Une information citoyenne au service d'une identité européenne
Réactions, commentaires et débats avec des invités

Glossaire interactif des termes de l'Espace de liberté, de sécurité et de justice
Observatoire législatif de l’Espace européen de liberté, de sécurité et de justice
Veille juridique et documentaire axée sur la Charte des droits fondamentaux de l’Union européenne
Actualités des grands projets de l'Union européenne
Dossiers documentaires thématiques
Actualités sur le rôle de l'Union européenne dans le monde
Une information citoyenne au service d'une identité européenne

Protection des données personnelles: une lacune du sytème communautaire est comblée, mais le Parlement européen souhaite des améliorations

pdf mise en ligne :19 06 2007 ( NEA say… n° 36 )

ASILE > Système d'information Schengen

Désormais, les données échangées dans le cadre de la coopération policière et judiciaire seront protégées. Le Parlement européen est satisfait du texte proposé, tout en réclamant des améliorations. La Commission s’irrite des retards après le dernier Conseil, mais espère une adoption rapide. 

Le Conseil a proposé une décision-cadre qui répond en partie aux attentes du Parlement: refus d’un niveau de protection inférieur à celui existant dans le cadre communautaire, inscription de principes généraux, mise à l’étude de la possibilité d’élargir le champ d’application au niveau national après évaluation par la Commission dans les trois ans. Mais le Parlement regrette que le Conseil n’ait pas accepté de reconnaître dès maintenant le même niveau de protection des données privées des citoyens échangées à l’intérieur de chaque Etat membre. Il salue le fait que le Conseil l’ait associé au processus de décision en le consultant pour la deuxième fois. Il déplore que le texte présenté ne fasse pas référence à la nécessité d’assurer un niveau suffisant de protection des données dans les échanges avec les pays tiers, question cruciale dans le cadre des négociations sur le PNR et de l'affaire SWIFT.

La proposition de décision-cadre avait déjà fait l’objet d’un avis du Parlement en juin 2006, qui introduisait un certain nombre d’amendements (cf. "Protection des données personnelles dans le cadre des activités policières et judiciaires", NEA say... n°15). Mais le Conseil, malgré l’engagement de plusieurs présidences en faveur d’une adoption rapide, a ralenti l’évolution du dossier, ce dont le Parlement s’est ému dans une résolution de décembre 2006, et à chaque fois qu'il en a eu l'occasion dans l’examen de dossiers connexes. Le Parlement redoutait un accord sur la base du plus petit dénominateur commun ; il craignait que le niveau de protection soit inférieur à celui existant et que "la mise en œuvre de ce possible accord ait des répercussions négatives sur le principe général de protection des données dans les Etats membres de l’UE, sans pour autant établir un niveau satisfaisant de protection au niveau européen".

Le rapporteur pour la commission des Libertés civiles, de la Justice et des affaires intérieurs, Martine Roure (socialiste française) (FR) (EN) s’est donc réjouie "des efforts déployés par la présidence allemande qui ont permis de débloquer cette décision-cadre au Conseil", ainsi que du texte proposé par la Commission qui résume en 15 principes généraux l’essentiel de l’acquis en matière de protection des données traitées dans le cadre de la coopération policière et judiciaire dans le domaine pénal. Elle s’est aussi félicitée du fait que le Conseil "ait compris la nécessité de maintenir le Parlement européen pleinement associé à ces négociations en le reconsultant formellement". Toutefois, le rapport signale un certain nombre de lacunes ou d’insuffisances, notamment par rapport à ces principes généraux que les députés souhaitent voir annexés à la décision-cadre. Ainsi, si le champ d’application couvre Europol et Eurojust, ils regrettent qu’il ne soit pas étendu au traitement des données au niveau national, ce qui peut conduire à la mise en œuvre de différents niveaux de protection. A cet effet, un amendement a été introduit qui prévoit une évaluation par la Commission dans un délai de trois ans; cela devrait mener à des propositions pour l’élargissement du champ d’application et d’une façon générale à l’amélioration du texte de la décision-cadre. Par ailleurs, les députés soulignent que l’adoption de la décision-cadre ne doit pas avoir pour conséquence une réduction du niveau de protection qui résulterait de dispositions nationales ou de conventions internationales. Concernant l’aspect international, il est déploré que le texte présenté par le Conseil ne fasse pas référence à la nécessité d’assurer un niveau suffisant de protection dans les échanges avec les pays tiers, question cruciale dans le contexte des discussions liées à SWIFT et aux accords sur les données de passagers (PNR) (cf. "Il y a urgence à adopter la décision-cadre en matière de protections des données personnelles", NEA say... n°34). Le transfert des données à des pays tiers, à des organisations internationales ou à des personnes privées ne peut de manière générale être toléré qu’à titre exceptionnel et en cas d’absolue nécessité, estiment les députés. Le rapport met également l’accent sur le fait que la décision doive s’appliquer à toutes les autorités nationales, sans exception, alors que le Conseil estime qu’elle ne devrait pas couvrir les organismes qui traitent des questions de sécurité nationale. De plus les personnes doivent "être impérativement informées du traitement des données les concernant", tandis que le Conseil en envisageait simplement la possibilité. Toutefois, la fourniture de ces informations peut être retardée dans le cadre d’une enquête par exemple.

Le respect de ce principe de finalité dans le traitement des données amène également le Parlement à vouloir limiter la possibilité de "traitement ultérieur des données" introduite par le Conseil, qui envisageait cette possibilité "pour toute autre finalité" avec "le consentement de la personne concernée". Or, comme le souligne le rapporteur, "il n’existe pas de consentement réellement libre dans les domaines de la coopération policière et judiciaire". Pour les députés, "le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale ainsi que le traitement des données relatives à la santé et à la vie sexuelle", est par principe interdit et ne peut être toléré qu’en cas d’absolue nécessité et dans un cadre légal clair. Le contrôle du respect de ces règles doit être assuré par une nouvelle autorité de contrôle commune, qui devrait, selon les députés, regrouper les autorités nationales et le Contrôleur européen de la protection des données, et être mise en place par le Conseil dans les 12 mois suivant l’entrée en vigueur de la décision-cadre. Les députés souhaitent enfin ajouter les 15 principes généraux proposés par la Commission en annexe, afin qu’ils fassent l’objet d’une prise de position formelle de la part de toutes les institutions. Ces principes sont entre autres la protection des droits et libertés, la transparence, la légitimité et la proportionnalité du traitement des données, la qualité des données, les droits d’information et de rectification, la confidentialité et la sécurité, ou encore la responsabilité et les possibilités de recours.

Le Conseil Justice et Affaires intérieures des 12 et 13 juin 2007 a adopté des conclusions concernant la décision-cadre relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (FR) (EN). La Commission a pris acte, mais par la voix du vice-président Franco Frattini , elle a regretté que la décision-cadre ne soit pas encore adoptée, notamment parce que sa proposition remonte déjà à 2005 et qu’elle ne prévoit qu’un niveau minimal d’harmonisation des principes de protection des données. Elle encourage le Conseil à donner la priorité au débat sur la décision-cadre afin de parvenir au plus tôt à un accord politique. Par ailleurs, la Commission prend acte que la décision-cadre s’appuierait sur les principes minimaux de protection des données à caractère personnel du Conseil de l’Europe. Elle a en outre annoncé qu’elle examinerait toutes les solutions suggérées par le Parlement européen et tiendrait compte de son avis (le cas échéant). Enfin, elle a l’intention d’obtenir un accord sur la décision-cadre dès que possible et au plus tard avant la fin de 2007.