D. UNE DIRECTIVE POUR RENFORCER LA PROTECTION DES TRAITEMENTS DE DONNÉES À DES FINS DE PRÉVENTION, DE DÉTECTION ET DE TRAITEMENT D'INFRACTIONS PÉNALES ET FACILITER LA COOPÉRATION ENTRE LES ÉTATS
La directive (UE) 2016/680 du 27 avril 2016 remplace la décision-cadre de 2008 18 ( * ) dont le champ était limité aux échanges des données pénales entre États membres de l'Union européenne ou entre ces États et des États tiers, les traitements de fichiers nationaux demeurant soumis aux législations nationales. Elle constitue dès lors un progrès notable dans l'harmonisation des règles applicables.
Le recours à un texte spécifique, qui n'est pas d'application directe, s'explique non seulement par les difficultés juridiques et politiques tenant aux positions de certains États membres (en particulier le Royaume-Uni, l'Irlande et le Danemark) mais tient également à la spécificité de ces fichiers au regard de leur finalité et de la nature publique du responsable du traitement des données.
La directive permet de garantir en la matière un même niveau de protection pour les personnes dans l'ensemble de l'Union européenne et d'éviter que des divergences de réglementation n'entravent les échanges de données. Le traitement de ces données n'est ainsi licite que dans la mesure où il est nécessaire à l'exécution d'une mission effectuée par une autorité compétente pour les finalités qui justifient leur collecte. Sont concernés tous les fichiers de police et de justice utiles à la prévention, à la poursuite et à la répression des infractions pénales ainsi qu'à leur exécution, y compris la protection contre les menaces sur la sécurité publique, mais pas les fichiers de renseignement qui ne relèvent pas du droit de l'Union.
Les règles posées par la directive sont pour partie les mêmes que celles que fixe le RGPDP, en particulier les principes en matière de traitement que sont la licéité et la loyauté, l'existence de finalités déterminées, explicites et légitimes, le traitement de manière adéquate, pertinente, non excessive des données et dans des conditions garantissant leur exactitude, leur sécurité et leur conservation pendant une durée raisonnable 19 ( * ) .
Les personnes investies de l'autorité publique ou les organismes auxquels a été confié l'exercice de prérogatives de puissance publique ainsi que les responsables de traitement sont soumis à des obligations comparables à celles qui s'appliquent aux entreprises : exigence de protection des données dès la conception et par défaut, obligation de tenir un registre des activités de traitement, d'effectuer une analyse d'impact en cas de risque élevé pour les droits et libertés de la personne concernée, de notifier à l'autorité de contrôle ou de communiquer à la personne les violations de données personnelles qui la concernent ou de désigner un délégué à la protection des données.
En raison de la nature particulière de ces traitements, la personne concernée ne bénéficie toutefois pas d'un droit d'opposition. Quant à ses droits d'accès, de rectification ou d'effacement ou encore à être informée (dès l'enregistrement des données ou en cas de violation de celles-ci), leur portée peut être réduite dès lors qu'une limitation entière ou partielle constitue une mesure nécessaire et proportionnée pour l'efficacité des enquêtes et des procédures, celle de la prévention ou de la détection d'infractions pénales, protège la sécurité publique, la sécurité nationale ou les droits et libertés d'autrui.
Des mesures techniques et organisationnelles doivent par ailleurs être mises en oeuvre par le responsable du traitement ou le sous-traitant afin de garantir un niveau de sécurité adapté au risque, en particulier contre toute introduction frauduleuse dans le système ou toute lecture, copie, modification ou suppression non autorisées de données.
* 18 Décision-cadre 2008/977/JAI du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale.
* 19 Art. 4.