| CELEX | 52021PC0767 |
| Type | Proposition législative |
| Date | mercredi 1 décembre 2021 |
COMMISSION EUROPÉENNE
Bruxelles, le 1.12.2021
COM(2021) 767 final
2021/0399(COD)
Proposition de
DIRECTIVE DU PARLEMENT EUROPÉEN ET DU CONSEIL
modifiant la décision 2005/671/JAI du Conseil en ce qui concerne sa mise en conformité avec les règles de l’Union relatives à la protection des données à caractère personnel
EXPOSÉ DES MOTIFS
1.Justification et objectifs de la proposition
1.1.Motivation de la proposition
La directive (UE) 2016/680 1 (directive en matière de protection des données dans le domaine répressif) est entrée en vigueur le 6 mai 2016 et les États membres avaient jusqu’au 6 mai 2018 pour la transposer en droit national. Elle a abrogé et remplacé la décision-cadre 2008/977/JAI du Conseil 2 . Son champ d’application est très complet, étant donné qu’il s’agit du premier instrument qui adopte une approche globale du traitement des données à des fins répressives. Elle vise le traitement national et transfrontalier des données à caractère personnel effectué par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière et d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.
L’article 62, paragraphe 6, de la directive en matière de protection des données dans le domaine répressif impose à la Commission de réexaminer, au plus tard le 6 mai 2019, d’autres actes juridiques de l’UE qui régissent le traitement des données à caractère personnel par les autorités compétentes à des fins répressives. L’objectif de ce réexamen est d'apprécier la nécessité de mettre ces actes en conformité avec la directive et de formuler des propositions en vue de modifier ces actes pour assurer une approche cohérente de la protection des données dans le cadre de ladite directive.
La Commission a exposé les conclusions de son réexamen dans sa communication intitulée «Marche à suivre en ce qui concerne la mise en conformité de l’acquis de l’ancien troisième pilier avec les règles en matière de protection des données» (24 juin 2020) 3 , qui recense les actes juridiques devant faire l’objet d’une mise en conformité avec la directive. La liste comprend la décision 2005/671/JAI du Conseil, de sorte que la Commission a indiqué qu’elle présenterait des modifications ciblées.
En vertu de l’article 6 de la directive en matière de protection des données dans le domaine répressif, les États membres sont tenus de prévoir que les autorités compétentes établissent une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que:
·les personnes à l’égard desquelles il existe des motifs sérieux de croire qu’elles ont commis ou sont sur le point de commettre une infraction pénale;
·les personnes reconnues coupables d’une infraction pénale;
·les victimes d'une infraction pénale ou les tiers à une infraction pénale.
En vertu de l’article 8, paragraphe 1, de la directive en matière de protection des données dans le domaine répressif, les États membres doivent veiller à la licéité du traitement. Cela signifie qu’une autorité compétente ne peut traiter des données à caractère personnel que dans la mesure nécessaire à l’exécution d’une tâche définie dans la directive. L’article 8, paragraphe 2, de la directive en matière de protection des données dans le domaine répressif exige qu’une disposition du droit d'un État membre qui réglemente le traitement relevant du champ d'application de la directive précise au moins les objectifs du traitement, les données à caractère personnel devant faire l'objet d'un traitement et les finalités du traitement.
Afin de lutter de manière effective contre le terrorisme, il est indispensable que les informations que les autorités compétentes jugent utiles aux fins de la prévention et de la détection des infractions terroristes, ainsi que des enquêtes ou des poursuites en la matière, soient échangées de manière efficace entre les autorités compétentes et les agences de l’Union. Cet échange d’informations doit s’effectuer dans le plein respect du droit à la protection des données et dans le respect des conditions fixées par la directive en matière de protection des données dans le domaine répressif.
La décision 2005/671/JAI du Conseil du 20 septembre 2005 relative à l’échange d’informations et à la coopération concernant les infractions terroristes 4 dispose que, pour lutter contre le terrorisme, il est essentiel de disposer d’informations aussi complètes et actualisées que possible. La persistance et la complexité de la menace terroriste donnent lieu à davantage d’échanges d’informations.
Dans ce contexte, la décision 2005/671/JAI du Conseil prévoit que les États membres sont tenus de recueillir toutes les informations pertinentes concernant les enquêtes pénales conduites dans le cadre d’infractions terroristes qui intéressent ou sont susceptibles d’intéresser deux ou plusieurs États membres et de les transmettre à Europol 5 . Les États membres doivent également recueillir toutes les informations pertinentes concernant les poursuites et les condamnations pour infractions terroristes qui intéressent ou sont susceptibles d’intéresser deux ou plusieurs États membres et les transmettre à Eurojust. Chaque État membre doit également mettre à disposition toutes les informations pertinentes recueillies par ses autorités compétentes dans le cadre d’enquêtes pénales portant sur des infractions terroristes. Ces informations doivent être rapidement mises à la disposition des autorités compétentes d’un autre État membre lorsqu’elles sont susceptibles d’être utilisées à des fins de prévention et de détection d’infractions terroristes, d’enquêtes ou de poursuites en la matière.
Depuis 2005, l’importance du partage d’informations entre les États membres et avec Europol et Eurojust est devenue de plus en plus manifeste. La directive (UE) 2017/541 relative à la lutte contre le terrorisme 6 a modifié la décision 2005/671/JAI du Conseil afin de veiller à ce que les informations soient partagées efficacement et en temps utile entre les États membres, compte tenu de la menace grave que posent les infractions terroristes.
Le considérant 7 de la décision 2005/671/JAI du Conseil reconnaît que la décision respecte les droits fondamentaux et les principes reconnus par la charte des droits fondamentaux de l’Union européenne. L’article 8 de la charte des droits fondamentaux de l’Union européenne consacre la protection des données à caractère personnel en tant que droit fondamental. L'article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne (TFUE) établit également le principe selon lequel toute personne a droit à la protection des données à caractère personnel la concernant. En outre, l’article 16, paragraphe 2, du TFUE a introduit une base juridique spécifique pour l’adoption de règles relatives à la protection des données à caractère personnel.
Les règles de l’Union en matière de protection des données ont évolué depuis l’adoption de la décision 2005/671/JAI du Conseil. En particulier, comme indiqué plus haut, sur la base de l’article 16, paragraphe 2, du TFUE, le Parlement européen et le Conseil ont adopté la directive en matière de protection des données dans le domaine répressif, qui est entrée en vigueur le 6 mai 2016. La directive en matière de protection des données dans le domaine répressif est un instrument horizontal complet de protection des données. Il est important de noter qu’elle concerne toutes les opérations de traitement effectuées par les autorités compétentes à des fins répressives (nationales et transfrontalières).
1.2.Objectif de la proposition
La proposition vise à mettre la décision 2005/671/JAI du Conseil en conformité avec les principes et règles énoncés dans la directive en matière de protection des données dans le domaine répressif, afin de garantir une approche cohérente de la protection accordée aux personnes en ce qui concerne le traitement des données à caractère personnel. Selon la communication de la Commission du 24 juin 2020, la mise en conformité de la décision 2005/671/JAI devrait porter sur les points suivants:
·préciser que les données à caractère personnel obtenues en vertu de la décision 2005/671/JAI ne peuvent être traitées qu'à des fins de prévention et de détection des infractions pénales, ainsi que d’enquêtes et de poursuites en la matière, conformément au principe de limitation de la finalité;
·les catégories de données à caractère personnel qui peuvent être échangées devraient être définies plus précisément par la législation de l’Union ou celles des États membres, conformément aux exigences prévues à l’article 8, paragraphe 2, de la directive en matière de protection des données dans le domaine répressif, en tenant dûment compte des besoins opérationnels des autorités concernées.
1.3.Cohérence avec les dispositions existantes dans le domaine d'action
La présente proposition de directive tient compte des modifications de la décision 2005/671/JAI découlant de la proposition de règlement relatif à l’échange d’informations numériques dans les affaires de terrorisme, que la Commission a présentée en même temps que la présente proposition. Le règlement proposé fait partie du train de mesures relatif à la numérisation de la justice, élaboré par la Commission à la suite de la communication sur la numérisation de la justice 7 . L'adoption du règlement proposé aura pour conséquence la suppression des dispositions relatives à l’échange d’informations dans les affaires de terrorisme transfrontières concernant Eurojust de la décision 2005/671/JAI et l'intégration de celles-ci dans le règlement Eurojust [règlement (UE) 2018/1727 8 ]. Elle entraînera également comme modification indirecte la suppression des références à Eurojust de la décision 2005/671/JAI du Conseil. Une coordination étroite sera nécessaire tout au long du processus législatif afin de veiller à la cohérence des modifications contenues dans cette proposition de règlement et dans la présente proposition de directive.
2.BASE JURIDIQUE, SUBSIDIARITÉ ET PROPORTIONNALITÉ
2.1.Base juridique
La mise en conformité de la décision 2005/671/JAI du Conseil avec la directive en matière de protection des données dans le domaine répressif est fondée sur l’article 16, paragraphe 2, du TFUE. L’article 16, paragraphe 2, du TFUE permet l’adoption de règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes des États membres lorsqu’elles mènent des activités de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ou d’exécution de sanctions pénales qui relèvent du champ d’application du droit de l’Union. Il autorise également l’adoption de règles en matière de libre circulation des données à caractère personnel, notamment en ce qui concerne les échanges de données à caractère personnel par les autorités compétentes au sein de l’UE.
2.2.Subsidiarité (en cas de compétence non exclusive)
Seule l’UE peut mettre ses textes législatifs en conformité avec les règles énoncées dans la directive en matière de protection des données dans le domaine répressif. Par conséquent, seule l’UE peut adopter un acte législatif modifiant la décision 2005/671/JAI du Conseil.
2.3.Proportionnalité
La présente proposition vise à mettre en conformité un acte juridique existant de l’UE avec un acte juridique ultérieur de l’UE, comme le prévoit ce dernier, sans en modifier le champ d’application. Conformément au principe de proportionnalité, pour atteindre les objectifs fondamentaux consistant à assurer un niveau élevé de protection des personnes physiques en ce qui concerne le traitement des données à caractère personnel et la libre circulation de ces données dans l’ensemble de l’UE, il est nécessaire d’établir des règles relatives au traitement des données à caractère personnel par les autorités compétentes des États membres afin de prévenir et de détecter les infractions pénales, d’enquêter en la matière ou de les poursuivre. Parmi ces règles figurent la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. La proposition n'excède pas ce qui est nécessaire pour atteindre les objectifs poursuivis, conformément à l'article 5, paragraphe 4, du traité sur l'Union européenne.
2.4.Choix de l'instrument
La présente proposition vise à modifier une décision du Conseil, qui a été adoptée avant l’entrée en vigueur du traité de Lisbonne en 2009. La base juridique de la décision 2005/671/JAI du Conseil, l’article 34, paragraphe 2, point c), du TUE tel qu’il était applicable en 2005, n’existe plus. Les dispositions pertinentes de la décision 2005/671/JAI établissent, pour les États membres, des obligations similaires à celles d’une directive plutôt que des règles autonomes qui seraient directement applicables. Par conséquent, l’instrument le plus approprié pour modifier cette décision du Conseil en vertu de l’article 16, paragraphe 2, du TFUE est une directive du Parlement européen et du Conseil.
3.Explication des dispositions spécifiques de la proposition
La présente proposition modifie la décision 2005/671/JAI du Conseil sur les points suivants:
Afin de définir les finalités du traitement des données à caractère personnel, l’article 1er, paragraphe 2, point a), de la proposition introduit un nouvel alinéa à l’article 2, paragraphe 3, de la décision du Conseil, lequel précise que les données à caractère personnel sont traitées à des fins de prévention et de détection des infractions terroristes, d’enquêtes et de poursuites en la matière.
Pour définir les catégories de données à traiter, de nouveaux alinéas sont ajoutés à l’article 2 de la décision du Conseil par l’intermédiaire de l’article 1er, paragraphe 2, points b) et c), de la proposition, lesquels précisent que les catégories de données à caractère personnel pouvant être échangées avec Europol doivent être celles précisées dans le règlement Europol et que les catégories de données à caractère personnel pouvant être échangées entre les États membres à des fins de prévention et de détection des infractions terroristes, d’enquêtes et de poursuites en la matière sont celles prévues par les législations nationales respectives.
En outre, afin de mettre à jour la décision du Conseil en fonction de l’évolution de la législation et, en particulier, de veiller à ce que la disposition modificative susmentionnée fasse référence à l’instrument juridique approprié, la proposition supprime le point b) de l’article 1er de la décision du Conseil. Le point b) susmentionné renvoie à la convention Europol. Les dispositions pertinentes de la décision du Conseil, telles qu’elles sont modifiées, renvoient quant à elles au règlement Europol.
2021/0399 (COD)
Proposition de
DIRECTIVE DU PARLEMENT EUROPÉEN ET DU CONSEIL
modifiant la décision 2005/671/JAI du Conseil en ce qui concerne sa mise en conformité avec les règles de l’Union relatives à la protection des données à caractère personnel
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16, paragraphe 2,
vu la proposition de la Commission européenne,
après transmission du projet d’acte législatif aux parlements nationaux,
statuant conformément à la procédure législative ordinaire,
considérant ce qui suit:
(1)La directive (UE) 2016/680 du Parlement européen et du Conseil 9 établit des règles harmonisées pour la protection et la libre circulation des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. La directive impose à la Commission de réexaminer d'autres actes juridiques pertinents adoptés par l'Union afin d’évaluer la nécessité de les mettre en conformité avec ladite directive et de formuler, le cas échéant, des propositions de modification de ces actes afin de garantir une approche cohérente de la protection des données à caractère personnel relevant du champ d’application de ladite directive.
(2)La décision 2005/671/JAI du Conseil 10 établit des règles spécifiques relatives à l’échange d’informations et à la coopération concernant les infractions terroristes. Afin de garantir une approche cohérente de la protection des données à caractère personnel dans l’Union, il convient de modifier ladite décision afin de la mettre en conformité avec la directive (UE) 2016/680. En particulier, cette décision devrait préciser, d’une manière compatible avec la directive (UE) 2016/680, la finalité du traitement des données à caractère personnel et les catégories de données à caractère personnel qui peuvent être échangées, conformément aux exigences de l’article 8, paragraphe 2, de la directive (UE) 2016/680, en tenant dûment compte des besoins opérationnels des autorités concernées.
(3)Dans un souci de clarté, il convient de mettre à jour les références aux instruments juridiques régissant le fonctionnement de l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) qui sont contenues dans la décision 2005/671/JAI.
(4)Conformément à l’article 6 bis du protocole n° 21 sur la position du Royaume-Uni et de l’Irlande à l’égard de l’espace de liberté, de sécurité et de justice, annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, l’Irlande est liée par la décision 20005/671/JAI et, dès lors, participe à l’adoption de la présente directive.
(5)Conformément aux articles 1er et 2 du protocole nº 22 sur la position du Danemark annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, le Danemark ne participe pas à l’adoption de la présente directive et n’est pas lié par celle-ci ni soumis à son application.
(6)Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42 du règlement (UE) 2018/1725 du Parlement européen et du Conseil 11 et a rendu un avis le XX/XX 20XX,
ONT ADOPTÉ LA PRÉSENTE DIRECTIVE:
Article premier
La décision 2005/671/JAI est modifiée comme suit:
(1)À l’article 1er, le point b) est supprimé.
(2)L’article 2 est modifié comme suit:
(a)au paragraphe 3, l’alinéa suivant est ajouté:
«Chaque État membre veille à ce que les données à caractère personnel ne soient traitées conformément au premier alinéa qu’à des fins de prévention et de détection des infractions terroristes, d’enquêtes et de poursuites en la matière .»
(b)au paragraphe 4, l’alinéa suivant est ajouté:
«Les catégories de données à caractère personnel à transmettre à Europol aux fins visées au paragraphe 3 restent limitées à celles visées à l’annexe II, section B, point 2, du règlement (UE) 2016/794.»;
(c)au paragraphe 6, l’alinéa suivant est ajouté:
«Les catégories de données à caractère personnel qui peuvent être échangées entre les États membres aux fins visées au premier alinéa restent limitées à celles visées à l’annexe II, section B, point 2, du règlement (UE) 2016/794.»
Article 2
1.Les États membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive au plus tard [un an après son adoption]. Ils communiquent immédiatement à la Commission le texte de ces dispositions.
Lorsque les États membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d’une telle référence lors de leur publication officielle. Les modalités de cette référence sont arrêtées par les États membres.
2.Les États membres communiquent à la Commission le texte des dispositions essentielles de droit interne qu'ils adoptent dans le domaine couvert par la présente directive.
Article 3
La présente directive entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.
Article 4
Les États membres sont destinataires de la présente directive conformément aux traités.
Fait à Bruxelles, le
Par le Parlement européen Par le Conseil
Le président le président
Proposition législative — 52021PC0570
22/12/2021
Proposition législative — 52021PC0569
22/12/2021
Proposition législative — 52021PC0565
22/12/2021
Proposition législative — 52021PC0823
22/12/2021