Le Conseil a adopté sa position en première lecture en vue de l'adoption d'une directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données.
L’objectif de la directive proposée est de garantir l'efficacité de la coopération judiciaire en matière pénale et de la coopération policière et de faciliter l'échange de données à caractère personnel entre les autorités compétentes des États membres, tout en assurant un niveau élevé et homogène de protection des données à caractère personnel des personnes physiques. Elle fait partie d’un train de mesures sur la protection des données comprenant également un règlement général sur la protection des données, et vise à remplacer la décision-cadre 2008/977/JAI du Conseil.
La position du Conseil en première lecture maintient les objectifs de la décision-cadre, notamment le principe de l'harmonisation minimale figurant dans la décision-cadre. Elle clarifie et précise la plupart des dispositions de la décision-cadre, en particulier, les dispositions relatives aux transferts à des pays tiers ou à des organisations internationales. De plus, elle aligne un certain nombre de dispositions sur le texte du projet de règlement. C'est notamment le cas en ce qui concerne les définitions, les principes, le chapitre sur le responsable du traitement et le sous-traitant, les décisions constatant le caractère adéquat de la protection ainsi que le chapitre sur les autorités de contrôle indépendantes.
Les principaux éléments de la position du Conseil en première lecture sont les suivants :
Champ d'application : le champ d'application matériel comprendrait le traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces. Contrairement à la décision-cadre 2008/977/JAI, le projet de directive s'appliquerait également au traitement des données à caractère personnel au niveau national.
Le champ d'application personnel serait étendu au-delà des autorités publiques compétentes, aux organismes ou entités auxquels le droit d'un État membre confie l'exercice de l'autorité publique et des prérogatives de puissance publique à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales.
Principes relatifs aux données à caractère personnel : la position du Conseil inclut le principe de transparence dans le considérant relatif aux principes, étant entendu que des activités telles que des enquêtes discrètes ou de la vidéosurveillance seront autorisées. Elle ajoute que les données à caractère personnel devraient être traitées de manière à garantir une sécurité appropriée de celles-ci, ce qui inclut la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle.
Traitement ultérieur : la position du Conseil prévoit que le traitement des données, par le même responsable du traitement ou un autre, pour l'une des finalités énoncées à la directive, autre que celle pour laquelle les données à caractère personnel ont été collectées, n'est permis que lorsque le responsable du traitement est autorisé à traiter ces données à caractère personnel pour une telle finalité conformément au droit de l'Union ou au droit d'un État membre et que le traitement est nécessaire et proportionné à cette autre finalité.
Délais de conservation et d'examen : la position du Conseil prévoit que des délais appropriés doivent être fixés en vue de l'effacement des données à caractère personnel ou en vue d'un examen périodique des données à caractère personnel qui sont sauvegardées afin de vérifier s'il est nécessaire de les conserver.
Différentes catégories de personnes concernées : les États membres devraient permettre au responsable du traitement d'établir une distinction claire, le cas échéant et dans la mesure du possible, entre les données à caractère personnel de différentes catégories de personnes concernées.
Licéité : le traitement de données à caractère personnel ne serait licite que s’il est nécessaire à l'exécution d'une mission par une autorité compétente pour l'une des finalités énoncées à la directive et s’il se fonde sur le droit de l'Union ou le droit d'un État membre.
La règle principale est que des données à caractère personnel initialement collectées par une autorité compétente pour les finalités du projet de directive ne peuvent être traitées qu'à l'une des fins du projet de directive.
Catégories particulières de données : la position du Conseil en première lecture autorise le traitement des données à caractère personnel, mais uniquement lorsque cela est strictement nécessaire et à condition que des garanties appropriées applicables aux droits et aux libertés de la personne concernée soient fournies. En outre, un tel traitement serait uniquement permis lorsqu'il est autorisé par le droit de l'UE ou le droit d'un État membre pour protéger les intérêts vitaux de la personne concernée ou lorsqu'il porte sur des données manifestement rendues publiques par la personne concernée.
Décision individuelle automatisée, y compris le profilage : toute décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques défavorables pour la personne concernée ou l'affecte de manière significative serait interdite, sauf si le droit de l'Union ou le droit d'un État membre l'autorise et si des garanties appropriées applicables aux droits et aux libertés de la personne concernée sont fournies.
Droits de la personne concernée : les nouvelles règles comprendraient :
- le droit de la personne d’être informée, en des termes clairs et simples, que des données la concernant sont en cours de traitement ;
- le droit de la personne concernée d’être informée sur l'identité et les coordonnées du responsable du traitement et sur les finalités du traitement ;
- le droit d’accès aux données à caractère personnel et d’être informé des motifs du refus d’accès à ces informations ;
- le droit d'obtenir la rectification ou l'effacement des données à caractère personnel la concernant ou la limitation de leur traitement.
Responsable du traitement et sous-traitant : la directive serait appliquée par les autorités compétentes soit au niveau national soit lors du transfert de données à caractère personnel entre les États membres de l'UE ou du transfert de telles données à des pays tiers ou à des organisations internationales. Les dispositions du projet de directive seraient appliquées par les autorités publiques et, dans certaines circonstances, par des organismes privés.
Analyse d'impact : une analyse d'impact est nécessaire avant que le responsable du traitement puisse effectuer une opération de traitement, lorsque cette dernière est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques. La position du Conseil énonce les situations dans lesquelles une analyse d'impact est obligatoire.
Transferts : afin d'échanger des données avec des pays tiers et des organisations internationales, des règles régissant les transferts sont définies. En cas de transmission de données provenant d'un autre État membre, celui-ci devrait avoir préalablement autorisé ce transfert.
La position du Conseil indique que toutes les dispositions relatives aux transferts devraient être appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le projet de directive ne soit pas compromis. De plus, elle ajoute la possibilité pour l'autorité compétente, mais uniquement s'il s'agit d'une autorité publique (et non d'organismes ou d'entités à qui la législation d'un État membre confie l'exercice de prérogatives de puissance publique) de transférer des données à caractère personnel à des destinataires établis dans des pays tiers.
Autorités de contrôle : afin de garantir le respect des dispositions du projet de directive, des autorités de contrôle seraient chargées de surveiller l'application du projet de directive ainsi que du projet de règlement.
Les États membres devraient prévoir que les responsables du traitement désignent un délégué à la protection des données.