la directive 2006/24/ CE sur la conservation des données247 et le Règlement nº 45/2001248 sur le traitement des données à caractère personnel par les institutions et organes communautaires.
À ce cadre juridique de droit secondaire est venu s’ajouter une protection spécifique de rang primaire249. L’étude de ces instruments législatifs révèle que d’une part, les données à caractère personnel peuvent être considérées comme une « marchandise », élément indispensable au développement du marché intérieur 250 dans son volet numérique, et d’autre part, qu’elles peuvent être appréhendées sous l’angle d’un droit fondamental251 garanti par le droit primaire de l’Union européenne et mis en œuvre par le droit dérivé. Ce qui explique l’existence d’une pyramide de textes ou un « renvoi en cascade »252. Une fois assurée la protection des données personnelles dans le cadre du marché intérieur253, les préoccupations sécuritaires suite aux attaques du 11 septembre 2001 et à celles de Madrid et Londres, ont conduit l’Union européenne à attacher une attention particulière à la lutte contre le terrorisme et les formes graves de criminalité transfrontière dans « l’objectif fondamental »254 d’offrir aux citoyens un espace de liberté, de sécurité et de justice. Ainsi les nouvelles technologies de l’information et de la communication ont permis des modes opératoires d’investigation particulièrement intrusifs et inédits. C’est pourquoi a été élaboré un cadre juridique spécifique dans le cadre de l’ex-troisième pilier car la directive 95/46/CE à l’égard de la protection des données personnelles s’appliquait aux seuls domaines de l’ex-premier pilier. Ce morcellement législatif a rendu souvent difficile la distinction de la frontière entre les « piliers » de l’Union européenne et cela a été source de contentieux255. La donnée peut être également appréhendée sous l’angle
246 Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques). Ladite directive fait aujourd’hui l’objet d’une importante réforme.
247 Directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE.
248 Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données
249 Voy. l’article 8 de la Charte des droits fondamentaux.
250 Voy. G. RESTA, Dignita, persone, mercati, Torino, 2014, p. 153 ; Libera circolazione e protezione dei dati personali, t.
I e II, a cura di R. PANETTA, con prefazione di S. RODOTÀ, Milano, Passim, 2006.
251 Sur la consécration d’une culture du droit fondamental à la protection des données personnelles distincte du droit à la vie privée voy.: G. FINOCCHIARO, « Alcune riflessioni sulle norme sul trattamento dei dati personali », in Contr. e impr., 2006, p. 1426 ss ; S. RODOTA, Tecnologie e diritti, Bologna, Passim, 1995.
252 O. DE SHUTTER, Traité établissant une Constitution pour l’Europe, Commentaire article par article, II –L. Burgorgue- Larsen, A. Levade, F. Picod (dir.), Bruylant, 2005, p. 124.
253 La directive 95/46/CE s’applique aux seuls traitements qui relèvent du champ d’application du droit communautaire de l’Union européenne et exclut donc les traitements rélatifs aux titres V et VI du Traité sur l’Union européenne (ex-troisième pilier) et en tout état de cause, les traitements ayant pour objet la défense nationale, la sécurité publique, le droit pénale de même que l’exercice d’activités exclusivement personnelles ou domestiques (art. 3§2).
254 J. MONAR, « The Area of Freedom, Security and Justice », in A.VONBOGDANDYand J.BAST (dir.), Principles of European Constitutional Law, Hart/C.H. Beck & Nomos, 2009, pp. 551-585, sp. p. 554 et s.
255 Voy. Les recours en annulation de la Cour de justice, 30 mai 2006, aff. jointes C-317/04 et C-318/04, Parlement c. Conseil, qui a annulé la décision du Conseil 2004/496/CE du 17 mai 2004 relative à la conclusion d’un accord entre l’UE et les États- Unis concernant le traitement et le transfert de données PNR, et la décision 2004/535/CE de la Commission du 14 mai 2004
de sa nature politique, elle constitue alors une information nécessaire pour l’autorité publique pour lutter contre le terrorisme et les formes graves de criminalité. Toutefois, cette information, pour être traitée par les autorités publiques, doit respecter un certain nombre de garanties. C’est en fonction de cette préoccupation que la décision-cadre 2008/977/JAI du 27 novembre 2008 a été adoptée256 afin de garantir un équilibre entre l’élaboration des fichiers et des systèmes d’enregistrement des individus et les droits et libertés fondamentales257 . Il est possible de constater une protection hétérogène, dérivant de plusieurs sources, qui s’inscrit dans l’ancienne architecture en piliers 258 . Toutefois, l’article 16 du Traité de Lisbonne consacre dans son paragraphe 2 la compétence du législateur communautaire pour l’adoption de règles en matière de protection des données personnelles dans toutes les matières, même pour la coopération judiciaire en matière pénale et la coopération policière259. Or, l’évolution technologique est un défi pour la législation en matière de protection des données et une réforme du cadre général260 a été nécessaire afin d’apporter des réponses et une cohérence au système261. Cependant, ladite reforme laisse deux instruments juridiques différents pour le marché intérieur et pour l’ex- troisième pilier. La summa divisio entre marché intérieur et ELSJ laisse des éléments hétérogènes et pose des problèmes quant à l’efficacité de la protection262. Le propos du présent
relative au niveau de protection « adéquat » des données PNR transférées vers le United States Bureau of Customs and Border Protection ; Voy. aussi CJUE (Grande Chambre), 10 février 2009, aff. C-301/06, Irlande c.Parlement et Conseil, qui a rejeté le recours en annulation de la directive 2006/24/CE du 15 mars 2006 concernant la collecte de données générales des communications éléctroniques.
256 Décision-cadre 2008/977/JAI, 27 nov. 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale : JOCE n° L 350, 30 déc. 2008, p. 60 à 71.
257 Ladite décision-cadre visait donc à protéger les données personnelles traitées dans le cadre de la coopération policière et judiciaire en matière pénale dans le domaine de l’ex-troisième pilier.
258 Depuis le Traité de Maastricht l’Union européenne repose sur trois piliers : les communautés européennes (1er pilier), la politique étrangère et de sécurité commune (2e pilier) et la coopération policière et judiciaire en matière pénale (3e pilier), cette structure a été abolie avec le Traité de Lisbonne.
259 Par conséquent, la révision de la directive n° 95/46 CE à travers l’élaboration du règlement 679/2016 relatif à la protection des données personnelles tout comme la nouvelle directive 680/2016 en matière de coopération judiciaire et policière en matière pénale constitue un acte législatif examiné à travers la procédure de codécision.
260 La réforme de la protection des données est un ensemble de mesures législatives que la Commission a proposé en 2012 pour actualiser et moderniser les règles contenues dans la directive de 1995 sur la protection des données et dans la décision- cadre de 2008 relative à la protection des données traitées dans le cadre de la coopération policière et judiciaire en matière pénale. La réforme se compose d’un règlement général sur la protection des données et d’une directive relative à la protection des données à caractère personnel traitées à des fins de répression. Voy. Proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données COM(2012) 10 final - 2012/0010 (COD). La révision de la décision cadre n° 2008/977 JAI à travers l’adoption d’une directive relative à la protection des données personnelles en matière de justice et de police constitue un acte législatif examiné à travers la procédure de codécision.
261 Même si les données sont soumises à la même base juridique par le traité de Lisbonne (article 16 TFUE), elles continuent à faire l’objet de différents instruments de droit dérivé lorsqu’il s’agit des domaines qui renvoient à l’ex-premier pilier ou à l’ex-troisième pilier. Voy. en ce sens B. CORTESE, « La protezione dei dati di carattere personale nel diritto dell’Unione europea dopo il Trattato di Lisbona », in Il Diritto dell’Unione europea, 2013, 313 ss.
262 Dans son arrêt du 30 mai 2006, la Cour de justice a annulé la décision de la Commission constatant le niveau de protection adéquate des données PNR tranférées vers les États-Unis et la décision du Conseil approuvant la conclusion d’un accord sur leur transfert vers ce pays, estimant que ces décisions n’étaient pas fondées sur une base juridique adéquate. La question posée par la Cour portait sur l’impact de la distinction entre les piliers de l’action de l’Union européenne sur la protection des données à caractère personnel. Dans son arrêt, la Cour de justice a réaffirmé le principe selon lequel c’est bien la finalité du traitement
Titre est d’étudier si la directive 95/46 soumise au premier pilier (Chapitre I) et ensuite la décision-cadre 2008/977/JAI soumise au troisième pilier (Chapitre II) ont progressivement établi une ligne de partage qui a permis à la réforme d’aboutir.
des données qui détermine le pilier auquel celui-ci est rattaché. Suite à cet arrêt le Contrôleur européen de la protection des données a exprimé la nécessité d’adopter un instrument spécifique dans le cadre du troisième pilier (en 2008 la décision-cadre sera adoptée). En revanche, le groupe de l’article 29 estime que l’arrêt de la Cour montre une fois de plus les difficultés dues à la division artificielle entre piliers et la nécessité d’un cadre transpiliers cohérent en matière de protection des données (Voy.
WP29, avis 5/2006).