29.12.2010   

FR

Journal officiel de l'Union européenne

C 355/1

1.

Les efforts se sont intensifiés, ces dernières années, pour améliorer la coopération judiciaire en matière pénale. Ce sujet, qui occupe désormais une position clé dans le programme de Stockholm (4), est défini par le caractère particulièrement sensible des données à caractère personnel en cause ainsi que par les effets que le traitement des données associées peut avoir sur les personnes concernées.

2.

Pour ces raisons, le Contrôleur européen de la protection des données (CEPD) a accordé une attention particulière à ce sujet (5) et il entend, au moyen du présent avis, souligner une fois de plus la nécessité de défendre les droits fondamentaux en tant qu’élément essentiel de l’espace de liberté, de sécurité et de justice (ELSJ) tel que présenté dans le programme de Stockholm.

3.

Le présent avis réagit sur deux initiatives en vue d’une directive présentées par un certain nombre d’États membres, comme prévu à l’article 76 TFUE, à savoir:

4.

La notification d’un avis sur ces initiatives relève du mandat confié au CEPD à l’article 41 du règlement (CE) no 45/2001 prévoyant que celui-ci conseille les institutions et les organes de l’Union pour toutes les questions concernant le traitement des données à caractère personnel. Le présent avis formule donc des observations sur les initiatives dans la mesure où elles concernent le traitement de données à caractère personnel. Étant donné qu’aucune demande d’avis ne lui a été adressée, le CEPD rend le présent avis de sa propre initiative (8).

5.

Le CEPD rappelle, en application de l’article 28, paragraphe 2, du règlement (CE) no 45/2001, que la Commission est tenue de consulter le CEPD lorsqu’elle adopte une proposition de législation relative à la protection des droits et libertés des personnes à l’égard du traitement de données à caractère personnel. Lorsqu’il s’agit d’une initiative présentée par des États membres, cette obligation ne s’applique pas stricto sensu. Cependant, depuis l’entrée en vigueur du traité de Lisbonne, la procédure législative ordinaire s’applique également au domaine de la coopération policière et judiciaire, à une exception bien précise visée à l’article 76 TFUE, à savoir que les mesures de l’Union peuvent être adoptées sur initiative d’un quart des États membres. En application du traité de Lisbonne, ces initiatives cadrent le plus possible avec les propositions de la Commission et des garanties de procédure sont utilisées dans la mesure du possible. C’est pour cette raison que les présentes initiatives sont accompagnées d’une analyse d’impact.

6.

À cet égard, le CEPD regrette non seulement de ne pas avoir été consulté lorsque les initiatives ont été présentées, mais recommande également au Conseil de mettre en place une procédure prévoyant de consulter le CEPD lorsqu’une initiative introduite par des États membres concerne le traitement de données à caractère personnel.

7.

Les deux initiatives ne partagent certes pas les mêmes objectifs, à savoir l’amélioration de la protection des victimes d’une part et la coopération transfrontière en matière pénale au moyen de l’obtention de preuves transfrontières d’autre part, mais elles présentent tout de même des similitudes importantes:

Le CEPD estime pour ces raisons qu’il convient de les examiner conjointement.

8.

Dans ce cadre, il convient de mentionner que la Commission européenne a également récemment examiné la question de la collecte de preuves en vue de les présenter aux autorités compétentes dans d’autres États membres (ce qui constitue l’objet précis de l’initiative relative à la décision d’enquête européenne). En effet, un livre vert  (11) a été publié fin 2009 (la phase de consultation est aujourd’hui terminée (12)), la Commission ayant pour objectif (tiré du «Plan d’action mettant en œuvre le programme de Stockholm» (13)) de soumettre en 2011 une proposition législative relative à un système global d’obtention de preuves en matière pénale, fondé sur le principe de la reconnaissance mutuelle et couvrant tous les types d’éléments de preuves (14).

9.

Les initiatives susmentionnées s’inscrivent dans la tendance des actions menées par l’UE dans l’ELSJ ces dernières années. Depuis septembre 2001, la collecte et le partage d’informations se sont intensifiés au sein de l’Union européenne (et avec les pays tiers), notamment grâce au développement des technologies de l’information et de la communication et à un certain nombre d’instruments juridiques de l’UE. Les initiatives relatives à la décision de protection européenne et à la décision d’enquête européenne visent également à améliorer l’échange d’informations concernant les personnes physiques dans l’ELSJ.

10.

L’initiative relative à la décision de protection européenne, fondée sur l’article 82, paragraphe 1, point d), du TFUE, est axée sur la protection des victimes d’infractions pénales, plus particulièrement les femmes, et a pour objectif de leur garantir une véritable protection au sein de l’Union européenne. Afin de réaliser cet objectif, l’initiative relative à la décision de protection européenne permet d’étendre les mesures de protection énumérées à l’article 2, paragraphe 2, et adoptées selon la législation d’un État membre («l’État d’émission») à un autre État membre dans lequel la personne faisant l’objet d’une mesure de protection se rend («l’État d’exécution») sans que la victime ait besoin d’engager une nouvelle procédure ou de reproduire les éléments de preuve dans l’État d’exécution.

11.

Les mesures de protection imposées (à la demande de la victime) à la personne à l’origine du danger encouru visent dès lors à protéger la vie, l’intégrité physique et psychologique, la liberté ou l’intégrité sexuelle de la victime au sein de l’UE, sans qu’il soit tenu compte des frontières nationales, et à éviter que la personne ne soit à nouveau victime d’une infraction pénale.

12.

Une décision de protection européenne est émise, à la demande de la victime dans «l’État (membre) d’émission», par une autorité judiciaire (ou une autre autorité compétente). La procédure se déroule en deux étapes:

13.

Pour réaliser cet objectif, des mesures administratives doivent être mises en place. Elles concerneront en partie l’échange de renseignements personnels entre les États membres «d’émission» et «d’exécution» se rapportant à la personne concernée (la «victime») ainsi qu’à la personne à l’origine du danger encouru. L’échange de données à caractère personnel est prévu dans les dispositions suivantes:

14.

Les informations mentionnées au précédent paragraphe entrent clairement dans le champ d’application des données à caractère personnel, définies au sens large dans la législation relative à la protection des données comme étant «toute information concernant une personne physique identifiée ou identifiable» (15) et expliquées plus en détail par le groupe de travail «Article 29». L’initiative relative à la décision de protection européenne porte sur les informations concernant une personne (la victime ou la personne à l’origine du danger encouru) ou les informations qui sont utilisées ou susceptibles d’être utilisées afin d’évaluer, de traiter d’une certaine manière ou d’influer sur le statut d’une personne physique (en particulier la personne à l’origine du danger) (16).

15.

L’initiative relative à la décision d’enquête européenne, qui se fonde sur l’article 82, paragraphe 1, point a), du TFUE, demande aux États membres de recueillir, de conserver et de transmettre des éléments de preuve, même si cela n’est pas encore prévu dans la juridiction nationale. L’initiative va donc au-delà du principe de disponibilité, présenté dans le programme de la Haye de 2004 comme une approche innovante de l’échange transfrontière des informations répressives (17). Elle va également au-delà de la décision-cadre 2008/978/JAI du Conseil du 18 décembre 2008 relative au mandat européen d’obtention de preuves, qui s’applique uniquement à des preuves (données) qui existent déjà (18).

16.

Une décision d’enquête européenne doit être émise pour faire réaliser une ou plusieurs mesures d’enquête spécifiques dans l’État d’exécution en vue de recueillir des preuves (qui n’existent pas forcément lorsque la décision est émise) et de les transférer (article 12). Elle s’applique à presque toutes les mesures d’enquête (voir les considérants 6 et 7 de l’initiative).

17.

L’objectif de l’initiative relative à la décision d’enquête européenne est de créer un instrument unique, efficace et flexible pour obtenir des preuves situées dans un autre État membre dans le cadre d’une procédure pénale, en vue de remplacer l’instrument juridique plus complexe actuellement utilisé par les autorités judiciaires (basé sur l’entraide judiciaire, d’une part, et la reconnaissance mutuelle, d’autre part) (19).

18.

Les preuves recueillies au moyen d’une décision d’enquête européenne (voir également l’annexe A de l’initiative) peuvent évidemment contenir des données à caractère personnel, comme dans le cas des informations relatives aux comptes bancaires (article 23), des informations relatives aux transactions bancaires (article 24) et du suivi des transactions bancaires (article 25), ou peuvent couvrir la communication de données à caractère personnel (comme dans le cas des auditions par vidéoconférence et téléconférence, visées aux articles 21 et 22).

19.

Pour ces raisons, l’initiative relative à la décision d’enquête européenne a un impact considérable sur le droit à la protection des données à caractère personnel. Étant donné également que le délai de mise en œuvre de la décision-cadre 2008/978/JAI n’a pas encore expiré (et qu’il est dès lors difficile d’apprécier l’efficacité de l’instrument et la nécessité de mesures juridiques supplémentaires) (20), le CEPD rappelle la nécessité d’une vérification périodique, à la lumière des principes de protection des données, de l’efficacité et de la proportionnalité des mesures juridiques adoptées dans l’ELSJ (21). Le CEPD recommande dès lors d’ajouter une clause d’évaluation à l’initiative relative à la décision d’enquête européenne, demandant aux États membres de rendre régulièrement compte de l’application de l’instrument et à la Commission de synthétiser ces comptes rendus et, le cas échéant, de soumettre des propositions adéquates de modifications.

20.

Comme expliqué ci-dessus aux points 13, 14 et 18, il ressort clairement des propositions de directives que des données à caractère personnel seront traitées et échangées par les autorités compétentes des différents États membres. Dans ces conditions, la personne concernée est protégée par le droit fondamental à la protection des données, tel que visé à l’article 16 TFUE et à l’article 8 de la Charte des droits fondamentaux de l’Union européenne.

21.

Malgré cela, dans l’«exposé détaillé» qui accompagne l’initiative relative à la décision de protection européenne, le «risque de porter atteinte aux droits fondamentaux» est estimé à «0» (zéro) (22) et dans l’analyse d’impact contenue dans l’«exposé détaillé» qui accompagne l’initiative relative à la décision d’enquête européenne, les questions de protection des données ne sont pas prises en considération (23).

22.

Le CEPD regrette que ces conclusions aient été tirées et souligne l’importance de la protection des données dans le contexte particulier dans lequel les données à caractère personnel sont traitées, à savoir:

23.

Ce contexte confère aux traitements des données un impact particulier susceptible de porter considérablement atteinte aux droits fondamentaux de la personne concernée, y compris le droit à la protection des données à caractère personnel.

24.

Eu égard aux considérations qui précèdent, le CEPD s'interroge sur le fait que les initiatives ne tiennent pas compte de la protection des données à caractère personnel (hormis la référence aux obligations de confidentialité imposées aux acteurs concernés par une enquête aux termes de l’article 18 de l’initiative relative à la décision d’enquête européenne), et pourquoi elles ne renvoient pas explicitement à la décision-cadre 2008/977/JAI. Cette décision-cadre s’appliquerait en effet aux traitements envisagés dans les deux initiatives [voir l’article premier, paragraphe 2, point a)].

25.

Pour cette raison, le CEPD se félicite du fait que, durant les travaux préparatoires au Conseil concernant l’initiative relative à la décision de protection européenne, une référence à la décision-cadre 2008/977/JAI ait été introduite (25) et ne doute pas que le Parlement européen confirmera cette modification dans les initiatives originales (26).

26.

Le CEPD regrette qu’un considérant similaire n’ait pas encore été introduit dans l’initiative relative à la décision d’enquête européenne, qui concerne un échange de données à caractère personnel plus intense. Le CEPD se félicite à cet égard que la Commission européenne, lorsqu’elle a soumis des observations sur l’initiative relative à la décision de protection européenne, ait suggéré qu’une référence (à la fois dans le préambule et dans le texte de la proposition) à l’applicabilité de la décision-cadre 2008/977/JAI soit introduite (27).

27.

De ce fait, et sans préjudice de la section III ci-dessous, les deux initiatives devraient inclure une disposition spécifique précisant que la décision-cadre 2008/977/JAI s’applique au traitement des données prévu dans les initiatives.

28.

Les deux initiatives soulèvent une fois de plus la question fondamentale de l’application incomplète et contradictoire des principes de protection des données dans le domaine de la coopération judiciaire en matière pénale (28).

29.

Le CEPD est conscient qu’il est important d’améliorer l’efficacité de la coopération judiciaire entre les États membres, également dans les domaines couverts par les initiatives relatives à la décision de protection européenne et à la décision d’enquête européenne (29). Le CEPD est également conscient des avantages et de la nécessité de partager des informations, mais tient à souligner que le traitement de ces données doit être conforme, notamment (30), aux règles de l’Union relatives à la protection des données. Cela est d’autant plus manifeste eu égard au traité de Lisbonne qui introduit l’article 16 TFUE et qui rend obligatoire l’article 8 de la Charte des droits fondamentaux de l’Union européenne.

30.

Les situations qui concernent l’échange transfrontière d’informations au sein de l’UE méritent une attention particulière étant donné que le traitement des données à caractère personnel dans plus d’une juridiction augmente le risque de porter atteinte aux droits et aux intérêts des personnes physiques concernées. Les données à caractère personnel seront traitées dans de multiples juridictions dans lesquelles les prescriptions légales ainsi que le cadre technique ne sont pas nécessairement les mêmes.

31.

Cela entraîne également une insécurité juridique pour les personnes concernées: les parties d’autres États membres peuvent être concernées, les lois nationales de plusieurs États membres peuvent être applicables et peuvent différer des lois auxquelles les personnes concernées sont habituées, ou s’appliquer dans un système juridique avec lequel la personne concernée n’est pas familiarisée. Des efforts plus importants doivent donc être déployés pour garantir la conformité avec les prescriptions qui découlent de la législation de l’Union relative à la protection des données (31).

32.

Selon le CEPD, apporter des précisions sur l’applicabilité de la décision-cadre 2008/977/JAI, comme proposé au point 27, ne constitue qu’une première étape.

33.

Les obstacles spécifiques à une protection efficace dans le domaine de la coopération judiciaire en matière pénale, associés à une décision-cadre 2008/977/JAI qui n’est pas pleinement satisfaisante (voir les points 52 à 56) peuvent nécessiter des dispositions particulières sur la protection des données, lorsque des instruments juridiques spécifiques de l’UE requièrent l’échange de données à caractère personnel.

34.

Une protection efficace des données à caractère personnel (comme souligné au point 29) est non seulement importante pour les personnes concernées, mais elle contribue aussi au succès de la coopération judiciaire à proprement parler. En fait, la volonté d’échanger ces données avec les autorités d’autres États membres sera accrue si une autorité est assurée du niveau de protection, de l’exactitude et de la fiabilité des données à caractère personnel dans cet autre État membre (32). En bref, le fait d’établir un niveau commun (élevé) de protection des données dans ce domaine sensible favorisera la confiance réciproque entre les États membres et renforcera la coopération judiciaire basée sur la reconnaissance mutuelle, améliorant de ce fait la qualité des données lors de l’échange d’informations.

35.

Dans ce contexte particulier, le CEPD recommande d’inclure des garanties spécifiques pour la protection des données dans les initiatives relatives à la décision de protection européenne et à la décision d’enquête européenne, en plus de la référence générale à la décision-cadre 2008/977/JAI (comme proposé au point 27).

36.

Certaines de ces garanties sont de nature plus générale et sont censées être incluses dans les deux initiatives; il s’agit notamment des garanties visant à améliorer l’exactitude des données ainsi que la sécurité et la confidentialité. D’autres garanties renvoient à des dispositions spécifiques de l’initiative relative à la décision de protection européenne ou à la décision d’enquête européenne.

37.

Dans les situations prévues par les initiatives lorsque des données sont échangées entre les États membres, une attention particulière devrait être accordée à la garantie de l’exactitude de l’information. À cet égard, le CEPD se félicite du fait que l’initiative relative à la décision de protection européenne contienne à l’article 14 des obligations claires qui incombent à l’autorité compétente de l’État d’émission, notamment d’informer l’autorité compétente de l’État d’exécution de toute modification, de l’expiration ou de la révocation de la décision de protection.

38.

Le CEPD relève également que la nécessité de traduction pourrait compromettre l’exactitude des données, étant donné que les initiatives concernent des instruments juridiques spécifiques qui peuvent avoir une signification différente dans différentes langues et différents systèmes juridiques. Dans ce contexte, le CEPD, tout en se félicitant du fait que l’initiative relative à la décision de protection européenne examine la question des traductions (article 16), suggère également d’inclure une disposition similaire dans l’initiative relative à la décision d’enquête européenne.

39.

Le renforcement de la coopération transfrontière qui pourrait résulter de l’adoption des deux initiatives nécessite d’examiner attentivement les aspects de sécurité de la transmission transfrontière des données à caractère personnel liées à l’exécution d’une décision de protection européenne ou d’une décision d’enquête européenne (33). Cet examen est nécessaire, non seulement pour satisfaire aux critères de sécurité lors du traitement de données à caractère personnel requis à l’article 22 de la décision-cadre 2008/977/JAI, mais également pour garantir le secret des enquêtes ainsi que la confidentialité des procédures pénales en cause qui est régie à l’article 18 de l’initiative relative à la décision d’enquête européenne et, en règle générale, pour les données à caractère personnel résultant de l’échange transfrontière, en application de l’article 21 de la décision-cadre 2008/977/JAI.

40.

Le CEPD souligne la nécessité d’établir des systèmes de télécommunication sécurisés dans les procédures de transmission. Il se félicite dès lors de la disposition visant à utiliser le Réseau judiciaire européen (34) comme outil pour veiller à ce que les décisions de protection européenne et les décisions d’enquête européenne soient bien adressées aux autorités nationales compétentes, permettant de prévenir ou de réduire le risque que des autorités non compétentes soient concernées par l’échange de données à caractère personnel (voir l’article 7, paragraphes 2 et 3 de l’initiative relative à la décision de protection européenne et l’article 6, paragraphes 3 et 4, de l’initiative relative à la décision d’enquête européenne).

41.

Les initiatives devraient dès lors inclure des dispositions demandant aux États membres de veiller à ce que:

42.

Le CEPD recommande également d’introduire des dispositions visant à garantir le respect des principes essentiels de protection des données lors du traitement de données à caractère personnel, et de mettre en place les mécanismes internes nécessaires pour démontrer la conformité aux parties prenantes extérieures. De telles dispositions seraient des instruments qui permettraient de responsabiliser les responsables du traitement (selon le «principe de responsabilité» qui est discuté dans le cadre de la révision actuelle du cadre de protection des données (35)). Il exige d’eux de mener à bien les mesures nécessaires pour garantir la conformité. Ces dispositions doivent inclure:

43.

Compte tenu du caractère particulièrement intrusif de certaines mesures d’enquête, le CEPD appelle de ses vœux une réflexion approfondie sur la recevabilité des preuves recueillies à des fins autres que la prévention et la détection des infractions pénales, les enquêtes ou les poursuites en la matière ou l’exécution de sanctions pénales et l’exercice du droit de défense. Plus particulièrement, l’utilisation de preuves obtenues au titre de l’article 11, paragraphe 1, point d), de la décision-cadre 2008/977/JAI doit faire l’objet d’un examen attentif (36).

44.

Une exception à l’application de la disposition de l’article 11, paragraphe 1, point d), devrait donc être incluse dans l’initiative relative à la décision d’enquête européenne, précisant que les preuves recueillies en application de la décision d’enquête européenne ne peuvent pas être utilisées à des fins autres que la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière, ou l’exécution de sanctions pénales et l’exercice du droit de défense.

45.

Concernant l’initiative relative à la décision de protection européenne, le CEPD reconnaît que les données à caractère personnel échangées entre les autorités compétentes et qui sont énumérées à l’annexe I de l’initiative (concernant à la fois la victime et la personne à l’origine du danger encouru) sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement.

46.

Cependant, il ne ressort pas suffisamment clairement de l’initiative, surtout à l’article 8, paragraphe 1, point b), quelles sont les données à caractère personnel concernant la victime qui seront communiquées à la personne à l’origine du danger encouru par l’autorité compétente de l’État d’exécution.

47.

Le CEPD estime qu’il convient d’examiner les circonstances et le contenu des mesures de protection émises par l’autorité judiciaire dans l’État membre d’émission avant d’informer la personne à l’origine du danger encouru. Celle-ci devrait donc avoir uniquement connaissance des données à caractère personnel de la victime (qui dans certains cas peuvent comprendre les coordonnées) qui concernent strictement la bonne exécution de la mesure de protection.

48.

Le CEPD est conscient que le fait de communiquer des coordonnées (par exemple numéros de téléphone, adresse de la victime, lieux habituellement fréquentés, tels que le lieu de travail ou l’école des enfants) peut réellement compromettre le bien-être physique et psychologique de la victime, mais également porter atteinte à son droit à la vie privée et à la protection des données à caractère personnel. En revanche, il peut parfois s’avérer nécessaire d’indiquer à la personne à l’origine du danger les adresses en question, ne serait-ce que pour connaître les endroits où elle n’a pas le droit de se rendre. Cela lui permet de respecter la décision et d’empêcher toute éventuelle sanction pour non-respect. En outre, en fonction des circonstances, l’identification du ou des lieux dans lesquels la personne à l’origine du danger n’a pas le droit de se rendre peut être requise, afin de ne pas limiter inutilement sa liberté de circulation.

49.

À la lumière de ces éléments, le CEPD souligne l’importance de cet aspect et recommande que l’initiative relative à la décision de protection européenne précise clairement, en fonction des circonstances du cas d’espèce, que la personne à l’origine du danger encouru doit uniquement recevoir les données à caractère personnel de la victime (qui dans certains cas peuvent comprendre les coordonnées) qui concernent strictement la bonne exécution de la mesure de protection (37).

50.

Enfin, le CEPD demande des précisions sur l’expression «moyens électroniques» employée au considérant 10 de l’initiative relative à la décision de protection européenne. Il convient notamment d’expliquer si les données à caractère personnel sont traitées par le biais de «moyens électroniques» et, le cas échéant, quelles sont les garanties données.

51.

La décision-cadre 2008/977/JAI s’applique à tous les échanges de données à caractère personnel réalisés dans le cadre des initiatives relatives à la décision de protection européenne et à la décision d’enquête européenne.

52.

Même si le CEPD a reconnu que la décision-cadre 2008/977/JAI, lorsqu’elle est appliquée par les États membres, constitue une avancée notable pour la protection des données dans le domaine de la coopération policière et judiciaire (38), la décision-cadre en elle-même n’est pas pleinement satisfaisante (39). La principale inquiétude non dissipée concerne son champ d’application limité. La décision-cadre se limite aux échanges de données à caractère personnel dans le domaine de la police et de la justice entre les autorités et les systèmes dans différents États membres et à l’échelle de l’Union européenne (40).

53.

Même si cette inquiétude ne peut être dissipée dans le cadre des initiatives relatives à la décision de protection européenne et à la décision d’enquête européenne, le CEPD insiste sur le fait qu’il est important de souligner que l’absence d’un niveau commun (élevé) de protection des données dans le domaine de la coopération judiciaire pourrait laisser entendre qu’une autorité judiciaire, au niveau national ou européen, lorsqu’elle traite un dossier pénal contenant des informations provenant d’autres États membres (comprenant, par exemple, des éléments de preuve recueillis au titre d’une décision d’enquête européenne), devrait appliquer des règles de traitement différentes: des règles nationales autonomes (qui doivent être conformes à la convention 108 du Conseil de l’Europe) pour les données qui proviennent de l’État membre lui-même et les modalités d’exécution de la décision-cadre 2008/977/JAI pour les données provenant d’autres États membres. Différents «éléments d’information» pourraient donc relever de différents systèmes juridiques.

54.

Les conséquences de l’application d’un «double» niveau de protection des données à chaque dossier pénal contenant des éléments transfrontières sont importantes dans la pratique courante (par exemple, délais de conservation des données fixés par les lois applicables de chaque organe qui transmet les données; limitations de traitement requises par chacun des organes transmettant les données; en cas de demande d’un État tiers, chaque organe transmettant les données donnerait son consentement conformément à sa propre évaluation du niveau de protection ou des engagements internationaux; et différences au niveau de la réglementation du droit d’accès par la personne concernée). En outre, la protection et les droits des citoyens pourraient varier et faire l’objet d’importantes dérogations diverses en fonction de l’État membre où s’effectue le traitement (41).

55.

Le CEPD profite donc de l’occasion qui lui est ici donnée pour réitérer ses avis concernant la nécessité d’un cadre juridique détaillé de protection des données couvrant l’ensemble des compétences de l’Union européenne, y compris la police et la justice, à appliquer aux données à caractère personnel transmises ou mises à disposition par les autorités compétentes d’autres États membres ainsi qu’au traitement intérieur dans l’ELSJ (42).

56.

Enfin, le CEPD relève que les règles relatives à la protection des données doivent s’appliquer à tous les secteurs ainsi qu’à l’utilisation des données à toutes fins (43). Bien sûr, des exceptions dûment justifiées et clairement énoncées doivent être possibles, notamment en ce qui concerne les données à caractère personnel traitées à des fins répressives (44). Les lacunes au niveau de la protection des données à caractère personnel sont contraires au cadre juridique actuel (renouvelé) de l’Union européenne. L’article 3, paragraphe 2, de la directive 95/46/CE, qui exclut du champ d’application de la directive le domaine de la police et de la justice, ne reflète pas la philosophie visée à l’article 16 TFUE. En outre, ces lacunes ne sont pas suffisamment couvertes par la Convention 108 du Conseil de l’Europe (45), à laquelle tous les États membres sont liés.

57.

Le CEPD recommande en ce qui concerne les initiatives relatives à la décision de protection européenne et à la décision d’enquête européenne:

58.

Le CEPD recommande en ce qui concerne l’initiative relative à la décision de protection européenne:

59.

Le CEPD recommande en ce qui concerne l’initiative relative à la décision d’enquête européenne:

60.

Par ailleurs, et de façon plus générale, le CEPD: