Luxembourg, 09/10/2015 (Agence Europe) - Les ministres de la Justice de l'UE ont marqué, vendredi 9 octobre à Luxembourg, un accord politique de principe sur la directive relative à la protection des données personnelles traitées à des fins de répression pénale.
Cette directive constitue le second volet de la réforme générale des règles de protection des données personnelles entamée en 2012. En juin dernier, les ministres avaient marqué un autre accord politique de principe sur la partie 'règlement' de la réforme qui couvre le traitement commercial des données ou bien le traitement par les administrations publiques non répressives (EUROPE 11335).
Les ministres ont adopté leur position à l'issue d'une très brève séance, le ministre luxembourgeois de la Justice, Félix Braz, se félicitant de cette étape qui permet d'ouvrir les négociations interinstitutionnelles en trilogue avec le Parlement européen et la Commission. Objectif: finaliser la réforme d'ici à fin 2015.
Concrètement, la directive vise à donner aux autorités policières et judiciaires des États membres des normes minimales de traitement des données personnelles d'individus faisant l'objet, par exemple, d'enquêtes ou de condamnations, lorsque ces autorités s'échangent les fichiers des personnes concernées sur une base transfrontalière ou purement nationale. Elle fixe, à ce titre, des principes généraux sur la finalité du traitement des données, leur durée de conservation et les droits à l'information des personnes concernées.
Le texte prévoit ainsi que les données personnelles doivent être « traitées licitement et loyalement, collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées de manière incompatible avec ces finalités ». Les données doivent être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées ». Elles doivent être « exactes et, si nécessaire, tenues à jour et conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ». Des exceptions sont toutefois prévues aussi pour permettre aux agents de traitement d'utiliser ces données pour d'autres finalités.
« Afin de garantir que les données ne soient pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement en vue de leur effacement ou d'une révision périodique », stipule encore le texte ayant fait l'objet d'un accord. Et les États membres devraient établir des garanties appropriées pour les données à caractère personnel conservées pendant des périodes plus longues à des fins d'archivage dans l'intérêt public ou à des fins statistiques, scientifiques ou historiques.
« Une personne physique devrait, par ailleurs, avoir le droit d'accéder aux données qui ont été collectées à son sujet et d'exercer ce droit facilement, à des intervalles raisonnables, afin de s'informer du traitement dont elle fait l'objet et d'en vérifier la licéité. En conséquence, chaque personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, la finalité du traitement des données, (....) la durée de leur conservation, ainsi que l'identité des destinataires, y compris dans des pays tiers », stipule encore le texte. Le traitement des données sensibles (ethniques, religieuses..) est - en principe - interdit sauf en cas de nécessité « absolue » et « sous réserve de garanties appropriées aux droits et libertés de la personne concernée ». Le profilage est lui aussi - en théorie - proscrit par la directive.
Seront également prévues des dispositions sur les transferts internationaux vers les autorités répressives des pays tiers. Ainsi ces transferts peuvent-ils notamment être rendus possibles si la Commission européenne a rendu au préalable une décision d'adéquation garantissant aux États membres qu'un pays tiers offre un niveau de protection des données personnelles adéquat et similaire au régime européen. C'est précisément l'une de ces décisions d'adéquation que la Cour de justice de l'UE a remise en cause, mardi 6 octobre, dans l'arrêt Schrems même si cela portait sur le transfert de données commerciales (EUROPE 11404).
Le rapporteur sur le règlement de protection des données personnelles, Jan-Philipp Albrecht (Verts/ALE, allemand), s'est dit déçu par le texte du Conseil qui « n'apporte presque aucune amélioration à la situation juridique actuelle ». Déplorant le caractère « vague » des engagements des ministres, il s'est inquiété des nombreuses dérogations apportées au droit à l'information des personnes concernées.
Selon le texte du Conseil, les États membres auraient en effet la possibilité de ne pas informer - dans certains cas - les personnes concernées sur la façon dont elles utilisent leurs données. Des violations des règles de protection des données (non majeures) peuvent aussi ne pas être communiquées à une personne si le contrôleur de la protection des données a respecté les procédures requises dans ce cas et si cela devait entraîner trop de charge de travail pour lui dans le cas où ces cas de violations mineures se multiplieraient. (Solenn Paulic)