Le Parlement européen a adopté par 371 voix pour, 276 contre et 30 abstentions, une résolution législative sur la proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données.
La position en première lecture adoptée par le Parlement européen suivant la procédure législative ordinaire a modifié la proposition de la Commission comme suit :
Normes minimales communes : la directive devrait protéger les libertés et droits fondamentaux des personnes physiques, et notamment leur droit à la protection de leurs données à caractère personnel et de leur vie privée. Elle ne devrait pas empêcher les États membres de prévoir des garanties plus strictes que celles qu'elle établit.
Principes : les données à caractère personnel devraient être traitées: i) de manière licite, loyale, transparente et vérifiable et être limitées au minimum nécessaire au regard des finalités pour lesquelles elles sont traitées; ii) uniquement si les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personne ; iii) d'une manière qui permette effectivement à la personne concernée d'exercer ses droits ; iv) d'une manière protégeant contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle ; v) uniquement par les membres du personnel dûment autorisés des autorités compétentes qui ont besoin de ces données pour l'exercice de leurs missions.
L'accès aux données à caractère personnel détenues par des tiers privés ou d'autres autorités publiques ne serait possible qu'à des fins d'enquête ou de poursuites concernant des infractions pénales, dans le respect des exigences de nécessité et de proportionnalité devant être arrêtées par le droit de l'Union et par chaque État membre dans son droit interne.
Délais de conservation et d'examen : les données traitées conformément à la directive devraient être supprimées par les autorités compétentes lorsqu'elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été traitées.
Les autorités compétentes devraient mettre en place des mécanismes assurant la fixation de délais applicables à l'effacement des données à caractère personnel et un examen périodique de la nécessité de conserver ces données.
Catégories de personnes concernées : les autorités compétentes ne pourraient traiter les données à caractère personnel que des seules catégories de personnes concernées. Les données de personnes autres que celles qui sont concernées ne pourraient être traitées que dans certaines conditions, par exemple si ce traitement est indispensable pour atteindre des objectifs ciblés et préventifs ou à des fins d'analyse criminelle.
Niveaux de précision et de fiabilité des données : il est précisé que les données fondées sur des faits doivent être distinguées de celles fondées sur des appréciations personnelles, conformément à leur degré d'exactitude et de fiabilité. Les données inexactes, incomplètes ou qui ne sont plus à jour ne seraient pas transmises ou mises à disposition. Les données seraient uniquement transmises sur demande d'une autorité compétente, en particulier les données détenues initialement par des tiers privés.
Si des données inexactes ont été transmises ou que des données ont été transmises illicitement, le destinataire en serait informé immédiatement et devrait alors rectifier immédiatement les données.
Licéité du traitement : le traitement des données à caractère personnel ne serait licite que s’il s'appuie sur le droit de l'Union ou des États membres pour les finalités exposées à la directive.
Les députés ont précisé que la législation nationale devrait contenir des dispositions explicites et détaillées précisant pour le moins : i) les objectifs du traitement; ii) les données à caractère personnel à traiter; iii) les finalités et moyens du traitement; iv) la désignation du responsable du traitement ; v) les catégories de personnes autorisées à traiter les données ; vi) la procédure à suivre pour le traitement; vii) l'utilisation pouvant être faite des données recueillies ; viii) les limitations applicables à la portée de tout pouvoir discrétionnaire accordé aux autorités compétentes en ce qui concerne les activités de traitement.
Mesures fondées sur le profilage : les députés ont introduit une définition précise du profilage et renforcé les garanties des personnes visées en la matière.
Ainsi, le traitement automatisé de données à caractère personnel destiné à distinguer une personne concernée en l'absence d'un soupçon initial portant à croire que la personne concernée pourrait avoir commis une infraction pénale ne serait licite que si ce traitement est strictement nécessaire pour enquêter sur une infraction pénale grave ou pour prévenir un danger clair, imminent et établi sur la base d'indications factuelles, pour la sécurité publique, l'existence de l'État ou la vie de personnes.
Toute personne physique devrait avoir le droit d'obtenir des informations sur la logique sous-tendant le profilage. Ce traitement ne devrait en aucun cas contenir, produire ou discriminer des données sur la base de catégories particulières tenant à la race ou l'origine ethnique, les opinions politiques, la religion ou les convictions, l'appartenance syndicale ou l'orientation sexuelle.
Principes généraux pour les droits de la personne concernée : la directive devrait viser à renforcer, à clarifier, à garantir et, le cas échéant, à codifier ces droits. Ces droits devraient inclure entre autres, i) la fourniture d'informations claires et facilement intelligibles sur le traitement des données, sur le droit d'accès, de rectification et d'effacement de ses données, ii) le droit d'obtenir des données, iii) le droit d'introduire une réclamation auprès de l'autorité de protection des données compétente et d'ester en justice ainsi que iv) le droit à une indemnisation et à des dommages-intérêts pour une opération illicite de traitement. Ces droits devraient en général être exercés gratuitement.
Traitement de données génétiques : le Parlement a introduit de nouvelles dispositions stipulant que les données génétiques ne pourraient être utilisées qu'afin d'établir un lien génétique dans le cadre de la fourniture de preuves, de la prévention d'une menace pour la sécurité publique ou de la commission d'une infraction pénale spécifique.
Ces données ne pourraient être conservées au-delà de ce qui est nécessaire aux fins pour lesquelles les données ont été traitées et lorsque la personne concernée a été reconnue coupable d'atteintes graves à la vie, l'intégrité ou la sécurité de personnes, sous réserve de durées de conservation strictes fixées par la législation des États membres.
Transfert de données vers des pays tiers : les députés ont estimé que la proposition de la Commission n’apportait pas toutes les garanties nécessaires pour assurer la protection des droits des personnes physiques dont les données seront transférées.
Le texte amendé prévoit que lorsque la Commission constate par voie de décision qu'un pays tiers, un territoire d'un pays tiers ou une organisation internationale n'assure pas un niveau adéquat de protection, le transfert de données vers un pays tiers ou vers une organisation internationale ne serait possible que si le responsable du traitement a offert des garanties appropriées en ce qui concerne la protection des données à caractère personnel dans un instrument juridiquement contraignant.
Tout transfert de ce type devrait être autorisé par l'autorité de contrôle avant d'avoir lieu.
Pouvoirs : les députés ont renforcé les pouvoirs des autorités de contrôle. Celles-ci devraient avoir, dans chaque État membre, des pouvoirs d'enquête effectifs, le droit d'accéder à toutes les données à caractère personnel et à toutes les informations nécessaires à l'exercice de chaque fonction de surveillance, le droit d'accéder à tous les locaux des responsables du traitement et des sous-traitants y compris en ce qui concerne les exigences en matière de traitement des données.
Les autorités devraient également pouvoir : i) adresser un avertissement ou une admonestation au responsable du traitement ou au sous-traitant ; ii) ordonner la rectification, l'effacement ou la destruction de toutes les données lorsqu'elles ont été traitées en violation des dispositions de la directive ; iii) interdire temporairement ou définitivement un traitement ; iv) informer les parlements nationaux, le gouvernement ou d'autres institutions publiques ainsi que le public.
Chaque autorité de contrôle devrait pouvoir imposer des sanctions par rapport à des infractions administratives.
Transmission de données à caractère personnel à des tiers privés : les députés ont introduit un nouveau chapitre aux termes duquel le responsable du traitement ne devrait pas transmettre de données à caractère personnel à une personne physique ou morale non soumise aux dispositions adoptées en vertu de la directive, à moins par exemple : i) que cette transmission soit conforme à la législation de l'Union ou à la législation nationale; ii) que le destinataire soit établi dans un État membre de l'Union européenne; et iii) qu'aucun des intérêts spécifiques légitimes de la personne concernée ne s'y oppose.