La Commission présente un rapport sur létat de la mise en uvre de la décision-cadre 2008/977/JAI du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale.
Les principaux points de ce rapport peuvent se résumer comme suit :
Champ dapplication des mesures nationales de mise en uvre : la décision-cadre sapplique au seul traitement des données à caractère personnel transmises ou mises à disposition entre les États membres (article 1er, paragraphe 2). Le traitement des données à caractère personnel par la police et la justice dans le cadre daffaires pénales au niveau national ne relève pas de cette décision-cadre. Trois États membres ont considéré que le champ dapplication limité de la décision-cadre constituait un problème. LItalie et les Pays-Bas ont évoqué la difficulté détablir, dans la pratique, une distinction entre le traitement transfrontière des données conformément à la décision-cadre 2008/977 et le traitement de celles-ci au niveau national, ainsi que la difficulté en découlant pour les autorités répressives nationales de sadapter à des règles de traitement différentes applicables aux mêmes données à caractère personnel. De manière générale, la Pologne a relevé les lacunes de la décision-cadre et a, notamment, exprimé son soutien à l'objectif poursuivi par la Commission d'instituer un cadre global et d'étendre les règles générales en matière de protection des données au domaine de la coopération policière et judiciaire en matière pénale.
Information des personnes concernées par les données (article 16) : conformément à la décision-cadre, les États membres doivent veiller à ce que les autorités nationales compétentes informent les personnes concernées que leurs données sont traitées ou ont été transmises à un autre État membre à des fins de prévention et de détection des infractions pénales, denquêtes et de poursuites en la matière, ou dexécution de sanctions pénales. Presque tous les États membres ont déclaré fournir aux personnes concernées certaines informations relatives au traitement de leurs données à caractère personnel. La France a indiqué quelle ne le faisait pas. Le Danemark naccorde pas non plus ce droit, mais a signalé que le responsable du traitement doit tenir un registre et informer le public. Le droit dinformation fait lobjet de limitations dans la grande majorité des États membres. Les Pays-Bas ont déclaré que lobligation générale dinformer la personne concernée par les données nétait pas totalement compatible avec la nature du travail de la police et de la justice, mais que certaines dispositions avaient été prises pour répondre suffisamment à lobligation dinformer la personne concernée au sujet du traitement de données par les autorités policières et judiciaires. La décision-cadre institue également le droit à linformation des personnes concernées par les données mais ne comporte aucune précision quant à la méthode à employer ou à déventuelles exceptions en la matière. Même si, aux dires des États membres, le droit à linformation est généralement accordé, sa mise en uvre varie considérablement.
Droit daccès des personnes concernées par les données (article 17) : la décision-cadre contient des dispositions générales conférant aux personnes concernées le droit de consulter leurs données. Elle ne détaille pas le type dinformations à fournir aux personnes concernées. Elle laisse également aux États membres le soin de décider si ces personnes peuvent exercer ce droit daccès directement ou si elles doivent le faire par la voie indirecte. Tous les États membres accordent, dans une certaine mesure, un droit daccès aux personnes concernées par les données. Ce droit est généralement inscrit dans la législation nationale générale en matière de protection des données. De nombreux États membres réglementent également les modalités du droit daccès dans la législation sectorielle (comme la législation policière). De même, les États membres prévoient tous des dérogations au droit daccès. Les motifs les plus fréquemment invoqués pour refuser le droit daccès sont la prévention, la recherche, la détection et la poursuite dinfractions pénales et la sûreté de lÉtat, la défense et la sécurité publique.
Autres questions soulevées par les États membres : 6 États membres ont formulé des commentaires sur des sujets qui les préoccupent :
- la Pologne a considéré que la décision-cadre présentait de nombreuses lacunes auxquelles il convenait de remédier et sest déclarée favorable à une réforme en vue de l'instauration d'un régime global et cohérent de protection des données au niveau de l'Union;
- lItalie et les Pays-Bas ont évoqué la difficulté détablir dans la pratique une distinction entre le traitement transfrontière des données conformément à la décision-cadre 2008/977 et le traitement de celles-ci au niveau national, ainsi que la difficulté en découlant pour les services répressifs nationaux de sadapter à des règles de traitement différentes applicables aux mêmes données à caractère personnel;
- lItalie, la République tchèque et les Pays-Bas ont désapprouvé les règles relatives aux transferts internationaux prévues dans la décision-cadre. En particulier, lItalie a déclaré quil était nécessaire de prévoir un niveau adéquat et plus uniforme de protection pour les transferts de données vers des pays tiers. Les Pays-Bas ont considéré comme problématique que la décision-cadre ne fixe pas de critères permettant de déterminer le caractère adéquat de la protection assurée par un pays tiers, ce qui donne lieu à une mise en uvre hétérogène de celle-ci par les États membres. Quant à la République tchèque, elle a jugé «irréaliste» de prévoir dans la décision-cadre des règles relatives aux transferts internationaux;
- la France a évoqué un problème qui lui est propre en ce qui concerne les durées de conservation des données à caractère personnel transférées à un pays tiers ou reçues dun tel pays dont les exigences à cet égard sont différentes;
- la Slovaquie a souligné la nécessité détablir une distinction plus marquée entre le traitement de données par la police et par le pouvoir judiciaire (procédures juridictionnelles);
- la République tchèque et les Pays-Bas ont tous deux indiqué quil était déroutant pour les autorités répressives de devoir se conformer à de multiples règles relatives à la protection des données existant aux niveaux international (telles celles édictées par le Conseil de lEurope), européen et national.
Le rapport estime que les difficultés pratiques rencontrées par un certain nombre dÉtats membres pour établir la distinction entre règles applicables respectivement au traitement national de données et traitement transfrontière de celles-ci pourraient être résolues grâce à un corps unique de règles visant le traitement de données tant au niveau national que dans un contexte transfrontière. Il conviendrait de clarifier davantage, au niveau de lUnion, le champ dapplication du droit dinformation des personnes concernées par les données ainsi que les éventuelles dérogations à ce droit. La définition de critères harmonisés minimaux en ce qui concerne le droit daccès des personnes concernées par les données pourrait renforcer les droits de ces personnes tout en prévoyant des dérogations pour permettre aux services de police et de justice de remplir convenablement leurs missions.
En vertu de larticle 16 du traité sur le fonctionnement de lUnion européenne, qui consacre le droit à la protection des données à caractère personnel, il est possible à présent dinstituer un cadre global relatif à la protection des données garantissant à la fois un niveau élevé de protection des données des personnes physiques dans le domaine de la coopération policière et judiciaire en matière pénale, et des échanges plus fluides des données à caractère personnel entre les autorités nationales policières et judiciaires, dans le respect entier du principe de subsidiarité.