Protection des données à caractère personnel

L'adoption d'une législation précise concernant la protection des données a caractère personnel constitue une étape essentielle dans la création d'un organe de poursuite supranational, chargé de conduire des enquêtes et de poursuivre les auteurs des infractions relevant de sa compétence. Le progrès technologique et la nécessité d'adopter des instruments de lutte efficaces contre la criminalité grave ayant une dimension transfrontière comme le terrorisme ont conduit a adopter un système de traitement des données très intrusif qui peut définir l'identité des individus de manière extrêmement détaillée. Des instruments permettent en effet de détecter une importante quantité d’informations a caractère personnel et confidentielles révélant le mode de vie des personnes concernées521.

Le niveau d'intrusion dans la vie privée des citoyens est donc très élevé et une adéquate réglementation visant a protéger les données a caractère personnel est indispensable afin de prévenir leur utilisation abusive par le Parquet européen.

519Sur l'importance de prévoir une règle d'exclusion, voy. L.BACHMAIER WINTER, The EU Directive on the Right to Access to a Lawyer: A Critical Assessment, in S. RUGGERI (éd.), Human Rights in European Criminal Law. New Developments in European Legislation and Case Law after the Lisbon Treaty, Springer, 2015, p. 114, 122, qui écrit: “To that end, the importance of respecting the exclusionary rule of evidence is essential: no incriminatory

statement of the defendant made without respecting the right to legal assistance shall be admitted as evidence. The case law of the ECtHR is very clear on this point8; however, if the EU Directive seeks to reinforce the right to access to lawyer and prevent that law enforcement agents keep on interviewing a person as a witness, when they already consider him as a suspect, the exclusionary rule should have been added into the Directive” (p. 114) e “To my mind at this point the Directive should have been more ambitious, including at least a general requirement that the MS shall provide the widest possible participation of the defence lawyer in the investigative stage, as long as this does not prejudice the success of the investigation and establish the exclusionary rule or evidence for not complying with the right of access to a lawyer during those three investigative acts set out under Article 3(3)(c) DAL” (p. 122). Voy également M. KAIAFA-GBANDI, The Establishment of an EPPO and the Rights of the

Suspects and Defendants: Reflections upon the Commission's 2013 proposal and the Council's amendments, in P. ASP (éd.), The European Public Prosecutor's Office – Legal and Criminal Policy Perspectives, Stockholm Skrifter utgivna av Juridiska fakulteten vid Stockholms universitet, 2015, pp. 234-254, in particolare p. 254.

520Voy. article 6 du TUE.

521Voy. pour le concept de surveillance de masse, SURVEILLANCE STUDIES NETWORK, A Report on the Surveillance Society, [disponible en ligne: https://ico.org.uk/media/about-the-ico/documents/1042390/surveillance-society-full-report-2006.pdf], septembre 2006.

Dès l'entrée en vigueur du Traité de Lisbonne, l'exigence de fixer « les règles relatives a la protection des personnes physiques a l'égard du traitement des données a caractère personnel par les institutions, organes et organismes de l'Union, ainsi que par les États membres dans l'exercice d'activités qui relèvent du champ d'application du droit de l'Union, et a la libre circulation de ces données »522 a été expressément prévue dans les Traités. Ainsi, le droit de toute personne a la protection de ses données a caractère personnel a été consacré par l'article 16 du TFUE et par l'article 8 de la Charte des droits fondamentaux de l'Union européenne523. Ces deux articles disposent que le respect des règles relatives a la protection des données a caractère personnel doit être soumis au contrôle d'autorités indépendantes.

En ce qui concerne la protection des données a caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, la Déclaration 21 annexée au Traité de Lisbonne prévoit que « des règles spécifiques sur la protection des données a caractère personnel et sur la libre circulation de ces données dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière se basant sur l'article 16 du traité sur le fonctionnement de l'Union européenne pourraient s'avérer nécessaires en raison de la nature spécifique de ces domaines »524.

Il ressort d’une lecture combinée de ces dispositions, que le Parlement européen et le Conseil, statuant conformément a la procédure législative ordinaire, doivent fixer les règles relatives a la protection des personnes physiques a l'égard du traitement des données a caractère personnel dans le cas où ces données sont traitées par les institutions, organes et organismes de l'Union, ainsi que par les États membres a certaines conditions. Ces données peuvent en tout cas être traitées seulement a des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Ces règles doivent prévoir le droit de toute personne d'accéder aux données collectées la concernant et d'en obtenir la rectification. Le respect de ces règles, en plus, doit être soumis au contrôle d'une autorité́ indépendante.

La principale caractéristique des règles relatives a la protection des données dans le domaine de la coopération judiciaire en matière pénale reste la fragmentation525.

522Voy. a cet égard l'article 16 du TFUE.

523L'article 8 de la Charte des droits fondamentaux de l'Union européenne établit : « Toute personne a droit à la

protection des donnees à caractère personnel la concernant. Ces donnees doivent etre traitees loyalement, à des fins determinees et sur la base du consentement de la personne concernee ou en vertu d'un autre fondement legitime prevu par la loi. Toute personne a le droit d'acceder aux donnees collectees la concernant et d'en obtenir la rectification. Le respect de ces règles est soumis au controle d'une autorite independante ».

524Voy. Déclaration n. 21 sur la protection des données a caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière annexée au Traité de Lisbonne.

525Voy. S. BRAUM, V. COVOLO, From Proven Fragmentation to Guaranteed Data Protection within the Virtual Criminal Law Enforcement Area: A Report on Personal Data Protection within the Framework of Police and Judicial Cooperation in Criminal Matters, in K. LIGETI (éd.), Toward a Prosecutor for the European Union, A comparative Analysis, Vol. 1, Oxford e Portland, Oregon, Hart Publishing, 2013, p. 1011 et s.; P. DE HERT, V. PAPAKONSTANTINOU, The data protection regime applying to the inter-agency cooperation and future architecture of the EU criminal justice and law enforcement area, [disponible en ligne:

Chaque organe européen, exerçant des fonctions dans le domaine de la coopération judiciaire en matière pénale, applique les règles prévues par son propre acte constitutif526. Il y a donc autant de règles que d’organismes européens. La directive 2016/680 en passe d’harmoniser théoriquement les règles en la matière ne s'applique pas au traitement de données a caractère personnel effectué par les institutions, organes, et organismes de l'Union527 tandis que le règlement 45/2001 n'a pas été modifié au cours des années suivantes528.

La proposition de règlement portant création du Parquet européen s'inscrit dans ce contexte. La fragmentation des différents instruments existants est donc accrue par l'adoption d'un autre texte fixant des règles relatives a la protection des données a caractère personnel529.

La proposition de règlement du Conseil du 31 janvier 2017 portant création du Parquet européen régit la protection des données a caractère personnel dans le cadre du Chapitre VI.

La proposition distingue les données administratives a caractère personnel des données a caractère personnel opérationnelles. À cet ensemble de données administratives a caractère personnel traité par le Parquet européen, s'applique le règlement (CE) n° 45/2001 du Parlement européen et du Conseil530. Les modalités de traitement des données a caractère personnel opérationnelles sont, au http://www.europarl.europa.eu/RegData/etudes/STUD/2014/510001/IPOL_STU(2014)510001_EN.pdf], Bruxelles, Etude pour le comité LIBE du Parlement eurpéen, completé en novembre 2014.

526Voy. a cet égard, en ce qui concerne Europol, le Règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif a l'Agence de l'Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI, JO L 135 du 24.5.2016, p. 53–114. En ce qui concerne Eurojust, la décision Eurojust è stato istituito con Décision 2002/187/JAI du Conseil du 28 février 2002 instituant Eurojust afin de renforcer la lutte contre les formes graves de criminalité, JO L 63 du 6.3.2002, p. 1–13 ; Décision 2009/426/JAI du Conseil du 16 décembre 2008 sur le renforcement d’Eurojust et modifiant la décision 2002/187/JAI instituant Eurojust afin de renforcer la lutte contre les formes graves de criminalité, JO L 138 du 4.6.2009, p. 14–32, n'est pas encore été substituée. Voy. la Proposition de règlement du Parlement européen et du Conseil, COM(2013) 535 final, 17 juillet 2013, relatif a l’agence de l’union européenne pour la coopération judiciaire en matière pénale (Eurojust). En ce qui concerne OLAF, l'article 10, al. 4 du Règlement (UE, Euratom) n ° 883/2013 du Parlement européen et du Conseil du 11 septembre 2013 relatif aux enquêtes effectuées par l’Office européen de lutte antifraude (OLAF) et abrogeant le règlement (CE) n ° 1073/1999 du Parlement européen et du Conseil et le règlement (Euratom) n ° 1074/1999 du Conseil, JO L 248 du 18.9.2013, p. 1–22, renvoi au règlement 45/2001 (Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif a la protection des personnes physiques a l'égard du traitement des données a caractère personnel par les institutions et organes communautaires et a la libre circulation de ces données, JO L 8 du 12.1.2001, p. 1–22).

527Voy. l’article 2, al. 3, lett. b) de la Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative a la protection des personnes physiques a l'égard du traitement des données a caractère personnel par les autorités compétentes a des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et a la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, JO L 119 du 4.5.2016, p. 89–131.

528Voy. le Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif a la protection des personnes physiques a l'égard du traitement des données a caractère personnel par les institutions et organes communautaires et a la libre circulation de ces données, JO L 8 du 12.1.2001, p. 1–22.

529Voy. en ce sens MEIJERS COMMITTEE (STANDING COMMITTEE OF EXPERTS ON INTERNATIONAL IMMIGRATION, REFUGEE AND CRIMINAL LAW), Note on the Proposal for a Regulation on the establishment of the European Public Prosecutor’s Office – Judicial Review, Forum Choice, Access to the Case File and Data Protection, CM1612, dernier point relative a la protection des données a caractère personnel.

530Voy. l'article 36 septies della Proposition de règlement portant création du Parquet européen – Projet de règlement, 31 janvier 2017, cit., che recita: “ Le règlement (CE) n° 45/2001 du Parlement europeen et du Conseil s'applique à

l'ensemble des donnees administratives à caractère personnel traitees par le Parquet europeen. Le Parquet europeen fixe les delais de conservation des donnees administratives à caractère personnel dans les dispositions de son règlement interieur afferentes à la protection des donnees ”. Voy. également le considérant 82 de la proposta di

contraire, prévues par les articles 37 et suivants de la proposition de règlement du Conseil.

Ainsi, l'article 37 prévoit que « Le Parquet européen traite les données a caractère personnel par voie automatisée ou dans des fichiers manuels structures, conformément au présent règlement, et ce uniquement aux fins suivantes : a) les enquêtes et poursuites pénales menées conformément au présent règlement ; ou b) l'échange d'informations avec les autorités compétentes des États membres et d'autres institutions, organes ou organismes de l'Union conformément au présent règlement ; ou c) la coopération avec les pays tiers et les organisations internationales menée conformément au présent règlement »531.

Dans l’objectif d’évaluer la pertinence de telles données a la vue des tâches et des finalités susmentionnées, le Parquet européen peut traiter temporairement des données a caractère personnel. Dans ce cas, « Le collège, statuant sur proposition du chef du Parquet européen et après consultation du contrôleur européen de la protection des données, précise davantage les conditions applicables au traitement de ces données a caractère personnel, en particulier en ce qui concerne l'accès à ces données et leur utilisation, ainsi que les délais afférents a leur conservation et a leur effacement »532.

S'applique le droit procédural national relativement a « l'obligation d'information des personnes concernées et a la possibilité́ de ne pas fournir, de limiter ou de retarder cette information », lorsque le Parquet européen applique les articles 37 septies a 37 duodecies du règlement533.

La proposition de règlement fixe également la durée de conservation des données a caractère personnel opérationnelles. Ainsi, il est prévu qu’au plus tard trois ans après le premier traitement desdites données, puis tous les trois ans, le Parquet européen réexamine a intervalles réguliers la nécessité de conserver les données a caractère personnel ayant fait l'objet d'un traitement. En tout cas, les données a caractère personnel opérationnelles traitées par le Parquet européen ne peuvent être conservées au-delà de cinq ans après qu'une décision d'acquittement définitif ait été́ prononcée dans le cadre de l'affaire concernée. Si la personne poursuivie est déclarée coupable, les délais sont prorogés jusqu'à ce que la peine prononcée soit exécutée ou ne puisse plus être exécutée en vertu du droit de l'État membre de condamnation. Le contrôleur européen de la protection des données est informé lorsque des données a caractère personnel sont conservées pendant plus de cinq ans534. La disposition précise également que, avant l'expiration de l'un des délais mentionnés, « le Parquet européen vérifie s'il y a lieu de continuer a conserver les données a caractère personnel si et aussi regolamento del Consiglio del 31 gennaio 2017, che prevede: “ Le règlement (CE) n° 45/2001 du Parlement

europeen et du Conseil du 18 decembre 2000 relatif à la protection des personnes physiques à l'egard du traitement des donnees à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces donnees1 est applicable aux operations de traitement de donnees administratives à caractère personnel effectuees par le Parquet europeen ”.

531Voy. article 37, al. 1 de la proposition de règlement du Conseil du 31 janvier 2017. 532Voy. article 37, al. 2 de la proposition de règlement du Conseil du 31 janvier 2017. 533Voy. article 37, al. 4 de la proposition de règlement du Conseil du 31 janvier 2017. 534Voy. article 37 bis de la proposition de règlement du Conseil du 31 janvier 2017.

longtemps que nécessaire pour accomplir ses missions. Les raisons de prolonger la conservation des données sont justifiées et consignées. En l'absence de décision de prolonger la conservation des données a caractère personnel, celles-ci sont effacées automatiquement »535.

En ce qui concerne la transmission de données a caractère personnel aux institutions, organes et organismes de l'Union, la proposition de règlement établit que « le Parquet européen ne transmet les données a caractère personnel opérationnelles a une autre institution ou à un autre organe ou organisme de l'Union que si elles sont nécessaires a l'exécution légitime de missions relevant de la compétence de cette autre institution ou de cet autre organe ou organisme de l'Union »536. La proposition de règlement précise également que « L'autre institution, organe ou organisme de l'Union traite les données a caractère personnel uniquement aux fins qui ont motivé́ leur transmission »537.

Afin de protéger la sphère la plus personnelle de la personne, la proposition de règlement prévoit que « le traitement des données a caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l'appartenance syndicale, et le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique est autorisé́ uniquement en cas de nécessité absolue pour les enquêtes du Parquet européen, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et uniquement si elles complètent d'autres données a caractère personnel déjà traitées par le Parquet européen. Le délégué́ a la protection des données est immédiatement informé du recours au présent article »538.

L'article 37 sexies établit ainsi un droit très important. Il prévoit que « la personne concernée a le droit de ne pas faire l'objet d'une décision du Parquet européen fondée exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques la concernant ou qui, de façon similaire, l'affecte de manière significative »539.

Cette disposition importe au regard du profilage automatisé et de toute forme de traitement automatisé de données a caractère personnel évaluant certains aspects personnels d’une personne physique. Ces aspects visent l’analyse ou la prédiction d’éléments multiples. Ils concernent le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique. L'ensemble de ces données constitue le profil de la personne concernée. Cette technique présente des dangers puisque subsiste un risque élevé de création, par l'ordinateur, d’un profil aux données 535Voy. article 37 bis, al. 3 de la proposition de règlement du Conseil du 31 janvier 2017.

536Voy. article 37 quater ter de la proposition de règlement du Conseil du 31 janvier 2017. 537Voy. article 37 quater ter, al. 3 de la proposition de règlement du Conseil du 31 janvier 2017. 538Voy. article 37 quinquies de la proposition de règlement du Conseil du 31 janvier 2017. 539Voy. article 37 sexies de la proposition de règlement du Conseil du 31 janvier 2017.

inexactes, mais servant a la poursuite elle-même erronée d’une personne.

Dans le but de parer a cette éventualité, la directive 2016/680 interdit « toute décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques défavorables pour la personne concernée ou l'affecte de manière significative ». Toutefois, la directive pose une dérogation a cette règle qui est de nature a affaiblir l'interdiction de la disposition. En effet, l'article 11 considère qu’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, est interdite, « a moins qu'elle ne soit autorisée par le droit de l'Union ou le droit d'un État membre auquel le responsable du traitement est soumis et qui fournit des garanties appropriées pour les droits et libertés de la personne concernée, et au minimum le droit d'obtenir une intervention humaine de la part du responsable du traitement »540.

Toutefois, la proposition de règlement portant création du Parquet européen du 31 janvier 2017 n’envisage pas de dérogation a l'interdiction pour ledit Parquet de fonder sa décision exclusivement sur un traitement automatisé, y compris le profilage.

La proposition de règlement prévoit aux dispositions suivantes les modalités tant de communication que d'exercice des droits de la personne concernée. De manière générale, le Parquet européen doit procéder a toute information en ce qui concerne le traitement a la personne concernée « d'une façon concise, compréhensible et aisément accessible, en des termes clairs et simples. Les informations sont fournies par tout moyen approprié, y compris par voie électronique. De manière générale, le responsable du traitement fournit les informations sous la même forme que la demande »541.

Quant aux informations a mettre à la disposition de la personne concernée ou à lui fournir, selon la proposition de règlement, le Parquet européen doit mettre à la disposition de la personne concernée au moins les informations énumérées a l'article 37 octies, al. 1. Toutefois, dans certains cas où la fourniture des informations peut soit gêner enquêtes, recherches ou procédures officielles ou judiciaires, soit nuire a la prévention ou a la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou a l'exécution de sanctions pénales, soit constituer un danger pour la sécurité́ publique ou nationale dans les États membres, ou pour les droits et libertés d'autrui, la fourniture des informations a la personne concernée peut être retardée ou limitée, aussi bien que les informations peuvent ne pas être fournies « dès lors et aussi longtemps qu'une mesure de cette nature constitue une mesure nécessaire et proportionnée dans une société́ démocratique, en tenant