Protection des données à caractère personnel utilisées par la police et par les autorités judiciaires (à partir de 2018)

SYNTHÈSE DU DOCUMENT:

Directive (UE) 2016/680 — protection des personnes physiques à l’égard du traitement des données à caractère personnel par la police et par les autorités judiciaires en matière pénale, et à la libre circulation de ces données

QUEL EST L’OBJET DE CETTE DIRECTIVE?

La directive (UE) 2016/680, la directive en matière de protection des données dans le domaine répressif garantit la protection des données à caractère personnel des individus impliqués dans des procédures pénales, que ce soit en tant que témoins, victimes ou suspects.
Elle établit un cadre global pour assurer un niveau élevé de protection des données, tout en tenant compte de la nature spécifique du domaine de la police et de la justice pénale.
Elle contribue à accroître la confiance et facilite la coopération dans la lutte contre la criminalité en Europe, en harmonisant la protection des données à caractère personnel par les autorités compétentes dans l’application de la loi des États membres de l’Union européenne (UE) et des pays de l’espace Schengen.
La directive intègre la réforme de la protection des données de l’UE, ainsi que le règlement général sur la protection des données (RGPD) (voir synthèse) et le règlement (UE) 2018/1725 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’UE (voir synthèse).

POINTS CLÉS

Selon la directive, les données collectées par les autorités répressives doivent être:

traitées de manière licite et loyale;
collectées pour des finalités déterminées, explicites et légitimes et traitées uniquement de manière compatible avec ces finalités;
adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont traitées;
exactes et tenues à jour, si nécessaire;
conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées;
sécurisées de manière appropriée, et protégées contre le traitement non autorisé ou illicite, à l’aide de mesures techniques ou organisationnelles appropriées.

Délais de prescription

Les États membres doivent fixer des délais pour l’effacement des données à caractère personnel ou pour un examen périodique de la nécessité de les conserver.

Personnes concernées («sujets des données»)

La directive impose aux autorités répressives d’établir une distinction claire entre les données de différentes catégories de personnes concernées, notamment:

les personnes à l’égard desquelles il existe des motifs sérieux de croire qu’elles ont commis ou sont sur le point de commettre une infraction pénale;
les personnes reconnues coupables d’une infraction pénale;
les victimes d’une infraction pénale ou les personnes dont on peut raisonnablement penser qu’elles pourraient être victimes d’une infraction pénale;
les tiers à une infraction pénale, y compris les témoins éventuels.

Information des personnes concernées et accès aux données

Les personnes concernées ont le droit de voir certaines informations mises à leur disposition — et dans certains cas fournies — par les autorités répressives, notamment:

le nom et les coordonnées de l’autorité compétente qui détermine les finalités et les moyens du traitement des données;
les finalités du traitement de leurs données;
le droit d’introduire une réclamation auprès d’une autorité de contrôle et les coordonnées de cette autorité;
l’existence du droit de demander l’accès à leurs données à caractère personnel, leur rectification ou leur effacement, ainsi que le droit de limiter le traitement de leurs données à caractère personnel.

Les personnes ont le droit d’obtenir de la part des autorités compétentes la confirmation que leurs données personnelles sont traitées et d’accéder à ces données et informations relatives à leur traitement.

Sécurité et journalisation

Les autorités nationales doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Lorsque le traitement des données est automatisé, plusieurs mesures doivent être prises, telles que:

empêcher toute personne non autorisée d’accéder aux installations utilisées pour le traitement;
empêcher que des supports de données puissent être lus, copiés, modifiés ou supprimés de façon non autorisée*;
empêcher l’introduction non autorisée de données à caractère personnel dans le fichier ainsi que la consultation, la modification ou l’effacement non autorisé de données à caractère personnel enregistrées.

Les autorités nationales doivent tenir des registres contenant des informations telles que la date et l’heure d’accès aux données à caractère personnel et les noms de ceux qui ont consulté les données ou à qui les données ont été divulguées. Les journaux seront principalement utilisés pour vérifier la légalité du traitement, assurer la sécurité et l’intégrité du traitement et pour les poursuites pénales.

Abrogation

La directive a remplacé la décision-cadre 2008/977/JHA relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, à compter du 6 mai 2018.

Réexamen

La Commission européenne a publié une communication intitulée «La marche à suivre en ce qui concerne la mise en conformité de l’acquis de l’ancien troisième pilier avec les règles en matière de protection des données» en juin 2020.

Le premier rapport d’évaluation et de réexamen de la directive est attendu pour le 5 mai 2022.

DEPUIS QUAND CETTE DIRECTIVE S’APPLIQUE-T-ELLE?

Elle s’applique depuis le 5 mai 2016. Les États membres devaient transposer la directive (l’intégrer dans leur droit national) avant le 6 mai 2018.

CONTEXTE

Pour plus d’informations, veuillez consulter:

Réforme de l’UE en matière de protection des données (Commission européenne)
Règles de l’UE en matière de protection des données (Commission européenne)
Rapport de la commission: les règles de l’UE en matière de protection des données donnent aux citoyens les moyens d’agir et sont adaptées à l’ère du numérique — communiqué de presse (Commission européenne)
La réforme de la protection des données — mémo (Commission européenne)
Protection des données à caractère personnel (Commission européenne)

TERMES CLÉS

Supports de données. Disques ou autres appareils permettant de stocker des données.

DOCUMENT PRINCIPAL

Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89-131)

Les modifications successives du règlement (UE) 2016/680 ont été intégrées au texte de base. Cette version consolidée n’a qu’une valeur documentaire.

DOCUMENTS LIÉS

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1-88)

Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n^o 45/2001 et la décision n^o 1247/2002/CE (JO L 295 du 21.11.2018, p. 39-98)

Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37–47)

Voir la version consolidée.

dernière modification 14.01.2022