RSS
Index alphabétique
Cette page est disponible en 4 langues

We are migrating the content of this website during the first semester of 2014 into the new EUR-Lex web-portal. We apologise if some content is out of date before the migration. We will publish all updates and corrections in the new version of the portal.

Do you have any questions? Contact us.


Protection des données à caractère personnel

Archives

La Commission européenne propose l'adoption de la présente décision-cadre du Conseil afin de protéger les données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale.

PROPOSITION

Proposition de décision-cadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale.

SYNTHÈSE

La présente proposition assure la protection des données à caractère personnel * dans le cadre de la coopération policière et judiciaire en matière pénale. Elle s'applique au traitement * automatisé et au traitement par des moyens non automatiques de données à caractère personnel. Les données font partie d'un fichier * ou sont destinées à être incorporées dans un fichier par une autorité compétente * aux fins de prévention et détection des infractions pénales, d'enquêtes et de poursuites en la matière. Le traitement de données par Europol, Eurojust et le système d'information des douanes n'est pas visé par la proposition.

ASSURER LES DROITS DE LA PERSONNE CONCERNÉE

La proposition prévoit des autorités de contrôle ainsi qu'un groupe de protection des personnes à l'égard du traitement des données à caractère personnel. En principe, la personne concernée doit être informée sur le traitement de ses données. Les États membres assurent des recours juridictionnels en cas de violation de droits garantis par le droit national applicable au traitement de données en vertu de la présente proposition de décision-cadre.

Prévoir une autorité de contrôle dans les États membres

Les États membres assurent qu'une ou plusieurs autorités publiques indépendantes sont chargées de contrôler l'application, sur leur territoire, des dispositions adoptées selon la présente décision-cadre. Ces autorités exercent leur mission en toute indépendance et leurs décisions peuvent faire l'objet d'un recours juridictionnel.

Les autorités de contrôle sont consultées lors de l'élaboration des mesures réglementaires ou administratives relatives aux droits et libertés des personnes à l'égard du traitement de données en matière pénale. En plus, ces autorités disposent:

  • de pouvoirs d'investigation, tels que le pouvoir d'accéder aux données faisant l'objet d'un traitement;
  • de pouvoirs effectifs d'intervention, tels que l'effacement ou la destruction de données;
  • du pouvoir d'ester en justice en cas de violation de dispositions nationales prises en application de la décision-cadre ou du pouvoir de porter ces violations à la connaissance de l'autorité judiciaire.

Créer un groupe de protection des personnes à l'égard de traitement des données

La proposition prévoit la création d'un groupe de protection des personnes à l'égard des données à caractère personnel. Entre autres, il a pour mission:

  • d'examiner toute question portant sur la mise en œuvre des dispositions nationales prises en application de la présente décision-cadre;
  • de donner un avis sur le niveau de protection dans les États membres, dans les pays tiers et dans les instances internationales;
  • de conseiller la Commission et les États membres sur tout projet de modification de la décision-cadre.

Composé d'un représentant de l'autorité ou des autorités de contrôle des États membres, d'un représentant du contrôleur européen de la protection de données et d'un représentant de la Commission, le groupe a un statut consultatif et agit en toute indépendance.

Informer la personne concernée

Le responsable * du traitement des données fournit gratuitement à la personne concernée:

  • l'identité du responsable du traitement ou de son représentant;
  • les finalités du traitement des données;
  • la base juridique du traitement;
  • les destinataires des données;
  • le caractère obligatoire ou facultatif de la réponse aux questions ou d'autres formes de coopération, y compris les conséquences éventuelles.

La fourniture de ces informations peut être refusée ou limitée, entre autres, pour permettre au responsable du traitement d'accomplir ses tâches légales de manière satisfaisante ou pour protéger la sécurité et l'ordre public dans un État membre. En cas de refus ou limitation de la fourniture des informations, le responsable du traitement informe la personne concernée qu'elle peut introduire un recours devant l'autorité de contrôle. Cette dernière examine si les données ont été traitées correctement et, dans la négative, si toutes les corrections nécessaires ont été apportées. Le recours devant l'autorité de contrôle se fait sans préjudice d'éventuels recours juridictionnels et procédures pénales nationales.

Quand les données ne sont pas collectées auprès de la personne concernée ou ont été obtenues à son insu, le responsable du traitement fournit à cette personne les finalités du traitement, la base juridique, l'existence d'un droit d'accès aux données, etc. Le responsable du traitement communique ces informations dès l'enregistrement des données ou, si une communication de données à un tiers est envisagée, dans un délai raisonnable après la première communication de données. Les informations ne sont pas fournies lorsque la personne concernée dispose déjà de ces informations, lorsque la fourniture d'informations s'avère impossible ou implique un effort disproportionné ou lorsque ces informations compromettent les enquêtes en cours.

Assurer des recours juridictionnels

Les États membres assurent que les personnes concernées disposent d'un recours juridictionnel en cas de violation de droits garantis par le droit national applicable au traitement de données en vertu de la présente proposition de décision-cadre. Les personnes qui ont subi un dommage du fait d'un traitement illicite de leurs données ont droit d'obtenir du responsable du traitement de données réparation du préjudice subi. Le responsable du traitement peut être exonéré de sa responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est pas imputable.

Une autorité compétente qui a reçu des données à caractère personnel de l'autorité compétente d'un autre État membre est responsable à l'égard de la personne lésée des dommages causés en raison de l'utilisation de données inexactes ou obsolètes. L'autorité réceptrice des données inexactes transmises par une autre autorité peut recourir à ce dernier pour le remboursement de la totalité du montant payé à titre de dommages-intérêts à la personne lésée.

Les États membres prennent les mesures appropriées pour assurer des sanctions effectives, proportionnées et dissuasives à appliquer en cas de violation des dispositions prises en application de la présente décision-cadre.

TRAITER LES DONNÉES À CARACTÈRE PERSONNEL

Les États membres assurent, entre autres, que les données à caractère personnel sont traitées de façon loyale et licite, et qu'elles sont collectées à des fins déterminées, explicites et légitimes. Elles doivent être exactes et conservées sous une forme permettant l'identification de la personne concernée pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées. Le responsable du traitement tient un registre des traitements ou séries de traitements qui poursuivent une même finalité ou des finalités liées. Les États membres doivent distinguer clairement les données à caractère personnel, entre autres, si une personne:

  • est soupçonnée d'être l'auteur d'une infraction pénale;
  • est condamnée pour une infraction pénale;
  • laisse croire qu'elle commettra une infraction pénale;
  • est susceptible de témoigner;
  • est une victime d'une infraction, etc.

Le traitement de données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle sont, en principe, interdits. Le traitement de ces données est possible lorsqu'il est prévu par un texte de loi et absolument nécessaire pour l'accomplissement des tâches légitimes de l'autorité concernée aux fins de prévention et de détection des infractions pénales. Il en est de même si les États membres prévoient des garanties spécifiques, par exemple l'accès aux données uniquement par le personnel chargé de l'accomplissement des tâches légitimes.

Transmettre les données aux autres États membres

Les données à caractère personnel ne sont transmises ou mises à la disposition des autres États membres que si cela est nécessaire pour l'accomplissement des tâches légitimes de l'autorité transmettrice ou réceptrice aux fins de prévention et de détection des infractions pénales, et d'enquêtes et de poursuites en la matière. Les États membres veillent à la qualité et à l'exactitude des données. Chaque transmission et chaque réception automatisée des données à caractère personnel, en particulier par accès direct automatisé, doivent être enregistrées dans un journal afin de permettre la vérification ultérieure des motifs justifiant la transmission.

Les données à caractère personnel reçues ou mises à disposition par les autorités compétentes des autres États membres ne peuvent faire l'objet d'un traitement ultérieur que pour:

  • la finalité spécifique pour laquelle elles ont été transmises ou mises à disposition ;
  • la prévention ou la détection des infractions pénales, ou d'enquêtes ou de poursuites en la matière;
  • la prévention de menaces à l'encontre de la sécurité publique ou d'une personne.

La proposition prévoit des restrictions dans la transmission à d'autres autorités compétentes, à des autorités autres que les autorités compétentes, à des personnes privées, aux autorités compétentes de pays tiers ou à des instances internationales. En particulier, les autorités compétentes des pays tiers ou des instances internationales doivent assurer un niveau de protection adéquat pour les données transférées.

Confidentialité et sécurité du traitement

Toute personne agissant sous l'autorité du responsable du traitement ou du sous-traitant * (ou le sous- traitant lui-même), qui accède à des données de caractère personnel les traite seulement sur l'instruction du responsable du traitement, sauf en vertu d'obligations légales. Le responsable du traitement utilise les mesures techniques et d'organisation appropriées pour protéger les données contre la destruction, l'altération, la diffusion ou l'accès non autorisé. En ce qui concerne le traitement automatisé de données, les États membres veillent, entre autres, à:

  • interdire à toute personne non autorisée d'accéder aux installations utilisées ;
  • empêcher que des supports de données ne puissent être lus, copiés, modifiés ou enlevés par une personne non autorisée;
  • empêcher l'introduction non autorisée dans le fichier ainsi que toute prise de connaissance, toute modification ou tout effacement non autorisé des données.

SITUER LA PROPOSITION DANS SON CONTEXTE

La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l'Union européenne (UE).

La proposition s'inscrit dans le cadre du programme de La Haye, adopté par le Conseil européen le 4 novembre 2004, et le plan d'action mettant en œuvre ce programme, adopté par le Conseil et la Commission en juin 2005.

La protection de données dans le cadre du troisième pilier a été déjà envisagée en 1998. À l'époque, le Conseil « Justice et affaires intérieures » adopte le plan d'action dit « de Vienne » [Journal officiel C 19 du 23.01.1999]. Ce dernier indique qu'en considération des problèmes horizontaux qui se posent dans le cadre de la coopération policière et judiciaire en matière pénale, les possibilités d'harmonisation des règles relatives à la protection des données doivent être examinées.

En 2001, un projet de résolution sur les règles de protection des données à caractère personnel dans les instruments du troisième pilier de l'Union européenne (UE) n'a pas été adopté [Document de travail du Conseil 6316/2/05 REV 2 JAI 13]. Deux ans plus tard, en juin 2003, la présidence grecque propose une série de principes généraux sur la protection de données à caractère personnel dans le cadre du troisième pilier [PDF ]. Ces principes s'inspirent de la directive 95/46/CE sur la protection de données et de la Charte des droits fondamentaux de l'UE.

En 2005, les autorités nationales chargées de la protection des données des États membres de l'UE et le contrôleur européen de la protection des données (CEPD) expriment leur soutien à un nouvel instrument juridique de protection des données dans le troisième pilier.

Le 4 octobre 2005, la Commission adopte la présente proposition et la transmet au Parlement européen et au Conseil de l'Union européenne dans le cadre de la procédure de consultation.

Termes-clés de l'acte
  • Autorité compétente: les forces de police, les autorités douanières, judiciaires et les autres autorités compétentes dans les États membres dans le domaine de la coopération policière et judiciaire en matière pénale;
  • Données à caractère personnel: toute information concernant une personne physique identifiée ou identifiable (personne concernée);
  • Fichier: tout ensemble structuré de données à caractère personnel accessible selon des critères déterminés;
  • Responsable du traitement: la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel ;
  • Sous-traitant: la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;
  • Traitement: toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliqués à des données de caractère personnel (enregistrement, conversation, modification, etc).

RÉFÉRENCES ET PROCÉDURE

PropositionJournal officielProcédure
COM(2005) 475 final-Consultation CNS/2005/0202
 
Dernière modification le: 31.03.2006
Avis juridique | À propos de ce site | Recherche | Contact | Haut de la page