COM (2005) 475 final
du 04/10/2005
Date d'adoption du texte par les instances européennes : 27/11/2008
Examen dans le cadre de l'article 88-4 de la Constitution
Texte déposé au Sénat le 18/10/2005Examens : 04/06/2007 (délégation pour l'Union européenne), 27/11/2007 (délégation pour l'Union européenne)
Justice et affaires intérieures
Protection des données
à caractère personnel
traitées dans le cadre de la
coopération policière et judiciaire
en matière
pénale
Texte E 2977 - COM (2005) 475 final
Cette proposition de décision-cadre, présentée par la Commission européenne, vise à établir des normes communes en matière de protection des personnes physiques à l'égard du traitement des données à caractère personnel dans le cadre de la coopération policière et judiciaire en matière pénale.
Ce texte est étroitement lié à la proposition de décision-cadre relative au principe de disponibilité des informations (texte E 2981). En effet, il s'agit d'accompagner la mise en oeuvre du principe de disponibilité par l'instauration de règles permettant de renforcer la confiance mutuelle et, par voie de conséquence, de favoriser l'échange d'informations tout en prévoyant des garanties en matière de protection des droits et libertés.
La question de la protection des données à caractère personnel en matière de coopération policière et judiciaire pénale a été soulevée à plusieurs reprises au sein de la délégation pour l'Union européenne du Sénat, notamment au sujet de l'accord avec les États-Unis sur le transfert des données contenues dans les dossiers de passagers de vols aériens (PNR).
I - LE CONTEXTE
La protection des données personnelles a été harmonisée au niveau européen par une directive du 24 octobre 1995, qui constitue le cadre de référence en la matière. Toutefois, cette directive ne s'applique que pour les activités qui relèvent du cadre communautaire (le « premier pilier ») et pas pour celles relevant des deuxième et troisième « piliers ».
Dans le cadre du « troisième pilier », c'est-à-dire en matière de coopération policière et de coopération judiciaire pénale, la protection des données à caractère personnel relève donc actuellement du droit national. Plusieurs tentatives d'harmonisation des législations nationales ont été entreprises ces dernières années, sans aboutir à ce jour.
Il existe toutefois des règles spécifiques en matière de protection des données personnelles propres à chacun des systèmes d'échange d'informations créées à l'échelle de l'Union européenne, tels que le système d'information Schengen (le SIS), le système d'information douanier, ou encore le système d'information d'Europol et celui d'Eurojust.
En outre, il existe, dans le cadre du Conseil de l'Europe, une convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, qui a été signée le 28 janvier 1981 à Strasbourg et qui est entrée en vigueur le 1er octobre 1985. Cette convention a été complétée par un protocole additionnel, signé le 8 novembre 2001, qui concerne les flux transfrontières de données et qui fait actuellement l'objet d'une procédure de ratification parlementaire en France.
En avril 1985, les autorités nationales chargées de la protection des données des États membres (comme la CNIL pour la France) et le contrôleur européen de la protection des données, réunis à Cracovie, ont appelé à la mise en place d'un nouvel instrument juridique de protection des données à caractère personnel applicable dans le cadre du « troisième pilier ».
Le Parlement européen a, pour sa part, adopté, en juin 2005, une recommandation dans laquelle il estime que le niveau de protection des données dans le domaine du « troisième pilier » devrait être similaire à celui prévu dans le cadre du « premier pilier ».
II - LE CONTENU DE LA PROPOSITION DE DÉCISION-CADRE
La proposition de décision-cadre est fondée sur une double base juridique (les articles 30 et 31 du traité sur l'Union européenne) qui couvre à la fois la coopération policière et la coopération judiciaire en matière pénale, c'est-à-dire l'ensemble du « troisième pilier ».
Le champ d'application de cet instrument s'appliquerait non seulement aux données transférées entre États, mais aussi aux données traitées dans un cadre purement national. Il s'appliquerait également au système d'information Schengen de deuxième génération (SIS II) et au futur système d'information sur les visas (VIS). En revanche, il ne remettrait pas en cause les dispositions spécifiques relatives au traitement des données par le système d'information d'Europol, d'Eurojust ou encore le système d'information douanier. En outre, il ne vise que les traitements réalisés aux fins de prévention et de détection des infractions pénales, ainsi que d'enquête et de poursuite en la matière. Cela signifie que les données collectées à d'autres fins (par exemple fiscales) n'entreraient pas dans le champ d'application de cet instrument.
Le texte contient des règles générales sur le traitement des données à caractère personnel et des dispositions concernant des formes spécifiques de traitement (transmission entre États membres et traitements ultérieurs des données transmises). Il prévoit également des dispositions relatives à la protection des droits fondamentaux, en particulier le droit au respect de la vie privée et à la protection des données à caractère personnel. Il prévoit ainsi le droit d'accès, d'information, de rectification, d'effacement ou de recours des personnes concernées, ainsi que des mesures de confidentialité et de sécurité du traitement.
Le texte prévoit aussi la désignation, par chaque État membre, d'une autorité de contrôle chargée de la protection des données, ainsi que la création d'un groupe consultatif indépendant au niveau européen chargé de la protection des données. Ce groupe serait composé d'un représentant de chaque autorité de contrôle nationale, d'un représentant du contrôleur européen de la protection des données et d'un représentant de la Commission européenne.
Enfin, le projet de décision-cadre détermine les conditions dans lesquelles les données à caractère personnel peuvent être transmises à des pays tiers. Un tel transfert n'est autorisé que si le pays en question assure un « niveau adéquat » de protection des données à caractère personnel. Toutefois, ce transfert peut intervenir, y compris en l'absence de niveau adéquat de protection, à titre exceptionnel et en cas d'absolue nécessité afin de sauvegarder les intérêts essentiels d'un État membre ou à des fins de prévention de menaces imminentes graves à l'encontre de la sécurité publique ou d'une ou de plusieurs personnes.
III - LES DIFFICULTÉS SOULEVÉES PAR CETTE INITIATIVE
Au-delà des nombreuses questions techniques, ce texte soulève trois questions de principe portant sur son champ d'application.
1/ Le champ d'application devrait-il se limiter à la transmission transfrontalière de données ou bien s'étendre aux données recueillies et utilisées dans un cadre purement national ?
La Commission européenne considère que cet instrument devrait s'appliquer à toutes les données traitées par les autorités répressives des États membres, qu'il s'agisse de données échangées entre les États ou de données traitées dans un cadre purement national. Elle fait notamment valoir le caractère artificiel, impraticable et politiquement inopportun de la distinction entre données nationales et données de coopération internationale. Ainsi, certaines données peuvent être d'abord collectées et traitées dans un cadre national, mais faire ensuite l'objet d'un échange et d'un traitement par un autre État membre. Il paraît donc difficile en pratique d'établir une distinction entre les données traitées dans un cadre strictement national et celles traitées dans un cadre transfrontalier. Cette approche est soutenue par plusieurs États membres, dont la France.
Elle est toutefois contestée par d'autres États membres, comme le Royaume-Uni et l'Irlande, qui s'opposent à l'inclusion dans le champ d'application de la décision-cadre des données collectées à usage purement interne, en faisant valoir notamment qu'il n'existe pas de base juridique dans les traités permettant une telle inclusion et que celle-ci serait contraire aux principes de subsidiarité et de proportionnalité. Ainsi, pour le Royaume-Uni, sur l'ensemble des données collectées et traitées par les services de police, seule une faible proportion revêt une dimension transfrontalière. Il serait donc disproportionné de soumettre l'ensemble de ces données à un régime de protection établi au niveau européen.
Saisi d'une demande d'avis sur ce point, le service juridique du Conseil a considéré, dans un avis du 9 mars 2006, que les articles 30 et 31 pouvaient offrir la base juridique nécessaire pour permettre au Conseil d'adopter une décision-cadre sur la protection des données à caractère personnel qui soit applicable également au traitement de données dans un contexte purement national. En effet, de manière assez curieuse, le service juridique du Conseil considère qu'une décision-cadre du « troisième pilier » est semblable à une directive communautaire. La présente proposition de décision-cadre doit donc, d'après lui, être interprétée de la même manière que la directive de 1995. Or, celle-ci s'applique à des données collectées et utilisées dans un contexte national.
En ce qui concerne le respect des principes de subsidiarité et de proportionnalité, le service juridique du Conseil estime que l'examen de la proposition, au regard de ces principes, devait être effectué par le Conseil.
À cet égard, l'avis du service juridique du Conseil contient la motivation suivante :
« Comme l'indique l'utilisation de mots tels que « dans la mesure où », « suffisante » et « mieux », qui impliquent un jugement de valeur, la subsidiarité est essentiellement un principe politique et subjectif. Lorsqu'elles l'appliquent, les institutions doivent, tout au long de l'examen d'une proposition d'acte législatif, exercer leur pouvoir discrétionnaire, en pesant les avantages et les inconvénients.
C'est avant tout au pouvoir politique de décider si une action de l'Union serait « meilleure » qu'une action au niveau des États membres. Le principe de subsidiarité a été invoqué devant la Cour de justice dans un certain nombre de cas (peu nombreux il est vrai). Pourtant, à ce jour, la Cour, qui contrôle le respect du principe de subsidiarité dans le cadre du TCE, n'a jamais annulé un acte pour violation de ce principe.
Le respect du principe de subsidiarité ne peut être vérifié de façon abstraite. Il faut étudier de près tous les aspects - aussi techniques soient-ils -du dossier de l'acte législatif en question. Conformément à l'accord interinstitutionnel d'octobre 1993 sur les procédures pour la mise en oeuvre du principe de subsidiarité, la vérification de la conformité de l'action envisagée avec le principe de subsidiarité « ne peut être disjointe de l'examen quant au fond ».
Cette interprétation peut paraître surprenante dans la mesure où elle revient à restreindre la portée juridique du principe de subsidiarité, considéré par le service juridique du Conseil comme un principe essentiellement politique et subjectif, alors même que ce principe figure dans les traités et que la Cour de justice des Communautés européennes considère que ce principe est justiciable du contrôle de la Cour (arrêt du 12 novembre 1996, Royaume-Uni c/Conseil).
Nonobstant l'avis du service juridique du Conseil, un certain nombre d'États membres restent opposés à l'inclusion des données purement internes dans le champ d'application de cet instrument.
Les autorités françaises sont, à l'inverse, favorables à un champ d'application large qui couvrirait à la fois les données transfrontières et les données traitées dans un cadre purement national, tout en estimant de manière assez paradoxale, que l'harmonisation envisagée devrait s'opérer a minima et dans le strict respect des principes de subsidiarité et de proportionnalité. Elles souhaitent toutefois exclure les services de renseignement du champ d'application de cet instrument.
Pour sa part, le Parlement européen a apporté son soutien à la proposition de la Commission, dans son avis rendu le 27 septembre 2006, sur le rapport de Martine Roure, en plaidant pour un large champ d'application, qui couvrirait à la fois les aspects transfrontaliers et les cas purement internes, mais aussi, à terme, les systèmes d'information d'Europol et d'Eurojust.
Le contrôleur européen de la protection des données s'est également prononcé, dans un avis du 19 décembre 2005, pour un champ d'application large, qui couvrirait à la fois les aspects internes et les aspects transfrontaliers, tout en recommandant des règles plus strictes en matière de protection des données à caractère personnel.
Du point de vue d'un strict respect, tant des dispositions des traités que des principes de subsidiarité et de proportionnalité, il ne fait pas de doutes que le champ d'application de cet instrument devrait se limiter à la protection des données transférées entre les États membres dans le cadre de la coopération policière et judiciaire pénale, en excluant les informations recueillies et utilisées dans un contexte purement national. En effet, chaque État membre dispose déjà d'une législation en matière de protection des données personnelles et il n'est pas démontré que les différences entre ces législations constitueraient une entrave à une coopération efficace au point de justifier l'adoption à l'échelle européenne d'une réglementation portant sur le traitement purement national de données.
À cet égard, l'argument selon lequel il serait difficile d'établir une distinction entre les données transfrontalières et les données traitées dans un cadre national ne paraît guère convaincant, étant donné que le texte prévoit d'ores et déjà des règles plus strictes en matière d'échange de données.
Il convient, en outre, de relever que si le Conseil décide, selon le souhait du Gouvernement français, d'appliquer les dispositions de la décision-cadre aux traitements nationaux, cela nécessitera des modifications de notre législation sur plusieurs aspects.
2/ Faut-il prévoir des règles plus strictes en matière de transfert de données à un autre État membre et de traitement ultérieur de ces données ?
Le texte de la Commission européenne prévoit des règles plus strictes en matière de protection des données à caractère personnel en cas de données transférées à un autre État membre par rapport aux règles applicables dans un cadre purement national. En particulier, les finalités pour lesquelles les données à caractère personnel pourraient être utilisées à d'autres fins que celles pour lesquelles elles ont été transmises seraient limitées et l'utilisation de ces données serait, dans certains cas « revêtant un caractère exceptionnellement sensible », soumises à l'accord préalable de l'État membre d'origine.
Sur ce point, un clivage est apparu entre deux groupes d'États. Un premier groupe, à l'image de la France, souhaite restreindre les possibilités de traitement ultérieur des données échangées entre États membres. Un deuxième groupe d'États s'y oppose en voulant prévoir les mêmes règles que celles applicables au niveau national.
À cet égard, il semble logique de prévoir des règles plus strictes pour les données qui font l'objet d'un échange transfrontalier afin d'éviter toute tentative de contournement des règles nationales relatives à la protection des données personnelles.
3/ Le texte devrait-il couvrir les données transférées à des pays tiers ?
La question s'est également posée de savoir si cet instrument devrait couvrir les données à caractère personnel transférées à des pays tiers, telles que par exemple les données dites PNR sur les dossiers passagers de vols aériens transférées aux autorités américaines. Pour la Commission européenne, la décision-cadre ne devrait couvrir les données transférées à des pays tiers que lorsqu'elles ont été reçues précédemment d'un autre État membre afin de ne pas remettre en cause les accords bilatéraux et multilatéraux existants. Cette approche est toutefois contestée par plusieurs États membres qui souhaitent l'exclusion totale des données transférées à des pays tiers du champ d'application de cet instrument, au motif que ce transfert relève de l'appréciation souveraine de chaque État membre. À l'inverse, d'autres États membres considèrent qu'il serait choquant de ne pas étendre la protection des données à caractère personnel aux données transférées à des pays tiers. Ils font valoir que la directive de 1995 sur la protection des données à caractère personnel dans le cadre du « premier pilier » s'applique également au transfert de données à des pays tiers.
Par ailleurs, le texte initial de la Commission prévoyait la création d'un comité, composé de représentants des États membres et présidé par un représentant de la Commission européenne, qui aurait été notamment chargé d'établir, par un vote à la majorité qualifiée, qu'un pays tiers assure un niveau « adéquat » de protection des données personnelles, autorisant ainsi le transfert aux autorités de ce pays de données à caractère personnel. Cependant, les représentants des États membres se sont accordés pour rejeter cette solution au motif que la procédure de comitologie ne s'applique que dans le cadre du « premier pilier » et non dans le « troisième pilier » en vertu des traités.
Tout en approuvant la suppression de la procédure de comitologie, il semble souhaitable que le champ d'application recouvre les données transférées à des pays tiers, étant donné la sensibilité et l'importance de cet aspect à la fois du point de vue de la confiance mutuelle et de la protection des droits et libertés.
*
Sous réserve de ces observations, la délégation a décidé, à ce stade, de ne pas intervenir sur ce texte qui vise à renforcer la protection des données à caractère personnel dans le cadre de la coopération policière et judiciaire en matière pénale. Elle se réserve toutefois la possibilité d'un nouvel examen en fonction de l'évolution du processus de négociation.
Justice et affaires intérieures
Communication de M. Pierre
Bernard-Reymond
relative à la protection des
données
Texte E 2977- COM (2005) 475 final
(Réunion du 27 novembre 2007)
Cette proposition de décision-cadre, présentée par la Commission européenne en 2005, tend à établir des normes communes en matière de protection des personnes physiques à l'égard du traitement des données à caractère personnel dans le cadre de la coopération judiciaire en matière pénale.
Je rappelle que notre délégation avait procédé à un premier examen de ce texte, le 6 juin dernier. Sous le bénéfice de plusieurs observations sur lesquelles je reviendrai dans un instant, elle s'était réservé la possibilité d'un nouvel examen en fonction de l'évolution du processus de négociation.
La négociation étant désormais très avancée et un accord au Conseil étant prévisible sur l'ensemble du texte d'ici la fin de l'année, il est utile de faire un nouveau point sur un dispositif qui sera probablement de portée plus modeste que ne le laissaient présager les intentions initiales. Ce nouvel examen me paraît d'autant plus important dans un contexte marqué par le récent accord dit PNR entre l'Union Européenne et les États-Unis, sur lequel nous avons formulé de fortes réserves, et alors que la Commission européenne vient de présenter un projet de PNR européen que nous devrons également regarder de près.
Avant d'en venir au dispositif proprement dit, je veux souligner que le volume des données en cause est potentiellement très important puisque, sans préjudice des intérêts essentiels en matière de sécurité nationale, la décision-cadre concernera potentiellement tous les fichiers de police et toutes les données issues de procédures judiciaires. Ce volume ne fera, en outre, que progresser notamment sous l'effet du principe de disponibilité qui établit un partage entre les États membres des informations utiles à l'action répressive et qui fait l'objet d'une autre proposition de décision-cadre actuellement « en réserve » dans l'attente qu'une solution soit apportée à la question cruciale de la protection des données.
I - LE CONTEXTE ET LE CONTENU DE LA PROPOSITION DE DÉCISION-CADRE
Je rappelle que la protection des données personnelles a été harmonisée au niveau européen par une directive du 24 octobre 1995. Toutefois, cette directive ne s'applique que pour les activités qui relèvent du cadre communautaire (le « premier pilier ») et pas pour celles relevant des autres « piliers », en particulier le troisième « pilier » qui recouvre la coopération policière et la coopération judiciaire pénale. Dans le cadre de ce « troisième pilier », la protection des données à caractère personnel relève donc actuellement du droit national. Plusieurs tentatives d'harmonisation des législations nationales ont été entreprises ces dernières années, sans aboutir à ce jour.
Toutefois, des règles spécifiques de protection des données personnelles ont été prévues pour chacun des systèmes d'échange d'informations créées à l'échelle de l'Union européenne, tels que le système d'information Schengen (le SIS), le système d'information douanier, ou encore le système d'information d'Europol et celui d'Eurojust.
En outre, le traité de Prüm, signé le 27 mai 2005, contient aussi des dispositions détaillées sur la protection des données. Je rappelle qu'il permettra d'améliorer les échanges d'informations entre les autorités compétentes, concernant en particulier les profils ADN, les empreintes digitales, ainsi que les données contenues dans les registres d'immatriculation de véhicules.
J'ajoute que, dans le cadre du Conseil de l'Europe, une convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, qui a été signée le 28 janvier 1981 à Strasbourg, est entrée en vigueur le 1er octobre 1985. Un protocole additionnel, a été signé le 8 novembre 2001, pour ce qui concerne les flux transfrontières de données.
Dans ce contexte, la proposition de décision-cadre, présentée par la Commission européenne, tend à établir des normes communes en matière de protection des données à caractère personnel dans le cadre de la coopération policière et judiciaire en matière pénale. Elle est fondée sur une double base juridique (les articles 30 et 31 du traité sur l'Union européenne) qui couvre l'ensemble du « troisième pilier ».
Elle fixe des règles générales et des dispositions concernant des formes spécifiques de traitement (transmission entre États membres et traitements ultérieurs des données transmises). C'est ainsi par exemple qu'elle affirme un principe de finalité de la collecte des données et un principe d'exactitude des données. Elle prévoit aussi des droits d'accès, d'information, de rectification, d'effacement, un droit à réparation et un droit de recours des personnes concernées, ainsi que des mesures de confidentialité et de sécurité du traitement.
II - LES PRINCIPALES DIFFICULTÉS POSÉES PAR CE TEXTE
Au-delà des nombreuses questions techniques qui ont été abordées au cours de la négociation, je voudrais me concentrer sur quelques questions de principe.
1. Le champ d'application de la décision-cadre
Il devrait en définitive se limiter à la transmission transfrontalière de données. Cela lui confère évidemment une portée moins ambitieuse que dans la rédaction proposée par la Commission. Celle-ci avait, en effet, envisagé un champ d'application s'appliquant non seulement aux données transférées entre États, mais aussi aux données traitées dans un cadre purement national.
La Commission européenne faisait notamment valoir le caractère artificiel, impraticable et politiquement inopportun de la distinction entre données nationales et données de coopération internationale. Cette approche était soutenue par plusieurs États membres, dont la France.
Nonobstant un avis du service juridique du Conseil confirmant l'existence d'une base juridique pour une telle approche, celle-ci a été contestée par plusieurs États membres, comme le Royaume-Uni et l'Irlande. Ces États étaient opposés à l'inclusion dans le champ d'application de la décision-cadre des données collectées à usage purement interne, au motif notamment qu'il n'existait pas de base juridique dans les traités permettant une telle inclusion et que celle-ci serait contraire aux principes de subsidiarité et de proportionnalité. A l'inverse, la perspective d'une telle restriction du champ d'application a suscité de vives réserves de la part du contrôleur européen des données et des autorités de contrôle réunies dans le groupe dit « G 29 ».
Lors de sa réunion du 4 juin 2007, la délégation avait pour sa part estimé que, notamment du point de vue de la subsidiarité et de la proportionnalité, le champ d'application de cet instrument devrait se limiter à la protection des données transférées entre les États membres dans le cadre de la coopération policière et judiciaire pénale, en excluant les informations recueillies et utilisées dans un contexte purement national.
Dans le souci de parvenir à un compromis, la France s'est en définitive ralliée à une restriction du champ d'application du texte aux seules données transférées entre États.
Il a néanmoins été précisé, dans les considérants de la proposition, qu'aucune conclusion ne pourrait être tirée de cette limitation du champ d'application du texte quant aux compétences de l'Union européenne concernant les données traitées au niveau national ni sur l'opportunité pour l'Union d'agir dans ce sens dans l'avenir. Il a en outre été ajouté que les États membres se proposaient de faire en sorte que le niveau de protection des données au niveau national corresponde à celui prévu par la décision-cadre. En outre, en ce qui concerne le traitement national des données, les États membres pourront toujours prévoir des garanties plus rigoureuses que celles établies par la décision-cadre. Un dispositif d'évaluation a par ailleurs été prévu.
La CNIL, dont j'ai reçu les représentants, a déploré ce champ d'application restreint. Dans des observations formulées en février 2007, elle avait fait valoir que « l'absence de référence aux traitements de données nationaux conduirait à l'établissement de deux régimes distincts de protection des données pour des données pourtant similaires. » Elle avait, en outre, estimé que cette solution laissait ouverte « la possibilité pour les États membres qui le souhaiteraient d'opérer une distinction légale entre les données échangées et celles qui restent traitées uniquement dans le cadre national. »
On doit néanmoins garder à l'esprit, qu'à travers ce texte, l'objectif est d'abord d'accompagner les échanges de données entre États membres plus que de réaliser une harmonisation de leur systèmes nationaux, lesquels se caractérisent au demeurant par une très grande diversité d'approches.
2. Le transfert de données réalisé par un autre État membre au profit d'un pays tiers
La restriction du champ d'application du texte aux seules données reçues d'un autre État, à l'exclusion des traitements nationaux des données domestiques, conduisait logiquement à maintenir un niveau élevé d'exigence pour la protection des données transférées vers un État tiers. Autant il était inévitable de prendre en compte le souhait de certains États membres de ne pas fixer de règles pour la transmission de leurs données nationales vers des États tiers. Autant il était exclu que certains États puissent s'affranchir de toute exigence du consentement de l'État d'origine des données pour la retransmission par un autre État membre de ces données vers un État tiers.
En définitive, l'accord politique conclu au Conseil prévoit effectivement que tout État membre doit obtenir l'autorisation du pays d'origine des données pour tout transfert de ces données vers un État tiers. Une dérogation à cette règle est admise dans des circonstances déterminées comme la prévention d'un danger immédiat et sérieux pour la sécurité publique.
En outre, l'État tiers devra assurer un niveau de protection adéquat pour le traitement des données. La proposition initiale de la Commission avait prévu un comité chargé d'établir, à la majorité qualifiée, qu'un État tiers assurait un niveau de protection adéquat des données personnelles. Les représentants des États membres ont rejeté cette solution, au motif que, en vertu des traités, la procédure de comitologie ne s'appliquait que dans le cadre du « premier pilier » et non dans le « troisième pilier ». Tout en souhaitant que le champ d'application recouvre les données transférées à des pays tiers, notre délégation avait approuvé la suppression de la procédure de comitologie.
La proposition de décision-cadre prévoit désormais que ce caractère adéquat du niveau de protection s'appréciera « au regard de toutes les circonstances relatives à une opération de transfert ». En particulier, devront être prises en considération la nature des données, la finalité et la durée des traitements envisagés, ainsi que les règles en vigueur dans l'État tiers concerné. Reste à savoir comment ces critères seront appréciés concrètement par les différents États membres et si une trop grande disparité entre États membres ne se manifestera pas.
Je déplore par ailleurs que rien ne soit dit dans la proposition sur le transfert éventuel à un second État tiers des données transmises par un État membre à un premier État tiers. Cette omission serait due à la double considération qu'il n'aurait pas été possible juridiquement d'imposer à un État tiers une obligation de ne pas faire et que le principe de finalité trouverait de toute manière à s'appliquer. Il me semble qu'il aurait été possible de contourner cette difficulté juridique en se plaçant exclusivement sur le terrain des relations entre États membres et plus précisément de l'usage qu'un État membre peut faire des données qui lui ont été transmises. Un considérant de la proposition précise d'ailleurs que chaque État membre pourra déterminer les modalités de son accord y compris par le biais d'un accord général pour des catégories d'informations ou des pays spécifiques.
J'observe, en outre, qu'en l'état, la proposition de décision-cadre sur le PNR européen prévoit expressément qu'un État tiers ne pourra transférer les données en cause à un autre État tiers sans l'accord exprès de l'État membre.
3. Le rôle des autorités de contrôle
La proposition de décision-cadre précise que les États membres devront prévoir qu'une ou plusieurs autorités publiques soient chargées de conseiller et de surveiller l'application, sur son territoire, des dispositions adoptées par les États membres en application de la décision-cadre. En revanche, elle ne prévoit pas une structure commune à l'échelle européenne, à l'image du groupe de protection des personnes à l'égard du traitement des données à caractère personnel (le « G 29 »), institué dans le cadre du « premier pilier » par l'article 29 de la directive du 24 octobre 1995, qui est constitué des autorités de contrôle des États membres.
Je pense que, comme le fait valoir la CNIL à partir de l'expérience du « G 29 », une structure commune aurait pu avoir un double avantage : permettre de faire évoluer, par ses avis, la décision-cadre et promouvoir des contrôles harmonisés dans l'Union européenne.
4. L'articulation avec les autres dispositifs de protection des données
La proposition ne prévoit pas non plus de regrouper les autorités de contrôle créées par les différents dispositifs existants au niveau européen. En outre, elle précise expressément que les conditions spécifiques prévues par les systèmes existants (en particulier Europol, Eurojust, le Système Schengen et le système des Douanes) prévaudront.
Cela pose plus généralement la question de la pertinence de faire coexister plusieurs systèmes de protection des données au niveau européen. Une rationalisation pourrait paraître souhaitable. Mais je crois qu'il est plus sage, à ce stade, de veiller à ne pas mettre en cause ce qui fonctionne bien et à préserver des spécificités objectives. Outre une question de calendrier, ces considérations l'ont donc emporté pour ne pas perturber l'existant.
Toutefois, selon une déclaration du Conseil, qui serait annexée à la décision-cadre, le Conseil devrait examiner comment, à l'avenir, les fonctions exercées par ces autorités de contrôle pourraient être regroupées au sein d'une seule autorité de contrôle de la protection des données.
Il est par ailleurs utile de préciser que la décision-cadre ne préjugera pas des accords bilatéraux en vigueur. Dans le cadre de l'application de ces accords, le transfert à un État tiers de données personnelles collectées auprès d'un autre État membre sera, en règle générale, subordonné à l'accord de celui-ci.
Enfin, je veux indiquer qu'en l'état, la proposition de décision-cadre sur le PNR européen, présentée par la Commission, spécifie que les États membres devront assurer que la décision-cadre soit bien applicable au recueil de données personnelles dans le cadre du PNR.
* *
*
Au total, le texte qui devrait résulter des discussions entre les États membres me paraît en deçà des ambitions initiales telles qu'elles avaient été soutenues par la France qui aurait souhaité un niveau de protection plus élevé. Le compromis qui a été trouvé aboutit, en définitive, à un texte plus modeste qui n'est pas dénué d'ambiguïté notamment sur les conséquences à tirer de la restriction de son champ d'application au seul transfert de données.
Force est néanmoins de constater que, dans le cadre du « troisième pilier », les divergences d'approche rendaient improbable une approche plus ambitieuse. C'est malheureusement trop souvent le cas. Certes, sous les réserves que j'ai précédemment exprimées, l'établissement de règles communes - aussi imparfaites soient-elles - dans un domaine qui n'en était pas doté jusqu'à présent, est en soi un progrès. En outre, les spécificités inhérentes à la coopération policière et judiciaire en matière pénale doivent être prises en compte dans l'appréciation que l'on doit porter sur ce dispositif. Mais il demeure que son application devra faire l'objet d'une évaluation très précise pour envisager les adaptations nécessaires et parvenir ainsi à un niveau élevé de protection des données dans le cadre de cette coopération.
Compte rendu sommaire du débat
M. Robert del Picchia :
Quelles seront les autorités d'un État tiers qui pourront demander ces données ?
M. Pierre Bernard-Reymond :
Les données pourront être sollicitées par des autorités judiciaires, mais aussi par des services de police.
M. Hubert Haenel :
Lorsque nous avons examiné l'accord PNR entre les États-Unis et l'Union européenne, nous avons pu constater la difficulté que constitue la délimitation précise des autorités pouvant recevoir les données transmises par un État membre. Le risque est que les données puissent être transmises successivement à un trop grand nombre d'autorités.
M. Robert del Picchia :
Un récent rapport du Conseil de l'Europe a critiqué vivement les États-Unis et l'Union européenne pour avoir conclu cet accord qui demeure très insuffisant sur la protection des données.
M. Pierre Fauchon :
Lors des tragiques évènements du 11 septembre 2001, toutes les données pertinentes étaient connues des services de sécurité mais on n'a pas su les utiliser à cause de défaillances dans les échanges d'informations entre services.
Cette proposition de décision-cadre me paraît entrer parfaitement dans le champ de responsabilité de l'Union européenne. Malheureusement, on n'ose pas faire en sorte d'avoir un système unifié. Alors, on se contente d'une multitude de dispositifs complexes.