La commission a adopté le rapport de Martine ROURE (PSE, FR) modifiant, dans le cadre de la procédure de consultation et d'une nouvelle consultation du Parlement sur ce dossier - la proposition de décision-cadre du Conseil relative à la protection des données personnelles traitées dans le cadre de la coopération policière et judiciaire en matière pénale :
- un nouveau considérant indique que la décision-cadre "n'est que la première étape vers la définition d'un cadre plus global et cohérent de la protection des données à caractère personnel utilisées à des fins de sécurité", et qu'elle devrait se fonder sur les 15 principes annexés à la proposition (qui sont le fruit d'un trilogue entre le rapporteur, le Conseil et la Commission) ;
- champ d'application : la commission a estimé que la décision-cadre devait s'appliquer à l'ensemble des autorités nationales sans exception et elle a par conséquent supprimé l'article 1(4) qui aurait exclu les "autorités ou autres organismes qui traitent des questions de sécurité nationale". Elle a également ajouté une nouvelle clause demandant à la Commission de soumettre des propositions au bout de trois ans en vue d'élargir le champ d'application de la décision-cadre au traitement des données à caractère personnel dans le cadre de la coopération policière et judiciaire au niveau national. ;
- traitement ultérieur des données: la commission a modifié la clause autorisant le traitement de données "pour toute autre finalité" telle qu'elle figurait à l'article 12(1)(d), en indiquant que les données à caractère personnel peuvent être traitées ultérieurement uniquement pour une finalité "déterminée", "à condition qu'elle soit légitime et non excessive" par rapport aux finalités pour lesquelles les données ont été collectées ;
- transfert des données à des pays tiers : la commissiona préciséque les données à caractère personnel ne peuvent être transmises à des pays tiers ou à des organisations internationales uniquement que si cette transmission est nécessaire pour la "prévention, la recherche, la détection ou la poursuite des infractions terroristes et d'autres infractions pénales graves", si elle est conforme à la législation nationale de l'État membre duquel les données ont été obtenues et si le pays concerné ou l'instance concernée assure un niveau de protection adéquat pour les données considérées. Il sera toutefois possible de transférer des données dans des circonstances exceptionnelles, "afin de sauvegarder les intérêts essentiels d'un État membre, ou à des fins de prévention de menaces imminentes graves à l'encontre de la sécurité publique ou d'une ou de plusieurs personnes en particulier", même si le pays tiers n'assure pas un niveau de protection adéquat ;
- transfert des données à des autorités autres que les autorités compétentes : ce transfert ne pourra se faire que "dans des cas particuliers individuels et dûment justifiés" et s'il est nécessaire à des fins de prévention, de recherche, de détection ou de poursuite des infractions pénales ou à des fins de prévention de menaces à l'encontre de la sécurité publique ou d'une personne ;
- transmission des données à des personnes privées et accès aux données des personnes privées : la commissiona adopté des dispositions visant à réglementer strictement la communication des données personnelles à des personnes privées, qui doit être clairement autorisée. Lorsque les personnes privées collectent et traitent les données dans le cadre d'une mission de service public, elles sont soumises à des obligations au moins équivalentes en matière de sécurité des données à celles imposées aux autorités compétentes. Les personnes privées ont droit à être informées du traitement de données à caractère personnel les concernant ;
- contenu et exactitude des données personnelles: les donnéesà caractère personnel doivent être évaluées en tenant compte de leur degré d'exactitude ou de fiabilité" [...]" Les données inexactes ou incomplètes doivent être effacées ou rectifiées. Les États membres doivent veiller à ce que les données soient vérifiées régulièrement pour garantir un accès à des données exactes et mises à jour" ;
- autorités nationales : une autorité de contrôle commune créée par la décision-cadre doit rassembler les autorités nationales de protection des données et le contrôleur européen de la protection des données ;
- évaluation et révision : un nouvel article prévoit qu'au bout de trois ans, la Commission présente une évaluation de la décision-cadre au Parlement et au Conseil, assortie, le cas échéant, de propositions de modifications.