1

Le paquet « données personnelles »

< Rapport d'information >

La Commission européenne a lancé dès 2009, à travers une consultation publique, une réflexion sur la nécessité de réexaminer le cadre juridique de la protection des données personnelles, compte tenu des évolutions technologiques rapides et de la mondialisation. En novembre 2010, elle a publié une communication fixant les objectifs essentiels d’une nouvelle approche globale de la protection des données personnelles, dans laquelle elle annonçait son intention de présenter des propositions législatives (28).

Ce processus s’est inscrit dans le contexte de l’évolution du cadre institutionnel de la protection des données personnelles. En raison de l’entrée en vigueur du traité de Lisbonne, le 1 er décembre 2009, l’article 8 de la Charte des droits fondamentaux de l’Union européenne, relatif à la protection des données personnelles, a acquis une force juridiquement contraignante. En outre, l’article 16 du traité sur le fonctionnement de l’Union européenne (TFUE), qui reconnaît également le droit à la protection des données personnelles, a créé une base juridique propre à cette protection (29).

Article 8 de la Charte des droits fondamentaux de l’Union européenne

« 1. Toute personne a droit à la protection des données à caractère personnel la concernant.

2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.

3. Le respect de ces règles est soumis au contrôle d’une autorité indépendante. »

Article 16 du traité sur le fonctionnement de l’Union européenne

« 1. Toute personne a droit à la protection des données à caractère personnel la concernant.

2. Le Parlement européen et le Conseil, statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les États membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d’autorités indépendantes.

Les règles adoptées sur la base du présent article sont sans préjudice des règles spécifiques prévues à l’article 39 du traité sur l’Union européenne. »

Le 25 janvier 2012, la Commission européenne a publié une proposition de règlement général sur la protection des données (30) et une proposition de directive sur les données policières et judiciaires (31), ces deux textes constituant le « paquet données personnelles ».

Compte tenu des délais restreints dans lesquels la mission d’information a mené ses travaux, vos rapporteurs ont fait le choix d’analyser en priorité l’impact du règlement, qui constitue le futur cadre général de la protection des données personnelles. L’encadré ci-dessous ne constitue donc qu’une présentation synthétique des grandes lignes de la directive adoptée le même jour.

**La directive 2016/ 680 du 27 avril 2016 relative à la protection des données personnelles en matière policière et judiciaire (**32 ) ****

Alors que la décision-cadre de 2008 ne visait que les échanges de données entre États membres ou entre États membres et États tiers, la directive relative à la protection des données personnelles en matière policière et judiciaire s’applique aux traitements de données effectués par les autorités compétentes au sein des États membres en matière de prévention et de détection d’infractions pénales, d’enquêtes et de poursuites ou d’exécution de sanctions pénales.

La directive applique aux données personnelles en matière policière et judiciaire les grands principes de la protection des données personnelles : les données devront être traitées de manière licite et loyale ; collectées pour des finalités déterminées, adéquates, pertinentes et non excessives par rapport aux finalités du traitement ; exactes et, si nécessaire, mises à jour ; conservées sous une forme permettant l’identification des personnes pendant une durée n’excédant pas celle nécessaire au regard des finalités.

Les personnes concernées par le traitement de leurs données personnelles disposeront d’un droit à l’information, portant notamment sur l’identité et les coordonnées du responsable du traitement, les finalités du traitement, l’existence du droit d’accès et d’un droit de réclamation auprès de l’autorité de contrôle.

Un droit d’accès des citoyens aux données les concernant ainsi qu’à certaines informations est également prévu. Toutefois, les États membres pourront, par la loi, limiter ce droit d’accès, si cette limitation « constitue une mesure nécessaire et proportionnée dans une société démocratique », compte tenu des intérêts légitimes de la personne (pour éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires, éviter de nuire à la poursuite d’infractions pénales, protéger la sécurité publique et la sûreté de l’État, protéger les droits et libertés d’autrui).

Enfin, un droit à la rectification des données inexactes et à l’effacement des données dont le traitement est illicite s’exercera directement auprès du responsable du traitement.

Les responsables de traitement devront mettre en œuvre les principes de protection des données dès la conception et par défaut (33). Ils devront fournir une analyse de l’impact du traitement sur la protection des données personnelles lorsque ce traitement est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques. Ils devront également notifier les violations de données à l’autorité de contrôle, ainsi qu’aux personnes concernées en cas de risque élevé pour leurs droits et libertés.

Les transferts de données vers des pays tiers ne pourront avoir lieu que s’ils sont nécessaires à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuite, ou d’exécution de sanctions pénales.

Ces transferts seront autorisés lorsque la Commission européenne aura adopté une décision constatant le caractère adéquat du niveau de protection dans l’État tiers. En l’absence d’une telle décision, le transfert pourra avoir lieu lorsqu’il existe des « garanties appropriées », qui devront être offertes par un instrument juridiquement contraignant, tel qu’une convention internationale, ou dans certains cas limitativement énumérés (menace grave et immédiate pour la sécurité publique d’un État membre ou d’un État tiers, nécessité à des fins de prévention et de détection d’infractions pénales par exemple).

La directive doit être transposée par les États membres avant le 6 mai 2018.

Les discussions sur le paquet « données personnelles » ont duré plus de quatre ans, ce qui représente une durée exceptionnellement longue. Ainsi que l’a indiqué Mme Aurélia Schaff, chef du secteur « espace judiciaire européen » au secrétariat général des affaires européennes (SGAE) devant la mission d’information, cette durée s’explique certes par la technicité du sujet mais aussi par les fortes réticences de nombreux États membres. Les négociations ont été particulièrement laborieuses s’agissant du règlement, qui compte au final 99 articles et 173 considérants. Ce n’est qu’en juin 2014 qu’ont pu être dégagés de premiers accords partiels au Conseil, une année supplémentaire ayant ensuite été nécessaire pour examiner l’ensemble du texte. Le Parlement européen avait pour sa part adopté sa position en première lecture en mars 2014. Le trilogue entre le Conseil, le Parlement européen et la Commission européenne s’est ensuite déroulé plus rapidement.

< Rapport d'information >