IV. UN NIVEAU SATISFAISANT DE PROTECTION DES DONNÉES PERSONNELLES
Les stipulations relatives à la protection des données personnelles de l'article 7 prévoient que les transferts se font dans le strict respect de chaque législation nationale. Les exigences du droit interne sont ainsi pleinement applicables en la matière.
Une meilleure protection est attendue côté indien avec l'examen - toujours en cours - par le Parlement d'un projet de loi de protection des données personnelles inspiré du règlement général européen de 2016 sur la protection des données personnelles (RGPD).
Interrogés sur le type de données susceptibles d'être transmises dans le cadre des échanges d'informations opérationnelles, les services des ministères précités ont indiqué que, dans la mesure où la notion de donnée à caractère personnel ne fait pas l'objet d'une définition internationale uniforme, le traitement desdites données relève en premier lieu du droit interne des Etats. Toutefois, les institutions européennes ont développé une réflexion poussée en la matière, qui a abouti à la production de plusieurs textes normatifs (Convention de Strasbourg du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, le règlement général pour la protection des données ou RGDP de 2016, le corpus juridique régissant le transfert au titre de la coopération policière et de l'entraide judiciaire en matière pénale), qui ont vocation à promouvoir, à l'échelle internationale, une définition convergente de ces données et des normes exigeantes quant à leur protection.
S'agissant des transferts de données à caractère personnel qui pourront être réalisés au titre de la mise en oeuvre du présent accord franco-indien, il convient donc de se référer à la manière dont ces données sont définies dans le droit interne des deux États.
Pour ce qui concerne la France, la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés contenait jusqu'à récemment une définition propre de la donnée à caractère personnel, mais notre droit interne définit désormais cette notion par référence au droit de l'Union européenne (définition évolutive). Constitue donc une donnée à caractère personnel pour le droit français, en vertu du Règlement général sur la protection des données (RGPD) de 2016 (premier alinéa de l'article 4), « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »); est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
De très nombreuses informations constituent donc, au sens de notre droit interne, des données à caractère personnel dont la communication pourrait être utile aux fins de la prévention ou de la répression d'infractions (nom et prénom, date et lieu de naissance, adresse du domicile, numéro de sécurité sociale, numéros de téléphone, coordonnées bancaires, adresses électroniques, etc.). Mais l'ensemble de ces données bénéficient donc des règles de protection établies par le droit de l'Union européenne - directive (UE) 2016/680/JAI dite « police justice » - et transposées en droit interne français.
En outre, ces données ne peuvent être communiquées que dans le respect des procédures spécifiques définies par le droit interne, s'agissant par exemple de la communication de données dont la transmission suppose l'accord de l'autorité judiciaire.