La Présidence du Conseil de l’UE a présenté aux membres du groupe de travail sur la protection des données, jeudi 23 septembre, son projet de conclusions en vue du réexamen, par la Commission, de la directive relative à la protection des personnes physiques concernant le traitement des données à caractère personnel dans le cadre d'enquêtes, de poursuites et d'infractions pénales (2016/680).
Reconnaissant que la récente mise en application de la directive - en mai 2018 - ne permet pas d’avoir le recul nécessaire, le Conseil appelle avant tout la Commission à prendre en considération de manière plus importante les cas concrets existant dans les États membres.
Le projet de conclusions met également l’accent sur les décisions d’adéquation des règles de traitement des données d’un pays tiers avec celles en vigueur au sein de l’UE.
Le Conseil estime qu’il est « crucial » que les décisions futures, qualifiées « d’outil essentiel » pour un transfert sûr de données vers des pays tiers, reposent sur « le respect de tous les critères fixés pour de telles décisions, y compris pour les transferts ultérieurs ». Le document souligne également la nécessité que de telles décisions fassent l'objet d'un « suivi continu et d'un examen périodique ».
Pour le moment, seules deux décisions d’adéquation ont été promulguées reconnaissant l’adéquation des règles en matière de protection et de traitement des données entre le Royaume-Uni et l’UE.
Les eurodéputés ont d’ailleurs fait part de leurs réserves, le 21 mai dernier, et demandé à la Commission de revoir sa copie (EUROPE 12724/16). Un autre processus d’adéquation est également en cours entre l’UE et la Corée du Sud (EUROPE 12742/31).
Toujours au chapitre des décisions d’adéquation, le Conseil souhaiterait que la Commission puisse, elle aussi, demander des consultations à des pays tiers en vue de futures décisions. Jusque là, l’examen du niveau de protection ne pouvait se faire qu’à la demande d’un pays tiers.
Plus d'investissements, plus de consultations
Par ailleurs, le Conseil souligne qu’un investissement plus important de la part des États membres ou d’institutions compétentes de l’UE, telles que l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) ou du Contrôleur européen de la protection des données (CEPD), serait le bienvenu. Cela permettrait notamment, avance la Présidence, de constituer un groupe d’experts spécialisés dans le domaine.
De la même manière, la Présidence slovène estime que le CEPD devrait être plus largement consulté pour établir les orientations futures.
Enfin, le Conseil estime que les États membres devraient bénéficier de clarifications sur certains points, comme la définition du terme 'autorité compétente'. En effet, détaille le document, les données à caractère personnel ne peuvent être transmises qu'aux « autorités compétentes de pays tiers ». Seulement, leur identification pourrait s'avérer - dans certains cas - vraisemblablement complexe.
Une prochaine réunion du groupe de travail sur la protection des données aura lieu le 14 octobre prochain.
Voir le document : https://bit.ly/3ulUlIB (Thomas Mangin)