Protection des données à caractère personnel

Proposition de directive du Parlement européen et du Conseil modifiant la décision 2005/671/JAI du Conseil en ce qui concerne sa mise en conformité avec les règles de l'Union relatives à la protection des données à caractère personnel

COM(2021) 767 final  du 01/12/2021

Contrôle de subsidiarité (article 88-6 de la Constitution)


Alors qu'un ensemble de textes a été proposé par la Commission européenne pour faciliter les échanges d'informations entre autorités juridictionnelles et services de police1(*), l'objet du présent texte est très ciblé et vient remettre à niveau les exigences du droit en vigueur en matière de protection des données personnelles dans le domaine de la lutte contre le terrorisme.

En l'état du droit, la décision 2005/671/JAI du Conseil du 20 septembre 2005 relative à l'échange d'informations et à la coopération concernant les infractions terroristes prévoit que les États membres sont tenus de recueillir toutes les informations pertinentes concernant les enquêtes pénales conduites dans le cadre d'infractions terroristes qui intéressent ou sont susceptibles d'intéresser un ou plusieurs États membres et de les transmettre à Europol.

Cependant, les règles générales relatives à la protection des données ont évolué depuis 2005 avec l'adoption de la directive (UE) 2016/680 (directive en matière de protection des données dans le domaine répressif), entrée en vigueur le 6 mai 2016. Cette dernière prévoyait un réexamen des normes applicables pour la protection des données personnelles avant le 6 mai 2019. En conséquence, quoi qu'avec un léger retard, en 2020, la Commission européenne a recensé plusieurs mises à niveau nécessaires dans la décision 2005/671/JAI précitée2(*).

Conformément à cette évaluation, le présent texte tend :

-d'une part, à préciser les motifs de collecte des données personnelles, à savoir la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière ;

-d'autre part, à définir plus précisément les catégories de données personnelles susceptibles d'être échangées.

Soulignons à ce stade que cette mise à niveau s'inscrit dans un contexte de tensions renouvelées au sujet de la conservation des données personnelles dans le domaine répressif pour deux raisons :

- en premier lieu, le mandat révisé d'Europol, qui a fait l'objet d'un accord politique entre le Conseil et le Parlement européen, le 4 février dernier, renforce les prérogatives de l'agence européenne de coopération policière en matière de traitement des données personnelles, tranchant en faveur de l'agence un conflit qui l'opposait au Contrôleur européen de la protection des données (CEPD) sur ses procédures de collecte et de traitement des données ;

- en second lieu, la Cour de justice de l'Union européenne (CJUE)3(*), confortée par la suite par le Conseil Constitutionnel4(*), a dénoncé le principe de la conservation générale et indifférenciée des données personnelles, tout en prévoyant des exceptions ciblées « lorsqu'un État membre fait face à une menace grave pour la sécurité nationale ». Sans s'opposer frontalement à la Cour en procédant à un contrôle « ultra vires », le Conseil d'État5(*), soucieux de préserver autant que possible les procédures de surveillance et d'enquêtes des services de lutte contre le terrorisme français, a rappelé avec force la primauté de la Constitution ainsi que sa faculté d'écarter une norme européenne dans l'hypothèse où cette dernière priverait une exigence constitutionnelle de garanties effectives. Puis, constatant qu'il n'avait pas besoin de procéder à un tel rejet, il a interprété largement les exceptions prévues par la Cour.

Au regard du principe de subsidiarité, le texte examiné, qui constitue une mise à jour restreinte de la décision 2005/671/JAI précitée, ne pose pas de difficulté. Il fait référence à l'article 16 du traité sur le fonctionnement de l'Union européenne (TFUE), relatif à la protection des données personnelles, qui est une base juridique pertinente.

Son adoption, qui résulte d'une revue générale des règles de protection des données prévue par le droit en vigueur (directive 2016/680), est nécessaire pour actualiser ces règles, au profit des citoyens des États membres et, plus largement, de toute personne dont les données seraient collectées et traitées dans le cadre de la lutte anti-terroriste.

Enfin, les dispositions prévues sont proportionnées aux objectifs poursuivis.

Le groupe de travail sur la subsidiarité a donc décidé de ne pas intervenir sur ce texte au titre de l'article 88-6 de la Constitution.

* 1 À titre d'exemple, on peut citer la proposition de règlement COM(2021) 757 final qui tend à conforter les échanges numériques actuels en matière de lutte contre le terrorisme ou la proposition de règlement COM(2021) 784 final « Prüm II » relative à l'échange automatisé de données dans le cadre de la coopération policière.

* 2 Communication « Marche à suivre en ce qui concerne la mise en conformité de l'acquis de l'ancien troisième pilier avec les règles en matière de protection des données », COM(2020) 262 final, en date du 24 juin 2020.

* 3 CJUE, 6 octobre 2020, Privacy International, La Quadrature du Net, French data Network et autres, C-623/17, C-511/18, C-512/18 et autres.

* 4 Conseil Constitutionnel, M. Habib A. et autre, décision n2021-976/977 QPC du 25 février 2022.

* 5 Conseil d'État, Ass., 21 avril 2021, req. n°393099.


Examen dans le cadre de l'article 88-4 de la Constitution

Texte déposé au Sénat le 18/01/2022


· Justice et affaires intérieures

Proposition de directive du Parlement européen et du Conseil modifiant la décision 2005/671/JAI du Conseil en ce qui concerne sa mise en conformité avec les règles de l'Union relatives à la protection des données à caractère personnel

COM(2021) 767 final - Texte E16366

(Procédure écrite du 3 mars 2022)

Compte tenu de sa nature purement technique, la commission a décidé de ne pas intervenir sur ce texte.