84 La tension existant entre impératifs de sécurité et protection des données personnelles.
Les données échangées dans l’espace de liberté, sécurité et de justice sont souvent des données sensibles dont le traitement peut porter atteinte à la vie privée. Le chapitre veut analyser les pratiques sécuritaires contemporaines et leurs impacts sur les citoyens de l’Union. Cela nous invite à repenser les régimes des droits fondamentaux en vigueur, notamment au regard de la tension existant entre impératifs de sécurité et protection de la vie privée et des données personnelles. Le droit à la protection des données à caractère personnel dans ce domaine a une importance particulière mais subit aussi des limitations qu’il conviendra d’identifier et éventuellement de justifier. L’objet du présent chapitre sera d’analyser le fonctionnement des différents mécanismes existants permettant l’échange d’informations dans le cadre de l’Espace de liberté, de sécurité et de justice de l’Union européenne (en matière d’asile, d’immigration et aussi dans la coopération policière et judiciaire en matière pénale) afin de vérifier si l’on assiste à un déplacement du curseur vers plus de sécurité au détriment de l’exigence de liberté Au sein de l’UE, la protection des données dans le secteur de la police et de la justice pénale est réglementée dans le cadre du traitement national et transfrontalier par les autorités de police et de justice pénale des États membres et des acteurs de l’UE572. Alors que le traité de Maastricht était resté vague quant aux objectifs du troisième pilier, le traité d’Amsterdam propose un véritable projet européen avec l’objectif ambitieux « d’offrir aux citoyens un niveau élevé de protection dans un espace de liberté, de sécurité et de justice ». Toutefois, c’est à la suite du sommet de Tampere573 (et des attentats du 11 septembre 2001) que la plupart des décisions- cadres relatives au droit pénal matériel sont adoptées574. Le système repose sur la création de fichiers de données personnelles, informations indispensables en matière de lutte contre le terrorisme, formes graves de criminalité et d’immigration illégale575. Or, la difficulté est de trouver un équilibre entre sécurité et protection des données personnelles afin de ne pas se retrouver dans une société surveillée et liberticide. En effet, l’allocution « sécurité et ordre public », entraîne souvent l’application de mesures limitant l’exercice de certains droits
572 Une distinction importante entre le droit de l’Europe et le droit de l’UE est que le droit du Conseil de l’Europe, contrairement au droit de l’UE, s’applique également au domaine de la sécurité nationale. Cela signifie que les parties contractantes doivent rester dans les attributions de l’article 8 de la CEDH, même pour des activités liées à la sécurité nationale.
Plusieurs arrêts de la Cour européenne des droits de l’homme concernent les activités de l’État dans les domaines sensibles du droit et de la pratique de la sécurité nationale.
573 Au « programme de Tampere » succède le « programme de La Haye » adopté par le Conseil européen de Bruxelles les 4 et 5 novembre 2004 (voy. les conclusions, doc. ST 14292 2004 INIT, du 05/11/2004, p. 11 et s.). Le « programme de Stockholm » adopté par le Conseil européen des 10 et 11 décembre 2009 (doc. ST 6 2009 INIT, du 11/12/2009, p. 9 et s.) pour la période 2010-2014. Le Conseil européen des 26 et 27 juin 2014 (a adopté des orientations stratégiques pour la période 2015- 2020 (doc. ST 79 2014 INIT, du 27/06/2014). Quoique ces orientations n’utilisent plus le terme de «programme», elles sont parfois qualifiées de « programme de Rome ».
574 R. SCHUTZE, From dual to cooperative federalism : the changing structure of the european law, Oxford University Press, 2009, p. 1123-1124.
575 V. GAUTRON, « Usage et mésusages des fichiers de police: la sécurité contre la sûreté? », AJ pénal, 2010, p. 266.
fondamentaux 576 . La sûreté constitue un concept ancien qui a pu justifier des mesures restrictives des droits et libertés au nom de la sécurité ; Thomas Hobbes a théorisé l’importance de la sécurité dans le « contrat social », décrite comme un « attribut de l’État »577. Comme il a été souligné, la sécurité n’est pas envisagée comme un droit subjectif en soi, mais plutôt comme une notion autonome entrant en relation avec d’autres normes de rang constitutionnel sur un plan strictement fonctionnel578. Ainsi le concept de sécurité appartient à toutes les traditions constitutionnelles contemporaines, mais le sens qui lui est attribué n’est pas univoque. Ce concept est appréhendé tantôt comme un droit subjectif des individus à l’intégrité physique, tantôt comme une des missions régaliennes de l’État. De plus, la notion de sécurité se rapproche à celle plus large d’ordre public. Toutefois, l’ordre public n’est pas défini par le droit positif comme constituant un droit subjectif. On parle alors d’objectif de valeur constitutionnelle.579, Les objectifs de valeur constitutionnelle constitueraient, sur le plan matériel, des « conditions d’effectivité des droits et des libertés » qui ne peuvent être méconnus par le législateur. Leur portée normative serait, toutefois, limitée dans la mesure où il n’impose qu’une obligation de moyens aux pouvoirs publics et donc disposant d’un rang inférieur aux droits fondamentaux580. Par conséquent, l’existence d’un « droit à la sécurité » à défaut d’encadrement, peut entraîner des dérives et des risques. Ainsi la sécurité et la liberté entretiennent un lien étroit avec la protection des données personnelles puisqu’elles sont essentielles au travail des autorités répressive, mais comme le disait Benjamin Franklin « Ceux qui sont prêts à abandonner une liberté essentielle en échange d’un peu de sécurité ne méritent ni la liberté, ni la sécurité » 581. Au contraire, d’autres ont vu dans la sûreté « beaucoup plus qu’une liberté particulière ayant un objet déterminé […] elle est, plus largement, la garantie de la sécurité juridique de l’individu face au pouvoir. La sûreté constitue donc la protection avancée de toutes les libertés : c’est elle qui permet leur exercice paisible ».582 Ce débat philosophique oppose classiquement les tenants
576 Voy. V. MITSILEGAS, « The Value of Privacy in an Era of Security: Embedding Constitutional Limits on Preemptive Surveillance », Internal political sociology, vol. 8, (1) 2014, p.104-108.
577 T. HOBBES, Léviathan. Traité de la matière, de la forme et du pouvoir ecclésiastique et civil, (1651), Université du Québec, Chicoutimi, http://classiques.uqac.ca/classiques/hobbes_thomas/leviathan/leviathan.html.
578 E. DENNINGE, « Stato di prevenzione e diritti dell’uomo », cit. 93, cit. in M. RUOTOLO, La sicurezza nel gioco del bilanciamento, , Astrid Rassegna (revue de droit constitutionnel online), 2009, p. 32.
579 Cela est confirmé par le Conseil constitutionnel en 1982 et en 1985. Dans la décision n° 82-141 DC du 27 juillet 1982, le Conseil constitutionnel a estimé qu’il « appartient au législateur de concilier (…) l’exercice de la liberté de communication telle qu’elle résulte de l’article 11 de la Déclaration des droits de l’homme (…) et les objectifs de valeur constitutionnelle que sont la sauvegarde de l’ordre public » (consid.5). Celui-ci a précisé ultérieurement, dans la décision n° 85-187 DC du 25 janvier 1985, qu’ « en vertu de l’article 34 de la Constitution la loi fixe les règles concernant les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques ; que dans le cadre de cette mission, il appartient au législateur d’opérer la conciliation nécessaire entre le respect des libertés et la sauvegarde de l’ordre public sans lequel l’exercice des libertés ne saurait être assuré » (consid. 3).
580 P. DE MONTALIVE, « Les objectifs de valeur constitutionnelle », Cahiers du Conseil constitutionnel n° 20, Juin 2006, disponibles à l’adresse : https://www.conseil-constitutionnel.fr/nouveaux-cahiers-du-conseil-constitutionnel/les-objectifs-de- valeur-constitutionnelle
581 B. FRANKLIN, il a exprimé une telle idée lors d’un débat devant le Congrès continental à Philadelphie en 1775 à propos des négociations avec l’Angleterre”.
582 J. RIVERO, Le régime des principales libertés, Les Libertés publiques, t. 2, Paris, PUF, coll. « Thémis », 2003, p. 21.
des libertés fondamentales, aux défenseurs de toujours plus de sécurité, pour lesquels des sacrifices doivent être consentis pour assurer la sécurité583. L’Union européenne a fait le choix de placer la relation entre sécurité et liberté sous l’ongle du respect des droits fondamentaux584. Ceci signifie concevoir l’ELSJ comme « un espace unique de protection des droits fondamentaux », au sein duquel « le respect de la personne et de la dignité humaine (…) constitue une valeur essentielle » 585 . Toutefois la protection de la vie privée et son développement sous forme d’une protection spécifique de données personnelles, apparaît dans les faits comme très formelle et peu efficace586. Le régime de protection des données dans l’UE a été profondément influencé par l’ancienne structure en piliers de l’UE, qui a été abolie par le Traité de Lisbonne.587 Cette ancienne division en pilier reste source de grandes incertitudes et de lacunes, un cadre juridique global sur la protection des données à caractère personnel fait toujours défaut588. Or, l’UE a dû élaborer une législation spécifique pour assurer la protection des données traitées dans le champ couvert par l’ELSJ puisque les États avaient mis en place différents systèmes de coopération transfrontière entre les autorités compétentes 589 . La décision-cadre 2008/977/ JAI 590 , constitue le premier instrument 591 applicable dans les
583 A. TURK, P. PLAZZA, « La difficile quête d’un équilibre entre impératifs de sécurité publique et protection de la vie privée », Cultures et Conflits, Fichage et Listing, hiver 2009, n° 76, p. 124.
584 Le droit à la vie privée dans les pays d’Europe continentale comme l’Allemagne et la France ont une place centrale, alors que les pays de tradition anglo-saxonne, comme l’Angleterre et les États-Unis, l’abordent avec beaucoup plus de souplesse.
585 Voy. conclusions du Conseil européen des 10 et 11 décembre 2009, doc. EUCO 6/09, § 27.
586 M. FOESSEL, « La sécurité : paradigme pour un monde désenchanté », Esprit, aout-septembre 2006, p. 194.
587 Le principal objectif de l’ancien premier pilier de l’UE, à savoir l’ancien pilier communautaire, est de garantir la libre circulation des données à caractère personnel entre les États membres, dans le fonctionnement du marché intérieur, tout en protégeant les droits fondamentaux des personnes physiques et en particulier leur droit au respect de la vie privée dans le cadre du traitement des données à caractère personnel.
588 Étant donné que la directive 95/46 ne s’applique pas aux traitements mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire ni aux traitement qui ont pour objet la sécurité publique, la défense, la sureté de l’État et les activités relevant du domaine pénale.
589 Concernant la protection des données à caractère personnel dans le contexte du titre VI TUE (ledit pilier III), voy. par exemple, la Convention d’application de l’accord de Schengen de 1990 comprenant des dispositions spécifiques sur la protection des données applicables au Système d’Information Schengen, JO L 239, 22.9.2000, p. 19; la Convention Europol de 1995 et, entre autres, les règles relatives à la transmission de données à caractère personnel par Europol à des états et des instances tierces, JO C 316, 27.11.1995, p. 2 ; la décision instituant Eurojust de 2002, JO L 63, 6.3.2002, p. 1 et les dispositions du règlement intérieur d’Eurojust relatives au traitement et à la protection des données à caractère personnel, JO C 68, 19.3.2005, p. 1; la Convention sur l’emploi de l’informatique dans le domaine des douanes de 1995, y compris les dispositions relatives à protection des données à caractère personnel applicables au système d’information des douanes, JO C 316, 27.11.1995, p. 34 ; et la Convention relative à l’entraide judiciaire en matière pénale entre les états membres de l’Union européenne de 2000, notamment article 23, JO C 197, 12.7.2000, p. 1 et 15.
590 Décision-cadre relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, JOUE 30 déc. 2008, L 350/60. Elle sera bientôt remplacée par la directive sur la protection des données relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquête ou de poursuite ou d’exécution de sanctions pénales, et à la libre circulation de ces données
591 Dans le domaine appartenant à l’ex-troisième pilier (en matière de coopération judiciaire et pénale), il n’ y a pas de texte général régissant les traitements de données à caractère personnel. Dès 2005, la Commission avait proposé un projet de décision-cadre mais il n’a pas été adopté. De nombreux mécanismes de coopération ont été mis en place entre les États et il existe plusieurs traitements de données mais chacun fonctionne avec ses règles propres : décision JAI Europol, Système
échanges transfrontaliers de données à caractère personnel dans le cadre de la coopération policière et judiciaire592. Il est intéressant de voir comment l’Union européenne a mis en place son régime de protection des données personnelles dans l’ELSJ et a su placer le curseur entre sécurité et respect des libertés (section I). Toutefois, contrairement à la période précédente marquée par le souci de protéger le droit fondamental à la protection des données personnelles la nouvelle priorité de l’Union européenne semble celle de renforcer la sécurité dans le contexte de menace terroriste. Le cadre juridique préexistant a alors montré ses fragilités et ses lacunes ce qui a justifié une réforme du cadre juridique (section II).
d’Information Schengen, système d’information des douanes. Des mécanismes plus généraux de coopération en matière policière et pénale ont été prévus par la décision JAI 2008/615 visant à intégrer le Traité Prüm dans le cadre juridique de l’UE ainsi que par la décision-cadre 2008_977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale.
592 Voy. E. SANFRUTOS CANO, The End of the Pillars? A Single EU Legal Order After Lisbon, in Law And Outsiders 67, Cian Murphy et al. eds., 2011 (explaining the evolving rules for the adoption of legislation in the field of JHA, which required unanimity in the Council until the entry into force of the Lisbon Treaty in 2009 and are now subject instead to normal voting rules).
Section I. L’approche européenne entre protection des droits fondamentaux et sécurité