COMMISSION EUROPÉENNE
Bruxelles, le 25.7.2022
COM(2022) 364 final
COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL
Premier rapport sur l’application et le fonctionnement de la directive (UE) 2016/680 en matière de protection des données dans le domaine répressif
COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL
Premier rapport sur l’application et le fonctionnement de la directive (UE) 2016/680 en matière de protection des données dans le domaine répressif
Table des matières
1
La directive d’en matière de protection des données dans le domaine répressif en tant que principal instrument afin de garantir la protection des données dans le cadre de la politique de sécurité de l’Union européenne
1.1
Un élément essentiel d’un cadre cohérent de protection des données dans l’Union européenne
1.2
Une contribution essentielle afin d’assurer une politique de sécurité solide au sein de l’Union européenne
1.3
Considérations importantes concernant la préparation du rapport
2
Une transposition satisfaisante, mais un certain nombre de questions restent en suspens
2.1
Une transposition complète dans l’ensemble, mais avec quelques problèmes sur certaines dispositions
2.2
Priorités pour l’évaluation de la conformité
2.2.1
Champ d’application de la directive en matière de protection des données dans le domaine répressif
2.2.2
Gouvernance et pouvoirs des autorités de contrôle de la protection des données
2.2.3
Voies de recours
2.2.4
Délais de conservation et d’examen
2.2.5
Base juridique du traitement, y compris les catégories particulières de données à caractère personnel
2.2.6
Prise de décision automatisée
2.2.7
Droits des personnes concernées
2.2.8
Quelques dispositions importantes propres à la directive en matière de protection des données dans le domaine répressif
3
Premiers enseignements tirés de l’application et du fonctionnement de la directive en matière de protection des données dans le domaine répressif
3.1
Réclamations et effet positif sur les droits des personnes concernées
3.2
Sensibilisation accrue des autorités compétentes à la protection des données
3.3
Amélioration de la sécurité des données mais différences concernant les notifications de violations des données
3.4
Contrôle par les autorités de contrôle de la protection des données
3.4.1
Ressources des autorités de contrôle de la protection des données
3.4.2
Utilisation des pouvoirs
3.4.3
Contrôle juridictionnel des actions des autorités de contrôle de la protection des données
3.4.4
Lignes directrices du comité européen de la protection des données
3.4.5
Assistance mutuelle
3.5
Instrument flexible pour les transferts internationaux de données
3.5.1
Décisions d’adéquation
3.5.2
Garanties appropriées
3.5.3
Recours à des dérogations
3.5.4
Une coopération policière et judiciaire transfrontière efficace
4
Pistes
1La directive d’en matière de protection des données dans le domaine répressif en tant que principal instrument afin de garantir la protection des données dans le cadre de la politique de sécurité de l’Union européenne
La présente communication expose le premier rapport de la Commission européenne sur l’évaluation et le réexamen de la directive en matière de protection des données dans le domaine répressif
(ci-après la «directive en matière de protection des données dans le domaine répressif»), conformément à l’article 62, paragraphe 1, de ladite directive.
Le rapport examine, en particulier, l’application et le fonctionnement des règles de la directive en matière de protection des données dans le domaine répressif relatives au transfert de données à caractère personnel vers des pays tiers et à des organisations internationales, conformément à la directive, mais il adopte également une approche plus large. Il situe la directive en matière de protection des données dans le domaine répressif dans les cadres du droit de l’Union sur la protection des données à caractère personnel et du droit de l’Union régissant le traitement des données à caractère personnel à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuite en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces («application du droit pénal»)
. Le rapport propose une vue d’ensemble de la transposition de la directive en matière de protection des données dans le domaine répressif par les États membres dans leur législation nationale, présente les premiers enseignements tirés de l’application et du fonctionnement de la directive et esquisse la voie à suivre.
1.1Un élément essentiel d’un cadre cohérent de protection des données dans l’Union européenne
La directive en matière de protection des données dans le domaine répressif est l’un des trois piliers du cadre de l’Union garantissant le droit fondamental à la protection des données à caractère personnel. Les deux autres sont le règlement général sur la protection des données (ci-après le «RGPD»)
et le règlement sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'UE (ci-après le «RPDUE»)
. Le droit fondamental à la protection des données est consacré par l’article 8 de la Charte des droits fondamentaux de l’Union européenne (ci-après la «Charte») et par l’article 16 du traité sur le fonctionnement de l’Union européenne (ci-après le «TFUE»).
La directive en matière de protection des données dans le domaine répressif est entrée en vigueur le 6 mai 2016 et les États membres étaient tenus de la transposer pour le 6 mai 2018 au plus tard
.
La directive en matière de protection des données dans le domaine répressif est le premier acte législatif de l’Union qui adopte une approche globale de la protection des données à caractère personnel par les autorités compétentes [c’est-à-dire les autorités judiciaires, la police et les autres services répressifs pénaux, comme le prévoit l’article 3, point 7), de la directive] à des fins d’application du droit pénal. Par rapport à la décision-cadre 2008/977/JAI du Conseil, qu’elle a abrogée et remplacée, la directive en matière de protection des données dans le domaine répressif constitue une avancée majeure pour garantir l’application cohérente des règles en matière de protection des données dans toute l’Union. Premièrement, la directive en matière de protection des données dans le domaine répressif propose un ensemble complet de règles pour le traitement aussi bien transfrontière que national des données à caractère personnel à des fins d’application du droit pénal, alors que la décision-cadre du Conseil ne couvrait que le traitement transfrontière. Deuxièmement, la directive en matière de protection des données dans le domaine répressif énonce un ensemble complet et horizontal de règles, alors que dans l’approche précédente, chaque acte sectoriel de l’Union qui prévoyait le traitement de données à caractère personnel dans le contexte de l’application du droit pénal était régi par ses propres règles en matière de protection des données.
Le RGPD, le RPDUE et la directive en matière de protection des données dans le domaine répressif sont fondés sur des concepts et des principes similaires, ce qui donne lieu à une interprétation et à une application cohérentes des règles de l’Union en matière de protection des données. Ils partagent des définitions communes et contiennent des obligations similaires pour les responsables du traitement des données et les sous-traitants. Cependant, la directive en matière de protection des données dans le domaine répressif traite aussi spécifiquement des risques liés au traitement des données à caractère personnel dans le contexte de l’application du droit pénal. Les dispositions correspondantes prévoient l’obligation i) d’établir une distinction entre les différentes catégories de personnes concernées, ii) d’établir une distinction entre les données à caractère personnel fondées sur des faits et celles fondées sur une appréciation personnelle, iii) de tenir un journal de l’utilisation des données à caractère personnel et de satisfaire à des exigences particulières de sécurité.
Compte tenu de la nature spécifique de la coopération judiciaire en matière pénale et de la coopération policière, il a été jugé nécessaire d’adopter des règles spécifiques dans ces domaines pour la protection des données à caractère personnel et la libre circulation de ces données. La sensibilité du domaine de la coopération judiciaire en matière pénale et de la coopération policière, ainsi que la complexité des cadres juridiques nationaux qui régissent l’application du droit pénal, ont conduit à considérer qu’une directive était le meilleur instrument pour atteindre un niveau élevé de protection des données dans ce domaine. Une directive laisse également aux États membres la flexibilité nécessaire pour mettre en œuvre les principes, les règles et les exemptions au niveau national.
La Commission a publié son premier rapport sur la mise en œuvre du RGPD le 24 juin 2020. Le rapport concluait que de l’avis général, le RGPD a atteint ses objectifs, notamment en conférant aux citoyens un ensemble solide de droits opposables et en créant un nouveau système européen de gouvernance et de contrôle de l’application. Le rapport énumère des actions à entreprendre par toutes les parties intéressées afin de faciliter davantage l’application du RGPD et de promouvoir et de continuer à développer une culture de la protection des données dans l’Union, et un contrôle rigoureux de l’application.
Ce rapport fait suite au réexamen des actes juridiques adoptés par l’Union qui réglementent le traitement des données par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales. L’objectif de ce réexamen était d’évaluer la nécessité de mettre en conformité les actes juridiques en question avec la directive en matière de protection des données dans le domaine répressif
. Le 24 juin 2020, la Commission s’est acquittée de cette obligation en adoptant une communication intitulée «Marche à suivre en ce qui concerne la mise en conformité de l’acquis de l’ancien troisième pilier avec les règles en matière de protection des données». Elle a recensé 10 actes juridiques qui devraient être mis en conformité avec la directive en matière de protection des données dans le domaine répressif et a fixé un calendrier pour réaliser cet objectif.
Enfin, le présent rapport a été préparé en parallèle avec le rapport de la Commission sur l’application du RPDUE. Un élément important de ce dernier est la révision de ses règles, exposées au chapitre IX, sur le traitement des données opérationnelles à caractère personnel par les organes et organismes de l’Union dans l’exercice d’activités qui relèvent de la coopération policière et de la coopération judiciaire en matière pénale
(ci-après les «agences JAI»). Les règles en question sont fondées en grande partie sur la directive en matière de protection des données dans le domaine répressif. En vertu de l’article 98 du RPDUE, la Commission est tenue de réexaminer les actes juridiques régissant le traitement des données opérationnelles à caractère personnel par les agences JAI et l’autorise à présenter des propositions législatives appropriées, notamment en vue d’appliquer les règles du chapitre IX à Europol
et au Parquet européen, ainsi qu’à proposer toute modification nécessaire de ce chapitre.
1.2Une contribution essentielle afin d’assurer une politique de sécurité solide au sein de l’Union européenne
La Commission n’a cessé de souligner qu’une Union de la sécurité réelle et effective ne peut être construite que sur la base du respect absolu des droits fondamentaux inscrits dans la Charte et dans le droit dérivé de l’Union. La directive en matière de protection des données dans le domaine répressif apporte une contribution essentielle à la politique de sécurité de l’Union en veillant à ce que les données à caractère personnel des victimes, des témoins et des personnes soupçonnées d’infractions pénales soient dûment protégées. En outre, en harmonisant les règles relatives à la protection des données à caractère personnel traitées par les autorités compétentes dans les États membres de l’Union et les pays de l’espace Schengen, la directive en matière de protection des données dans le domaine répressif contribue à renforcer la confiance et la sécurité des données échangées entre les autorités à des fins d’application du droit pénal, facilitant ainsi la coopération transfrontière dans la lutte contre la criminalité et le terrorisme. La directive en matière de protection des données dans le domaine répressif joue également un rôle clé dans la promotion d’une culture de respect de la protection des données parmi les autorités compétentes.
La
stratégie pour l’union de la sécurité
souligne également que de nouvelles technologies telles que l’intelligence artificielle pourraient constituer un outil puissant pour lutter contre la criminalité. La réalisation de ce potentiel implique également de garantir les normes les plus élevées en matière de respect des droits fondamentaux. La législation relative à la protection des données, notamment la directive en matière de protection des données dans le domaine répressif, pourrait servir de base à de nouvelles législations sectorielles. Par exemple, la proposition de législation sur l’intelligence artificielle encadrerait davantage l’utilisation des données à caractère personnel pour l’identification biométrique à distance dans les lieux publics à des fins répressives.
Enfin, dans un monde interconnecté, la criminalité (et notamment la cybercriminalité et les autres formes de criminalité facilitée par les technologies de l’information et de la communication) est de plus en plus souvent de nature transfrontière. Même lorsqu’elles enquêtent sur des affaires internes, les autorités compétentes rencontrent de plus en plus souvent des questions transfrontières, parce que les informations sont stockées sous forme électronique dans un pays tiers. Cela accroît le besoin de coopération internationale dans les enquêtes pénales, de la part tant des autorités des États membres que des organes de l’Union tels qu’Europol et Eurojust. Cette coopération, et en particulier la collecte et l’échange de preuves électroniques, implique souvent le transfert de données à caractère personnel. Il est donc essentiel de mettre en place de solides garanties en matière de protection des données. Ces garanties contribuent également à instaurer un climat de confiance entre les services répressifs, ce qui permet un échange d’informations plus rapide et plus efficace et renforce la sécurité juridique lorsque les informations sont ensuite utilisées dans le cadre de procédures pénales. À cet égard, la directive en matière de protection des données dans le domaine répressif propose un ensemble actualisé d’outils permettant d’organiser ces transferts de données à caractère personnel de l’Union vers un pays tiers ou à une organisation internationale (par exemple Interpol), tout en garantissant que les données à caractère personnel continuent de bénéficier d’un niveau élevé de protection. La Commission et les États membres ont utilisé toute la gamme des outils de la directive en matière de protection des données dans le domaine répressif depuis son entrée en vigueur, confirmant ainsi qu’elle est suffisamment large et flexible pour rendre possible une coopération policière et judiciaire internationale efficace.
1.3Considérations importantes concernant la préparation du rapport
Lors de la préparation du présent rapport, la Commission a rassemblé des informations et des commentaires provenant de différentes sources et activités de consultation ciblées. Conformément à l’article 62 de la directive en matière de protection des données dans le domaine répressif, la Commission a tenu compte des contributions et des positions du Parlement européen, du Conseil, du comité européen de la protection des données et des autorités nationales de contrôle de la protection des données. Des commentaires supplémentaires ont été obtenus au moyen d’un questionnaire adressé aux organisations de la société civile (par l’intermédiaire de l’Agence des droits fondamentaux de l’Union européenne) et de réponses à un appel public à contributions
. La Commission a également pris en considération les observations du groupe d’experts des États membres sur le RGPD et la directive en matière de protection des données dans le domaine répressif, ainsi que les observations de la présidence allemande du Conseil. Elle a également tenu compte de l’analyse des mesures nationales de transposition et d’un faible nombre de réclamations qu’elle a reçues à cet égard.
Bien que la directive en matière de protection des données dans le domaine répressif s’applique à tous les États membres et à tous les pays de l’espace Schengen (car elle constitue un développement des dispositions de l’acquis de Schengen
), le présent rapport ne couvre que les États membres de l’Union.
Trois facteurs ont eu une incidence sur la préparation du présent rapport. Premièrement, deux tiers des États membres n’ont pas respecté la date limite fixée au mois de mai 2018 pour transposer la directive en matière de protection des données dans le domaine répressif dans leur droit national. Néanmoins, la plupart des États membres ont transposé la directive avant 2019, après que la Commission a lancé des procédures d’infraction. Par conséquent, l’expérience de son application est plutôt limitée, un point que le comité européen de la protection des données et le Conseil soulignent également. Deuxièmement, il s’est avéré plus difficile de compiler des statistiques sur l’application de la directive en matière de protection des données dans le domaine répressif, par rapport au RGPD. Certaines autorités de contrôle de la protection des données ne collectent pas de statistiques sur leurs activités de contrôle de manière séparée pour la directive en matière de protection des données dans le domaine répressif et le RGPD. C’est le cas, par exemple, en ce qui concerne les notifications de violations des données et les réclamations introduites en vertu de la directive en matière de protection des données dans le domaine répressif, ce qui rend parfois difficile l'obtention d’une vue d’ensemble précise de ces dispositions dans le cadre de la directive
.
Troisièmement, il est important de tenir compte du fait que la jurisprudence commence seulement à se développer en ce qui concerne l’application de la directive en matière de protection des données dans le domaine répressif. Plusieurs affaires sont actuellement pendantes devant la Cour de justice de l’Union européenne (ci-après la «CJUE») au sujet de l’interprétation de dispositions essentielles de la directive en matière de protection des données dans le domaine répressif, telles que le droit d’accès des personnes concernées et le droit à un recours juridictionnel effectif. Ces arrêts apporteront plus de clarté et contribueront à une approche plus harmonisée entre les États membres.
2Une transposition satisfaisante, mais un certain nombre de questions restent en suspens
La Commission a mis en place un groupe d’experts des États membres pour aider les États membres à intégrer la directive en matière de protection des données dans le domaine répressif dans leur droit national. Le groupe facilite les discussions et le partage d’expériences entre les États membres et la Commission sur les règles en matière de protection des données. Il s’est réuni régulièrement entre l’adoption de la directive en matière de protection des données dans le domaine répressif en 2016 et la date limite de transposition du 6 mai 2018, et ses travaux ont repris en 2021.
La vue d’ensemble de la transposition présentée ci-dessous se concentre sur les principaux problèmes constatés jusqu’à présent. Elle repose principalement sur l’analyse par la Commission des informations fournies par les États membres lorsqu’ils ont notifié à la Commission les mesures nationales qu’ils avaient prises pour transposer la directive en matière de protection des données dans le domaine répressif dans leur droit national. Cette analyse a été appuyée par une étude externe réalisée par un contractant externe. La Commission a également participé à des échanges bilatéraux avec plusieurs États membres.
2.1Une transposition complète dans l’ensemble, mais avec quelques problèmes sur certaines dispositions
En juillet 2018, la Commission a ouvert des procédures d’infraction à l’encontre de 19 États membres qui n’avaient pas adopté de lois transposant la directive en matière de protection des données dans le domaine répressif à la date limite du 6 mai 2018 et n’avaient pas dûment notifié leurs mesures de transposition à la Commission. Une autre procédure pour non-transposition partielle a été lancée en juillet 2019 à l’encontre d’un autre État membre. En conséquence, la plupart des États membres ont ensuite notifié à la Commission leur législation nationale de transposition et la Commission a progressivement clôturé les procédures d’infraction à leur encontre en 2019 (en 2020 pour un État membre). En 2021, la Commission a saisi la CJUE d'une procédure d’infraction à l’encontre de l’Espagne parce que cette dernière n’avait toujours pas transposé la directive en matière de protection des données dans le domaine répressif ni notifié à la Commission ses mesures de transposition. Compte tenu de la gravité et de la durée de l’infraction, la CJUE a, pour la première fois, condamné l’Espagne au paiement d’une somme forfaitaire et d’une astreinte
.
La Commission a également lancé, en avril 2022, une procédure d’infraction à l’encontre de l’Allemagne après avoir détecté une lacune dans la transposition de la directive en matière de protection des données dans le domaine répressif en ce qui concerne les activités de la police fédérale allemande.
La Commission continuera d'évaluer la transposition de la directive en matière de protection des données dans le domaine répressif dans les États membres et prendra les mesures nécessaires pour remédier aux éventuelles lacunes.
2.2Priorités pour l’évaluation de la conformité
La Commission vérifie également que les dispositions nationales des États membres transposent correctement les exigences de la directive en matière de protection des données dans le domaine répressif (contrôle de conformité).
Lors de la transposition de la directive en matière de protection des données dans le domaine répressif, les États membres ont soit modifié leur législation antérieure relative à la protection des données, soit l’ont abrogée et remplacée par une ou plusieurs nouvelles lois horizontales sur la protection des données. Dans de nombreux cas, les lois nationales transposent la directive en matière de protection des données dans le domaine répressif en renvoyant à la même disposition ou à une disposition équivalente du RGPD (par exemple en ce qui concerne les définitions, les notifications de violations de données, la désignation du délégué à la protection des données et les dispositions relatives à l’organisation, au statut, aux compétences, aux missions et aux pouvoirs des autorités nationales de contrôle de la protection des données). Un certain nombre de dispositions de la directive en matière de protection des données dans le domaine répressif ont également été transposées par de nouvelles dispositions dans, par exemple, le droit administratif général, le droit procédural administratif ou la procédure pénale. Certains États membres ont également transposé plusieurs dispositions de la directive en matière de protection des données dans le domaine répressif dans des législations sectorielles réglementant le fonctionnement et les pouvoirs de certaines autorités compétentes. Il peut donc s’avérer nécessaire de tenir compte de divers actes juridiques nationaux pour déterminer si la directive en matière de protection des données dans le domaine répressif a été correctement transposée ou non dans un État membre particulier. Dans l’ensemble, les lois nationales reprennent dans une large mesure les principes et les dispositions fondamentales de la directive en matière de protection des données dans le domaine répressif. Toutefois, un certain nombre de problèmes ont été constatés, dont les plus importants sont exposés dans les sections suivantes. La Commission a déjà lancé un certain nombre de procédures d’infraction à l’encontre des États membres
. Le processus de réexamen est toujours en cours et la Commission continuera d’utiliser tous les outils disponibles, y compris les procédures d’infraction, lorsqu’une mesure nationale de transposition n’est pas conforme à la directive en matière de protection des données dans le domaine répressif.
La jurisprudence sur la directive en matière de protection des données dans le domaine répressif en est encore à ses débuts. La CJUE a commencé à rendre des arrêts sur l’interprétation de la directive, notamment dans les affaires WS/Bundesrepublik Deutschland
et B/Latvijas Republikas Saeima. Au moment de la rédaction du présent rapport, un certain nombre de demandes de décisions préjudicielles sont pendantes devant la CJUE (comme indiqué dans les sections suivantes).
2.2.1Champ d’application de la directive en matière de protection des données dans le domaine répressif
La difficulté pour distinguer le champ d’application de la directive en matière de protection des données dans le domaine répressif de celui du RGPD a été soulevée comme un sujet de préoccupation à la fois par le groupe d’experts des États membres sur le RGPD et la directive en matière de protection des données dans le domaine répressif et par le comité européen de la protection des données. Certaines autorités de contrôle de la protection des données ont également indiqué que les autorités compétentes pouvaient rencontrer des difficultés à cet égard
.
Le champ d’application de la directive en matière de protection des données dans le domaine répressif est défini par deux éléments clés: la notion d’autorité compétente (champ d’application personnel) et la notion d’infraction pénale (champ d’application matériel).
En ce qui concerne le champ d’application personnel, le traitement des données relève de la directive en matière de protection des données dans le domaine répressif lorsque, d’une part, il est entrepris par une autorité compétente et, d’autre part, lorsque les données à caractère personnel sont traitées à des fins relevant de la directive (c’est-à-dire la prévention et la détection des infractions pénales, les enquêtes ou les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces). Selon la Commission, les «autorités compétentes» telles qu’elles sont définies par la directive en matière de protection des données dans le domaine répressif sont soit des organes de l’État, soit des organismes privés, auxquels la loi confère des pouvoirs spéciaux allant au-delà de ceux qui résultent des règles normales applicables dans les relations entre particuliers et/ou la possibilité d’exercer un pouvoir de coercition. Ces autorités sont des autorités compétentes en vertu de la directive en matière de protection des données dans le domaine répressif lorsque (même si ce n’est que de manière sporadique et/ou dans des cas isolés) elles traitent des données à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales (y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces). Cela signifie, par exemple, que le traitement par ces organes de données à caractère personnel à des fins autres que celles relevant de la directive en matière de protection des données dans le domaine répressif [par exemple, à des fins liées aux ressources humaines ou à d’autres fins administratives telles que le traitement par les cellules de renseignement financier (CRF) de données à caractère personnel en vertu de l’acquis en matière de lutte contre le blanchiment de capitaux] relève du champ d’application du RGPD et non de la directive en matière de protection des données dans le domaine répressif.
La notion d’«infraction pénale» est d’une importance capitale pour déterminer si le traitement des données relève ou non du champ d’application de la directive en matière de protection des données dans le domaine répressif. Selon la CJUE, trois critères sont pertinents pour apprécier le caractère pénal d’une infraction: la qualification pénale de l’infraction en droit interne, la nature même de l’infraction et le degré de sévérité de la sanction que risque de subir l’intéressé
. Le caractère autonome de la notion d’infraction pénale visé au considérant 13 de la directive en matière de protection des données dans le domaine répressif implique, entre autres, que le droit des États membres ne peut pas déterminer la nature d’une infraction comme étant «pénale» dans le seul but d’appliquer la directive.
La question de la démarcation entre les champs d’application du RGPD et de la directive en matière de protection des données dans le domaine répressif se pose dans certains États membres en ce qui concerne la distinction entre les domaines des infractions pénales et administratives. En particulier, certaines lois nationales de transposition font référence à des finalités de traitement des données à caractère personnel qui ne sont pas énumérées à l’article 1er de la directive en matière de protection des données dans le domaine répressif (par exemple, les menaces pour l’ordre public ou la sécurité publique). La question se pose également parce que certains États membres considèrent qu’un certain nombre d’organes administratifs (par exemple, les CRF, comme mentionné ci-dessus) exécutent des missions relevant de la directive en matière de protection des données dans le domaine répressif.
La plupart des lois des États membres couvrent de manière globale toute autorité compétente traitant des données à des fins relevant de la directive en matière de protection des données dans le domaine répressif. En revanche, certains États membres ont choisi d’énumérer de manière exhaustive les autorités compétentes au titre de la directive en matière de protection des données dans le domaine répressif dans leur législation nationale. Quelques États membres ont également prévu une dérogation pour le traitement en fonction des types d’autorités compétentes ou en fonction des types de données traitées.
La question du champ d’application de la directive en matière de protection des données dans le domaine répressif fait l’objet d’un renvoi préjudiciel devant la CJUE. Le Landesverwaltungsgericht Tirol (Autriche) a soulevé la question du champ d’application de la directive en matière de protection des données dans le domaine répressif lorsqu’une autorité compétente a tenté en vain d’accéder aux données d’un téléphone saisi (interprétation de l’article 2 de la directive en matière de protection des données dans le domaine répressif). L’affaire concerne également les conditions de cet accès.
2.2.2Gouvernance et pouvoirs des autorités de contrôle de la protection des données
Tous les États membres sauf deux (la Belgique et la Suède) ont confié l’application de la directive en matière de protection des données dans le domaine répressif à l’autorité de contrôle qui est également chargée de faire appliquer le RGPD. La Belgique a confié le contrôle de la police aux fins de la directive en matière de protection des données dans le domaine répressif à une autre autorité de contrôle. En Suède, le contrôle de certaines autorités compétentes, dont la police, est copartagé par l’autorité de contrôle compétente pour le RGPD et une autre autorité de contrôle. En outre, conformément à la directive en matière de protection des données dans le domaine répressif, toutes les autorités de contrôle de la protection des données ne sont pas compétentes pour contrôler les juridictions lorsqu’elles agissent dans l'exercice de leur fonction juridictionnelle.
En ce qui concerne les dispositions de la directive relatives à l’indépendance des autorités de contrôle de la protection des données, tous les États membres ont prévu dans leur législation de transposition que les autorités de contrôle de la protection des données agissent en toute indépendance dans l’exécution de leurs missions. Ils exigent également que les membres de leurs autorités de contrôle de la protection des données soient libres de toute influence extérieure et ne prennent ni ne sollicitent d’instructions de quiconque.
Le contrôle du respect de ces règles par les autorités de contrôle de la protection des données est essentiel et consacré par l’article 8, paragraphe 3, de la Charte. La directive en matière de protection des données dans le domaine répressif impose aux États membres de doter les autorités de contrôle de la protection des données de pouvoirs d’enquêter, d’adopter des mesures correctrices et d’émettre des avis consultatifs, qui doivent être effectifs. Il s’agit d’une condition préalable à la bonne application des règles en matière de protection des données et donc à la réalisation de l’objectif de la directive en matière de protection des données dans le domaine répressif, à savoir un niveau élevé de protection des droits fondamentaux, notamment en ce qui concerne le droit à la protection des données à caractère personnel, et à la garantie de la libre circulation des données au sein de l’Union. Les autorités de contrôle de la protection des données doivent disposer de pouvoirs équivalents dans l’ensemble de l’Union, afin de pouvoir accomplir leurs missions comme l’exige la directive en matière de protection des données dans le domaine répressif.
Tous les États membres ont doté leurs autorités des pouvoirs d’enquête définis dans la directive en matière de protection des données dans le domaine répressif et la majorité d’entre eux leur ont également conféré d’autres pouvoirs (par exemple, celui de procéder à des audits, de pénétrer dans des locaux, de faire des copies de données et de saisir des objets). En conséquence, presque toutes les autorités de contrôle de la protection des données ont estimé qu’elles disposaient de pouvoirs d’enquête efficaces.
Presque tous les États membres ont prévu le pouvoir d’adopter des mesures correctrices défini dans la directive en matière de protection des données dans le domaine répressif. Beaucoup l’ont fait en suivant de près la formulation de la directive, tandis que plusieurs ont utilisé une formulation très large qui pourrait être raisonnablement interprétée comme englobant tous les pouvoirs énoncés dans la directive.
En outre, la majorité des lois des États membres donnent aux autorités de contrôle de la protection des données le pouvoir d’infliger des amendes administratives.
Tous les États membres n’ont pas conféré à leurs autorités de contrôle de la protection des données le pouvoir de porter à l’attention des autorités judiciaires les infractions aux lois nationales adoptées pour transposer la directive en matière de protection des données dans le domaine répressif et d’entamer ou d’engager des poursuites judiciaires. Ce pouvoir est important et complète les autres moyens dont disposent les autorités de contrôle de la protection des données pour garantir de manière efficace un niveau élevé de protection des droits fondamentaux des personnes, et notamment de leur droit à la protection de leurs données à caractère personnel.
2.2.3Voies de recours
Tous les États membres ont prévu le droit d’introduire une réclamation auprès de leur autorité de contrôle compétente. La plupart des lois nationales prévoient un délai pour l’introduction d’une telle réclamation. Il est important que ce délai n’entrave pas le droit des personnes concernées à cet égard.
Conformément à la directive en matière de protection des données dans le domaine répressif, tous les États membres prévoient un recours juridictionnel contre les décisions de l’autorité de contrôle, sans préjudice de tout autre recours administratif ou extrajudiciaire disponible dans leur système juridique. Un recours juridictionnel est possible dans tous les États membres, à l’exception de deux d’entre eux où une autorité de contrôle ne traite pas une réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’état d’avancement ou de l’issue de la réclamation.
La plupart des États membres prévoient également un recours juridictionnel contre le responsable du traitement des données et le sous-traitant en cas de violation présumée des dispositions de la directive en matière de protection des données dans le domaine répressif. Toutefois, plusieurs lois nationales de transposition ne prévoient pas le droit pour la personne concernée de mandater un organisme, une organisation ou une association à but non lucratif pour qu’il introduise une réclamation auprès d’une autorité de contrôle ou engage un recours juridictionnel en son nom.
2.2.4Délais de conservation et d’examen
Les approches des États membres concernant la transposition des délais de conservation et d’examen des données à caractère personnel prévus par la directive en matière de protection des données dans le domaine répressif varient considérablement. La majorité des lois nationales sur la protection des données transposant la directive en matière de protection des données dans le domaine répressif ne satisfont qu’à l’exigence générale de l’article 5 de la directive. Cela signifie qu’il appartient à la loi sectorielle de fixer effectivement des délais pour l’effacement des données à caractère personnel ou pour la vérification régulière de la nécessité de conserver les données à caractère personnel. Quelques États membres transposent la disposition en fixant les délais dans la législation sectorielle.
Dans certains États membres, cependant, la loi laisse à l’autorité compétente le soin de fixer les délais. Dans certains cas, la loi ne fixe pas de critères pour la vérification régulière et n’exige pas que ces critères soient prévus par d’autres lois et/ou elle ne prévoit pas que les procédures visant à garantir le respect des délais soient également définies dans le droit national.
Il convient de souligner que la Cour administrative suprême de Bulgarie a récemment demandé à la CJUE de répondre à sa demande de décision préjudicielle sur l’interprétation de l’article 5 de la directive en matière de protection des données dans le domaine répressif concernant les délais de conservation des données
.
2.2.5Base juridique du traitement, y compris les catégories particulières de données à caractère personnel
La majorité des États membres prévoient – en utilisant une formulation qui se rapproche souvent de celle de l’article 8 de la directive en matière de protection des données dans le domaine répressif – que la base juridique du traitement doit être établie dans le droit de l’Union ou le droit d’un État membre. Cependant, certaines lois nationales sur la protection des données transposant la directive en matière de protection des données dans le domaine répressif ne reprennent pas l’exigence selon laquelle les données à caractère personnel devant faire l’objet d’un traitement et les finalités du traitement doivent être définies dans la loi. Les autres lois nationales sur la protection des données transposant la directive ne contiennent pas toutes les dispositions correspondant à l’article 8. Il appartient à la législation nationale de prévoir la base du traitement et de satisfaire aux exigences de l’article 8. En outre, la simple répétition des exigences générales de l’article 8 de la directive en matière de protection des données dans le domaine répressif dans le droit national ne peut être considérée comme une base juridique suffisante pour une opération de traitement spécifique: le droit national doit préciser quelle autorité est compétente pour traiter les données à caractère personnel, les missions publiques qu’elle accomplit et qui justifient ce traitement, ainsi que la finalité du traitement.
En ce qui concerne le traitement portant sur des catégories particulières de données à caractère personnel, la plupart des États membres exigent une nécessité absolue comme condition préalable au traitement. La plupart des États membres prévoient également les mêmes motifs juridiques pour le traitement des données sensibles que ceux énoncés à l’article 10 de la directive en matière de protection des données dans le domaine répressif (le traitement est autorisé par le droit; pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique; ou le traitement porte sur des données manifestement rendues publiques par la personne concernée). Dans quelques États membres, les lois de transposition prévoient certains motifs supplémentaires de traitement des données (par exemple, lorsque le traitement de ces données est nécessaire pour prévenir ou empêcher un danger qui menace directement la vie, l’intégrité physique ou les biens des personnes, ou pour protéger la santé ou les intérêts de la personne concernée ou d’une autre personne). Lorsque la loi nationale de protection des données transposant la directive en matière de protection des données dans le domaine répressif ne prévoit pas les garanties nécessaires pour les droits et libertés des personnes concernées (comme c’est le cas dans certains États membres), ces garanties doivent être prévues par les lois sectorielles.
Quelques lois de transposition nationales font référence au consentement en ce qui concerne le traitement des données à caractère personnel, y compris le traitement portant sur des catégories particulières de données à caractère personnel. Il est important de rappeler que, si les États membres ne sont pas empêchés de prévoir dans leur droit national que la personne concernée peut consentir au traitement de ses données à caractère personnel à des fins relevant de la directive en matière de protection des données dans le domaine répressif, ce consentement peut uniquement servir de garantie et ne peut constituer la base juridique de ce traitement. Les discussions sur cette question indiquent qu’il serait utile de disposer de davantage de lignes directrices sur le rôle du consentement dans le contexte du traitement des données à caractère personnel à des fins d’application du droit pénal.
2.2.6Prise de décision automatisée
Toutes les lois de transposition des États membres comportent des dispositions interdisant une décision fondée exclusivement sur un traitement automatisé, sauf si le droit le prévoit. La plupart des lois de transposition des États membres exigent que ces décisions ne soient pas fondées sur des catégories particulières de données à caractère personnel, à moins que des garanties appropriées ne soient prévues. Elles interdisent également tout profilage qui entraîne une discrimination. Toutefois, certaines législations nationales ne renvoient pas à des garanties appropriées pour les droits et libertés de la personne concernée dans les cas où la prise de décision automatisée est autorisée par le droit. Plus précisément, tous les États membres ne prévoient pas le droit d’obtenir une intervention humaine de la part du responsable du traitement, ou n’exigent pas de mesures appropriées pour la sauvegarde des droits et/ou libertés et des intérêts légitimes de la personne concernée.
2.2.7Droits des personnes concernées
Tous les États membres ont choisi de faire usage de la possibilité offerte par la directive en matière de protection des données dans le domaine répressif de limiter le droit d’accès des personnes concernées à leurs données à caractère personnel. La plupart des États membres prévoient également des limitations d’autres droits des personnes concernées. Les lois nationales sur la protection des données transposant la directive en matière de protection des données dans le domaine répressif se contentent souvent de suivre le libellé général de la directive sans préciser davantage les circonstances ou les conditions dans lesquelles les limitations doivent s’appliquer. Dans de tels cas, ces circonstances et conditions doivent être précisées dans la législation sectorielle pour ne pas donner aux responsables du traitement un pouvoir discrétionnaire dans l’application de ces restrictions.
La plupart des États membres satisfont à l’exigence prévue par la directive en matière de protection des données dans le domaine répressif de permettre aux personnes concernées d’exercer leurs droits par l’intermédiaire de l’autorité de contrôle de la protection des données. La plupart des États membres ont utilisé la possibilité de préciser que les droits des personnes concernées doivent être exercés conformément au droit national dans le cadre des enquêtes et procédures pénales nationales.
Les lois de transposition de plusieurs États membres ne reprennent pas toutes les exigences particulières de la directive en matière de protection des données dans le domaine répressif concernant la manière dont les droits des personnes concernées doivent être exercés (par exemple, le format et les moyens de communication des réponses, l’absence de frais).
Une demande de décision préjudicielle - actuellement pendante - a été déposée par un tribunal allemand concernant l’interprétation des limitations du droit d’accès des personnes concernées à leurs données (article 15 de la directive en matière de protection des données dans le domaine répressif à la lumière de l’article 54 de la directive), ainsi que le droit à un recours juridictionnel effectif en vertu de l’article 47 de la Charte et la liberté professionnelle en vertu de l’article 15 de la Charte.
2.2.8Quelques dispositions importantes propres à la directive en matière de protection des données dans le domaine répressif
Certaines dispositions de la directive en matière de protection des données dans le domaine répressif sont propres au contexte de l’application du droit pénal et n’ont pas d’équivalent dans le RGPD.
Catégories de personnes concernées
La directive en matière de protection des données dans le domaine répressif oblige les États membres à exiger d’un responsable du traitement des données qu’il établisse une distinction, le cas échéant et dans la mesure du possible, entre les données de différentes catégories de personnes concernées, et qu’il fournisse des exemples de ces catégories [par exemple, une personne pour laquelle il existe des motifs sérieux de croire qu’elle a commis ou est sur le point de commettre une infraction pénale (un «suspect»)]. Les lois de certains États membres ne précisent pas (dans une certaine mesure ou pas du tout) les catégories énumérées par la directive en matière de protection des données dans le domaine répressif. Lorsqu’elles précisent la catégorie des «suspects», certaines lois nationales n’exigent pas l’existence de «motifs sérieux de croire que les personnes ont commis ou sont sur le point de commettre une infraction pénale». L’arrêt à venir de la CJUE dans l’affaire Ministerstvo na vatreshnite raboti/B.C. précisera l’interprétation de la directive en matière de protection des données dans le domaine répressif en ce qui concerne les catégories de personnes concernées, notamment l’exigence selon laquelle le classement d’une personne concernée comme suspect doit être subordonné à l’existence de «motifs sérieux de croire qu’elle a commis ou est sur le point de commettre une infraction pénale»
.
Distinction entre les catégories de données à caractère personnel et vérification de leur qualité
Les États membres doivent prévoir que les données à caractère personnel fondées sur des faits sont, dans la mesure du possible, distinguées de celles fondées sur des appréciations personnelles. Ils doivent également prendre des mesures pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour ne soient pas transmises ou mises à disposition. Lorsque des données incorrectes ont été transmises, les destinataires doivent en être informés sans retard et, dans ce cas, les données à caractère personnel doivent être rectifiées, effacées ou leur traitement limité. Tandis que la plupart des États membres ont transposé cette exigence, certaines des mesures particulières requises ne sont pas explicitement prévues par plusieurs lois nationales de transposition.
Journalisation
Au total, 12 États membres ont utilisé la possibilité de reporter à mai 2023 la mise en conformité de leur système de traitement automatisé avec les obligations en matière de journalisation.
La plupart des États membres prévoient que des journaux sont établis pour les opérations de traitement dans les systèmes de traitement automatisé. Certaines lois nationales n’exigent pas que tous les types d’opérations apparaissent dans le journal. La directive en matière de protection des données dans le domaine répressif définit les types d’informations que les journaux doivent au moins contenir. Certaines lois nationales n’ont pas inclus tous les types d’information requis (par exemple, le motif de la consultation ou la divulgation de données à caractère personnel).
3Premiers enseignements tirés de l’application et du fonctionnement de la directive en matière de protection des données dans le domaine répressif
3.1Réclamations et effet positif sur les droits des personnes concernées
La directive en matière de protection des données dans le domaine répressif garantit la protection des droits et libertés fondamentaux des personnes physiques, et en particulier, le droit à la protection des données. Elle établit un cadre global concernant les droits de la personne concernée et la manière dont ces droits peuvent être exercés, notamment son droit à l’information, d’accès à ses données à caractère personnel, de rectification ou d’effacement, ainsi que la limitation du traitement. La directive en matière de protection des données dans le domaine répressif a permis aux personnes concernées de mieux comprendre leurs droits et la manière dont elles peuvent les exercer, ce qui se traduit par une augmentation du nombre de demandes adressées aux autorités compétentes. L’expérience pratique a montré que, parmi les droits conférés aux personnes concernées par la directive en matière de protection des données dans le domaine répressif, ce sont les droits d’accéder aux données à caractère personnel et de les effacer qui sont le plus fréquemment invoqués auprès des autorités compétentes
.
La directive en matière de protection des données dans le domaine répressif permet de limiter certains droits (le droit d’accès et le droit de rectification ou d’effacement) et les informations que le responsable du traitement doit fournir à la personne concernée en ce qui concerne les données à caractère personnel qui ont été traitées. Les personnes concernées peuvent demander aux autorités de contrôle de la protection des données d’examiner la limitation du droit en question par une autorité compétente ou leur demander de vérifier si la limitation a été effectuée conformément à la directive en matière de protection des données dans le domaine répressif (exercice indirect du droit)
. Environ la moitié des autorités de contrôle de la protection des données indiquent avoir reçu une telle demande. L’expérience pratique montre que le nombre de demandes reçues peut varier considérablement (par exemple, une seule demande de ce type a été reçue en Croatie, tandis que plus de 1 500 ont été reçues en France). Bien que les autorités de contrôle de la protection des données aient déterminé, à la suite d’une vérification ou d’un examen de ces réclamations, que la majorité des demandes étaient irrecevables, dans plusieurs cas, le responsable du traitement des données a reçu l’ordre soit de rectifier ou d’effacer les données à caractère personnel, soit de limiter le traitement des données à caractère personnel, garantissant ainsi la bonne application des limitations.
La directive en matière de protection des données dans le domaine répressif prévoit qu’un organisme, une organisation ou une association à but non lucratif peut introduire une réclamation au nom d’une personne concernée. Toutefois, il semble que cette possibilité soit sous-utilisée (seules quatre autorités de contrôle de la protection des données ont indiqué avoir reçu de telles réclamations de la part d’un organisme représentatif). De même, les organisations de la société civile n’ont signalé qu’un faible nombre de demandes d’introduction d’une réclamation de ce type.
Les personnes physiques utilisent également de plus en plus leur droit d’introduire des réclamations auprès des autorités de contrôle de la protection des données, notamment dans les cas où les autorités compétentes limitent l’exercice des droits des personnes concernées. Plus d’un tiers des autorités de contrôle de la protection des données ont signalé une augmentation du nombre de réclamations reçues à la suite de la transposition de la directive en matière de protection des données dans le domaine répressif dans leur État membre
. Certaines des réclamations les plus fréquentes reçues par les autorités de contrôle de la protection des données concernaient la limitation du droit d’accès
, le droit de rectification ou d’effacement
, et le droit à l’information et les limitations y afférentes
. Elles ont été suivies de réclamations relatives au principe de limitation de la conservation, qui exige des autorités compétentes qu’elles ne conservent pas les données à caractère personnel plus longtemps que nécessaire, et au droit à l’information.
3.2Sensibilisation accrue des autorités compétentes à la protection des données
Les États membres indiquent que l’introduction de la directive en matière de protection des données dans le domaine répressif a eu et continue d’avoir un effet majeur sur la sensibilisation des autorités compétentes à l’importance de la protection des données. Plusieurs autorités de contrôle de la protection des données ont considéré que le principal effet de la directive en matière de protection des données dans le domaine répressif avait été d’accroître la sensibilisation et l’attention aux questions de protection des données et aux droits des personnes concernées
. Cela s’est également traduit par des échanges entre les autorités de contrôle de la protection des données et les autorités compétentes sur les droits des personnes concernées et les modalités d’exercice de ces droits
. Certaines autorités compétentes ont indiqué qu’en conséquence, elles avaient consacré davantage de ressources à la protection des données
. Elles ont notamment investi dans l’intégration du principe de respect de la vie privée dès la conception et par défaut dans leurs systèmes informatiques, fixé des périodes de conservation des données, appliqué le principe de minimisation des données et signalé les violations. Ainsi, la sécurité globale des données traitées s’est améliorée
.
Les activités de formation et de sensibilisation menées par les autorités de contrôle de la protection des données contribuent également à la bonne mise en œuvre de la directive en matière de protection des données dans le domaine répressif, et les autorités de contrôle sont chargées de sensibiliser les responsables du traitement et les sous-traitants aux obligations qui leur incombent en vertu de la directive.
De nombreuses autorités de contrôle de la protection des données accomplissent leur mission de sensibilisation en publiant des lignes directrices. Parmi les sujets couverts par les différentes autorités de contrôle de la protection des données, on peut citer: aider le pouvoir judiciaire, les bureaux du procureur et les autorités de police à respecter le principe de responsabilité; échanger des données à caractère personnel avec la police; désigner un délégué à la protection des données; effectuer une analyse d’impact relative à la protection des données; traiter les données dans des domaines liés à la justice pénale tels que la criminalité organisée et le terrorisme; tenir des registres des activités de traitement et établir des journaux; effectuer une vidéosurveillance; fournir des informations aux personnes concernées; notifier les violations de données, les obligations des responsables du traitement et l’exercice des droits par les personnes physiques.
Cependant, huit autorités de contrôle de la protection des données n’ont pas encore publié d’orientations et/ou d’outils pratiques pour aider les autorités compétentes et les sous-traitants à s’acquitter de leurs obligations.
En outre, 12 autorités de contrôle de la protection des données n’ont pas dispensé de formation ni mené d’activités de sensibilisation à l’intention des autorités compétentes ou des sous-traitants dans le cadre de la directive en matière de protection des données dans le domaine répressif. Parmi les autorités de contrôle de la protection des données qui ont mené de telles activités, les sujets les plus fréquents étaient les suivants: le traitement des données par la police, les bureaux du procureur, les autorités judiciaires et correctionnelles; la définition des domaines d’application respectifs du RGPD et de la directive en matière de protection des données dans le domaine répressif; l’utilisation des données à caractère personnel provenant des réseaux sociaux; le traitement des données dans les fichiers de police; les techniques de vidéosurveillance et les mégadonnées; le traitement des droits des personnes concernées; et le traitement des données à caractère personnel des prisonniers
.
Une autre innovation de la directive en matière de protection des données dans le domaine répressif est l’obligation, pour les responsables du traitement, de désigner un délégué à la protection des données (DPD) dont les missions consistent notamment à informer et conseiller sur les exigences en matière de protection des données, à contrôler le respect de la directive en matière de protection des données dans le domaine répressif, à dispenser des conseils sur l’analyse d’impact relative à la protection des données et à vérifier l’exécution de celle-ci. Cela a permis aux autorités compétentes de mieux connaître leurs obligations en matière de protection des données et a eu un effet positif sur les autorités compétentes en ce qui concerne leur respect des règles en matière de protection des données, comme l’a également reconnu le Conseil
.
Il est important d’investir pour consolider et accroître l’expertise et les connaissances des délégués à la protection des données afin d’aider les autorités compétentes à appliquer la directive en matière de protection des données dans le domaine répressif de manière cohérente. La Commission a donc créé et anime le réseau des délégués à la protection des données des autorités compétentes, des agences chargées de la justice et des affaires intérieures et du Parquet européen. Ce réseau est une initiative permanente qui se concentre sur l’application de la directive en matière de protection des données dans le domaine répressif par les autorités compétentes des États membres. Il vise à créer une plateforme de coopération et d’échange d’expertise entre les DPD des États membres. Le réseau d’experts en protection des données d’Europol (EDEN) et les réseaux de DPD nationaux des autorités compétentes sont des initiatives importantes qui aident les DPD des autorités compétentes à favoriser l’échange de bonnes pratiques et d’informations concernant l’application de la directive en matière de protection des données dans le domaine répressif.
3.3Amélioration de la sécurité des données mais différences concernant les notifications de violations des données
La directive en matière de protection des données dans le domaine répressif a amélioré la sécurité des données à caractère personnel en obligeant les autorités compétentes à prendre des mesures pour atteindre certains objectifs de sécurité. Par exemple, elle impose aux autorités compétentes d’effectuer des analyses d’impact relatives à la protection des données lorsqu’une activité de traitement des données est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Les analyses d’impact consistent notamment à déterminer les risques et les mesures pour les atténuer. Cette exigence, ainsi que l'obligation de respecter le principe de la protection des données dès la conception et par défaut et les exigences en matière de notification des violations de données ont permis d’améliorer la sécurité du traitement des données à caractère personnel
.
Le Conseil a également souligné cet aspect, indiquant que la directive en matière de protection des données dans le domaine répressif avait amélioré le niveau de sécurité des données en introduisant des plans de sécurité, en mettant à jour les systèmes informatiques et les mesures organisationnelles, au moyen d’analyses d’impact relatives à la protection des données et en obligeant les autorités compétentes à établir des journaux pour des opérations de traitement particulières.
La directive en matière de protection des données dans le domaine répressif définit les circonstances dans lesquelles les responsables du traitement doivent notifier à leur autorité de contrôle de la protection des données et à la personne concernée une violation de données à caractère personnel. Malgré cette obligation, le nombre de violations de données notifiées aux autorités de contrôle de la protection des données depuis l’introduction de la directive en matière de protection des données dans le domaine répressif varie considérablement
. Six autorités de contrôle de la protection des données ont indiqué n’avoir reçu aucune notification de violations de données
et plusieurs autres ont indiqué en avoir reçu très peu. L’autorité italienne, par exemple, n’a signalé que trois notifications de violations de données et l’autorité française en a signalé huit, mais l’autorité néerlandaise en a rapporté plus de 500.
Cette différence dans le nombre de notifications de violations de données suggère (après prise en compte de facteurs tels que la taille de la population) qu’il semble exister des pratiques divergentes entre les autorités compétentes des États membres concernant ce qui est considéré comme une violation et le moment où elle doit être signalée à une autorité de contrôle de la protection des données. La Commission l’a également fait observer dans son rapport sur le RGPD. Le comité européen de la protection des données a récemment publié des lignes directrices sur les violations au titre du RGPD
. Ces lignes directrices, bien qu’elles ne soient pas directement applicables, sont également pertinentes pour les violations de données au titre de la directive en matière de protection des données dans le domaine répressif. Elles devraient donc contribuer à une approche plus uniforme du traitement des violations de données au titre de la directive en matière de protection des données dans le domaine répressif dans les États membres.
3.4Contrôle par les autorités de contrôle de la protection des données
3.4.1Ressources des autorités de contrôle de la protection des données
Doter chaque autorité de protection des données des ressources humaines, techniques et financières, des locaux et des infrastructures nécessaires est une condition préalable à la bonne exécution de leurs missions et à l’exercice de leurs pouvoirs, et donc une condition essentielle de leur indépendance. La Commission a toujours insisté sur le fait que les États membres sont tenus d’allouer des ressources humaines, financières et techniques suffisantes aux autorités de contrôle de la protection des données. Le Conseil a également invité expressément les États membres à affecter des ressources humaines, techniques et financières suffisantes aux autorités de contrôle de la protection des données.
Toutefois, l’augmentation globale du personnel des autorités de contrôle de la protection des données ces dernières années ne semble pas concerner les missions liées à la directive en matière de protection des données dans le domaine répressif. Le nombre de membres du personnel travaillant sur la directive en matière de protection des données dans le domaine répressif est resté le même ou a même diminué dans la moitié des autorités de contrôle de la protection des données. Les augmentations ont été très modestes, représentant moins de deux personnes en équivalents temps plein (ci-après «ETP») en moyenne. Dans près de la moitié des autorités de contrôle de la protection des données (y compris celles dont le nombre total de membres du personnel est supérieur à 100 ETP), entre moins de 1 % et 7 % de l’ensemble du personnel travaillent sur la directive en matière de protection des données dans le domaine répressif. En chiffres absolus, environ la moitié des autorités de contrôle de la protection des données consacrent entre 1 et 4 ETP aux missions relevant de la directive en matière de protection des données dans le domaine répressif, et huit autorités de contrôle de la protection des données consacrent entre 7 et 15 ETP à celles-ci. Cependant, une autorité de contrôle de la protection des données dispose de 53 ETP travaillant sur la directive en matière de protection des données dans le domaine répressif. De même, le secrétariat du comité européen de la protection des données a consacré moins de 1,5 ETP aux questions entièrement liées à la directive en matière de protection des données dans le domaine répressif.
Cette situation n’est pas satisfaisante, même si dix autorités de contrôle de la protection des données ont indiqué qu’elles disposaient de ressources financières, humaines et techniques suffisantes. En revanche, 16 autorités de contrôle de la protection des données ont estimé que leurs ressources étaient insuffisantes. Parmi ces autorités, certaines ont indiqué que cela avait une incidence négative sur leurs enquêtes d’initiative, leur traitement des réclamations, le contrôle des systèmes informatiques à grande échelle (SIS, VIS) et l’émission d’avis d'initiative. En effet, en raison des caractéristiques particulières du secteur, l’application effective de la directive en matière de protection des données dans le domaine répressif nécessite un contrôle systématique d’activités de traitement qui sont souvent complexes, et il ne suffit pas de se fier aux réclamations individuelles (qui sont beaucoup moins nombreuses que pour le RGPD).
En outre, les autorités de contrôle de la protection des données ont souligné le manque d’expertise informatique pour faire face à la complexité croissante des technologies informatiques utilisées dans le domaine répressif.
3.4.2Utilisation des pouvoirs
Utilisation du pouvoir d’adopter des mesures correctrices
Au total, 19 autorités de contrôle de la protection des données ont appliqué leurs pouvoirs d’enquête, soit de leur propre initiative, soit sur la base d’une réclamation. Les autorités de contrôle de la protection des données n’ont signalé des difficultés que dans un très faible nombre de cas (par exemple, lorsqu’un responsable du traitement n’a pas fourni toutes les informations pertinentes ou a refusé l’accès aux informations).
Les 19 mêmes autorités de contrôle de la protection des données ont également appliqué leur pouvoir d’adopter des mesures correctrices. Le pouvoir le plus fréquemment utilisé, et de loin, est celui d’ordonner de mettre le traitement en conformité avec la loi, notamment d’ordonner la rectification ou l’effacement de données à caractère personnel ou la limitation de leur traitement. Les autorités de contrôle de la protection des données ont utilisé ce pouvoir dans 114 cas. Le fait que ce pouvoir d’ordonner une limitation temporaire ou définitive (y compris une interdiction) du traitement n’ait été utilisé que dans quatre cas montre que les autorités de contrôle de la protection des données ont utilisé ces pouvoirs avec prudence.
Utilisation du pouvoir d’émettre des avis consultatifs
Le fait de procéder systématiquement à des consultations préalables et de demander l’avis des autorités de contrôle de la protection des données sur les projets de mesures législatives et administratives constitue un moyen efficace de garantir un niveau élevé de protection du droit à la protection des données à caractère personnel et de diminuer le nombre de réclamations ultérieures. La consultation préalable des autorités de contrôle de la protection des données revêt une importance particulière lors de l’utilisation de nouvelles technologies qui peuvent avoir une incidence significative sur les droits fondamentaux.
La moitié des autorités de contrôle de la protection des données ont indiqué qu’elles avaient été consultées sur les analyses d’impact relatives à la protection des données. Le nombre de consultations préalables varie d’un État membre à l’autre. Certaines autorités n’ont été consultées qu’une seule fois, tandis qu’une autre autorité a reçu 59 consultations préalables. Dans la plupart de ces cas, les autorités de contrôle de la protection des données ont fourni des conseils écrits et, dans certains cas, ont fait usage de leurs pouvoirs d’adopter des mesures correctrices à l’égard du traitement – en particulier, elles ont émis des avertissements ou ordonné des mesures visant à mettre le traitement des données en conformité avec la loi. Dans un cas, l’autorité de contrôle de la protection des données a émis un avis négatif qui semble avoir eu le même effet qu’une interdiction de traitement.
En outre, il semble que les autorités de contrôle de la protection des données traitent également les demandes d’avis consultatif, en dehors de la procédure de consultation préalable. Le type de question le plus courant pour lequel les autorités compétentes ont demandé conseil aux autorités de contrôle de la protection des données concernait des types de traitement particuliers (notamment l’utilisation de nouvelles technologies, de nouveaux mécanismes ou de nouvelles procédures, suivie de près par des mesures de sécurité appropriées, le traitement de catégories particulières de données à caractère personnel, la détermination de la base juridique du traitement, le principe de limitation de la conservation et les délais appropriés).
En outre, 22 autorités de contrôle de la protection des données ont émis des avis à l’intention de leurs parlements et gouvernements nationaux sur les mesures législatives et administratives relatives au traitement des données à caractère personnel. Plusieurs ont indiqué être consultées de manière occasionnelle.
3.4.3Contrôle juridictionnel des actions des autorités de contrôle de la protection des données
Près de la moitié des autorités de contrôle de la protection des données ont indiqué que, dans un faible nombre de cas, elles ont fait l’objet de procédures judiciaires concernant leurs décisions ou leur inaction. Les procédures ont été engagées principalement par les personnes concernées et, dans quelques cas, par les autorités compétentes. Plusieurs affaires ont été déclarées irrecevables par la justice ou ont été retirées par les parties requérantes. La justice a confirmé la décision de l’autorité de contrôle de la protection des données dans la plupart des cas restants, mais l’a annulée dans certains cas (et d’autres affaires étaient encore pendantes). Le faible nombre de jugements rendus à ce jour ne permet pas encore de déceler une tendance claire.
3.4.4Lignes directrices du comité européen de la protection des données
Il est essentiel d’assurer un niveau élevé et homogène de protection parmi les États membres afin de garantir l’efficacité de la coopération judiciaire en matière pénale et de la coopération policière. La directive en matière de protection des données dans le domaine répressif prévoit que le comité européen de la protection des données publie des lignes directrices, des recommandations et des bonnes pratiques (de sa propre initiative ou à la demande de la Commission) afin de garantir que les États membres appliquent la directive de manière cohérente. Le comité européen de la protection des données a publié des orientations spécifiques à la directive en matière de protection des données dans le domaine répressif, pertinentes pour le chapitre V (transferts internationaux); des lignes directrices sur l’utilisation des technologies de reconnaissance faciale; et (en son ancienne qualité de groupe de travail «Article 29») un avis sur certaines questions clés de la directive en matière de protection des données dans le domaine répressif.
De nombreuses lignes directrices du comité européen de la protection des données sur le RGPD sont également pertinentes pour la directive en matière de protection des données dans le domaine répressif dans la mesure où elles reposent sur des concepts ou des technologies communs. Ces lignes directrices sont notamment celles sur la notion de responsable du traitement et de sous-traitant, sur les droits des personnes concernées, sur la notification de violations de données à caractère personnel, sur l’analyse d’impact relative à la protection des données, sur la protection des données dès la conception et par défaut et sur la prise de décision individuelle automatisée.
La publication de lignes directrices complètes et pratiques nécessite un travail et des ressources considérables, mais les orientations sont essentielles (comme l’a également fait observer le Conseil). Il est donc très positif que le comité européen de la protection des données ait indiqué qu’il fournirait bientôt des orientations supplémentaires, notamment sur la notion de pouvoir effectif d’enquête et de pouvoir effectif d’adopter des mesures correctrices dont bénéficient les autorités de contrôle de la protection des données, et sur les transferts internationaux soumis à des garanties appropriées.
Les lignes directrices du comité européen de la protection des données peuvent également réduire la charge de travail des autorités de contrôle de la protection des données (par exemple, des missions telles que conseiller les responsables du traitement des données ou traiter les réclamations). Par exemple, plusieurs des questions abordées dans l’avis du groupe de travail «Article 29» sur certaines questions clés de la directive en matière de protection des données dans le domaine répressif (telles que les délais appropriés, la base juridique du traitement, les conditions de traitement des catégories particulières de données) figurent également parmi les questions les plus fréquentes sur lesquelles les autorités compétentes ont demandé conseil aux autorités de contrôle de la protection des données.
3.4.5Assistance mutuelle
Afin de garantir une application cohérente de la directive en matière de protection des données dans le domaine répressif, les autorités de contrôle de la protection des données sont tenues de se prêter mutuellement assistance. L’assistance mutuelle concerne notamment les demandes d’information et les demandes de consultation, les inspections et les enquêtes. Cependant, l’assistance mutuelle a été très rarement utilisée jusqu’à présent. Seules six autorités de contrôle de la protection des données l’ont utilisée, principalement en réponse à des demandes d’information reçues d’autres autorités de contrôle de la protection des données. La majorité des autorités de contrôle de la protection des données ont indiqué n’avoir reçu qu’une seule demande d’information. Toutes ces autorités de contrôle de la protection des données ont indiqué avoir donné suite à la demande reçue. L’échange d’assistance mutuelle volontaire, qui n’est pas assorti d’un délai légal ni d’une obligation stricte de réponse, n’a pas non plus été utilisé. Le comité européen de la protection des données a indiqué qu’il publierait des lignes directrices sur le cadre d’assistance mutuelle au titre du RGPD et de la directive en matière de protection des données dans le domaine répressif.
3.5Instrument flexible pour les transferts internationaux de données
Le chapitre V de la directive en matière de protection des données dans le domaine répressif porte sur les transferts de données à caractère personnel vers les autorités compétentes de pays tiers et à des organisations internationales. Ce chapitre garantit essentiellement la continuité de la protection lorsque des données à caractère personnel sont transférées d’un État membre vers un pays tiers ou à une organisation internationale à des fins répressives. Comme indiqué ci-dessus, cette continuité de la protection est une condition importante pour une coopération en matière répressive rapide, efficace et juridiquement sûre entre partenaires de confiance.
En particulier, en vertu des règles pertinentes de la directive en matière de protection des données dans le domaine répressif
, les transferts internationaux entre autorités compétentes au sens de la directive doivent être fondés sur l’un des différents outils de transfert énoncés aux articles 36 à 38 de la directive (lorsque les données proviennent d’un autre État membre, le transfert requiert également l’autorisation préalable de cet État membre). Ces outils sont notamment des décisions d’adéquation, des transferts fondés sur des garanties appropriées et le recours à des dérogations dans des situations particulières. L’article 39 de la directive en matière de protection des données dans le domaine répressif autorise également les transferts directs à des destinataires qui ne sont pas des services répressifs pénaux, qui sont établis dans des pays tiers, dans certains cas particuliers, et sous réserve de plusieurs conditions.
3.5.1Décisions d’adéquation
La Commission a accéléré ses travaux afin d’exploiter pleinement le potentiel des outils disponibles dans le cadre de la directive en matière de protection des données dans le domaine répressif. Elle a notamment adopté, pour la première fois, une «décision d’adéquation» couvrant les activités de traitement des données à des fins répressives en vertu de l’article 36 de la directive en matière de protection des données dans le domaine répressif, avec le Royaume-Uni en juin 2021
. Cette décision d’adéquation permet le flux sûr et libre des données à caractère personnel vers les autorités compétentes du pays tiers concerné, sans qu’il soit nécessaire de prévoir des garanties supplémentaires ou une autorisation particulière (sauf si un autre État membre auprès duquel les données ont été collectées doit autoriser le transfert
). La décision d’adéquation pour le Royaume-Uni de juin 2021 est un fondement essentiel de la coopération policière et judiciaire post-Brexit, qui, selon l’accord de commerce et de coopération entre l’Union européenne et le Royaume-Uni, repose sur «l’engagement pris de longue date par les Parties d’assurer un niveau élevé de protection des données à caractère personnel»
. Conformément à l’article 36, paragraphe 4, de la directive en matière de protection des données dans le domaine répressif, la Commission suit toute évolution du cadre juridique du Royaume-Uni qui pourrait porter atteinte à cette décision d’adéquation. Cette décision d’adéquation avec le Royaume-Uni devrait être applicable pour une durée de quatre ans à compter de son entrée en vigueur, pouvant être étendue, en principe, pour une durée supplémentaire de quatre ans si la Commission confirme que le Royaume-Uni assure toujours un niveau de protection adéquat
.
En outre, le comité européen de la protection des données a également contribué à l’élaboration de cet instrument en définissant plus clairement la norme juridique au moyen de conseils sur les éléments qui doivent être pris en considération lors de l’évaluation de l’adéquation dans le domaine répressif, avec la publication de ses critères de référence pour l’adéquation dans le cadre de la directive en matière de protection des données dans le domaine répressif
. En particulier, le pays tiers doit garantir des droits individuels opposables, un recours juridictionnel effectif et un contrôle indépendant.
La Commission encourage activement la possibilité d’établir de tels constats d’adéquation avec d’autres partenaires internationaux clés, plus particulièrement avec les pays avec lesquels une coopération étroite et rapide est requise dans la lutte contre la criminalité et le terrorisme, et avec lesquels d’importants échanges de données à caractère personnel existent déjà. Si aucune autre décision d’adéquation n’a été adoptée jusqu’à présent, c’est principalement parce que cet instrument n’a été introduit que récemment. En outre, contrairement au traitement des données par les opérateurs commerciaux, la convergence mondiale des règles en matière de protection des données dans le domaine de l’application du droit pénal commence tout juste à se développer (sous l’impulsion, par exemple, d’accords multilatéraux tels que la Convention 108 modernisée du Conseil de l’Europe ou le deuxième protocole additionnel à la Convention de Budapest sur la cybercriminalité). Néanmoins, l’expérience acquise lors de l’adoption de la décision d’adéquation avec le Royaume-Uni contribuera à ouvrir la voie à des initiatives similaires dans les années à venir. Dans le cadre de sa stratégie internationale, la Commission envisagera d’autres candidats possibles pour de futures décisions d’adéquation au titre de la directive en matière de protection des données dans le domaine répressif et le fera en contact direct avec les autres institutions et organes de l’Union concernés. À cette fin, et conformément au considérant 68 de la directive en matière de protection des données dans le domaine répressif, la Commission accordera une attention particulière aux engagements internationaux des pays évalués en matière de protection des données à caractère personnel, notamment leur adhésion aux arrangements multilatéraux susmentionnés ou à d’autres instruments répressifs offrant des garanties appropriées en matière de protection des données.
3.5.2Garanties appropriées
La directive en matière de protection des données dans le domaine répressif contient d’autres instruments de transfert en plus de la solution globale que constitue une décision d’adéquation. La flexibilité de cette «boîte à outils» se retrouve dans l’article 37 de la directive en matière de protection des données dans le domaine répressif, qui réglemente les transferts de données fondés sur des «garanties appropriées» au regard de la protection des données à caractère personnel. Ces garanties appropriées peuvent être fournies soit par un instrument juridiquement contraignant, soit lorsque le responsable du traitement, sur la base d’une évaluation de toutes les circonstances entourant le transfert, estime qu’il existe des garanties appropriées (ce que l’on appelle l’«auto-évaluation» des transferts).
Au cours des premières années d’application de la directive en matière de protection des données dans le domaine répressif, la Commission a notamment travaillé à l’élaboration d’instruments juridiques contraignants sous la forme d’accords internationaux prévoyant des garanties appropriées. Ces accords jouent un rôle important tant dans le contexte de la coopération «traditionnelle» (c’est-à-dire la coopération entre les autorités compétentes) que dans celui d’autres formes de coopération en matière répressive (c’est-à-dire la coopération impliquant des tiers tels que des entreprises privées). Ils peuvent également servir de base aux transferts de données effectués par Europol et Eurojust en vertu de leurs cadres juridiques respectifs, dont les règles relatives aux transferts internationaux sont très semblables à celles de la directive en matière de protection des données dans le domaine répressif.
En ce qui concerne les formes traditionnelles de coopération en matière répressive, la Commission réexamine actuellement les accords internationaux adoptés avant l’entrée en vigueur de la directive en matière de protection des données dans le domaine répressif afin d’en assurer la cohérence avec le régime modernisé de protection des données de l’Union
.
Premièrement, la Commission évalue les dispositions relatives à la protection des données contenues dans les accords de coopération existants d’Europol
avec des pays tiers conclus avant le 1er mai 2017, comme le prévoit le règlement (UE) 2016/794 relatif à l’Agence de l’Union européenne pour la coopération des services répressifs (ci-après le «règlement Europol»)
. Conformément à l’article 9 du protocole nº 36 du traité sur l’Union européenne et du TFUE (sur les dispositions transitoires), les effets juridiques de tels accords sont préservés aussi longtemps que ces accords n’auront pas été abrogés, annulés ou modifiés
. La Commission informera le Parlement européen et le Conseil du résultat de cette évaluation et présentera, le cas échéant, au Conseil une recommandation de décision autorisant l’ouverture de négociations en vue de modifier le ou les accords respectifs, conformément à l’article 218 du TFUE. Il s’agit d’une tâche complexe qui implique l’évaluation de 18 accords et qui a été retardée par les perturbations causées par la pandémie de COVID-19. La Commission prévoit d’achever son évaluation au cours du second semestre de 2022.
La cohérence de tous les mécanismes de coopération en matière répressive avec les règles de la directive en matière de protection des données dans le domaine répressif est un principe directeur que la Commission suit également lorsqu’elle négocie de nouveaux accords pour le transfert de données à caractère personnel par Europol vers des pays tiers ou à des organisations internationales. Depuis l’entrée en vigueur de l’actuel règlement Europol en 2017, l’article 218 du TFUE constitue la base juridique de ces accords internationaux prévoyant des garanties adéquates. En 2018 et 2019, le Conseil a adopté neuf mandats pour que la Commission entame des négociations avec des pays tiers au nom de l’Union. La Commission a également été autorisée à entamer des négociations sur un accord de coopération avec Interpol, qui couvrira l’échange de données avec plusieurs organes et organismes de l’Union. Dans tous ces cas, le Conseil a adressé des directives de négociation à la Commission afin de s’assurer que les garanties nécessaires à la protection des données à caractère personnel et des autres droits et libertés fondamentaux des personnes physiques seront incluses. Sur cette base, la Commission a déjà conclu les négociations avec la Nouvelle-Zélande, qui ont abouti à la signature d’un accord de coopération le 30 juin 2022. En outre, des progrès ont été accomplis dans les négociations avec Israël. En ce qui concerne la Turquie, les négociations en sont à un stade avancé, mais ne pourront être conclues tant que la Turquie n’aura pas adopté les réformes nécessaires dans sa législation relative à la protection des données. Des autorisations similaires ont été accordées en mars 2021 pour la négociation d’accords de coopération permettant l’échange de données par Eurojust avec 13 pays tiers.
Deuxièmement, la Commission effectue le premier réexamen conjoint de l’accord entre les États-Unis d’Amérique et l’Union européenne sur la protection des informations à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière (ci-après l’«accord-cadre»). L’accord-cadre, qui est entré en vigueur en février 2017, contient un ensemble complet et harmonisé de règles en matière de protection des données qui s’appliquent à tous les échanges transatlantiques entre les autorités compétentes. Il complète les accords existants UE/États-Unis et États membres de l’Union/États-Unis entre les services répressifs, établit une norme de protection élevée pour les futurs accords dans ce domaine et renforce la coopération en matière répressive en facilitant l’échange d’informations. Le réexamen conjoint vise à évaluer la mise en œuvre effective de l’accord-cadre, en particulier en ce qui concerne les dispositions relatives au transfert ultérieur, aux droits individuels et au recours juridictionnel. Le calendrier du réexamen conjoint a été affecté par les perturbations liées à la pandémie de COVID-19, ainsi que par les négociations parallèles sur le deuxième protocole additionnel à la Convention de Budapest du Conseil de l’Europe sur la cybercriminalité
. La Commission prévoit qu’il sera achevé au cours du second semestre de 2022.
Premier accord international bilatéral assorti d’un catalogue complet des droits et des obligations en matière de protection des données, l’accord-cadre constitue un point de référence pour négocier des accords-cadres similaires avec d’importants services répressifs partenaires. Ce faisant, la Commission tiendra également compte des évolutions pertinentes, notamment des orientations du comité européen de la protection des données, de la jurisprudence de la CJUE et du résultat des négociations internationales sur les garanties en matière de protection des données dans ce domaine (comme, par exemple, le deuxième protocole additionnel à la Convention de Budapest sur la cybercriminalité ou l’accord Europol avec la Nouvelle-Zélande).
Troisièmement, la Commission a désigné l’accord entre l’Union européenne et le Japon relatif à l’entraide judiciaire en matière pénale (le TEJ UE-Japon)
comme un acte de l’Union réglementant le traitement des données (transferts) à des fins d’application du droit pénal qui doit être modifié pour fournir des garanties appropriées en matière de protection des données conformément à la directive en matière de protection des données dans le domaine répressif. À la suite de l’adoption par le Conseil d’une décision autorisant l’ouverture de négociations visant à modifier le TEJ UE-Japon, la Commission continue de nouer des contacts avec les autorités japonaises en vue d’entamer les négociations dans les meilleurs délais.
En outre, d’autres formes de coopération adaptées aux défis et aux besoins spécifiques des enquêtes pénales dans l’économie numérique actuelle sont désormais également de plus en plus utilisées. Il s’agit principalement de la coopération renforcée dans le domaine de la cybercriminalité et pour la collecte de preuves sous forme électronique concernant des infractions pénales. Cette coopération, y compris la coopération directe avec des parties privées pour l’accès aux preuves électroniques.
La Commission a également établi des contacts avec des partenaires internationaux en vue de garantir que ces autres formes (importantes) de coopération puissent avoir lieu sur la base de garanties appropriées en matière de protection des données.
Premièrement, la Commission a représenté l’Union lors des négociations
, dans le cadre du Conseil de l’Europe, sur un deuxième protocole additionnel à la Convention de Budapest sur la cybercriminalité
. Le protocole, qui a été approuvé par le Comité des ministres du Conseil de l’Europe le 17 novembre 2021, contient des garanties solides pour la protection des droits fondamentaux, notamment un article
contenant des dispositions détaillées sur la protection des données à caractère personnel transférées en vertu du protocole. Ces dispositions couvrent l’ensemble des principes, des droits et des obligations essentiels en matière de protection des données reconnus par le droit de l’Union. Ces garanties sont complétées par une disposition de suivi et par la possibilité de suspendre les transferts en cas de violation systématique ou substantielle des garanties contenues dans le protocole, par exemple, l’absence de recours juridictionnels effectifs. Par ces dispositions, le protocole fournit des garanties appropriées, conformément aux exigences de l’article 37, paragraphe 1, point a), de la directive en matière de protection des données dans le domaine répressif
. Il s’agit d’une réalisation importante, compte tenu de la diversité des membres de la Convention de Budapest, qui compte actuellement 66 États parties représentant différents contextes et traditions juridiques. Il permettra aux autorités compétentes des États membres de bénéficier d’une coopération transfrontière efficace dans la lutte contre la cybercriminalité, tout en garantissant le respect des valeurs de l’Union telles qu’elles sont énoncées dans la Charte des droits fondamentaux de l’Union, les traités de l’Union et le droit dérivé de l’Union. Étant donné le grand nombre de parties à la Convention de Budapest, qui comprend actuellement des pays du monde entier, le protocole contribuera également à promouvoir des normes élevées de protection des données pour le traitement des données dans le domaine de l’application du droit pénal au niveau mondial. Le protocole a été ouvert à la signature le 12 mai 2022. Au total, 22 parties à la Convention de Budapest (dont 13 États membres de l’Union) l’ont déjà signé.
Deuxièmement, la Commission a entamé des négociations en vue de conclure un accord bilatéral avec les États-Unis sur l’accès transfrontière aux preuves électroniques à des fins de coopération judiciaire en matière pénale. Cet accord vise à couvrir les preuves électroniques sous la forme de données à la fois à caractère personnel et non personnel, notamment les données relatives au trafic et au contenu. Il est important de noter que les négociations visent également à inclure des garanties supplémentaires en matière de protection des données qui viendraient compléter celles de l’accord-cadre en tenant compte, notamment, de la sensibilité des catégories de données concernées ainsi que des exigences du transfert de preuves électroniques directement par des prestataires de services. L’avancement de ces négociations dépendra en grande partie de l’évolution du processus législatif en cours sur le train de mesures concernant les preuves électroniques de l’Union
.
Ces diverses initiatives de la Commission visant à élaborer des instruments internationaux facilitant la coopération en matière répressive avec des partenaires internationaux tout en fournissant des garanties appropriées en matière de protection des données ont été soutenues par les travaux du comité européen de la protection des données et du CEPD. Il s’agit notamment de la déclaration du comité européen de la protection des données sur le projet de deuxième protocole additionnel à la Convention de Budapest
et des avis du CEPD sur les projets de mandats de négociation d’accords internationaux au titre de l’article 218 TFUE qui permettraient à Europol et Eurojust d’échanger des données à caractère personnel avec des pays tiers ou des organisations internationales
. Le comité européen de la protection des données a également publié une déclaration invitant les États membres à évaluer et, si nécessaire, à revoir les accords internationaux impliquant des transferts internationaux de données à caractère personnel
. Cette déclaration concerne les accords qui ont été conclus avant le 6 mai 2016 (y compris dans le domaine de l’application du droit pénal), et invite les États membres à déterminer si une mise en conformité supplémentaire avec la législation et la jurisprudence de l’Union en matière de protection des données est nécessaire.
L’article 37 de la directive en matière de protection des données dans le domaine répressif autorise également les transferts internationaux de données sur la base d’une auto-évaluation effectuée par une autorité compétente pour déterminer si un pays tiers (ou une organisation internationale) dispose des garanties appropriées en matière de protection des données. Dans ces cas, l’autorité doit documenter le transfert (notamment sa date et son heure, des informations sur l’autorité destinataire, la justification du transfert et les données à caractère personnel transférées) et la documentation doit être mise à la disposition de l’autorité de contrôle sur demande (article 37, paragraphe 3, de la directive en matière de protection des données dans le domaine répressif). Les observations formulées par les États membres
indiquent que cet outil a rarement été utilisé.
Pour permettre aux États membres d’utiliser pleinement les outils de transfert de la directive en matière de protection des données dans le domaine répressif, il est important que le comité européen de la protection des données intensifie ses travaux en cours sur les différents mécanismes de transfert. Il devrait, entre autres, fournir des orientations sur les mécanismes inclus dans l’article 37, paragraphe 1, de la directive en matière de protection des données dans le domaine répressif, notamment sur les transferts fondés sur des auto-évaluations par les autorités compétentes. Le Conseil a également souligné cette nécessité.
3.5.3Recours à des dérogations
Enfin, les «dérogations» constituent un motif important de transfert sous certaines conditions, définies à l’article 38 de la directive en matière de protection des données dans le domaine répressif. Ces conditions établissent un équilibre entre les considérations relatives à la vie privée et les besoins opérationnels des autorités compétentes. En particulier, l’article 38, paragraphe 1, autorise les transferts, et même des catégories de transferts de données à caractère personnel lorsque cela est nécessaire pour prévenir une menace grave et immédiate pour la sécurité publique ou, dans des cas particuliers, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales. Contrairement aux dérogations prévues par l’article 49 du RGPD, il n’existe actuellement aucune orientation pour les dérogations prévues par l’article 38 de la directive en matière de protection des données dans le domaine répressif.
3.5.4Une coopération policière et judiciaire transfrontière efficace
La directive en matière de protection des données dans le domaine répressif est devenue un point de référence international pour la protection des données dans le contexte répressif et a servi de catalyseur aux pays du monde entier pour qu’ils envisagent d’introduire des règles modernes en matière de respect de la vie privée dans ce domaine. Il s’agit d’une évolution très positive qui offre de nouvelles possibilités de mieux protéger les personnes physiques dans l’Union lorsque leurs données sont transférées à l’étranger à des fins répressives, tout en facilitant les flux de données qui peuvent contribuer à la lutte contre la criminalité.
D’une manière plus générale, il est important de veiller à ce que, lorsque des entreprises actives sur le marché européen reçoivent des demandes de coopération directe en vue de partager des données à des fins répressives, elles puissent le faire sans devoir faire face à des conflits de lois, et dans le plein respect des droits fondamentaux de l’Union
. Afin d’améliorer ces transferts, la Commission est déterminée à mettre en place avec ses partenaires internationaux les cadres juridiques qui s’imposent afin d’éviter les conflits de lois et de soutenir des formes de coopération efficaces, notamment en prévoyant les garanties nécessaires en matière de protection des données, et de contribuer ainsi à une lutte plus efficace contre la criminalité.
Dans ce contexte, la Commission s’est engagée dans des cadres bilatéraux, régionaux et multilatéraux à promouvoir activement la convergence internationale des normes de protection des données aux fins de la coopération en matière de répression pénale. Durant ses dialogues avec plusieurs pays partenaires étrangers sur les réformes en cours des lois relatives à la protection des données, les services de la Commission ont participé de différentes manières (par exemple, soumissions en réponse à des consultations publiques, participation à des auditions parlementaires et réunions spéciales avec des représentants du gouvernement et des décideurs) à l’élaboration de règles relatives au traitement des données à caractère personnel par les autorités compétentes.
Dans un cadre régional et multilatéral, la Commission soutient par exemple des projets de renforcement des capacités dans le contexte de la mise en œuvre de la Convention de Budapest du Conseil de l’Europe sur la cybercriminalité
. Ces projets comprennent le programme GLACY+, qui vise à renforcer les capacités des États à appliquer la législation sur la cybercriminalité et à améliorer leurs capacités à coopérer efficacement au niveau international dans ce domaine, conformément à la Convention de Budapest et à ses protocoles additionnels. Il s’agit également d’élaborer une législation relative à la protection des données aux fins de leur traitement dans ce domaine. Le programme soutient actuellement 17 pays prioritaires et pivots en Afrique, dans la région Asie-Pacifique et en Amérique latine et dans les Caraïbes.
La Commission coopère également avec Ameripol, une organisation de coopération policière regroupant 18 pays d’Amérique latine, dans le cadre de l’élaboration d’un cadre de protection des données aux fins de l’échange d’informations entre Ameripol et ses États membres. Cette coopération se fait dans le cadre du projet «EL PAcCTO: appui à Ameripol», dont l’objectif est d’améliorer le niveau de coopération internationale entre les services de police, les institutions judiciaires et les parquets des pays partenaires dans la lutte contre la criminalité organisée.
La Commission promeut également la Convention 108 modernisée (connue sous le nom de Convention 108+), qui est également applicable aux activités de traitement des données à des fins d’application du droit pénal. Cette convention, qui est également ouverte aux pays non membres du Conseil de l’Europe, est importante non seulement parce qu’il s’agit du seul accord multilatéral contraignant sur la protection des données, mais également parce que, dans le cadre de son Comité, elle propose un forum pour l’échange de bonnes pratiques et la définition de normes mondiales
. Dans le cadre de sa stratégie internationale sur les flux de données, la Commission encourage l’adhésion des pays tiers à la Convention 108+.
Enfin, la Commission encourage une plus grande convergence au niveau international en partageant notre expérience avec nos partenaires sur les aspects de la coopération en matière de répression pénale liés à la protection des données. L’«Académie pour la protection des données» de la Commission, qui fait partie du projet «International Digital Cooperation – Enhanced Data Protection and Data Flows» (Coopération numérique internationale – Protection renforcée des données et flux de données), financé par l’instrument de politique étrangère, est un outil essentiel à cet égard. L’Académie a été créée pour favoriser les échanges entre les régulateurs européens et ceux des pays tiers et pour améliorer la coopération sur le terrain. Les activités de l’Académie couvrent tous les aspects du contrôle de la protection des données, y compris dans le domaine répressif.
4Pistes
Afin d’assurer une politique de sécurité efficace de l’Union qui respecte pleinement le droit fondamental à la protection des données à caractère personnel, la Commission continuera à vérifier que les États membres ont correctement transposé la directive en matière de protection des données dans le domaine répressif et à contrôler l’application de ses dispositions.
La directive en matière de protection des données dans le domaine répressif a contribué de manière significative à un niveau de protection des droits des personnes plus élevé et plus harmonisé et à un cadre juridique plus cohérent pour les autorités compétentes.
Dans l’ensemble, elle a été transposée de manière satisfaisante, mais un certain nombre de problèmes ont été constatés. La Commission a déjà lancé des procédures d’infraction concernant à la fois la non-transposition et la non-conformité des lois nationales avec la directive en matière de protection des données dans le domaine répressif. Elle continuera à œuvrer pour garantir une transposition complète et correcte.
Grâce à la directive en matière de protection des données dans le domaine répressif, les autorités nationales compétentes ont été davantage sensibilisées et ont accordé une plus grande attention à la protection des données, également en ce qui concerne la sécurité du traitement.
Le contrôle actif effectué par les autorités de contrôle de la protection des données est essentiel pour garantir que les objectifs de la directive en matière de protection des données dans le domaine répressif sont atteints dans la pratique. Les autorités doivent donc être dotées de tous les types de pouvoirs requis par la directive en matière de protection des données dans le domaine répressif, ainsi que des ressources adéquates.
À ce stade, l’objectif devrait être de réaliser pleinement le potentiel de la directive en matière de protection des données dans le domaine répressif. Dans ce contexte, et compte tenu de l’expérience limitée de ces nouvelles règles, la Commission estime qu’il est trop tôt pour envisager de réviser la directive en matière de protection des données dans le domaine répressif.
La Commission continuera à travailler activement avec toutes les parties concernées dans la perspective de la prochaine évaluation prévue pour 2026. Dans l’intervalle, elle continuera de s’efforcer de garantir la cohérence avec les autres législations de l’Union relatives au traitement des données à caractère personnel à des fins de répression pénale.
Cadre juridique
La Commission:
-continuera à évaluer la transposition de la directive en matière de protection des données dans le domaine répressif par les États membres et prendra les mesures appropriées si nécessaire (y compris l’ouverture de procédures d’infraction);
-poursuivra les échanges bilatéraux avec les États membres;
-veillera à ce que les futures propositions législatives soient conformes à la directive en matière de protection des données dans le domaine répressif.
Les États membres sont tenus:
-de garantir la transposition complète et correcte de la directive en matière de protection des données dans le domaine répressif au niveau national, notamment en précisant les exigences nécessaires de la directive en matière de protection des données dans le domaine répressif lorsque les lois nationales relatives à la protection des données qui transposent la directive ne le font pas.
Contrôle par les autorités de contrôle de la protection des données
Les États membres sont tenus:
-de fournir aux autorités de contrôle de la protection des données des ressources suffisantes pour accomplir leurs missions d’application de la directive en matière de protection des données dans le domaine répressif;
-de veiller à ce que les autorités de contrôle de la protection des données puissent exercer tous les types de pouvoirs énoncés dans la directive en matière de protection des données dans le domaine répressif;
-de consulter systématiquement leurs autorités de contrôle de la protection des données sur les projets de législation et les mesures administratives d’application générale ayant trait à la protection des données à caractère personnel, et de tenir dûment compte de leurs avis (notamment dans le cas des nouvelles technologies).
Les autorités de contrôle de la protection des données sont invitées à:
-faire pleinement usage de leurs pouvoirs d’enquête, notamment en menant des enquêtes de leur propre initiative;
-collecter des statistiques spécifiques relatives à leurs activités de contrôle au titre de la directive en matière de protection des données dans le domaine répressif;
-utiliser les outils d’assistance mutuelle et élaborer des mesures concrètes pour faciliter les demandes d’assistance, notamment dans le cadre des lignes directrices prévues du comité européen de la protection des données.
Le comité européen de la protection des données est invité à:
-élargir le groupe d’experts de soutien pour les missions liées à la directive en matière de protection des données dans le domaine répressif.
Soutien des autorités compétentes
La Commission:
-facilitera les discussions et le partage d’expériences entre les États membres et la Commission au sein du groupe d’experts des États membres sur la directive en matière de protection des données dans le domaine répressif;
-facilitera l’échange de vues entre les délégués à la protection des données dans le cadre du réseau des délégués à la protection des données.
Les États membres sont invités à:
-poursuivre leurs efforts pour offrir aux autorités compétentes une formation sur les exigences en matière de protection des données, notamment en ce qui concerne les nouvelles technologies.
Le comité européen de la protection des données et les autorités de contrôle de la protection des données sont invités à:
-renforcer leurs efforts pour adopter des lignes directrices pertinentes (par exemple, sur le rôle du consentement dans le contexte du traitement des données à caractère personnel à des fins de répression pénale, et sur les droits des personnes concernées, y compris leurs éventuelles limitations), soit en adoptant de nouvelles lignes directrices autonomes, soit en complétant les lignes directrices déjà adoptées pour le RGPD.
Transferts de données transfrontières
La Commission entend:
-promouvoir activement d’éventuelles nouvelles décisions d’adéquation auprès de partenaires internationaux clés;
-négocier de nouveaux accords de coopération entre Europol et Eurojust, d’une part, et les pays tiers, d’autre part. Si nécessaire, elle s’efforcera de renégocier les accords de coopération Europol existants afin de s’assurer qu’ils comportent des garanties appropriées en matière de protection des données;
-entamer des négociations avec le Japon en vue de modifier l’accord d’entraide judiciaire UE-Japon existant afin de prévoir des garanties appropriées en matière de protection des données;
-poursuivre et conclure la négociation d’un accord bilatéral avec les États-Unis sur l’accès transfrontière aux preuves électroniques à des fins de coopération judiciaire en matière pénale, notamment en complétant les garanties en matière de protection des données assurées par l’accord-cadre UE-États-Unis afin de tenir compte du contexte spécifique de la coopération directe entre les services répressifs et les prestataires de services;
-étudier la possibilité de conclure des accords-cadres sur la protection des données aux fins du traitement des données dans le domaine de l’application du droit pénal avec d’importants services répressifs partenaires, en s’appuyant sur l’exemple de l’accord-cadre UE-États-Unis.
Le comité européen de la protection des données est invité à:
-adopter des lignes directrices afin de préciser la notion et le contenu des «garanties appropriées» (article 37 de la directive en matière de protection des données dans le domaine répressif) ainsi que le recours aux dérogations (article 38 de la directive en matière de protection des données dans le domaine répressif).
Promouvoir la convergence et développer la coopération internationale
La Commission:
-étendra sa coopération avec des partenaires internationaux en vue de renforcer la convergence des règles en matière de protection des données dans le domaine de l’application du droit pénal, notamment en encourageant leur adhésion à la Convention 108+, seul accord mondial contraignant sur la protection des données;
-favorisera la coopération bilatérale, régionale et multilatérale et soutiendra des projets de renforcement des capacités dans le domaine de la protection des données et de la coopération policière. Il s’agira notamment de formations et de l’échange de connaissances et de bonnes pratiques dans le cadre de l’Académie pour la protection des données.
Les États membres sont invités à:
-ratifier rapidement le deuxième protocole additionnel à la Convention de Budapest du Conseil de l’Europe sur la cybercriminalité, dès qu’ils y seront autorisés par une décision du Conseil.