This document is an excerpt from the EUR-Lex website
Document 52022DC0364
COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL First report on application and functioning of the Data Protection Law Enforcement Directive (EU) 2016/680 (‘LED’)
COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL Premier rapport sur l’application et le fonctionnement de la directive (UE) 2016/680 en matière de protection des données dans le domaine répressif
COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL Premier rapport sur l’application et le fonctionnement de la directive (UE) 2016/680 en matière de protection des données dans le domaine répressif
COM/2022/364 final
COMMISSION EUROPÉENNE
Bruxelles, le 25.7.2022
COM(2022) 364 final
COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL
Premier rapport sur l’application et le fonctionnement de la directive (UE) 2016/680 en matière de protection des données dans le domaine répressif
COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL
Premier rapport sur l’application et le fonctionnement de la directive (UE) 2016/680 en matière de protection des données dans le domaine répressif
Table des matières
1 La directive d’en matière de protection des données dans le domaine répressif en tant que principal instrument afin de garantir la protection des données dans le cadre de la politique de sécurité de l’Union européenne
1.1 Un élément essentiel d’un cadre cohérent de protection des données dans l’Union européenne
1.2 Une contribution essentielle afin d’assurer une politique de sécurité solide au sein de l’Union européenne
1.3 Considérations importantes concernant la préparation du rapport
2 Une transposition satisfaisante, mais un certain nombre de questions restent en suspens
2.1 Une transposition complète dans l’ensemble, mais avec quelques problèmes sur certaines dispositions
2.2 Priorités pour l’évaluation de la conformité
2.2.1 Champ d’application de la directive en matière de protection des données dans le domaine répressif
2.2.2 Gouvernance et pouvoirs des autorités de contrôle de la protection des données
2.2.3 Voies de recours
2.2.4 Délais de conservation et d’examen
2.2.5 Base juridique du traitement, y compris les catégories particulières de données à caractère personnel
2.2.6 Prise de décision automatisée
2.2.7 Droits des personnes concernées
2.2.8 Quelques dispositions importantes propres à la directive en matière de protection des données dans le domaine répressif
3 Premiers enseignements tirés de l’application et du fonctionnement de la directive en matière de protection des données dans le domaine répressif
3.1 Réclamations et effet positif sur les droits des personnes concernées
3.2 Sensibilisation accrue des autorités compétentes à la protection des données
3.3 Amélioration de la sécurité des données mais différences concernant les notifications de violations des données
3.4 Contrôle par les autorités de contrôle de la protection des données
3.4.1 Ressources des autorités de contrôle de la protection des données
3.4.2 Utilisation des pouvoirs
3.4.3 Contrôle juridictionnel des actions des autorités de contrôle de la protection des données
3.4.4 Lignes directrices du comité européen de la protection des données
3.4.5 Assistance mutuelle
3.5 Instrument flexible pour les transferts internationaux de données
3.5.1 Décisions d’adéquation
3.5.2 Garanties appropriées
3.5.3 Recours à des dérogations
3.5.4 Une coopération policière et judiciaire transfrontière efficace
4 Pistes
1La directive d’en matière de protection des données dans le domaine répressif en tant que principal instrument afin de garantir la protection des données dans le cadre de la politique de sécurité de l’Union européenne
La présente communication expose le premier rapport de la Commission européenne sur l’évaluation et le réexamen de la directive en matière de protection des données dans le domaine répressif 1 (ci-après la «directive en matière de protection des données dans le domaine répressif»), conformément à l’article 62, paragraphe 1, de ladite directive.
Le rapport examine, en particulier, l’application et le fonctionnement des règles de la directive en matière de protection des données dans le domaine répressif relatives au transfert de données à caractère personnel vers des pays tiers et à des organisations internationales, conformément à la directive, mais il adopte également une approche plus large. Il situe la directive en matière de protection des données dans le domaine répressif dans les cadres du droit de l’Union sur la protection des données à caractère personnel et du droit de l’Union régissant le traitement des données à caractère personnel à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuite en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces («application du droit pénal») 2 . Le rapport propose une vue d’ensemble de la transposition de la directive en matière de protection des données dans le domaine répressif par les États membres dans leur législation nationale, présente les premiers enseignements tirés de l’application et du fonctionnement de la directive et esquisse la voie à suivre.
1.1Un élément essentiel d’un cadre cohérent de protection des données dans l’Union européenne
La directive en matière de protection des données dans le domaine répressif est l’un des trois piliers du cadre de l’Union garantissant le droit fondamental à la protection des données à caractère personnel. Les deux autres sont le règlement général sur la protection des données (ci-après le «RGPD») 3 et le règlement sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'UE (ci-après le «RPDUE») 4 . Le droit fondamental à la protection des données est consacré par l’article 8 de la Charte des droits fondamentaux de l’Union européenne (ci-après la «Charte») 5 et par l’article 16 du traité sur le fonctionnement de l’Union européenne (ci-après le «TFUE») 6 .
La directive en matière de protection des données dans le domaine répressif est entrée en vigueur le 6 mai 2016 et les États membres étaient tenus de la transposer pour le 6 mai 2018 au plus tard 7 .
La directive en matière de protection des données dans le domaine répressif est le premier acte législatif de l’Union qui adopte une approche globale de la protection des données à caractère personnel par les autorités compétentes [c’est-à-dire les autorités judiciaires, la police et les autres services répressifs pénaux, comme le prévoit l’article 3, point 7), de la directive] à des fins d’application du droit pénal. Par rapport à la décision-cadre 2008/977/JAI du Conseil 8 , qu’elle a abrogée et remplacée, la directive en matière de protection des données dans le domaine répressif constitue une avancée majeure pour garantir l’application cohérente des règles en matière de protection des données dans toute l’Union. Premièrement, la directive en matière de protection des données dans le domaine répressif propose un ensemble complet de règles pour le traitement aussi bien transfrontière que national des données à caractère personnel à des fins d’application du droit pénal, alors que la décision-cadre du Conseil ne couvrait que le traitement transfrontière. Deuxièmement, la directive en matière de protection des données dans le domaine répressif énonce un ensemble complet et horizontal de règles, alors que dans l’approche précédente, chaque acte sectoriel de l’Union qui prévoyait le traitement de données à caractère personnel dans le contexte de l’application du droit pénal était régi par ses propres règles en matière de protection des données 9 .
Le RGPD, le RPDUE et la directive en matière de protection des données dans le domaine répressif sont fondés sur des concepts et des principes similaires 10 , ce qui donne lieu à une interprétation et à une application cohérentes des règles de l’Union en matière de protection des données. Ils partagent des définitions communes et contiennent des obligations similaires pour les responsables du traitement des données et les sous-traitants. Cependant, la directive en matière de protection des données dans le domaine répressif traite aussi spécifiquement des risques liés au traitement des données à caractère personnel dans le contexte de l’application du droit pénal. Les dispositions correspondantes prévoient l’obligation i) d’établir une distinction entre les différentes catégories de personnes concernées, ii) d’établir une distinction entre les données à caractère personnel fondées sur des faits et celles fondées sur une appréciation personnelle, iii) de tenir un journal de l’utilisation des données à caractère personnel et de satisfaire à des exigences particulières de sécurité 11 .
Compte tenu de la nature spécifique de la coopération judiciaire en matière pénale et de la coopération policière, il a été jugé nécessaire d’adopter des règles spécifiques dans ces domaines pour la protection des données à caractère personnel et la libre circulation de ces données 12 . La sensibilité du domaine de la coopération judiciaire en matière pénale et de la coopération policière, ainsi que la complexité des cadres juridiques nationaux qui régissent l’application du droit pénal, ont conduit à considérer qu’une directive était le meilleur instrument pour atteindre un niveau élevé de protection des données dans ce domaine. Une directive laisse également aux États membres la flexibilité nécessaire pour mettre en œuvre les principes, les règles et les exemptions au niveau national 13 .
La Commission a publié son premier rapport sur la mise en œuvre du RGPD le 24 juin 2020 14 . Le rapport concluait que de l’avis général, le RGPD a atteint ses objectifs, notamment en conférant aux citoyens un ensemble solide de droits opposables et en créant un nouveau système européen de gouvernance et de contrôle de l’application. Le rapport énumère des actions à entreprendre par toutes les parties intéressées afin de faciliter davantage l’application du RGPD et de promouvoir et de continuer à développer une culture de la protection des données dans l’Union, et un contrôle rigoureux de l’application.
Ce rapport fait suite au réexamen des actes juridiques adoptés par l’Union qui réglementent le traitement des données par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales. L’objectif de ce réexamen était d’évaluer la nécessité de mettre en conformité les actes juridiques en question avec la directive en matière de protection des données dans le domaine répressif 15 . Le 24 juin 2020, la Commission s’est acquittée de cette obligation en adoptant une communication intitulée «Marche à suivre en ce qui concerne la mise en conformité de l’acquis de l’ancien troisième pilier avec les règles en matière de protection des données» 16 . Elle a recensé 10 actes juridiques qui devraient être mis en conformité avec la directive en matière de protection des données dans le domaine répressif et a fixé un calendrier pour réaliser cet objectif.
Enfin, le présent rapport a été préparé en parallèle avec le rapport de la Commission sur l’application du RPDUE. Un élément important de ce dernier est la révision de ses règles, exposées au chapitre IX, sur le traitement des données opérationnelles à caractère personnel par les organes et organismes de l’Union dans l’exercice d’activités qui relèvent de la coopération policière et de la coopération judiciaire en matière pénale 17 (ci-après les «agences JAI»). Les règles en question sont fondées en grande partie sur la directive en matière de protection des données dans le domaine répressif. En vertu de l’article 98 du RPDUE, la Commission est tenue de réexaminer les actes juridiques régissant le traitement des données opérationnelles à caractère personnel par les agences JAI et l’autorise à présenter des propositions législatives appropriées, notamment en vue d’appliquer les règles du chapitre IX à Europol 18 et au Parquet européen, ainsi qu’à proposer toute modification nécessaire de ce chapitre.
1.2Une contribution essentielle afin d’assurer une politique de sécurité solide au sein de l’Union européenne
La Commission n’a cessé de souligner qu’une Union de la sécurité réelle et effective ne peut être construite que sur la base du respect absolu des droits fondamentaux inscrits dans la Charte et dans le droit dérivé de l’Union. La directive en matière de protection des données dans le domaine répressif apporte une contribution essentielle à la politique de sécurité de l’Union en veillant à ce que les données à caractère personnel des victimes, des témoins et des personnes soupçonnées d’infractions pénales soient dûment protégées. En outre, en harmonisant les règles relatives à la protection des données à caractère personnel traitées par les autorités compétentes dans les États membres de l’Union et les pays de l’espace Schengen, la directive en matière de protection des données dans le domaine répressif contribue à renforcer la confiance et la sécurité des données échangées entre les autorités à des fins d’application du droit pénal, facilitant ainsi la coopération transfrontière dans la lutte contre la criminalité et le terrorisme 19 . La directive en matière de protection des données dans le domaine répressif joue également un rôle clé dans la promotion d’une culture de respect de la protection des données parmi les autorités compétentes.
La stratégie pour l’union de la sécurité 20 souligne également que de nouvelles technologies telles que l’intelligence artificielle pourraient constituer un outil puissant pour lutter contre la criminalité. La réalisation de ce potentiel implique également de garantir les normes les plus élevées en matière de respect des droits fondamentaux. La législation relative à la protection des données, notamment la directive en matière de protection des données dans le domaine répressif, pourrait servir de base à de nouvelles législations sectorielles. Par exemple, la proposition de législation sur l’intelligence artificielle 21 encadrerait davantage l’utilisation des données à caractère personnel pour l’identification biométrique à distance dans les lieux publics à des fins répressives.
Enfin, dans un monde interconnecté, la criminalité (et notamment la cybercriminalité et les autres formes de criminalité facilitée par les technologies de l’information et de la communication) est de plus en plus souvent de nature transfrontière. Même lorsqu’elles enquêtent sur des affaires internes, les autorités compétentes rencontrent de plus en plus souvent des questions transfrontières, parce que les informations sont stockées sous forme électronique dans un pays tiers. Cela accroît le besoin de coopération internationale dans les enquêtes pénales, de la part tant des autorités des États membres que des organes de l’Union tels qu’Europol et Eurojust. Cette coopération, et en particulier la collecte et l’échange de preuves électroniques 22 , implique souvent le transfert de données à caractère personnel. Il est donc essentiel de mettre en place de solides garanties en matière de protection des données. Ces garanties contribuent également à instaurer un climat de confiance entre les services répressifs, ce qui permet un échange d’informations plus rapide et plus efficace et renforce la sécurité juridique lorsque les informations sont ensuite utilisées dans le cadre de procédures pénales. À cet égard, la directive en matière de protection des données dans le domaine répressif propose un ensemble actualisé d’outils permettant d’organiser ces transferts de données à caractère personnel de l’Union vers un pays tiers ou à une organisation internationale (par exemple Interpol 23 ), tout en garantissant que les données à caractère personnel continuent de bénéficier d’un niveau élevé de protection. La Commission et les États membres ont utilisé toute la gamme des outils de la directive en matière de protection des données dans le domaine répressif depuis son entrée en vigueur, confirmant ainsi qu’elle est suffisamment large et flexible pour rendre possible une coopération policière et judiciaire internationale efficace.
1.3Considérations importantes concernant la préparation du rapport
Lors de la préparation du présent rapport, la Commission a rassemblé des informations et des commentaires provenant de différentes sources et activités de consultation ciblées. Conformément à l’article 62 de la directive en matière de protection des données dans le domaine répressif, la Commission a tenu compte des contributions et des positions du Parlement européen 24 , du Conseil 25 , du comité européen de la protection des données 26 et des autorités nationales de contrôle de la protection des données. Des commentaires supplémentaires ont été obtenus au moyen d’un questionnaire adressé aux organisations de la société civile (par l’intermédiaire de l’Agence des droits fondamentaux de l’Union européenne) 27 et de réponses à un appel public à contributions 28 . La Commission a également pris en considération les observations du groupe d’experts des États membres sur le RGPD et la directive en matière de protection des données dans le domaine répressif 29 , ainsi que les observations de la présidence allemande du Conseil 30 . Elle a également tenu compte de l’analyse des mesures nationales de transposition et d’un faible nombre de réclamations qu’elle a reçues à cet égard.
Bien que la directive en matière de protection des données dans le domaine répressif s’applique à tous les États membres et à tous les pays de l’espace Schengen (car elle constitue un développement des dispositions de l’acquis de Schengen 31 ), le présent rapport ne couvre que les États membres de l’Union.
Trois facteurs ont eu une incidence sur la préparation du présent rapport. Premièrement, deux tiers des États membres n’ont pas respecté la date limite fixée au mois de mai 2018 pour transposer la directive en matière de protection des données dans le domaine répressif dans leur droit national. Néanmoins, la plupart des États membres ont transposé la directive avant 2019, après que la Commission a lancé des procédures d’infraction. Par conséquent, l’expérience de son application est plutôt limitée, un point que le comité européen de la protection des données 32 et le Conseil 33 soulignent également. Deuxièmement, il s’est avéré plus difficile de compiler des statistiques sur l’application de la directive en matière de protection des données dans le domaine répressif, par rapport au RGPD. Certaines autorités de contrôle de la protection des données ne collectent pas de statistiques sur leurs activités de contrôle de manière séparée pour la directive en matière de protection des données dans le domaine répressif et le RGPD. C’est le cas, par exemple, en ce qui concerne les notifications de violations des données 34 et les réclamations introduites en vertu de la directive en matière de protection des données dans le domaine répressif 35 , ce qui rend parfois difficile l'obtention d’une vue d’ensemble précise de ces dispositions dans le cadre de la directive 36 .
Troisièmement, il est important de tenir compte du fait que la jurisprudence commence seulement à se développer en ce qui concerne l’application de la directive en matière de protection des données dans le domaine répressif. Plusieurs affaires sont actuellement pendantes devant la Cour de justice de l’Union européenne (ci-après la «CJUE») au sujet de l’interprétation de dispositions essentielles de la directive en matière de protection des données dans le domaine répressif, telles que le droit d’accès des personnes concernées et le droit à un recours juridictionnel effectif. Ces arrêts apporteront plus de clarté et contribueront à une approche plus harmonisée entre les États membres.
2Une transposition satisfaisante, mais un certain nombre de questions restent en suspens
La Commission a mis en place un groupe d’experts des États membres 37 pour aider les États membres à intégrer la directive en matière de protection des données dans le domaine répressif dans leur droit national. Le groupe facilite les discussions et le partage d’expériences entre les États membres et la Commission sur les règles en matière de protection des données. Il s’est réuni régulièrement entre l’adoption de la directive en matière de protection des données dans le domaine répressif en 2016 et la date limite de transposition du 6 mai 2018, et ses travaux ont repris en 2021.
La vue d’ensemble de la transposition présentée ci-dessous se concentre sur les principaux problèmes constatés jusqu’à présent. Elle repose principalement sur l’analyse par la Commission des informations fournies par les États membres lorsqu’ils ont notifié à la Commission les mesures nationales qu’ils avaient prises pour transposer la directive en matière de protection des données dans le domaine répressif dans leur droit national. Cette analyse a été appuyée par une étude externe réalisée par un contractant externe. La Commission a également participé à des échanges bilatéraux avec plusieurs États membres.
2.1Une transposition complète dans l’ensemble, mais avec quelques problèmes sur certaines dispositions
En juillet 2018, la Commission a ouvert des procédures d’infraction à l’encontre de 19 États membres qui n’avaient pas adopté de lois transposant la directive en matière de protection des données dans le domaine répressif à la date limite du 6 mai 2018 et n’avaient pas dûment notifié leurs mesures de transposition à la Commission. Une autre procédure pour non-transposition partielle a été lancée en juillet 2019 à l’encontre d’un autre État membre. En conséquence, la plupart des États membres ont ensuite notifié à la Commission leur législation nationale de transposition et la Commission a progressivement clôturé les procédures d’infraction à leur encontre en 2019 (en 2020 pour un État membre). En 2021, la Commission a saisi la CJUE d'une procédure d’infraction à l’encontre de l’Espagne parce que cette dernière n’avait toujours pas transposé la directive en matière de protection des données dans le domaine répressif ni notifié à la Commission ses mesures de transposition. Compte tenu de la gravité et de la durée de l’infraction, la CJUE a, pour la première fois, condamné l’Espagne au paiement d’une somme forfaitaire et d’une astreinte 38 .
La Commission a également lancé, en avril 2022, une procédure d’infraction à l’encontre de l’Allemagne après avoir détecté une lacune dans la transposition de la directive en matière de protection des données dans le domaine répressif en ce qui concerne les activités de la police fédérale allemande.
La Commission continuera d'évaluer la transposition de la directive en matière de protection des données dans le domaine répressif dans les États membres et prendra les mesures nécessaires pour remédier aux éventuelles lacunes.
2.2Priorités pour l’évaluation de la conformité
La Commission vérifie également que les dispositions nationales des États membres transposent correctement les exigences de la directive en matière de protection des données dans le domaine répressif (contrôle de conformité).
Lors de la transposition de la directive en matière de protection des données dans le domaine répressif, les États membres ont soit modifié leur législation antérieure relative à la protection des données, soit l’ont abrogée et remplacée par une ou plusieurs nouvelles lois horizontales sur la protection des données. Dans de nombreux cas, les lois nationales transposent la directive en matière de protection des données dans le domaine répressif en renvoyant à la même disposition ou à une disposition équivalente du RGPD (par exemple en ce qui concerne les définitions, les notifications de violations de données, la désignation du délégué à la protection des données et les dispositions relatives à l’organisation, au statut, aux compétences, aux missions et aux pouvoirs des autorités nationales de contrôle de la protection des données). Un certain nombre de dispositions de la directive en matière de protection des données dans le domaine répressif ont également été transposées par de nouvelles dispositions dans, par exemple, le droit administratif général, le droit procédural administratif ou la procédure pénale. Certains États membres ont également transposé plusieurs dispositions de la directive en matière de protection des données dans le domaine répressif dans des législations sectorielles réglementant le fonctionnement et les pouvoirs de certaines autorités compétentes. Il peut donc s’avérer nécessaire de tenir compte de divers actes juridiques nationaux pour déterminer si la directive en matière de protection des données dans le domaine répressif a été correctement transposée ou non dans un État membre particulier. Dans l’ensemble, les lois nationales reprennent dans une large mesure les principes et les dispositions fondamentales de la directive en matière de protection des données dans le domaine répressif. Toutefois, un certain nombre de problèmes ont été constatés, dont les plus importants sont exposés dans les sections suivantes. La Commission a déjà lancé un certain nombre de procédures d’infraction à l’encontre des États membres 39 . Le processus de réexamen est toujours en cours et la Commission continuera d’utiliser tous les outils disponibles, y compris les procédures d’infraction, lorsqu’une mesure nationale de transposition n’est pas conforme à la directive en matière de protection des données dans le domaine répressif.
La jurisprudence sur la directive en matière de protection des données dans le domaine répressif en est encore à ses débuts. La CJUE a commencé à rendre des arrêts sur l’interprétation de la directive, notamment dans les affaires WS/Bundesrepublik Deutschland 40 et B/Latvijas Republikas Saeima 41 . Au moment de la rédaction du présent rapport, un certain nombre de demandes de décisions préjudicielles sont pendantes devant la CJUE (comme indiqué dans les sections suivantes).
2.2.1Champ d’application de la directive en matière de protection des données dans le domaine répressif
La difficulté pour distinguer le champ d’application de la directive en matière de protection des données dans le domaine répressif de celui du RGPD a été soulevée comme un sujet de préoccupation à la fois par le groupe d’experts des États membres sur le RGPD et la directive en matière de protection des données dans le domaine répressif 42 et par le comité européen de la protection des données 43 . Certaines autorités de contrôle de la protection des données ont également indiqué que les autorités compétentes pouvaient rencontrer des difficultés à cet égard 44 .
Le champ d’application de la directive en matière de protection des données dans le domaine répressif est défini 45 par deux éléments clés: la notion d’autorité compétente (champ d’application personnel) et la notion d’infraction pénale (champ d’application matériel).
En ce qui concerne le champ d’application personnel, le traitement des données relève de la directive en matière de protection des données dans le domaine répressif lorsque, d’une part, il est entrepris par une autorité compétente et, d’autre part, lorsque les données à caractère personnel sont traitées à des fins relevant de la directive 46 (c’est-à-dire la prévention et la détection des infractions pénales, les enquêtes ou les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces). Selon la Commission, les «autorités compétentes» telles qu’elles sont définies par la directive en matière de protection des données dans le domaine répressif 47 sont soit des organes de l’État, soit des organismes privés, auxquels la loi confère des pouvoirs spéciaux allant au-delà de ceux qui résultent des règles normales applicables dans les relations entre particuliers et/ou la possibilité d’exercer un pouvoir de coercition. Ces autorités sont des autorités compétentes en vertu de la directive en matière de protection des données dans le domaine répressif lorsque (même si ce n’est que de manière sporadique et/ou dans des cas isolés) elles traitent des données à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales (y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces). Cela signifie, par exemple, que le traitement par ces organes de données à caractère personnel à des fins autres que celles relevant de la directive en matière de protection des données dans le domaine répressif [par exemple, à des fins liées aux ressources humaines ou à d’autres fins administratives telles que le traitement par les cellules de renseignement financier (CRF) de données à caractère personnel en vertu de l’acquis en matière de lutte contre le blanchiment de capitaux 48 ] relève du champ d’application du RGPD et non de la directive en matière de protection des données dans le domaine répressif.
La notion d’«infraction pénale» est d’une importance capitale pour déterminer si le traitement des données relève ou non du champ d’application de la directive en matière de protection des données dans le domaine répressif. Selon la CJUE, trois critères sont pertinents pour apprécier le caractère pénal d’une infraction: la qualification pénale de l’infraction en droit interne, la nature même de l’infraction et le degré de sévérité de la sanction que risque de subir l’intéressé 49 . Le caractère autonome de la notion d’infraction pénale visé au considérant 13 de la directive en matière de protection des données dans le domaine répressif implique, entre autres, que le droit des États membres ne peut pas déterminer la nature d’une infraction comme étant «pénale» dans le seul but d’appliquer la directive.
La question de la démarcation entre les champs d’application du RGPD et de la directive en matière de protection des données dans le domaine répressif se pose dans certains États membres en ce qui concerne la distinction entre les domaines des infractions pénales et administratives. En particulier, certaines lois nationales de transposition font référence à des finalités de traitement des données à caractère personnel qui ne sont pas énumérées à l’article 1er de la directive en matière de protection des données dans le domaine répressif (par exemple, les menaces pour l’ordre public ou la sécurité publique). La question se pose également parce que certains États membres considèrent qu’un certain nombre d’organes administratifs (par exemple, les CRF, comme mentionné ci-dessus) exécutent des missions relevant de la directive en matière de protection des données dans le domaine répressif.
La plupart des lois des États membres couvrent de manière globale toute autorité compétente traitant des données à des fins relevant de la directive en matière de protection des données dans le domaine répressif. En revanche, certains États membres ont choisi d’énumérer de manière exhaustive les autorités compétentes au titre de la directive en matière de protection des données dans le domaine répressif dans leur législation nationale. Quelques États membres ont également prévu une dérogation pour le traitement en fonction des types d’autorités compétentes ou en fonction des types de données traitées.
La question du champ d’application de la directive en matière de protection des données dans le domaine répressif fait l’objet d’un renvoi préjudiciel devant la CJUE. Le Landesverwaltungsgericht Tirol (Autriche) a soulevé la question du champ d’application de la directive en matière de protection des données dans le domaine répressif lorsqu’une autorité compétente a tenté en vain d’accéder aux données d’un téléphone saisi (interprétation de l’article 2 de la directive en matière de protection des données dans le domaine répressif). L’affaire concerne également les conditions de cet accès 50 .
2.2.2Gouvernance et pouvoirs des autorités de contrôle de la protection des données
Tous les États membres sauf deux (la Belgique et la Suède) ont confié l’application de la directive en matière de protection des données dans le domaine répressif à l’autorité de contrôle qui est également chargée de faire appliquer le RGPD. La Belgique a confié le contrôle de la police aux fins de la directive en matière de protection des données dans le domaine répressif à une autre autorité de contrôle. En Suède, le contrôle de certaines autorités compétentes, dont la police, est copartagé par l’autorité de contrôle compétente pour le RGPD et une autre autorité de contrôle. En outre, conformément à la directive en matière de protection des données dans le domaine répressif, toutes les autorités de contrôle de la protection des données ne sont pas compétentes pour contrôler les juridictions lorsqu’elles agissent dans l'exercice de leur fonction juridictionnelle.
En ce qui concerne les dispositions de la directive relatives à l’indépendance des autorités de contrôle de la protection des données 51 , tous les États membres ont prévu dans leur législation de transposition que les autorités de contrôle de la protection des données agissent en toute indépendance dans l’exécution de leurs missions. Ils exigent également que les membres de leurs autorités de contrôle de la protection des données soient libres de toute influence extérieure et ne prennent ni ne sollicitent d’instructions de quiconque.
Le contrôle du respect de ces règles par les autorités de contrôle de la protection des données est essentiel et consacré par l’article 8, paragraphe 3, de la Charte. La directive en matière de protection des données dans le domaine répressif impose aux États membres de doter les autorités de contrôle de la protection des données de pouvoirs d’enquêter, d’adopter des mesures correctrices et d’émettre des avis consultatifs, qui doivent être effectifs. Il s’agit d’une condition préalable à la bonne application des règles en matière de protection des données et donc à la réalisation de l’objectif de la directive en matière de protection des données dans le domaine répressif, à savoir un niveau élevé de protection des droits fondamentaux, notamment en ce qui concerne le droit à la protection des données à caractère personnel, et à la garantie de la libre circulation des données au sein de l’Union. Les autorités de contrôle de la protection des données doivent disposer de pouvoirs équivalents dans l’ensemble de l’Union, afin de pouvoir accomplir leurs missions comme l’exige la directive en matière de protection des données dans le domaine répressif 52 .
Tous les États membres ont doté leurs autorités des pouvoirs d’enquête définis dans la directive en matière de protection des données dans le domaine répressif et la majorité d’entre eux leur ont également conféré d’autres pouvoirs (par exemple, celui de procéder à des audits, de pénétrer dans des locaux, de faire des copies de données et de saisir des objets 53 ). En conséquence, presque toutes les autorités de contrôle de la protection des données ont estimé qu’elles disposaient de pouvoirs d’enquête efficaces.
Presque tous les États membres ont prévu le pouvoir d’adopter des mesures correctrices défini dans la directive en matière de protection des données dans le domaine répressif 54 . Beaucoup l’ont fait en suivant de près la formulation de la directive, tandis que plusieurs ont utilisé une formulation très large qui pourrait être raisonnablement interprétée comme englobant tous les pouvoirs énoncés dans la directive.
En outre, la majorité des lois des États membres donnent aux autorités de contrôle de la protection des données le pouvoir d’infliger des amendes administratives 55 .
Tous les États membres n’ont pas conféré à leurs autorités de contrôle de la protection des données le pouvoir de porter à l’attention des autorités judiciaires les infractions aux lois nationales adoptées pour transposer la directive en matière de protection des données dans le domaine répressif et d’entamer ou d’engager des poursuites judiciaires. Ce pouvoir est important et complète les autres moyens dont disposent les autorités de contrôle de la protection des données pour garantir de manière efficace un niveau élevé de protection des droits fondamentaux des personnes, et notamment de leur droit à la protection de leurs données à caractère personnel.
2.2.3Voies de recours
Tous les États membres ont prévu le droit d’introduire une réclamation auprès de leur autorité de contrôle compétente 56 . La plupart des lois nationales prévoient un délai pour l’introduction d’une telle réclamation. Il est important que ce délai n’entrave pas le droit des personnes concernées à cet égard.
Conformément à la directive en matière de protection des données dans le domaine répressif 57 , tous les États membres prévoient un recours juridictionnel contre les décisions de l’autorité de contrôle, sans préjudice de tout autre recours administratif ou extrajudiciaire disponible dans leur système juridique. Un recours juridictionnel est possible dans tous les États membres, à l’exception de deux d’entre eux 58 où une autorité de contrôle ne traite pas une réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’état d’avancement ou de l’issue de la réclamation 59 .
La plupart des États membres prévoient également un recours juridictionnel contre le responsable du traitement des données et le sous-traitant 60 en cas de violation présumée des dispositions de la directive en matière de protection des données dans le domaine répressif. Toutefois, plusieurs lois nationales de transposition ne prévoient pas le droit pour la personne concernée de mandater un organisme, une organisation ou une association à but non lucratif pour qu’il introduise une réclamation auprès d’une autorité de contrôle ou engage un recours juridictionnel en son nom 61 .
2.2.4Délais de conservation et d’examen
Les approches des États membres concernant la transposition des délais de conservation et d’examen des données à caractère personnel prévus par la directive en matière de protection des données dans le domaine répressif 62 varient considérablement. La majorité des lois nationales sur la protection des données transposant la directive en matière de protection des données dans le domaine répressif ne satisfont qu’à l’exigence générale de l’article 5 de la directive. Cela signifie qu’il appartient à la loi sectorielle de fixer effectivement des délais pour l’effacement des données à caractère personnel ou pour la vérification régulière de la nécessité de conserver les données à caractère personnel. Quelques États membres transposent la disposition en fixant les délais dans la législation sectorielle.
Dans certains États membres, cependant, la loi laisse à l’autorité compétente le soin de fixer les délais. Dans certains cas, la loi ne fixe pas de critères pour la vérification régulière et n’exige pas que ces critères soient prévus par d’autres lois et/ou elle ne prévoit pas que les procédures visant à garantir le respect des délais soient également définies dans le droit national.
Il convient de souligner que la Cour administrative suprême de Bulgarie a récemment demandé à la CJUE de répondre à sa demande de décision préjudicielle sur l’interprétation de l’article 5 de la directive en matière de protection des données dans le domaine répressif concernant les délais de conservation des données 63 .
2.2.5Base juridique du traitement, y compris les catégories particulières de données à caractère personnel
La majorité des États membres prévoient – en utilisant une formulation qui se rapproche souvent de celle de l’article 8 de la directive en matière de protection des données dans le domaine répressif – que la base juridique du traitement doit être établie dans le droit de l’Union ou le droit d’un État membre. Cependant, certaines lois nationales sur la protection des données transposant la directive en matière de protection des données dans le domaine répressif ne reprennent pas l’exigence selon laquelle les données à caractère personnel devant faire l’objet d’un traitement et les finalités du traitement doivent être définies dans la loi 64 . Les autres lois nationales sur la protection des données transposant la directive ne contiennent pas toutes les dispositions correspondant à l’article 8. Il appartient à la législation nationale de prévoir la base du traitement et de satisfaire aux exigences de l’article 8. En outre, la simple répétition des exigences générales de l’article 8 de la directive en matière de protection des données dans le domaine répressif dans le droit national ne peut être considérée comme une base juridique suffisante pour une opération de traitement spécifique: le droit national doit préciser quelle autorité est compétente pour traiter les données à caractère personnel, les missions publiques qu’elle accomplit et qui justifient ce traitement, ainsi que la finalité du traitement.
En ce qui concerne le traitement portant sur des catégories particulières de données à caractère personnel 65 , la plupart des États membres exigent une nécessité absolue comme condition préalable au traitement. La plupart des États membres prévoient également les mêmes motifs juridiques pour le traitement des données sensibles que ceux énoncés à l’article 10 de la directive en matière de protection des données dans le domaine répressif (le traitement est autorisé par le droit; pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique; ou le traitement porte sur des données manifestement rendues publiques par la personne concernée). Dans quelques États membres, les lois de transposition prévoient certains motifs supplémentaires de traitement des données (par exemple, lorsque le traitement de ces données est nécessaire pour prévenir ou empêcher un danger qui menace directement la vie, l’intégrité physique ou les biens des personnes, ou pour protéger la santé ou les intérêts de la personne concernée ou d’une autre personne). Lorsque la loi nationale de protection des données transposant la directive en matière de protection des données dans le domaine répressif ne prévoit pas les garanties nécessaires pour les droits et libertés des personnes concernées (comme c’est le cas dans certains États membres), ces garanties doivent être prévues par les lois sectorielles.
Quelques lois de transposition nationales font référence au consentement en ce qui concerne le traitement des données à caractère personnel, y compris le traitement portant sur des catégories particulières de données à caractère personnel. Il est important de rappeler que, si les États membres ne sont pas empêchés de prévoir dans leur droit national que la personne concernée peut consentir au traitement de ses données à caractère personnel à des fins relevant de la directive en matière de protection des données dans le domaine répressif, ce consentement peut uniquement servir de garantie et ne peut constituer la base juridique de ce traitement. Les discussions sur cette question indiquent qu’il serait utile de disposer de davantage de lignes directrices sur le rôle du consentement dans le contexte du traitement des données à caractère personnel à des fins d’application du droit pénal.
2.2.6Prise de décision automatisée
Toutes les lois de transposition des États membres comportent des dispositions interdisant une décision fondée exclusivement sur un traitement automatisé, sauf si le droit le prévoit 66 . La plupart des lois de transposition des États membres exigent que ces décisions ne soient pas fondées sur des catégories particulières de données à caractère personnel, à moins que des garanties appropriées ne soient prévues 67 . Elles interdisent également tout profilage qui entraîne une discrimination 68 . Toutefois, certaines législations nationales ne renvoient pas à des garanties appropriées pour les droits et libertés de la personne concernée dans les cas où la prise de décision automatisée est autorisée par le droit. Plus précisément, tous les États membres ne prévoient pas le droit d’obtenir une intervention humaine de la part du responsable du traitement, ou n’exigent pas de mesures appropriées pour la sauvegarde des droits et/ou libertés et des intérêts légitimes de la personne concernée.
2.2.7Droits des personnes concernées
Tous les États membres ont choisi de faire usage de la possibilité offerte par la directive en matière de protection des données dans le domaine répressif de limiter le droit d’accès des personnes concernées à leurs données à caractère personnel 69 . La plupart des États membres prévoient également des limitations d’autres droits des personnes concernées 70 . Les lois nationales sur la protection des données transposant la directive en matière de protection des données dans le domaine répressif se contentent souvent de suivre le libellé général de la directive sans préciser davantage les circonstances ou les conditions dans lesquelles les limitations doivent s’appliquer. Dans de tels cas, ces circonstances et conditions doivent être précisées dans la législation sectorielle pour ne pas donner aux responsables du traitement un pouvoir discrétionnaire dans l’application de ces restrictions.
La plupart des États membres satisfont à l’exigence prévue par la directive en matière de protection des données dans le domaine répressif de permettre aux personnes concernées d’exercer leurs droits par l’intermédiaire de l’autorité de contrôle de la protection des données 71 . La plupart des États membres ont utilisé la possibilité de préciser que les droits des personnes concernées doivent être exercés conformément au droit national dans le cadre des enquêtes et procédures pénales nationales 72 .
Les lois de transposition de plusieurs États membres ne reprennent pas toutes les exigences particulières de la directive en matière de protection des données dans le domaine répressif concernant la manière dont les droits des personnes concernées doivent être exercés (par exemple, le format et les moyens de communication des réponses, l’absence de frais).
Une demande de décision préjudicielle - actuellement pendante - 73 a été déposée par un tribunal allemand concernant l’interprétation des limitations du droit d’accès des personnes concernées à leurs données (article 15 de la directive en matière de protection des données dans le domaine répressif à la lumière de l’article 54 de la directive), ainsi que le droit à un recours juridictionnel effectif en vertu de l’article 47 de la Charte et la liberté professionnelle en vertu de l’article 15 de la Charte.
2.2.8Quelques dispositions importantes propres à la directive en matière de protection des données dans le domaine répressif
Certaines dispositions de la directive en matière de protection des données dans le domaine répressif sont propres au contexte de l’application du droit pénal et n’ont pas d’équivalent dans le RGPD.
Catégories de personnes concernées
La directive en matière de protection des données dans le domaine répressif oblige les États membres à exiger d’un responsable du traitement des données qu’il établisse une distinction, le cas échéant et dans la mesure du possible, entre les données de différentes catégories de personnes concernées, et qu’il fournisse des exemples de ces catégories [par exemple, une personne pour laquelle il existe des motifs sérieux de croire qu’elle a commis ou est sur le point de commettre une infraction pénale (un «suspect»)] 74 . Les lois de certains États membres ne précisent pas (dans une certaine mesure ou pas du tout) les catégories énumérées par la directive en matière de protection des données dans le domaine répressif. Lorsqu’elles précisent la catégorie des «suspects», certaines lois nationales n’exigent pas l’existence de «motifs sérieux de croire que les personnes ont commis ou sont sur le point de commettre une infraction pénale». L’arrêt à venir de la CJUE dans l’affaire Ministerstvo na vatreshnite raboti/B.C. précisera l’interprétation de la directive en matière de protection des données dans le domaine répressif en ce qui concerne les catégories de personnes concernées, notamment l’exigence selon laquelle le classement d’une personne concernée comme suspect doit être subordonné à l’existence de «motifs sérieux de croire qu’elle a commis ou est sur le point de commettre une infraction pénale» 75 .
Distinction entre les catégories de données à caractère personnel et vérification de leur qualité
Les États membres doivent prévoir que les données à caractère personnel fondées sur des faits sont, dans la mesure du possible, distinguées de celles fondées sur des appréciations personnelles 76 . Ils doivent également prendre des mesures pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour ne soient pas transmises ou mises à disposition. Lorsque des données incorrectes ont été transmises, les destinataires doivent en être informés sans retard et, dans ce cas, les données à caractère personnel doivent être rectifiées, effacées ou leur traitement limité. Tandis que la plupart des États membres ont transposé cette exigence, certaines des mesures particulières requises ne sont pas explicitement prévues par plusieurs lois nationales de transposition.
Journalisation
Au total, 12 États membres 77 ont utilisé la possibilité de reporter à mai 2023 la mise en conformité de leur système de traitement automatisé avec les obligations en matière de journalisation 78 .
La plupart des États membres prévoient que des journaux sont établis pour les opérations de traitement dans les systèmes de traitement automatisé 79 . Certaines lois nationales n’exigent pas que tous les types d’opérations apparaissent dans le journal. La directive en matière de protection des données dans le domaine répressif définit les types d’informations que les journaux doivent au moins contenir. Certaines lois nationales n’ont pas inclus tous les types d’information requis (par exemple, le motif de la consultation ou la divulgation de données à caractère personnel).
3Premiers enseignements tirés de l’application et du fonctionnement de la directive en matière de protection des données dans le domaine répressif
3.1Réclamations et effet positif sur les droits des personnes concernées
La directive en matière de protection des données dans le domaine répressif garantit la protection des droits et libertés fondamentaux des personnes physiques, et en particulier, le droit à la protection des données. Elle établit un cadre global concernant les droits de la personne concernée et la manière dont ces droits peuvent être exercés, notamment son droit à l’information, d’accès à ses données à caractère personnel, de rectification ou d’effacement, ainsi que la limitation du traitement. La directive en matière de protection des données dans le domaine répressif a permis aux personnes concernées de mieux comprendre leurs droits et la manière dont elles peuvent les exercer, ce qui se traduit par une augmentation du nombre de demandes adressées aux autorités compétentes. L’expérience pratique a montré que, parmi les droits conférés aux personnes concernées par la directive en matière de protection des données dans le domaine répressif, ce sont les droits d’accéder aux données à caractère personnel et de les effacer qui sont le plus fréquemment invoqués auprès des autorités compétentes 80 .
La directive en matière de protection des données dans le domaine répressif permet de limiter certains droits (le droit d’accès 81 et le droit de rectification ou d’effacement 82 ) et les informations que le responsable du traitement doit fournir à la personne concernée en ce qui concerne les données à caractère personnel qui ont été traitées 83 . Les personnes concernées peuvent demander aux autorités de contrôle de la protection des données d’examiner la limitation du droit en question par une autorité compétente ou leur demander de vérifier si la limitation a été effectuée conformément à la directive en matière de protection des données dans le domaine répressif (exercice indirect du droit) 84 . Environ la moitié des autorités de contrôle de la protection des données indiquent avoir reçu une telle demande 85 . L’expérience pratique montre que le nombre de demandes reçues peut varier considérablement (par exemple, une seule demande de ce type a été reçue en Croatie, tandis que plus de 1 500 ont été reçues en France) 86 . Bien que les autorités de contrôle de la protection des données aient déterminé, à la suite d’une vérification ou d’un examen de ces réclamations, que la majorité des demandes étaient irrecevables, dans plusieurs cas, le responsable du traitement des données a reçu l’ordre soit de rectifier ou d’effacer les données à caractère personnel, soit de limiter le traitement des données à caractère personnel, garantissant ainsi la bonne application des limitations 87 .
La directive en matière de protection des données dans le domaine répressif prévoit qu’un organisme, une organisation ou une association à but non lucratif peut introduire une réclamation au nom d’une personne concernée. Toutefois, il semble que cette possibilité soit sous-utilisée (seules quatre autorités de contrôle de la protection des données ont indiqué avoir reçu de telles réclamations de la part d’un organisme représentatif 88 ). De même, les organisations de la société civile n’ont signalé qu’un faible nombre de demandes d’introduction d’une réclamation de ce type 89 .
Les personnes physiques utilisent également de plus en plus leur droit d’introduire des réclamations auprès des autorités de contrôle de la protection des données, notamment dans les cas où les autorités compétentes limitent l’exercice des droits des personnes concernées. Plus d’un tiers des autorités de contrôle de la protection des données ont signalé une augmentation du nombre de réclamations reçues à la suite de la transposition de la directive en matière de protection des données dans le domaine répressif dans leur État membre 90 . Certaines des réclamations les plus fréquentes reçues par les autorités de contrôle de la protection des données concernaient la limitation du droit d’accès 91 , le droit de rectification ou d’effacement 92 , et le droit à l’information et les limitations y afférentes 93 . Elles ont été suivies de réclamations relatives au principe de limitation de la conservation, qui exige des autorités compétentes qu’elles ne conservent pas les données à caractère personnel plus longtemps que nécessaire, et au droit à l’information.
3.2Sensibilisation accrue des autorités compétentes à la protection des données
Les États membres indiquent que l’introduction de la directive en matière de protection des données dans le domaine répressif a eu et continue d’avoir un effet majeur sur la sensibilisation des autorités compétentes à l’importance de la protection des données 94 . Plusieurs autorités de contrôle de la protection des données ont considéré que le principal effet de la directive en matière de protection des données dans le domaine répressif avait été d’accroître la sensibilisation et l’attention aux questions de protection des données et aux droits des personnes concernées 95 . Cela s’est également traduit par des échanges entre les autorités de contrôle de la protection des données et les autorités compétentes sur les droits des personnes concernées et les modalités d’exercice de ces droits 96 . Certaines autorités compétentes ont indiqué qu’en conséquence, elles avaient consacré davantage de ressources à la protection des données 97 . Elles ont notamment investi dans l’intégration du principe de respect de la vie privée dès la conception et par défaut dans leurs systèmes informatiques, fixé des périodes de conservation des données, appliqué le principe de minimisation des données et signalé les violations. Ainsi, la sécurité globale des données traitées s’est améliorée 98 .
Les activités de formation et de sensibilisation menées par les autorités de contrôle de la protection des données contribuent également à la bonne mise en œuvre de la directive en matière de protection des données dans le domaine répressif, et les autorités de contrôle sont chargées de sensibiliser les responsables du traitement et les sous-traitants aux obligations qui leur incombent en vertu de la directive 99 .
De nombreuses autorités de contrôle de la protection des données accomplissent leur mission de sensibilisation en publiant des lignes directrices. Parmi les sujets couverts par les différentes autorités de contrôle de la protection des données, on peut citer: aider le pouvoir judiciaire, les bureaux du procureur et les autorités de police à respecter le principe de responsabilité; échanger des données à caractère personnel avec la police; désigner un délégué à la protection des données; effectuer une analyse d’impact relative à la protection des données; traiter les données dans des domaines liés à la justice pénale tels que la criminalité organisée et le terrorisme; tenir des registres des activités de traitement et établir des journaux; effectuer une vidéosurveillance; fournir des informations aux personnes concernées; notifier les violations de données, les obligations des responsables du traitement et l’exercice des droits par les personnes physiques.
Cependant, huit autorités de contrôle de la protection des données n’ont pas encore publié d’orientations et/ou d’outils pratiques pour aider les autorités compétentes et les sous-traitants à s’acquitter de leurs obligations.
En outre, 12 autorités de contrôle de la protection des données n’ont pas dispensé de formation ni mené d’activités de sensibilisation à l’intention des autorités compétentes ou des sous-traitants dans le cadre de la directive en matière de protection des données dans le domaine répressif 100 . Parmi les autorités de contrôle de la protection des données qui ont mené de telles activités, les sujets les plus fréquents étaient les suivants: le traitement des données par la police, les bureaux du procureur, les autorités judiciaires et correctionnelles; la définition des domaines d’application respectifs du RGPD et de la directive en matière de protection des données dans le domaine répressif; l’utilisation des données à caractère personnel provenant des réseaux sociaux; le traitement des données dans les fichiers de police; les techniques de vidéosurveillance et les mégadonnées; le traitement des droits des personnes concernées; et le traitement des données à caractère personnel des prisonniers 101 .
Une autre innovation de la directive en matière de protection des données dans le domaine répressif est l’obligation, pour les responsables du traitement, de désigner un délégué à la protection des données (DPD) dont les missions consistent notamment à informer et conseiller sur les exigences en matière de protection des données, à contrôler le respect de la directive en matière de protection des données dans le domaine répressif, à dispenser des conseils sur l’analyse d’impact relative à la protection des données et à vérifier l’exécution de celle-ci 102 . Cela a permis aux autorités compétentes de mieux connaître leurs obligations en matière de protection des données et a eu un effet positif sur les autorités compétentes en ce qui concerne leur respect des règles en matière de protection des données, comme l’a également reconnu le Conseil 103 .
Il est important d’investir pour consolider et accroître l’expertise et les connaissances des délégués à la protection des données afin d’aider les autorités compétentes à appliquer la directive en matière de protection des données dans le domaine répressif de manière cohérente 104 . La Commission a donc créé et anime le réseau des délégués à la protection des données des autorités compétentes, des agences chargées de la justice et des affaires intérieures et du Parquet européen. Ce réseau est une initiative permanente qui se concentre sur l’application de la directive en matière de protection des données dans le domaine répressif par les autorités compétentes des États membres. Il vise à créer une plateforme de coopération et d’échange d’expertise entre les DPD des États membres. Le réseau d’experts en protection des données d’Europol (EDEN) et les réseaux de DPD nationaux des autorités compétentes sont des initiatives importantes qui aident les DPD des autorités compétentes à favoriser l’échange de bonnes pratiques et d’informations concernant l’application de la directive en matière de protection des données dans le domaine répressif.
3.3Amélioration de la sécurité des données mais différences concernant les notifications de violations des données
La directive en matière de protection des données dans le domaine répressif a amélioré la sécurité des données à caractère personnel en obligeant les autorités compétentes à prendre des mesures pour atteindre certains objectifs de sécurité. Par exemple, elle impose aux autorités compétentes d’effectuer des analyses d’impact relatives à la protection des données lorsqu’une activité de traitement des données est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Les analyses d’impact consistent notamment à déterminer les risques et les mesures pour les atténuer. Cette exigence, ainsi que l'obligation de respecter le principe de la protection des données dès la conception et par défaut et les exigences en matière de notification des violations de données ont permis d’améliorer la sécurité du traitement des données à caractère personnel 105 .
Le Conseil a également souligné cet aspect, indiquant que la directive en matière de protection des données dans le domaine répressif avait amélioré le niveau de sécurité des données en introduisant des plans de sécurité, en mettant à jour les systèmes informatiques et les mesures organisationnelles, au moyen d’analyses d’impact relatives à la protection des données et en obligeant les autorités compétentes à établir des journaux pour des opérations de traitement particulières 106 .
La directive en matière de protection des données dans le domaine répressif définit les circonstances dans lesquelles les responsables du traitement doivent notifier à leur autorité de contrôle de la protection des données et à la personne concernée une violation de données à caractère personnel 107 . Malgré cette obligation, le nombre de violations de données notifiées aux autorités de contrôle de la protection des données depuis l’introduction de la directive en matière de protection des données dans le domaine répressif varie considérablement 108 . Six autorités de contrôle de la protection des données ont indiqué n’avoir reçu aucune notification de violations de données 109 et plusieurs autres ont indiqué en avoir reçu très peu. L’autorité italienne, par exemple, n’a signalé que trois notifications de violations de données et l’autorité française en a signalé huit, mais l’autorité néerlandaise en a rapporté plus de 500.
Cette différence dans le nombre de notifications de violations de données suggère (après prise en compte de facteurs tels que la taille de la population) qu’il semble exister des pratiques divergentes entre les autorités compétentes des États membres concernant ce qui est considéré comme une violation et le moment où elle doit être signalée à une autorité de contrôle de la protection des données. La Commission l’a également fait observer dans son rapport sur le RGPD 110 . Le comité européen de la protection des données a récemment publié des lignes directrices sur les violations au titre du RGPD 111 . Ces lignes directrices, bien qu’elles ne soient pas directement applicables, sont également pertinentes pour les violations de données au titre de la directive en matière de protection des données dans le domaine répressif. Elles devraient donc contribuer à une approche plus uniforme du traitement des violations de données au titre de la directive en matière de protection des données dans le domaine répressif dans les États membres.
3.4Contrôle par les autorités de contrôle de la protection des données
3.4.1Ressources des autorités de contrôle de la protection des données
Doter chaque autorité de protection des données des ressources humaines, techniques et financières, des locaux et des infrastructures nécessaires est une condition préalable à la bonne exécution de leurs missions et à l’exercice de leurs pouvoirs, et donc une condition essentielle de leur indépendance 112 . La Commission a toujours insisté sur le fait que les États membres sont tenus d’allouer des ressources humaines, financières et techniques suffisantes aux autorités de contrôle de la protection des données 113 . Le Conseil a également invité expressément les États membres à affecter des ressources humaines, techniques et financières suffisantes aux autorités de contrôle de la protection des données 114 .
Toutefois, l’augmentation globale du personnel des autorités de contrôle de la protection des données ces dernières années 115 ne semble pas concerner les missions liées à la directive en matière de protection des données dans le domaine répressif. Le nombre de membres du personnel travaillant sur la directive en matière de protection des données dans le domaine répressif est resté le même ou a même diminué dans la moitié des autorités de contrôle de la protection des données 116 . Les augmentations ont été très modestes, représentant moins de deux personnes en équivalents temps plein (ci-après «ETP») en moyenne 117 . Dans près de la moitié des autorités de contrôle de la protection des données (y compris celles dont le nombre total de membres du personnel est supérieur à 100 ETP), entre moins de 1 % et 7 % de l’ensemble du personnel travaillent sur la directive en matière de protection des données dans le domaine répressif 118 . En chiffres absolus, environ la moitié des autorités de contrôle de la protection des données consacrent entre 1 et 4 ETP aux missions relevant de la directive en matière de protection des données dans le domaine répressif, et huit autorités de contrôle de la protection des données consacrent entre 7 et 15 ETP à celles-ci. Cependant, une autorité de contrôle de la protection des données dispose de 53 ETP travaillant sur la directive en matière de protection des données dans le domaine répressif 119 . De même, le secrétariat du comité européen de la protection des données a consacré moins de 1,5 ETP aux questions entièrement liées à la directive en matière de protection des données dans le domaine répressif.
Cette situation n’est pas satisfaisante, même si dix autorités de contrôle de la protection des données ont indiqué qu’elles disposaient de ressources financières, humaines et techniques suffisantes 120 . En revanche, 16 autorités de contrôle de la protection des données ont estimé que leurs ressources étaient insuffisantes. Parmi ces autorités, certaines ont indiqué que cela avait une incidence négative sur leurs enquêtes d’initiative 121 , leur traitement des réclamations 122 , le contrôle des systèmes informatiques à grande échelle (SIS, VIS) et l’émission d’avis d'initiative 123 . En effet, en raison des caractéristiques particulières du secteur, l’application effective de la directive en matière de protection des données dans le domaine répressif nécessite un contrôle systématique d’activités de traitement qui sont souvent complexes, et il ne suffit pas de se fier aux réclamations individuelles (qui sont beaucoup moins nombreuses que pour le RGPD) 124 .
En outre, les autorités de contrôle de la protection des données ont souligné le manque d’expertise informatique pour faire face à la complexité croissante des technologies informatiques utilisées dans le domaine répressif 125 .
3.4.2Utilisation des pouvoirs
Utilisation du pouvoir d’adopter des mesures correctrices
Au total, 19 autorités de contrôle de la protection des données ont appliqué leurs pouvoirs d’enquête, soit de leur propre initiative, soit sur la base d’une réclamation 126 . Les autorités de contrôle de la protection des données n’ont signalé des difficultés que dans un très faible nombre de cas (par exemple, lorsqu’un responsable du traitement n’a pas fourni toutes les informations pertinentes ou a refusé l’accès aux informations) 127 .
Les 19 mêmes autorités de contrôle de la protection des données ont également appliqué leur pouvoir d’adopter des mesures correctrices. Le pouvoir le plus fréquemment utilisé, et de loin, est celui d’ordonner de mettre le traitement en conformité avec la loi, notamment d’ordonner la rectification ou l’effacement de données à caractère personnel ou la limitation de leur traitement. Les autorités de contrôle de la protection des données ont utilisé ce pouvoir dans 114 cas. Le fait que ce pouvoir d’ordonner une limitation temporaire ou définitive (y compris une interdiction) du traitement n’ait été utilisé que dans quatre cas 128 montre que les autorités de contrôle de la protection des données ont utilisé ces pouvoirs avec prudence.
Utilisation du pouvoir d’émettre des avis consultatifs
Le fait de procéder systématiquement à des consultations préalables et de demander l’avis des autorités de contrôle de la protection des données sur les projets de mesures législatives et administratives constitue un moyen efficace de garantir un niveau élevé de protection du droit à la protection des données à caractère personnel et de diminuer le nombre de réclamations ultérieures. La consultation préalable des autorités de contrôle de la protection des données revêt une importance particulière lors de l’utilisation de nouvelles technologies qui peuvent avoir une incidence significative sur les droits fondamentaux.
La moitié des autorités de contrôle de la protection des données ont indiqué qu’elles avaient été consultées sur les analyses d’impact relatives à la protection des données. Le nombre de consultations préalables varie d’un État membre à l’autre. Certaines autorités n’ont été consultées qu’une seule fois, tandis qu’une autre autorité a reçu 59 consultations préalables 129 . Dans la plupart de ces cas, les autorités de contrôle de la protection des données ont fourni des conseils écrits et, dans certains cas, ont fait usage de leurs pouvoirs d’adopter des mesures correctrices à l’égard du traitement – en particulier, elles ont émis des avertissements ou ordonné des mesures visant à mettre le traitement des données en conformité avec la loi. Dans un cas, l’autorité de contrôle de la protection des données a émis un avis négatif qui semble avoir eu le même effet qu’une interdiction de traitement.
En outre, il semble que les autorités de contrôle de la protection des données traitent également les demandes d’avis consultatif, en dehors de la procédure de consultation préalable. Le type de question le plus courant pour lequel les autorités compétentes ont demandé conseil aux autorités de contrôle de la protection des données concernait des types de traitement particuliers (notamment l’utilisation de nouvelles technologies, de nouveaux mécanismes ou de nouvelles procédures, suivie de près par des mesures de sécurité appropriées, le traitement de catégories particulières de données à caractère personnel, la détermination de la base juridique du traitement, le principe de limitation de la conservation et les délais appropriés 130 ).
En outre, 22 autorités de contrôle de la protection des données ont émis des avis à l’intention de leurs parlements et gouvernements nationaux sur les mesures législatives et administratives relatives au traitement des données à caractère personnel. Plusieurs ont indiqué être consultées de manière occasionnelle 131 .
3.4.3Contrôle juridictionnel des actions des autorités de contrôle de la protection des données
Près de la moitié des autorités de contrôle de la protection des données ont indiqué que, dans un faible nombre de cas, elles ont fait l’objet de procédures judiciaires concernant leurs décisions ou leur inaction. Les procédures ont été engagées principalement par les personnes concernées et, dans quelques cas, par les autorités compétentes 132 . Plusieurs affaires ont été déclarées irrecevables par la justice ou ont été retirées par les parties requérantes. La justice a confirmé la décision de l’autorité de contrôle de la protection des données dans la plupart des cas restants, mais l’a annulée dans certains cas (et d’autres affaires étaient encore pendantes). Le faible nombre de jugements rendus à ce jour ne permet pas encore de déceler une tendance claire.
3.4.4Lignes directrices du comité européen de la protection des données
Il est essentiel d’assurer un niveau élevé et homogène de protection parmi les États membres afin de garantir l’efficacité de la coopération judiciaire en matière pénale et de la coopération policière 133 . La directive en matière de protection des données dans le domaine répressif prévoit que le comité européen de la protection des données publie des lignes directrices, des recommandations et des bonnes pratiques (de sa propre initiative ou à la demande de la Commission) afin de garantir que les États membres appliquent la directive de manière cohérente. Le comité européen de la protection des données a publié des orientations spécifiques à la directive en matière de protection des données dans le domaine répressif, pertinentes pour le chapitre V (transferts internationaux) 134 ; des lignes directrices sur l’utilisation des technologies de reconnaissance faciale 135 ; et (en son ancienne qualité de groupe de travail «Article 29») un avis sur certaines questions clés de la directive en matière de protection des données dans le domaine répressif 136 .
De nombreuses lignes directrices du comité européen de la protection des données sur le RGPD sont également pertinentes pour la directive en matière de protection des données dans le domaine répressif dans la mesure où elles reposent sur des concepts ou des technologies communs. Ces lignes directrices sont notamment celles sur la notion de responsable du traitement et de sous-traitant 137 , sur les droits des personnes concernées 138 , sur la notification de violations de données à caractère personnel 139 , sur l’analyse d’impact relative à la protection des données 140 , sur la protection des données dès la conception et par défaut 141 et sur la prise de décision individuelle automatisée 142 .
La publication de lignes directrices complètes et pratiques nécessite un travail et des ressources considérables, mais les orientations sont essentielles (comme l’a également fait observer le Conseil 143 ). Il est donc très positif que le comité européen de la protection des données ait indiqué qu’il fournirait bientôt des orientations supplémentaires, notamment sur la notion de pouvoir effectif d’enquête et de pouvoir effectif d’adopter des mesures correctrices dont bénéficient les autorités de contrôle de la protection des données, et sur les transferts internationaux soumis à des garanties appropriées.
Les lignes directrices du comité européen de la protection des données peuvent également réduire la charge de travail des autorités de contrôle de la protection des données (par exemple, des missions telles que conseiller les responsables du traitement des données ou traiter les réclamations). Par exemple, plusieurs des questions abordées dans l’avis du groupe de travail «Article 29» sur certaines questions clés de la directive en matière de protection des données dans le domaine répressif (telles que les délais appropriés, la base juridique du traitement, les conditions de traitement des catégories particulières de données) figurent également parmi les questions les plus fréquentes sur lesquelles les autorités compétentes ont demandé conseil aux autorités de contrôle de la protection des données 144 .
3.4.5Assistance mutuelle
Afin de garantir une application cohérente de la directive en matière de protection des données dans le domaine répressif, les autorités de contrôle de la protection des données sont tenues de se prêter mutuellement assistance. L’assistance mutuelle concerne notamment les demandes d’information et les demandes de consultation, les inspections et les enquêtes 145 . Cependant, l’assistance mutuelle a été très rarement utilisée jusqu’à présent. Seules six autorités de contrôle de la protection des données l’ont utilisée, principalement en réponse à des demandes d’information reçues d’autres autorités de contrôle de la protection des données. La majorité des autorités de contrôle de la protection des données ont indiqué n’avoir reçu qu’une seule demande d’information. Toutes ces autorités de contrôle de la protection des données ont indiqué avoir donné suite à la demande reçue. L’échange d’assistance mutuelle volontaire, qui n’est pas assorti d’un délai légal ni d’une obligation stricte de réponse, n’a pas non plus été utilisé. Le comité européen de la protection des données a indiqué qu’il publierait des lignes directrices sur le cadre d’assistance mutuelle au titre du RGPD et de la directive en matière de protection des données dans le domaine répressif 146 .
3.5Instrument flexible pour les transferts internationaux de données
Le chapitre V de la directive en matière de protection des données dans le domaine répressif porte sur les transferts de données à caractère personnel vers les autorités compétentes de pays tiers et à des organisations internationales. Ce chapitre garantit essentiellement la continuité de la protection lorsque des données à caractère personnel sont transférées d’un État membre vers un pays tiers ou à une organisation internationale à des fins répressives. Comme indiqué ci-dessus, cette continuité de la protection est une condition importante pour une coopération en matière répressive rapide, efficace et juridiquement sûre entre partenaires de confiance.
En particulier, en vertu des règles pertinentes de la directive en matière de protection des données dans le domaine répressif 147 , les transferts internationaux entre autorités compétentes au sens de la directive doivent être fondés sur l’un des différents outils de transfert énoncés aux articles 36 à 38 de la directive (lorsque les données proviennent d’un autre État membre, le transfert requiert également l’autorisation préalable de cet État membre). Ces outils sont notamment des décisions d’adéquation, des transferts fondés sur des garanties appropriées et le recours à des dérogations dans des situations particulières. L’article 39 de la directive en matière de protection des données dans le domaine répressif autorise également les transferts directs à des destinataires qui ne sont pas des services répressifs pénaux, qui sont établis dans des pays tiers, dans certains cas particuliers, et sous réserve de plusieurs conditions.
3.5.1Décisions d’adéquation
La Commission a accéléré ses travaux afin d’exploiter pleinement le potentiel des outils disponibles dans le cadre de la directive en matière de protection des données dans le domaine répressif. Elle a notamment adopté, pour la première fois, une «décision d’adéquation» couvrant les activités de traitement des données à des fins répressives en vertu de l’article 36 de la directive en matière de protection des données dans le domaine répressif, avec le Royaume-Uni en juin 2021 148 . Cette décision d’adéquation permet le flux sûr et libre des données à caractère personnel vers les autorités compétentes du pays tiers concerné, sans qu’il soit nécessaire de prévoir des garanties supplémentaires ou une autorisation particulière (sauf si un autre État membre auprès duquel les données ont été collectées doit autoriser le transfert 149 ). La décision d’adéquation pour le Royaume-Uni de juin 2021 est un fondement essentiel de la coopération policière et judiciaire post-Brexit, qui, selon l’accord de commerce et de coopération entre l’Union européenne et le Royaume-Uni, repose sur «l’engagement pris de longue date par les Parties d’assurer un niveau élevé de protection des données à caractère personnel» 150 . Conformément à l’article 36, paragraphe 4, de la directive en matière de protection des données dans le domaine répressif, la Commission suit toute évolution du cadre juridique du Royaume-Uni qui pourrait porter atteinte à cette décision d’adéquation. Cette décision d’adéquation avec le Royaume-Uni devrait être applicable pour une durée de quatre ans à compter de son entrée en vigueur, pouvant être étendue, en principe, pour une durée supplémentaire de quatre ans si la Commission confirme que le Royaume-Uni assure toujours un niveau de protection adéquat 151 .
En outre, le comité européen de la protection des données a également contribué à l’élaboration de cet instrument en définissant plus clairement la norme juridique au moyen de conseils sur les éléments qui doivent être pris en considération lors de l’évaluation de l’adéquation dans le domaine répressif, avec la publication de ses critères de référence pour l’adéquation dans le cadre de la directive en matière de protection des données dans le domaine répressif 152 . En particulier, le pays tiers doit garantir des droits individuels opposables, un recours juridictionnel effectif et un contrôle indépendant.
La Commission encourage activement la possibilité d’établir de tels constats d’adéquation avec d’autres partenaires internationaux clés, plus particulièrement avec les pays avec lesquels une coopération étroite et rapide est requise dans la lutte contre la criminalité et le terrorisme, et avec lesquels d’importants échanges de données à caractère personnel existent déjà 153 . Si aucune autre décision d’adéquation n’a été adoptée jusqu’à présent, c’est principalement parce que cet instrument n’a été introduit que récemment. En outre, contrairement au traitement des données par les opérateurs commerciaux, la convergence mondiale des règles en matière de protection des données dans le domaine de l’application du droit pénal commence tout juste à se développer (sous l’impulsion, par exemple, d’accords multilatéraux tels que la Convention 108 modernisée du Conseil de l’Europe ou le deuxième protocole additionnel à la Convention de Budapest sur la cybercriminalité). Néanmoins, l’expérience acquise lors de l’adoption de la décision d’adéquation avec le Royaume-Uni contribuera à ouvrir la voie à des initiatives similaires dans les années à venir. Dans le cadre de sa stratégie internationale, la Commission envisagera d’autres candidats possibles pour de futures décisions d’adéquation au titre de la directive en matière de protection des données dans le domaine répressif et le fera en contact direct avec les autres institutions et organes de l’Union concernés 154 . À cette fin, et conformément au considérant 68 de la directive en matière de protection des données dans le domaine répressif, la Commission accordera une attention particulière aux engagements internationaux des pays évalués en matière de protection des données à caractère personnel, notamment leur adhésion aux arrangements multilatéraux susmentionnés ou à d’autres instruments répressifs offrant des garanties appropriées en matière de protection des données.
3.5.2Garanties appropriées
La directive en matière de protection des données dans le domaine répressif contient d’autres instruments de transfert en plus de la solution globale que constitue une décision d’adéquation. La flexibilité de cette «boîte à outils» se retrouve dans l’article 37 de la directive en matière de protection des données dans le domaine répressif, qui réglemente les transferts de données fondés sur des «garanties appropriées» au regard de la protection des données à caractère personnel. Ces garanties appropriées peuvent être fournies soit par un instrument juridiquement contraignant, soit lorsque le responsable du traitement, sur la base d’une évaluation de toutes les circonstances entourant le transfert, estime qu’il existe des garanties appropriées (ce que l’on appelle l’«auto-évaluation» des transferts).
Au cours des premières années d’application de la directive en matière de protection des données dans le domaine répressif, la Commission a notamment travaillé à l’élaboration d’instruments juridiques contraignants sous la forme d’accords internationaux prévoyant des garanties appropriées. Ces accords jouent un rôle important tant dans le contexte de la coopération «traditionnelle» (c’est-à-dire la coopération entre les autorités compétentes) que dans celui d’autres formes de coopération en matière répressive (c’est-à-dire la coopération impliquant des tiers tels que des entreprises privées). Ils peuvent également servir de base aux transferts de données effectués par Europol et Eurojust en vertu de leurs cadres juridiques respectifs, dont les règles relatives aux transferts internationaux sont très semblables à celles de la directive en matière de protection des données dans le domaine répressif.
En ce qui concerne les formes traditionnelles de coopération en matière répressive, la Commission réexamine actuellement les accords internationaux adoptés avant l’entrée en vigueur de la directive en matière de protection des données dans le domaine répressif afin d’en assurer la cohérence avec le régime modernisé de protection des données de l’Union 155 .
Premièrement, la Commission évalue les dispositions relatives à la protection des données contenues dans les accords de coopération existants d’Europol 156 avec des pays tiers conclus avant le 1er mai 2017, comme le prévoit le règlement (UE) 2016/794 relatif à l’Agence de l’Union européenne pour la coopération des services répressifs (ci-après le «règlement Europol») 157 . Conformément à l’article 9 du protocole nº 36 du traité sur l’Union européenne 158 et du TFUE (sur les dispositions transitoires), les effets juridiques de tels accords sont préservés aussi longtemps que ces accords n’auront pas été abrogés, annulés ou modifiés 159 . La Commission informera le Parlement européen et le Conseil du résultat de cette évaluation et présentera, le cas échéant, au Conseil une recommandation de décision autorisant l’ouverture de négociations en vue de modifier le ou les accords respectifs, conformément à l’article 218 du TFUE. Il s’agit d’une tâche complexe qui implique l’évaluation de 18 accords et qui a été retardée par les perturbations causées par la pandémie de COVID-19. La Commission prévoit d’achever son évaluation au cours du second semestre de 2022.
La cohérence de tous les mécanismes de coopération en matière répressive avec les règles de la directive en matière de protection des données dans le domaine répressif est un principe directeur que la Commission suit également lorsqu’elle négocie de nouveaux accords pour le transfert de données à caractère personnel par Europol vers des pays tiers ou à des organisations internationales. Depuis l’entrée en vigueur de l’actuel règlement Europol en 2017, l’article 218 du TFUE constitue la base juridique de ces accords internationaux prévoyant des garanties adéquates. En 2018 et 2019, le Conseil a adopté neuf mandats pour que la Commission entame des négociations avec des pays tiers au nom de l’Union. La Commission a également été autorisée à entamer des négociations sur un accord de coopération avec Interpol, qui couvrira l’échange de données avec plusieurs organes et organismes de l’Union. Dans tous ces cas, le Conseil a adressé des directives de négociation à la Commission afin de s’assurer que les garanties nécessaires à la protection des données à caractère personnel et des autres droits et libertés fondamentaux des personnes physiques seront incluses. Sur cette base, la Commission a déjà conclu les négociations avec la Nouvelle-Zélande, qui ont abouti à la signature d’un accord de coopération le 30 juin 2022. En outre, des progrès ont été accomplis dans les négociations avec Israël. En ce qui concerne la Turquie, les négociations en sont à un stade avancé, mais ne pourront être conclues tant que la Turquie n’aura pas adopté les réformes nécessaires dans sa législation relative à la protection des données. Des autorisations similaires ont été accordées en mars 2021 pour la négociation d’accords de coopération permettant l’échange de données par Eurojust avec 13 pays tiers.
Deuxièmement, la Commission effectue le premier réexamen conjoint de l’accord entre les États-Unis d’Amérique et l’Union européenne sur la protection des informations à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière (ci-après l’«accord-cadre»). L’accord-cadre, qui est entré en vigueur en février 2017, contient un ensemble complet et harmonisé de règles en matière de protection des données qui s’appliquent à tous les échanges transatlantiques entre les autorités compétentes. Il complète les accords existants UE/États-Unis et États membres de l’Union/États-Unis entre les services répressifs, établit une norme de protection élevée pour les futurs accords dans ce domaine et renforce la coopération en matière répressive en facilitant l’échange d’informations. Le réexamen conjoint vise à évaluer la mise en œuvre effective de l’accord-cadre, en particulier en ce qui concerne les dispositions relatives au transfert ultérieur, aux droits individuels et au recours juridictionnel. Le calendrier du réexamen conjoint a été affecté par les perturbations liées à la pandémie de COVID-19, ainsi que par les négociations parallèles sur le deuxième protocole additionnel à la Convention de Budapest du Conseil de l’Europe sur la cybercriminalité 160 . La Commission prévoit qu’il sera achevé au cours du second semestre de 2022.
Premier accord international bilatéral assorti d’un catalogue complet des droits et des obligations en matière de protection des données, l’accord-cadre constitue un point de référence pour négocier des accords-cadres similaires avec d’importants services répressifs partenaires 161 . Ce faisant, la Commission tiendra également compte des évolutions pertinentes, notamment des orientations du comité européen de la protection des données, de la jurisprudence de la CJUE et du résultat des négociations internationales sur les garanties en matière de protection des données dans ce domaine (comme, par exemple, le deuxième protocole additionnel à la Convention de Budapest sur la cybercriminalité ou l’accord Europol avec la Nouvelle-Zélande 162 ).
Troisièmement, la Commission a désigné l’accord entre l’Union européenne et le Japon relatif à l’entraide judiciaire en matière pénale (le TEJ UE-Japon) 163 comme un acte de l’Union réglementant le traitement des données (transferts) à des fins d’application du droit pénal qui doit être modifié pour fournir des garanties appropriées en matière de protection des données conformément à la directive en matière de protection des données dans le domaine répressif. À la suite de l’adoption par le Conseil d’une décision 164 autorisant l’ouverture de négociations visant à modifier le TEJ UE-Japon, la Commission continue de nouer des contacts avec les autorités japonaises en vue d’entamer les négociations dans les meilleurs délais.
En outre, d’autres formes de coopération adaptées aux défis et aux besoins spécifiques des enquêtes pénales dans l’économie numérique actuelle sont désormais également de plus en plus utilisées. Il s’agit principalement de la coopération renforcée dans le domaine de la cybercriminalité et pour la collecte de preuves sous forme électronique concernant des infractions pénales. Cette coopération, y compris la coopération directe avec des parties privées pour l’accès aux preuves électroniques.
La Commission a également établi des contacts avec des partenaires internationaux en vue de garantir que ces autres formes (importantes) de coopération puissent avoir lieu sur la base de garanties appropriées en matière de protection des données.
Premièrement, la Commission a représenté l’Union lors des négociations 165 , dans le cadre du Conseil de l’Europe, sur un deuxième protocole additionnel à la Convention de Budapest sur la cybercriminalité 166 . Le protocole, qui a été approuvé par le Comité des ministres du Conseil de l’Europe le 17 novembre 2021, contient des garanties solides pour la protection des droits fondamentaux, notamment un article 167 contenant des dispositions détaillées sur la protection des données à caractère personnel transférées en vertu du protocole. Ces dispositions couvrent l’ensemble des principes, des droits et des obligations essentiels en matière de protection des données reconnus par le droit de l’Union. Ces garanties sont complétées par une disposition de suivi et par la possibilité de suspendre les transferts en cas de violation systématique ou substantielle des garanties contenues dans le protocole, par exemple, l’absence de recours juridictionnels effectifs. Par ces dispositions, le protocole fournit des garanties appropriées, conformément aux exigences de l’article 37, paragraphe 1, point a), de la directive en matière de protection des données dans le domaine répressif 168 . Il s’agit d’une réalisation importante, compte tenu de la diversité des membres de la Convention de Budapest, qui compte actuellement 66 États parties représentant différents contextes et traditions juridiques. Il permettra aux autorités compétentes des États membres de bénéficier d’une coopération transfrontière efficace dans la lutte contre la cybercriminalité, tout en garantissant le respect des valeurs de l’Union telles qu’elles sont énoncées dans la Charte des droits fondamentaux de l’Union, les traités de l’Union et le droit dérivé de l’Union. Étant donné le grand nombre de parties à la Convention de Budapest, qui comprend actuellement des pays du monde entier, le protocole contribuera également à promouvoir des normes élevées de protection des données pour le traitement des données dans le domaine de l’application du droit pénal au niveau mondial. Le protocole a été ouvert à la signature le 12 mai 2022. Au total, 22 parties à la Convention de Budapest (dont 13 États membres de l’Union) l’ont déjà signé.
Deuxièmement, la Commission a entamé des négociations en vue de conclure un accord bilatéral avec les États-Unis sur l’accès transfrontière aux preuves électroniques à des fins de coopération judiciaire en matière pénale 169 . Cet accord vise à couvrir les preuves électroniques sous la forme de données à la fois à caractère personnel et non personnel, notamment les données relatives au trafic et au contenu. Il est important de noter que les négociations visent également à inclure des garanties supplémentaires en matière de protection des données qui viendraient compléter celles de l’accord-cadre en tenant compte, notamment, de la sensibilité des catégories de données concernées ainsi que des exigences du transfert de preuves électroniques directement par des prestataires de services. L’avancement de ces négociations dépendra en grande partie de l’évolution du processus législatif en cours sur le train de mesures concernant les preuves électroniques de l’Union 170 .
Ces diverses initiatives de la Commission visant à élaborer des instruments internationaux facilitant la coopération en matière répressive avec des partenaires internationaux tout en fournissant des garanties appropriées en matière de protection des données ont été soutenues par les travaux du comité européen de la protection des données et du CEPD. Il s’agit notamment de la déclaration du comité européen de la protection des données sur le projet de deuxième protocole additionnel à la Convention de Budapest 171 et des avis du CEPD sur les projets de mandats de négociation d’accords internationaux au titre de l’article 218 TFUE qui permettraient à Europol et Eurojust d’échanger des données à caractère personnel avec des pays tiers ou des organisations internationales 172 . Le comité européen de la protection des données a également publié une déclaration invitant les États membres à évaluer et, si nécessaire, à revoir les accords internationaux impliquant des transferts internationaux de données à caractère personnel 173 . Cette déclaration concerne les accords qui ont été conclus avant le 6 mai 2016 (y compris dans le domaine de l’application du droit pénal), et invite les États membres à déterminer si une mise en conformité supplémentaire avec la législation et la jurisprudence de l’Union en matière de protection des données est nécessaire.
L’article 37 de la directive en matière de protection des données dans le domaine répressif autorise également les transferts internationaux de données sur la base d’une auto-évaluation effectuée par une autorité compétente pour déterminer si un pays tiers (ou une organisation internationale) dispose des garanties appropriées en matière de protection des données. Dans ces cas, l’autorité doit documenter le transfert (notamment sa date et son heure, des informations sur l’autorité destinataire, la justification du transfert et les données à caractère personnel transférées) et la documentation doit être mise à la disposition de l’autorité de contrôle sur demande (article 37, paragraphe 3, de la directive en matière de protection des données dans le domaine répressif). Les observations formulées par les États membres 174 indiquent que cet outil a rarement été utilisé.
Pour permettre aux États membres d’utiliser pleinement les outils de transfert de la directive en matière de protection des données dans le domaine répressif, il est important que le comité européen de la protection des données intensifie ses travaux en cours sur les différents mécanismes de transfert. Il devrait, entre autres, fournir des orientations sur les mécanismes inclus dans l’article 37, paragraphe 1, de la directive en matière de protection des données dans le domaine répressif, notamment sur les transferts fondés sur des auto-évaluations par les autorités compétentes. Le Conseil a également souligné cette nécessité 175 .
3.5.3Recours à des dérogations
Enfin, les «dérogations» constituent un motif important de transfert sous certaines conditions, définies à l’article 38 de la directive en matière de protection des données dans le domaine répressif. Ces conditions établissent un équilibre entre les considérations relatives à la vie privée et les besoins opérationnels des autorités compétentes. En particulier, l’article 38, paragraphe 1, autorise les transferts, et même des catégories de transferts de données à caractère personnel lorsque cela est nécessaire pour prévenir une menace grave et immédiate pour la sécurité publique 176 ou, dans des cas particuliers, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales 177 . Contrairement aux dérogations prévues par l’article 49 du RGPD, il n’existe actuellement aucune orientation pour les dérogations prévues par l’article 38 de la directive en matière de protection des données dans le domaine répressif.
3.5.4Une coopération policière et judiciaire transfrontière efficace
La directive en matière de protection des données dans le domaine répressif est devenue un point de référence international pour la protection des données dans le contexte répressif et a servi de catalyseur aux pays du monde entier pour qu’ils envisagent d’introduire des règles modernes en matière de respect de la vie privée dans ce domaine. Il s’agit d’une évolution très positive qui offre de nouvelles possibilités de mieux protéger les personnes physiques dans l’Union lorsque leurs données sont transférées à l’étranger à des fins répressives, tout en facilitant les flux de données qui peuvent contribuer à la lutte contre la criminalité.
D’une manière plus générale, il est important de veiller à ce que, lorsque des entreprises actives sur le marché européen reçoivent des demandes de coopération directe en vue de partager des données à des fins répressives, elles puissent le faire sans devoir faire face à des conflits de lois, et dans le plein respect des droits fondamentaux de l’Union 178 . Afin d’améliorer ces transferts, la Commission est déterminée à mettre en place avec ses partenaires internationaux les cadres juridiques qui s’imposent afin d’éviter les conflits de lois et de soutenir des formes de coopération efficaces, notamment en prévoyant les garanties nécessaires en matière de protection des données, et de contribuer ainsi à une lutte plus efficace contre la criminalité.
Dans ce contexte, la Commission s’est engagée dans des cadres bilatéraux, régionaux et multilatéraux à promouvoir activement la convergence internationale des normes de protection des données aux fins de la coopération en matière de répression pénale. Durant ses dialogues avec plusieurs pays partenaires étrangers sur les réformes en cours des lois relatives à la protection des données, les services de la Commission ont participé de différentes manières (par exemple, soumissions en réponse à des consultations publiques, participation à des auditions parlementaires et réunions spéciales avec des représentants du gouvernement et des décideurs) à l’élaboration de règles relatives au traitement des données à caractère personnel par les autorités compétentes.
Dans un cadre régional et multilatéral, la Commission soutient par exemple des projets de renforcement des capacités dans le contexte de la mise en œuvre de la Convention de Budapest du Conseil de l’Europe sur la cybercriminalité 179 . Ces projets comprennent le programme GLACY+, qui vise à renforcer les capacités des États à appliquer la législation sur la cybercriminalité et à améliorer leurs capacités à coopérer efficacement au niveau international dans ce domaine, conformément à la Convention de Budapest et à ses protocoles additionnels. Il s’agit également d’élaborer une législation relative à la protection des données aux fins de leur traitement dans ce domaine. Le programme soutient actuellement 17 pays prioritaires et pivots en Afrique, dans la région Asie-Pacifique et en Amérique latine et dans les Caraïbes.
La Commission coopère également avec Ameripol, une organisation de coopération policière regroupant 18 pays d’Amérique latine, dans le cadre de l’élaboration d’un cadre de protection des données aux fins de l’échange d’informations entre Ameripol et ses États membres. Cette coopération se fait dans le cadre du projet «EL PAcCTO: appui à Ameripol», dont l’objectif est d’améliorer le niveau de coopération internationale entre les services de police, les institutions judiciaires et les parquets des pays partenaires dans la lutte contre la criminalité organisée.
La Commission promeut également la Convention 108 modernisée (connue sous le nom de Convention 108+) 180 , qui est également applicable aux activités de traitement des données à des fins d’application du droit pénal. Cette convention, qui est également ouverte aux pays non membres du Conseil de l’Europe, est importante non seulement parce qu’il s’agit du seul accord multilatéral contraignant sur la protection des données, mais également parce que, dans le cadre de son Comité, elle propose un forum pour l’échange de bonnes pratiques et la définition de normes mondiales 181 . Dans le cadre de sa stratégie internationale sur les flux de données, la Commission encourage l’adhésion des pays tiers à la Convention 108+.
Enfin, la Commission encourage une plus grande convergence au niveau international en partageant notre expérience avec nos partenaires sur les aspects de la coopération en matière de répression pénale liés à la protection des données. L’«Académie pour la protection des données» de la Commission, qui fait partie du projet «International Digital Cooperation – Enhanced Data Protection and Data Flows» (Coopération numérique internationale – Protection renforcée des données et flux de données), financé par l’instrument de politique étrangère, est un outil essentiel à cet égard. L’Académie a été créée pour favoriser les échanges entre les régulateurs européens et ceux des pays tiers et pour améliorer la coopération sur le terrain. Les activités de l’Académie couvrent tous les aspects du contrôle de la protection des données, y compris dans le domaine répressif.
4Pistes
Afin d’assurer une politique de sécurité efficace de l’Union qui respecte pleinement le droit fondamental à la protection des données à caractère personnel, la Commission continuera à vérifier que les États membres ont correctement transposé la directive en matière de protection des données dans le domaine répressif et à contrôler l’application de ses dispositions.
La directive en matière de protection des données dans le domaine répressif a contribué de manière significative à un niveau de protection des droits des personnes plus élevé et plus harmonisé et à un cadre juridique plus cohérent pour les autorités compétentes.
Dans l’ensemble, elle a été transposée de manière satisfaisante, mais un certain nombre de problèmes ont été constatés. La Commission a déjà lancé des procédures d’infraction concernant à la fois la non-transposition et la non-conformité des lois nationales avec la directive en matière de protection des données dans le domaine répressif. Elle continuera à œuvrer pour garantir une transposition complète et correcte.
Grâce à la directive en matière de protection des données dans le domaine répressif, les autorités nationales compétentes ont été davantage sensibilisées et ont accordé une plus grande attention à la protection des données, également en ce qui concerne la sécurité du traitement.
Le contrôle actif effectué par les autorités de contrôle de la protection des données est essentiel pour garantir que les objectifs de la directive en matière de protection des données dans le domaine répressif sont atteints dans la pratique. Les autorités doivent donc être dotées de tous les types de pouvoirs requis par la directive en matière de protection des données dans le domaine répressif, ainsi que des ressources adéquates.
À ce stade, l’objectif devrait être de réaliser pleinement le potentiel de la directive en matière de protection des données dans le domaine répressif. Dans ce contexte, et compte tenu de l’expérience limitée de ces nouvelles règles, la Commission estime qu’il est trop tôt pour envisager de réviser la directive en matière de protection des données dans le domaine répressif.
La Commission continuera à travailler activement avec toutes les parties concernées dans la perspective de la prochaine évaluation prévue pour 2026. Dans l’intervalle, elle continuera de s’efforcer de garantir la cohérence avec les autres législations de l’Union relatives au traitement des données à caractère personnel à des fins de répression pénale.
Cadre juridique
La Commission:
-continuera à évaluer la transposition de la directive en matière de protection des données dans le domaine répressif par les États membres et prendra les mesures appropriées si nécessaire (y compris l’ouverture de procédures d’infraction);
-poursuivra les échanges bilatéraux avec les États membres;
-veillera à ce que les futures propositions législatives soient conformes à la directive en matière de protection des données dans le domaine répressif.
Les États membres sont tenus:
-de garantir la transposition complète et correcte de la directive en matière de protection des données dans le domaine répressif au niveau national, notamment en précisant les exigences nécessaires de la directive en matière de protection des données dans le domaine répressif lorsque les lois nationales relatives à la protection des données qui transposent la directive ne le font pas.
Contrôle par les autorités de contrôle de la protection des données
Les États membres sont tenus:
-de fournir aux autorités de contrôle de la protection des données des ressources suffisantes pour accomplir leurs missions d’application de la directive en matière de protection des données dans le domaine répressif;
-de veiller à ce que les autorités de contrôle de la protection des données puissent exercer tous les types de pouvoirs énoncés dans la directive en matière de protection des données dans le domaine répressif;
-de consulter systématiquement leurs autorités de contrôle de la protection des données sur les projets de législation et les mesures administratives d’application générale ayant trait à la protection des données à caractère personnel, et de tenir dûment compte de leurs avis (notamment dans le cas des nouvelles technologies).
Les autorités de contrôle de la protection des données sont invitées à:
-faire pleinement usage de leurs pouvoirs d’enquête, notamment en menant des enquêtes de leur propre initiative;
-collecter des statistiques spécifiques relatives à leurs activités de contrôle au titre de la directive en matière de protection des données dans le domaine répressif;
-utiliser les outils d’assistance mutuelle et élaborer des mesures concrètes pour faciliter les demandes d’assistance, notamment dans le cadre des lignes directrices prévues du comité européen de la protection des données.
Le comité européen de la protection des données est invité à:
-élargir le groupe d’experts de soutien 182 pour les missions liées à la directive en matière de protection des données dans le domaine répressif.
Soutien des autorités compétentes
La Commission:
-facilitera les discussions et le partage d’expériences entre les États membres et la Commission au sein du groupe d’experts des États membres sur la directive en matière de protection des données dans le domaine répressif;
-facilitera l’échange de vues entre les délégués à la protection des données dans le cadre du réseau des délégués à la protection des données.
Les États membres sont invités à:
-poursuivre leurs efforts pour offrir aux autorités compétentes une formation sur les exigences en matière de protection des données, notamment en ce qui concerne les nouvelles technologies.
Le comité européen de la protection des données et les autorités de contrôle de la protection des données sont invités à:
-renforcer leurs efforts pour adopter des lignes directrices pertinentes (par exemple, sur le rôle du consentement dans le contexte du traitement des données à caractère personnel à des fins de répression pénale, et sur les droits des personnes concernées, y compris leurs éventuelles limitations), soit en adoptant de nouvelles lignes directrices autonomes, soit en complétant les lignes directrices déjà adoptées pour le RGPD.
Transferts de données transfrontières
La Commission entend:
-promouvoir activement d’éventuelles nouvelles décisions d’adéquation auprès de partenaires internationaux clés;
-négocier de nouveaux accords de coopération entre Europol et Eurojust, d’une part, et les pays tiers, d’autre part. Si nécessaire, elle s’efforcera de renégocier les accords de coopération Europol existants afin de s’assurer qu’ils comportent des garanties appropriées en matière de protection des données;
-entamer des négociations avec le Japon en vue de modifier l’accord d’entraide judiciaire UE-Japon existant afin de prévoir des garanties appropriées en matière de protection des données;
-poursuivre et conclure la négociation d’un accord bilatéral avec les États-Unis sur l’accès transfrontière aux preuves électroniques à des fins de coopération judiciaire en matière pénale, notamment en complétant les garanties en matière de protection des données assurées par l’accord-cadre UE-États-Unis afin de tenir compte du contexte spécifique de la coopération directe entre les services répressifs et les prestataires de services;
-étudier la possibilité de conclure des accords-cadres sur la protection des données aux fins du traitement des données dans le domaine de l’application du droit pénal avec d’importants services répressifs partenaires, en s’appuyant sur l’exemple de l’accord-cadre UE-États-Unis.
Le comité européen de la protection des données est invité à:
-adopter des lignes directrices afin de préciser la notion et le contenu des «garanties appropriées» (article 37 de la directive en matière de protection des données dans le domaine répressif) ainsi que le recours aux dérogations (article 38 de la directive en matière de protection des données dans le domaine répressif).
Promouvoir la convergence et développer la coopération internationale
La Commission:
-étendra sa coopération avec des partenaires internationaux en vue de renforcer la convergence des règles en matière de protection des données dans le domaine de l’application du droit pénal, notamment en encourageant leur adhésion à la Convention 108+, seul accord mondial contraignant sur la protection des données;
-favorisera la coopération bilatérale, régionale et multilatérale et soutiendra des projets de renforcement des capacités dans le domaine de la protection des données et de la coopération policière. Il s’agira notamment de formations et de l’échange de connaissances et de bonnes pratiques dans le cadre de l’Académie pour la protection des données.
Les États membres sont invités à:
-ratifier rapidement le deuxième protocole additionnel à la Convention de Budapest du Conseil de l’Europe sur la cybercriminalité, dès qu’ils y seront autorisés par une décision du Conseil.
Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).
Article 1er, paragraphe 1, de la directive en matière de protection des données dans le domaine répressif.
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (JO L 119 du 4.5.2016, p. 1),
Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) nº 45/2001 et la décision nº 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).
Charte des droits fondamentaux de l’Union européenne (JO C 202 du 7.6.2016, p. 389).
Version consolidée du traité sur le fonctionnement de l’Union européenne (JO C 202 du 7.6.2016, p. 47).
Article 63, paragraphe 1, de la directive en matière de protection des données dans le domaine répressif.
Décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (JO L 350 du 30.12.2008, p. 60).
Par exemple, les actes juridiques régissant le système d’information Schengen et d’autres instruments de l’acquis de Schengen contenaient des dispositions particulières réglementant des questions telles que les droits des personnes concernées.
Il s’agit notamment de la licéité et de la loyauté; de la limitation des finalités; de la minimisation des données; de l’exactitude; de la limitation de la conservation; de l’intégrité et de la confidentialité; et de la responsabilité (article 4 de la directive en matière de protection des données dans le domaine répressif).
Respectivement les articles 6, 7, 25 et 29 de la directive en matière de protection des données dans le domaine répressif.
Déclaration nº 21 sur la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, annexée à l’acte final de la conférence intergouvernementale qui a adopté le traité de Lisbonne (JO C 115 du 9.5.2008, p. 345).
Exposé des motifs de la proposition de directive relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, COM(2012) 10 final, 25 janvier 2012.
Communication de la Commission au Parlement européen et au Conseil intitulée «La protection des données: un pilier de l’autonomisation des citoyens et de l’approche de l’Union à l’égard de la transition numérique – deux années d’application du règlement général sur la protection des données», COM(2020) 264 final, 24 juin 2020.
En vertu de l’article 62, paragraphe 6, de la directive en matière de protection des données dans le domaine répressif, la Commission était tenue de réexaminer, au plus tard le 6 mai 2019, d’autres actes juridiques de l’Union qui réglementent le traitement des données à caractère personnel à des fins répressives, afin d’apprécier la nécessité de les mettre en conformité avec la directive et, le cas échéant, de proposer des modifications de ces actes pour assurer une approche cohérente de la protection des données à caractère personnel dans le cadre de la directive.
Communication de la Commission au Parlement européen et au Conseil intitulée «Marche à suivre en ce qui concerne la mise en conformité de l’acquis de l’ancien troisième pilier avec les règles en matière de protection des données», COM(2020) 262 final, 24 juin 2020.
Chapitres 4 et 5 du titre V de la troisième partie du TFUE.
Cette question a déjà été traitée dans la proposition de la Commission de 2020 sur la modification du règlement Europol.
Communication de la Commission au Parlement européen et au Conseil – Premier rapport sur l’état d’avancement de la stratégie de l’UE sur l’union de la sécurité, COM(2020) 797 final, 9 décembre 2020.
Communication de la Commission au Parlement européen, au Conseil européen, au Conseil, au Comité économique et social européen et au Comité des régions relative à la stratégie de l’UE pour l’union de la sécurité, COM(2020) 605 final, 24 juillet 2020.
Proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union, COM(2021) 206 final, 21 avril 2021.
Des informations et des preuves électroniques sont nécessaires dans environ 85 % des enquêtes relatives à des infractions graves, tandis que 65 % des demandes totales à cet effet sont adressées à des prestataires établis dans une autre juridiction. Voir document de travail des services de la Commission («Analyse d’impact accompagnant les documents: proposition de règlement du Parlement européen et du Conseil relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale et proposition de directive du Parlement européen et du Conseil établissant des règles harmonisées concernant la désignation de représentants légaux aux fins de la collecte de preuves en matière pénale»), SWD(2018) 118 final.
Voir également considérant 25 de la directive en matière de protection des données dans le domaine répressif.
Contribution de la commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen au prochain rapport de la Commission européenne sur l’évaluation et le réexamen de la directive en matière de protection des données dans le domaine répressif, 7 février 2022.
Position et conclusions du Conseil sur l’application de la directive en matière de protection des données dans le domaine répressif (document 13943/21 du Conseil du 18 novembre 2021 https://data.consilium.europa.eu/doc/document/ST-13943-2021-INIT/fr/pdf ).
Contribution du comité européen de la protection des données à l’évaluation de la directive en matière de protection des données dans le domaine répressif par la Commission européenne au titre de l’article 62 de la directive, adoptée le 14 décembre 2021 («contribution du comité européen de la protection des données à l’évaluation de la directive en matière de protection des données dans le domaine répressif»).
https://edpb.europa.eu/system/files/2021-12/edpb_contribution_led_review_en.pdf
Sur les 804 organisations de la société civile contactées par l’Agence des droits fondamentaux de l’Union européenne (FRA), 88 ont répondu. Cependant, seules 17 des contributions ont pu être prises en considération, car 61 d’entre elles étaient sans rapport avec la directive en matière de protection des données dans le domaine répressif ou indiquaient que l’organisation concernée ne travaillait pas sur la protection des droits fondamentaux dans le domaine de l’application du droit pénal ou ne connaissait pas du tout la directive en matière de protection des données dans le domaine répressif.
Appel à contributions, protection des données dans le domaine répressif – rapport sur la directive en matière de protection des données dans le domaine répressif, 24 janvier 2022. https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13288-Protection-des-donnees-dans-le-domaine-repressif-rapport-sur-la-directive-en-matiere-de-protection-des-donnees-dans-le-domaine-repressif_fr
Groupe d’experts de la Commission sur le règlement (UE) 2016/679 et la directive (UE) 2016/680 (E03461); https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?do=groupDetail.groupDetail&groupID=3461&lang=fr
Rapport de la présidence du Conseil de l’Union européenne sur l’échange de données policières avec les pays tiers – Expériences dans l’application de l’article 37 de la directive en matière de protection des données dans le domaine répressif, décembre 2020.
Voir considérants 101 à 103 de la directive en matière de protection des données dans le domaine répressif.
Contribution du comité européen de la protection des données à l’évaluation de la directive en matière de protection des données dans le domaine répressif, point 4.
Position et conclusions du Conseil sur l’application de la directive en matière de protection des données dans le domaine répressif, point 7.
Par exemple, les autorités du Danemark, de la Lituanie, de la Norvège, de l’Autriche et plusieurs autorités allemandes ne tiennent pas de statistiques distinctes sur les violations de données au titre de la directive en matière de protection des données dans le domaine répressif. Six autorités ont également indiqué n’avoir reçu aucune notification de violations au titre de la directive en matière de protection des données dans le domaine répressif.
Par exemple, les autorités du Danemark et de l’Autriche et plusieurs autorités allemandes ne tiennent pas de statistiques distinctes sur les réclamations introduites au titre de la directive en matière de protection des données dans le domaine répressif.
Contribution du comité européen de la protection des données à l’évaluation de la directive en matière de protection des données dans le domaine répressif, point 43.
Voir note de bas de page 29.
Arrêt du 25 février 2021, Commission européenne/Royaume d’Espagne, C‑658/19, EU:C:2021:138.
En avril 2022, la Commission a ouvert des procédures d’infraction à l’encontre de la Grèce, de la Finlande et de la Suède, au motif que leurs lois nationales de transposition n’étaient pas conformes à la directive en matière de protection des données dans le domaine répressif. La procédure à l’encontre de la Grèce porte sur un certain nombre de points, dont, entre autres, la non-application de la loi nationale transposant la directive en matière de protection des données dans le domaine répressif au traitement des données à caractère personnel par les parquets et les autorités judiciaires et par les autorités agissant sous leur contrôle pour la majorité des infractions pénales; la transposition des dispositions relatives à la conservation et à l’examen des données (article 5); la base juridique du traitement des données (article 8); et les garanties dans le cadre des décisions automatisées (article 11). Les procédures d’infraction à l’encontre de la Finlande et de la Suède ont été lancées parce que leurs lois ne permettent pas aux personnes concernées d’avoir accès à un recours effectif devant une cour ou un tribunal. La Commission a engagé une procédure d’infraction à l’encontre de l’Allemagne en mai 2022 parce que plusieurs lois nationales transposant la directive en matière de protection des données dans le domaine répressif ne prévoient pas de pouvoirs effectifs en matière d’adoption de mesures correctrices au niveau fédéral et au niveau des Länder.
Arrêt du 12 mai 2021, WS/Bundesrepublik Deutschland, C‑505/19, EU:C:2021:376. L’affaire portait, entre autres, sur la licéité du traitement de données à caractère personnel [article 4, paragraphe 1, point a), et article 8 de la directive en matière de protection des données dans le domaine répressif) dans le contexte spécifique d’une notice rouge émise par Interpol. La Cour n’a pas exclu que le traitement des données à caractère personnel figurant dans une notice rouge émise par Interpol soit licite tant qu’il n’a pas été établi par une décision judiciaire définitive que le principe ne bis in idem s’applique aux faits sur lesquels cette notice est fondée.
Arrêt du 22 juin 2021, B/Latvijas Republikas Saeima, C‑439/19, EU:C:2021:504. La CJUE a interprété la définition de l’autorité compétente au titre de l’article 3, point 7), et la notion de criminalité. Voir également section ci-dessous.
Voir compte rendu de la réunion du groupe d’experts de la Commission sur le règlement (UE) 2016/679 et la directive (UE) 2016/680 du 5 mai 2021, https://ec.europa.eu/transparency/expert-groups-register/screen/meetings/consult?lang=fr&meetingId=25283&fromExpertGroups=true
Contribution du comité européen de la protection des données à l’évaluation de la directive en matière de protection des données dans le domaine répressif, point 7.
Les autorités de contrôle de la protection des données d’Irlande, de France et de Hongrie ont évoqué ce problème.
Article 2, paragraphe 1, et considérants 12 à 14 de la directive en matière de protection des données dans le domaine répressif.
Article 1er de la directive en matière de protection des données dans le domaine répressif.
Article 3, point 7), de la directive en matière de protection des données dans le domaine répressif.
L’article 41 de la directive (UE) 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, modifiant le règlement (UE) nº 648/2012 du Parlement européen et du Conseil et abrogeant la directive 2005/60/CE du Parlement européen et du Conseil et la directive 2006/70/CE de la Commission, qui réglemente le fonctionnement des cellules de renseignement financier, indique de manière explicite que le traitement des données à caractère personnel en vertu de ladite directive est soumis au règlement (UE) 2016/679.
Arrêt du 22 juin 2021, B/Latvijas Republikas Saeima, C‑439/19, EU:C:2021:504, point 87.
Demande de décision préjudicielle dans l’affaire C‑548/21, C.G. contre Bezirkshauptmannschaft Landeck.
Section 1 du chapitre VI de la directive en matière de protection des données dans le domaine répressif.
Considérants 7 et 82 de la directive en matière de protection des données dans le domaine répressif.
Voir également point 23 de la contribution du comité européen de la protection des données à l’évaluation de la directive en matière de protection des données dans le domaine répressif: Vingt-quatre États membres ont prévu le pouvoir d’obtenir l’accès aux locaux du responsable du traitement et du sous-traitant, ainsi qu’à tout équipement et moyen de traitement des données; Vingt-et-un États membres ont prévu un processus d’audit et 9 États membres ont prévu d’autres pouvoirs (par exemple, la saisie d’objets, la demande d’audition devant l’autorité de contrôle de la protection des données et la demande d’assistance exécutive à la police).
Article 47, paragraphe 2, points a), b) et c), de la directive en matière de protection des données dans le domaine répressif.
Dix-huit États membres ont prévu cette possibilité: la Bulgarie, la Tchéquie, l’Estonie, la Grèce, la Croatie, l’Italie, Chypre, la Lettonie, la Lituanie, le Luxembourg, la Hongrie, Malte, les Pays-Bas, l’Autriche, le Portugal, la Roumanie, la Slovaquie et la Suède. Les autorités de contrôle de la protection des données de trois États membres (l’Estonie, la Lettonie et l’Autriche) peuvent infliger des amendes à des personnes physiques (par exemple des membres du personnel) ou à des entités privées (c’est-à-dire des entités privées qui sont des sous-traitants de données).
Article 52 de la directive en matière de protection des données dans le domaine répressif.
Article 53 de la directive en matière de protection des données dans le domaine répressif.
La Finlande et la Suède.
Article 53, paragraphe 2, de la directive en matière de protection des données dans le domaine répressif.
Article 54 de la directive en matière de protection des données dans le domaine répressif.
Article 55 de la directive en matière de protection des données dans le domaine répressif.
Article 5 de la directive en matière de protection des données dans le domaine répressif.
Demande de décision préjudicielle dans l’affaire C‑118/22, NG/Direktor na Glavna direktsia ‘Natsionalna politsia’ pri MVR - Sofia.
Article 8, paragraphe 2, de la directive en matière de protection des données dans le domaine répressif.
Article 10 de la directive en matière de protection des données dans le domaine répressif.
Article 11, paragraphe 1, de la directive en matière de protection des données dans le domaine répressif.
Article 11, paragraphe 2, de la directive en matière de protection des données dans le domaine répressif.
Article 11, paragraphe 3, de la directive en matière de protection des données dans le domaine répressif.
Article 15, paragraphe 1, de la directive en matière de protection des données dans le domaine répressif.
Article 13, paragraphe 3, et article 16, paragraphe 4.
Article 17 de la directive en matière de protection des données dans le domaine répressif.
Article 18 de la directive en matière de protection des données dans le domaine répressif.
Demande de décision préjudicielle dans l’affaire C‑481/21, TX/Bundesrepublik Deutschland.
Article 6 de la directive en matière de protection des données dans le domaine répressif.
Demande de décision préjudicielle dans l’affaire C‑205/21, Ministerstvo na vatreshnite raboti/B.C.
Article 7 de la directive en matière de protection des données dans le domaine répressif.
L’Allemagne a fait usage de cette option pour certaines lois transposant la directive en matière de protection des données dans le domaine répressif au niveau fédéral et au niveau des Länder.
Article 63, paragraphe 2, de la directive en matière de protection des données dans le domaine répressif.
Article 25 de la directive en matière de protection des données dans le domaine répressif.
Position et conclusions du Conseil sur l’application de la directive en matière de protection des données dans le domaine répressif, point 15.
Article 15 de la directive en matière de protection des données dans le domaine répressif.
Article 16 de la directive en matière de protection des données dans le domaine répressif.
Article 13 de la directive en matière de protection des données dans le domaine répressif.
Article 17 de la directive en matière de protection des données dans le domaine répressif.
Quatre autorités de contrôle de la protection des données ne collectent pas de statistiques sur les demandes reçues au titre de l’article 17 de la directive en matière de protection des données dans le domaine répressif.
Il s’agit de demandes faites depuis la transposition de la directive en matière de protection des données dans le domaine répressif jusqu’en décembre 2021. Contribution du comité européen de la protection des données à l’évaluation de la directive en matière de protection des données dans le domaine répressif (réponses individuelles des autorités de protection des données).
Contribution du comité européen de la protection des données à l’évaluation de la directive en matière de protection des données dans le domaine répressif, point 50.
Contribution du comité européen de la protection des données à l’évaluation de la directive en matière de protection des données dans le domaine répressif, point 33.
Trois organisations (dans le cadre des réponses aux questionnaires qui leur ont été envoyés par l’Agence des droits fondamentaux) ont indiqué avoir reçu une demande et une organisation a indiqué avoir reçu plus d’une demande.
Contribution du comité européen de la protection des données à l’évaluation de la directive en matière de protection des données dans le domaine répressif, point 31.
Article 15 de la directive en matière de protection des données dans le domaine répressif.
Article 16 de la directive en matière de protection des données dans le domaine répressif.
Article 13 de la directive en matière de protection des données dans le domaine répressif.
Position et conclusions du Conseil sur l’application de la directive en matière de protection des données dans le domaine répressif, point 21.
Contribution du comité européen de la protection des données à l’évaluation de la directive en matière de protection des données dans le domaine répressif (réponses individuelles des autorités de protection des données).
Contribution du comité européen de la protection des données à l’évaluation de la directive en matière de protection des données dans le domaine répressif, point 40; et position et conclusions du Conseil sur l’application de la directive en matière de protection des données dans le domaine répressif, p. 9.
Contribution du comité européen de la protection des données à l’évaluation de la directive en matière de protection des données dans le domaine répressif, point 70.
Contribution du comité européen de la protection des données à l’évaluation de la directive en matière de protection des données dans le domaine répressif, point 70.
Article 46, paragraphe 1, point d), de la directive en matière de protection des données dans le domaine répressif.
Contribution du comité européen de la protection des données à l’évaluation de la directive en matière de protection des données dans le domaine répressif (réponses individuelles des autorités de protection des données).
Contribution du comité européen de la protection des données à l’évaluation de la directive en matière de protection des données dans le domaine répressif, points 41 et 42.
Articles 32 à 34 de la directive en matière de protection des données dans le domaine répressif.
Position et conclusions du Conseil sur l’application de la directive en matière de protection des données dans le domaine répressif, point 22.
Position et conclusions du Conseil sur l’application de la directive en matière de protection des données dans le domaine répressif, point 25.
Contribution du comité européen de la protection des données à l’évaluation de la directive en matière de protection des données dans le domaine répressif, point 70 et 71; et réponses individuelles des autorités de protection des données (Allemagne, Finlande, France, Hongrie et Malte).
Position et conclusions du Conseil sur l’application de la directive en matière de protection des données dans le domaine répressif, point 26.
Articles 30 et 31 de la directive en matière de protection des données dans le domaine répressif.
Les chiffres incluent toutes les violations de données signalées entre la transposition de la directive en matière de protection des données dans le domaine répressif et décembre 2021. Les données ont été recueillies auprès des autorités de contrôle de la protection des données en décembre 2021.
L’Espagne, la Croatie, la Lituanie, le Portugal, la Slovaquie et la Slovénie.
Document de travail des services de la Commission, communication de la Commission au Parlement
européen et au Conseil, «La protection des données: un pilier de l’autonomisation des citoyens et de l’approche de l’Union à l’égard de la transition numérique – deux années d’application du règlement général sur la protection des données», COM(2020) 264 final.
Comité européen de la protection des données, lignes directrices 01/2021 sur les exemples de notifications de violations des données à caractère personnel, adoptées le 14 décembre 2021, https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012021_pdbnotification_adopted_en.pdf
Article 42, paragraphe 4, de la directive en matière de protection des données dans le domaine répressif.
Communication de la Commission au Parlement européen et au Conseil, «La protection des données: un pilier de l’autonomisation des citoyens et de l’approche de l’Union à l’égard de la transition numérique – deux années d’application du règlement général sur la protection des données», COM(2020) 264 final.
Position et conclusions du Conseil sur l’application de la directive en matière de protection des données dans le domaine répressif, point 12.
Contribution du comité européen de la protection des données à l’évaluation du RGPD au titre de l’article 97, 18 février 2020, p. 26 à 29.
https://edpb.europa.eu/sites/default/files/files/file1/edpb_contributiongdprevaluation_20200218.pdf ;
Comité européen de la protection des données, «Overview on resources made available by Member States to the Data Protection Authorities and on enforcement actions by the Data Protection Authorities» (ci-après «EDPB overview on resources»), 5 août 2021, p. 4 et 5.
Contribution du comité européen de la protection des données à l’évaluation de la directive en matière de protection des données dans le domaine répressif, point 65 et graphique à la Q41, p. 20.
L’Allemagne a indiqué une augmentation significative du nombre d’ETP, qui est passé de 33 à 53 entre 2017 et 2021.
Contribution du comité européen de la protection des données à l’évaluation de la directive en matière de protection des données dans le domaine répressif, graphique à la Q41, p. 20. «EDPB overview on resources», p. 5.
Contribution du comité européen de la protection des données à l’évaluation de la directive en matière de protection des données dans le domaine répressif, graphique à la Q41, p. 19.
La Belgique, le Danemark, l’Irlande, la Grèce, la Lettonie, le Luxembourg, la Hongrie, Malte, l’Autriche et la Finlande.
L’Allemagne et la France.
La France et la Suède.
Les Pays-Bas.
L’Irlande a reçu 135 plaintes liées à la directive en matière de protection des données dans le domaine répressif depuis 2018, la Hongrie en a reçu 141 depuis 2018 et le Danemark en a reçu 223 depuis 2017. Par contraste, des milliers de réclamations liées au GDPR ont été introduites (voir «EDPB overview on resources», p. 10).
Contribution du comité européen de la protection des données à l’évaluation de la directive en matière de protection des données dans le domaine répressif, point 69.
Les autorités de contrôle de la protection des données d’Irlande, de Malte et des Pays-Bas ont déclaré avoir mené des enquêtes de leur propre initiative. Les autorités de contrôle de la protection des données de Grèce, d’Espagne, de Lituanie et de Hongrie ont mené des enquêtes sur la base de réclamations. Les autorités de contrôle de la protection des données de Belgique, de Bulgarie, du Danemark, d’Allemagne, de France, d’Italie, du Luxembourg, d’Autriche, de Pologne, de Slovénie et de Suède ont mené des enquêtes à la fois de leur propre initiative et sur la base de réclamations.
Les autorités de contrôle de la protection des données d’Allemagne et de Hongrie ont déclaré qu’elles n’avaient pas reçu toutes les informations nécessaires et/ou que le responsable du traitement leur avait refusé l’accès aux informations nécessaires. Les autorités allemandes ont indiqué qu’un pouvoir semblable à celui visé à l’article 58, paragraphe 1, point a), du RGPD n’était pas prévu.
Contribution du comité européen de la protection des données à l’évaluation de la directive en matière de protection des données dans le domaine répressif, point 30; et réponses individuelles des autorités d’Autriche et du Luxembourg.
Les autorités de contrôle de la protection des données du Danemark et de la Lituanie ont indiqué qu’elles n’avaient été consultées qu’une seule fois. L’autorité de contrôle de la protection des données de la Belgique a reçu 59 consultations préalables.
Contribution du comité européen de la protection des données à l’évaluation de la directive en matière de protection des données dans le domaine répressif, point 39.
Les autorités de contrôle de la protection des données de Tchéquie, de Grèce, de Croatie, de Lettonie et de Suède ont indiqué ne pas avoir émis d’avis. Les autorités de contrôle de la protection des données de Grèce, de Croatie, de Lettonie, de Pologne, de Roumanie, de Slovénie et de Slovaquie n’ont été consultées que de manière occasionnelle.
Cette observation est fondée sur les réponses reçues des autorités de contrôle de la protection des données de Belgique, de Bulgarie, d’Allemagne, d’Estonie, d’Irlande, d’Italie, de Hongrie, des Pays-Bas, d’Autriche, de Pologne, de Finlande et de Suède.
Considérant 7 de la directive en matière de protection des données dans le domaine répressif.
Comité européen de la protection des données, recommandations 01/2021 sur les critères de référence pour l’adéquation dans le cadre de la directive en matière de protection des données dans le domaine répressif, adoptées le 2 février 2021.
https://edpb.europa.eu/sites/default/files/files/file1/recommendations012021onart.36led.pdf_en.pdf
Comité européen de la protection des données, lignes directrices 05/2022 sur l’utilisation de la technologie de reconnaissance faciale dans le domaine répressif, adoptées le 12 mai 2022, version pour consultation publique, disponible à l’adresse suivante: https://edpb.europa.eu/system/files/2022-05/edpb-guidelines_202205_frtlawenforcement_en_1.pdf
Groupe de travail «Article 29», avis sur certaines questions clés de la directive (UE) 2016/680 en matière de protection des données dans le domaine répressif, WP 258, adopté le 29 novembre 2017, disponible à l’adresse suivante: https://ec.europa.eu/newsroom/article29/items/610178/en
Comité européen de la protection des données, lignes directrices 07/2020 sur les notions de responsable du traitement des données et de sous-traitant dans le RGPD, adoptées le 7 juillet 2021, disponibles à l’adresse suivante: https://edpb.europa.eu/system/files/2021-07/eppb_guidelines_202007_controllerprocessor_final_en.pdf
Comité européen de la protection des données, lignes directrices 01/2022 sur les droits des personnes concernées – droit d’accès, adoptées le 18 janvier 2022, version pour consultation publique, accessibles à l’adresse suivante: https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right-of-access_0.pdf
Groupe de travail «Article 29», lignes directrices sur la notification de violations des données à caractère personnel en vertu du règlement (UE) 2016/679, WP 250rev.01, telles que modifiées en dernier lieu le 6 février 2018 et adoptées par le comité européen de la protection des données le 25 mai 2018, disponibles à l’adresse suivante: https://ec.europa.eu/newsroom/article29/items/612052/en ; comité européen de la protection des données, lignes directrices 01/2021 sur les exemples de notifications de violations des données à caractère personnel, adoptées le 14 décembre 2021, disponibles à l’adresse suivante: https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012021_pdbnotification_adopted_en.pdf
Groupe de travail «Article 29», lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si
le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement (UE) 2016/679, WP 248rev.01, telles que modifiées en dernier lieu le 4 octobre 2017 et adoptées par le comité européen de la protection des données le 25 mai 2018, disponibles à l’adresse suivante: https://ec.europa.eu/newsroom/article29/items/611236
Comité européen de la protection des données, lignes directrices 4/2019 sur la protection des données dès la conception et par défaut en vertu de l’article 25, adoptées le 20 octobre 2020, disponibles à l’adresse suivante: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_en.pdf
Groupe de travail «Article 29», lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679, WP 251rev01, telles que modifiées en dernier lieu le 6 février 2018 et adoptées par le comité européen de la protection des données le 25 mai 2018, disponibles à l’adresse suivante: https://ec.europa.eu/newsroom/article29/items/612053/en
Position et conclusions du Conseil sur l’application de la directive en matière de protection des données dans le domaine répressif, point 14.
Contribution du comité européen de la protection des données à l’évaluation de la directive en matière de protection des données dans le domaine répressif, point 39.
Article 50 de la directive en matière de protection des données dans le domaine répressif.
Comité européen de la protection des données, programme de travail 2021/2022, accessible à l’adresse suivante: edpb_workprogramme_2021-2022_en.pdf (europa.eu)
Voir article 35, paragraphe 3, et considérant 64 de la directive en matière de protection des données dans le domaine répressif. En ce qui concerne les transferts ultérieurs, voir article 35, paragraphe 1, point e), et considérant 65 de la directive en matière de protection des données dans le domaine répressif.
Décision d’exécution de la Commission du 28 juin 2021 constatant, conformément à la directive (UE) 2016/680 du Parlement européen et du Conseil, le caractère adéquat du niveau de protection des données à caractère personnel assuré par le Royaume-Uni, disponible à l’adresse suivante: https://ec.europa.eu/info/sites/default/files/decision_on_the_adequate_protection_of_personal_data_by_the_united_kingdom_law_enforcement_directive_fr.pdf
Voir article 35, paragraphe 1, point c), article 35, paragraphe 2, et considérant 66 de la directive en matière de protection des données dans le domaine répressif.
Voir article 525, paragraphe 1, de l’accord de commerce et de coopération.
Voir considérants 172 à 174 de la décision d’exécution constatant le niveau de protection adéquat des données à caractère personnel assuré par le Royaume-Uni – Directive Police-Justice, 28 juin 2021, disponible à l’adresse suivante: https://ec.europa.eu/info/files/decision-adequate-protection-personal-data-united-kingdom-law-enforcement-directive_fr
Comité européen de la protection des données, recommandations 01/2021 sur les critères de référence pour l’adéquation dans le cadre de la directive en matière de protection des données dans le domaine répressif, adoptées le 2 février 2021. Voir également article 36, paragraphe 2, et considérant 67 de la directive en matière de protection des données dans le domaine répressif.
Communication de la Commission au Parlement européen et au Conseil intitulée «Échange et protection de données à caractère personnel à l’ère de la mondialisation», COM(2017) 7 final, p. 13 et 14.
Position et conclusions du Conseil sur l’application de la directive en matière de protection des données dans le domaine répressif, point 18.
Dans sa communication sur la marche à suivre en ce qui concerne la mise en conformité de l’acquis de l’ancien troisième pilier avec les règles en matière de protection des données, la Commission a conclu que plusieurs accords existants ne nécessitent pas de mise en conformité supplémentaire avec la directive en matière de protection des données dans le domaine répressif (par exemple, l’accord entre l’Union européenne et la République d’Islande et le Royaume de Norvège sur l’application de certaines dispositions de la convention du 29 mai 2000 relative à l’entraide judiciaire en matière pénale entre les États membres de l’Union européenne et du protocole de 2001 à celle-ci).
Pour plus d’informations sur les accords Europol existants, consulter le site web d’Europol à l’adresse suivante: https://www.europol.europa.eu/partners-collaboration/agreements
Voir article 25, paragraphe 4, du règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI, JO L 135 du 24.5.2016, p. 53.
Version consolidée du traité sur l’Union européenne, JO C 202 du 7.6.2016, disponible à l’adresse suivante: https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A02016M%2FTXT-20200301
Considérant 35 du règlement Europol.
La Commission, au nom de l’Union européenne, et les États-Unis se sont fortement impliqués dans ces négociations, notamment dans le sous-groupe consacré à la protection des données (la protection des données étant l’un des sujets ayant fait l’objet d’intenses discussions).
Communication de la Commission au Parlement européen et au Conseil intitulée «Échange et protection de données à caractère personnel à l’ère de la mondialisation», COM(2017) 7 final, p. 14.
Accord entre l’Union européenne, d’une part, et la Nouvelle-Zélande, d’autre part, sur l’échange de données à caractère personnel entre l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et les autorités néo-zélandaises compétentes pour lutter contre les formes graves de criminalité et le terrorisme.
Accord entre l’Union européenne et le Japon relatif à l’entraide judiciaire en matière pénale (JO L 39 du 12.2.2010, p. 20). https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX%3A22010A0212%2801%29
Décision du Conseil autorisant l’ouverture de négociations visant à modifier l’accord entre l’Union européenne et le Japon relatif à l’entraide judiciaire en matière pénale (document LT 223/21).
À la suite de l’approbation d’un mandat par le Conseil de l’Union européenne le 6 juin 2019. Le mandat est disponible à l’adresse suivante: https://www.consilium.europa.eu/fr/press/press-releases/2019/06/06/council-gives-mandate-to-commission-to-negotiate-international-agreements-on-e-evidence-in-criminal-matters/
Le deuxième protocole additionnel à la Convention sur la cybercriminalité relatif au renforcement de la coopération et de la divulgation de preuves électroniques a été approuvé par le Comité des ministres du Conseil de l’Europe le 17 novembre 2021. Il a été préparé par le Comité de la Convention sur la cybercriminalité (T-CY) entre septembre 2017 et mai 2021. Le texte du protocole (copie certifiée) est disponible à l’adresse suivante: https://rm.coe.int/1680a4b2e1 . Le rapport explicatif du protocole est également disponible à l’adresse suivante: https://rm.coe.int/1680a49c9c
Voir article 14 du protocole additionnel, ainsi que points 220 à 287 du rapport explicatif.
Dans son avis 1/2022 du 20 janvier 2022 sur les projets de décisions du Conseil autorisant la signature et la ratification du protocole additionnel, le Contrôleur européen de la protection des données (ci-après le «CEPD») «note avec satisfaction les nombreuses garanties qui ont été incluses dans le protocole».
Décision du Conseil autorisant l’ouverture de négociations en vue de conclure un accord entre l’Union européenne et les États-Unis d’Amérique sur l’accès transfrontière aux preuves électroniques à des fins de coopération judiciaire en matière pénale. Le mandat est disponible à l’adresse suivante: https://data.consilium.europa.eu/doc/document/ST-9114-2019-INIT/fr/pdf
Proposition de règlement du Parlement européen et du Conseil relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale [COM(2018) 225 final], et proposition de directive du Parlement européen et du Conseil établissant des règles harmonisées concernant la désignation de représentants légaux aux fins de la collecte de preuves en matière pénale [COM(2018) 226 final].
Comité européen de la protection des données, déclaration 02/2021 relative aux nouveaux textes de dispositions du deuxième protocole additionnel à la Convention du Conseil de l’Europe sur la cybercriminalité (Convention de Budapest), adoptée le 2 février 2021, disponible à l’adresse suivante: https://edpb.europa.eu/system/files/2021-06/statement022021onbudapestconventionnewprovisions_fr.pdf
CEPD, avis 04/2021 sur la révision du mandat d’Europol, adopté le 8 mars 2021, disponible à l’adresse suivante: https://edps.europa.eu/data-protection/our-work/publications/avis-du-cepd/edps-opinion-proposal-amendment-europol_fr
Comité européen de la protection des données, déclaration 04/2021 sur les accords internationaux, y compris les transferts, adoptée le 13 avril 2021, disponible à l’adresse suivante: https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-042021-international-agreements-including_fr
Voir rapport de la présidence sur l’échange de données policières avec les pays tiers – Expériences dans l’application de l’article 37 de la directive en matière de protection des données dans le domaine répressif. Le comité européen de la protection des données a annoncé qu’il tiendrait compte des conclusions du rapport de la présidence ainsi que d’autres informations et observations provenant des États membres lors de ses travaux destinés à élaborer des orientations concernant l’article 37 de la directive. Voir lettre du président du comité européen de la protection des données à la représentation permanente de la République fédérale d’Allemagne auprès de l’Union européenne du 26 février 2021 (document 13555/1/20).
Position et conclusions du Conseil sur l’application de la directive en matière de protection des données dans le domaine répressif, point 20.
Article 38, paragraphe 1, point c), de la directive en matière de protection des données dans le domaine répressif.
Article 38, paragraphe 1, point d), de la directive en matière de protection des données dans le domaine répressif.
À titre d’exemple, le deuxième protocole additionnel à la Convention de Budapest pourrait être considéré comme un accord international aux fins de l’article 48 du RGPD.
Protocole d’amendement à la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, adopté par le Comité des ministres lors de sa 128e session à Elseneur, le 18 mai 2018 (Convention 108+), disponible à l’adresse suivante: https://rm.coe.int/convention-108-convention-pour-la-protection-des-personnes-a-l-egard-d/16808b3726
Voir, par exemple, guide pratique sur l’utilisation des données à caractère personnel dans le secteur de la police, disponible à l’adresse suivante: https://rm.coe.int/t-pd-201-01-guide-pratique-sur-lutilisation-de-donnees-a-caractere-per/16807927d6
Document du comité européen de la protection des données sur le mandat du groupe d’experts de soutien du comité européen de la protection des données, adopté le 15 décembre 2020.