95 L’apparente antinomie entre sécurité publique et protection des données personnelles utilisée à des fins répressives. L’intervention du législateur européen pour assurer la protection des données personnelles lorsqu’elles sont utilisées à des fins répressives est relativement récente. C’est seulement avec l’art 16 du Traité de Lisbonne consacrant dans son paragraphe 2 la compétence du législateur communautaire pour l’adoption de règles en matière de protection des données personnelles qu’un cadre juridique harmonisé a vu le jour. Cette compétence du législateur communautaire est fondée sur la reconnaissance d’un droit à la protection des données personnelles, consacré comme droit fondamental par l’article 8 de la Charte des droits fondamentaux de l’Union européenne, qui est ainsi reconnue dans toutes les matières, même pour la coopération judiciaire en matière pénale et la coopération policière. Ainsi la révision de la décision cadre n° 2008/977 JAI à travers l’adoption d’une directive relative à la protection des données personnelles en matière de justice et de police constitue un acte législatif examiné à travers la procédure de codécision. Dans sa communication de janvier 2012692, la Commission a proposé de remplacer la décision-cadre par une directive pour encadrer le traitement des données personnelles par les autorités compétentes dans le but de prévenir et détecter les infractions pénales, d’enquêter, de poursuivre ou d’exécuter des sanctions pénales693. Dans la présente section, une analyse de la réforme nous amènera à nous interroger sur le fait de savoir si l’Union a réussi à éliminer l’antinomie entre sécurité publique et protection des données personnelles utilisée à des fins répressives. La reforme cherche à « protéger les libertés et droits fondamentaux des personnes physiques, et notamment leur droit à la protection des données à caractère personnel, et assurer l’échange de ces données entre autorités compétentes au sein de l’Union »694. D’ailleurs le CEPD a reconnu les avancées de cette réforme pour la protection des données au sein de l’Union européenne, mais déplore que les règles relatives à la police et à la justice soient inadaptées695. Cependant, une réforme a été nécessaire car vingt-sept autorités répressives différentes ne peuvent coopérer efficacement sans un degré minimum d’harmonisation des règles relatives à la coopération policière et judiciaire en matière pénale.
L’étude de la réforme veut vérifier la cohérence entre la protection offerte au niveau de l’ex- premier pilier et au niveau de l’ELSJ. Il est nécessaire tout d’abord d’examiner les lacunes de
692 Proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données COM (2012) 10 final - 2012/0010 (COD).
693 Commission européenne, Communication relative à la protection de la vie privée dans un monde en réseau, Un cadre européen relatif à la protection des données, adapté aux défis du 21e siècle, COM (2012) 9 final, Bruxelles, le 25 janvier 2012, p. 4.
694 Commission européenne, Proposition de directive du Parlement européen et du Conseil, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, COM (2012) 10 final, Bruxelles, le 25 janvier 2012, p. 7.
695 Voy. le président du CEDP, P. Hustinx, Newsletter du CEPD, n°31, 28 janvier 2012, p. 3.
la décision-cadre (§1) pour passer à l’analyse du nouveau cadre juridique et vérifier si l’Union européenne a su élaborer et affirmer sa propre conception de protection des données personnelles en matière pénale et faire cohabiter sécurité publique et droit fondamental à la protection des données (§2).
§1. Les limites du cadre juridique préexistant
96 L’ancienne division en piliers. Avant l’entrée en vigueur du Traité de Lisbonne, la législation relative à la protection des données dans l’espace de liberté, de sécurité et de justice (ELSJ) était divisée entre le premier pilier (protection des données collectées à des fins privées et commerciales, en utilisant la méthode communautaire) et le troisième pilier (protection des données collectées à des fins répressives, au niveau intergouvernemental). En conséquence, les processus décisionnels applicables à chacun de ces deux domaines suivaient des règles différentes696. Cela a entrainé tant une confusion quant à la base juridique applicable (A) quant à l’application des règles car lacunaires (B).
A. Des difficultés découlant de la base juridique
97 L’apport de la jurisprudence de la Cour de justice. Une expression des problèmes découlant de l’ancienne division en piliers pour le régime de protection des données de l’UE est l’affaire PNR concernant les dossiers des passagers aériens697. L’affaire portait sur l’accord conclu entre les États-Unis et l’UE sur le transfert des données contenues dans les systèmes informatiques de réservation des compagnies aériennes assurant un service à destination ou au départ des États-Unis, désigné « Passenger Name Records » (ci-après données PNR). Suite à une décision d’adéquation adoptée par la Commission le 14 mai 2004 conformément à l’article 25 de la directive 95/46, le Conseil a adopté le 17 mai 2004 une décision concernant la conclusion de l’accord avec les États-Unis. Le Parlement européen a entamé une action devant la Cour demandant l’annulation de la décision d’adéquation de la Commission et de la décision du Conseil sur la conclusion de l’accord, en invoquant entre autres une violation des principes essentiels de la directive relative à la protection des données et du droit à la vie privée. La Cour de justice a annulé la décision d’adéquation au seul motif que son contenu ne relevait pas du champ d’application matériel de la directive 95/46 relative à la protection des données. Elle a
696 La structure en piliers a disparu dans le Traité de Lisbonne, qui renforce les bases nécessaires à l’élaboration d’un système de protection des données plus clair et plus efficace, tout en prévoyant de nouveaux pouvoirs pour le Parlement européen, celui-ci devenant colégislateur. L’article 16 du traité FUE dispose que le Parlement européen et le Conseil fixent les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les Fiches techniques sur l’Union européenne institutions, organes et organismes de l’Union, ainsi que par les États membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union.
697 CJCE, Gr. Ch., Parlement européen c. Conseil de l’Union européenne et Commission des Communautés européennes, affaires jointes C-317/04 et C-318/04, 30 mai 2006.
considéré que le transfert des données PNR constituait un traitement ayant pour objet «la sécurité publique et les activités de l’État relatives à des domaines du droit pénal » et que la décision d’adéquation ne pouvait donc être adoptée en vertu de cette directive. De même, la Cour de justice a annulé la décision du Conseil sur la conclusion de l’accord PNR avec les États-Unis, considérant que l’article 95 CE ne pouvait constituer une base juridique appropriée de la décision car il « vise le même transfert de données que la décision d’adéquation et donc des traitements de données qui sont exclus du champ d’application de la directive », et la Communauté n’avait donc pas la compétence pour conclure l’accord698. De plus, dans l’affaire Irlande c. Parlement européen et Conseil de l’Union européenne, la Cour de justice a été invitée à nouveau à se prononcer sur le problème de la division en piliers du régime communautaire de la protection des données699. Plus précisément, l’Irlande a demandé l’annulation de la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques au motif que l’article 95 CE n’était pas une base juridique appropriée pour cette mesure législative, car son objectif principal est de faciliter la recherche, la détection et la poursuite d’infractions pénales, y compris en matière de terrorisme et qu’elle aurait donc dû être adoptée dans le cadre du troisième pilier. Cependant, la Cour de justice a considéré que la directive a été adoptée sur le fondement d’une base juridique appropriée, étant donné que tant le but que le contenu de cet acte relèvent de l’article 95 CE.
La Cour de justice a procédé à une distinction entre l’affaire Irlande c. Parlement européen et Conseil de l’Union européenne et l’affaire PNR car selon elle, la directive 2006/24 vise les activités des fournisseurs de services dans le marché intérieur et ne comporte aucune réglementation des activités des pouvoirs publics à des fins répressives comme cela était le cas dans l’affaire PNR. Toutefois, la Cour indique expressément que le recours formé par l’Irlande
« porte uniquement sur le choix de la base juridique et non pas sur une éventuelle violation des droits fondamentaux découlant des ingérences dans l’exercice du droit au respect de la vie privée que la directive 2006/24 comporte »700. Ainsi la Cour s’exprime sur la base juridique mais non sur le fond de l’affaire. L’Union européenne disposait déjà d’une série d’instruments juridiques, pratiques et de soutien pour étayer un espace européen de sécurité intérieure. Les objectifs stratégiques fixés dans la stratégie de sécurité intérieure 2010-2014 restent valables et devraient ê tre maintenus701. Le Traité de Lisbonne a donné à l’Union européenne des bases solides pour y parvenir, en renforçant le cadre juridique afin de conjuguer les efforts et de garantir la liberté et la sécurité, la libre circulation à l’intérieur de l’Union et une réaction efficace de celle-ci aux menaces transfrontières. Le traité a également permis de renforcer la protection des droits fondamentaux et le contrô le démocratique sur les politiques de l’Union en matière de sécurité intérieure et a fait du Parlement européen un colégislateur à part entière
698 E. GUILD et E. BROUWER, « The Political Life of Data - The ECJ decision on the PNR Agreement between the EU and the US », Centre for European Policy Studies, no 109, 2006.
699 CJCE, Irlande c. Parlement européen et Conseil de l’Union européenne, C-301/06, arr.t de Grande chambre du 10 février 2009.
700 CJCE, Irlande c. Parlement européen et Conseil de l’Union européenne, § 57.
701 Conclusions du Conseil du 25.2.2010 sur la stratégie de sécurité intérieure pour l’Union européenne : Vers un modèle européen de sécurité; COM (2014) 154 final du 11.3.2014.
dans le domaine de la coopération policière et judiciaire en matière pénale. Le contrô le juridictionnel de la Cour de justice de l’Union européenne et le rô le de gardienne des traités joué par la Commission y sont désormais pleinement effectifs. Toutefois, le cadre de profonde incertitude pour la protection des données personnelles, évoque le manque d’effectivité de la règlementation actuelle, en raison du morcellement progressif du cadre juridique et de l’insuffisante harmonisation dans les États membres.
B. Les difficultés découlant des lacunes de la décision-cadre 2008/977 JAI
98 Un manque d’efficacité. Concernant l’étude des dispositions de la décision-cadre, il est possible de constater un grand nombre de lacunes. Tout d’abord, concernant le principe de finalité, l’article 3 § 1 de la décision-cadre précise que les données à caractère personnel peuvent être collectées par les autorités compétentes « uniquement pour des finalités déterminées, explicites et licites et traitées uniquement pour les finalités pour lesquelles elles ont été collectées ». Le traitement des données pour une autre finalité est permis, mais seulement dans la mesure où il n’est pas incompatible avec la finalité pour laquelle les données ont été collectées. Telle disposition aurait dû respecter le principe de proportionnalité et de stricte nécessité comme le suggérait dans son avis le CEPD702, dans la logique de l’article 8 de la CEDH703 et 8 de la Charte des droits fondamentaux. Or, ce critère figurait dans le texte de la proposition de la Commission, mais a disparu du texte final de la décision-cadre704. D’ailleurs, le CEDP souhaitait une distinction entre données relatives aux faits non confirmées et données relatives à des renseignements705. Un autre élément de flou concerne les données sensibles : la décision-cadre ne contient aucune disposition spécifique relative à la protection des données biométriques et des profils ADN, l’article 6 permet le traitement des données sensibles à condition que soit prévu par une loi, alors que dans la proposition de la Commission le traitement devait être prévu par la loi et être nécessaire à l’accomplissement des buts légitimes de l’autorité concernée aux fins de prévention et de détection des infractions pénales, et d’enquêtes et de poursuites en la matière, ou bien la personne concernée devait avoir consenti au traitement. Un élément qui montre le manque d’efficacité de la décision-cadre concerne le transfert vers des États tiers. Le texte prévoit le consentement préalable de l’État auprès duquel les données ont été collectées, cependant si le transfert de données « est essentiel pour prévenir un danger immédiat et sérieux pour la sécurité publique d’un État membre ou d’un État tiers ou pour les intérêts essentiels d’un État membre et que l’accord préalable ne peut pas être obtenu
702 V. le § 65 du premier avis du CEPD, du 19 décembre 2005, JOUE C 047 du 25 fév. 2006, p. 27-47.
703 Voy., par exemple, notre commentaire de l’arrêt Marper c. Royaume-Uni du 4 décembre 2008, relative à la durée de conservation (indéfinie) de données à caractère sensible (données biométriques et profils ADN) de personnes qui avaient été acquittées ou relaxées de leurs poursuites pénales.
704 COM (2005)475 final, 4 oct. 2005, voy. l’article 11.
705 V. le § 32 du premier avis du CEPD, du 19 décembre 2005, JOUE C 047 du 25 fév. 2006, p. 27-47.
en temps utile »706 il est possible de déroger au consentement préalable. Il en résulte que dans un contexte de lutte contre le terrorisme une telle dérogation devient en réalité la règle. L’autre condition pour le transfert de données (sur l’exemple de l’art. 25 de la directive 95/46) est le niveau de protection « adéquat » du pays destinataire. Toutefois l’existence d’un niveau de protection adéquat est constituée par une décision de l’autorité de contrôle nationale, comme conséquence il peut y avoir une différence de traitement en fonction de l’origine des données.
Une réforme du cadre juridique visant à assurer une meilleure protection des données, a été donc nécessaire. Ainsi à ce cadre juridique, a été rapproché de n’avoir pas su mettre fin au morcellement législatif constaté en ce domaine, à cause du choix de sa base juridique car elle coexiste avec de nombreuses règles spécifiques, adoptées au fur et à mesure de la création de divers mécanismes de coopération comme le Système d’Information Schengen (SIS) pour l’espace Schengen, le VIS en matière de visas, EUROPOL etc. 707. Ainsi les dispositions de la décision-cadre 2008/977 JAI n’assuraient pas un niveau élevé de protection pour les données personnelles.
§2. Le nouveau cadre juridique
99 La refonte du cadre juridique dans l’ELSJ. Une réforme était nécessaire car le champ d’application de la Décision-cadre 2008/977/JAI était trop limité puisqu’elle s’appliquait uniquement aux traitements transfrontières de données conférant une très grande marge de manœuvre aux États pour transposer ses dispositions708. Elle ignorait toute norme commune pour les échanges avec les pays tiers, entretenant un flou quant à une nécessaire distinction entre les différentes catégories de personnes concernées, telles que les suspects, les criminels, les témoins et les victimes, pour assurer une protection effective et adéquate. Le paquet de réforme présenté par la Commission en 2012709 contenait un projet de directive pour encadrer les traitements dans les domaines répressifs et de prévention de la criminalité, traitements qui étaient exclu du champ d’application du projet de règlement générale. Il lui est aussi reproché de n’avoir pas su mettre fin au morcellement législatif en ce domaine, car elle coexiste avec de nombreuses règles spécifiques, C’est la raison pour laquelle la décision cadre a fait l’objet de nombreuses critiques710. Toutefois il faut rappeler qu’il y a eu des avancées avec le Traité de
706 V. article 13 § 2 de la décision-cadre.
707 V. la liste complète des instruments dans l’annexe document SEC (2012)72.
708 Le risque c’est d’avoir deux systèmes de protection des données dans une même enquête. Cela menacerait non seulement la protection du citoyen mais compliquerait également le travail policier ou judiciaire. Voy. Par exemple la position très sévère du Controleur Européen de la Protection des données (CEPD) dans son avis du 27 avril 2007. Voy. aussi le commentaire »La protection des données dans l’ELSJ, work in progress” Rev.trim. dr. Eur. Juillet-septembre 2009 n° 3 pp. 775-790.
709 Le projet de réforme se situe dans le prolongement d’une consultation publique lancée en 2009 visant à obtenir des contributions relatives aux nouveaux défis en matière de protection des données personnelles et à l’amélioration du cadre juridique au sein de l’Union européenne. Ce projet repose sur l’article 16 du traité sur le fonctionnement de l’Union européenne, qui est la nouvelle base juridique, introduite par le traité de Lisbonne, pour l’adoption de règles en matière de protection des données.
Lisbonne, tout d’abord à côté la proclamation de la valeur juridique contraignante de la Charte des droits fondamentaux, elle a introduit dans son art. 16 du TFUE le droit d’assurer la protection des données personnelles, en instituant une base juridique pour l’intervention de l’Union dans la matière. De plus, la suppression de la structure en pilier a reconduit la coopération de police sous des procédures décisionnelles typiques de l’ancien premier pilier, en préfigurant aussi la possibilité d’une action plus incisive et, en même temps, de contrôles démocratiques plus stricts. Ainsi sur la base de l’art.16 TFUE711, les textes de base en matière de protection des données, la directive 95/46/CE pour le marché intérieur et la décision-cadre 2008/977/JAI pour l’ELSJ ont toutes les deux été réformées et remplacées par deux instruments distincts712. Toutefois, la directive qui a succédé à la décision-cadre ne semble pas apporter de réponses satisfaisantes aux objections majeures qui avaient été soulevées (A). D’abord elle ne réunit pas les multiples règlementations spécifiques évoquées, 713 laissant des législations morcelées et elle manque de clarté dans sa rédaction714, ainsi l’hétérogénéité législative semble destinée à perdurer vu la proposition d’un texte distinct du règlement général. En effet, suivant cette vague de réforme, dans le programme de Stockholm « une Europe ouverte et sûre qui sert et protège les citoyens », la Commission a été invitée à présenter une proposition concernant l’utilisation des données PNR aux fins de la prévention et de la détection des infractions terroristes et des formes graves de criminalité, ainsi que des enquêtes et des poursuites en la matière715. Ainsi a été adoptée la directive 681/2016716 relative à l’utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité (B).
710 Voy. Par exemple la position très sévère du Contrôleur Européen de la Protection des Données dans son avis du 27 avril 2007, J.O.U.E. C 139/1, 23 juin 2007.
711 L’art. 16 du Traité de Lisbonne consacre dans son paragraphe 2 la compétence du législateur communautaire pour l’adoption de règles en matière de protection des données personnelles. Cette compétence du législateur communautaire fondée sur la reconnaissance d’un droit à la protection des données personnelles, consacré comme droit fondamental par l’article 8 de la Charte des droits fondamentaux de l’Union européenne, est ainsi reconnue dans toutes les matières, même pour la coopération judiciaire en matière pénale et la coopération policière.
712 Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquê tes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/ JAI du Conseil; et le Règlement (UE) 679/16.
713 Le CEDP souhaité une réglementation nettement plus complète et plus uniforme qui remplacerait également les dispositions spéciales toujours en vigueur des différents régimes du 3ème pilier. Voy. « la proposition visant à créer un marché intérieur de l’UE pour les secteur de communications électroniques : champ de tension entre protection des données, neutralité du réseau et liberté économique », 4ème rencontre de Bonn sur la réglementation, Centre de recherche sur l’intégration européenne, Bonn, 13 janvier 2014.
714 Voy. Par ex. la rédaction du principe de limitation de la finalité, ou les pouvoirs indûment limités des autorités de contrôle, ou les conditions pour les transferts vers des pays tiers.
715 JO C 115 du 4.5.2010, p. 1.
716 Sur le fondement de l’art. 82, paragraphe 1, point d), et son article 87, paragraphe 2, point a) du TFUE.
A. La directive 680/2016 relative à la protection des données à caractère personnel traitées à des fins pénales
100 Une réforme partielle. À la directive relative à la protection des données à caractère personnel traitées à des fins pénales717 se substitue la décision-cadre 2008/977/JAI. Elle trouve son fondement juridique dans l’article 16§2 du TFUE. Elle vise à faciliter l’échange de données entre les autorités compétentes 718 et définit les règles et principes généraux relatifs à la protection des données à la coopération policière et judiciaire en matière pénale. Le champ d’application de la directive est plus large que celui de la décision-cadre qu’elle abroge, elle s’applique à la fois aux traitements transnationaux et nationaux de données à caractère personnel par les autorités policières et judiciaires, alors que la décision-cadre s’appliquait seulement aux échanges transnationaux. Le traitement des données doit donc contribuer à la réalisation de l’espace de sécurité liberté et justice, alors qu’en principe, en coopération judiciaire pénale internationale, les droits fondamentaux et leur protection apparaissent toujours comme une limite à l’efficacité de la répression.719 Le directive continue de porter sur les activités de prévention, d’enquête, de détection et de poursuite de crimes déjà couvertes par la décision-cadre 720 et énonce les principes régissant le traitement des données à caractère personnel, elle oblige les États membres à établir une distinction entre les données personnelles de différentes catégories de personnes concernées. La Directive reprend les principes du Règlement 679 à commencer par les définitions d’intéressé, de donnée personnel, traitement, titulaire du traitement etc.… La directive prévoit aussi que, le transfert vers des pays tiers ne peut avoir lieu que s’ils sont nécessaires à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ou d’exécution de sanctions pénales.
Elle contient, cependant, des dispositions spécifiques sur la responsabilité du responsable et sur ses obligations en matière de transparence et de droit d’accès. Parmi les institutions qui ont participé à la réforme, le G29 a exprimé son avis critique car la directive a un caractère plutôt sémantique que substantiel721, contrairement à l’abrogation de la directive 95/46 remplacée par le règlement, qui constitue un développement de la matière qui aura un impact sur la vie des citoyens 722 . La doctrine a également critiqué le choix de la Commission d’élaborer deux
717 Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/ JAI du Conseil.
718 Directive (UE) 2016/680, considérant 93.
719 V.G. TAUPIAC NOUVEL, De la protection des données personnelles à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en coopération pénale européenne. La fragmentation de l’Espace de liberté sécurité et de Justice, Journée d’étude européennes du GDR CNRS ELSJ, Lyon III, 14 et 15 juin 2012.
720 Directive (UE) 2016/680, art. 1er, § 1.
721 Voy. Avis n. 1/2013 du 26 février 2013 (doc. web n. 2980389) e les avis n. 1/2012 et 8/2012 (doc. web nn. 2572831 et 2133818).