Justice et affaires intérieures

Proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales et à la libre circulation de ces données
E7054 - COM (2012) 10 final du 25/01/2012

Texte déposé au Sénat le 01/02/2012
La commission des lois s'est saisie de ce texte le 08/02/2012

Ce texte a fait l'objet de la proposition de résolution : n° 343 (2012-2013) : voir le dossier legislatif

Justice et affaires intérieures

Texte E 7054

Protection des données personnelles

COM (2012) 10 final

Proposition de résolution européenne de M. Simon Sutour

(Réunion du 7 février 2013)

M. Simon Sutour, président. - Il y a un an, nous avons traité de la proposition de règlement général sur la protection des données, d'application immédiate. En mars 2012, le Sénat a adopté sur mon rapport une résolution sur la proposition de règlement général sur la protection des données. Sur notre initiative, le Sénat a aussi adopté un avis motivé au titre de la subsidiarité. Ce texte est encore loin d'être finalisé : le Parlement européen devrait se prononcer en avril. La présidence irlandaise semble vouloir parvenir à un accord, au moins partiel, d'ici juin.

Voici maintenant la proposition de directive, qui doit faire l'objet d'une transposition. Fixant le cadre de la protection des données dans le domaine de la coopération policière et de la coopération judiciaire en matière pénale, elle se substitue à une décision-cadre de 2008. Si notre commission adopte la proposition de résolution, celle-ci sera renvoyée à la commission des lois.

La décision-cadre de 2008 s'applique au seul traitement des données à caractère personnel transmises ou mises à disposition entre les États membres : le traitement des données par la police et la justice dans le cadre d'affaires pénales au niveau national en étant exclu, elle n'harmonise pas les niveaux de protection sur le territoire européen, qui voit donc coexister des régimes spécifiques différents (système d'information Schengen, Europol, traité de Prüm...)..

Les autorités de protection de données regroupées au sein du groupe de l'article 29, le G29, qui comprend notamment la Cnil, ont également jugé insuffisant l'encadrement des données sensibles et des transferts de données vers des États tiers, ainsi que le rôle qui leur est dévolu.

Nous ne sommes pas les moins bien dotés en cette matière. La loi « Informatique et libertés » s'appliquant à tous les traitements de données, quelle que soit leur finalité, nous garantit un niveau de protection adéquat au sens de la décision-cadre, qui n'a donc pas été transposée.

D'après le traité de Lisbonne, toute personne physique a le droit à la protection des données personnelles la concernant. Le traité a en outre créé une base juridique spécifique pour les données personnelles, qui comprend la coopération policière et la coopération judiciaire en matière pénale.

Nous souscrivons au choix de la Commission européenne de traiter ces questions dans un texte spécifique. Les questions pénales, profondément marquées par les traditions nationales, rendent difficile l'adoption d'un règlement.

Si la prise en compte des échanges entre États membres et à l'intérieur de chaque pays constitue un progrès, l'exclusion des traitements mis en oeuvre par les organismes européens tels qu'Europol, Eurojust ou Frontex rend les dispositifs peu cohérents et lisibles.

En outre, il pourra être difficile de déterminer, pour certains traitements, s'ils relèvent de la directive ou du règlement général. De nombreux fichiers de police administrative, qui relèveraient, en l'état, de la proposition de règlement, devraient logiquement relever de la proposition de directive, afin de garantir une cohérence des règles applicables à ces fichiers mixtes. Ainsi, le fichier national des interdits de stade (FNIS) est un fichier de police administrative, à finalité de sécurité publique.

Dans plusieurs domaines, le texte risque de diminuer les protections garanties par notre droit national. Nous demandons donc qu'une disposition expresse rappelle que la directive ne fournit qu'un seuil minimal de garanties et que les États membres peuvent assurer un niveau supérieur de protection.

M. André Gattolin. - Cela va mieux en le disant.

M. Simon Sutour, président. - Lors de l'examen de la proposition de règlement, nous nous étions opposés aux multiples délégations faites à la Commission européenne sur des sujets essentiels qui devaient relever du législateur européen. Pour les mêmes motifs, nous ne pouvons accepter que la Commission adopte des actes délégués pour préciser les critères et exigences applicables à l'établissement d'une violation des données. Mme Reding nous avait expliqué que ces actes étaient très encadrés, toutefois, de mon point de vue, des actes bien encadrés ne sont pas délégués.

Le texte ne reprend pas le principe établi par la proposition de règlement selon lequel les données ne sont traitées que si, et pour autant que les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personnel. De même, aucune disposition expresse ne limite l'accès aux données au personnel dûment autorisé des autorités compétentes qui en a besoin pour l'exécution de ses missions. Les obligations des responsables de traitement devraient en outre être précisées au regard notamment des niveaux de sécurité qu'exigent ces traitements et des conditions fixées pour le transfert de données à caractère personnel vers des pays tiers à l'Union.

En outre, contrairement à la proposition de règlement, aucune disposition particulière n'est prévue en ce qui concerne le traitement de données relatives aux enfants, pourtant nécessaire en matière pénale.

Enfin, les rédactions retenues fragilisent parfois des garanties nécessaires. Par exemple, les distinctions entre les catégories de personnes concernées (mis en cause, témoin, victime, etc.) doivent être établies seulement « dans la mesure du possible ». Il semble normal d'informer la victime qu'elle figure dans un fichier, à la différence d'un mis en cause ou d'un suspect.

Le Sénat s'est toujours opposé à l'utilisation des données sensibles, notamment lors de l'examen des projets PNR, et la loi « Informatique et libertés » encadre strictement leur utilisation. Or, ses restrictions ne sont pas reprises dans le texte, qui définit de manière large les exceptions au principe d'interdiction du traitement de ces données : elles pourraient être utilisées lorsque le traitement est autorisé par une législation prévoyant des garanties appropriées - lesquelles ?

Les données biométriques, de plus en plus utilisées dans le cadre répressif, justifient un encadrement particulier, comme dans la proposition de règlement.

La durée de conservation ne doit pas excéder la durée nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ; aucun examen périodique de la nécessité de les conserver n'est prévu. Ces garanties sont insuffisantes.

Selon la CNIL, il convient que les limitations aux droits des personnes restent des exceptions à un principe général, y compris en matière de fichiers de police. Or, le texte est très évasif sur ce sujet. Les responsables de traitement doivent seulement prendre toutes les mesures raisonnables pour élaborer des règles transparentes et accessibles. L'absence de mention du droit d'opposition des personnes concernées est également problématique. Dans certaines situations, les personnes, les victimes d'infraction en particulier, doivent être en mesure de s'opposer au traitement de leurs données, à l'issue de la procédure judiciaire par exemple.

Enfin, les modalités concrètes d'exercice des droits des personnes concernées paraissent plus compliquées que dans la proposition de règlement, sans que cela soit justifié par les finalités des fichiers de police et de justice. Les transferts des données à des pays tiers constituent l'un des aspects les plus préoccupants du texte, comme du règlement d'ailleurs. Les responsables de traitement évalueront eux-mêmes le niveau de garantie, en dehors de tout cadre juridique et de tout contrôle. En outre, des règles devraient être prévues pour les transferts ultérieurs de données transmises initialement par un État membre. Celui-ci devrait pouvoir donner son accord avant que ses données puissent être re-transférées à un autre État par le destinataire du premier transfert.

Enfin, le texte prévoit l'obligation pour les États membres de renégocier tous leurs accords internationaux dans un délai de cinq ans après l'entrée en vigueur de la directive. Cette obligation apparaît peu réaliste, surtout dans un délai aussi court. Les ministères que nous avons auditionnés sont effrayés par cette perspective ; il n'a pas toujours été facile de parvenir à un accord et plusieurs dizaines de textes sont concernés.

Si le texte était adopté en l'état, le rôle et les pouvoirs des autorités de contrôle seraient en retrait par rapport à la loi française, mais aussi par rapport à la proposition de règlement. Le contrôle a priori de la CNIL serait réduit : la consultation préalable des autorités ne serait requise que dans les cas où le traitement créé contient des données sensibles et lorsqu'il utilise de nouvelles technologies susceptibles de porter atteinte aux droits fondamentaux. En outre, cette consultation n'aurait lieu qu'à l'occasion de la création d'un nouveau fichier et non pas pour ses modifications ultérieures, d'où notre demande de conserver notre standard.

Le contrôle a posteriori de la CNIL pourrait également être remis en cause : de nombreux pouvoirs prévus dans le cadre du règlement ne sont même pas mentionnés, alors que la CNIL dispose, sauf exception, de pouvoirs similaires sur tous les traitements de données, quels que soient leur finalité ou le responsable du traitement.

Il faut absolument se prémunir contre un recul par rapport aux dispositions nationales en vigueur. C'est pourquoi je vous soumets cette proposition de résolution, qui sera transmise à la commission des lois, où, en accord avec son président, je présenterai une communication.

M. André Gattolin. - Il n'est pas toujours facile d'articuler règlements et directives. En mars dernier, nous avions dissocié la partie exploitation commerciale des données...

M. Simon Sutour, président. - En résumé, on facilite la vie des entreprises et on complique celle ces citoyens... La directive ne vise que le domaine judicaire et policier.

M. André Gattolin. - La CNIL a publié un communiqué le 16 janvier dernier au sujet du pré-rapport de M. Albrecht, rapporteur de la commission Libertés civiles, justice et affaires intérieures du Parlement européen. Elle l'approuve malgré des points de suspension sur le pré-référencement et la préservation du droit à l'oubli numérique. Comment cela s'articule-t-il avec la directive ?

M. Simon Sutour, président. - Il y a deux textes européens : un projet de règlement et un projet de directive. Chaque institution joue son rôle. Le Parlement européen doit se prononcer en avril prochain. Conformément à l'article 88, alinéa 4 et 6, de la Constitution, nous donnons notre point de vue : après le règlement, c'est le tour de la directive.

M. André Gattolin. - Je m'étonne du communiqué plutôt positif de la CNIL.

M. Simon Sutour, président. - M. Albrecht est rapporteur et le parlement européen devra se prononcer sur son rapport. En outre, même si le point de vue du Parlement est important, il faut aussi être attentif à la négociation qui est difficile au sein du Conseil. Lorsque nous avons reçu Mme Reding, nous pensions en avoir pour deux ans. Un an s'est écoulé et certains États, comme l'Allemagne, manifestent leur opposition.

M. André Gattolin. - Votre rapport me paraît excellent.

M. Jean-François Humbert. - En effet.

M. Simon Sutour, président. - Il y a des points communs avec l'examen du projet de règlement. J'ai auditionné le Secrétariat général des affaires européennes et les ministères concernés. Il faut protéger les citoyens sans empêcher la police d'agir. Va-t-on demander aux éventuels délinquants s'ils acceptent de figurer dans un fichier ? Nous avons également longuement entendu la CNIL.

M. Jean Bizet. - Je voterai cette proposition de résolution. Je considère que la position de la France est équilibrée. L'environnement est assez conflictuel, des incivilités se manifestent ça et là. L'utilisation des données pour protéger les biens et les personnes est fondamentale dans une démocratie. Cependant, il faut prévoir des garde-fous.

Le texte n'évoque pas les données à caractère commercial. Notre collègue Catherine Morin-Desailly traitera prochainement des cartes bancaires, au moyen desquelles certains organismes mettent la main sur des données à caractère commercial au prix exorbitant.

M. André Gattolin. - Tout à fait.

M. Jean Bizet. - Sachons distinguer entre les deux. Une certaine ouverture est nécessaire pour garantir la protection des biens et des personnes, sans aller trop loin cependant. Je suis surpris par la réaction allemande...

M. Simon Sutour, président. - Elle s'explique par sa structure fédérale. La différence des législations entre les Länder n'est déjà pas simple...

M. Jean Bizet. - Reste que pour lutter contre la délinquance et le terrorisme, nous devons utiliser le partage des données.

À l'issue du débat, la commission des affaires européennes a adopté, à l'unanimité, la proposition de résolution dans la rédaction suivante :

Proposition de résolution européenne

Le Sénat,

Vu l'article 88-4 de la Constitution,

Vu l'article 2 de la Déclaration des droits de l'homme et du citoyen,

Vu le traité sur le fonctionnement de l'Union européenne, notamment son article 16,

Vu la Charte des droits fondamentaux de l'Union européenne, notamment ses articles 7 et 8,

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel,

Vu la proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales et à la libre circulation de ces données (texte E 7054),

Rappelle les principes qu'il a affirmés dans sa résolution du 6 mars 2012 sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (texte E 7055), en particulier sur la nécessaire compétence de l'autorité de contrôle du pays de résidence du citoyen dont les données à caractère personnel font l'objet d'un traitement, sur le renforcement indispensable du rôle de ces autorités de contrôle, sur le nombre excessif d'actes délégués et d'actes d'exécution qui relèveraient de la compétence de la Commission européenne, sur la possibilité qui devrait être laissée aux États membres de garantir un haut niveau de protection des droits des personnes concernées, et sur les dérogations inopportunes aux obligations pesant sur les responsables de traitement en matière de transferts internationaux de données ;

Considère comme un objectif essentiel d'assurer la sécurité des citoyens européens, à travers la coopération judiciaire et policière, tout en maintenant un niveau élevé de protection de leurs droits fondamentaux, en particulier de leurs droits sur leurs données personnelles ;

Estime que l'efficacité de la coopération dans ce domaine sera renforcée par l'existence d'un ensemble de règles garantissant la transparence des traitements de données, la pertinence et la fiabilité des informations recueillies ou les conditions de réutilisation de ces données pour des traitements ultérieurs ;

Souligne la nécessité de préserver les garanties prévues par le cadre juridique national qui permet un haut niveau de protection des données personnelles et qui repose sur le principe fondamental selon lequel les traitements de données nécessaires dans le cadre des activités répressives de l'État doivent être mis en oeuvre conformément aux principes généraux de protection des données, tout en bénéficiant des dérogations justifiées et adaptées à leurs besoins ;

Demande dès lors qu'une disposition expresse précise que la directive ne fournit qu'un seuil minimal de garanties et qu'elle ne prive pas les États membres de la possibilité d'adopter des dispositions nationales plus protectrices ;

Approuve le choix de rendre applicable le texte tant aux échanges de données entre États membres qu'aux traitements de données au niveau national ; estime que l'exclusion du champ d'application de la directive des traitements mis en oeuvre par les organismes européens (comme Europol, Eurojust ou Frontex, par exemple) posera un problème de mise en cohérence et de lisibilité des dispositifs ; juge nécessaire de clarifier le régime applicable à certains fichiers de police administrative afin de garantir une cohérence des règles applicables à ces fichiers ;

Conteste que la Commission européenne soit habilitée à adopter des actes délégués pour préciser les critères et exigences applicables à l'établissement d'une violation des données, sans même consulter les autorités de contrôle ;

Considère que les données à caractère personnel ne devraient pouvoir être traitées que si, et pour autant que, les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personnel ; qu'en outre, l'accès aux données devrait être strictement limité au personnel dûment autorisé des autorités compétentes qui en a besoin pour l'exécution de ses missions ; que les obligations des responsables de traitement devraient être davantage précisées au regard notamment des niveaux de sécurité qu'exigent ces traitements ; que des dispositions spécifiques devraient être prévues pour le traitement de données relatives aux enfants ;

Souligne que l'utilisation de données sensibles doit en principe être interdite ; que des dérogations à cette règle ne doivent être admises que dans la mesure où la finalité du traitement l'exige et sous réserve qu'un contrôle strict soit prévu ; considère, en conséquence, que le texte définit de manière trop large les exceptions au principe d'interdiction du traitement de ces données, en particulier pour le cas où le traitement est autorisé par une législation prévoyant des garanties appropriées ; juge nécessaire que le traitement des données biométriques soit soumis à un encadrement spécifique ;

Estime que la disposition selon laquelle les données ne doivent être conservées que pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées n'offre pas les garanties suffisantes ; que le texte devrait demander aux États membres de prévoir un délai de conservation des données et exiger qu'un examen périodique permette d'évaluer la nécessité de les conserver, sous le contrôle des autorités de protection ;

Considère que, s'il peut être nécessaire de prévoir, dans ce domaine, des limitations à certains des droits des personnes concernées, le texte devrait mieux affirmer qu'il s'agit d'exceptions à ces droits qui doivent être par ailleurs suffisamment garantis ; qu'un droit d'opposition devrait être prévu, au moins pour certaines catégories de personnes, et notamment les victimes d'infraction, qui doivent être mises en mesure de s'opposer au traitement de leurs données à l'issue de la procédure judiciaire ; qu'il conviendrait d'améliorer les conditions concrètes d'exercice de ces droits, et notamment la mise en oeuvre des droits d'accès et de rectification, trop restrictivement prévus ;

Juge insuffisant le dispositif relatif au transfert de données à des pays tiers ; relève, en particulier, que les responsables de traitement pourraient évaluer eux-mêmes, en dehors de tout cadre juridique établi et de tout contrôle d'une autorité de protection des données, si le transfert est entouré de garanties appropriées ; déplore que le texte prévoie des dérogations supplémentaires, qui seraient autorisées pour des fins particulières mais sans conditions précises de mise en oeuvre ; estime que des transferts ultérieurs de données ne devraient être possibles que sous réserve de l'accord de l'État qui les a transmises initialement ; juge, en outre, peu réaliste l'obligation qui serait faite aux États membres de renégocier tous leurs accords internationaux dans un délai de cinq ans après l'entrée en vigueur de la directive ;

Souligne que le rôle des autorités de contrôle devrait être sensiblement renforcé, tant dans la procédure de collecte des données que dans la supervision des systèmes de traitement de données.