée de ces personnels), des mesures
organisationnelles ou techniques de sécurité supplémentaires (comme
le masquage, la pseudonymisation ou le stockage séparé des données
biométriques et des informations biographiques correspondantes)
ou des durées de conservation plus courtes. Dans certains cas, il
peut être utile de procéder à une analyse d’impact pour faciliter
l’identification et la gestion des risques.
Paragraphe 5 – Périodes
de conservation
240. La première phrase du paragraphe
5 dispose que «[c]haque Partie conserve les données à caractère personnel
uniquement pour la durée nécessaire et appropriée aux fins du traitement
des données prévu au paragraphe 2». À cet égard, le principe de
limitation des buts énoncé au paragraphe 2 dispose qu’une Partie destinataire
de données à caractère personnel doit les traiter dans des buts
définis conformément à l’article 2 et ne doit pas les soumettre
à d’autres traitements dans un but incompatible avec cet article.
Conformément à ce principe, la durée de conservation des données
dépend des buts définis dans lesquels ces données sont traitées.
241. En vertu de l’article 2, les données à caractère personnel
reçues par une Partie en vertu du présent Protocole l’étant à des
fins d’enquêtes ou de procédures pénales spécifiques, ces données
peuvent être conservées aussi longtemps que nécessaire (a) pendant
la durée de l’enquête et de la procédure subséquente, y compris
les éventuelles procédures en appel ou la durée au cours de laquelle
une affaire peut être rouverte en vertu du droit interne et (b)
pour faire l’objet d’un traitement supplémentaire dans un but qui n’est
«pas incompatible» avec le but premier de la collecte après que
celui-ci a été atteint. Ainsi, une Partie peut disposer que les
informations ou preuves soient conservées à des fins d’archivage
ou de recherches historiques, ou d’autres buts compatibles, conformément
à l’article 14, paragraphe 2, comme exposé plus en détail dans les
paragraphes correspondants du présent Rapport explicatif.
242. La deuxième phrase du paragraphe 5 offre aux Parties deux
possibilités pour satisfaire à l’obligation de ne pas conserver
des données à caractère personnel plus longtemps que nécessaire
et approprié au vu des finalités de leur traitement en vertu du
paragraphe 2 de cet article. Premièrement, une Partie peut fixer
des durées de conservation déterminées dans son droit interne. Sinon,
les Parties peuvent prévoir dans leur droit interne que la nécessité
de conserver plus longtemps les données soit revue à intervalles
programmés. Les Parties disposent d’une marge discrétionnaire pour
décider de l’approche la plus adaptée aux données concernées en
l’espèce dans le contexte de leur cadre juridique interne. Les Parties
peuvent aussi prévoir une durée de conservation déterminée assortie
d’un système de révision périodique à intervalles plus courts. Elles devraient
garantir dans leur cadre juridique que les autorités compétentes
élaborent des règles et/ou procédures internes pour la mise en œuvre
des durées de conservation déterminées et/ou des révisions périodiques
de la nécessité de prolonger la conservation. Lorsque la durée de
conservation est écoulée ou lorsque la Partie a établi, dans le
cadre de la révision périodique, qu’il n’est plus nécessaire de
conserver les données, celles-ci doivent être supprimées ou anonymisées.
Paragraphe 6 – Décisions
automatisées
243. Le paragraphe 6 concerne la protection
des personnes lorsque des décisions emportant des conséquences négatives
importantes pour les intérêts en jeu pour elles sont basées uniquement
sur le traitement automatisé de leurs données personnelles. Il ne
devrait pas arriver fréquemment que des décisions soient prises
de façon automatisée lorsqu’une Partie sera destinataire de données
à caractère personnel provenant d’une autre Partie en vertu du présent
Protocole car les preuves ou les informations seront recueillies
par des enquêteurs ou des autorités judiciaires aux fins d’une enquête
ou d’une procédure pénale déterminée. Néanmoins, lorsque la prise
de décisions ayant un effet défavorable significatif sur les intérêts
en jeu pour la personne à laquelle se rapportent les données à caractère
personnel se fait de manière automatisée dans le cadre de l’enquête
pour laquelle ces données ont été demandées, les autorités doivent appliquer
cette disposition. Elle doivent aussi l’appliquer lorsque les données
sont utilisées par la suite à des fins de prévention, de détection,
d’enquête ou de poursuites relatives à d’autres infractions (arrestation
basée sur le traitement purement automatisé de profils criminels,
de données relatives aux condamnations, aux libérations conditionnelles
et sous caution, par exemple) ou dans un but compatible (par exemple
dans le cadre de la vérification des antécédents), si les données
font l’objet d’un traitement par des outils d’analyse automatisée
pour la prise de décisions.
244. Par conséquent, le paragraphe 6 interdit les décisions basées
exclusivement sur le traitement automatisé de données à caractère
personnel lorsque ces décisions ont des répercussions négatives importantes
sur les intérêts en jeu pour la personne concernée, y compris sur
le plan juridique (en raison des incidences sur la situation juridique
ou les droits de l’intéressé), comme l’émission d’un mandat d’arrêt
ou le refus d’une libération conditionnelle ou sous caution, à moins
que cette prise de décisions automatisée soit autorisée en droit
interne et s’accompagne de garanties appropriées.
245. Des garanties appropriées sont essentielles pour réduire l’impact
potentiel sur les intérêts en jeu pour la personne à laquelle les
données à caractère personnel se rapportent. Ces garanties devraient
comprendre la possibilité pour la personne concernée d’obtenir une
intervention humaine pour évaluer la décision. Les Parties sont
également encouragées à prendre des mesures raisonnables pour assurer
la qualité et la représentativité des données utilisées pour développer
les algorithmes ainsi que l’exactitude des inférences statistiques
utilisées en tenant compte des circonstances et du contexte spécifiques,
y compris le contexte pénal.
Paragraphe 7 – Sécurité
des données et incidents de sécurité
246. En vertu du paragraphe 7.a, «[c]haque
Partie s’assure de disposer de mesures technologiques, physiques
et organisationnelles appropriées pour la protection des données
à caractère personnel». Par exemple, ces mesures technologiques
peuvent inclure des logiciels de protection contre les logiciels malveillants,
le cryptage des données et des pares-feux. Les mesures physiques
peuvent comprendre l’hébergement des serveurs et fichiers informatiques
dans des lieux sécurisés et les mesures organisationnelles peuvent
consister en diverses règles, pratiques, politiques et procédures,
visant notamment à limiter les droits d’accès.
247. Le paragraphe 7.a dispose en outre que ces mesures doivent
protéger en particulier contre la perte (par exemple au moyen de
procédures standardisées pour l’enregistrement et le maniement des
données), contre l’accès accidentel ou non autorisé (par exemple
au moyen de protections contre les intrusions informatiques, de
conditions d’autorisation ou d’authentification pour l’accès aux
dossiers papier ou aux fichiers informatiques), contre la divulgation
accidentelle ou non autorisée (par exemple au moyen de mesures technologiques
de détection et de prévention des divulgations accidentelles ou
non autorisées et de mesures organisationnelles pour indiquer les
conséquences de telles divulgations) et contre l’altération ou la destructions
accidentelle ou non autorisée de données (par exemple en restreignant
la saisie ou la modification de données électroniques ou de dossiers
papier au personnel autorisé, en utilisant des systèmes d’enregistrement,
en affichant les durées de conservation ou en installant des systèmes
de sauvegarde des fichiers informatiques et des dossiers papier).
248. Les modalités précises arrêtées pour satisfaire à ces obligations,
d’une manière adaptée aux circonstances particulières de l’espèce,
sont laissées à la discrétion de la Partie concernée. Les Parties
sont par exemple encouragées à concevoir et mettre en œuvre des
mesures de sécurité qui prennent en compte des facteurs tels que
la nature des données à caractère personnel (notamment leur sensibilité),
les risques identifiés et les conséquences négatives potentielles
pour la personne concernée en cas d’incident de sécurité. Les Parties
peuvent aussi prendre en compte la question des ressources nécessaires
pour la conception et l’application des mesures de sécurité des
données. Elles sont encouragées à revoir périodiquement ces mesures
et à les actualiser si nécessaire au vu de l’évolution de la technologie
et de la nature des risques.
249. Le paragraphe 7.b expose les obligations en cas d’incident
de sécurité (tel que défini au paragraphe 7.a et décrit ci-dessus)
concernant les données à caractère personnel reçues en vertu du
présent Protocole et créant un «risque significatif de préjudice
matériel ou non matériel» aux personnes ou à la Partie de laquelle proviennent
les données. Les préjudices aux personnes visés ici sont notamment
les préjudices corporels ou de réputation, la détresse émotionnelle
(par exemple en raison de l’humiliation ou d’une violation de la confidentialité),
la discrimination ou les préjudices financiers (par exemple en raison
de la perte de l’emploi ou d’opportunités professionnelles, d’une
note de la qualité de crédit négative, de l’usurpation d’identité
ou du risque de chantage). Pour l’autre Partie, le risque peut en
particulier résider dans l’impact négatif potentiel sur une enquête
parallèle (par exemple avec la fuite du suspect ou la destruction
de preuves). S’il y a un «risque significatif» que de tels préjudices
surviennent, la Partie destinataire a l’obligation «[d’évaluer]
sans tarder la probabilité de survenance et l’importance» du préjudice
et de «prend[re] rapidement les mesures appropriées pour atténuer
ce préjudice». Les facteurs relatifs à la probabilité et à l’importance
du préjudice à prendre en considération sont, entre autres, le type
d’incident, comme le fait, s’il est connu, qu’il repose sur une
intention de nuire et l’identité des personnes en possession des
informations ou qui ont pu les obtenir, la nature et la sensibilité
des données concernées, le volume de données potentiellement compromises
et le nombre de personnes potentiellement touchées, la possibilité
d’identifier facilement les personnes concernées, la probabilité
qu’il y ait eu accès aux données et qu’elles aient été utilisées,
selon qu’elles aient été cryptées, par exemple, ou rendues inaccessibles
d’une autre manière, ainsi que les conséquences qui pourraient résulter de
cet incident.
250. Conformément aux mesures décrites au paragraphe 7.a et afin
d’apporter la réponse appropriée visée au paragraphe 7.b, les Parties
sont tenues de disposer de procédures internes permettant de détecter
les incidents de sécurité. Elles devraient également disposer d’une
procédure leur permettant d’évaluer rapidement la probabilité de
survenance d’une préjudice potentiel et son ampleur et de prendre
rapidement les mesures appropriées pour le limiter (par exemple
en demandant le retour ou la suppression des données transmises
accidentellement à un destinataire non autorisé). L’application
effective de ces obligations peut être facilitée par l’existence
de procédures internes de signalement et par la consignation de
tous les incidents de sécurité.
251. Le paragraphe 7.b énumère aussi les circonstances dans lesquelles
l’autre Partie et les personnes concernées doivent recevoir notification
de l’incident, sous réserve des exceptions et restrictions prévues
à cette obligation de notification.
252. En cas d’incident de sécurité comportant un risque significatif
de préjudice matériel ou non matériel à des personnes ou à l’autre
Partie, notification doit en être faite à l’autorité transférante
ou, aux fins de la section 2 du chapitre II, à l’autorité ou aux
autorités désignées conformément au paragraphe 7.c. Toutefois, cette notification
peut être assortie de restrictions appropriées quant à la transmission
de cette notification à des tiers; elle peut être différée ou omise
lorsqu’elle risque de porter atteinte à la sécurité nationale ou
être différée lorsqu’elle risque de compromettre des mesures visant
à protéger la sécurité publique (y compris lorsqu’elle compromettrait
l’enquête sur les infractions pénales découlant de l’incident de
sécurité). Pour décider s’il convient de différer ou d’omettre la
notification dans des circonstances où celle-ci pourrait mettre
en danger la sécurité nationale, une Partie devrait se demander
s’il est raisonnable, dans ces circonstances, d’omettre la notification
ou s’il ne serait pas plus approprié de la différer.
253. En cas d’incident de sécurité comportant un risque important
de préjudice matériel ou non matériel à des personnes, les personnes
concernées par cet incident doivent également en recevoir notification
afin de pouvoir protéger leurs intérêts, cette obligation de notification
étant toutefois soumise à des exceptions. Premièrement, le paragraphe
7.b indique qu’il n’est pas nécessaire de procéder à cette notification
si la Partie a pris des mesures appropriées de sorte qu’il n’y a
plus de risque significatif de préjudice. Par exemple, aucune notification
ne serait nécessaire lorsqu’un e‑mail contenant des informations
personnelles sensibles a été envoyé par mégarde au mauvais destinataire,
ce qui aurait constitué un risque significatif de préjudice sans mesures
d’atténuation de ce risque, mais que le destinataire a, sur demande,
rapidement et définitivement supprimé ce message sans qu’il soit
diffusé plus largement. Deuxièmement, la notification à une personne
peut être omise ou différée dans les conditions prévues au paragraphe
12.a.i – à savoir que la notification «[peut être soumise] à l’application
de restrictions proportionnées autorisées par son cadre juridique
interne, nécessaires […] pour protéger les droits et libertés d’autrui
ou d’importants objectifs d’intérêt public général et qui tiennent
dûment compte des intérêts légitimes de la personne concernée».
254. De manière générale, les Parties sont encouragées à inclure
dans cette notification en vertu du paragraphe 7.b, et s’il y a
lieu, des informations sur le type d’incident de sécurité, la nature
et le volume des informations potentiellement compromises, les risques
possibles et les mesures envisagées pour limiter les préjudices
éventuels, y compris les mesures visant à contenir l’incident. Étant
donné la fonction de supervision exercée par les autorités de supervision
décrites au paragraphe 14 et afin de bénéficier de conseils d’experts pour
la gestion de l’incident, il pourrait également être utile que la
Partie qui émet la notification informe ces autorités de l’incident
et des mesures d’atténuation prises le cas échéant.
255. Pour permettre une réponse coordonnée et y contribuer dans
le cadre de ses propres mesures d’atténuation du risque, la Partie
destinataire de la notification peut demander des consultations
et des informations supplémentaires au sujet de l’incident et des
mesures prises par la Partie émettrice de la notification pour y
remédier.
256. Le paragraphe 7.c établit la procédure requise pour la désignation
par les Parties de l’autorité ou des autorités auxquelles notification
doit être faite en vertu du paragraphe 7.b aux fins du chapitre II,
section 2.
Paragraphe 8 – Tenue
des registres
257. Le paragraphe 8 impose aux Parties
de «[tenir] des registres ou se dote[r] d’autres moyens appropriés pour
montrer comment il est accédé aux données personnelles d’un individu,
et comment celles-ci sont utilisées et divulguées dans un cas spécifique».
L’objectif est que chaque Partie dispose de moyens effectifs pour
démontrer de quelle manière il a été accédé aux données à caractère
personnel d’une personne et comment ces données ont été utilisées
et divulguées dans ce cas précis, conformément au présent article.
Il est important, en particulier à des fins de contrôle, de montrer
que les règles ont été respectées, ce qui contribue en soi à la
transparence et à la responsabilité. Si les moyens à mettre en œuvre
pour montrer comment sont traitées les données sont laissés à la
discrétion de chaque Partie, les Parties sont encouragées à adapter
leurs méthodes aux circonstances, en tenant compte des risques pour
les personnes concernées et de la nature, de l’étendue, des finalités
et du contexte global de ce traitement.
258. Certaines Parties peuvent, par exemple, décider d’utiliser
l’enregistrement automatisé des activités (journal ou log) ou d’autres
solutions (comme la consignation manuelle dans le cas de dossiers
papier). Comme indiqué ci-dessus, l’objectif est de favoriser la
transparence et la responsabilité tout en permettant une certaine
souplesse quant à la manière dont une Partie remplit cet objectif,
dans le respect des autres obligations applicables en vertu du présent
article. Ainsi, les Parties devraient tenir des registres ou disposer d’autres
documents relatifs à l’accès aux données, à leur utilisation ou
à leur divulgation sous une forme qui facilite le travail des autorités
de supervision.
Paragraphe 9 – Partage
ultérieur au sein d’une Partie
259. Le paragraphe 9 dispose que «[l]orsqu’une
autorité d’une Partie fournit des données à caractère personnel
reçues initialement en vertu du présent Protocole à une autre autorité
de cette Partie, cette dernière les traite conformément au présent
article, sous réserve du paragraphe 9.b». En d’autres termes, lorsque
des données à caractère personnel reçues en vertu du présent Protocole
sont ensuite communiquées à une autre autorité de la même Partie –
y compris à une autorité d’un État constituant ou d’une autre entité
territoriale similaire –, ces données doivent être traitées conformément
au présent article, à moins que l’exception prévue au paragraphe
9.b s’applique. Le paragraphe 9 s’applique aussi en cas de partage
ultérieur multiple.
260. Le paragraphe 9.b prévoit une exception au paragraphe 9.a
dans le cas où un État fédéral partie au présent Protocole émet
une réserve portant sur les obligations visées à l’article 17 du
Protocole, conformément aux conditions fixées par cet article. En
accord avec le paragraphe 298 du Rapport explicatif, cette exception a
pour but de prendre en compte «les difficultés que des États fédéraux
risquent de rencontrer en raison de la répartition typique des pouvoirs
entre les autorités fédérales et régionales», qui correspond au
paragraphe 316 du Rapport explicatif de la Convention. Par conséquent,
le paragraphe 9.b dispose qu’une Partie qui a émis une réserve au
titre de l’article 17 conserve la possibilité de communiquer des
données à caractère personnel reçues en vertu du présent Protocole
à ses États constituants ou autres entités territoriales similaires
à condition qu’elle ait mis en place des mesures afin que les autorités
destinataires continuent de protéger efficacement ces données en
assurant un niveau de protection des données comparable à celui
offert par le présent article. Une partie qui n’aurait pas «mis
en place des mesures pour que les autorités qui reçoivent les données
continuent à les protéger efficacement en assurant un niveau de
protection des données comparable à celui offert par le présent
article» se trouverait, en fonction de la gravité, des raisons et
des circonstances du manquement à cette obligation, en situation
de violation flagrante ou systématique du paragraphe 15 du présent
article.
261. Le paragraphe 9.c prévoit que la Partie transférante est fondée,
en cas d’indications selon lesquelles le présent paragraphe ne serait
pas correctement appliqué par une autre Partie, à demander une consultation
à cette autre Partie et des informations pertinentes sur ces indications
afin de clarifier la situation.
Paragraphe 10 – Transfert
ultérieur vers un autre État ou vers une organisation internationale
262. Aux termes du paragraphe 10.a,
une Partie n’est autorisée à transférer des données à caractère personnel
reçues en vertu du présent Protocole «à un autre État ou à une organisation
internationale qu’avec l’autorisation préalable de l’autorité qui
les lui a communiquées ou, aux fins de la section 2 du chapitre
II, de l’autorité ou des autorités décrites au paragraphe 10.b».
Ce type de mesure conservatoire est une condition courante encadrant
les transferts et dont le but est d’assister les partenaires étrangers
dans le contexte de l’application du droit pénal (par exemple en
vertu de traités d’entraide judiciaire ou de la coopération entre polices);
cette approche est reprise dans le présent paragraphe également
comme un moyen de protéger les données à caractère personnel transférées
en vertu du présent Protocole.
263. Le paragraphe 10.b dispose que chaque Partie doit, au moment
de la signature ou lors du dépôt de son instrument de ratification,
d’acceptation ou d’approbation, indiquer au Secrétaire Général du
Conseil de l’Europe quelles sont l’autorité ou les autorités désignées
pour donner l’autorisation visée au paragraphe 10.a aux fins des
transferts en vertu de la section 2 du chapitre II; les autorités
ainsi désignées peuvent être modifiées par la suite.
264. L’obtention d’une autorisation de transfert ultérieur peut
nécessiter l’envoi d’une demande individualisée par les autorités
de la Partie destinataire en vue du transfert de données à caractère
personnel spécifiées à un pays tiers ou à une organisation internationale
donnée. Toutefois, le paragraphe 10.a n’empêche pas les Parties
de fixer à l’avance les règles régissant les transferts ultérieurs
(par exemple par voie d’un accord écrit ou selon d’autres modalités).
Le paragraphe 10.a ne fait pas non plus obstacle à la possibilité
pour une Partie de fixer d’autres conditions pour l’utilisation
de données par le destinataire (comme des limites à l’usage ou à la
diffusion par la Partie destinataire de données à caractère personnel
afin d’éviter de nuire à l’enquête menée par la Partie transférante)
conformément aux dispositions spécifiques du chapitre II.
265. Lorsqu’elle statue sur une demande de transfert en vertu du
paragraphe 10, l’autorité transférante ou désignée est encouragée
à tenir dûment compte de tous les facteurs pertinents, comme la
gravité de l’infraction pénale, le but dans lequel les données ont
été transférées à l’origine, les conditions applicables au transfert
originel et le niveau approprié ou non de protection des données
à caractère personnel garanti par le pays tiers ou l’organisation
internationale concernée.
Paragraphe 11 – Transparence
et notification
266. Le paragraphe 11.a impose des
conditions de transparence et de notification aux Parties pour les éléments
visés aux paragraphes 11.a.i à iv. Ces conditions ont pour but d’aider
les personnes concernées à comprendre comment les Parties peuvent
être amenées à traiter leurs données. Elles sont aussi destinées
à informer les personnes concernées des possibilités d’accès, de
rectification et de recours existantes.
267. Chaque Partie dispose d’une latitude pour décider si ces notifications
et cette transparence sont assurées par voie de publication de notifications
générales à l’attention du public – par exemple sur un site internet
gouvernemental – ou par notification personnelle à la personne dont
les données à caractère personnel ont été adressées à la Partie
destinataire. Ces notifications doivent être facilement accessibles
et compréhensibles. Qu’elles soient générales ou personnelles, les
notifications doivent comporter les informations suivantes: i) le
fondement légal du traitement et ses finalités, y compris les but
de la divulgation anticipée ou habituelle, ii) les durées de conservation
ou de révision en vertu du paragraphe 5 du présent article, le cas
échéant, iii) les destinataires ou catégories de destinataires auxquels
les données sont divulguées et iv) les possibilités d’accès, de
rectification et de recours judiciaires et non judiciaires existantes.
268. Aux termes du paragraphe 11.b, lorsque la notification est
adressée personnellement à la personne dont les données ont été
transférées à la Partie destinataire, les conditions de notification
et de transparence visées au paragraphe 11.a peuvent faire l’objet
de restrictions raisonnables conformément aux conditions énoncées au
paragraphe 12.a.i du présent article. Ainsi, en matière pénale,
il peut y avoir des circonstances légitimes justifiant de différer
ou d’omettre la notification. Ces circonstances sont évoquées au
paragraphe 12.a.i et décrites au paragraphe 272 du présent Rapport
explicatif. Il peut aussi se produire des situations dans lesquelles
le niveau de détail de la notification générale peut être limité,
en fonction de la sensibilité des informations.
269. Le paragraphe 11.c offre aux Parties une base d’appréciation
pour mettre en balance le souci de transparence et la nécessaire
confidentialité dans les affaires pénales. Il dispose que lorsque
le cadre juridique interne de la Partie transférante impose que
toute personne dont les données ont été transférées à une autre Partie
en vertu du présent Protocole en reçoive personnellement la notification,
la Partie transférante prend toutes les mesures nécessaires pour
que la Partie destinataire soit informée de cette obligation au
moment du transfert et des informations nécessaires. La Partie transférante
ne donne pas notification du transfert de données à la personne
concernée si la Partie destinataire demande que ce transfert reste
confidentiel, lorsque les conditions de restriction fixées au paragraphe 12.a.i
s’appliquent. Lorsque de telles conditions aux restrictions ne s’appliquent
plus et que notification personnelle peut être donnée à l’intéressé,
la Partie destinataire prend des mesures pour que la Partie transférante
soit informée que la notification peut être faite. Ces mesures peuvent
comprendre un réexamen périodique de l’utilité de ces restrictions.
Si elle n’en a pas été informée, la Partie transférante est fondée
à adresser des demandes à la Partie destinataire, qui l’informera s’il
convient de maintenir la restriction.
Paragraphe 12 – Accès
et rectification
270. Le paragraphe 12.a impose à chaque
Partie de garantir que toute personne dont elle a reçu les données à
caractère personnel en vertu du présent Protocole ait le droit de
demander et d’obtenir l’accès à ces données, conformément aux procédures
établies dans son cadre juridique interne et sans retard excessif
(ce droit pouvant faire l’objet d’éventuelles restrictions), et
de les faire rectifier lorsque ces données sont inexactes ou ont
fait l’objet d’un traitement indu. L’expression «conformément aux
procédures établies dans son cadre juridique interne» donne aux
Parties une certaine souplesse quant à la manière dont l’accès aux
données et leur rectification peut être demandé et obtenu. L’intention
est de renvoyer à des procédures établies, par exemple, par des
lois, réglementations, règles (de nature juridictionnelle notamment)
et politiques en vigueur ainsi qu’aux règles applicables en matière
d’établissement de la preuve. Dans certains systèmes juridiques,
la personne concernée devra d’abord chercher à obtenir le droit
d’accès et de rectification au niveau administratif avant de passer
par la voie judiciaire.
271. Le paragraphe 12.a.i dispose que la personne qui dépose une
demande d’accès a le droit d’obtenir une copie écrite ou électronique
de la documentation contenant ses données à caractère personnel
ainsi que les informations disponibles relatives au fondement juridique
et aux finalités du traitement de ces données, de leur conservation
et de leurs destinataires ou catégories de destinataires («l’accès»),
ainsi que des informations relatives aux possibilités de recours
conformément au paragraphe 13. Cela peut également permettre à l'individu
de confirmer si (ou non) ses données personnelles ont été reçues
en vertu du Protocole, et ont été ou sont traitées. La communication
de la documentation contenant les informations disponibles indiquant
le fondement juridique et les finalités du traitement des données
aideront la personne concernée à déterminer si les données à caractère
personnel sont traitées conformément à la législation applicable.
Dans de nombreuses Parties, le cadre prévoyant l’accès à ces informations
peut déjà être fourni par leur législation relative à la vie privée,
à la liberté d’information ou à l’accès aux dossiers administratifs.
272. L’obtention de cet accès peut, dans des cas particuliers,
être soumise à des restrictions proportionnées autorisées par le
cadre juridique interne d’une Partie, ces restrictions devant être
«nécessaires, au moment de la décision, pour protéger les droits
et libertés d’autrui ou d’importants objectifs d’intérêt public
général et [tenir] dûment compte des intérêts légitimes de la personne
concernée». Les droits et libertés d’autrui peuvent, par exemple,
comprendre la vie privée d’autres personnes dont les données à caractère
personnel seraient révélées si l’accès était accordé. Les objectifs
d’intérêt public général importants peuvent, par exemple, être la protection
de la sûreté nationale et de la sécurité publique (ce qui concerne,
par exemple, les informations relatives à des menaces terroristes
potentielles ou à des risques sérieux pour les membres des forces
de l’ordre), la prévention, la détection, l’instruction ou la poursuite
d’infractions pénales et la nécessité d’éviter de nuire aux enquêtes,
informations judiciaires et procédures officielles. Dans ce contexte,
les «restrictions proportionnées» doivent être appliquées par chaque
Partie conformément aux principes correspondants de son ordre juridique
interne, dans un sens similaire à celui donné dans l’explication
du principe de proportionnalité au paragraphe 146 du Rapport explicatif
de la Convention. Pour les Parties à la Convention européenne des
droits de l’homme et au Protocole d’amendement (STCE no 223) à la
Convention pour la protection des personnes à l'égard du traitement
automatisé des données à caractère personnel (STE no 108), la proportionnalité
découlera des obligations imposées par ces conventions. Les autres
parties appliqueront les principes correspondants de leur ordre
juridique interne qui limitent raisonnablement la possibilité d’obtenir l’accès
pour protéger d’autres intérêts légitimes. Comme indiqué ci-dessus,
les restrictions proportionnées doivent protéger les droits et libertés
d'autrui ou protéger des objectifs importants d'intérêt public général
et tenir dûment compte des «intérêts légitimes de la personne concernée».
L'expression «intérêts légitimes de la personne concernée» a été
considérée par les rédacteurs comme incluant les droits et libertés
de la personne. Dans les cas où ces motifs de restriction sont invoqués,
l’autorité requise est encouragée à étayer cette décision aux fins
du paragraphe 14. Les Parties devraient également considérer la
possibilité d’accorder un accès partiel lorsque les motifs de restriction
(par exemple dans le but de protéger des informations commerciales
confidentielles ou classifiées) ne s’appliquent qu’à certaines parties
des informations concernées.
273. Lorsque d’autres dispositions de cet article permettent des
restrictions dans les conditions exposées au paragraphe 12.a.i,
l’expression «au moment de la décision» renvoie, dans le cas du
paragraphe 7, au moment de la notification de l’incident de sécurité
et, dans le cas du paragraphe 11.b, au moment où une Partie demande
la confidentialité.
274. En vertu du paragraphe 12.a.ii., une personne est fondée à
demander et à obtenir la rectification de ses données à caractère
personnel, conformément aux procédures établies en droit interne
et sans délai indu, lorsque ces données sont inexactes ou ont été
indûment traitées. Cette rectification consistera notamment – selon
ce qui convient et ce qui est raisonnable au vu des motifs justifiant
la rectification et le contexte particulier du traitement – à corriger
les données, à les compléter (par exemple par des annotations, des
informations complémentaires ou des corrections), à les effacer
ou à les anonymiser, à en restreindre le traitement ou à les bloquer.
À cet égard, les rédacteurs ont considéré que l’effacement ou l’anonymisation
est la solution appropriée et raisonnable dans le cas où les données
sont traitées en violation du paragraphe 5. En cas de violation
du paragraphe 2, il peut aussi être approprié que la Partie restreigne
le traitement; cependant, cela dépendra en fin de compte du contexte
particulier (par exemple de la nécessité de conserver les données
à caractère personnel aux fins de l’établissement de la preuve).
Lorsque les données sont anonymisées, les Parties devraient prendre
en considération le risque d’une réidentification non autorisée
et envisager d’appliquer des mesures appropriées pour limiter autant
que possible ce risque. Les Parties sont encouragées à notifier,
lorsque c’est possible, à la Partie transférante et aux autres entités
auxquelles les données ont été communiquées toutes les mesures de
rectification prises.
275. Aux termes du paragraphe 12.b, en cas de refus ou de limitation
de l’accès ou de la rectification visés au paragraphe 12.a, la Partie
informe la personne concernée de ce refus ou de cette limitation
par écrit, y compris par voie électronique, et sans retard indu.
Si l’autorité doit motiver ce refus ou cette limitation, la communication
peut être générale (c’est-à-dire qu’elle peut ne pas confirmer ou
dénier l’existence d’un dossier correspondant) dans les cas où cela
est nécessaire pour ne pas compromettre un objectif, conformément
au paragraphe 12.a.i. Les Parties doivent cependant veiller à ce
que cette communication donne des informations sur les possibilités
de recours existantes.
276. Les Parties peuvent facturer des frais d’accès (par exemple
pour les coûts administratifs liés à la compilation et à l’examen
de documents auxquels l’accès a été demandé). Toutefois, les frais
éventuels doivent rester dans les limites du raisonnable et ne pas
être excessifs au vu des ressources impliquées afin de ne pas dissuader
ou décourager les intéressés de faire une demande d’accès. Pour
faciliter l’exercice des droits énoncés au paragraphe 12.a, les
Parties sont encouragées à autoriser les personnes concernées à
se faire assister par un représentant pour demander et obtenir les
mesures qui y sont décrites ou pour déposer une demande et/ou une
réclamation en leur nom. Dans ces circonstances, les notifications
faites en application du paragraphe 11.a ainsi que les informations
obtenues en réponse à une demande d’accès en vertu du paragraphe
12.a.i. pourront mentionner cette possibilité. Cette représentation
doit cependant être conforme aux conditions prescrites par le droit
interne applicable de la Partie à laquelle ces mesures sont demandées, ou
la requête et/ou la plainte est déposée comme décrit ci-dessus,
notamment pour ce qui est des conditions dans lesquelles des personnes
ou entités peuvent représenter les intérêts légaux de tiers (comme
les règles régissant la procuration dans certains systèmes juridiques
nationaux).
Paragraphe 13 – Recours
judiciaire et non judiciaire
277. Le paragraphe 13 dispose que
«[c]haque partie dispose d’un système permettant d’offrir des recours judiciaires
et non judiciaires effectifs pour assurer la réparation des violations
des garanties énoncées dans le présent article». Il appartient à
chaque Partie de déterminer les types de recours ouverts pour les
violations des dispositions de cet article. Il n’est pas obligatoire
que chaque type de recours soit ouvert pour chaque violation de
cet article. Les voies de recours prévues pour remédier aux violations
du présent article doivent être effectives. Les Parties peuvent
prévoir, lorsque la situation s’y prête, le dédommagement comme
moyen de réparation de préjudices matériels ou non matériels pour
lesquels le plaignant a établi qu’ils résultent de la violation
concernée.
Paragraphe 14 – Supervision
278. Le paragraphe 14 exige des Parties
qu’elles «dispose[nt] d’une ou de plusieurs autorités publiques
qui, ensemble ou séparément, exercent des fonctions et des compétences
de supervision indépendantes et effectives à l’égard des mesures
établies dans le présent article». Cette disposition laisse aux
Parties toute latitude sur la manière de mettre en œuvre cette obligation.
Certaines pourront établir des autorités spécialisées dans la protection
des données tandis que d’autres pourront choisir de faire exercer
cette supervision concurremment par plusieurs autorités, dont les
fonctions peuvent se recouper, reflétant ainsi les différences de
structures constitutionnelles, organisationnelles et administratives
entre les Parties. Dans certaines d’entre elles, ces autorités de
supervision pourront être établies au sein des structures gouvernementales
dont elles supervisent les activités, leur budget faisant partie
du budget global de ces structures. Dans ce cas, ces autorités devraient
jouir de l’indépendance nécessaire pour pouvoir s’acquitter effectivement
de leurs responsabilités de supervision.
279. Les rédacteurs ont considéré que plusieurs éléments contribuent
à l’indépendance et à l’effectivité des fonctions et compétences
de supervision. Ainsi, ces autorités devraient remplir leur mission
et exercer leurs compétences de manière impartiale. Elles devraient
pouvoir agir en étant dégagées de toute influence extérieure susceptible
d’interférer dans l’exercice indépendant de leurs fonctions et compétences.
Elles ne devraient, en particulier, recevoir aucune instruction,
dans une affaire donnée, portant sur l’exercice de leurs compétences
en matière d’enquête et/ou sur la prise de mesures correctives.
Enfin, il est important qu’elles disposent des compétences, des
connaissances et de l’expertise nécessaires pour mener à bien leurs
tâches et qu’elles soient dotées des ressources financières, techniques
et humaines appropriées pour pouvoir exercer effectivement leurs
fonctions.
280. Les fonctions et compétences de ces autorités «comprennent
des pouvoirs d’enquête, le pouvoir de donner suite aux plaintes,
et la capacité de prendre des mesures correctives». Les rédacteurs
ont considéré que les pouvoirs d’enquête devraient inclure le pouvoir
d’obtenir les informations nécessaires pour que ces autorités puissent
mener à bien leurs tâches, notamment l’accès, sous réserve des conditions
appropriées, aux registres tenus en vertu du paragraphe 8. Les actions
correctives pourront inclure des avertissements en cas de non-conformité
ou des consignes pour assurer la conformité des opérations de traitement
des données (exigeant par exemple la mise en œuvre de mesures supplémentaires
de sécurité pour limiter l’accès aux données ou la rectification
de données à caractère personnel), l’imposition de la suspension
(temporaire) de certaines opérations de traitement, ou le renvoi
de la question à d’autres autorités (par exemple à des services d’inspection
générale, des procureurs, des juges d’instruction ou des instances
législatives). Ces mesures correctives peuvent être prises de la
propre initiative des autorités ou à la suite de plaintes déposées
par des personnes concernant le traitement de leurs données à caractère
personnel.
281. Les Parties sont encouragées à promouvoir la coopération entre
leurs autorités de surveillance respectives. Des consultations entre
les autorités respectives des Parties dans l'exercice de leurs fonctions
de surveillance en vertu du présent article peuvent avoir lieu,
le cas échéant. Cela peut inclure l'échange d'informations et de
meilleures pratiques.
Paragraphe 15 – Consultation
et suspension
282. Le paragraphe 15 régit les situations
dans lesquelles une Partie est fondée, aux termes de l’article 14
à suspendre le transfert de données à caractère personnel à une
autre Partie en vertu du présent Protocole lorsque les Parties agissent
en application du paragraphe 1.a du présent article. Étant donné
l’importance des finalités répressives du présent Protocole, le
paragraphe 15 établit clairement que cette suspension ne devrait intervenir
que dans le cadre de conditions strictes et conformément aux procédures
spécifiques qu’il décrit. Le but des dispositions du présent article
relatives à la protection des données est d’offrir les garanties appropriées
pour la protection des données à caractère personnel, y compris
lorsqu’elles font ensuite l’objet d’un partage avec d’autres instances
au sein d’une même Partie et d’autres transferts. Les rédacteurs
ont considéré que les garanties apportées par le présent article
et leur mise en œuvre effective sont essentielles et qu’il est donc
important de prévoir la suspension des transferts de données à caractère
personnel dans certaines situations. En conséquence, une Partie
peut suspendre le transfert vers une autre Partie de données à caractère
personnel effectué en vertu du présent Protocole s’il a des preuves
substantielles d’une violation systématique ou flagrante des termes
du présent article ou de l’imminence d’une violation flagrante.
Si la condition de la «preuve substantielle» n’impose pas à une
Partie de démontrer l’existence indubitable d’une violation systématique
ou flagrante, cette Partie ne peut pas suspendre les transferts
en se fondant sur de simples soupçons ou conjectures. Sa décision
doit bien plutôt être solidement fondée sur des éléments de preuve
factuels crédibles. Une «violation flagrante» est une violation
conséquente d’une obligation importante au titre du présent article.
Il peut s’agir de l’absence, dans le cadre juridique interne d’une
Partie, d’une garantie requise en vertu du présent article. Les
rédacteurs ont reconnu que la suspension est aussi possible en raison de
violations systématiques, par exemple de violations fréquentes des
garanties apportées par cet article. Ils ont en outre reconnu que
la non-application de certaines garanties lors du traitement de
données à caractère personnel dans un cas donné ne constitue pas
une raison suffisante, en l’absence d’une violation flagrante, pour
invoquer cette disposition car la personne concernée devrait pouvoir
demander réparation de ces violations par des voies de recours judiciaires
et non judiciaires effectives en vertu du paragraphe 13 de l’article 14.
283. Le Paragraphe 15 dispose en outre que «[c]ette suspension
n’interviendra qu’à l’expiration d’un préavis raisonnable et après
que les Parties auront mené des consultations d’une durée raisonnable
sans parvenir à une solution». Cette obligation de consultations
dispose que la suspension de transferts essentiels à des fins de
répression ne devrait intervenir qu’après avoir donné à l’autre
Partie une possibilité raisonnable de clarifier la situation ou
de remédier aux inquiétudes exprimées. À l’ouverture de ces consultations,
la Partie qui invoque le présent paragraphe peut demander à l’autre
Partie de lui fournir les informations pertinentes. Toutefois, comme
le reconnaît le paragraphe 15, la Partie qui invoque ce paragraphe
doit disposer de preuves substantielles d’une violation flagrante
ou systématique ou de l’imminence d’une violation flagrante. Le mécanisme
de consultations ne doit donc pas être utilisé pour collecter d’autres
preuves lorsqu’il n’y a que des soupçons de violation. Les transferts
de données effectués en vertu du présent Protocole ne peuvent être suspendus
qu’après un préavis raisonnable et l’échec de consultations d’une
durée raisonnable. Toutefois, une Partie peut suspendre provisoirement
les transferts en cas de violation systématique ou flagrante présentant
un risque important et imminent pour la vie ou la sécurité d’une
personne physique ou de préjudice financier ou de réputation pour
cette personne. Est également visée l’existence d’un risque important
et imminent de préjudice pour l’intégrité corporelle ou la santé
d’une personne physique. Dans ces cas, la Partie adresse une notification
à l’autre Partie et entame des consultations avec elle dès l’application
de la suspension provisoire des transferts. Les rédacteurs ont considéré
que la suspension provisoire devrait, de manière générale, être
limitée aux transferts directement concernés par les motifs justifiant
la suspension provisoire.
284. Si la Partie qui procède à la suspension remplit les conditions
fixées au paragraphe 15, elle peut suspendre les transferts sans
que l’autre Partie puisse faire de même. Toutefois, si cette autre
Partie a la preuve substantielle que la suspension n’était pas conforme
aux termes de l’article 15, elle peut à son tour suspendre les transferts
vers la Partie qui a décidé la suspension. Dans ce contexte, l’expression
«preuve substantielle» a le même sens que dans le cas de la suspension
initiale. La suspension décidée par la première Partie serait incompatible
avec le paragraphe 15 dans le cas où cette Partie n’a pas de «preuve
substantielle», que la violation n’est ni «systématique» ni «flagrante»
ou que cette Partie n’a pas satisfait aux conditions procédurales
de la suspension, en particulier pour ce qui est des consultations.
285. Enfin, le paragraphe 15 dispose que «la Partie qui a procédé
à la suspension lève cette dernière dès qu’il a été remédié à la
violation justifiant la suspension» et que «toute suspension réciproque
est levée à ce moment». Une règle similaire à celle prévue à l’article 24,
paragraphe 4, s’applique en cas de suspension en vertu du présent
paragraphe, à savoir que «toutes les données à caractère personnel
transférées avant la suspension continuent à être traitées conformément
au présent Protocole».
286. Les Parties sont encouragées à notifier officiellement aux
fournisseurs de services et aux entités auxquels des demandes ou
des injonctions peuvent être adressées en vertu de la section 2
du chapitre II toute suspension ou suspension provisoire en vertu
du présent paragraphe ou à rendre publiques ces demandes ou ces
injonctions. Cette communication peut être importante pour suspendre
effectivement les transferts de données à caractère personnel à
une Partie qui viole systématiquement ou de manière flagrante le
présent article, mais aussi pour assurer que les fournisseurs de
services et les entités ne limitent pas le transfert d’informations
ou de preuves en vertu du présent Protocole parce qu’ils pensent
à tort qu’une Partie fait l’objet d’une suspension provisoire.
287. Bien que le paragraphe 15 prévoie des procédures spécifiques
relatives aux consultations et à la suspension des transferts de
données à caractère personnel pour des raisons de protection des
données, ces procédures n’ont pas pour but de modifier les dispositions
de l’article 23, paragraphe 1, relatives aux consultations, ni les
droits de suspension qui peuvent être applicables à d’autres articles
du présent Protocole en vertu du droit international.
Chapitre IV – Clauses finales
288. Les dispositions du présent chapitre
s’inspirent essentiellement à la fois du «Modèle de clauses finales pour
les conventions, protocoles additionnels et protocoles d’amendement
conclus au sein du Conseil de l’Europe», qui a été adopté par le
Comité des Ministres lors de la 1291e réunion des Délégués des Ministres tenue
en juillet 2017, et des clauses finales de la Convention. Étant
donné que certains des articles du présent chapitre reprennent le
libellé du modèle de clauses finales ou s’inspirent de la longue
pratique conventionnelle du Conseil de l’Europe, ils n’appellent
pas de commentaires particuliers. Toutefois, certaines modifications
du modèle de clauses finales et des clauses finales de la Convention
sur la cybercriminalité méritent une explication.
Article 15 – Effets
de ce Protocole
289. Le paragraphe 1.a de l’article 15
incorpore l’article 39, paragraphe 2, de la Convention. Ce paragraphe dispose
que les Parties sont libres d’appliquer des accords préexistants
ou qui pourraient entrer en vigueur à l’avenir, comme le reconnaît
le paragraphe 312 du Rapport explicatif de la Convention. Le Protocole,
tout comme la Convention, pose généralement des obligations minimales.
Ce paragraphe reconnaît par conséquent que les Parties sont libres
de souscrire des obligations plus spécifiques, en plus de celles
déjà fixées dans le Protocole, lorsqu’elles établissent leurs relations
au sujet des questions traitées dans ce dernier. Toutefois, les
Parties sont tenues, ce faisant, de respecter les objectifs et principes
du Protocole et ne peuvent donc accepter d’obligations qui iraient
à l’encontre du but de ce dernier.
290. Le paragraphe 1.b de cet article reconnaît aussi l’intégration
accrue de l’Union européenne (UE) depuis l’ouverture de la Convention
à la signature, en 2001, en particulier dans les domaines de la
coopération policière et judiciaire et de la protection des données.
Il autorise, par conséquent, les États membres à appliquer entre
eux le droit de l’Union européenne qui régit les questions traitées
par le Protocole. Pour les rédacteurs, le droit de l’Union européenne
s’entend des mesures, principes et procédures prévues par l’ordre juridique
de l’UE, en particulier ses lois, règlements et dispositions administratives,
ainsi que les autres mesures contraignantes, dont les décisions
de justice. Le but du paragraphe 1.b est donc de couvrir les relations
internes entre les États membres de l’Union européenne et entre
ses États membres, ses institutions, ses organes et ses agences.
En l’absence de dispositions législatives de l’Union européenne
sur une question entrant dans le champ d’application du présent
Protocole, celui-ci continuerait de régir la question concernée entre
les Parties qui sont membres de l’UE.
291. Le paragraphe 1.c précise que le paragraphe 1.b ne porte nullement
atteinte à la pleine application du présent Protocole entre les
Parties qui sont membres de l’UE et d’autres Parties. Le paragraphe 1.b
n’a donc pas pour but de produire un quelconque effet au-delà des
relations internes à l’UE telles que décrites au paragraphe 290
ci-dessus. Le Protocole s’applique pleinement entre les Parties
qui sont membres de l’UE et les autres Parties. Les rédacteurs ont
jugé cette disposition essentielle pour garantir que les Parties
qui ne sont pas membres de l’UE bénéficieraient pleinement du Protocole
dans leurs relations avec des Parties membres de l’UE. Ainsi, les
rédacteurs ont débattu du fait de savoir si un État membre de l’UE
qui reçoit des informations ou des preuves d’une Partie qui n’est
pas membre de l’UE devrait chercher à obtenir le consentement de
cette dernière avant de transférer les informations ou preuves en
question à une autre Partie membre de l’UE, conformément à l’article 14,
paragraphe 10. De même, le paragraphe 1.a de cet article s’appliquerait pleinement
entre les Parties qui sont membres de l’UE et les Parties qui ne
le sont pas.
292. Le paragraphe 2 de cet article incorpore l’article 39, paragraphe 3,
de la Convention. Pas plus que la Convention, comme exposé au paragraphe 314
de son Rapport explicatif, le présent Protocole n’a pour but de traiter
toutes les questions concernant les diverses formes de coopération
entre les Parties ou entre les Parties et des entités privées en
matière de cybercriminalité et de collecte de preuves d’infractions
pénales sous forme électronique. Par conséquent, le paragraphe 2
de cet article a été inséré pour qu’il soit clair que le Protocole n’a
d’effet que sur les questions dont il traite. Il ne saurait avoir
d’incidence sur les autres droits, restrictions, obligations et
responsabilités qui peuvent exister mais qu’il ne règle pas.
293. Cet article ne comporte pas de disposition analogue à l’article 39,
paragraphe 1, de la Convention. Cette disposition de la Convention
explique que l’objet de la Convention était de compléter des traités
ou accords bilatéraux applicables entre les Parties, notamment certains
traités d’extradition et d’entraide. Le présent Protocole ne comprend
aucune disposition d’extradition et nombre de ses dispositions ne
concernent pas l’entraide. Comme exposé plus en détail à l’article 5
et dans le rapport explicatif correspondant, les modes d’interaction
entre chacune des sections du chapitre II relatives aux mesures
de coopération et les traités d’entraide sont variables. Par conséquent,
les rédacteurs ont estimé qu’il était inutile d’inclure une disposition similaire
à celle de l’article 39, paragraphe 1.
Article 16 – Signature
et entrée en vigueur
294. Le présent article autorise toutes
les Parties à la Convention à signer le présent Protocole et à devenir Parties
à ce dernier. À la différence du Premier Protocole (article 11),
le présent Protocole ne prévoit pas de procédure d’adhésion au présent
Protocole. Un État souhaitant signer le présent Protocole et devenir
Partie à ce dernier devra d’abord devenir Partie à la Convention.
295. Le paragraphe 3 dispose que le présent «Protocole entrera
en vigueur le premier jour du mois qui suit l’expiration d’une période
de trois mois après la date à laquelle cinq Parties à la Convention
auront exprimé leur consentement à être liées par le présent Protocole.» Alors
que l’article 36 de la Convention prévoyait qu’au moins trois des
cinq Parties devaient être des États membres du Conseil de l’Europe
pour que la Convention entre en vigueur, cette condition n’est pas
prévue ici car il s’agit d’un Protocole additionnel à une Convention et
toutes les Parties doivent avoir le même droit d’appliquer le présent
Protocole dès qu’un nombre minimal de cinq Parties à la Convention
auront exprimé leur consentement à être liés par lui. C’est l’approche
suivie par l’article 10 du Premier Protocole.
296. Le paragraphe 4 décrit le processus d’entrée en vigueur du
présent Protocole pour les Parties à la Convention qui exprimeront
leur consentement à être liées par ce dernier après son entrée en
vigueur conformément au paragraphe 3. C’est l’approche suivie par
l’article 36, paragraphe 4, de la Convention.
Article 17 – Clause
fédérale
297. L’article 17 du présent Protocole
comporte une clause fédérale similaire à celle de l’article 41 de
la Convention, qui permet à un État fédéral partie au Protocole
de formuler une réserve pour assurer la cohérence avec «[les] principes
fondamentaux régissant les relations entre son gouvernement central
et les États constituants ou autres entités territoriales similaires».
Le but de l’article 17 est le même que celui de l’article 41 de
la Convention, qui est, comme exposé au paragraphe 316 du rapport
explicatif de la Convention, «de trouver un arrangement concernant
les difficultés que des États fédéraux risquent de rencontrer en
raison de la répartition typique des pouvoirs entre les autorités
fédérales et régionales».
298. Les États fédéraux sont autorisés à faire des réserves concernant
les obligations découlant du chapitre II de la Convention (établissement
des infractions pénales et des mesures procédurales en droit interne)
lorsque ces mesures ne relèvent pas des compétences du gouvernement
central de l’État fédéral. Toutefois, il est attendu des États fédéraux
qu’ils soient en mesure d’offrir une coopération internationale
aux autres Parties en vertu du chapitre III de la Convention.
299. Bien que le présent Protocole porte sur la coopération internationale
plutôt que sur des mesures de droit interne, les négociateurs ont
reconnu qu’il reste nécessaire d’y faire figurer une clause fédérale.
Si la Convention ne prévoyait pas la possibilité de faire des réserves
liées au fédéralisme en matière d’entraide judiciaire, la majorité
des mesures prévues par le présent Protocole ne fonctionnent pas
de la même manière que dans le cadre de l’entraide classique. Le
Protocole prévoit plusieurs mesures de coopération d’une efficacité
supérieure à l’entraide classique et qui ne nécessitent pas forcément
de passer par le gouvernement central. Il introduit en particulier
deux mesures, aux articles 6 et 7, permettant aux autorités compétentes
d’une Partie de chercher à coopérer directement avec des entreprises
privées établies dans une autre Partie. Ces dispositions nécessitent
le respect de certaines mesures procédurales qu’un État fédéral
pourrait avoir du mal à imposer aux autorités compétentes d’États
constituants ou d’autres entités territoriales similaires. Ainsi, l’article 7
prévoit qu’une Partie peut, moyennant notification au Secrétaire
Général, exiger des autorités d’autres Parties qu’elles avisent
immédiatement une autorité gouvernementale désignée à cet effet
de toute injonction adressée à un fournisseur de services pour obtenir
des informations relatives aux abonnés. D’autres articles imposent
de prendre des mesures législatives ou autres qu’un État fédéral
peut ne pas être en situation de pouvoir exiger de ses États constituants
ou entités territoriales similaires. Enfin, le présent Protocole comprend
des dispositions détaillées relatives à la protection des données,
ce qui n’est pas le cas de la Convention. Aux États-Unis par exemple,
en vertu de la Constitution et des principes fondamentaux du fédéralisme,
les États constituants adoptent leurs propres lois pénales et lois
de procédure pénale (distinctes des lois fédérales); ils établissent
leurs propres tribunaux, procureurs et services de police et conduisent
les enquêtes et poursuites concernant les infractions à leur législation
pénale. Les autorités compétentes des États sont indépendantes des
autorités fédérales, auxquelles elles ne sont pas subordonnées.
300. Lorsque les autorités d’un État constituant ou d’une entité
territoriale similaire d’un État fédéral souhaitent bénéficier des
formes de coopération prévues par le présent Protocole, il se peut
1°) que leurs lois procédurales et relatives à la protection de
la vie privée diffèrent de celles appliquées par les autorités du gouvernement
central, 2°) qu’elles ne soient pas soumises hiérarchiquement au
gouvernement central, ou 3°) que le gouvernement central n’ait pas
légalement compétence pour diriger leurs actions. Dans ces situations, la
seule assurance qu’il pourrait y avoir qu’un État constituant ou
une entité territoriale similaire se conforme aux prescriptions
du présent Protocole – en ce qui concerne la collecte d’informations
ou de preuves ainsi que leur traitement subséquent – serait (a)
qu’il les appliquent lui-même ou (b) que ses autorités cherchent
à obtenir la coopération par l’intermédiaire des autorités du gouvernement
central, ou avec leur participation, lesquelles veilleraient alors
au respect de ces obligations (par exemple par le biais de l’entraide
ou du point de contact 24/7, ou par la participation du gouvernement
central à une équipe commune d’enquête).
301. Au vu de ces considérations, le paragraphe 1 prévoit une possibilité
pour les États fédéraux parties au Protocole de faire des réserves.
Ils peuvent se réserver le droit d’assumer les obligations découlant
du présent Protocole conformément à leurs principes fondamentaux
régissant les relations entre leur gouvernement central et leurs
États constituants ou autres entités territoriales similaires, sous
réserve des paragraphes 1.a à c, qui limitent la portée de ces réserves.
En vertu du paragraphe 1.a, le gouvernement central d’un État fédéral qui
fait une telle réserve est tenu d’appliquer toutes les dispositions
du présent Protocole (sans préjudice des réserves et déclarations
possibles). Dans le cas des Parties pour lesquelles les obligations
relatives à la protection des données prévues par le présent Protocole
sont régies par l’article 14, paragraphe 1.a, cela comprend les
obligations énoncées à l’article 14, paragraphe 9.b, relatives au
partage des données avec des États constituants ou d’autres entités
territoriales similaires (voir le paragraphe 237 du rapport explicatif) lorsqu’une
autorité fédérale a demandé des informations en vertu du présent
Protocole soit pour ses propres fins, soit pour le compte d’une
autorité de niveau inférieur à l’échelon fédéral et partage ensuite
ces informations avec cette autorité. De plus, le paragraphe 1.b
prévoit, tout comme l’article 41, paragraphe 1, de la Convention
que ces réserves sont sans effet sur l’obligation d’un État fédéral
partie à la Convention de répondre aux demandes de coopération d’autres
Parties conformément aux dispositions du chapitre II. Enfin, en
vertu du paragraphe 1.c et sans préjudice des réserves faites par
un État fédéral, l’article 13 du présent Protocole – qui exige,
conformément à l’article 15 de la Convention, que le droit interne
garantisse la protection des droits de l’homme et des libertés –
s’applique, outre à l’État fédéral lui-même en vertu du paragraphe 1.a, également
aux États constituants ou entités territoriales similaires.
302. Le paragraphe 2 dispose que dans les cas où un État fédéral
fait des réserves en vertu du paragraphe 1 et que les autorités
d’un État constituant ou d’une entité territoriale similaire de
cette Partie demande la coopération directe d’une autorité, d’un
fournisseur de services ou d’une entité située dans une autre Partie, cette
dernière «peut empêcher les autorités, les fournisseurs ou les entités
sur son territoire de coopérer en réponse à [cette] demande». Cette
autre Partie peut déterminer de quelle manière empêcher les autorités, fournisseurs
de services ou entités sur son territoire de coopérer. Il y a deux
exceptions à la possibilité d’une Partie d’empêcher la coopération:
303. Premièrement, le paragraphe 2 dispose que la coopération ne
peut pas être empêchée par cette autre Partie si l’État fédéral
concerné a, du fait que l’État constituant ou autre entité territoriale
similaire remplit les obligations du présent Protocole, «notifié
au Secrétaire Général du Conseil de l’Europe que l’État constitutif
ou autre entité territoriale similaire s’est engagé à appliquer
les obligations du présent Protocole applicables à cet État fédéral».
L’expression «obligations du présent Protocole applicables à cet
État fédéral» signifie qu’une autorité d’un État constituant ou
autre entité territoriale similaire ne peut être soumise à une obligation
auquel le gouvernement central ne serait pas soumis, notamment une
réserve applicable. Si l’État fédéral a adressé cette notification
au Secrétaire Général pour un État constituant particulier, une
autre Partie devra répondre à une injonction ou à une demande de
cet État de la même manière que si elle lui avait été adressée par
des autorités du gouvernement central. Les obligations et procédures
prévues pour chaque mesure de coopération du chapitre II continuent
naturellement de s’appliquer aux demandes et injonctions soumises
par ces États constituants ou entités territoriales similaires.
Le respect de ces obligations est nécessaire. Le présent paragraphe
prévoit que le Secrétaire Général du Conseil de l’Europe établit
et tient un registre de ces notifications. Les Parties sont encouragées
à communiquer des informations actualisées au Secrétaire Général.
304. Deuxièmement, en vertu du paragraphe 3, si une demande ou
une injonction d’un État constituant ou d’une autre entité territoriale
similaire a été transmise par l’intermédiaire du gouvernement central
ou conformément à un accord d’établissement d’une équipe d’enquête
commune en vertu du paragraphe 3 auquel participe le gouvernement
central, une Partie destinataire d’une demande de coopération ne
peut pas empêcher les autorités, fournisseurs de services ou entités
de son territoire de transférer des informations ou des preuves
conformément aux dispositions du présent Protocole au motif que
la coopération est demandée par un État constituant ou une entité
territoriale similaire d’un État fédéral qui a fait des réserves
au titre du paragraphe 1. En effet, lorsque la demande ou l’injonction
est soumise par l’intermédiaire du gouvernement central ou que l’accord
établissant l’équipe commune d’enquête a été conclu avec sa participation,
c’est à lui qu’il incombe alors «[d’]assure[r] l’exécution des obligations
applicables du Protocole». Puisque le gouvernement central transmet
la demande ou l’injonction (ou participe à l’ECE), il a la possibilité
et l’obligation de vérifier le respect des conditions posées par
le Protocole en ce qui concerne ces mesures. Ainsi, lorsque notification
doit être donnée à une autre Partie, en vertu de l’article 7, paragraphe 5.a,
de la transmission d’une injonction pour l’obtention d’informations
relatives aux abonnés, c’est au gouvernement central qu’il incombe d’adresser
cette notification. En matière de protection des données (pour les
Parties auxquelles l’article 14, paragraphe 1.a est applicable),
lorsqu’un État constituant ou une autre entité territoriale similaire
fait une demande de coopération par l’intermédiaire du gouvernement
central, celui-ci lui communique les données et est tenu de se conformer
aux exigences de l’article 1, paragraphe 9.b (partage des données
à l’intérieur d’une Partie). Le gouvernement central doit donc mettre
en place des mesures pour que les autorités destinataires des données
continuent de les protéger efficacement en assurant un niveau de
protection comparable à celui voulu par l’article 14. Les autorités
d’un État constituant ou d’une entité territoriale similaire qui
demandent et reçoivent des données personnelles de cette manière
ne sont sinon pas tenues d’appliquer l’article 14. Si les Parties
concernées appliquent un autre accord ou arrangement visé à l’article 14,
paragraphes 1.b ou 1.c, les termes applicables de ces accords ou
arrangements s’appliquent.
305. Le paragraphe 4 reprend la formulation de l’article 41, paragraphe
3 de la Convention et a les mêmes effets. Ainsi, s’agissant des
dispositions de la Convention dont l’application relève de la compétence
des États constituants ou autres entités territoriales similaires
(sauf notification adressée au Secrétaire Général du Conseil de
l’Europe conformément au paragraphe 2 du présent article), le gouvernement
central de l’État fédéral est tenu: 1°) d’informer les autorités
de ses États constituants ou autres entités territoriales similaires des
dispositions du présent Protocole, et 2°) de donner «son avis favorable,
en les encourageant à prendre les mesures appropriées pour leur
donner effet», incitant ainsi les États constituants ou entités
territoriales similaires à appliquer pleinement le présent Protocole.
Aux fins du Protocole, le but est aussi de permettre finalement
que ces États constituants ou autres entités territoriales similaires
reçoivent les notifications prévues au paragraphe 2 de cet article.
Article 18 – Application
territoriale
306. L'article 38 de la Convention
permet aux Parties de préciser le ou les territoires auxquels la
Convention s'appliquerait. Cet article applique automatiquement
le Protocole aux territoires spécifiés par une Partie en vertu de
l'article 38, paragraphe 1 ou 2, de la Convention dans la mesure
où cette déclaration n'a pas été retirée en vertu de l'article 38,
paragraphe 3, de la Convention. Les rédacteurs ont estimé qu'il
serait préférable que la Convention et le Protocole aient le même
champ d'application territorial comme règle par défaut.
307. Le paragraphe 2 de cet article dispose qu' «[une] Partie peut,
au moment de la signature de ce Protocole ou au moment du dépôt
de son instrument de ratification, d'acceptation ou d'approbation,
préciser que le présent Protocole ne s'applique pas à un ou plusieurs
territoires spécifiés dans les déclarations de la Partie en vertu
des paragraphes 1 ou 2 de l'article 38 de la Convention». Conformément
au paragraphe 3, les Parties peuvent retirer la déclaration faite
en vertu du paragraphe 2 de cet article, selon les modalités précisées;
le retrait de la déclaration faite au paragraphe 2 aurait pour effet
d'appliquer le Protocole à des territoires supplémentaires qui étaient
couverts par la Convention mais auxquels le Protocole n'avait pas
été appliqué auparavant.
308. Cet article ne permet pas d'appliquer le Protocole aux territoires
non couverts par la Convention.
Article 19 – Réserves
et déclarations
309. Le présent article prévoit un
certain nombre de cas où il est possible de formuler des réserves.
Étant donné la portée mondiale de la Convention et le fait qu’il
s’agit d’obtenir le même nombre d’adhésions pour le présent Protocole,
ces réserves permettent aux Parties à la Convention de devenir Parties
au présent Protocole, tout en leur permettant de conserver certaines
approches et notions compatibles avec leur législation interne ou
à leurs principes juridiques fondamentaux, selon le cas.
310. Les possibilités de faire des réserves sont limitées afin
de garantir autant que faire se peut l’application uniforme du présent
Protocole par les Parties. C’est pourquoi celles-ci ne peuvent faire
aucune autre réserve que celles qui sont énumérées. De plus, une
Partie à la Convention ne peut faire une réserve qu’au moment de
la signature de ce Protocole ou du dépôt de son instrument de ratification,
d’acceptation ou d’approbation.
311. Comme pour la Convention, les réserves au présent Protocole
visent à exclure ou à modifier l’effet juridique d’obligations énoncées
dans le présent Protocole (voir le paragraphe 315 du rapport explicatif
de la Convention). Dans le présent Protocole, les Parties sont autorisées
à exclure toute une forme de coopération. En particulier, l’Article
7, paragraphe 9.a, permet à une Partie de se réserver le droit de
ne pas appliquer cet article dans son intégralité. Il est également
possible de formuler des réserves pour exclure la coopération concernant
tout un article portant sur un certain type de données. C’est ainsi
que l’article 7, paragraphe 9.b, autorise une Partie à se réserver
le droit de ne pas appliquer l’article 7 à certains types de numéros
d’accès si la divulgation de ces numéros devait être incompatible
avec les principes fondamentaux de sa loi nationale. De même, l’article
8, paragraphe 13, autorise une Partie à se réserver le droit de
ne pas appliquer cet article aux données relatives au trafic.
312. Le présent article porte également sur les déclarations. Comme
dans le cas de la Convention, les Parties sont autorisées, par le
moyen des déclarations faites dans le cadre du présent Protocole,
à insérer certaines procédures supplémentaires spécifiées qui modifient
la portée des dispositions. Ces procédures supplémentaires ont pour
objet de tenir compte de certaines différences théoriques, juridiques
ou pratiques, ce qui se justifie au vu de la portée mondiale de
la Convention et de l’aspiration à donner au présent Protocole une
portée équivalente. Les déclarations énumérées appartiennent généralement
à deux catégories:
313. Les déclarations appartenant à la première catégorie autorisent
une Partie à déclarer que certains pouvoirs ou mesures doivent être
exercés ou appliqués par certaines autorités ou que la coopération
doit être assurée par certaines voies. C’est le cas de l’article
10, paragraphe 9 (permettant de déclarer que les demandes peuvent
être adressées à des autorités autres que l'autorité centrale);
de l’article 12, paragraphe 3 (l’accord relatif à l’équipe commune
d’enquête doit être conclu par l’autorité centrale); de l’article
8, paragraphe 11 (une Partie faisant une déclaration peut exiger
que les demandes des autres Parties soumises en vertu de cet article
soient transmises par les autorités centrales).
314. Les déclarations appartenant à la deuxième catégorie autorisent
les Parties à exiger la prise de mesures procédurales distinctes
ou supplémentaires concernant certaines mesures ou formes de coopération
afin de respecter le droit interne ou d’empêcher que les autorités
ne soient submergées. Ainsi, par exemple, l’article 7, paragraphe
8, et l’article 9, paragraphe 1.b, autorisent une Partie à faire
des déclarations tendant à exiger la prise de certaines mesures
procédurales concernant les données relatives aux abonnés. L’article
7, paragraphes 2.b et 5.a, l’article 8, paragraphe 4, et l’article
9, paragraphe 5, autorisent la prise de mesures procédurales supplémentaires
pour fournir des garanties supplémentaires ou respecter la législation
interne. Les déclarations ne sont pas destinées à être réciproques.
Ainsi, par exemple, si une Partie fait une déclaration en vertu
de l’article 10, paragraphe 9 – tendant à ce que les demandes soumises
en application de cet article ne soient adressées qu’à son autorité
centrale –, les autres Parties doivent adresser les demandes à l’autorité centrale
de la Partie ayant fait la déclaration, mais cette dernière n’a
pas besoin d’adresser les demandes aux autorités centrales des autres
Parties, à moins qu’elles ne fassent elles aussi une déclaration
en ce sens.
315. Les déclarations visées au paragraphe 2 doivent être faites
au moment de la signature par une Partie ou lorsque celle-ci dépose
son instrument de ratification, d’acceptation ou d’approbation.
En revanche, les déclarations visées au paragraphe 3 peuvent être
faites à tout moment.
316. Le paragraphe 3 fait obligation aux Parties de notifier au
Secrétaire général du Conseil de l’Europe toute déclaration, notification
ou communication visée à l’article 7, paragraphe 5.a et e., et à
l’article 8, paragraphes 4 et 10.a et b, du présent Protocole conformément
aux conditions spécifiées dans ces articles. Ainsi, par exemple,
en vertu de l’article 7, paragraphe 5.e, une «Partie doit, au moment
où la notification prévue au paragraphe 5 a est adressée pour la
première fois au Secrétaire général du Conseil de l’Europe, communiquer à
ce dernier les coordonnées de cette autorité.» De plus, les Parties
communiquent au Secrétaire général du Conseil de l’Europe les «autorités»
visées à l’article 8, paragraphe 10 a et b. Il a été demandé au
Secrétaire général de créer et de tenir à jour un registre de ces
autorités désignées par les Parties, et il est demandé à celles-ci
de veiller à l’exactitude des informations qui y sont consignées.
(Voir l’article 7, paragraphe 5.f, et l’article 8, paragraphe 12).
Article 20 – Statut
et retrait des réserves
317. Comme l’article 43 de la Convention,
le présent article, sans imposer de délais spécifiques, exige des Parties
qu’elles retirent leurs réserves dès que les circonstances le permettent.
Afin de pouvoir exercer une certaine pression sur les Parties en
vue de les amener au moins à envisager de retirer leurs réserves,
le paragraphe 2 autorise le Secrétaire général du Conseil de l’Europe
à s’enquérir périodiquement des perspectives de retrait desdites
réserves. Cette possibilité de demander des renseignements, devenue pratique
courante dans le cadre de l’application de plusieurs instruments
du Conseil de l’Europe, se retrouve à l’article 43, paragraphe 3,
de la Convention et à l’article 13, paragraphe 2, du Premier Protocole.
Les Parties peuvent ainsi indiquer si elles doivent maintenir leurs
réserves au sujet de certaines dispositions et retirer ultérieurement
celles qui sont devenues inutiles. On espère qu’avec le temps, les
Parties pourront retirer autant de réserves que possible de façon
à promouvoir l’application uniforme du présent Protocole.
Article 21 – Amendements
318. Le présent article suit la même
procédure que celle que prévoit l’article 44 de la Convention pour
les amendements. Cette procédure simplifiée permet, en cas de besoin,
d’apporter des amendements sans avoir à négocier un protocole d’amendement.
Il est entendu que les consultations prévues au paragraphe 3 du présent
article ont un caractère non contraignant. Comme indiqué au paragraphe
323 du rapport explicatif de la Convention, «(o)n considère que
la procédure d’amendement s’applique pour l’essentiel à des modifications relativement
mineures à caractère procédural ou technique.»
Article 22 – Règlement
des différends
319. L’article 22 de la Convention
s’applique également au présent Protocole (voir le paragraphe 326
du rapport explicatif de la Convention).
Article 23 – Concertation des
Parties et évaluation de l’application
320. Le paragraphe 1 du présent article
prévoit que l’article 46 de la Convention (Concertation des Parties) est
applicable au présent Protocole. Conformément au paragraphe 327
du rapport explicatif de la Convention, l’article 46 a institué
«un cadre devant permettre aux Parties de se concerter au sujet
de la mise en œuvre de la Convention, des répercussions des nouveautés
juridiques, politiques ou techniques importantes observées dans
le domaine de la criminalité informatique ou en relation avec l’ordinateur,
et de la collecte de preuves sous forme électronique, ainsi que
de l’éventualité de compléter ou d’amender la Convention.» La procédure
a été conçue pour être souple: il appartient aux Parties de décider
comment ou quand se rencontrer. Après l’entrée en vigueur de la
Convention en 2004, les Parties ont commencé à se rencontrer régulièrement
dans le cadre du «Comité de la Convention sur la cybercriminalité»
(T-CY). Au fil du temps, le T-CY, créé en application de l’article
46 et se conformant au règlement intérieur arrêté par les Parties,
a procédé à des évaluations de l’application de la Convention par
les Parties, adopté des notes d’orientation devant favoriser une
interprétation commune par les Parties des modalités d’application
de la Convention et élaboré le projet du présent Protocole. Les
procédures à suivre au titre de la concertation des Parties conservent
leur souplesse et peuvent donc être adaptées par celles-ci, s’il
y a lieu, pour tenir compte de besoins que l’application du présent Protocole
pourrait faire apparaître.
321. Comme pour la Convention (voir Rapport explicatif, paragraphe
327), les consultations prévues à l'article 23 devraient " examiner
les questions qui se sont posées lors de l'utilisation et de la
mise en œuvre de la Convention, y compris les effets des déclarations
et réserves formulées ". Cela pourrait inclure des consultations
et une évaluation de la mise en œuvre du Protocole par les États
constitutifs ou les entités territoriales similaires des États fédéraux
notifiés au Secrétaire général du Conseil de l'Europe en vertu de l'article
17, paragraphe 2, et, pour les Parties qui sont membres de l'UE,
l'information et la consultation des autres Parties au Protocole
sur la législation de l'UE applicable à l'utilisation et à la mise
en œuvre du Protocole en vertu de l'article 15, paragraphe 1.b et
1.c. Outre les consultations par le biais du T-CY en vertu de cet article,
examinées dans le paragraphe suivant, les Parties peuvent engager
des consultations sur une base bilatérale. Pour les États fédéraux,
ces consultations et évaluations se dérouleraient par l'intermédiaire
de leur gouvernement central.
322. Le paragraphe 2 dispose établit des procédures spécifiques
pour examiner l’utilisation et la mise en œuvre du Protocole dans
le cadre plus large établi par l’Article 46 et le T-CY mentionné
ci-dessus. Le paragraphe 2 prévoit que «les Parties évaluent périodiquement
l’utilisation et la mise en œuvre effectives des dispositions du
présent Protocole» et indique que l’article 2 du Règlement intérieur
établi par le T-CY, tel que révisé le 16 octobre 2020, régira ces
évaluations. Ces procédures sont disponibles sur le site web du
T-CY. Puisque le T-CY a examiné plusieurs dispositions de la Convention
et a publié des rapports conformément à ces procédures, les rédacteurs
ont considéré que ces procédures bien établies s’appliquent, mutatis mutandis, à l’évaluation
des dispositions du présent Protocole. Compte tenu des obligations
supplémentaires contractées par les parties à ce protocole et des
mesures de coopération uniques qu'il prévoit, les rédacteurs ont
décidé que seules les parties au protocole procéderaient à ces évaluations.
Compte tenu de l'expertise nécessaire à l'évaluation de l'utilisation
et de la mise en œuvre de certaines dispositions du présent Protocole,
notamment de l'article 14 sur la protection des données, les Parties
peuvent envisager d'associer leurs experts en la matière aux évaluations.
323. Les règles régissant ces évaluations doivent certes être prévisibles,
mais l’expérience concrète peut imposer d’adapter ces procédures,
sans que soit requis un amendement formel du présent Protocole en
vertu de l’article 21. En conséquence, le paragraphe 2 indique que
les Parties réexaminent et peuvent modifier ces procédures par consensus
cinq ans après l’entrée en vigueur de l’instrument.
324. Étant donné l’importance des garanties de l’article 14, les
rédacteurs ont été d’avis que le présent article doit être évalué
dès que le niveau de coopération atteint dans le cadre du présent
Protocole permet d’examiner utilement l’usage et la mise en œuvre
de cette disposition. C’est pourquoi le paragraphe 3 dispose que l’évaluation
du présent article commencera une fois que 10 États auront exprimé
leur consentement à être liés par ce Protocol.
Article 24 – Dénonciation
325. Les paragraphes 1 et 2 de l'article
24 sont similaires à ceux du paragraphe 47 de la Convention et ne nécessitent
aucune explication supplémentaire. Le paragraphe 3 stipule que «[L]a
dénonciation de la Convention par une Partie au présent Protocole
constitue une dénonciation du présent Protocole». Étant donné que
le présent Protocole met l’accent sur le partage d’informations
ou de preuves pouvant inclure des données à caractère personnel,
les rédacteurs ont jugé prudent d’ajouter le paragraphe 4 pour préciser
que «[L]es informations ou preuves transférées avant la date effective
de la dénonciation continueront d’être traitées conformément au
présent Protocole.