Coopération européenne en matière pénale — protection des données à caractère personnel (jusqu’en 2018)

 

SYNTHÈSE DU DOCUMENT:

Décision-cadre 2008/977/JAI relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale

QUEL EST L’OBJET DE CETTE DÉCISION-CADRE?

Elle vise à garantir la protection des libertés et des droits fondamentaux des personnes, en ce qui concerne le traitement des données à caractère personnel à des fins de prévention et de détection d’infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales.

POINTS CLÉS

Champ d’application

• Cette décision-cadre s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie (à l’aide des technologies de l’information), ainsi qu’au traitement non automatisé (par l’homme) de données à caractère personnel contenues dans un fichier.

Traitement des données

• Les autorités compétentes des pays de l’Union européenne (UE) peuvent collecter des données à caractère personnel uniquement pour des finalités déterminées, explicites et licites. En outre, le traitement de ces données est autorisé uniquement pour les finalités pour lesquelles elles ont été collectées. Le traitement à d’autres fins est autorisé uniquement sous certaines conditions ou dans la mesure où des garanties appropriées sont prévues (p. ex. le fait de rendre les données anonymes).
• En principe, le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale ou qui sont relatives à la santé et à la vie sexuelle n’est autorisé qu’en cas d’absolue nécessité et à condition que des garanties appropriées aient été établies.
• Les données personnelles inexactes doivent être rectifiées ou complétées si possible. Les données sont effacées, rendues anonymes ou, le cas échéant, bloquées, lorsqu’elles ne sont plus nécessaires pour les finalités pour lesquelles elles ont été collectées. Des délais appropriés doivent être prévus pour effacer les données à caractère personnel ou vérifier régulièrement s’il est nécessaire de les conserver.
• Les autorités compétentes des pays de l’UE sont tenues de vérifier que les données à caractère personnel qui vont être transmises ou mises à disposition sont précises, à jour et complètes. Afin de pouvoir vérifier que le traitement des données est licite et de garantir l’intégrité et la sécurité des données, leur transmission doit être consignée dans un journal ou documentée.

Transmission des données

• Les données à caractère personnel qui ont été transmises par un autre pays de l’UE sont traitées uniquement aux fins pour lesquelles elles ont été transmises. Dans certains cas toutefois, le traitement est autorisé à d’autres fins, notamment à des fins de prévention et de détection d’infractions pénales, d’enquêtes et de poursuites en la matière, d’exécution de sanctions pénales ou pour prévenir tout risque pour la sécurité publique. Le pays de l’UE qui reçoit des données est tenu de respecter toute restriction spécifique à l’échange des données prévues par la loi du pays de l’UE qui transmet les données.
• Dans certaines circonstances, le pays de l’UE qui reçoit des données à caractère personnel peut les transférer à des pays non-membres de l’UE ou à des organes internationaux. À cette fin, le pays de l’UE qui a mis les données à disposition en premier lieu doit donner son accord. Le transfert des données sans accord préalable n’est autorisé que dans des cas urgents. Le transfert des données à caractère personnel à des personnes privées dans les pays de l’UE est autorisé à des fins exclusives, pourvu que l’autorité compétente du pays de l’UE qui a transmis les données donne son accord.

Droits de la personne concernée

• La personne concernée est informée de la collecte ou du traitement de données à caractère personnel la concernant. Cependant, lorsque des données ont été transmises entre pays de l’UE, chaque pays de l’UE peut demander que l’autre pays de l’UE ne divulgue aucune information à la personne concernée.
• La personne concernée peut demander à recevoir la confirmation
  • de la transmission de données la concernant;
  • de l’identité des destinataires et des données traitées, et;
  • que les vérifications nécessaires de ces données ont été faites.
• Dans certains cas, les pays de l’UE peuvent restreindre l’accès de la personne concernée à ces informations. Toute décision restreignant l’accès doit être communiquée par écrit à la personne concernée, ainsi que les raisons matérielles et juridiques qui la justifient. La personne concernée sera informée de ses droits d’appel.
• La personne concernée peut demander que ses données à caractère personnel soient rectifiées, effacées ou bloquées. Tout refus est communiqué par écrit. La personne concernée sera également informée de son droit à présenter une réclamation ou un recours juridictionnel.
• Toute personne ayant subi un dommage du fait d’un traitement illicite de ses données à caractère personnel ou de toute action incompatible avec cette décision-cadre peut demander des dommages et intérêts. En cas de violation des droits de la personne concernée, cette dernière peut présenter un recours juridictionnel.

Sécurité du traitement des données

• Les autorités compétentes sont tenues de prendre toutes les mesures de sécurité nécessaires pour protéger les données à caractère personnel de toute forme de traitement illicite, y compris la perte accidentelle, l’altération, la divulgation non autorisée des données à caractère personnel ainsi que l’accès à ces données. En particulier, des mesures spécifiques doivent être prises en ce qui concerne le traitement automatisé des données.
• Les autorités de contrôle des pays de l’UE vérifient l’application de la décision-cadre et fournissent des conseils en la matière. À cette fin, elles disposent de pouvoirs d’investigation, de pouvoirs effectifs d’intervention et du pouvoir d’ester en justice. En cas de violation des dispositions de cette décision-cadre, les pays de l’UE définissent des sanctions effectives, proportionnées et dissuasives.

Abrogation

La décision-cadre 2008/977/JAI est abrogée par la directive (UE) 2016/680 avec effet au 6 mai 2018.

DEPUIS QUAND CETTE DÉCISION-CADRE S’APPLIQUE-T-ELLE?

Elle s’applique depuis le 19 janvier 2009.

CONTEXTE

Pour de plus amples informations, veuillez consulter:

• la page consacrée à la protection des données à caractère personnel sur le site Internet de la Commission européenne.

DOCUMENT PRINCIPAL

Décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (JO L 350 du 30.12.2008, p. 60-71)

DOCUMENTS LIÉS

Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89-131)

dernière modification 26.10.2016