3ème avis du Contrôleur européen de la protection des données sur la proposition de décision- cadre relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale.
Le CEPD a déjà émis deux avis (le 19 décembre 2005 et le 29 novembre 2006) sur la proposition de décision-cadre du Conseil. En janvier 2007, la présidence allemande a défini un ensemble de points essentiels en vue de réexaminer la proposition afin de lever les réserves existant encore et d’améliorer la protection des données dans le cadre du troisième pilier. Les modifications considérables apportées à la proposition révisée, ainsi que son importance, justifient un nouvel avis du CEPD. Cet avis ne revient pas sur tous les éléments avancés dans les avis précédents, qui restent valables pour la proposition révisée.
Tout en saluant le fait que la présidence allemande ait donné un nouvel élan aux négociations, le CEPD se dit déçu par le contenu du texte soumis, estimant que ce dernier n’est pas à la hauteur des attentes, et ce pour les raisons suivantes:
- ce texte diminue le niveau de protection offert au citoyen, plusieurs dispositions essentielles à cet égard, qui figuraient dans la proposition de la Commission, ayant en effet été supprimées ;
- à bien des égards, la proposition révisée offre même un niveau de protection inférieur à celui offert par la convention 108, ce qui la rend non seulement insatisfaisante, mais en outre incompatible avec les obligations internationales des États membres ;
- le texte rend ce dossier encore plus complexe, vu qu'il couvre les données traitées par Europol, Eurojust et le système d'information douanier du troisième pilier, et qu'il ouvre le débat sur le contrôle de ces organes. Le présent avis examinera notamment si une décision-cadre du Conseil est bien l'instrument juridique qui convient pour ces questions ;
- la qualité législative du texte n'est pas satisfaisante. Outre le choix de l'instrument juridique, plusieurs dispositions ne répondent pas aux exigences fixées par les lignes directrices communes relatives à la qualité rédactionnelle de la législation communautaire. Le texte n'est pas formulé d'une manière claire, simple et précise, ce qui empêche le citoyen d'identifier exactement ses droits et ses obligations ;
- la proposition ne prévoyant pas un niveau de protection des données élevé et largement applicable, les échanges d'informations restent soumis aux différentes «règles d'origine» et aux «deux poids, deux mesures» qui nuisent considérablement à la coopération en matière répressive sans toutefois améliorer la protection des données à caractère personnel.
Par conséquent, le CEPD estime que cette proposition nécessite d'importantes améliorations afin d’assurer que ce cadre général:
- apporte une valeur ajoutée à la convention 108 en définissant les dispositions appropriées en matière de protection des données à caractère personnel exigées par l'article 30, paragraphe 1, du traité UE,
- soit applicable au traitement national des données à caractère personnel par les services répressifs,
- soit cohérent avec les principes relatifs à la protection des données applicables dans le premier pilier, tout en tenant compte, si besoin est, des spécificités des activités des services répressifs,
- soit conforme aux principes édictés par la convention 108 et la recommandation no R (87) 15, notamment en ce qui concerne: i) la limitation des autres finalités pour lesquelles les données à caractère personnel peuvent être traitées ; ii) la qualité des données, y compris la distinction entre les différentes catégories de personnes concernées (criminels, suspects, victimes, témoins, etc.), l'évaluation des divers niveaux de précision et de fiabilité des données à caractère personnel, les mécanismes permettant une vérification et une rectification régulières ; iii) les conditions de transfert des données à caractère personnel aux autorités non compétentes et aux personnes privées, de même que l'accès des services répressifs aux données à caractère personnel contrôlés par des personnes privées et leur utilisation ultérieure par ces services ;
- assure une protection adéquate lors de l'échange de données à caractère personnel avec des pays tiers, également en ce qui concerne les accords internationaux ;
- traite les autres points mentionnés dans le présent avis ainsi que dans les avis antérieurs du CEPD.