L’Union européenne

L’article 16 du Traité sur le fonctionnement de l'Union européenne (ci-après : le TFUE) et les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne (ci-après : la Charte) protègent les données à caractère personnel en droit européen.

L’Office européen de police (Europol) est l’agence de l'Union européenne qui soutient la coopération entre les autorités répressives au sein de l'Union³⁵. Aux termes de l’article 3 du Règlement 2016/794 du Parlement européen et du Conseil (ci-après : le Règlement 2016/794), « Europol appuie et renforce l'action des autorités compétentes des États membres et leur collaboration mutuelle dans la prévention de la criminalité grave affectant deux ou plusieurs États membres, du terrorisme et des formes de criminalité qui portent atteinte à un intérêt commun qui fait l'objet d'une politique de l'Union, ainsi que dans la lutte contre ceux-ci »³⁶.

L’article 4 du Règlement 2016/794 précise que pour garantir la coopération policière et judiciaire, Europol assure notamment l’échange d’informations entre les autorités nationales des États membres de l’Union européenne. À cet égard, il sied de préciser qu’Europol établit et entretient des relations de coopération avec des autorités de pays

34 CourEDH, arrêt du 8 novembre 2016, Figueiredo Teixeira c. Andorre, req. n° 72384/14.

35 Article 1 du Règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l'Agence de l'Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI, JO L 135, du 24 mai 2016, p.53-114.

36 Article 3 du Règlement 2016/794.

tiers pour l’accomplissement de ses missions, telles que le transfert de données à caractère personnel³⁷.

Il en est ainsi de la relation entre la Suisse et Europol, qui ont conclu un Accord de coopération en 2004 (ci-après : l’Accord)^38.. L’Accord est entré en vigueur le 1^er mars 2006. Il vise à « renforcer la coopération des États membres de l’Union européenne, agissant par le biais d’Europol, et la Suisse dans la lutte contre toute forme sérieuse de criminalité internationale (…) notamment par l’échange d’informations tant stratégiques qu’opérationnelles (…) »³⁹. La coopération entre la Suisse et Europol porte sur un certain nombre d’infractions spécifiquement énumérées à l’article 3 et explicitées à l’annexe de l’Accord. Aux termes de l’article 9, paragraphe 8, de l’Accord, « les données à caractère personnel transmises par Europol ne peuvent être conservées plus de trois ans, au total. Le délai recommence chaque fois à courir le jour où se produit un événement qui entraîne le stockage de ces données ». En droit suisse, l’article 355a du code pénal traite de l’échange de données personnelles dans le cadre de la coopération avec Europol.

Une telle coopération judiciaire renforcée ne devrait toutefois pas s’exercer au détriment des droits fondamentaux des personnes suspectées ou condamnées. Les articles 28 à 46 du Règlement 2016/794 énumèrent les garanties relatives à la protection des données. C’est le Contrôleur européen de la protection des données (CEPD)⁴⁰ – l’autorité indépendante chargée de la protection des données au niveau de l’Union européenne – qui veille à ce que le stockage, le traitement et l’utilisation des informations dont disposent les services d’Europol soient conformes à la protection des données personnelles⁴¹.

Le système d’informations Schengen de deuxième génération (SIS II)⁴² est une banque de données qui contient des informations sur les personnes recherchées par la police ou la justice. Il vise à pallier l’absence de contrôles aux frontières intérieures et à assurer un niveau de sécurité élevé au sein des États Schengen⁴³. C’est encore le CEPD qui est chargé de contrôler le traitement des données à caractère personnel recueillies par la police et destinées au stockage dans le SIS II. À cette fin, il coopère

37 Articles 23 et 25 du Règlement 2016/794.

38 Accord entre la Confédération suisse et l’Office européen de police, conclu le 24 septembre 2004, RS 0.360.268.2.

39 Article 3 de l’Accord entre la Confédération suisse et l’Office européen de police.

40 Nommé en vertu de la décision 2004/55/CE du Parlement européen et du Conseil du 22 décembre 2003

41 Article 43 du Règlement 2016/794.

42 Créé par le règlement (CE) nº 1987/2006 (« règlement SIS II ») et par la décision 2007/533/JAI du Conseil (« décision SIS II »).

43 La Suisse en est membre depuis l’entrée en vigueur de l’application des accords d’association le 12 décembre 2008.

avec les autorités de contrôle nationales concernées⁴⁴, afin de garantir une protection des données cohérente.

Enfin, s’agissant de la réforme sur la protection des données, il nous faut signaler la Directive européenne sur la protection des données dans la police et la justice pénale (ci-après : la Directive 2016/680)⁴⁵, qui a été adoptée le 27 avril 2016. La Directive 2016/680 s’applique au traitement des données au stade de la prévention, de l’enquête, de la poursuite des infractions pénales et de l’application des sanctions⁴⁶. Les prin-cipes généraux applicables aux transferts de données à caractère personnel y sont énu-mérés à l’article 35.

Aux termes de l’article 36 de ladite Directive, pour qu’un transfert soit admissible, un niveau de protection adéquat doit être certifié par la Commission européenne. L’idée sous-jacente de cette exigence est la suivante : les États ayant adhéré au « noyau dur » des dispositions en matière de protection des données offrent un niveau minimal de protection et assurent donc une protection adéquate. Autrement dit, le respect des prin-cipes fondamentaux et des exigences en matière de procédure est considéré comme une condition minimale pour pouvoir parler d’un niveau de protection adéquat. Selon une décision de la Commission européenne, la Suisse présente actuellement un niveau de protection des données adéquat⁴⁷.

En l’absence d’une décision d’adéquation, un transfert à un pays tiers peut tout de même avoir lieu, pour autant que ledit pays tiers prévoie un niveau de protection équi-valent moyennant des garanties appropriées, telles qu’un recours à des clauses con-tractuelles de protection des données ou un règlement de protection des données pour les groupements d’entreprises⁴⁸. En somme, la Directive 2016/680 tend à harmoniser les législations européennes afin de faciliter la « coopération transfrontalière » entre les autorités judiciaires des différents États membres de l’Union européenne. De son côté, la Suisse est tenue de transposer la Directive 2016/680, conformément aux en-gagements pris dans le cadre de l’accord d’association conclu entre la Confédération suisse, l’Union européenne et la Communauté européenne sur l’association de la Suisse à la mise en œuvre, à l’application et au développement de l’acquis Schengen

44 Articles 44, 46 et 47 de la décision du Contrôleur européen de la protection des données du 17 décembre 2012, concernant l’adoption du règlement intérieur (2013/504/EU).

45 Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, JO L 119 du 4.5.2016, p. 89–131.

46 Articles 1 et 2 de la Directive 2016/680.

47 Décision de la Commission européenne du 26 juillet 2000 relative à la constatation, conformément à la directive 95/46/CE du Parlement européen et du Conseil, du caractère adéquat de la protection des données à caractère personnel en Suisse, JO L 215 du 25 août 2000, p.1.

48 Article 37 de la Directive 2016/680.

(accord d’association à Schengen)⁴⁹. Cette transposition implique notamment des mo-difications de la loi fédérale sur la protection des données (LPD), ainsi que d’autres lois fédérales, comme celles du code de procédure pénale⁵⁰.