Le Parlement européen a adopté par 600 voix pour, 21 voix contre et 39 abstentions, une résolution législative modifiant, dans le cadre de la procédure de consultation (2ème consultation répétée), la proposition de décision-cadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale.
Le rapport avait été déposé en vue de son examen en séance plénière par Mme Martine ROURE (PSE, FR) au nom de la commission des libertés civiles, de la justice et des affaires intérieures. Il s’agissait du 3ème rapport préparé par Mme ROURE sur ce dossier. En effet, le Parlement européen avait déjà été consulté 2 fois sur ce projet de décision-cadre : une 1ère fois en septembre 2006, puis une 2ème en juin 2007. Les débats au Conseil sur ce dossier ayant été longs et disputés, une ultime version du texte (qui diffère sensiblement de la proposition initiale de la Commission et du texte du Conseil), fait l’objet de la présente 3ème consultation, sur base de l’accord politique intervenu au Conseil le 11 décembre 2007.
Les principaux amendements adoptés selon la procédure de consultation peuvent se résumer comme suit :
Respect de la Convention 108 du Conseil de l'Europe : le Parlement estime que la décision-cadre doit pleinement respecter les dispositions de la Convention 108 du Conseil de l’Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel.
Champ d’application et extension aux données nationales : parmi les amendements majeurs adoptés par le Parlement figure l’extension de la décision-cadre au traitement des données nationales. Le Parlement estime en effet qu’il est essentiel que ce texte s'applique aussi au traitement des données nationales, de façon à éviter différents niveaux de protection des données dans l'ensemble de l'Union européenne. Il réinsère dès lors les dispositions qui avaient été supprimées dès 2006 par le Conseil tendant à exclure les données nationales du champ d’application de la proposition. Le Parlement supprime également une disposition ajoutée par le Conseil, destinée à réaffirmer que la décision-cadre était « sans préjudice » des intérêts essentiels en matière de sécurité nationale dans les États membres.
Données sur l’origine raciale, ethnique…etc. : le Parlement estime que le traitement des données sur l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle des personnes doit être interdit. Des exceptions seraient tolérées mais dans des cas clairement circonscrits. Ainsi, ces catégories spécifiques de données ne pourraient être traitées automatiquement sauf si la législation nationale prévoit des garanties appropriées (le même type de réserve devant s'appliquer aux données à caractère personnel relatives à des condamnations pénales).
Garantie du principe de proportionnalité et du principe de l'objectif limité: le Parlement note que l'article 3 fixe des conditions de proportionnalité à la décision-cadre. Ainsi, les données à caractère personnel doivent être obtenues et traitées loyalement et licitement comme prévu par l'article 5 de la Convention 108. Tout traitement ultérieur des données ne devrait être possible qu’au cas par cas afin de tenir compte de la nature spécifique de la coopération policière et judiciaire et seulement si cela est compatible avec les objectifs pour lesquels les données ont été collectées. Le Parlement considère dès lors que la disposition de l'article 12 d) qui autorise l'utilisation des données "à toute autre fin" est trop vague. C’est pourquoi, il précise que les données personnelles ne devraient être traitées ultérieurement que pour une finalité clairement spécifiée et lorsqu'elle est prévue par la loi et nécessaire dans une société démocratique pour la protection de l'un des intérêts énoncés à l'article 9 de la Convention 108.
Transfert de données : conformément à l’approche préconisée par le Conseil, le Parlement accepte qu’il puisse y avoir transfert de données sans accord préalable mais seulement si cela est essentiel pour prévenir un danger immédiat et sérieux pour la sécurité publique d'un État membre ou d'un État tiers et à la condition expresse que les données ne soient traitées par le destinataire que si cela est absolument nécessaire pour la finalité spécifique pour laquelle les données ont été fournies. En tout état de cause, de tels transferts devront être notifiés à l'autorité de contrôle compétente. Ces transferts devront par ailleurs être dûment consignés.
Transfert de données à des personnes privées : une nouvelle clause précise que les autorités des États membres devraient avoir accès aux données à caractère personnel contrôlées par des personnes privées et ne devraient procéder au traitement de ces données qu'au cas par cas, dans des circonstances spécifiques et sous réserve d'un contrôle judiciaire dans les États membres. Le Parlement précise en outre que la législation des États membres devra veiller à ce que, lorsque des personnes privées recueillent et traitent des données dans le cadre d'une mission de service public, elles devraient être soumises à des exigences au moins équivalentes, voire supérieures à celles imposées aux autorités compétentes.
Transfert de données à des pays tiers : de la même manière, les États membres ne devraient fournir des données personnelles à des pays tiers ou des organisations internationales que dans certaines circonstances, entre autre si ces tiers sont en mesure de fournir un niveau adéquat de protection des données, au moins équivalent à celui prévu par l'article 2 du protocole additionnel à la Convention 108 du Conseil de l’Europe. Le Parlement exige toutefois que l’évaluation de ce niveau adéquat de protection soit réalisée par une autorité indépendante et non par l'État membre transférant les données.
Autorités de supervision : le Parlement renforce encore le niveau de protection en exigeant que les autorités de contrôle de chaque État membre soient consultées lors de l'élaboration de mesures ou de règlements administratifs concernant la protection des droits et libertés des personnes au regard du traitement des données à caractère personnel aux fins de la prévention, la recherche, la détection et la poursuite des infractions pénales ou l'exécution des sanctions pénales.
Groupe de travail et autorités nationales chargées de la protection des données : le Parlement introduit également une série de nouvelles dispositions existant dans la précédente version du texte du Conseil relativement à la création d'un groupe de travail sur la protection des personnes au regard du traitement des données à caractère personnel aux fins de la prévention, la recherche, la détection et la poursuite de délits. Le Parlement définit en outre clairement ses tâches. Celui-ci aura un statut consultatif et exercera ses activités de façon indépendante. Il aura pour mission essentielle de donner son avis sur toute question relative au niveau de protection des données, que ce soit dans les États membres et dans les pays tiers ou les organismes internationaux vers lesquels les données sont transférées.
Rapport de la Commission : le Parlement demande enfin que le rapport prévu à la proposition tienne compte des observations transmises par les parlements et gouvernements des États membres, le Parlement européen, le groupe de travail article 29 établi par la directive 95/46/CE, le Contrôleur européen de la protection des données et le groupe de travail prévu à la présente décision-cadre.