Le Conseil a eu un débat d'orientation sur certaines questions concernant la proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales, et à la libre circulation de ces données.
Ce débat fait suite à une longue série de travaux menés par plusieurs présidences successives jusqu’à l’actuelle présidence grecque.
Nécessité et portée de l'instrument : plusieurs délégations émettent des réserves sur la nécessité de remplacer la décision-cadre par un nouvel instrument régissant non seulement les opérations de traitement transfrontières des données mais aussi les opérations de traitement nationales. Certaines délégations attirent également l'attention sur les difficultés qui pourraient se poser concernant la délimitation des champs d'application respectifs de la proposition de directive et de la proposition de règlement parallèle. Ces difficultés sont liées en particulier au souhait que le champ d'application de la directive englobe le traitement des données à caractère personnel à des fins de maintien de l'ordre public, qui est actuellement régi par la directive 95/46/CE, même si ces activités ne sont pas entreprises à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, ou d'exécution de sanctions pénales.
Le compromis actuel prévoit que la future directive s'applique au traitement des données à caractère personnel par les autorités publiques compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, de maintien de l'ordre public ou d'exécution de sanctions pénales.
Alignement (plus poussé) sur le règlement général sur la protection des données : il existe un large soutien en faveur de la reprise, dans la directive, de certaines des solutions trouvées dans le contexte du règlement général sur la protection des données, en ce qui concerne les définitions de la directive (article 3), les droits des personnes concernées (chapitre III), les obligations incombant au responsable du traitement et au sous-traitant (chapitre IV – par exemple articles 28 et 29 sur la communication des violations de données à l'autorité de contrôle et à la personne concernée), les transferts internationaux (chapitre V – suppression de la décision négative quant à l'adéquation) ou les autorités de contrôle indépendantes (chapitre VI).
Imposition de conditions spécifiques en cas de transfert de données : le compromis proposé prévoit qu'un État membre puisse imposer des conditions spécifiques de traitement applicables au transfert des données, suivant l'approche de l'article 12 de la décision-cadre. Sur cette base, lorsque la législation de l'Union ou d'un État membre applicable à l'autorité publique compétente qui transmet les données prévoit des conditions spécifiques applicables au traitement des données à caractère personnel, l'autorité publique qui transmettrait les données devrait informer le destinataire de ces conditions et de l'obligation de les respecter.
Traitement de données sensibles: les articles sur la licéité du traitement et le traitement des données sensibles ont été clarifiés dans le compromis de la présidence. Certaines délégations demandent également l'introduction du consentement comme motif de traitement et le remplacement de la règle d'interdiction de traitement des données sensibles (assortie d'une liste de dérogations) par une autorisation de traitement dans certaines conditions.
Les dispositions sur le droit d'accès direct et indirect des personnes aux données à caractère personnel les concernant, ainsi que celles sur les droits des personnes concernées lors des enquêtes et des procédures pénales suscitent toujours des questions de la part de plusieurs délégations.
Les délégations ont soulevé des questions relatives à d'autres points, tels que la définition des "organisations internationales".
Transferts internationaux de données: le chapitre V sur les transferts internationaux a également été révisé, par exemple en ce qui concerne l'introduction d'une obligation selon laquelle dans le cas où les données à caractère personnel sont transmises ou mises à disposition par un autre État membre, celui-ci devrait donner son autorisation préalable au transfert, en vertu de sa législation nationale.
Traitement ultérieur des données: la question du traitement ultérieur des données à caractère personnel par les autorités compétentes de pays tiers à des fins autres qu'administratives a également été soulevée au cours des discussions. Le compromis actuel maintient l'obligation, selon lequel les États membres seraient tenus d'éliminer les dispositions découlant d'accords bilatéraux incompatibles avec la législation de l'Union (y compris en renégociant les accords incompatibles) mais ne prévoit plus de délai pour ce faire.
La présidence grecque devrait poursuivre les travaux sur le texte du projet de directive à un stade ultérieur.