La commission des libertés civiles, de la justice et des affaires intérieures a adopté le rapport de Dimitrios DROUTSAS (S&D, EL) sur la proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données.
La commission parlementaire a recommandé que la position du Parlement européen adoptée en première lecture suivant la procédure législative ordinaire modifie la proposition de la Commission comme suit.
Normes minimales communes : la directive devrait protéger les libertés et droits fondamentaux des personnes physiques, et notamment leur droit à la protection de leurs données à caractère personnel et de leur vie privée. Elle ne devrait pas empêcher les États membres de prévoir des garanties plus strictes que celles qu'elle établit.
Principes : les données à caractère personnel devraient être : i) traitées de manière licite, loyale, transparente et vérifiable au regard de la personne concernée ; ii) limitées au minimum nécessaire au regard des finalités pour lesquelles elles sont traitées; iii) traitées uniquement si les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personne ; iv) traitées d'une manière protégeant contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle.
Accès aux données initialement traitées à d’autres fins : les députés ont introduit un nouvel article stipulant que l'accès serait limité aux seuls membres dûment autorisés des autorités compétentes dans l'exercice de leurs missions lorsque, dans un cas donné, il existe un motif raisonnable de croire que le traitement des données à caractère personnel contribuera sensiblement à la prévention ou la détection des infractions pénales, aux enquêtes ou aux poursuites en la matière, ou à l'exécution de sanctions pénales.
Délais de conservation et d'examen : les données traitées conformément à la directive devraient être supprimées par les autorités compétentes lorsqu'elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été traitées.
Les autorités compétentes devraient mettre en place des mécanismes assurant la fixation de délais applicables à l'effacement des données à caractère personnel et un examen périodique de la nécessité de conserver ces données.
Différentes catégories de personnes concernées : les autorités compétentes pourraient traiter les données à caractère personnel des seules catégories de personnes énumérées dans la directive. Les données des personnes autres que celles visées à la directive ne pourraient être traitées qu'aussi longtemps que cela s'avère nécessaire à des fins d'enquêtes ou de poursuites concernant une infraction pénale spécifique et que si ce traitement est indispensable pour atteindre des objectifs ciblés et préventifs ou à des fins d'analyse criminelle.
Niveaux de précision et de fiabilité des données : il est précisé que les données fondées sur des faits doivent être distinguées de celles fondées sur des appréciations personnelles, conformément à leur degré d'exactitude et de fiabilité. Les données inexactes, incomplètes ou qui ne sont plus à jour ne seraient pas transmises ou mises à disposition. Les données seraient uniquement transmises sur demande d'une autorité compétente, en particulier les données détenues initialement par des tiers privés.
Si des données inexactes ont été transmises ou que des données ont été transmises illicitement, le destinataire en serait informé immédiatement et devrait alors rectifier immédiatement les données.
Licéité du traitement : le traitement des données à caractère personnel ne serait licite que s’il s'appuie sur le droit de l'Union ou des États membres pour les finalités exposées à la directive.
Les députés ont précisé que la législation nationale devrait contenir des dispositions explicites et détaillées précisant pour le moins : i) les objectifs du traitement; ii) les données à caractère personnel à traiter; iii) les finalités et moyens du traitement; iv) la désignation du responsable du traitement ; v) les catégories de personnes autorisées à traiter les données ; vi) la procédure à suivre pour le traitement; vii) l'utilisation pouvant être faite des données recueillies ; viii) les limitations applicables à la portée de tout pouvoir discrétionnaire accordé aux autorités compétentes en ce qui concerne les activités de traitement.
Mesures fondées sur le profilage : les députés ont introduit une définition précise du profilage et renforcé les garanties des personnes visées en la matière.
Ainsi, le traitement automatisé de données à caractère personnel destiné à distinguer une personne concernée en l'absence d'un soupçon initial portant à croire que la personne concernée pourrait avoir commis une infraction pénale ne serait licite que si ce traitement est strictement nécessaire pour enquêter sur une infraction pénale grave ou pour prévenir un danger clair, imminent et établi sur la base d'indications factuelles, pour la sécurité publique, l'existence de l'État ou la vie de personnes.
Toute personne physique devrait avoir le droit d'obtenir des informations sur la logique sous-tendant le profilage. Ce traitement ne devrait en aucun cas contenir, produire ou discriminer des données sur la base de catégories particulières tenant à la race ou l'origine ethnique, les opinions politiques, la religion ou les convictions, l'appartenance syndicale ou l'orientation sexuelle.
Principes généraux pour les droits de la personne concernée : la directive devrait viser à renforcer, à clarifier, à garantir et, le cas échéant, à codifier ces droits. Ces droits devraient inclure entre autres, i) la fourniture d'informations claires et facilement intelligibles sur le traitement des données, sur le droit d'accès, de rectification et d'effacement de ses données, ii) le droit d'obtenir des données, iii) le droit d'introduire une réclamation auprès de l'autorité de protection des données compétente et d'ester en justice ainsi que iv) le droit à une indemnisation et à des dommages-intérêts pour une opération illicite de traitement. Ces droits devraient en général être exercés gratuitement.
Traitement de données génétiques aux fins d'une enquête criminelle ou d'une procédure judiciaire : le rapport a introduit de nouvelles dispositions stipulant que les données génétiques ne pourraient être utilisées qu'afin d'établir un lien génétique dans le cadre de la fourniture de preuves, de la prévention d'une menace pour la sécurité publique ou de la commission d'une infraction pénale spécifique.
Ces données ne pourraient être conservées au-delà de ce qui est nécessaire aux fins pour lesquelles les données ont été traitées et lorsque la personne concernée a été reconnue coupable d'atteintes graves à la vie, l'intégrité ou la sécurité de personnes, sous réserve de durées de conservation strictes fixées par la législation des États membres.
Analyse d'impact relative à la protection des données : les députés ont suggéré qu’une analyse d'impact relative à la protection des données soit réalisée par le responsable du traitement ou les sous-traitants. Cette analyse devrait porter notamment sur les dispositions, garanties et mécanismes envisagés pour assurer la protection des données à caractère personnel et pour démontrer que la directive est respectée.
Transfert de données vers des pays tiers : les députés ont estimé que la proposition de la Commission n’apportait pas toutes les garanties nécessaires pour assurer la protection des droits des personnes physiques dont les données seront transférées. Les données transmises aux autorités publiques compétentes dans les pays tiers ne devraient pas faire l'objet d'un traitement ultérieur pour d'autres finalités que celle au titre de laquelle elles ont été transmises.
Un transfert ultérieur des autorités compétentes vers les pays tiers ou les organisations internationales auxquels des données à caractère personnel ont été transmises ne devrait être autorisé que si ce transfert ultérieur est nécessaire pour la même finalité spécifique que celle du transfert initial, et si le deuxième destinataire est également une autorité publique compétente.
Les transferts ultérieurs à des fins d'application générale de la loi ne devraient pas être autorisés. De plus, l'autorité compétente qui a procédé au transfert initial devrait avoir donné son accord au transfert ultérieur.
Pouvoirs : les députés ont renforcé les pouvoirs des autorités de contrôle. Celles-ci devraient avoir, dans chaque État membre, des pouvoirs d'enquête effectifs, le droit d'accéder à toutes les données à caractère personnel et à toutes les informations nécessaires à l'exercice de chaque fonction de surveillance, le droit d'accéder à tous les locaux des responsables du traitement et des sous-traitants y compris en ce qui concerne les exigences en matière de traitement des données.
Les autorités devraient également pouvoir : i) adresser un avertissement ou une admonestation au responsable du traitement ou au sous-traitant ; ii) ordonner la rectification, l'effacement ou la destruction de toutes les données lorsqu'elles ont été traitées en violation des dispositions de la directive ; iii) interdire temporairement ou définitivement un traitement ; iv) informer les parlements nationaux, le gouvernement ou d'autres institutions publiques ainsi que le public.
Chaque autorité de contrôle devrait pouvoir imposer des sanctions par rapport à des infractions administratives.
Délégué à la protection des données : le délégué à la protection des données serait nommé pour une période d'au moins quatre ans reconductible.
Signalement des violations : les députés ont suggéré la mise en place des mécanismes efficaces pour encourager le signalement confidentiel des infractions à la directive.
Opérations conjointes : pour intensifier la coopération et l'assistance mutuelle, les autorités de contrôle devraient pouvoir mettre en œuvre des mesures répressives conjointes et d'autres opérations conjointes auxquelles participeraient des agents des autorités de contrôle d'autres États membres, désignés par celles-ci, pour les opérations se déroulant sur le territoire d'un État membre.
Transmission de données à caractère personnel à des tiers privés : les députés ont introduit un nouveau chapitre aux termes duquel le responsable du traitement ne devrait pas transmettre de données à caractère personnel à une personne physique ou morale non soumise aux dispositions adoptées en vertu de la directive, à moins par exemple : i) que cette transmission soit conforme à la législation de l'Union ou à la législation nationale; ii) que le destinataire soit établi dans un État membre de l'Union européenne; et iii) qu'aucun des intérêts spécifiques légitimes de la personne concernée ne s'y oppose.