COMMISSION EUROPÉENNE

Bruxelles, le 24.6.2020

COM(2020) 262 final

COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL

Marche à suivre en ce qui concerne la mise en conformité de l’acquis de l’ancien troisième pilier avec les règles en matière de protection des données

COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL

Marche à suivre en ce qui concerne la mise en conformité de l’acquis de l’ancien troisième pilier avec les règles en matière de protection des données 

I.Introduction

La présente communication présente le réexamen que la Commission doit effectuer en vertu de l’article 62, paragraphe 6, de la directive en matière de protection des données dans le domaine répressif 1 (la directive 2016/680, ci-après la «directive»).

La directive est entrée en vigueur le 6 mai 2016 et les États membres étaient tenus, conformément à son article 63, paragraphe 1, de la transposer dans leur législation nationale le 6 mai 2018 au plus tard. Elle a abrogé et remplacé la décision-cadre 2008/977/JAI du Conseil. La directive s’applique aux traitements nationaux et transfrontières de données à caractère personnel effectués par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces (ci-après le «domaine répressif») (article 1er, paragraphe 1). Il s’agit du premier instrument qui adopte une approche globale dans le domaine répressif, au contraire des approches précédentes, «ad hoc», dans le cadre desquelles chaque instrument répressif était régi par ses propres règles en matière de protection des données. La directive, fondée sur l’article 16 du traité sur le fonctionnement de l’Union européenne (ci-après le «TFUE»), constitue l’acte par lequel le législateur de l’Union met en œuvre le droit fondamental à la protection des données à caractère personnel consacré à l’article 8 de la charte des droits fondamentaux 2 , dans le cadre du traitement de données à caractère personnel par les services répressifs.

La directive, en son article 60, prévoit une clause d’antériorité en vertu de laquelle ses dispositions ne portent pas atteinte aux dispositions spécifiques relatives à la protection des données à caractère figurant dans certains actes juridiques de l’Union. Sont concernées les dispositions spécifiques relatives à la protection des données à caractère personnel figurant dans des actes juridiques de l’Union qui sont entrés en vigueur le 6 mai 2016 ou avant cette date dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière. La directive s’applique déjà aux autres dispositions de ces actes.

L’article 62, paragraphe 6, de la directive prévoit que la Commission doit, au plus tard le 6 mai 2019, réexaminer d’autres actes juridiques adoptés par l’Union qui réglementent le traitement par les autorités compétentes à des fins répressives, y compris ceux visés par la clause d’antériorité de l’article 60, afin d’évaluer la nécessité de les mettre en conformité avec la directive et de formuler, le cas échéant, les propositions nécessaires en vue de modifier ces actes pour assurer une approche cohérente de la protection des données à caractère personnel dans le champ d’application de la directive. La mise en conformité requise par l’article 62, paragraphe 6, de la directive devrait avoir pour but de modifier les actes concernés de telle sorte que les règles applicables en matière de protection des données à caractère personnel énoncées dans ces actes de l’Union (et, selon le cas, dans les dispositions nationales d’application) soient conformes aux règles établies dans la directive (et les mesures nationales qui la transposent). La présente communication énumère les actes qui, d’après le réexamen, devraient être mis en conformité, ainsi qu’un calendrier pour atteindre cet objectif. Cette conclusion est sans préjudice des décisions de la Commission concernant les modifications spécifiques de chaque acte faisant l’objet de ce réexamen qu’elle pourrait proposer, en particulier lorsqu’il est prévu d’apporter des modifications importantes à cet instrument, voire de le remplacer.

II.Résultat du réexamen

Pour procéder au réexamen, la Commission a tenu compte de l’étude réalisée dans le cadre du projet pilote du Parlement européen intitulé «Examen des instruments et programmes de collecte de données de l’UE sous l’angle des droits fondamentaux» 3 . Cette étude comprenait une cartographie des actes de l’Union couverts par l’article 62, paragraphe 6, de la directive ainsi qu’un relevé des dispositions susceptibles de nécessiter une mise en conformité quant aux questions de protection des données.

Sur la base de cette étude, la Commission a recensé 26 actes juridiques de l’Union relevant de l’exercice de réexamen. Sur ces 26 actes, la Commission est parvenue à la conclusion que 16 d’entre eux ne doivent pas être modifiés alors que 10 d’entre eux ne sont pas totalement conformes à la directive et devraient donc être modifiés.

Les actes juridiques régissant le traitement de données à caractère personnel par les autorités compétentes adoptés ou déjà modifiés après l’entrée en vigueur de la directive ne relèvent pas de ce réexamen, car ils tiennent déjà compte des exigences fixées par la directive.

III.Actes qui ne nécessitent pas de mise en conformité

Les 16 actes juridiques qui ne nécessitent pas de mise en conformité relèvent de cinq catégories, présentées dans la présente communication.

1)Actes qui ne contiennent pas de règles spécifiques en matière de protection des données

Les actes qui ne contiennent pas de règles spécifiques en matière de protection des données n’ont pas bénéficié de la clause d’antériorité de l’article 60 de la directive. Cela signifie que les dispositions de droit national qui transposent la directive s’appliquent au traitement de données à caractère personnel en vertu de ces actes et que ceux-ci ne nécessitent pas de mise en conformité supplémentaire. Il s’agit des sept actes suivants:

I.la décision-cadre 2002/584/JAI du Conseil du 13 juin 2002 relative au mandat d’arrêt européen et aux procédures de remise entre États membres 4 ;

II.la décision-cadre 2003/577/JAI du Conseil du 22 juillet 2003 relative à l’exécution dans l’Union européenne des décisions de gel de biens ou d’éléments de preuve 5 ;

III.la position commune 2005/69/JAI du Conseil du 24 janvier 2005 relative à l’échange de certaines données avec Interpol 6 ;

IV.la décision-cadre 2005/214/JAI du Conseil du 24 février 2005 concernant l’application du principe de reconnaissance mutuelle aux sanctions pécuniaires 7 ;

V.la décision-cadre 2006/783/JAI du Conseil du 6 octobre 2006 relative à l’application du principe de reconnaissance mutuelle aux décisions de confiscation 8 ;

VI.la décision-cadre 2008/947/JAI du Conseil du 27 novembre 2008 concernant l’application du principe de reconnaissance mutuelle aux jugements et aux décisions de probation aux fins de la surveillance des mesures de probation et des peines de substitution 9 ;

VII.la décision-cadre 2008/909/JAI du Conseil du 27 novembre 2008 concernant l’application du principe de reconnaissance mutuelle aux jugements en matière pénale prononçant des peines ou des mesures privatives de liberté aux fins de leur exécution dans l’Union européenne 10 .

2)Actes comportant une référence à la décision-cadre 2008/977/JAI du Conseil qui ne contiennent aucune règle spécifique en matière de protection des données

La directive, qui a abrogé la décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale 11 avec effet au 6 mai 2018, indique en son article 59 que les références faites à la décision-cadre 2008/977/JAI du Conseil s’entendent comme faites à la directive. Cela garantit l’applicabilité de la directive aux traitements de données effectués en vertu des actes juridiques susmentionnés. Ces actes ne contiennent aucune règle spécifique en matière de protection des données au-delà de la référence à la décision-cadre 2008/977/JAI du Conseil et le réexamen a montré qu’aucune modification supplémentaire liée à la protection des données n’est requise. Il s’agit des trois actes suivants:

I.la décision-cadre 2009/829/JAI du Conseil du 23 octobre 2009 concernant l’application, entre les États membres de l’Union européenne, du principe de reconnaissance mutuelle aux décisions relatives à des mesures de contrôle en tant qu’alternative à la détention provisoire 12 ; 

II.la décision-cadre 2009/948/JAI du Conseil du 30 novembre 2009 relative à la prévention et au règlement des conflits en matière d’exercice de la compétence dans le cadre des procédures pénales 13 ; 

III.la directive 2011/99/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la décision de protection européenne 14 .

3)Propositions législatives faisant l’objet de négociations interinstitutionnelles

Les deux actes juridiques suivants font actuellement l’objet d’un processus de révision législative. Le processus législatif engagé par la Commission tient déjà compte des exigences fixées par la directive:

I.la décision 2008/633/JAI du Conseil du 23 juin 2008 concernant l’accès en consultation au système d’information sur les visas (VIS) par les autorités désignées des États membres et par l’Office européen de police (Europol) aux fins de la prévention et de la détection des infractions terroristes et des autres infractions pénales graves, ainsi qu’aux fins des enquêtes en la matière 15 , régit l’accès aux données à caractère personnel contenues dans le VIS aux fins de la prévention et de la détection des infractions terroristes et des autres infractions pénales graves, ainsi qu’aux fins des enquêtes en la matière. En 2018, la Commission a adopté la proposition de règlement du Parlement européen et du Conseil modifiant le règlement (CE) nº 767/2008, le règlement (CE) nº 810/2009, le règlement (UE) 2017/2226, le règlement (UE) 2016/399, le règlement (UE) nº XX/2018 [règlement sur l’interopérabilité] et la décision 2004/512/CE et abrogeant la décision 2008/633/JAI du Conseil 16 . Cette proposition aligne la disposition relative à l’accès des services répressifs sur les récentes évolutions de la législation et propose d’abroger la décision du Conseil;

II.le règlement (UE) nº 604/2013 du Parlement européen et du Conseil du 26 juin 2013 établissant les critères et mécanismes de détermination de l’État membre responsable de l’examen d’une demande de protection internationale introduite dans l’un des États membres par un ressortissant de pays tiers ou un apatride 17 . En 2016, la Commission a proposé d’abroger ce règlement dans le cadre de la proposition de règlement du Parlement européen et du Conseil relatif à la création d’«Eurodac» pour la comparaison des empreintes digitales aux fins de l’application efficace du règlement (UE) nº 604/2013 établissant les critères et mécanismes de détermination de l’État membre responsable de l’examen d’une demande de protection internationale introduite dans l’un des États membres par un ressortissant de pays tiers ou un apatride, et de l’identification des ressortissants de pays tiers ou apatrides en séjour irrégulier, et relatif aux demandes de comparaison avec les données d’Eurodac présentées par les autorités répressives des États membres et par Europol à des fins répressives (refonte) 18 .

4)Accords internationaux conclus entre des États membres ou des États de l’espace Schengen uniquement

Plusieurs accords internationaux qui lient exclusivement des États membres (ou des États de l’espace Schengen), qui sont tenus de transposer la directive dans leur ordre juridique national, relèvent du réexamen au titre de l’article 62, paragraphe 6, de la directive. Par conséquent, les traitements de données à caractère personnel effectués par les autorités compétentes de ces États à des fins répressives au titre de ces accords sont soumis à la législation nationale qui transpose la directive. Il existe trois accords de ce type:

I.la convention établie sur la base de l’article K.3 du traité sur l’Union européenne, relative à l’assistance mutuelle et à la coopération entre les administrations douanières (convention Naples II) 19 ;

II.l’acte du Conseil du 29 mai 2000 établissant, conformément à l’article 34 du traité sur l’Union européenne, la convention relative à l’entraide judiciaire en matière pénale entre les États membres de l’Union européenne 20 ;

III.l’accord entre l’Union européenne et la République d’Islande et le Royaume de Norvège sur l’application de certaines dispositions de la convention du 29 mai 2000 relative à l’entraide judiciaire en matière pénale entre les États membres de l’Union européenne et du protocole de 2001 à celle-ci 21 .

5)Traité d’entraide judiciaire entre l’Union européenne et les États-Unis

Signé en 2003, l’accord entre l’Union européenne et les États-Unis d’Amérique en matière d’entraide judiciaire 22 (le «TEJ UE - États-Unis») est entré en vigueur le 1er février 2010. Outre les garanties prévues dans cet accord, l’accord entre les États-Unis d’Amérique et l’Union européenne sur la protection des informations à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière 23 (l’«accord-cadre UE - États-Unis»), en vigueur depuis février 2017, complète l’accord au moyen de garanties appropriées pour la protection des données à caractère personnel, de sorte qu’une mise en conformité supplémentaire du TEJ UE - États-Unis n’est pas nécessaire.

IV.Actes à mettre en conformité avec la directive

Le réexamen a permis de recenser dix actes juridiques pour lesquels la Commission estime qu’il y a lieu de procéder à une intervention législative, soit parce qu’ils contiennent des dispositions spécifiques en matière de protection des données à caractère personnel qui, en application de l’article 60 de la directive, demeurent inchangées (bénéficient de la clause d’antériorité), soit parce qu’ils n’ont pas bénéficié de la clause d’antériorité, mais ne sont pas pleinement conformes à la directive, comme expliqué ci-dessous.

1)Décision-cadre du Conseil relative aux équipes communes d’enquête

La décision-cadre 2002/465/JAI du Conseil du 13 juin 2002 relative aux équipes communes d’enquête 24 précise les conditions de création d’une équipe commune d’enquête. Elle contient une disposition spécifique relative au traitement d’informations pouvant contenir des données à caractère personnel obtenues par un membre ou un membre détaché d’une équipe commune d’enquête, prévoyant que ces informations peuvent être utilisées à d’autres fins, pour autant que cela ait été convenu par les États membres qui ont créé l’équipe [article 1er, paragraphe 10, point d)]. Il convient de mettre cette disposition en conformité avec la directive.

Mise en conformité avec la directive

La décision-cadre 2002/465/JAI du Conseil devrait être mise en conformité avec la directive afin de:

·préciser que les données à caractère personnel obtenues en vertu de la décision-cadre 2002/465/JAI du Conseil peuvent être traitées à des fins autres que celles pour lesquelles ces données ont été collectées pour autant que cela soit prévu par le droit national et que cela ait été convenu entre les États membres qui ont créé l’équipe, dans le respect des conditions énoncées à l’article 4, paragraphe 2, et à l’article 9, paragraphe 1, de la directive.

Marche à suivre

La Commission proposera une modification ciblée de la décision-cadre 2002/465/JAI du Conseil au cours du dernier trimestre de l’année 2020.

2)Décision du Conseil relative à l’échange d’informations et à la coopération concernant les infractions terroristes

La décision 2005/671/JAI du Conseil du 20 septembre 2005 relative à l’échange d’informations et à la coopération concernant les infractions terroristes 25  a été adoptée avant l’entrée en vigueur de la décision-cadre 2008/977/JAI du Conseil et contient des dispositions couvertes par la clause d’antériorité au titre de l’article 60 de la directive. La décision 2005/671/JAI du Conseil a récemment été modifiée par la directive (UE) 2017/541 relative à la lutte contre le terrorisme.

Mise en conformité avec la directive

La décision 2005/671/JAI du Conseil devrait être mise en conformité avec la directive afin de:

·préciser que les données à caractère personnel obtenues en vertu de la décision 2005/671/JAI ne peuvent être traitées qu'à des fins de prévention et de détection des infractions pénales, ainsi que d’enquêtes et de poursuites en la matière, conformément au principe de limitation de la finalité;

·les catégories de données à caractère personnel qui peuvent être échangées devraient être définies plus précisément par la législation de l’Union ou celles des États membres, conformément à l’exigence prévue à l’article 8, paragraphe 2, de la directive, en tenant dûment compte des besoins opérationnels des autorités concernées.

Marche à suivre

La Commission proposera des modifications ciblées de la décision 2005/671/JAI du Conseil au cours du premier trimestre de l’année 2021.

Par ailleurs, la Commission compte présenter au Parlement européen et au Conseil, le 8 septembre 2021 au plus tard, un rapport évaluant la valeur ajoutée de la directive (UE) 2017/541 au regard de la lutte contre le terrorisme et l’incidence de cette directive sur les libertés et droits fondamentaux, y compris sur le droit à la protection des données [article 29, paragraphe 2, de la directive (UE) 2017/541].

3)Décision-cadre du Conseil relative à l'échange d'informations et de renseignements entre services répressifs

La décision-cadre  2006/960/JAI du Conseil du 18 décembre 2006 relative à la simplification de l'échange d'informations et de renseignements entre les services répressifs des États membres de l'Union européenne 26  fixe un ensemble de règles générales en vertu desquelles les services répressifs des États membres peuvent s'échanger des informations et des renseignements afin de mener des enquêtes pénales ou des opérations de renseignement en matière pénale. Elle exige, en principe, que les procédures relatives aux échanges transfrontières de données ne soient pas plus strictes que celles qui s'appliquent aux échanges au niveau national.

Mise en conformité avec la directive

La décision-cadre du Conseil devrait être mise en conformité avec la directive afin de:

·préciser les types de données à caractère personnel qui peuvent être échangés en vertu de la décision-cadre, tout en préservant l’efficacité et la nature de celle-ci en tant qu’instrument horizontal;

·préciser davantage les garanties: en particulier, en ce qui concerne l’exigence d’une évaluation de la nécessité et de la proportionnalité de chaque échange d’informations;

·mettre à jour les renvois au cadre horizontal de la protection des données et inclure une mention concernant l’applicabilité de la directive.

Marche à suivre

La Commission évaluera cet instrument dans le contexte de discussions plus larges et d’une étude de faisabilité réalisée en 2020 sur la possible codification future de la coopération entre les services répressifs de l’UE, qui devrait viser à refondre et à moderniser les différentes législations en vigueur dans le domaine de la coopération des services répressifs. La Commission présentera une proposition législative qui, au minimum, comprendra une modification de la décision-cadre 2006/960/JAI du Conseil afin de garantir l’alignement nécessaire en matière de protection des données, au cours du dernier trimestre de 2021.

4)Décision du Conseil relative à la coopération entre les bureaux de recouvrement des avoirs

La décision 2007/845/JAI du Conseil du 6 décembre 2007 relative à la coopération entre les bureaux de recouvrement des avoirs des États membres en matière de dépistage et d’identification des produits du crime ou des autres biens en rapport avec le crime 27 oblige les États membres à mettre en place les bureaux de recouvrement des avoirs et fournit un cadre pour l’échange de données entre les bureaux de recouvrement des avoirs des États membres.

Mise en conformité avec la directive

La décision 2007/845/JAI du Conseil, ou tout instrument susceptible de la remplacer, devrait être conforme à la directive en ce qui concerne tous les aspects pertinents; il convient notamment de:

·préciser que le traitement des données à caractère personnel en vertu de la décision 2007/845/JAI du Conseil est régi par la directive. Actuellement, l’article 5 de la décision 2007/845/JAI du Conseil renvoie explicitement à la convention du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et au protocole additionnel du 8 novembre 2001 à cette convention, concernant les autorités de contrôle et les flux transfrontières de données. Cette décision du Conseil a été adoptée avant l’entrée en vigueur de la décision-cadre 2008/977/JAI du Conseil et ses dispositions spécifiques relatives à la protection des données à caractère personnel sont également couvertes par l’article 60 de la directive, de sorte qu'elles demeurent inchangées (elles bénéficient de la clause d'antériorité). Par conséquent, une modification législative est nécessaire pour veiller à ce que la directive soit pleinement appliquée;

·les catégories de données à caractère personnel qui peuvent être échangées devraient être définies plus précisément, en tenant dûment compte des besoins opérationnels des autorités concernées.

Marche à suivre

La Commission a entamé un processus de réflexion sur le rôle et les fonctions des bureaux de recouvrement des avoirs. À cette fin, elle a lancé, en décembre 2019, une étude intitulée «Gel, confiscation et recouvrement des avoirs dans l’UE – Qu’est-ce qui fonctionne et qu’est-ce qui ne fonctionne pas?». Le rapport final de cette étude est prévu pour juillet 2020.

Les conclusions et recommandations de cette étude pourraient servir de base à l’examen approfondi de l’acquis en matière de recouvrement des avoirs, et notamment de la décision 2007/845/JAI du Conseil. Une proposition législative incluant les modifications nécessaires à la mise en conformité des dispositions relatives à la protection des données sera présentée avant la fin de l’année 2021.

5)Décisions du Conseil relatives à l'approfondissement de la coopération transfrontalière, notamment en vue de lutter contre le terrorisme et la criminalité transfrontalière (décisions Prüm)

La décision 2008/615/JAI du Conseil du 23 juin 2008 relative à l'approfondissement de la coopération transfrontalière, notamment en vue de lutter contre le terrorisme et la criminalité transfrontalière 28 , et la décision 2008/616/JAI du Conseil du 23 juin 2008 concernant la mise en œuvre de la décision 2008/615/JAI relative à l'approfondissement de la coopération transfrontalière, notamment en vue de lutter contre le terrorisme et la criminalité transfrontalière 29 , définissent les règles de coopération entre les autorités répressives des États membres, essentiellement en matière d’échanges, sur la base d'un système de concordance/non-concordance, d’empreintes digitales et de données ADN conservées dans les bases de données nationales. Le mécanisme de Prüm prévoit également un accès direct aux registres des véhicules via l’application en ligne «EUCARIS».

Mise en conformité avec la directive

La révision des décisions Prüm doit garantir la mise en conformité parfaite du nouveau mécanisme de Prüm avec la directive, en particulier en ce qui concerne les garanties en matière de protection des données. La Commission proposera des modifications visant à garantir la mise en conformité avec la directive, notamment afin de:

·veiller à l'alignement  des droits des personnes concernées et des règles relatives à la responsabilité en matière de traitement des données à caractère personnel, et des voies de recours;

·veiller à ce que les exigences en matière de journalisation soient pleinement conformes à la directive;

·mettre en conformité avec la directive les règles en matière de transfert de données à caractère personnel vers des pays tiers ou vers des organisations internationales;

·examiner l’interaction entre l’article 9, paragraphe 3, de la directive et le système établi par les décisions Prüm;

·en ce qui concerne les chapitres 3 et 5 de la décision 2008/615/JAI du Conseil, préciser les catégories de données à caractère personnel qui peuvent être traitées pour prévenir les infractions pénales et pour maintenir l’ordre public et la sécurité des manifestations de grande envergure, ou pour permettre d’autres formes de coopération, conformément à l’exigence de l’article 8, paragraphe 2, de la directive;

·préciser que tout échange d’informations effectué en vertu de la décision, en particulier la fourniture de données en liaison avec des manifestations de grande envergure ou d’autres formes de coopération (chapitres 3 et 5 de la décision 2008/615/JAI du Conseil), vise uniquement à prévenir des infractions pénales et à maintenir l'ordre et la sécurité publics;

·mettre à jour le renvoi au cadre applicable en matière de protection des données, c’est-à-dire remplacer le renvoi à la décision-cadre 2008/977/JAI du Conseil par une mention de l’applicabilité de la directive.

Marche à suivre

En novembre 2018, la Commission a lancé une étude de faisabilité sur l’avenir du mécanisme de Prüm 30 . Cette étude vise notamment à évaluer la faisabilité technique, opérationnelle et juridique d'une modification de l’architecture technique, d'une amélioration de l’échange de données à caractère personnel et de données liées à des cas concrets après la confirmation d’une concordance signalée par le système, d'une introduction de nouvelles catégories de données et d'une amélioration du traitement des données actuel, ainsi que de l’établissement de liens entre les décisions Prüm et d’autres bases de données centrales de l’UE et des solutions d’interopérabilité. Sous réserve des résultats de l’étude, la Commission examinera une proposition législative relative à un cadre juridique révisé et modernisé, qui sera l’occasion d’inclure les mises en conformité nécessaires avec la directive en 2021.

6)Décision du Conseil sur l’emploi de l’informatique dans le domaine des douanes

La décision 2009/917/JAI du Conseil du 30 novembre 2009 sur l’emploi de l’informatique dans le domaine des douanes 31 institue le système d’information des douanes (SID) afin d’aider à prévenir, rechercher et poursuivre les infractions graves aux lois nationales en rendant les données plus rapidement disponibles et en renforçant ainsi l’efficacité des administrations douanières des États membres. Ce système central est accessible aux autorités des États membres, à Europol, à Eurojust et à la Commission européenne.

Mise en conformité avec la directive

La décision 2009/917/JAI du Conseil devrait être mise en conformité avec la directive afin:

·en ce qui concerne les «infractions graves» auxquelles s'applique la décision du Conseil;

·de préciser les conditions de collecte et d’enregistrement des données et d'exiger que ces données ne puissent être introduites dans le SID que s’il existe des motifs raisonnables, en particulier sur la base d’activités illégales antérieures, qui donnent à penser que la personne concernée a commis, est en train de commettre ou commettra une infraction pénale;

·de prévoir des exigences supplémentaires en matière de sécurité du traitement en alignant la liste des mesures de sécurité requises sur l’article 29 de la directive, c’est-à-dire en ajoutant des exigences en matière de restauration, de fiabilité et d’intégrité du système;

·de restreindre le traitement ultérieur des données enregistrées dans le SID à des fins autres que celles pour lesquelles des données à caractère personnel ont été collectées exclusivement aux conditions prévues dans la directive;

·d’appliquer le modèle de contrôle coordonné prévu à l’article 62 du règlement (UE) 2018/1725 au traitement des données à caractère personnel au titre de la décision 2009/917/JAI du Conseil. 32 Cette décision est le dernier acte juridique en vertu duquel le contrôle du traitement des données à caractère personnel est effectué par l’autorité de contrôle commune, devenue obsolète;

·de mettre à jour le renvoi général à la décision-cadre 2008/977/JAI du Conseil en le remplaçant par la mention de l’applicabilité de la directive. Toute disposition qui fait double emploi avec la directive (par exemple, les définitions ou les dispositions relatives aux droits des personnes concernées, au recours juridictionnel et à la responsabilité) devrait être supprimée au motif qu'elle est caduque et obsolète. Les renvois à des dispositions spécifiques de la décision-cadre 2008/977/JAI du Conseil devraient être mis à jour par des renvois spécifiques correspondants à la directive.

Marche à suivre

La Commission proposera des modifications ciblées de la décision 2009/917/JAI du Conseil au cours du premier trimestre de l’année 2021.

7)Accord d’entraide judiciaire avec le Japon

Mise en conformité avec la directive

En ce qui concerne l’accord entre l’Union européenne et le Japon sur l’entraide judiciaire en matière pénale 33 , le réexamen a permis de recenser plusieurs domaines dans lesquels il convient d'améliorer les garanties existantes. Les domaines nécessitant un examen plus approfondi à cet égard sont notamment les suivants:

·les dispositions relatives à la qualité des données et aux questions de sécurité;

·les garanties applicables au traitement de catégories particulières de données à caractère personnel;

·les voies de recours dont disposent les personnes concernées et les règles de contrôle;

·les limitations concernant les transferts ultérieurs;

·les règles relatives à la conservation et à la tenue des registres.

Marche à suivre

La Commission informera donc les autorités japonaises de la possible nécessité de modifier l’accord et de la procédure à suivre pour y inclure des garanties renforcées en matière de protection des données qui soient conformes à la directive, l’objectif étant d’adresser une recommandation au Conseil au cours du premier trimestre de 2021.

8)Directive sur la décision d’enquête européenne

Le traitement des données à caractère personnel au titre de la directive 2014/41/UE du Parlement européen et du Conseil du 3 avril 2014 concernant la décision d’enquête européenne en matière pénale 34 fixe le cadre pour l’émission, la transmission et l’exécution des décisions d’enquête européenne.

Mise en conformité avec la directive

La directive 2014/41/JAI du Conseil devrait être mise en conformité avec la directive afin de:

·préciser que tout traitement de données à caractère personnel obtenues en vertu de cette directive à des fins autres que celles pour lesquelles ces données sont collectées n’est autorisé que dans les conditions prévues à l’article 4 ou à l'article 9, paragraphe 1, de la directive ou à l'article 6 du règlement général sur la protection des données (RGPD), en supprimant l’article 20 de cette directive, par exemple;

·mettre à jour le renvoi général à la décision-cadre 2008/977 du Conseil en le remplaçant par une mention de l’applicabilité de la directive et en ajoutant une mention de l’applicabilité du RGPD au traitement de données à caractère personnel relatives à la décision d’enquête européenne dans le cadre d’une procédure non pénale.

Marche à suivre

La Commission proposera des modifications ciblées de la décision-cadre 2014/41/JAI au cours du dernier trimestre de l’année 2020.

9)Directive sur l’échange transfrontalier d'informations concernant les infractions en matière de sécurité routière

La directive (UE) 2015/413 du Parlement européen et du Conseil du 11 mars 2015 facilitant l'échange transfrontalier d'informations concernant les infractions en matière de sécurité routière 35 vise à garantir un niveau élevé de protection pour tous les usagers de la route dans l’Union en facilitant l’échange transfrontalier d’informations concernant certaines infractions spécifiques en matière de sécurité routière. À cette fin, elle prévoit que les autorités des États membres ont accès aux registres des véhicules des autres États membres via un système d’information électronique permettant d’identifier le contrevenant non résident présumé, c’est-à-dire le propriétaire ou le détenteur du véhicule, et de faciliter ainsi l’application des sanctions liées au trafic routier.

Mise en conformité avec la directive

La directive 2015/413/JAI du Conseil devrait être mise en conformité avec la directive afin:

·d’introduire un renvoi explicite à l’applicabilité de la directive lorsque l’acte lié au trafic routier est considéré comme une infraction pénale. Étant donné que le principal objectif est un niveau élevé de protection des usagers de la route, la directive est fondée sur l’article 91, paragraphe 1, point c), du TFUE relatif à des mesures visant à améliorer la sécurité des transports et fait actuellement référence aux dispositions applicables en matière de protection des données énoncées dans la directive 95/46/CE. Cependant, la directive vise aussi à faciliter l’imposition de sanctions pour des infractions liées au trafic routier, qui sont qualifiées d’«administratives» dans certains États membres, mais de «pénales» dans d’autres. Dans le premier cas, le règlement général sur la protection des données remplace la directive 95/46/CE et l’application du cadre juridique approprié pour le traitement des données à caractère personnel est assurée. Dans le second, comme indiqué au considérant 23 de la directive, les États membres ont la possibilité d’appliquer les dispositions spécifiques en matière de protection des données prévues dans la décision 2008/615/JAI. L’accès aux données échangées en vertu de cette décision ainsi que le traitement ultérieur de celles-ci doivent être mis en conformité avec la directive au moyen d'un renvoi clair à l’applicabilité de la directive dans de tels cas (voir point 5 ci-dessus);

·de garantir que l’obligation d’envoyer une lettre de notification au propriétaire ou au détenteur du véhicule, ou à toute autre personne identifiée soupçonnée d'avoir commis une infraction en matière de sécurité routière, concernant l’ouverture d’une enquête ou l’engagement de poursuites et leur fournissant des informations spécifiques ne porte pas atteinte au droit de recevoir les informations prévues à l’article 13 de la directive.

Marche à suivre

En vertu de l'article 11 de la directive, la Commission était tenue de transmettre un rapport au Parlement européen et au Conseil sur l'application de la directive avant novembre 2016. À la suite de l’évaluation de la directive de 2016 36 , la Commission a publié, le 15 mars 2019, une analyse d’impact initiale 37 (feuille de route), première étape du processus d’analyse d’impact concernant la révision de la directive. La Commission présentera une proposition législative tenant compte de la mise en conformité nécessaire avec la directive 38 d’ici la fin de 2021.

10)Directive relative à l’utilisation des données des dossiers passagers (PNR)

La directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l’utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière 39 prévoit l’obligation, pour les compagnies aériennes, de transmettre les données des passagers des vols internationaux aux autorités compétentes des États membres de l’Union européenne. Elle fixe également les conditions applicables à l’accès à ces données et à leur traitement par les autorités compétentes des États membres aux fins de la prévention et de la détection des infractions terroristes et des formes graves de criminalité, ainsi que des enquêtes et des poursuites en la matière.

Mise en conformité avec la directive

La directive PNR fait actuellement l’objet d’un renvoi préjudiciel devant la Cour de justice de l’Union européenne 40 , dans le cadre duquel sa compatibilité avec les articles 7 et 8 et avec l'article 52, paragraphe 1, de la Charte, est examinée. À la lumière de l’arrêt de la Cour, la Commission appréciera la nécessité d’une révision de la directive PNR en ce qui concerne la protection des données.

Marche à suivre

L’article 19 de la directive PNR de l’UE prévoit que la Commission procède à un réexamen de tous les éléments de la directive et qu’elle présente un rapport au Parlement européen et au Conseil au plus tard le 25 mai 2020. À la suite de ce réexamen, et en tenant compte de l’arrêt de la Cour dans l’affaire C-817/19, la Commission examinera si une proposition législative en vue de modifier cette directive est nécessaire ou appropriée. La Commission a entamé une analyse de la mise en œuvre de la directive PNR au cours du dernier trimestre de 2019.

(1)

   Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).

(2)

     Voir, en ce qui concerne le rapport entre l’article 16 du TFUE et l’article 8 de la charte des droits fondamentaux, l’avis A-1/15 de la Cour (grande chambre), ECLI:EU:C:2017:592, point 120.

(3)

   Ce projet pilote a été demandé par le Parlement européen, géré par la Commission et réalisé par un contractant (groupe d’experts indépendants). La Commission a sélectionné le contractant sur la base de critères définis par le Parlement européen. Les éléments livrables du projet reflètent uniquement les points de vue et avis du contractant et la Commission ne peut être tenue responsable de l’usage qui pourrait être fait des informations qui y figurent. Les résultats sont publiés à l’adresse suivante: http://www.fondazionebrodolini.it/en/projects/pilot-project-fundamental-rights-review-eu-data-collection-instruments-and-programmes

(4)

     JO L 190 du 18.7.2002, p. 1.

(5)

     JO L 196 du 2.8.2003, p. 45.

(6)

     JO L 27 du 29.1.2005, p. 61.

(7)

     JO L 76 du 22.3.2005, p. 16. En ce qui concerne la décision-cadre 2005/214/JAI du Conseil, il convient de mentionner que le RGPD s’applique en cas de sanctions pécuniaires qui ont été prononcées pour des infractions administratives et non pour des infractions pénales.

(8)

     JO L 328 du 24.11.2006, p. 59.

(9)

     JO L 337 du 16.12.2008, p. 102.

(10)

     JO L 327 du 5.12.2008, p. 27.

(11)

     JO L 350 du 30.12.2008, p. 60.

(12)

     JO L 294 du 11.11.2009, p. 20.

(13)

     JO L 328 du 15.12.2009, p. 42.

(14)

     JO L 338 du 21.12.2011, p. 2.

(15)

     JO L 218 du 13.8.2008, p. 129.

(16)

     COM(2018) 302 final.

(17)

     JO L 180 du 29.6.2013, p. 31.

(18)

     COM(2016) 272 final – 2016/0132 (COD).

(19)

   Convention établie sur la base de l’article K.3 du traité sur l’Union européenne, relative à l’assistance mutuelle et à la coopération entre les administrations douanières (JO C 24 du 23.1.1998, p. 2).

(20)

   JO C 197 du 12.7.2000, p. 1.

(21)

   JO L 26 du 29.1.2004, p. 3.

(22)

   JO L 181 du 19.7.2003, p. 34.

(23)

     JO L 336 du 10.12.2016, p. 3.

(24)

     JO L 162 du 20.6.2002, p. 1.

(25)

     JO L 253 du 29.9.2005, p. 22.

(26)

     JO L 386 du 29.12.2006, p. 89.

(27)

     JO L 332 du 18.12.2007, p. 103.

(28)

     JO L 210 du 6.8.2008, p. 1.

(29)

     JO L 210 du 6.8.2008, p. 12. 

(30)

   Étude sur la faisabilité de l’amélioration de l’échange d’informations dans le cadre des décisions Prüm: rapport final ( https://op.europa.eu/en/publication-detail/-/publication/6c877a2a-9ef7-11ea-9d2d-01aa75ed71a1/language-en/format-PDF/source-130489216 ); Rapport technique approfondi ( https://op.europa.eu/en/publication-detail/-/publication/3236e6ae-9efb-11ea-9d2d-01aa75ed71a1/language-en ); Analyse coûts-bénéfices ( https://op.europa.eu/en/publication-detail/-/publication/503f1551-9efc-11ea-9d2d-01aa75ed71a1/language-en ).

(31)

     JO L 323 du 10.12.2009, p. 20.

(32)

   Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (texte présentant de l'intérêt pour l'EEE) (JO L 295 du 21.11.2018, p. 39).

(33)

     JO L 39 du 12.2.2010, p. 20.

(34)

     JO L 130 du 1.5.2014, p. 1.

(35)

     JO L 68 du 13.3.2015, p. 9.

(36)

   Document de travail des services de la Commission sur l’évaluation de l’échange transfrontalier d’informations concernant les infractions routières [SWD(2016) 355 final] et rapport de la Commission au Parlement européen et au Conseil sur l’application de la directive (UE) 2015/413 facilitant l’échange transfrontalier d’informations concernant les infractions en matière de sécurité routière [COM(2016) 744 final].

(37)

   Analyse d'impact initiale: révision de la directive relative à l’application transfrontalière de la législation ( https://ec.europa.eu/info/law/better-regulation/initiatives/ares-2019-1732201_en ).

(38)

     La mise en conformité tiendra également compte de toute adaptation nécessaire au RGPD et à la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive «vie privée et communications électroniques») (JO L 201 du 31.7.2002, p. 37)

(39)

     JO L 119 du 4.5.2016, p. 132.

(40)

     Affaire C-817/19, Ligue des droits humains, pendante devant la Cour au moment de l’adoption de la présente communication.

COMMISSION EUROPÉENNE

Bruxelles, le 24.6.2020

COM(2020) 262 final

ANNEXES

de la

COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL

Marche à suivre en ce qui concerne la mise en conformité de l'acquis de l'ancien troisième pilier avec les règles en matière de protection des données

ANNEXE I: Actes relevant du réexamen mais ne nécessitant pas de modification 

Actes qui ne contiennent pas de règles spécifiques en matière de protection des données et qui, de ce fait, ne bénéficient pas de la clause d’antériorité, ce qui signifie que la directive s'y applique déjà (7 actes):

1.Décision-cadre 2002/584/JAI du Conseil du 13 juin 2002 relative au mandat d’arrêt européen et aux procédures de remise entre États membres 1 .

2.Décision-cadre 2003/577/JAI du Conseil du 22 juillet 2003 relative à l’exécution dans l’Union européenne des décisions de gel de biens ou d’éléments de preuve 2 . 

3.Position commune 2005/69/JAI du Conseil du 24 janvier 2005 relative à l’échange de certaines données avec Interpol 3 .

4.Décision-cadre 2005/214/JAI du Conseil du 24 février 2005 concernant l'application du principe de reconnaissance mutuelle aux sanctions pécuniaires 4 .

5.Décision-cadre 2006/783/JAI du Conseil du 6 octobre 2006 relative à l’application du principe de reconnaissance mutuelle aux décisions de confiscation 5 .

6.Décision-cadre 2008/947/JAI du Conseil du 27 novembre 2008 concernant l’application du principe de reconnaissance mutuelle aux jugements et aux décisions de probation aux fins de la surveillance des mesures de probation et des peines de substitution 6 .

7.Décision-cadre 2008/909/JAI du Conseil du 27 novembre 2008 concernant l’application du principe de reconnaissance mutuelle aux jugements en matière pénale prononçant des peines ou des mesures privatives de liberté aux fins de leur exécution dans l’Union européenne 7 .

Actes qui comportent une référence à la décision-cadre 2008/977/JAI du Conseil qui s’entend comme faite à la directive, conformément à l’article 59, paragraphe 2, de celle-ci, et qui ne contiennent pas de règles spécifiques en matière de protection des données (3 actes):

1.Décision-cadre 2009/829/JAI du Conseil du 23 octobre 2009 concernant l’application, entre les États membres de l’Union européenne, du principe de reconnaissance mutuelle aux décisions relatives à des mesures de contrôle en tant qu’alternative à la détention provisoire 8 .

2.Décision-cadre 2009/948/JAI du Conseil du 30 novembre 2009 relative à la prévention et au règlement des conflits en matière d’exercice de la compétence dans le cadre des procédures pénales 9 .

3.Directive 2011/99/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la décision de protection européenne 10 .

Actes dont les modifications sont déjà en cours de négociation (2 actes):

1.Décision 2008/633/JAI du Conseil du 23 juin 2008 concernant l'accès en consultation au système d'information sur les visas (VIS) aux fins de la prévention et de la détection des infractions terroristes et des autres infractions pénales graves, ainsi qu'aux fins des enquêtes en la matière 11 ; il est proposé d'abroger cet acte dans le cadre de la proposition de règlement du Parlement européen et du Conseil modifiant le règlement (CE) nº 767/2008, le règlement (CE) nº 810/2009, le règlement (UE) 2017/2226, le règlement (UE) 2016/399, le règlement (UE) nº XX/2018 [règlement sur l’interopérabilité] et la décision 2004/512/CE et abrogeant la décision 2008/633/JAI du Conseil 12 .

2.Règlement (UE) nº 604/2013 du Parlement européen et du Conseil du 26 juin 2013 établissant les critères et mécanismes de détermination de l’État membre responsable de l’examen d’une demande de protection internationale introduite dans l’un des États membres par un ressortissant de pays tiers ou un apatride 13 ; il est proposé d’abroger cet acte dans le cadre de la proposition de règlement du Parlement européen et du Conseil relatif à la création d’«Eurodac» pour la comparaison des empreintes digitales aux fins de l’application efficace du règlement (UE) nº 604/2013 établissant les critères et mécanismes de détermination de l’État membre responsable de l’examen d’une demande de protection internationale introduite dans l’un des États membres par un ressortissant de pays tiers ou un apatride, et de l’identification des ressortissants de pays tiers ou apatrides en séjour irrégulier, et relatif aux demandes de comparaison avec les données d’Eurodac présentées par les autorités répressives des États membres et par Europol à des fins répressives (refonte) 14 .

Accords internationaux qui lient exclusivement des États membres (ou des États de l’espace Schengen), qui sont tenus de transposer la directive dans leur ordre juridique national, lorsque les traitements de données à caractère personnel effectués par les autorités compétentes de ces États à des fins répressives au titre de ces accords sont soumis à la législation nationale qui transpose la directive (3 actes):

1.Convention établie sur la base de l'article K.3 du traité sur l'Union européenne, relative à l'assistance mutuelle et à la coopération entre les administrations douanières (convention Naples II) 15 .

2.Acte du Conseil du 29 mai 2000 établissant, conformément à l’article 34 du traité sur l’Union européenne, la convention relative à l’entraide judiciaire en matière pénale entre les États membres de l’Union européenne 16 .

3.Accord entre l’Union européenne et la République d’Islande et le Royaume de Norvège sur l’application de certaines dispositions de la convention du 29 mai 2000 relative à l’entraide judiciaire en matière pénale entre les États membres de l’Union européenne et du protocole de 2001 à celle-ci 17 .

Traité d’entraide judiciaire entre l’Union européenne et les États-Unis:

1.Accord entre l'Union européenne et les États-Unis d'Amérique en matière d'entraide judiciaire 18 .

ANNEXE II: Actes devant être modifiés

1.Décision-cadre 2002/465/JAI du Conseil du 13 juin 2002 relative aux équipes communes d'enquête 19  

2.Décision 2005/671/JAI du Conseil du 20 septembre 2005 relative à l’échange d’informations et à la coopération concernant les infractions terroristes 20 .

3.Décision-cadre 2006/960/JAI du ConseilFramework du 18 décembre 2006 relative à la simplification de l'échange d'informations et de renseignements entre les services répressifs des États membres de l'Union européenne 21 .

4.Décision 2007/845/JAI du Conseil du 6 décembre 2007 relative à la coopération entre les bureaux de recouvrement des avoirs des États membres en matière de dépistage et d’identification des produits du crime ou des autres biens en rapport avec le crime 22 .

5.Décision 2008/615/JAI du 23 juin 2008 relative à l'approfondissement de la coopération transfrontalière, notamment en vue de lutter contre le terrorisme et la criminalité transfrontalière 23 , et décision 2008/616/JAI du Conseil du 23 juin 2008 concernant la mise en œuvre de la décision 2008/615/JAI relative à l'approfondissement de la coopération transfrontalière, notamment en vue de lutter contre le terrorisme et la criminalité transfrontalière 24 .

6.Décision 2009/917/JAI du Conseil du 30 novembre 2009 sur l’emploi de l’informatique dans le domaine des douanes 25 .

7.Accord entre l’Union européenne et le Japon relatif à l’entraide judiciaire en matière pénale 26 .

8.Directive 2014/41/UE du Parlement européen et du Conseil du 3 avril 2014 concernant la décision d'enquête européenne en matière pénale 27 .

9.Directive (UE) 2015/413 du Parlement européen et du Conseil du 11 mars 2015 facilitant l'échange transfrontalier d'informations concernant les infractions en matière de sécurité routière 28 .

10.Directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l'utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière 29 .

(1)

     JO L 190 du 18.7.2002, p. 1.

(2)

     JO L 196 du 2.8.2003, p. 45.

(3)

     JO L 27 du 29.1.2005, p. 61. 

(4)

     JO L 76 du 22.3.2005, p. 16.

(5)

     JO L 328 du 24.11.2006, p. 59.

(6)

     JO L 337 du 16.12.2008, p. 102.

(7)

     JO L 327 du 5.12.2008, p. 27.

(8)

     JO L 294 du 11.11.2009, p. 20.

(9)

     JO L 328 du 15.12.2009, p. 42.

(10)

     JO L 338 du 21.12.2011, p. 2.

(11)

     JO L 218 du 13.8.2008, p. 129.

(12)

     COM(2018) 302 final.

(13)

     JO L 180 du 29.6.2013, p. 31.

(14)

     COM(2016) 272 final — 2016/0132 (COD).

(15)

     JO C 24 du 23.1.1998, p. 2.

(16)

     JO C 197 du 12.7.2000, p. 1.

(17)

     JO L 26 du 29.1.2004, p. 3.

(18)

     JO L 181 du 19.7.2003, p. 34.

(19)

     JO L 162 du 20.6.2002, p. 1.

(20)

     JO L 253 du 29.9.2005, p. 22.

(21)

     JO L 386 du 29.12.2006, p. 89.

(22)

     JO L 332 du 18.12.2007, p. 103.

(23)

     JO L 210 du 6.8.2008, p. 1.

(24)

     JO L 210 du 6.8.2008, p. 12.

(25)

     JO L 323 du 10.12.2009, p. 20.

(26)

     JO L 39 du 12.2.2010, p. 20.

(27)

     JO L 130 du 1.5.2014, p. 1.

(28)

     JO L 68 du 13.3.2015, p. 9. 

(29)

     JO L 119 du 4.5.2016, p. 132.