Protection des données à caractère personnel utilisées par la police et par les autorités judiciaires (à partir de 2018)

POINTS CLÉS

Selon la directive, les données collectées par les autorités répressives doivent être:

• traitées de manière licite et loyale;
• collectées pour des finalités déterminées, explicites et légitimes et traitées uniquement de manière compatible avec ces finalités;
• adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont traitées;
• exactes et tenues à jour, si nécessaire;
• conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées;
• sécurisées de manière appropriée, et protégées contre le traitement non autorisé ou illicite, à l’aide de mesures techniques ou organisationnelles appropriées.

Délais de prescription

Les États membres doivent fixer des délais pour l’effacement des données à caractère personnel ou pour un examen périodique de la nécessité de les conserver.

Personnes concernées (sujets des données)

La directive impose aux autorités répressives d’établir une distinction claire entre les données de différentes catégories de personnes concernées, notamment:

• les personnes à l’égard desquelles il existe des motifs sérieux de croire qu’elles ont commis ou sont sur le point de commettre une infraction pénale;
• les personnes reconnues coupables d’une infraction pénale;
• les victimes d’une infraction pénale ou les personnes dont on peut raisonnablement penser qu’elles pourraient être victimes d’une infraction pénale;
• les tiers à une infraction pénale, y compris les témoins éventuels.

Information des personnes concernées et accès aux données

Les personnes concernées ont le droit de voir certaines informations mises à leur disposition — et dans certains cas fournies — par les autorités répressives, notamment:

• le nom et les coordonnées de l’autorité compétente qui détermine les finalités et les moyens du traitement des données;
• les finalités du traitement de leurs données;
• le droit d’introduire une réclamation auprès d’une autorité de contrôle et les coordonnées de cette autorité;
• l’existence du droit de demander l’accès à leurs données à caractère personnel, leur rectification ou leur effacement, ainsi que le droit de limiter le traitement de leurs données à caractère personnel.

Les personnes ont le droit d’obtenir de la part des autorités compétentes la confirmation que leurs données personnelles sont traitées et d’accéder à ces données et informations relatives à leur traitement.

Sécurité et journalisation

Les autorités nationales doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Lorsque le traitement des données est automatisé, plusieurs mesures doivent être prises, telles que:

• empêcher toute personne non autorisée d’accéder aux installations utilisées pour le traitement;
• empêcher que des supports de données puissent être lus, copiés, modifiés ou supprimés de façon non autorisée¹;
• empêcher l’introduction non autorisée de données à caractère personnel dans le fichier ainsi que la consultation, la modification ou l’effacement non autorisé de données à caractère personnel enregistrées.

Les autorités nationales doivent tenir des registres contenant des informations telles que la date et l’heure d’accès aux données à caractère personnel et les noms de ceux qui ont consulté les données ou à qui les données ont été divulguées. Les journaux seront principalement utilisés pour vérifier la légalité du traitement, assurer la sécurité et l’intégrité du traitement et pour les poursuites pénales.

Abrogation

La directive a remplacé la décision-cadre 2008/977/JHA relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, à compter du 6 mai 2018.

Réexamen

La Commission européenne a publié une communication intitulée «La marche à suivre en ce qui concerne la mise en conformité de l’acquis de l’ancien troisième pilier avec les règles en matière de protection des données» en juin 2020.

Le premier rapport d’évaluation et de réexamen de la directive est attendu pour le 5 mai 2022.