Protection des données à caractère personnel: traitement des données à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et libre circulation des données

OBJECTIF : protéger les libertés et les droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données personnelles, et garantir le libre échange de ces dernières par les autorités compétentes au sein de l’Union.

ACTE PROPOSÉ : Directive du Parlement européen et du Conseil.

CONTEXTE : la pièce maîtresse de la législation de l’UE en matière de protection des données à caractère personnel, à savoir la directive 95/46/CE, poursuivait deux objectifs : protéger le droit fondamental à la protection des données et garantir la libre circulation des données à caractère personnel entre les États membres. Elle a été complétée par la décision-cadre 2008/977/JAI (ancien troisième pilier) destinée à protéger les données à caractère personnel dans les domaines de la coopération policière et de la coopération judiciaire en matière pénale.

Le champ d'application de la décision cadre 2008/977/JAI est limité, car celle ci s'applique uniquement aux traitements transfrontières de données, et non aux traitements effectués par les autorités policières et judiciaires au niveau strictement national. La décision-cadre confère en outre aux États membres une très grande marge de manœuvre pour transposer ses dispositions en droit national. Qui plus est, cette décision ne prévoit aucun mécanisme ni aucun groupe consultatif analogue au groupe de travail «Article 29» favorisant l’interprétation commune de ses dispositions, ni aucune compétence d’exécution en faveur de la Commission pour garantir une approche commune de sa mise en œuvre.

En raison de la nature spécifique des domaines de la coopération judiciaire en matière pénale et de la coopération policière, il a été reconnu dans la déclaration annexée au TFUE que des règles spécifiques sur la protection des données à caractère personnel et sur la libre circulation de ces données dans ces domaines, se basant sur l'article 16 du TFUE, pourraient s'avérer nécessaires.

En 2010, le Conseil européen a invité la Commission à évaluer le fonctionnement des instruments de l'UE relatifs à la protection des données et à présenter, si besoin est, de nouvelles initiatives législatives et non législatives.

• Dans sa résolution sur le programme de Stockholm, le Parlement européen s’est félicité de la proposition d’un régime complet de protection des données à l’intérieur de l’Union et a, entre autres, plaidé pour une révision de la décision cadre.
• Dans son plan d'action mettant en œuvre le programme de Stockholm, la Commission insistait sur la nécessité de veiller à ce que le droit fondamental à la protection des données à caractère personnel soit appliqué systématiquement dans le cadre de toutes les politiques européennes. Dans sa communication intitulée «Une approche globale de la protection des données à caractère personnel dans l’Union européenne», elle a conclu que l’UE avait besoin d’une politique plus globale et plus cohérente à l’égard du droit fondamental à la protection des données à caractère personnel.

La présente proposition s’inscrit dans le nouveau cadre juridique envisagé pour la protection des données à caractère personnel dans l'Union européenne, qui est décrit dans sa communication sur ce sujet. Ce nouveau cadre juridique se compose de deux propositions législatives:

• une proposition de règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), et
• la présente proposition de directive relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales, et à la libre circulation de ces données.

ANALYSE D’IMPACT : cette analyse reposait sur trois objectifs, à savoir: 1) renforcer la dimension «marché intérieur» de la protection des données, 2) rendre l’exercice du droit à la protection des données par les personnes physiques plus effectif et 3) instaurer un cadre global et cohérent couvrant tous les domaines de compétence de l’Union, y compris la coopération policière et la coopération judiciaire en matière pénale. En ce qui concerne ce dernier objectif en particulier, deux options ont été analysées:

• une première option étendant simplement la portée des règles de protection des données à ce domaine et remédiant aux lacunes et autres questions soulevées par la décision cadre,
• une seconde option plus complète, assortie de règles extrêmement normatives et strictes, qui impliquerait en outre la modification immédiate de tous les autres instruments relevant de «l'ancien troisième pilier».

Une option «minimaliste» largement fondée sur des communications interprétatives et des mesures de soutien telles que des programmes de financement et des instruments techniques, avec une intervention législative minimale, n'a pas été jugée appropriée. L’option privilégiée qui est intégrée dans la présente proposition devrait permettre de la protection des données, notamment par l’inclusion des traitements de données nationaux, et ainsi d’accroître la sécurité juridique pour les autorités compétentes dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière.

BASE JURIDIQUE : article 16, paragraphe 2, du traité sur le fonctionnement de l’Union européenne (TFUE).

CONTENU : la directive proposée abrogera la décision cadre 2008/977/JAI du Conseil. Elle vise à établir les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes aux fins de la prévention et de la détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou de l'exécution de sanctions pénales. Son champ d'application ne se limite pas au traitement transfrontière de données, mais s'applique à l'ensemble des traitements effectués par les «autorités compétentes» définies à la directive.

Principes : la proposition énonce les principes régissant le traitement des données à caractère personnel et oblige les États membres à établir, dans la mesure du possible, une distinction entre les données à caractère personnel de différentes catégories de personnes concernées. Elle énonce les motifs fondant la licéité du traitement: celui ci doit être nécessaire : i) à l’exécution d’une mission par une autorité compétente en vertu de la législation nationale, ii) au respect d’une obligation légale à laquelle le responsable du traitement est soumis, iii) à la sauvegarde des intérêts vitaux de la personne concernée, ou iv) pour prévenir une menace grave et immédiate pour la sécurité publique.

La directive proposée prévoit une interdiction générale des traitements portant sur des catégories particulières de données à caractère personnel, et les exceptions à cette règle générale; elle ajoute à ces catégories celle des données génétiques, conformément à la jurisprudence de la Cour européenne des droits de l’homme. Elle interdit les mesures exclusivement fondées sur un traitement automatisé de données à caractère personnel, à moins qu’elles ne soient autorisées par une loi prévoyant des garanties appropriées.

Droits de la personne concernée : la proposition introduit l’obligation, pour les États membres, de fournir des informations transparentes, facilement accessibles et intelligibles, et d’imposer aux responsables du traitement de prévoir des procédures et des mécanismes permettant aux personnes concernées d’exercer leurs droits plus aisément. Ces procédures et mécanismes comprennent notamment l’obligation de prévoir l’exercice, en principe gratuit, de ces droits. Les États membres seraient tenus de veiller à l’information de la personne concernée et de garantir à la personne concernée un droit d’accès aux données à caractère personnel la concernant.

La directive prévoit que les États membres peuvent adopter des mesures législatives limitant le droit d'accès si la nature spécifique du traitement des données dans les domaines de la police et de la justice pénale l’exige, ou prévoyant la communication à la personne concernée de la limitation d'accès.

Les dispositions en matière de rectification, d'effacement et de limitation du traitement dans les procédures judiciaires apportent des précisions fondées sur la décision cadre 2008/977/JAI.

Responsable du traitement et sous traitant : la proposition dispose que les États membres doivent faire en sorte que le responsable du traitement respecte les obligations qui découlent des principes de protection des données dès la conception et de protection des données par défaut. Elle précise la fonction de sous traitant et les obligations qui y sont attachées ainsi que les obligations qui incombent au responsable du traitement et au sous traitant dans le cadre de leur coopération avec l’autorité de contrôle.

La proposition introduit l’obligation, pour les responsables du traitement et les sous traitants, de conserver une trace documentaire de tous les systèmes et procédures de traitement sous leur responsabilité.

Sécurité des données : l’article relatif à la sécurité des traitements étend aux sous traitants les obligations correspondantes, quelle que soit la nature du contrat qu’ils ont conclu avec le responsable du traitement.

La proposition introduit une obligation de notification des violations de données à caractère personnel. Elle précise et distingue, d’une part, l’obligation de notification à l’autorité de contrôle et, d’autre part, l’obligation d’information, dans certaines circonstances, de la personne concernée. Elle prévoit aussi des dérogations fondées sur les motifs énumérés à la directive.

Délégué à la protection des données : la proposition introduit l’obligation, à la charge du responsable du traitement, de désigner un délégué à la protection des données chargé des missions énumérées à la directive. Lorsque plusieurs autorités compétentes agissent sous le contrôle d'une autorité centrale, faisant office de responsable du traitement, il devrait incomber au moins à cette autorité centrale de désigner ce délégué.

Transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale : les transferts vers des pays tiers ne pourront avoir lieu que s’ils sont nécessaires à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ou d’exécution de sanctions pénales.

La proposition autorise les transferts vers un pays tiers pour lequel la Commission a adopté une décision constatant le caractère adéquat du niveau de protection ou, en l’absence d’une telle décision, lorsqu’il existe des garanties appropriées. Elle énonce en outre les critères permettant à la Commission d’apprécier le caractère adéquat ou non d’un niveau de protection, et inclut expressément la primauté du droit, l'existence d'un droit de recours judiciaire et un contrôle indépendant. Elle prévoit également la faculté pour la Commission d’apprécier le niveau de protection assuré par un territoire ou un secteur de traitement des données à l’intérieur d’un pays tiers.

En outre, la directive proposée :

• définit les garanties appropriées qui, en l’absence d’une décision de la Commission relative au caractère adéquat du niveau de protection, sont exigées avant tout transfert international. Le responsable du traitement peut aussi, sur la base d’une évaluation des circonstances entourant le transfert, conclure à l’existence de ces garanties ;
• définit les dérogations autorisées pour les transferts de données ;
• oblige les États membres à prévoir que le responsable du traitement informe le destinataire de toute limitation du traitement et prend toutes les mesures raisonnables pour que ces limitations soient respectées par les destinataires des données à caractère personnel dans le pays tiers ou l’organisation internationale ;
• prévoit expressément l’élaboration de mécanismes de coopération internationaux dans le domaine de la protection des données à caractère personnel, entre la Commission et les autorités de contrôle de pays tiers.

Autorités de contrôle indépendantes : la proposition oblige les États membres de mettre en place des autorités de contrôle, et à élargir la mission de celles-ci qui seront également chargées de contribuer à l'application cohérente de la directive dans l’ensemble de l'Union; cette autorité de contrôle peut être celle instituée en vertu du règlement général sur la protection des données. Elle clarifie également les conditions garantissant l'indépendance des autorités de contrôle, en application de la jurisprudence de la Cour de justice de l'Union européenne.

La proposition définit la compétence des autorités de contrôle. Elle oblige les États membres à définir les fonctions de l'autorité de contrôle, consistant notamment à recevoir et à examiner les réclamations, et à sensibiliser le public aux risques, règles, garanties et droits existants. Une fonction propre aux autorités de contrôle dans le contexte de la présente directive consiste, lorsque l'accès direct aux données est refusé ou limité, à exercer le droit d'accès pour le compte des personnes concernées et à vérifier la licéité du traitement de ces données.

Coopération : la proposition instaure des règles en matière d'assistance mutuelle obligatoire. Elle prévoit que le comité européen de la protection des données, institué par le règlement général sur la protection des données, exerce ses missions dans le contexte également des traitements relevant du champ d'application de la présente directive.

Voies de recours et sanctions : la proposition : i) prévoit le droit de toute personne concernée de déposer une réclamation auprès d'une autorité de contrôle ; ii) précise les organismes ou associations habilités à déposer une réclamation au nom de la personne concernée ou, en cas de violation de données à caractère personnel, indépendamment de toute réclamation introduite par une personne concernée ; iii) prévoit que la personne concernée peut intenter une action en justice pour contraindre une autorité de contrôle à donner suite à une réclamation ; iv) prévoit le droit de former un recours juridictionnel contre un responsable du traitement ou un sous-traitant ; v) instaure des règles communes pour les procédures juridictionnelles, y compris le droit conféré à des organismes ou associations de représenter les personnes concernées devant les tribunaux et le droit des autorités de contrôle d'ester en justice ; vi) oblige les États membres à prévoir un droit à réparation et à définir les sanctions pénales applicables aux infractions à la directive.

INCIDENCE BUDGÉTAIRE : les incidences budgétaires spécifiques de la proposition concernent les missions dévolues au contrôleur européen de la protection des données. Ces incidences nécessitent une reprogrammation de la rubrique 5 du cadre financier. Le total des crédits est estimé à 24,339 millions EUR pour la période 2014-2020. La proposition n'a pas d'incidence sur les dépenses de fonctionnement.

ACTES DÉLÉGUÉS : la proposition contient des dispositions habilitant la Commission à adopter des actes délégués conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne.