(1)

L’Union s’est donné pour objectif de maintenir et de développer un espace de liberté, de sécurité et de justice. En vue de l’établissement progressif de cet espace, l’Union doit adopter des mesures relevant du domaine de la coopération judiciaire en matière pénale fondée sur le principe de reconnaissance mutuelle des jugements et des décisions judiciaires, principe communément considéré comme la pierre angulaire de la coopération judiciaire en matière pénale dans l’Union depuis le Conseil européen de Tampere des 15 et 16 octobre 1999.

(2)

Les mesures visant à obtenir et à conserver des preuves électroniques sont de plus en plus importantes pour les enquêtes et les poursuites pénales dans l’ensemble de l’Union. Des mécanismes efficaces pour obtenir des preuves électroniques sont essentiels pour lutter contre la criminalité, et de tels mécanismes devraient être soumis à des conditions et des garanties assurant le plein respect des droits et principes fondamentaux reconnus dans l’article 6 du traité sur l’Union européenne et la Charte des droits fondamentaux de l’Union européenne (ci-après dénommée «Charte»), en particulier les principes de nécessité et de proportionnalité, de procès équitable, de protection de la vie privée et des données à caractère personnel, et de confidentialité des communications.

(3)

La déclaration commune des ministres de la justice et des affaires intérieures et des représentants des institutions de l’Union du 24 mars 2016 sur les attentats terroristes perpétrés à Bruxelles a souligné la nécessité, en priorité, de recueillir et d’obtenir des preuves électroniques plus rapidement et plus efficacement et de définir des mesures concrètes pour ce faire.

(4)

Les conclusions du Conseil du 9 juin 2016 ont souligné l’importance croissante des preuves électroniques dans les procédures pénales, ainsi que l’importance de protéger le cyberespace contre les abus et les activités criminelles au profit des économies et des sociétés, et donc la nécessité pour les autorités répressives et les autorités judiciaires de disposer d’outils efficaces pour enquêter sur les actes de criminalité commis en rapport avec le cyberespace et en poursuivre les auteurs.

(5)

Dans la communication conjointe de la Commission et de la haute représentante de l’Union pour les affaires étrangères et la politique de sécurité au Parlement européen et au Conseil du 13 septembre 2017, intitulée «Résilience, dissuasion et défense: doter l’UE d’une cybersécurité solide», la Commission a souligné que l’efficacité des enquêtes et des poursuites relatives à la criminalité facilitée par la cybernétique constitue un moyen de dissuasion essentiel contre les cyberattaques, et que le cadre procédural actuel doit être mieux adapté à l’ère de l’internet. Les procédures actuelles peuvent être parfois dépassées par la rapidité des cyberattaques, qui crée ainsi des besoins particuliers de coopération transfrontière rapide.

(6)

La résolution du Parlement européen du 3 octobre 2017 sur la lutte contre la cybercriminalité (3) a insisté sur la nécessité de trouver des moyens de recueillir et d’obtenir des preuves électroniques plus rapidement et plus efficacement, ainsi que sur l’importance que revêt une coopération étroite entre les autorités répressives, les pays tiers et les fournisseurs de services actifs sur le territoire européen, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil (4) et à la directive (UE) 2016/680 du Parlement européen et du Conseil (5) ainsi qu’aux accords actuels en matière d’entraide judiciaire. Cette résolution du Parlement européen a souligné également que le cadre juridique actuellement fragmenté peut poser des difficultés aux fournisseurs de services qui s’efforcent de répondre favorablement aux demandes des services répressifs, et a invité la Commission à proposer un cadre juridique de l’Union pour les preuves électroniques offrant des garanties suffisantes concernant les droits et les libertés de toutes les parties concernées, tout en saluant les travaux actuels de la Commission portant sur la création d’une plateforme de coopération munie d’un canal de communication sécurisé permettant l’échange de décisions d’enquête européennes par voie numérique, en ce qui concerne les preuves électroniques et les réponses entre les autorités judiciaires de l’Union.

(7)

Les services basés sur un réseau peuvent être fournis à partir de n’importe quel endroit et ne nécessitent pas d’infrastructure physique, de locaux ou de personnel dans le pays où le service en question est proposé. Par conséquent, les preuves électroniques pertinentes sont souvent stockées en dehors de l’État menant l’enquête ou par un fournisseur de services établi en dehors de cet État, ce qui rend difficile l’obtention de preuves électroniques dans les procédures pénales.

(8)

En raison de la manière dont les services basés sur un réseau sont fournis, des demandes de coopération judiciaire sont souvent adressées à des États qui hébergent un grand nombre de fournisseurs de services. En outre, le nombre de demandes s’est multiplié en raison de l’utilisation croissante des services basés sur un réseau. La directive 2014/41/UE du Parlement européen et du Conseil (6) prévoit la possibilité d’émettre une décision d’enquête européenne en vue de l’obtention de preuves dans un autre État membre. En outre, la convention établie par le Conseil conformément à l’article 34 du traité sur l’Union européenne, relative à l’entraide judiciaire en matière pénale entre les États membres de l’Union européenne (7) (ci-après dénommée «convention relative à l’entraide judiciaire en matière pénale») prévoit elle aussi la possibilité de demander des preuves à un autre État membre. Cependant, les procédures et délais prévus dans la directive 2014/41/UE établissant la décision d’enquête européenne et dans la convention relative à l’entraide judiciaire en matière pénale pourraient ne pas convenir pour les preuves électroniques, qui sont plus éphémères et qui pourraient être plus rapidement et facilement supprimées. L’obtention de preuves électroniques par les canaux de coopération judiciaire prend souvent beaucoup de temps, ce qui aboutit à des situations où les pistes auxquelles ces preuves auraient pu mener risquent de disparaître. Il n’existe par ailleurs pas de cadre harmonisé pour la coopération avec les fournisseurs de services, tandis que certains fournisseurs de pays tiers acceptent des demandes directes de données autres que les données relatives au contenu, conformément à leur droit national applicable. En conséquence, les États membres s’appuient de plus en plus sur des canaux impliquant la coopération volontaire directe des fournisseurs de services, lorsque ces canaux existent, et utilisent des outils nationaux différents et appliquent des conditions et procédures nationales différentes. Pour les données relatives au contenu, certains États membres ont pris des mesures unilatérales, tandis que d’autres continuent de s’appuyer sur la coopération judiciaire.

(9)

La fragmentation du cadre juridique entraîne des difficultés pour les autorités répressives et les autorités judiciaires ainsi que pour les fournisseurs de services qui cherchent à se conformer aux demandes légales de preuves électroniques, car ils se heurtent de plus en plus à l’incertitude juridique et, potentiellement, à des conflits de lois. Par conséquent, il est nécessaire de prévoir des règles spécifiques de coopération judiciaire transfrontière pour la conservation et la production de preuves électroniques, qui soient adaptées à la nature spécifique des preuves électroniques. Ces règles devraient comprendre l’obligation, pour les fournisseurs de services relevant du champ d’application du présent règlement, de répondre directement aux demandes émanant des autorités dans un autre État membre. Le présent règlement complètera dès lors le droit de l’Union en vigueur et précisera les règles applicables aux autorités répressives et aux autorités judiciaires, ainsi qu’aux fournisseurs de services, en matière de preuves électroniques, tout en garantissant le plein respect des droits fondamentaux.

(10)

Le présent règlement respecte les droits fondamentaux et observe les principes reconnus par l’article 6 du traité sur l’Union européenne et la Charte, par le droit international et par les accords internationaux auxquels l’Union ou l’ensemble des États membres sont parties, y compris la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, et par les Constitutions des États membres, dans leur champ d’application respectif. Ces droits et principes comprennent, en particulier, le droit à la liberté et à la sûreté, le respect de la vie privée et familiale, la protection des données à caractère personnel, la liberté d’entreprise, le droit de propriété, le droit à un recours effectif et à accéder à un tribunal impartial, la présomption d’innocence et les droits de la défense, les principes de légalité et de proportionnalité, ainsi que le droit de ne pas être jugé ou puni pénalement deux fois pour une même infraction.

(11)

Rien dans le présent règlement ne peut être interprété comme interdisant à une autorité chargée de la mise en œuvre de refuser une injonction européenne de production lorsqu’il y a des raisons de croire, sur la base d’éléments objectifs, que cette injonction a été émise dans le but de poursuivre ou de punir une personne en raison de son sexe, de son origine raciale ou ethnique, de sa religion, de son orientation sexuelle, de son identité de genre, de sa nationalité, de sa langue ou de ses opinions politiques, ou qu’il pourrait être porté atteinte à la situation de cette personne pour l’une de ces raisons.

(12)

Le mécanisme de l’injonction européenne de production et de l’injonction européenne de conservation de preuves électroniques dans les procédures pénales fonctionne sur la base du principe de confiance mutuelle entre les États membres et sur la base d’une présomption de respect par les États membres du droit de l’Union, de l’état de droit et, notamment, des droits fondamentaux, qui constituent des éléments essentiels de l’espace de liberté, de sécurité et de justice de l’Union. Un tel mécanisme permet aux autorités nationales compétentes d’adresser ces injonctions directement aux fournisseurs de services.

(13)

Le respect de la vie privée et familiale ainsi que la protection des personnes physiques à l’égard du traitement des données à caractère personnel constituent des droits fondamentaux. Conformément à l’article 7 et à l’article 8, paragraphe 1, de la Charte, toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications ainsi qu’à la protection des données à caractère personnel la concernant.

(14)

Lors de la mise en œuvre du présent règlement, les États membres devraient veiller à ce que les données à caractère personnel soient protégées et traitées conformément au règlement (UE) 2016/679 et à la directive (UE) 2016/680 ainsi qu’à la directive 2002/58/CE du Parlement européen et du Conseil (8), y compris en cas de réutilisation, de transmission ou de transfert ultérieur des données obtenues.

(15)

Les données à caractère personnel obtenues dans le cadre du présent règlement ne devraient être traitées que lorsque cela est nécessaire et d’une manière qui soit proportionnée aux objectifs de prévention, de détection et de poursuite de la criminalité, et d’enquêtes en la matière, ou d’exécution de sanctions pénales, et à l’exercice des droits de la défense. Les États membres devraient veiller en particulier à ce que des politiques et des mesures appropriées en matière de protection des données, y compris des mesures garantissant la sécurité des données, s’appliquent à la transmission de données à caractère personnel par les autorités compétentes aux fournisseurs de services aux fins du présent règlement. Les fournisseurs de services devraient veiller à ce que les mêmes garanties s’appliquent pour la transmission de données à caractère personnel aux autorités compétentes. Seules des personnes autorisées devraient avoir accès aux informations contenant des données à caractère personnel auxquelles il est possible d’avoir accès par des processus d’authentification.

(16)

Les droits procéduraux dans les procédures pénales énoncés dans les directives 2010/64/UE (9), 2012/13/UE (10), 2013/48/UE (11), (UE) 2016/343 (12), (UE) 2016/800 (13) et (UE) 2016/1919 (14) du Parlement européen et du Conseil devraient s’appliquer, dans les limites du champ d’application desdites directives, aux procédures pénales relevant du champ d’application du présent règlement en ce qui concerne les États membres liés par les directives en question. Les garanties procédurales prévues par la Charte devraient s’appliquer également.

(17)

Afin de garantir le plein respect des droits fondamentaux, la valeur probante des preuves obtenues en application du présent règlement devrait être évaluée au cours du procès par l’autorité judiciaire compétente, conformément au droit national et dans le respect, en particulier, du droit à un procès équitable et des droits de la défense.

(18)

Le présent règlement fixe les règles selon lesquelles une autorité judiciaire compétente dans l’Union peut, dans le cadre d’une procédure pénale, y compris d’une enquête pénale, ou aux fins de l’exécution d’une peine ou d’une mesure de sûreté privatives de liberté prononcées à l’issue d’une procédure pénale conformément au présent règlement, ordonner à un fournisseur de services proposant des services dans l’Union de produire ou de conserver des preuves électroniques au moyen d’une injonction européenne de production ou d’une injonction européenne de conservation. Le présent règlement devrait s’appliquer dans tous les cas transfrontières où le fournisseur de services a son établissement désigné ou son représentant légal dans un autre État membre. Le présent règlement est sans préjudice des pouvoirs des autorités nationales de s’adresser aux fournisseurs de services établis ou représentés sur leur territoire afin qu’ils se conforment à des mesures nationales similaires.

(19)

Le présent règlement devrait réglementer uniquement l’obtention des données stockées par un fournisseur de services au moment de la réception d’une injonction européenne de production ou d’une injonction européenne de conservation. Il ne devrait pas prévoir d’obligation générale de conservation des données applicable aux fournisseurs de services et ne devrait pas avoir pour effet d’entraîner une conservation générale et indifférenciée des données. Le présent règlement ne devrait pas non plus autoriser l’interception de données ou l’obtention de données qui sont stockées après la réception d’une injonction européenne de production ou d’une injonction européenne de conservation.

(20)

L’application du présent règlement ne devrait pas avoir de répercussions sur le recours au chiffrement par les fournisseurs de services ou leurs utilisateurs. Les données demandées au moyen d’une injonction européenne de production ou d’une injonction européenne de conservation devraient être fournies ou conservées, que ces données soient chiffrées ou non. Toutefois, le présent règlement ne devrait pas imposer une obligation pour les fournisseurs de services de déchiffrer des données.

(21)

Dans de nombreux cas, les données ne sont plus stockées ou traitées d’une autre manière sur le dispositif d’un utilisateur, mais rendues disponibles sur une infrastructure en nuage permettant d’y accéder à partir de n’importe quel endroit. Pour opérer ces services, les fournisseurs de services n’ont pas besoin d’être établis ou d’avoir des serveurs sur un territoire spécifique. Ainsi, l’application du présent règlement ne devrait pas dépendre de la localisation réelle de l’établissement du fournisseur de services ou de l’installation de traitement ou de stockage des données.

(22)

Le présent règlement est sans préjudice des pouvoirs d’enquête des autorités dans les procédures civiles ou administratives, notamment lorsque ces procédures peuvent entraîner des sanctions.

(23)

Les procédures en matière d’entraide judiciaire pouvant être considérées comme des procédures pénales selon le droit national applicable dans les États membres, il y a lieu de préciser qu’une injonction européenne de production ou une injonction européenne de conservation ne devrait pas être émise pour fournir une entraide judiciaire à un autre État membre ou à un pays tiers. Dans ce cas, la demande d’entraide judiciaire devrait être adressée à l’État membre ou au pays tiers qui peut fournir une entraide judiciaire en vertu de son droit national.

(24)

Dans le cadre de procédures pénales, l’injonction européenne de production et l’injonction européenne de conservation ne devraient être émises que pour des procédures pénales spécifiques concernant une infraction pénale spécifique qui a déjà été commise, après une évaluation dans chaque cas de la nécessité et de la proportionnalité, en tenant compte des droits du suspect ou de la personne poursuivie.

(25)

Le présent règlement devrait s’appliquer également aux procédures engagées par une autorité d’émission en vue de localiser une personne condamnée qui s’est soustraite à la justice, afin d’exécuter une peine ou une mesure de sûreté privatives de liberté prononcées à l’issue d’une procédure pénale. Cependant, au cas où la peine ou mesure de sûreté privatives de liberté ont été prononcées par une décision de justice rendue par défaut, il ne devrait pas être possible d’émettre une injonction européenne de production ou une injonction européenne de conservation, étant donné que le droit national en matière de décisions de justice rendues par défaut varie considérablement d’un État membre à l’autre au sein de l’Union.

(26)

Le présent règlement s’applique aux fournisseurs de services qui proposent des services dans l’Union, et il ne devrait être possible d’émettre les injonctions prévues dans le présent règlement que pour les données relatives aux services proposés dans l’Union. Les services proposés exclusivement en dehors de l’Union ne devraient pas relever du champ d’application du présent règlement, même si le fournisseur de services est établi dans l’Union. Par conséquent, le présent règlement ne devrait permettre aucun accès à des données autres que celles relatives aux services proposés à l’utilisateur dans l’Union par ces fournisseurs de services.

(27)

Les fournisseurs de services présentant le plus d’intérêt pour l’obtention de preuves dans le cadre des procédures pénales sont les fournisseurs de services de communications électroniques et certains fournisseurs de services de la société de l’information qui facilitent les interactions entre les utilisateurs. Dès lors, ces deux groupes devraient être couverts par le présent règlement. Les services de communications électroniques sont définis dans la directive (UE) 2018/1972 du Parlement européen et du Conseil (15) et comprennent les services de communications interpersonnelles tels que la voix par le protocole de l’internet (IP), la messagerie instantanée et les services de courrier électronique. Le présent règlement devrait aussi s’appliquer aux fournisseurs de services de la société de l’information, au sens de la directive (UE) 2015/1535 du Parlement européen et du Conseil (16), qui ne sont pas considérés comme des fournisseurs de services de communications électroniques, mais qui offrent à leurs utilisateurs la possibilité de communiquer les uns avec les autres ou qui proposent à leurs utilisateurs des services qui peuvent être utilisés pour stocker ou traiter d’une autre manière des données pour leur compte. Cette approche serait conforme aux termes utilisés dans la convention sur la cybercriminalité du Conseil de l’Europe (STE no 185), signée à Budapest le 23 novembre 2001 (ci-après dénommée «convention de Budapest»). Le traitement des données devrait être compris au sens technique de création ou de manipulation de données, c’est-à-dire des opérations techniques destinées à produire ou modifier des données en faisant appel à la puissance de traitement des ordinateurs. Les catégories de fournisseurs de services relevant du champ d’application du présent règlement devraient comprendre, par exemple, les places de marché en ligne offrant aux consommateurs et aux entreprises la possibilité de communiquer les uns avec les autres, et les autres services d’hébergement, notamment lorsque le service est fourni par l’intermédiaire de l’informatique en nuage, ainsi que les plateformes de jeux en ligne et les plateformes de jeux d’argent et de hasard en ligne. Lorsqu’un fournisseur de services de la société de l’information n’offre pas à ses utilisateurs la possibilité de communiquer les uns avec les autres, mais uniquement la possibilité de communiquer avec le fournisseur de services, ou n’offre pas la possibilité de stocker ou de traiter d’une autre manière des données ou lorsque le stockage de données ne constitue pas une composante déterminante, c’est-à-dire une partie essentielle, du service fourni aux utilisateurs, tels que les services juridiques ou les services d’architecture, d’ingénierie et de comptabilité fournis à distance en ligne, ce fournisseur ne devrait pas entrer dans le champ de la définition de «fournisseur de services» prévue par le présent règlement, et ce même si les services qu’il fournit sont des services de la société de l’information au sens de la directive (UE) 2015/1535.

(28)

Les fournisseurs de services d’infrastructure internet liés à l’attribution de noms et de numéros, tels que les registres et les bureaux d’enregistrement de noms de domaine et les fournisseurs de services d’anonymisation et d’enregistrement fiduciaire, ou les registres internet régionaux pour les adresses de protocole de l’internet (IP), présentent un intérêt particulier lorsqu’il s’agit d’identifier des acteurs cachés derrière des sites internet malveillants ou compromis. Ils détiennent des données qui pourraient permettre l’identification d’une personne ou d’une entité cachée derrière un site internet utilisé dans une activité criminelle, ou de la victime d’une activité criminelle.

(29)

Pour déterminer si un fournisseur de services fournit des services dans l’Union, il est nécessaire d’évaluer si le fournisseur de services permet à des personnes physiques ou morales dans un ou plusieurs États membres d’utiliser ses services. Toutefois, la seule accessibilité d’une interface en ligne dans l’Union, comme par exemple l’accessibilité d’un site internet, d’une adresse électronique ou d’autres coordonnées de contact d’un fournisseur de services ou d’un intermédiaire, prise isolément, devrait être considérée comme insuffisante pour déterminer si un fournisseur de services propose des services dans l’Union au sens du présent règlement.

(30)

Un lien substantiel avec l’Union devrait également être pertinent pour déterminer si un fournisseur de services propose des services dans l’Union. Un tel lien substantiel avec l’Union devrait être considéré exister lorsque le fournisseur de services dispose d’un établissement dans l’Union. En l’absence d’un tel établissement, le critère de lien substantiel devrait être basé sur des critères factuels spécifiques, tels que l’existence d’un nombre significatif d’utilisateurs dans un ou plusieurs États membres, ou le ciblage des activités sur un ou plusieurs États membres. Le ciblage des activités sur un ou plusieurs États membres devrait être déterminé sur la base de toutes les circonstances pertinentes, et notamment de facteurs comme l’utilisation d’une langue ou d’une monnaie généralement utilisées dans cet État membre, ou la possibilité de commander des biens ou des services. Le ciblage des activités sur un État membre pourrait également être constaté sur la base de la disponibilité d’une application («appli») dans la boutique d’applications nationale correspondante, de la diffusion de publicité locale ou de publicité dans la langue généralement utilisée dans cet État membre ou de la gestion des relations avec la clientèle, comme, par exemple, la fourniture d’un service à la clientèle dans la langue généralement utilisée dans cet État membre. Un lien substantiel devrait également être considéré exister lorsqu’un fournisseur de services dirige ses activités vers un ou plusieurs États membres comme le mentionne le règlement (UE) no 1215/2012 du Parlement européen et du Conseil (17). En revanche, fournir un service dans le simple but de se conformer à l’interdiction de discrimination prévue par le règlement (UE) 2018/302 du Parlement européen et du Conseil (18) ne devrait pas, en l’absence d’autres motifs, être considéré comme diriger ou cibler des activités vers un territoire donné au sein de l’Union. Les mêmes considérations devraient s’appliquer pour déterminer si un fournisseur de services propose des services dans un État membre donné.

(31)

Il convient que le présent règlement couvre les catégories de données que sont les données relatives aux abonnés, les données relatives au trafic et les données relatives au contenu. Cette catégorisation est conforme au droit de nombreux États membres et au droit de l’Union, notamment à la directive 2002/58/CE et à la jurisprudence de la Cour de justice, ainsi qu’au droit international, notamment à la convention de Budapest.

(32)

Les adresses IP ainsi que les numéros d’accès et les informations connexes peuvent constituer un point de départ essentiel pour les enquêtes pénales dans lesquelles l’identité d’un suspect n’est pas connue. Ces données sont généralement consignées dans un relevé d’événements, connu également sous le nom de «journal de serveur», qui indique le début et la fin d’une session d’accès d’un utilisateur à un service. Il s’agit souvent d’une adresse IP individuelle, qu’elle soit statique ou dynamique, ou d’un autre identifiant qui distingue l’interface réseau utilisée lors de la session d’accès. Des informations connexes portant sur le début et la fin d’une session d’accès d’un utilisateur à un service, telles que les ports de provenance et l’horodatage, sont nécessaires, étant donné que les adresses IP sont souvent partagées entre plusieurs utilisateurs, par exemple lorsqu’une traduction d’adresses de réseau de classe transporteur (CGN) ou des équivalents techniques sont en place. Toutefois, conformément à l’acquis de l’Union, les adresses IP doivent être considérées comme des données à caractère personnel et bénéficier de la protection complète prévue par l’acquis de l’Union en matière de protection des données. En outre, dans certains cas, les adresses IP peuvent être considérées comme des données relatives au trafic. Par ailleurs, les numéros d’accès et les informations connexes sont eux aussi considérés comme des données relatives au trafic dans certains États membres. Toutefois, aux fins d’une enquête pénale spécifique, les autorités répressives peuvent avoir besoin de demander une adresse IP, des numéros d’accès et des informations connexes d’un utilisateur à la seule fin d’identifier ce dernier, avant de pouvoir demander au fournisseur de services les données relatives aux abonnés liées à cet identifiant. Dans ce cas, il convient d’appliquer le même régime que pour les données relatives aux abonnés, tel qu’il est défini dans le présent règlement.

(33)

Lorsque des adresses IP, des numéros d’accès et des informations connexes ne sont pas demandés à la seule fin d’identifier l’utilisateur dans le cadre d’une enquête pénale spécifique, ils sont en général demandés pour obtenir des informations qui portent davantage atteinte à la vie privée, telles que les contacts ou la localisation de l’utilisateur. À ce titre, ils pourraient être utilisés pour dessiner un profil complet de la personne concernée, mais en même temps ils peuvent être traités et analysés plus facilement que les données relatives au contenu, étant donné qu’ils sont présentés dans un format standardisé et structuré. Il est dès lors indispensable que, dans ce cas, les adresses IP, les numéros d’accès et les informations connexes qui ne sont pas demandés à la seule fin d’identifier l’utilisateur dans le cadre d’une enquête pénale spécifique soient traités comme des données relatives au trafic et que la demande de telles données soit soumise au même régime que la demande de données relatives au contenu, tel qu’il est défini dans le présent règlement.

(34)

Toutes les catégories de données contiennent des données à caractère personnel et sont par conséquent couvertes par les garanties prévues par l’acquis de l’Union en matière de protection des données. Cependant, l’intensité de l’incidence sur les droits fondamentaux varie d’une catégorie à l’autre, en particulier entre les données relatives aux abonnés et les données demandées à la seule fin d’identifier l’utilisateur telles qu’elles sont définies dans le présent règlement, d’une part, et les données relatives au trafic, à l’exception des données demandées à la seule fin d’identifier l’utilisateur telles qu’elles sont définies dans le présent règlement, et les données relatives au contenu d’autre part. Alors que les données relatives aux abonnés ainsi que les adresses IP, les numéros d’accès et les informations connexes, lorsque ces données sont demandées à la seule fin d’identifier l’utilisateur, pourraient être utiles pour obtenir de premiers indices dans une enquête sur l’identité d’un suspect, les données relatives au trafic, à l’exception des données demandées à la seule fin d’identifier l’utilisateur telles qu’elles sont définies dans le présent règlement, et les données relatives au contenu sont souvent plus pertinentes en tant qu’éléments ayant valeur probante. Il est donc essentiel que toutes ces catégories de données soient couvertes par le présent règlement. Compte tenu des degrés variables d’interférence avec les droits fondamentaux, des garanties et des conditions appropriées devraient être imposées pour obtenir de telles données.

(35)

Les situations dans lesquelles il existe une menace imminente pour la vie, l’intégrité physique ou la sécurité d’une personne devraient être traitées comme des cas d’urgence et supposer un raccourcissement des délais pour le fournisseur de services et l’autorité chargée de la mise en œuvre. Lorsque l’arrêt ou la destruction d’une infrastructure critique au sens de la directive 2008/114/CE du Conseil (19) entraînerait une telle menace, y compris par le biais d’une atteinte grave à l’approvisionnement de base de la population ou à l’exercice des fonctions essentielles de l’État, une telle situation devrait elle aussi être traitée comme un cas d’urgence, conformément au droit de l’Union.

(36)

Lorsqu’une injonction européenne de production ou une injonction européenne de conservation est émise, une autorité judiciaire devrait toujours être impliquée soit dans le processus d’émission soit dans le processus de validation de l’injonction. Compte tenu du caractère plus sensible des données relatives au trafic, à l’exception des données demandées à la seule fin d’identifier l’utilisateur telles qu’elles sont définies dans le présent règlement, et des données relatives au contenu, l’émission ou la validation d’une injonction européenne de production visant à obtenir ces catégories de données nécessite le réexamen par un juge. Les données relatives aux abonnés et les données demandées à la seule fin d’identifier l’utilisateur telles qu’elles sont définies dans le présent règlement, étant moins sensibles, une injonction européenne de production visant à obtenir de telles données peut également être émise ou validée par un procureur compétent. Conformément au droit à un procès équitable, tel qu’il est consacré par la Charte et par la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, les procureurs doivent exercer leurs compétences de manière objective et prendre leur décision concernant l’émission ou la validation d’une injonction européenne de production ou d’une injonction européenne de conservation en se fondant exclusivement sur les éléments factuels du dossier et en tenant compte de toutes les preuves à charge et à décharge.

(37)

Afin de garantir la protection intégrale des droits fondamentaux, toute validation d’une injonction européenne de production ou d’une injonction européenne de conservation par des autorités judiciaires devrait en principe être obtenue avant l’émission de l’injonction en question. Il ne devrait être possible de déroger à ce principe que dans des cas d’urgence dont l’existence est établie de manière valable et en liaison avec une demande de production de données relatives aux abonnés ou de données demandées à la seule fin d’identifier l’utilisateur telles qu’elles sont définies dans le présent règlement, ou avec une demande de conservation de données, lorsqu’il n’est pas possible d’obtenir à temps la validation préalable par l’autorité judiciaire, en particulier parce qu’il n’est pas possible de joindre l’autorité de validation pour obtenir cette validation et que la menace est à ce point imminente qu’une mesure immédiate doit être prise. Cependant, de telles exceptions ne devraient être possibles que lorsque l’autorité d’émission de l’injonction en question est en mesure, dans le cadre d’une procédure nationale similaire, d’émettre une injonction sans validation préalable en vertu du droit national.

(38)

Une injonction européenne de production ne peut être émise que si elle s’avère nécessaire, proportionnée, adéquate et applicable au cas d’espèce. L’autorité d’émission devrait tenir compte des droits du suspect ou de la personne poursuivie dans les procédures liées à une infraction pénale et devrait émettre une injonction européenne de production uniquement lorsqu’une telle injonction aurait pu être émise dans les mêmes conditions dans le cadre d’une procédure nationale similaire. Pour évaluer s’il y a lieu d’émettre une injonction européenne de production, l’autorité d’émission devrait examiner si une telle injonction est limitée à ce qui est strictement nécessaire pour atteindre l’objectif légitime d’obtenir les données pertinentes et nécessaires pour servir de preuve dans le cas d’espèce.

(39)

Dans les cas où une injonction européenne de production est émise en vue d’obtenir différentes catégories de données, l’autorité d’émission devrait veiller à ce que les conditions et procédures, telle que la notification à l’autorité chargée de la mise en œuvre, soient respectées pour chacune des catégories de données concernées.

(40)

Compte tenu du caractère plus sensible des données relatives au trafic, à l’exception des données demandées à la seule fin d’identifier l’utilisateur telles qu’elles sont définies dans le présent règlement, et des données relatives au contenu, il convient d’opérer une distinction en ce qui concerne le champ d’application matériel du présent règlement. Il devrait être possible d’émettre une injonction européenne de production visant à obtenir des données relatives aux abonnés ou des données demandées à la seule fin d’identifier l’utilisateur telles qu’elles sont définies dans le présent règlement, pour toute infraction pénale; en revanche, l’émission d’une injonction européenne de production visant à obtenir des données relatives au trafic, à l’exception des données demandées à la seule fin d’identifier l’utilisateur telles qu’elles sont définies dans le présent règlement, ou à obtenir des données relatives au contenu devrait être soumise à des exigences plus strictes, pour refléter la nature plus sensible de ces données. Le présent règlement devrait prévoir un seuil pour ce qui est de son champ d’application, afin de permettre une approche proportionnée, en combinaison avec un certain nombre d’autres conditions et garanties ex ante et ex post pour assurer le respect de la proportionnalité et des droits des personnes concernées. En même temps, un tel seuil ne devrait pas limiter l’efficacité du présent règlement ni son utilisation par les praticiens. Autoriser l’émission d’injonctions européennes de production dans des procédures pénales uniquement pour des infractions assorties d’une peine privative de liberté d’une durée maximale d’au moins trois ans limitera le champ d’application du présent règlement à des infractions plus graves, sans affecter de façon excessive ses possibilités d’utilisation par les praticiens. Cette limitation exclurait du champ d’application du présent règlement un nombre significatif d’infractions considérées comme moins graves par les États membres, qui donnent lieu à une peine maximale inférieure. Cette limitation aura également l’avantage d’être plus facile à appliquer dans la pratique.

(41)

Il existe des infractions spécifiques pour lesquelles les preuves sont généralement disponibles exclusivement sous une forme numérique, qui est une forme par nature particulièrement éphémère. C’est le cas des infractions relevant de la cybercriminalité, même celles qui pourraient ne pas être considérées comme graves en tant que telles mais qui pourraient causer des préjudices étendus ou considérables, en particulier les infractions pour lesquelles le préjudice individuel est faible mais qui sont nombreuses et cause un préjudice global élevé. Dans la plupart des cas dans lesquels l’infraction a été commise au moyen d’un système d’information, l’application du même seuil que pour d’autres types d’infractions conduirait, en grande partie, à l’impunité. Cela justifie l’application du présent règlement à ce type d’infractions également lorsque ces infractions sont assorties d’une peine privative de liberté d’une durée maximale de moins de trois ans. Les infractions supplémentaires liées au terrorisme au sens de la directive (UE) 2017/541 du Parlement européen et du Conseil (20) ainsi que les infractions relatives aux abus sexuels et à l’exploitation sexuelle des enfants au sens de la directive 2011/93/UE du Parlement européen et du Conseil (21) ne devraient pas requérir le seuil minimal relatif à une peine privative de liberté d’une durée maximale de trois ans.

(42)

En principe, une injonction européenne de production devrait être adressée au fournisseur de services agissant en qualité de responsable du traitement. Toutefois, dans certains cas, il peut s’avérer particulièrement difficile de déterminer si un fournisseur de services agit en qualité de responsable du traitement ou en qualité de sous-traitant, notamment lorsque plusieurs fournisseurs de services sont impliqués dans le traitement des données où lorsque des fournisseurs de services traitent des données pour le compte d’une personne physique. Faire la différence entre le rôle de responsable du traitement et celui de sous-traitant pour un ensemble de données précis non seulement nécessite une connaissance spécialisée du contexte juridique, mais pourrait également nécessiter d’interpréter des cadres contractuels souvent très complexes prévoyant, dans un cas de figure précis, l’attribution, pour un ensemble de données précis, de différentes tâches et de différents rôles à plusieurs fournisseurs de services. Lorsque des fournisseurs de services traitent des données pour le compte d’une personne physique, il peut s’avérer difficile, dans certains cas, de déterminer qui est le responsable du traitement, même lorsqu’un seul fournisseur de services est concerné. Lorsque les données en question sont stockées ou traitées d’une autre manière par un fournisseur de services et que l’identité du responsable du traitement des données demeure ambigüe malgré des efforts raisonnables de la part de l’autorité d’émission, il devrait dès lors être possible d’adresser une injonction européenne de production directement à ce fournisseur de services. En outre, dans certains cas, s’adresser au responsable du traitement pourrait nuire à l’enquête dans le cas concerné, par exemple parce que le responsable du traitement est un suspect, une personne poursuivie ou une personne condamnée, ou parce qu’il existe des éléments indiquant que le responsable du traitement pourrait être en train d’agir dans l’intérêt de la personne faisant l’objet de l’enquête. Dans ce cas également, il devrait être possible d’adresser l’injonction européenne de production directement au fournisseur de services qui traite les données pour le compte du responsable du traitement. Cette possibilité ne devrait pas affecter le droit de l’autorité d’émission d’ordonner au fournisseur de services de conserver les données.

(43)

Conformément au règlement (UE) 2016/679, le sous-traitant qui stocke ou traite d’une autre manière les données pour le compte du responsable du traitement devrait informer celui-ci de la production des données, sauf si l’autorité d’émission a demandé au fournisseur de services de s’abstenir d’informer le responsable du traitement, aussi longtemps que cela est nécessaire et proportionné, afin de ne pas entraver la procédure pénale concernée. Dans ce cas, l’autorité d’émission devrait indiquer dans le dossier les raisons du retard pris pour informer le responsable du traitement et une brève justification devrait également être ajoutée au certificat d’accompagnement transmis au destinataire.

(44)

Lorsque les données sont stockées ou traitées d’une autre manière dans le cadre d’une infrastructure fournie par un fournisseur de services à une autorité publique, il ne devrait être possible d’émettre une injonction européenne de production ou une injonction européenne de conservation que si l’autorité publique pour laquelle les données sont stockées ou traitées d’une autre manière est située dans l’État d’émission.

(45)

Lorsque des données protégées par le secret professionnel en vertu du droit de l’État d’émission sont stockées ou traitées d’une autre manière par un fournisseur de services dans le cadre d’une infrastructure fournie à des professionnels soumis au secret professionnel («professionnel soumis au secret professionnel»), dans le cadre de leur activité professionnelle, il ne devrait être possible d’émettre une injonction européenne de production visant à obtenir des données relatives au trafic, à l’exception des données demandées à la seule fin d’identifier l’utilisateur telles qu’elles sont définies dans le présent règlement, ou visant à obtenir des données relatives au contenu lorsque le professionnel soumis au secret professionnel réside dans l’État d’émission, que lorsque le fait de s’adresser à ce professionnel soumis au secret professionnel pourrait nuire à l’enquête, ou lorsque le secret professionnel a été levé conformément au droit applicable.

(46)

Le principe ne bis in idem est un principe de droit fondamental dans l’Union, consacré par la Charte et développé par la jurisprudence de la Cour de justice de l’Union européenne. Si l’autorité d’émission a des raisons de croire qu’une procédure pénale parallèle pourrait être en cours dans un autre État membre, elle devrait consulter les autorités de cet État membre conformément à la décision-cadre 2009/948/JAI du Conseil (22). En tout état de cause, une injonction européenne de production ou une injonction européenne de conservation ne peut pas être émise lorsque l’autorité d’émission a des raisons de croire que ce serait contraire au principe ne bis in idem.

(47)

Les immunités et les privilèges, qui peuvent concerner des catégories de personnes, comme les diplomates, ou des relations spécifiquement protégées, comme le secret professionnel dans la relation entre l’avocat et son client ou le droit des journalistes de ne pas révéler leurs sources d’information, sont mentionnés dans d’autres instruments de reconnaissance mutuelle tels que la directive 2014/41/UE établissant la décision d’enquête européenne. La portée et l’incidence des immunités et des privilèges diffèrent selon le droit national applicable qui devrait être pris en considération au moment de l’émission d’une injonction européenne de production ou d’une injonction européenne de conservation, étant donné que l’autorité d’émission ne devrait pouvoir émettre l’injonction que lorsqu’une telle injonction aurait pu être émise dans les mêmes conditions dans le cadre d’une procédure nationale similaire. Il n’y a pas de définition commune de ce qui constitue une immunité ou un privilège dans le droit de l’Union. La définition précise de ces termes relève donc du droit national, et la définition peut englober la protection applicable notamment aux professions médicales et juridiques, y compris lorsque des plateformes spécialisées sont utilisées par ces professions. La définition précise des immunités et des privilèges peut également comprendre des règles relatives à la détermination et à la limitation de la responsabilité pénale liées à la liberté de la presse et à la liberté d’expression dans d’autres médias.

(48)

Lorsque l’autorité d’émission cherche à obtenir des données relatives au trafic, à l’exception des données demandées à la seule fin d’identifier l’utilisateur telles qu’elles sont définies dans le présent règlement, ou à obtenir des données relatives au contenu, au moyen d’une injonction européenne de production, et qu’elle a des motifs raisonnables de croire que les données demandées sont protégées par des immunités ou des privilèges accordés en vertu du droit de l’État chargé de la mise en œuvre ou que lesdites données sont soumises, dans cet État, à des règles relatives à la détermination et à la limitation de la responsabilité pénale liées à la liberté de la presse et à la liberté d’expression dans d’autres médias, l’autorité d’émission devrait pouvoir demander des éclaircissements avant d’émettre l’injonction européenne de production, notamment en consultant les autorités compétentes de l’État chargé de la mise en œuvre, soit directement, soit par l’intermédiaire d’Eurojust ou du réseau judiciaire européen.

(49)

Il devrait être possible d’émettre une injonction européenne de conservation pour n’importe quelle infraction pénale. L’autorité d’émission devrait tenir compte des droits du suspect ou de la personne poursuivie dans les procédures liées à une infraction pénale et devrait émettre une injonction européenne de conservation uniquement lorsqu’une telle injonction aurait pu être émise dans les mêmes conditions dans le cadre d’une procédure nationale similaire et lorsqu’elle est nécessaire, proportionnée, adéquate et pertinente pour le cas d’espèce. Pour évaluer s’il y a lieu d’émettre une injonction européenne de conservation, l’autorité d’émission devrait examiner si une telle injonction est limitée à ce qui est strictement nécessaire pour atteindre l’objectif légitime d’empêcher le retrait, la suppression ou la modification de données qui sont pertinentes et nécessaires pour servir de preuves dans un cas d’espèce dans des situations où la production de ces données pourrait prendre plus de temps.

(50)

Les injonctions européennes de production et les injonctions européennes de conservation devraient être adressées directement à l’établissement désigné ou au représentant légal, désigné par le fournisseur de services en vertu de la directive (UE) 2023/1544 du Parlement européen et du Conseil (23). Exceptionnellement, dans les cas d’urgence tels qu’ils sont définis par le présent règlement, lorsque l’établissement désigné ou le représentant légal d’un fournisseur de services ne réagit pas au certificat d’accompagnement de l’injonction européenne de production (EPOC) ou au certificat d’accompagnement de l’injonction européenne de conservation (EPOC-PR) dans les délais ou n’a pas été désigné dans les délais fixés par la directive (UE) 2023/1544, il devrait être possible d’adresser l’EPOC ou l’EPOC-PR à tout autre établissement ou représentant légal du fournisseur de services dans l’Union tout en poursuivant la mise en œuvre de l’injonction initiale conformément au présent règlement, ou pour remplacer la poursuite de cette mise en œuvre. Compte tenu de ces différents scénarios possibles, le terme général de «destinataire» est utilisé dans les dispositions du présent règlement.

(51)

Compte tenu du caractère plus sensible d’une injonction européenne de production visant à obtenir des données relatives au trafic, à l’exception des données demandées à la seule fin d’identifier l’utilisateur telles qu’elles sont définies dans le présent règlement, ou visant à obtenir des données relatives au contenu, il y a lieu de prévoir un mécanisme de notification applicable aux injonctions européennes de production visant à obtenir ces catégories de données. Ce mécanisme de notification devrait impliquer une autorité chargée de la mise en œuvre et consister en la transmission de l’EPOC à cette autorité en même temps que l’EPOC est transmis au destinataire. Cependant, lorsqu’une injonction européenne de production est émise en vue d’obtenir des preuves électroniques dans des procédures pénales ayant des liens forts et substantiels avec l’État d’émission, il n’y a pas lieu d’exiger une notification à l’autorité chargée de la mise en œuvre. De tels liens sont réputés exister lorsque, au moment de l’émission de l’injonction européenne de production, l’autorité d’émission a des motifs raisonnables de croire que l’infraction a été commise, est en train d’être commise ou est susceptible d’être commise dans l’État d’émission et lorsque la personne dont les données sont demandées réside dans l’État d’émission.

(52)

Aux fins du présent règlement, il y a lieu de considérer qu’une infraction a été commise, est en train d’être commise ou est susceptible d’être commise dans l’État d’émission si elle est considérée comme telle conformément au droit national de l’État d’émission. Dans certains cas, en particulier dans le domaine de la cybercriminalité, certains éléments factuels, tels que le lieu de résidence de la victime, constituent, en règle générale, des indications importantes qu’il y a lieu de prendre en compte lorsqu’il s’agit de déterminer le lieu de commission de l’infraction. Par exemple, les crimes commis au moyen d’un rançongiciel peuvent souvent être considérés comme ayant été commis sur le lieu de résidence de la victime d’un tel crime, même lorsque la localisation exacte de l’endroit d’où le rançongiciel a été lancé est incertaine. Toute détermination du lieu de commission d’une infraction devrait être sans préjudice des règles de détermination de la compétence pour connaître de l’infraction en question définies dans le droit national applicable.

(53)

Il incombe à l’autorité d’émission d’évaluer, au moment où elle émet une injonction européenne de production visant à obtenir des données relatives au trafic, à l’exception des données demandées à la seule fin d’identifier l’utilisateur telles qu’elles sont définies dans le présent règlement, ou visant à obtenir des données relatives au contenu, sur la base des éléments dont elle dispose, s’il existe des motifs raisonnables de croire que la personne dont les données sont demandées réside dans l’État d’émission. À cet égard, plusieurs circonstances factuelles qui pourraient indiquer que la personne concernée a établi le centre habituel de ses intérêts dans un État membre donné ou a l’intention de le faire peuvent s’avérer pertinentes. Il découle de la nécessité d’une application uniforme du droit de l’Union, ainsi que du principe d’égalité, que la notion de «résidence», dans ce contexte précis, devrait être interprétée de manière uniforme dans l’ensemble de l’Union. L’on peut notamment considérer comme un motif raisonnable de croire qu’une personne réside dans un État d’émission le fait qu’une personne soit enregistrée comme résidente dans un État d’émission, comme attesté par la détention d’une pièce d’identité ou d’un permis de séjour ou par le fait d’être inscrit dans un registre officiel des résidents. En l’absence d’enregistrement dans l’État d’émission, la résidence pourrait être déduite du fait qu’une personne a manifesté l’intention de s’installer dans cet État membre ou a établi, à l’issue d’une période stable de présence dans cet État membre, certains liens avec cet État dont la force est similaire à celle des liens résultant de l’établissement d’une résidence formelle dans cet État membre. Afin de déterminer si, dans un cas précis, il existe suffisamment de liens entre la personne concernée et l’État d’émission pour qu’il existe des motifs raisonnables de croire que la personne concernée réside dans cet État, il convient de tenir compte de plusieurs facteurs objectifs caractérisant la situation de cette personne, notamment de la longueur, de la nature et des conditions de la présence de cette personne dans l’État d’émission, ou des liens familiaux ou économiques entre cette personne et cet État membre. Un véhicule immatriculé, un compte bancaire, le caractère ininterrompu du séjour de la personne dans l’État d’émission ou d’autres facteurs objectifs pourraient être pertinents pour établir qu’il existe des motifs raisonnables de croire que la personne concernée réside dans l’État d’émission. Une brève visite, des vacances, y compris dans une maison de vacances, ou un séjour similaire dans l’État d’émission, sans autre lien substantiel, ne suffit pas pour l’établissement d’une résidence dans cet État membre. Dans les cas où, au moment d’émettre une injonction européenne de production visant à obtenir des données relatives au trafic, à l’exception des données demandées à la seule fin d’identifier l’utilisateur telles qu’elles sont définies dans le présent règlement, ou visant à obtenir des données relatives au contenu, l’autorité d’émission n’a pas de motifs raisonnables de croire que la personne dont les données sont demandées réside dans l’État d’émission, l’autorité d’émission devrait adresser une notification à l’autorité chargée de la mise en œuvre.

(54)

Afin de garantir une procédure rapide, le moment à prendre en compte pour déterminer s’il y a lieu d’adresser une notification à l’autorité chargée de la mise en œuvre devrait être le moment où l’injonction européenne de production est émise. Tout changement ultérieur de résidence ne devrait avoir aucune incidence sur la procédure. La personne concernée devrait avoir la possibilité d’invoquer ses droits ainsi que les règles relatives à la détermination et à la limitation de la responsabilité pénale liées à la liberté de la presse et à la liberté d’expression dans d’autres médias, tout au long de la procédure pénale, et l’autorité chargée de la mise en œuvre devrait avoir la possibilité d’invoquer un motif de refus lorsque, dans des situations exceptionnelles, il existe des motifs sérieux de croire, sur la base d’éléments de preuve précis et objectifs, que l’exécution de l’injonction entraînerait, dans les circonstances particulières de l’espèce, une violation manifeste d’un droit fondamental pertinent énoncé à l’article 6 du traité sur l’Union européenne et dans la Charte. En outre, il devrait également être possible d’invoquer ces motifs pendant la procédure de mise en œuvre.

(55)

Une injonction européenne de production devrait être transmise au moyen d’un EPOC, et une injonction européenne de conservation devrait être transmise au moyen d’un EPOC-PR. S’il y a lieu, l’EPOC ou l’EPOC-PR devrait être traduit dans une langue officielle de l’Union acceptée par le destinataire. Si aucune langue n’a été spécifiée par le fournisseur de services, l’EPOC ou l’EPOC-PR devrait être traduit dans une langue officielle de l’État membre dans lequel est situé l’établissement désigné ou le représentant légal du fournisseur de services, ou dans une autre langue officielle que l’établissement désigné ou le représentant légal du fournisseur de services a déclaré accepter. Lorsqu’une notification à l’autorité chargée de la mise en œuvre est requise en vertu du présent règlement, l’EPOC à transmettre à cette autorité devrait être traduit dans une langue officielle de l’État chargé de la mise en œuvre ou dans une autre langue officielle de l’Union acceptée par cet État. À cet égard, chaque État membre devrait être encouragé à indiquer, à tout moment, au moyen d’une déclaration écrite adressée à la Commission, s’il accepte que les EPOC et les EPOC-PR soient traduits, et dans quelle ou quelles langues officielles de l’Union ils doivent l’être, en plus de la ou des langues officielles dudit État membre. La Commission devrait mettre ces déclarations à la disposition de tous les États membres et du réseau judiciaire européen.

(56)

Lorsqu’un EPOC a été émis et qu’une notification à l’autorité chargée de la mise en œuvre n’est pas requise en vertu du présent règlement, le destinataire devrait, dès réception de l’EPOC, s’assurer que les données demandées sont transmises directement à l’autorité d’émission ou aux autorités répressives, comme indiqué dans l’EPOC, au plus tard dans un délai de dix jours suivant la réception de l’EPOC. Lorsqu’une notification à l’autorité chargée de la mise en œuvre est requise en vertu du présent règlement, le fournisseur de services devrait, dès réception de l’EPOC, agir rapidement pour conserver les données. Lorsque l’autorité chargée de la mise en œuvre n’a invoqué aucun motif de refus en vertu du présent règlement dans un délai de dix jours suivant la réception de l’EPOC, le destinataire devrait s’assurer que les données demandées sont transmises directement à l’autorité d’émission ou aux autorités répressives, comme indiqué dans l’EPOC, à l’expiration de ce délai de dix jours. Lorsque l’autorité chargée de la mise en œuvre, avant même l’expiration du délai de dix jours, confirme à l’autorité d’émission et au destinataire qu’elle n’invoquera aucun motif de refus, le destinataire devrait agir dès que possible après cette confirmation et au plus tard à l’expiration de ce délai de dix jours. Les délais plus courts applicables dans les cas d’urgence tels qu’ils sont définis dans le présent règlement devraient être respectés par le destinataire et, s’il y a lieu, par l’autorité chargée de la mise en œuvre. Le destinataire et, s’il y a lieu, l’autorité chargée de la mise en œuvre devraient exécuter l’EPOC dès que possible et au plus tard dans les délais fixés par le présent règlement, en tenant compte le plus possible des délais de procédure et des autres délais indiqués par l’État d’émission.

(57)

Si le destinataire estime, sur la seule base des informations contenues dans l’EPOC ou dans l’EPOC-PR, que l’exécution de l’EPOC ou de l’EPOC-PR pourrait interférer avec les immunités ou privilèges, ou avec les règles relatives à la détermination ou à la limitation de la responsabilité pénale liées à la liberté de la presse ou à la liberté d’expression dans d’autres médias, en vertu du droit de l’État d’exécution, il devrait en informer l’autorité d’émission et l’autorité chargée de la mise en œuvre. En ce qui concerne les EPOC, lorsqu’aucune notification à l’autorité chargée de la mise en œuvre n’a eu lieu en vertu du présent règlement, l’autorité d’émission devrait tenir compte des informations reçues du destinataire et devrait décider, de sa propre initiative ou à la demande de l’autorité chargée de la mise en œuvre, s’il y a lieu de retirer, d’adapter ou de maintenir l’injonction européenne de production. Lorsqu’une notification à l’autorité chargée de la mise en œuvre a eu lieu en vertu du présent règlement, l’autorité d’émission devrait tenir compte des informations reçues du destinataire et décider s’il y a lieu de retirer, d’adapter ou de maintenir l’injonction européenne de production. L’autorité chargée de la mise en œuvre devrait également avoir la possibilité d’invoquer les motifs de refus énoncés dans le présent règlement.

(58)

Afin de permettre au destinataire de résoudre des problèmes formels liés à un EPOC ou à un EPOC-PR, il est nécessaire de définir une procédure pour la communication entre le destinataire et l’autorité d’émission et, lorsqu’une notification à l’autorité chargée de la mise en œuvre a eu lieu en vertu du présent règlement, entre le destinataire et l’autorité chargée de la mise en œuvre, dans les cas où l’EPOC ou l’EPOC-PR est incomplet ou contient des erreurs manifestes ou ne contient pas suffisamment d’informations pour l’exécution de l’injonction concernée. Par ailleurs, si le destinataire ne fournit pas les informations de manière exhaustive ou en temps opportun pour toute autre raison, par exemple parce qu’il considère qu’il existe un conflit vis-à-vis d’une obligation relevant du droit d’un pays tiers, ou que l’injonction européenne de production ou l’injonction européenne de conservation n’a pas été émise en conformité avec les conditions prévues par le présent règlement, il devrait en informer l’autorité d’émission, et, lorsqu’une notification à l’autorité chargée de la mise en œuvre a eu lieu, l’autorité chargée de la mise en œuvre, et fournir la justification pour laquelle il ne peut donner suite à l’EPOC ou à l’EPOC-PR en temps opportun. La procédure de communication devrait donc permettre la correction ou le réexamen de l’injonction européenne de production ou de l’injonction européenne de conservation par l’autorité d’émission à un stade précoce. Pour garantir la disponibilité des données demandées, le destinataire devrait conserver ces données s’il peut identifier lesdites données.

(59)

Le destinataire ne devrait pas être obligé de se conformer à l’injonction européenne de production ou à l’injonction européenne de conservation en cas d’impossibilité de fait en raison de circonstances qui ne lui sont pas imputables ou, lorsqu’il s’agit de personnes différentes, qui ne sont pas imputables au fournisseur de services au moment de la réception de l’injonction européenne de production ou de l’injonction européenne de conservation. Il y a lieu de présumer une impossibilité de fait lorsque la personne dont les données ont été demandées n’est pas un client du fournisseur de services ou ne peut pas être identifiée en tant que tel même après qu’une demande d’informations complémentaires a été adressée à l’autorité d’émission, ou si les données ont été supprimées légalement avant la réception de l’injonction concernée.

(60)

Lorsqu’il reçoit un EPOC-PR, le destinataire devrait conserver les données demandées pendant soixante jours au maximum, sauf si l’autorité d’émission confirme qu’une demande de production ultérieure a été émise, auquel cas la conservation devrait être poursuivie. L’autorité d’émission devrait pouvoir prolonger la durée de conservation de trente jours supplémentaires, le cas échéant, pour permettre qu’une demande de production ultérieure soit émise, au moyen du formulaire figurant dans le présent règlement. Si l’autorité d’émission confirme, au cours de la période de conservation, qu’une demande de production ultérieure a été émise, le destinataire devrait conserver les données aussi longtemps que nécessaire pour pouvoir produire les données une fois que la demande de production ultérieure aura été reçue. Cette confirmation devrait être envoyée au destinataire dans le délai imparti, dans une langue officielle de l’État chargé de la mise en œuvre ou dans toute autre langue acceptée par le destinataire, au moyen du formulaire figurant dans le présent règlement. Pour éviter que la conservation cesse, il devrait suffire que la demande de production ultérieure ait été émise et que la confirmation ait été envoyée par l’autorité d’émission; il ne devrait pas être nécessaire, à ce stade, d’accomplir d’autres formalités requises pour la transmission, telles que la traduction des documents. Lorsque la conservation n’est plus nécessaire, l’autorité d’émission devrait en informer le destinataire sans retard injustifié et l’obligation de conservation fondée sur l’injonction européenne de conservation devrait prendre fin.

(61)

Nonobstant le principe de confiance mutuelle, l’autorité chargée de la mise en œuvre doit pouvoir invoquer des motifs de refus d’une injonction européenne de production, lorsqu’une notification à l’autorité chargée de la mise en œuvre a eu lieu en vertu du présent règlement, sur la base de la liste des motifs de refus prévue par le présent règlement. Lorsqu’une notification à l’autorité chargée de la mise en œuvre ou que la mise en œuvre elle-même a lieu conformément au présent règlement, l’État membre chargé de la mise en œuvre pourrait prévoir, dans son droit national, que l’exécution d’une injonction européenne de production pourrait nécessiter l’intervention procédurale d’une juridiction de l’État chargé de la mise en œuvre.

(62)

Lorsque l’autorité chargée de la mise en œuvre a reçu notification d’une injonction européenne de production en vue d’obtenir des données relatives au trafic, à l’exception des données demandées à la seule fin d’identifier l’utilisateur telles qu’elles sont définies dans le présent règlement, ou d’obtenir des données relatives au contenu, elle devrait avoir le droit d’évaluer les informations figurant dans l’injonction et, le cas échéant, de refuser l’injonction lorsque, sur la base d’une analyse obligatoire et appropriée des informations contenues dans cette injonction et dans le respect des règles applicables du droit primaire de l’Union, en particulier de la Charte, elle parvient à la conclusion qu’un ou plusieurs des motifs de refus prévus par le présent règlement pourraient être invoqués. La nécessité de respecter l’indépendance des autorités judiciaires exige qu’une certaine marge d’appréciation soit accordée à ces autorités lorsqu’elles prennent des décisions concernant les motifs de refus.

(63)

L’autorité chargée de la mise en œuvre devrait avoir la possibilité, lorsqu’une notification lui est adressée en vertu du présent règlement, de refuser une injonction européenne de production lorsque les données demandées sont protégées par des immunités ou des privilèges accordés en vertu du droit de l’État chargé de la mise en œuvre qui empêchent l’exécution ou la mise en œuvre de l’injonction européenne de production, ou lorsque les données demandées sont couvertes par des règles relatives à la détermination ou à la limitation de la responsabilité pénale liées à la liberté de la presse ou à la liberté d’expression dans d’autres médias, qui empêchent l’exécution ou la mise en œuvre de l’injonction européenne de production.

(64)

L’autorité chargée de la mise en œuvre devrait avoir la possibilité de refuser une injonction, dans des situations exceptionnelles, lorsqu’il existe des motifs sérieux de croire, sur la base d’éléments de preuve précis et objectifs, que l’exécution de l’injonction européenne de production entraînerait, dans les circonstances particulières de l’espèce, une violation manifeste d’un droit fondamental pertinent énoncé à l’article 6 du traité sur l’Union européenne et dans la Charte. En particulier, lorsqu’elle évalue ce motif de refus, lorsque l’autorité chargée de la mise en œuvre dispose de preuves ou d’éléments tels que ceux énoncés dans une proposition motivée émanant d’un tiers des États membres, du Parlement européen ou de la Commission européenne, adoptée en vertu de l’article 7, paragraphe 1, du traité sur l’Union européenne, indiquant qu’il existe un risque manifeste, si l’injonction était exécutée, d’une violation grave du droit fondamental à un recours effectif et à un procès équitable prévus à l’article 47 de la Charte, en raison de défaillances systémiques ou généralisées en ce qui concerne l’indépendance du pouvoir judiciaire de l’État d’émission, l’autorité chargée de la mise en œuvre devrait déterminer concrètement et précisément si, compte tenu de la situation personnelle de la personne concernée, ainsi que de la nature de l’infraction pour laquelle la procédure pénale est menée et du contexte factuel qui constitue le fondement de l’injonction, et à la lumière des informations fournies par l’autorité d’émission, il existe des motifs sérieux de croire qu’il existe un risque de violation du droit d’une personne à un procès équitable.

(65)

L’autorité chargée de la mise en œuvre devrait avoir la possibilité de refuser une injonction lorsque son exécution est contraire au principe ne bis in idem.

(66)

L’autorité chargée de la mise en œuvre devrait avoir la possibilité, lorsqu’une notification lui est adressée en vertu du présent règlement, de refuser une injonction européenne de production lorsque les faits pour lesquels l’injonction a été émise ne constituent pas une infraction au titre du droit de l’État chargé de la mise en œuvre, à moins qu’ils ne concernent une infraction figurant dans les catégories d’infractions énumérées dans une annexe du présent règlement, conformément à ce qui a été indiqué par l’autorité d’émission dans l’EPOC, si ces faits sont passibles dans l’État d’émission d’une peine ou d’une mesure de sûreté privatives de liberté d’une durée maximale d’au moins trois ans.

(67)

Étant donné qu’informer la personne dont les données sont demandées constitue un élément essentiel en ce qui concerne les droits en matière de protection des données et les droits de la défense, dans la mesure où elle permet un contrôle effectif et un recours juridictionnel, conformément à l’article 6 du traité sur l’Union européenne et à la Charte, l’autorité d’émission devrait informer, sans retard injustifié, la personne dont les données sont demandées de la production des données fondée sur une injonction européenne de production. Toutefois, l’autorité d’émission devrait être en mesure, conformément au droit national, de retarder ou de limiter l’information de la personne dont les données sont demandées, voire de ne pas l’informer, dans la mesure où et aussi longtemps que les conditions de la directive (UE) 2016/680 sont remplies, auquel cas l’autorité d’émission devrait indiquer dans le dossier les raisons du retard ou de la limitation de l’information, ou de la non-information, et ajouter une brève justification dans l’EPOC. Les destinataires et, lorsqu’il s’agit de personnes différentes, les fournisseurs de services devraient prendre les mesures opérationnelles et techniques nécessaires les plus modernes afin de garantir la confidentialité, le secret et l’intégrité de l’EPOC ou de l’EPOC-PR ainsi que des données produites ou conservées.

(68)

Un fournisseur de services devrait pouvoir demander à l’État d’émission le remboursement des coûts qu’il a engagés pour répondre à une injonction européenne de production ou à une injonction européenne de conservation, si cette possibilité est prévue dans le droit national de l’État d’émission pour des injonctions nationales dans des situations similaires, conformément au droit national de cet État. Les États membres devraient communiquer leurs règles nationales en matière de remboursement à la Commission, qui devrait les rendre publiques. Le présent règlement prévoit des règles distinctes applicables au remboursement des coûts liés au système informatique décentralisé.

(69)

Sans préjudice de leur droit national prévoyant d’imposer des sanctions pénales, les États membres devraient déterminer le régime relatif aux sanctions pécuniaires applicables en cas d’infractions au présent règlement et prendre toutes les mesures nécessaires pour garantir la mise en œuvre de ces sanctions. Les États membres devraient veiller à ce que les sanctions pécuniaires prévues dans leur droit national soient effectives, proportionnées et dissuasives. Les États membres devraient notifier, sans retard, ces règles et mesures à la Commission et l’informer, sans retard, de toute modification ultérieure les concernant.

(70)

Lorsqu’elles évaluent, dans un cas d’espèce, les sanctions pécuniaires appropriées, les autorités compétentes devraient tenir compte de toutes les circonstances pertinentes, telles que la nature, la gravité et la durée de l’infraction, le fait qu’elle ait été commise intentionnellement ou par négligence, le fait que le fournisseur de services ait déjà été tenu responsable d’infractions similaires et la solidité financière du fournisseur de services tenu responsable. Dans des circonstances exceptionnelles, cette évaluation pourrait conduire l’autorité chargée de la mise en œuvre à décider de s’abstenir d’imposer des sanctions pécuniaires. À cet égard, une attention particulière doit être accordée aux microentreprises qui manquent de se conformer à une injonction européenne de production ou à une injonction européenne de conservation dans un cas d’urgence en raison du manque de ressources humaines en dehors des heures normales de bureau, si les données sont transmises sans retard injustifié.

(71)

Sans préjudice des obligations en matière de protection des données, les fournisseurs de services ne devraient pas être tenus responsables dans les États membres du préjudice causé à leurs utilisateurs ou à des tiers résultant exclusivement du respect de bonne foi d’un EPOC ou d’un EPOC-PR. Il devrait incomber à l’autorité d’émission de garantir la légalité de l’injonction concernée, en particulier de sa nécessité et de sa proportionnalité.

(72)

Lorsque le destinataire ne respecte pas un EPOC dans les délais impartis ou un EPOC-PR, sans fournir de raisons acceptées par l’autorité d’émission, et, le cas échéant, lorsque l’autorité chargée de la mise en œuvre n’a invoqué aucun des motifs de refus énumérés dans le présent règlement, l’autorité d’émission devrait pouvoir demander à l’autorité chargée de la mise en œuvre de mettre en œuvre l’injonction européenne de production ou l’injonction européenne de conservation. À cette fin, l’autorité d’émission devrait transférer à l’autorité chargée de la mise en œuvre l’injonction concernée, le formulaire pertinent prévu par le présent règlement complété par le destinataire, ainsi que tout document pertinent. L’autorité d’émission devrait traduire l’injonction concernée et tout document qui doit être transféré dans l’une des langues acceptées par l’État chargé de la mise en œuvre et devrait informer le destinataire du transfert. Cet État membre devrait mettre en œuvre l’injonction concernée conformément à son droit national.

(73)

La procédure de mise en œuvre devrait permettre au destinataire d’invoquer des motifs à l’encontre de la mise en œuvre sur la base d’une liste de motifs spécifiques prévus par le présent règlement, y compris le fait que l’injonction concernée n’a pas été émise ou validée par une autorité compétente comme le prévoit le présent règlement, ou lorsque l’injonction ne concerne pas des données stockées par le fournisseur de services ou pour son compte au moment de la réception du certificat correspondant. L’autorité chargée de la mise en œuvre devrait pouvoir refuser de reconnaître et de mettre en œuvre une injonction européenne de production ou une injonction européenne de conservation basée sur ces mêmes motifs, ainsi que, dans des situations exceptionnelles, en raison de la violation manifeste d’un droit fondamental pertinent énoncé à l’article 6 du traité sur l’Union européenne et dans la Charte. L’autorité chargée de la mise en œuvre devrait consulter l’autorité d’émission avant de décider de ne pas reconnaître ou de ne pas mettre en œuvre l’injonction sur la base de ces motifs. Lorsque le destinataire ne respecte pas les obligations qui lui incombent en vertu d’une injonction européenne de production ou d’une injonction européenne de conservation reconnues, dont le caractère exécutoire a été confirmé par l’autorité chargée de la mise en œuvre, cette autorité devrait imposer une sanction pécuniaire. Cette sanction devrait être proportionnée, compte tenu, en particulier, des circonstances spécifiques telles qu’un manquement répété ou systématique.

(74)

Le respect d’une injonction européenne de production pourrait entrer en conflit avec une obligation prévue par le droit applicable d’un pays tiers. Par courtoisie envers les intérêts souverains des pays tiers, et afin de protéger les personnes concernées et de concilier les obligations en conflit des fournisseurs de services, le présent règlement prévoit un mécanisme spécifique de contrôle juridictionnel lorsque le respect d’une injonction européenne de production empêcherait un fournisseur de services de respecter les obligations légales découlant du droit d’un pays tiers.

(75)

Lorsqu’un destinataire considère que, dans un cas spécifique, une injonction européenne de production entraînerait la violation d’une obligation légale découlant du droit d’un pays tiers, il devrait informer l’autorité d’émission et l’autorité chargée de la mise en œuvre des raisons pour lesquelles il ne peut exécuter l’injonction par la voie d’une objection motivée, au moyen du formulaire prévu par le présent règlement. L’autorité d’émission devrait examiner l’injonction européenne de production sur la base de l’objection motivée et de toute contribution apportée par l’État chargé de la mise en œuvre, en tenant compte des mêmes critères que ceux que la juridiction compétente de l’État d’émission devrait suivre. Lorsque l’autorité d’émission a l’intention de maintenir l’injonction, elle devrait demander un réexamen par la juridiction compétente de l’État d’émission, qui a fait l’objet d’une notification par l’État membre concerné, qui devrait réexaminer l’injonction.

(76)

Pour déterminer l’existence d’une obligation en conflit dans les circonstances spécifiques de l’affaire examinée, la juridiction compétente pourrait s’appuyer sur une expertise externe appropriée si nécessaire, par exemple sur l’interprétation du droit du pays tiers concerné. À cet effet, la juridiction compétente pourrait, par exemple, consulter l’autorité centrale du pays tiers, en tenant compte de la directive (UE) 2016/680. L’État d’émission devrait notamment demander des informations à l’autorité compétente du pays tiers lorsque le conflit concerne des droits fondamentaux ou d’autres intérêts fondamentaux du pays tiers liés à la sécurité et à la défense nationales.

(77)

Une expertise sur l’interprétation pourrait également être fournie par le biais d’avis d’experts lorsqu’ils sont disponibles. Les informations et la jurisprudence sur l’interprétation du droit d’un pays tiers et sur les procédures de résolution des conflits de lois dans les États membres doivent être mises à disposition sur une plateforme centrale telle que le projet SIRIUS ou le réseau judiciaire européen, afin de pouvoir bénéficier de l’expérience et de l’expertise acquises sur des questions identiques ou similaires. La disponibilité de ces informations sur une plateforme centrale ne devrait pas empêcher une nouvelle consultation du pays tiers le cas échéant.

(78)

Lorsqu’elle évalue s’il existe des obligations en conflit, la juridiction compétente devrait déterminer si le droit du pays tiers est applicable et, dans l’affirmative, si le droit du pays tiers interdit la divulgation des données concernées. Lorsque la juridiction compétente établit que le droit du pays tiers interdit la divulgation des données concernées, cette juridiction devrait décider s’il y a lieu de maintenir ou de lever l’injonction européenne de production, en pondérant un certain nombre d’éléments visant à déterminer la force de la connexion à l’une ou l’autre des deux juridictions concernées, les intérêts respectifs à obtenir ou, au contraire, à empêcher la divulgation des données, et les éventuelles conséquences pour le destinataire ou le fournisseur de services du respect de l’injonction. Il convient, lors de l’évaluation, d’accorder une importance particulière et un poids particulier à la protection des droits fondamentaux par la disposition de droit pertinente du pays tiers et d’autres intérêts fondamentaux, tels les intérêts liés à la sécurité nationale du pays tiers, ainsi que le degré de connexion de l’affaire pénale avec l’une ou l’autre des deux juridictions. Lorsque la juridiction décide de lever l’injonction, elle devrait en informer l’autorité d’émission et le destinataire. Si la juridiction compétente décide que l’injonction doit être maintenue, elle devrait en informer l’autorité d’émission et le destinataire, lequel devrait procéder à l’exécution de cette injonction. L’autorité d’émission devrait informer l’autorité chargée de la mise en œuvre du résultat de la procédure de réexamen.

(79)

Les conditions énoncées dans le présent règlement en ce qui concerne l’exécution d’un EPOC devraient également être applicables en cas d’obligations en conflit découlant du droit d’un pays tiers. Par conséquent, lors du contrôle juridictionnel, lorsque le respect d’une injonction européenne de production empêcherait les fournisseurs de services de respecter une obligation légale découlant du droit d’un pays tiers, les données demandées par cette injonction devraient être conservées. Lorsque, à la suite du contrôle juridictionnel, la juridiction compétente décide de lever une injonction européenne de production, il devrait être possible d’émettre une injonction européenne de conservation pour permettre à l’autorité d’émission de requérir la production des données par d’autres canaux tels que l’entraide judiciaire.

(80)

Il est essentiel que toutes les personnes dont les données sont demandées dans le cadre d’enquêtes ou de procédures pénales aient accès à un recours juridictionnel effectif, conformément à l’article 47 de la Charte. Dans le respect de cette exigence et sans préjudice d’autres recours légaux disponibles conformément au droit national, toute personne dont les données ont été demandées au moyen d’une injonction européenne de production devrait avoir droit à des recours effectifs contre cette injonction. Lorsque cette personne est un suspect ou une personne poursuivie, celle-ci devrait avoir droit à des recours effectifs pendant la procédure pénale au cours de laquelle les données sont utilisées comme preuve. Le droit à des recours effectifs devrait être exercé devant une juridiction de l’État d’émission conformément à son droit national et devrait comprendre la possibilité de contester la légalité de la mesure, notamment sa nécessité et sa proportionnalité, sans préjudice des garanties des droits fondamentaux dans l’État chargé de la mise en œuvre ou d’autres voies de recours supplémentaires prévues par le droit national. Le présent règlement ne devrait pas limiter les motifs possibles de contestation de la légalité d’une injonction. Le droit à des recours effectifs prévu par le présent règlement devrait être sans préjudice du droit de former un recours prévu par le règlement (UE) 2016/679 et la directive (UE) 2016/680. Il convient de fournir en temps utile des informations sur les possibilités de former un recours prévues par le droit national et de veiller à ce que ces recours soient exercés de manière effective.

(81)

Des canaux appropriés devraient être mis en place pour garantir que toutes les parties puissent coopérer efficacement par des moyens numériques, grâce à un système informatique décentralisé permettant l’échange électronique transfrontière rapide, direct, interopérable, durable, fiable et sécurisé de formulaires, de données et d’informations liés aux affaires.

(82)

Afin de permettre une communication écrite efficace et sécurisée entre les autorités compétentes et les établissements désignés ou les représentants légaux des fournisseurs de services au titre du présent règlement, ces établissements désignés ou ces représentants légaux devraient disposer de moyens électroniques d’accès aux systèmes informatiques nationaux, qui font partie du système informatique décentralisé, gérés par les États membres.

(83)

Le système informatique décentralisé devrait comprendre les systèmes informatiques des États membres et des agences et organes de l’Union, ainsi que des points d’accès interopérables, par l’intermédiaire desquels ces systèmes informatiques sont interconnectés. Les points d’accès du système informatique décentralisé devrait se fonder sur le système e-CODEX, établi par le règlement (UE) 2022/850 du Parlement européen et du Conseil (24).

(84)

Les fournisseurs de services qui utilisent des solutions informatiques sur mesure aux fins de l’échange d’informations et de données liées aux demandes de preuves électroniques devraient disposer de moyens automatisés pour accéder aux systèmes informatiques décentralisés grâce à une norme commune en matière d’échange de données.

(85)

En principe, toutes les communications écrites entre les autorités compétentes ou entre les autorités compétentes et les établissements désignés ou les représentants légaux devraient passer par le système informatique décentralisé. Des moyens de substitution ne devraient pouvoir être utilisés que lorsqu’il n’est pas possible d’utiliser le système informatique décentralisé, notamment parce qu’il existe des exigences médico-légales spécifiques, parce que le volume de données ne peut être transféré correctement du fait de contraintes en matière de capacité technique ou parce qu’un autre établissement non connecté au système informatique décentralisé doit être contacté dans un cas d’urgence. En pareils cas, la transmission devrait être effectuée par les moyens de substitution les plus appropriés, en tenant compte de la nécessité de garantir un échange d’informations rapide, sécurisé et fiable.

(86)

Afin de s’assurer que le système informatique décentralisé comporte un enregistrement exhaustif des échanges écrits, comme le prévoit le présent règlement, toute transmission effectuée par des moyens de substitution devrait être enregistrée sans retard injustifié dans le système informatique décentralisé.

(87)

L’utilisation de mécanismes garantissant l’authenticité devrait être envisagée, comme le prévoit le règlement (UE) no 910/2014 du Parlement européen et du Conseil (25).

(88)

Les fournisseurs de services, en particulier les petites et moyennes entreprises, ne devraient pas être exposés à des coûts disproportionnés en ce qui concerne la mise en place et le fonctionnement du système informatique décentralisé. Dans le cadre de la création, de l’entretien et du développement de la mise en œuvre de référence, la Commission doit donc également mettre à disposition une interface internet permettant aux fournisseurs de services de communiquer en toute sécurité avec les autorités sans avoir à mettre en place leur propre infrastructure spécifique pour accéder au système informatique décentralisé.

(89)

Les États membres devraient pouvoir utiliser le logiciel développé par la Commission, à savoir le logiciel de mise en œuvre de référence, en lieu et place d’un système informatique national. Ce logiciel de mise en œuvre de référence doit être basé sur une configuration modulaire, ce qui signifie que le logiciel est conditionné et livré séparément des composants du système e-CODEX nécessaires pour le connecter au système informatique décentralisé. Cette configuration devrait permettre aux États membres de réutiliser ou d’améliorer leurs infrastructures nationales de communication judiciaire respectives existantes à des fins d’utilisation transfrontière.

(90)

La Commission devrait être responsable de la création, de la maintenance et du développement du logiciel de mise en œuvre de référence. La Commission devrait concevoir et développer le logiciel de mise en œuvre de référence et en assurer la maintenance dans le respect des exigences et principes en matière de protection des données fixés dans le règlement (UE) 2018/1725 du Parlement européen et du Conseil (26), le règlement (UE) 2016/679 et la directive (UE) 2016/680, en particulier les principes de protection des données dès la conception et par défaut, et la garantie d’un niveau élevé de cybersécurité. Il importe que le logiciel de mise en œuvre de référence comporte également des mesures techniques appropriées et permette de prendre les mesures organisationnelles nécessaires pour assurer un niveau approprié de sécurité et d’interopérabilité.

(91)

Afin d’assurer des conditions uniformes d’exécution du présent règlement, il convient de conférer des compétences d’exécution à la Commission. Ces compétences devraient être exercées conformément au règlement (UE) no 182/2011 du Parlement européen et du Conseil (27).

(92)

En ce qui concerne les échanges de données effectués au moyen du système informatique décentralisé ou enregistrés dans le système informatique décentralisé, les États membres devraient être en mesure de collecter des statistiques afin de remplir leurs obligations en matière de suivi et de communication d’informations au titre du présent règlement par l’intermédiaire de leurs portails nationaux.

(93)

Afin d’assurer le suivi des réalisations, des résultats et des incidences du présent règlement, la Commission devrait publier un rapport annuel portant sur l’année civile précédente, à partir des données obtenues auprès des États membres. À cette fin, les États membres devraient collecter et fournir à la Commission des statistiques complètes sur les différents aspects du présent règlement, par type de données demandées et par destinataire, et indiquer s’il s’agissait ou non d’un cas d’urgence.

(94)

L’utilisation de formulaires prétraduits et standardisés pourrait faciliter la coopération et l’échange d’informations au titre du présent règlement, permettant ainsi de communiquer plus rapidement et plus efficacement d’une manière conviviale. Ces formulaires pourraient réduire les coûts de traduction et contribuer à une norme de qualité élevée en matière de communication. Les formulaires de réponse pourraient rendre possible un échange d’informations normalisé, en particulier lorsque les fournisseurs de services ne peuvent pas se conformer à une demande parce que le compte d’utilisateur n’existe pas ou parce qu’aucune donnée n’est disponible. Les formulaires prévus par le présent règlement pourraient faciliter également la collecte de statistiques.

(95)

Afin de répondre efficacement à un éventuel besoin d’améliorations concernant le contenu des formulaires EPOC et EPOC-PR ainsi que des formulaires à utiliser pour fournir des informations sur l’impossibilité d’exécuter un EPOC ou un EPOC-PR, pour confirmer l’émission d’une demande de production à la suite d’une injonction européenne de conservation et pour prolonger la conservation des preuve électroniques, il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne en ce qui concerne la modification des formulaires prévus par le présent règlement. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016«Mieux légiférer» (28). En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués.

(96)

Le présent règlement ne devrait pas porter atteinte aux instruments, conventions et accords de l’Union ou à d’autres instruments, conventions et accords internationaux relatifs à l’obtention de preuves qui relève du champ d’application du présent règlement. Les autorités des États membres devraient choisir l’outil le plus adapté au cas d’espèce. Dans certains cas, elles pourraient privilégier l’utilisation d’instruments, de conventions et d’accords de l’Union ou d’autres instruments, conventions et accords internationaux pour demander à un autre État membre un ensemble de différents types de mesures d’enquête qui ne se limitent pas à la production de preuves électroniques. Les États membres devraient notifier à la Commission, au plus tard trois ans après l’entrée en vigueur du présent règlement, les instruments, conventions et accords existants, visés dans le présent règlement, qu’ils continueront d’appliquer. Les États membres notifient également à la Commission, dans un délai de trois mois à compter de leur signature, toute nouvelle convention ou tout nouvel accord visé dans le présent règlement.

(97)

Compte tenu des évolutions technologiques, de nouvelles formes d’outils de communication pourraient s’imposer dans quelques années, ou des lacunes pourraient apparaître dans l’application du présent règlement. Il est de ce fait important de prévoir une évaluation de son application.

(98)

La Commission devrait procéder à une évaluation du présent règlement fondée sur les cinq critères d’efficience, d’efficacité, de pertinence, de cohérence et de valeur ajoutée de l’UE et cette évaluation devrait servir de base aux analyses d’impact d’éventuelles mesures supplémentaires. Le rapport d’évaluation devrait comporter une évaluation de l’application du présent règlement et des résultats obtenus en ce qui concerne ses objectifs, ainsi qu’une évaluation de l’incidence du présent règlement sur les droits fondamentaux. La Commission devrait collecter les informations régulièrement dans le but d’alimenter l’évaluation du présent règlement.

(99)

Étant donné que l’objectif du présent règlement, à savoir améliorer la collecte et l’obtention de preuves électroniques par-delà les frontières, ne peut pas être atteint de manière suffisante par les États membres en raison de son caractère transfrontière, mais peut l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre cet objectif.

(100)

Conformément à l’article 3 du protocole no 21 sur la position du Royaume-Uni et de l’Irlande à l’égard de l’espace de liberté, de sécurité et de justice, annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, l’Irlande a notifié son souhait de participer à l’adoption et à l’application du présent règlement.

(101)

Conformément aux articles 1er et 2 du protocole no 22 sur la position du Danemark annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, le Danemark ne participe pas à l’adoption du présent règlement et n’est pas lié par celui-ci ni soumis à son application.

(102)

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 et a émis un avis le 6 novembre 2019 (29),