Protection des données en matière policière : la directive européenne "Police - justice" est devenue un "point de référence international"

 

Un modèle exemplaire. Voici ce que dévoile un rapport sur la mise en œuvre de la directive dite "Police justice" ou "LED" en anglais. Cette directive est un modèle qui « agi comme un catalyseur pour que les pays du monde entier envisagent d'introduire des règles modernes de confidentialité dans ce domaine ». Toutefois, ce rapport de transposition pointe une série de difficultés, parmi lesquelles des autorités de protection des données (la CNIL en France) insuffisamment outillées

De quoi parle-t-on ?

Cette communication présente le premier rapport de la Commission européenne sur l'évaluation de la directive (UE) 2016/680 relative à l'application de la législation relative à la protection des données («la LED»). 

La LED est l'un des trois piliers du cadre de l'UE garantissant le droit fondamental à la protection des données personnelles. Les deux autres sont le règlement général sur la protection des données (« le RGPD ») et le règlement sur la protection des données pour les institutions et organes de l'UE (RGPD-UE). 

Le RGPD, l'EUDPR et la LED reposent sur des concepts et des principes similaires, ce qui se traduit par une interprétation et une application cohérentes des règles de l'UE Cependant, la LED traite également spécifiquement des risques dans le contexte de l'application du droit pénal. Par exemple, il oblige de tenir un journal sur l'utilisation des données à caractère personnel et se conformer avec des exigences de sécurité spécifiques.

Que contient le LED ?

La LED est le premier acte législatif de l'UE qui adopte une approche globale de la protection des données à caractère personnel par les autorités compétentes, c'est-à- dire les autorités judiciaires, la police et d'autres autorités répressives. Par rapport au texte précédent, la décision-cadre 2008/977/JAI du Conseil, qu'elle a abrogée et remplacée, elle constitue une avancée majeure pour garantir l'application cohérente des règles de protection des données dans l'ensemble de l'UE :

Premièrement, alors que la décision-cadre du Conseil ne couvrait que le traitement transfrontalier, la LED couvre également le traitement national des données à caractère personnel 

Deuxièmement, la LED fournit un ensemble complet et horizontal de règles, alors que dans l'approche précédente, chaque acte sectoriel de l'UE qui prévoyait le traitement de données à caractère personnel dans le cadre de l'application du droit pénal était régi par ses propres règles de protection des données.

Où va-t-on ?

La LED est entrée en vigueur le 6 mai 2016 et les États membres étaient tenus de la transposer au plus tard le 6 mai 2018.

Selon le rapport, le LED a contribué de manière significative à un niveau de protection plus harmonisé et plus élevé des droits des individus et à un cadre juridique plus cohérent pour les autorités compétentes. La LED a entraîné un niveau accru de sensibilisation et d'attention à la protection des données par les autorités nationales compétentes, également en ce qui concerne la sécurité du traitement.

Selon la Commission, compte tenu de l'expérience limitée de ces nouvelles règles, la Commission estime qu'il est trop tôt pour envisager une révision de la LED.

Elle prendra se prononcera ultérieurement, dans la prochaine évaluation prévue d'ici 2026. 

Il est important de considérer que la jurisprudence commence seulement à se développer concernant l'application du LED. Plusieurs affaires sont actuellement pendantes devant la Cour de justice de l'Union européenne (« la CJUE ») concernant l'interprétation de dispositions clés du LED telles que le droit d'accès des personnes concernées et le droit à un recours juridictionnel effectif. A ce sujet, la CJUE a commencé à rendre des arrêts sur l'interprétation de la LED, notamment dans les affaires WS contre Bundesrepublik Deutschland  et B contre Latvijas Républiques Saeima. Au moment de la rédaction de ce rapport, un certain nombre de décisions préjudicielles sont pendantes devant la CJUE. 

Une nouveauté : le réseau des contrôleurs de données de désigner un délégué à la protection des données (DPO) 

Une autre innovation du LED est l'obligation pour les contrôleurs de données de désigner un délégué à la protection des données (DPO) dont les tâches comprennent, l'information et le conseil sur les exigences en matière de protection des données, le contrôle du respect du LED, le conseil sur les évaluations d'impact sur la protection des données et le suivi. ses performance. 

La Commission a établi et anime le réseau des délégués à la protection des données des autorités compétentes, des agences de la justice et des affaires intérieures et du Parquet européen. Le réseau vise à fournir une plate-forme de coopération et d'échange d'expertise entre les DPO des États membres. Le réseau d'experts en protection des données d'Europol (EDEN) et les réseaux nationaux existants aident les DPD des autorités compétentes à promouvoir l'échange de bonnes pratiques et d'informations sur l'application du LED.

Le rôle central des autorités de contrôle de la protection des données

Au total, 19 autorités de contrôle de la protection des données ont exercé leurs pouvoirs d'enquête, soit de leur propre initiative, soit sur la base d'une plainte. Ces mêmes 19 autorités de contrôle de la protection des données ont également exercé leurs pouvoirs de correction. Le pouvoir de loin le plus fréquemment utilisé était celui de donner des ordres pour mettre le traitement en conformité avec la loi. Les autorités de contrôle de la protection des données ont fait usage de ce pouvoir dans 114 cas. 

La moitié des autorités de contrôle de la protection des données ont déclaré avoir été consultées sur les analyses d'impact relatives à la protection des données. Le nombre de consultations préalables varie d'un État membre à l'autre. Certaines autorités n'ont été consultées qu'une seule fois tandis qu'une autre a reçu 59 consultations préalables 

Près de la moitié des autorités de contrôle de la protection des données ont indiqué que, dans un petit nombre de cas, elles avaient fait l'objet de poursuites judiciaires concernant leurs décisions ou leur inaction. 

Les lignes directrices du Contrôleur européen à la protection des données

La LED prévoit que le Contrôleur européen à la protection des données (CEPD ) publie des lignes directrices, des recommandations et des bonnes pratiques. Il a produit des :

• orientations spécifiques au LED pertinentes pour le chapitre V (transferts internationaux) ;
• lignes directrices sur l'utilisation des technologies de reconnaissance faciale ;
• un avis sur certaines questions clés du LED .

Le CEPD ait indiqué qu'il fournira bientôt des orientations supplémentaires, notamment sur le concept de pouvoirs effectifs d'enquête et de correction des autorités de contrôle de la protection des données, et sur les transferts internationaux soumis à des garanties appropriées.

Un impact positif sur les droits des personnes concernées

La pratique a montré que parmi les droits conférés aux personnes concernées par la LED, c'est le droit d'accès et d'effacement qui est le plus fréquemment invoqué auprès des autorités compétentes

le nombre de demandes reçues peut varier considérablement (par exemple, une demande de ce type a été reçue en Croatie, mais plus de 1 500 ont été reçues en France). 

les personnes font également de plus en plus usage de leur droit de porter plainte auprès des autorités de contrôle de la protection des données, y compris dans les cas où les autorités compétentes limitent l'exercice des droits des personnes concernées. Plus d'un tiers des autorités de contrôle de la protection des données ont signalé une augmentation du nombre de plaintes reçues à la suite de la transposition de la LED dans leurs États membres. 

La LED prévoit qu'un organisme, une organisation ou une association à but non lucratif peut déposer une plainte au nom d'une personne concernée. Cependant, il semble être sous-utilisé (seules quatre autorités de contrôle de la protection des données ont déclaré avoir reçu une telle plainte d'un organe représentatif). De même, les organisations de la société civile n'ont signalé qu'un petit nombre de demandes de dépôt d'une telle plainte.

Un impact positif sur la sécurité des données 

Le LED en exigea des autorités compétentes qu'elles prennent des mesures pour atteindre des objectifs de sécurité spécifiques. Par exemple, elle exige des autorités compétentes qu'elles réalisent des analyses d'impact sur la protection des données lorsqu'une activité de traitement de données est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes concernées. 

Le LED a amélioré le niveau de sécurité des données, notamment grâce à :

• des plans de sécurité ; 
• une mise à jour des systèmes informatiques et des mesures organisationnelles ;
• une évaluations d'impact sur la protection des données ; 
• la tenue de registres pour des opérations de traitement particulières.

1e difficulté : une transposition imparfaite

La Commission a déjà lancé des procédures d'infraction concernant à la fois la non-transposition et la non-conformité des législations nationales avec la LED. 

En 2021, la Commission a renvoyé son action en manquement contre l'Espagne devant la CJUE, parce qu'elle n'avait toujours pas transposé la LED et notifié à la Commission ses mesures de transposition. Compte tenu de la gravité et de la durée de l'infraction, la CJUE a, pour la première fois, infligé à l'Espagne à la fois une somme forfaitaire et une astreinte.

La Commission a également lancé - en avril 2022 - une procédure d'infraction contre l'Allemagne après avoir détecté une lacune dans la transposition de la LED en ce qui concerne les activités de la police fédérale allemande.

2e difficulté : le brouillage des champs d'application du LED et du RGPD

La Commission a publié son premier rapport sur la mise en œuvre du RGPD le 24 juin 2020. Elle a conclu que, de l'avis général, le RGPD avait atteint ses objectifs, 

La difficulté de délimiter le champ d'application du LED et du RGPD a été soulevée comme un sujet de préoccupation tant par le groupe d'experts des États membres sur le RGPD et le LED que par le CEPD. Certaines autorités de contrôle de la protection des données ont également noté que les autorités compétentes peuvent trouver cela difficile.

La question de la démarcation entre les champs d'application du RGPD et de la LED se pose dans certains Etats membres quant à la délimitation entre les domaines des infractions pénales et administratives. En particulier, certaines lois nationales de transposition font référence à des finalités de traitement de données à caractère personnel qui ne sont pas énumérées à l'article 1 LED (par exemple , les menaces pour l'ordre public ou la sécurité publique). La question se pose également parce que certains États membres considèrent qu'un certain nombre d'organes administratifs ( par exemple, les cellules de renseignement financier (CRF) exécutent des tâches relevant du LED.

La question du champ d'application de la LED fait l'objet d'un renvoi préjudiciel devant la CJUE. Le Landesverwaltungsgericht Tirol Court (Autriche) a soulevé la question du champ d'application de la LED lorsqu'une autorité compétente a tenté en vain d'accéder aux données d'un téléphone saisi. L'affaire concerne également les conditions de cet accès.

4e difficulté : les pouvoirs variables en fonction des CNIL

Tous les États membres sauf deux (Belgique et Suède) ont confié l'application de la LED à l'autorité de contrôle qui est également responsable de l'application du RGPD. 

Tous les États membres ont doté leurs autorités des pouvoirs d'enquête spécifiés dans la LED et une majorité d'États membres leur a également conféré d'autres pouvoirs (par exemple, effectuer des audits, pénétrer dans des locaux, faire des copies de données et saisir des objet). En revanche, tous les États membres n'ont pas donné à leurs autorités de contrôle de la protection des données le pouvoir de porter à l'attention des autorités judiciaires les infractions aux lois nationales adoptées pour transposer la LED et d'engager ou d'engager des poursuites judiciaires. Un tel pouvoir est important et complète les autres moyens dont disposent les autorités de contrôle de la protection des données pour assurer efficacement un niveau élevé de protection des droits fondamentaux des personnes et notamment de leur droit à la protection de leurs données personnelles.

5e difficulté : des actions de sensibilisation variables à la protection des données 

Plusieurs autorités de contrôle de la protection des données ont exprimé l'avis que le plus grand impact de la LED a été de sensibiliser et de se concentrer sur les questions de protection des données et les droits des personnes concernées. 

Cependant, huit autorités de contrôle de la protection des données n'ont pas encore publié d'orientations et/ou d'outils pratiques pour aider les autorités compétentes et les sous-traitants à se conformer à leurs obligations.

En outre, 12 autorités de contrôle de la protection des données n'ont dispensé aucune formation ni mené d'activités de sensibilisation à l'intention des autorités compétentes ou des sous-traitants dans le cadre de la LED. 

6e difficulté : des durées de conservation des données trop disparates

Les approches des États membres concernant la transposition des délais de conservation et d'examen des données à caractère personnel  varient considérablement. La majorité des lois nationales sur la protection des données qui transposent la LED ne répondent qu'à l'exigence générale prévue par les dispositions de la LED. 

Toutes les lois de transposition des États membres contiennent des dispositions interdisant une décision fondée uniquement sur un traitement automatisé, sauf si cela est prévu par la loi. Cependant, certaines législations nationales ne font pas référence à des garanties appropriées pour les droits et libertés de la personne concernée dans les cas où la prise de décision automatisée est autorisée par la loi. Plus précisément, tous les États membres ne prévoient pas le droit d'obtenir une intervention humaine de la part du responsable du traitement ou n'exigent pas de mesures appropriées pour sauvegarder les droits et/ou libertés et intérêts légitimes de la personne concernée.

7e difficulté : droits des personnes concernées insuffisamment pris en compte

Les lois de transposition de plusieurs États membres ne reflètent pas toutes les exigences spécifiques de la LED concernant la manière dont les droits des personnes concernées doivent être exercés ( par exemple , format et moyens de communication des réponses, gratuité).

Une décision préjudicielle  a été soulevée par un tribunal allemand concernant l'interprétation des restrictions au droit d'accès des personnes concernées à leurs données à la lumière de l'article 54 LED) et le droit à un recours juridictionnel effectif ainsi que la liberté de choisir une profession en vertu de l'article 15 de la Charte.

8e difficulté : distinction entre les données de différentes catégories de personnes

La LED oblige les États membres à exiger une distinction entre les données de différentes catégories de personnes concernées, et qu'il fournisse des exemples de ces catégories (par exemple, une personne pour laquelle il existe des motifs sérieux pour croire qu'ils ont commis ou sont sur le point de commettre une infraction pénale (un "suspect")). La législation de certains États membres ne précise pas (dans une certaine mesure ou pas du tout) les catégories énumérées par la LED. Lors de la définition de la catégorie des « suspects », certaines législations nationales n'exigent pas qu'il y ait « des motifs sérieux de croire que les personnes ont commis ou sont sur le point de commettre une infraction pénale ». Une prochaine décision de la CJUE clarifiera davantage l'interprétation de la LED sur ce point.

9e difficulté : des divergences dans les notifications de violation de données

Six autorités de contrôle de la protection des données ont indiqué qu'elles n'avaient reçu aucune notification de violation de données et plusieurs autres ont indiqué qu'elles avaient reçu très peu de telles notifications. Par exemple, l'autorité italienne n'a signalé que trois notifications de violation de données et l'autorité française en a signalé huit, mais l'autorité néerlandaise en a signalé plus de 500.

Cette différence dans le nombre de notifications de violation de données signalées suggère (après prise en compte de facteurs tels que la taille de la population) qu'il semble y avoir des pratiques divergentes entre les autorités compétentes des États membres en ce qui concerne ce qui est considéré comme une violation et quand elle doit être signalée à une autorité de contrôle de la protection des données. 

10e difficulté : des CNIL insuffisamment outillées

Doter chaque autorité de protection des données des ressources humaines, techniques et financières, des locaux et des infrastructures nécessaires est une condition préalable. Or, le nombre d'employés travaillant sur le LED est resté le même ou a même diminué dans la moitié des autorités de contrôle de la protection des données. Toute augmentation a été très modeste. En chiffres absolus, environ la moitié des autorités de contrôle de la protection des données allouent entre 1 et 4 équivalent temps plein (ETP) aux tâches LED, et 8 autorités de contrôle de la protection des données allouent entre 7 et 15 ETP aux tâches LED.  Cette situation n'est pas satisfaisante selon la Commission.

Une décision prise avec le Royaume-Uni pour faciliter le transferts de données 

Selon les règles pertinentes de la LED, les transferts internationaux au sens de la LED doivent s'appuyer sur l'un des différents outils de transfert : décisions d'adéquation, et transferts basés sur des garanties appropriées.

Concernant les décisions d'adéquation, une première a été élaborée avec le Royaume-Uni en juin 2021. Pour mémoire, cette décision d'adéquation permet la circulation libre et sûre des données à caractère personnel vers les autorités compétentes du pays tiers concerné, sans nécessiter d'autres garanties ou autorisations spécifiques (à moins qu'un autre État membre auprès duquel les données ont été obtenues doive autoriser le transfert. La décision d'adéquation pour le Royaume-Uni à partir de juin 2021 est un fondement essentiel de la coopération policière et judiciaire après le Brexit.

Si aucune autre décision d'adéquation n'a été adoptée à ce jour, c'est principalement parce que cet instrument n'a été introduit que récemment. En outre, et contrairement au traitement des données par des opérateurs commerciaux, la convergence mondiale des règles de protection des données dans le domaine de l'application du droit pénal ne fait que commencer à se développer.

Selon la Commission, l'expérience acquise lors de l'adoption de la décision d'adéquation avec le Royaume-Uni contribuera à ouvrir la voie à des initiatives similaires dans les années à venir. 

Un réexamine minutieux des accords internationaux adoptés

Au cours des premières années d'application de la LED, la Commission a notamment travaillé sur des instruments juridiques contraignants sous la forme d'accords internationaux offrant des garanties appropriées en matière de transfert de données. 

En ce qui concerne les formes traditionnelles de coopération en matière répressive, la Commission réexamine les accords internationaux adoptés avant l'entrée en vigueur de la LED.

Premièrement, la Commission a identifié l'accord entre l'Union européenne et le Japon relatif à l'entraide judiciaire en matière pénale (le MLAT UE-Japon) comme un acte de l'UE à modifier pour assurer des garanties de protection des données appropriées conformément à la LED. 

Deuxièmement, la Commission procède au premier réexamen conjoint de l'accord entre les États-Unis d'Amérique et l'Union européenne sur la protection des informations personnelles relatives à la prévention, à la recherche, à la détection et à la poursuite des infractions pénales (l'accord-cadre). L'accord-cadre, qui est entré en vigueur en février 2017, contient un ensemble complet et harmonisé de règles de protection des données qui s'appliquent à tous les échanges transatlantiques entre autorités compétentes. L'examen conjoint vise à évaluer la mise en œuvre effective de l'accord-cadre, en particulier en ce qui concerne les dispositions relatives au transfèrement ultérieur, aux droits individuels et au recours judiciaire.

Troisièmement, la Commission évalue les dispositions relatives à la protection des données contenues dans les accords de coopération existants d'Europol avec des pays tiers conclus avant le 1er mai 2017, 

Une révision des accords de coopération internationaux

Depuis l'entrée en vigueur du règlement Europol actuel en 2017, l'article 218 du traité sur le fonctionnement de l’UE (TFUE) constitue la base juridique de ces accords internationaux garantissant des garanties adéquates. En 2018 et 2019, le Conseil a adopté 9 mandats pour que la Commission entame des négociations avec des pays tiers au nom de l'Union. La Commission a également été autorisée à entamer des négociations sur un accord de coopération avec Interpol pour couvrir l'échange de données avec plusieurs organes et agences de l'UE. 

Dans tous ces cas, le Conseil a adressé des directives de négociation à la Commission en vue de garantir l'inclusion des garanties nécessaires à la protection des données à caractère. Sur cette base, 

• la Commission a déjà conclu les négociations avec la Nouvelle-Zélande, qui ont abouti à la signature d'un accord de coopération le 30 juin 2022 ;
• des progrès ont été réalisés dans les négociations avec Israël. 
• les négociations sont à un stade avancé avec la Turquie,, mais ne pourront être conclues tant que la Turquie n'aura pas adopté les réformes nécessaires dans sa législation sur la protection des données. 

Des autorisations similaires ont été accordées en mars 2021 pour la négociation d'accords de coopération permettant l'échange de données par Eurojust avec 13 pays tiers.

A l’international, l’établissement  d’un socle international multilatéral 

Premièrement, la Commission a représenté l'UE lors des négociations 165 dans le cadre du Conseil de l'Europe sur un deuxième protocole additionnel à la convention de Budapest sur la cybercriminalité . Le protocole, qui a été approuvé par le Comité des ministres du Conseil de l'Europe le 17 novembre 2021, contient de solides garanties pour la protection des droits fondamentaux. Il s'agit d'une réalisation importante, compte tenu de la diversité des membres de la Convention de Budapest, qui compte actuellement 66 États parties représentant différents contextes et traditions juridiques. Le protocole a été ouvert à la signature le 12 mai 2022, avec un total de 22 parties à la convention de Budapest (dont 13 États membres de l'UE) qui l'ont déjà signé.

• A lire sur securiteinterieure.fr: Un nouveau pas vers une meilleure obtention des preuves électroniques détenues par Google et Meta

Deuxièmement, la Commission a entamé des négociations sur un accord bilatéral avec les États-Unis sur l'accès transfrontalier aux preuves électroniques pour la coopération judiciaire en matière pénale.  Cet accord vise à couvrir les preuves électroniques sous la forme de données non personnelles et personnelles, y compris les données de trafic et de contenu. L'avancement de ces négociations dépendra largement de l'avancement du processus législatif en cours sur le paquet de preuves électroniques de l'UE.

• A lire sur securiteinterieure.fr : Accès aux preuves électroniques : l’Europe pose ses conditions pour un accord international avec les Etats-Unis

Toujours à l’international, le développement de cadres bilatéraux, régionaux et multilatéraux 

La Commission s'est engagée dans des cadres bilatéraux, régionaux et multilatéraux pour promouvoir activement la convergence internationale des normes de protection des données pour la coopération en matière de répression pénale. 

Dans un cadre régional et multilatéral, la Commission soutient par exemple des projets de renforcement des capacités dans le cadre de la mise en œuvre de la convention de Budapest sur la cybercriminalité du Conseil de l'Europe. Ces projets incluent le programme GLACY+ visant à renforcer la capacité des États à appliquer la législation sur la cybercriminalité. Le programme soutient actuellement 17 pays prioritaires et hubs en Afrique, en Asie-Pacifique, en Amérique latine et dans les Caraïbes.

La Commission s'est également engagée auprès d'Ameripol , une organisation de coopération policière regroupant 18 pays d'Amérique latine, dans le cadre de l'élaboration d'un cadre de protection des données pour l'échange d'informations entre Ameripol et ses États membres. Cet engagement se concrétise à travers EL PAcCTO : Support to Ameripol , un projet dont l'objectif est d'améliorer le niveau de coopération internationale entre les corps policiers, judiciaires et procureurs des pays partenaires dans la lutte contre le crime organisé .

La Commission promeut également la convention 108 modernisée (dite convention 108+), qui s'applique également aux activités de traitement de données à des fins répressives. Cette Convention, qui est également ouverte aux non-membres du Conseil de l'Europe, est importante non seulement parce qu'elle est le seul accord multilatéral contraignant sur la protection des données, mais aussi parce que, par l'intermédiaire de son Comité conventionnel, elle offre un forum pour l'échange des meilleures pratiques et l'établissement de normes mondiales.

Enfin, la Commission encourage une plus grande convergence au niveau international à travers l'«Académie de la protection des données» de la Commission, qui fait partie du projet «Coopération numérique internationale - Amélioration de la protection des données et des flux de données». L'Académie a été créée pour favoriser les échanges entre les régulateurs européens et des pays tiers et pour améliorer la coopération sur le terrain. 

synthèse et traduction du texte par Pierre Berthelet alias securiteinterieure.fr

• rapport de la Commission
• directive (UE) 2016/680
• rapport du Groupe artice 29 sur cette directive (version française téléchargeable dans le dossier ZIP)

 

A lire sur securiteinterieure.fr :

• Accès aux preuves électroniques : l’Europe pose ses conditions pour un accord international avec les Etats-Unis
• Un nouveau pas vers une meilleure obtention des preuves électroniques détenues par Google et Meta