Avis du
Contrôleur européen de la protection des données sur l’initiative de
plusieurs États membres en vue d’une directive du Parlement européen et du Conseil
concernant la décision d’enquête européenne
Le présent avis réagit sur deux
initiatives présentées par un certain nombre d’États membres, à savoir:
La notification d’un avis sur
ces initiatives relève du mandat confié au CEPD à l’article 41 du règlement
(CE) n° 45/2001 prévoyant que celui-ci conseille les institutions et les
organes de l’Union pour toutes les questions concernant le traitement des
données à caractère personnel. Étant donné toutefois qu’aucune demande
formelle d’avis ne lui a été adressée, le CEPD rend le présent avis de sa
propre initiative. Il regrette au passage de ne pas avoir été consulté
d’office lorsque les initiatives ont été présentées.
Sur le fond, les deux
initiatives ne partagent certes pas les mêmes objectifs, à savoir l’amélioration
de la protection des victimes d’une part et la coopération transfrontière en
matière pénale au moyen de l’obtention de preuves transfrontières d’autre
part, mais elles présentent tout de même des similitudes importantes:
- elles se fondent toutes les
deux sur le principe de reconnaissance mutuelle des jugements et
décisions judiciaires ;
- elles trouvent leur origine
dans le programme de Stockholm ; et
- elles prévoient l’échange de
données à caractère personnel entre les États membres.
Le CEPD estime pour ces raisons
qu’il convient de les examiner conjointement.
Globalement, son avis peut se
résumer comme suit tant en ce qui concerne la décision de protection
européenne que la décision d’enquête européenne:
- il convient d’inclure des
dispositions particulières précisant que les instruments s’appliquent
sans préjudice de la décision-cadre
2008/977/JAI du Conseil relative à la protection des données à caractère
personnel traitées dans le cadre de la coopération policière et
judiciaire en matière pénale;
- il est nécessaire d’inclure
des dispositions demandant aux États membres de veiller à ce que:
- les autorités compétentes
disposent des ressources nécessaires à l’application des propositions
de directives;
- les responsables compétents
observent les normes professionnelles et soient soumis à des procédures
internes appropriées qui garantissent, notamment, la protection des
personnes physiques dans le cadre du traitement de données à caractère
personnel, une procédure équitable ainsi que le respect des
dispositions de confidentialité et de secret professionnel;
- les systèmes
d’authentification autorisent uniquement les personnes autorisées à
avoir accès aux bases de données contenant des données à caractère
personnel ou aux locaux dans lesquels se trouvent les preuves;
- les accès et les traitements
soient identifiés;
- des contrôles d’audit soient
réalisés.
En ce qui concerne
spécifiquement l’initiative relative à la décision d’enquête européenne, le
CEPD recommande en outre :
- d’inclure une disposition sur
les traductions, semblable à celle de l’article 16 de l’initiative
relative à la décision de protection européenne;
- d’inclure une disposition qui
interdit l’utilisation de preuves à des fins autres que la prévention et
la détection des infractions pénales, les enquêtes et les poursuites en
la matière, ou l’exécution de sanctions pénales et l’exercice du droit
de défense, comme exception à l’article 11, paragraphe 1, point d), de
la décision- cadre 2008/977/JAI;
- d’ajouter une clause
d’évaluation demandant aux États membres de rendre régulièrement compte
de l’application de l’instrument et à la Commission de synthétiser ces
comptes rendus et, le cas échéant, de soumettre des propositions
adéquates de modifications.
Par ailleurs, et de façon plus
générale, le CEPD:
a) recommande
au Conseil de mettre en place une procédure prévoyant de consulter le CEPD
lorsqu’une initiative introduite par des États membres concerne le traitement
de données à caractère personnel;
b) réitère
la nécessité d’un cadre juridique détaillé de protection des données couvrant
l’ensemble des compétences de l’Union européenne, y compris la police et la
justice, à appliquer aux données à caractère personnel transmises ou mises à
disposition par les autorités compétentes d’autres États membres ainsi qu’au
traitement intérieur dans l’ELSJ.