library_books Articles menu_book Ouvrages event Événements collections_bookmark Collections info A propos search login
tune Recherche avancée
article Articles book Ouvrages event Événements collections_bookmark Collections info À propos favorite Nous soutenir
tune Recherche avancée login
Coopération judiciaire Européenne : la protection des données personnelles
13 Oct 2014
Par Marie-Hélène Descamps
Collections liées
folder La coopération judiciaire européenne
Non catégorisé
L'explosion des données personnelles soulève des enjeux cruciaux en matière de protection de la vie privée, particulièrement dans le cadre de la coopération judiciaire européenne. Cet article analyse les enjeux de la protection des données personnelles dans le contexte de la coopération judiciaire européenne, en mettant en lumière les défis posés par la lutte contre le terrorisme et la nécessité de concilier sécurité et respect des libertés fondamentales. Découvrez les évolutions législatives et jurisprudentielles qui façonnent ce domaine en constante évolution.

Chaque fois que nous nous connectons à internet, que nous utilisons les réseaux sociaux, que nous payons nos achats par carte de crédit, nous produisons des données personnelles, parfois sans nous en apercevoir, par exemple à travers les outils de géolocalisation de nos smartphones.

Ces données personnelles, dont le volume double chaque année au niveau mondial, constituent un peu l’or noir de nos sociétés modernes. Ces données sont susceptibles de fournir des indications très précises sur nos modes de vie, nos habitudes, nos relations sociales. Elles intéressent au plus haut point les entreprises, qui les exploitent pour développer leurs activités commerciales, mais également l’autorité publique, qui peut y trouver des renseignements lui permettant de démanteler des filières criminelles ou de prévenir des attentats terroristes. La protection des données personnelles est ainsi appelée à prendre une importance croissante dans tous les domaines.

Le paquet législatif de 2012

La Commission européenne a déposé en janvier 2012 un paquet législatif visant à établir une réforme globale de la protection de ces données en Europe. Ce paquet comprenait deux instruments, un projet de règlement et un projet de directive, faisant écho à la façon dont cette matière s’est structurée dans l’Union européenne.

Le projet de règlement doit remplacer une directive de 1995 qui établissait le standard de protection des données dans tous les secteurs couverts par la compétence de l’Union européenne. Le projet de directive vise à remplacer une décision-cadre de 2008 qui traitait de la protection des données dans le cadre des échanges d’information transfrontaliers entre autorités policières et judiciaires dans le cadre d’affaires pénales. Cette division en deux instruments distincts constitue en partie un héritage de la ‘pilarisation’, c’est-à-dire la division en piliers des compétences de l’Union européenne qui prévalait avant le Traité de Lisbonne.

La protection des données dans le domaine sécuritaire

Cette distinction s’explique aussi par la construction décousue du droit à la protection des données en matière sécuritaire. Au départ, il n’existe pas de texte imposant un standard. On trouve quelques dispositions éparses dans les conventions d’entraide, par exemple l’affirmation du principe de finalité.

Des régimes spécifiques de protection des données ont par ailleurs été adoptés lorsque l’Union européenne s’est dotée de grandes bases de données comme le système d’information Schengen, ou dans le cadre d’Eurojust ou d’Europol.

Après les attentats du 11 septembre 2001, on a vu l’émergence de moyens de collecte de données plus intrusifs et systématiques : nos sociétés ont éprouvé le besoin de se protéger de la menace terroriste et l’un des moyens de le faire consistait à collecter des renseignements. Des accords ont alors été signés, comme les accords PNR (Passenger Name Record) sur les données passagers, les accords TFTP (Terrorist Finance Tracking Program), et une directive a été adoptée en 2006 sur la rétention des données.

Face à ces évolutions, le besoin d’un régime transversal de protection des données s’est fait sentir, et a conduit à l’adoption de la décision-cadre de 2008. Cet instrument a fait l’objet de plusieurs critiques : son champ se limitait aux échanges transfrontières, c’est-à-dire aux données qui circulent entre Etats membres. Cette distinction a été perçue comme artificielle. En effet, comment garantir le respect des règles si celles-ci ne s’appliquent que dans des cas limités. Selon ses détracteurs, la décision-cadre s’inscrit dans une perspective essentiellement sécuritaire consistant à octroyer des dérogations à la plupart des principes de protection des données.Elle ne prévoyait pas d’autorité de contrôle ni de supervision.Elle venait s’ajouter aux autres régimes et n’avait pas vocation à exercer une prédominance par rapport aux instruments existants.

Le projet de directive

Le projet de directive qui est actuellement sur la table des négociations est appelé à remplacer la décision-cadre de 2008. La tâche est relativement complexe car il s’agit non seulement d’actualiser le droit existant mais aussi de répondre à certaines carences.

Ce projet témoigne de la volonté de la Commission européenne de s’aligner sur le projet de règlement avec peut-être, à terme, l’intention de fusionner les deux régimes.

Cette fois, le projet de directive apparaît clairement comme l’instrument destiné à poser le standard général : il prévoit l’obligation pour les États membres de renégocier les accords bilatéraux existants en vue de les rendre conformes au standard posé par la directive. Telle quelle, cette obligation aurait toutefois placé les Etats membres dans la position délicate de demandeur face à leurs partenaires dans les Etats tiers. L’obligation a dès lors été adoucie. ‘Dans la mesure où les accords bilatéraux antérieurs sont incompatibles, les Etats membres doivent prendre les mesures pour les rendre compatibles’. Même atténuée, cette formule démontre bien qu’on se trouve ici face à un instrument transversal ayant vocation à fixer le standard applicable à la matière.

Le projet de directive prévoit le contrôle par une autorité de supervision indépendante. Il prend toutefois en compte la spécificité de la donnée judiciaire, par rapport à la donnée policière. En effet, le contrôle par une autorité administrative, même indépendante, est plus délicat vis-à-vis du pouvoir judiciaire car on touche ici au principe fondamental de séparation des pouvoirs. L’article 44 exclut ainsi ce contrôle vis-à-vis des autorités judiciaires.

Le projet de directive manifeste également un changement de perspective par rapport à la décision-cadre de 2008. Cette dernière tendait principalement à accorder des dérogations en faveur du traitement des données sensibles ou du recours à des techniques comme le profilage, dans des conditions strictement définies.Le projet de directive pose au contraire une interdiction de principe de ces méthodes de traitement des données, avec des exceptions. Le résultat est assez proche, mais la perspective est différente. Ce changement a d’ailleurs suscité des craintes de la part des services de police et des autorités judiciaires, car les services de police sont amenés quotidiennement à traiter de données sensibles et le profilage fait désormais partie des techniques d’investigation.

Pour toutes ces raisons, la négociation de la directive s’avère complexe. Elle se heurte à l’opposition d’un groupe d’États membres, dont certains s’opposent au principe même du projet de directive, formant ainsi une minorité de blocage. S’appuyant sur une interprétation restrictive des Traités, ces délégations contestent l’extension du champ d’application au-delà des échanges transfrontières. Ils estiment que cette réforme est prématurée dans la mesure où la décision-cadre de 2008 vient à peine d’être transposée et où son impact sur le terrain n’a pas encore pu être évalué.

La jurisprudence des cours européennes

La protection des données s’est également construite autour de quelques grands arrêts qui ont posé des balises. En principe, selon la Cour européenne des droits de l’Homme, la collecte et la rétention des données par les autorités policières et judiciaires constituent une violation de l’article 8 de la Convention européenne des droits de l’Homme, qui consacre le droit au respect de la vie privée et familiale.

L’ingérence des autorités publiques est autorisée à condition d’être prévue par la loi et d’être nécessaire, dans une société démocratique, à la défense de l’ordre et à la prévention des infractions pénales. De nombreux arrêts traitent de la justification de telles ingérences. Dans le célèbre arrêt Marper, la Cour a conclu à la violation de l’article 8 de la convention en raison de la rétention illimitée dans le temps de données biométriques (ADN et empreintes digitales) de personnes suspectées d’une infraction, et en raison des possibilités limitées de demander l’effacement dont disposaient les personnes en question, pourtant acquittées.

Dans une autre affaire toute récente, la France a ainsi été condamnée pour violation de l’article 8 par l’arrêt Brunet rendu le 18 septembre 2014. La Cour a considéré que M. Brunet, inscrit au fichier STIC (‘système de traitement des infractions constatées’), n’avait pas disposé de la possibilité de demander l’effacement des données le concernant, et que la durée de conservation de ces données (20 ans) représentait une atteinte disproportionnée au droit de M. Brunet au respect de sa vie privée.

Cette jurisprudence démontre la volonté de la Cour d’encadrer tant que possible la collecte et la conservation des données. En particulier, la Cour est attentive à la durée de rétention qui doit être limitée, au respect d’un principe de proportionnalité, et enfin à la lutte contre une certaine opacité qui entoure ces pratiques. La Cour sera ainsi attentive aux possibilités de recours dont disposent les intéressés et au fait qu’ils puissent être informés, au moins a posteriori de la surveillance dont ils ont fait l’objet.

La Cour de Justice de l’Union européenne a récemment également délivré quelques arrêts qui ont fait grand bruit. Le 8 avril 2014, la Cour a annulé la directive de 1996 sur la rétention des données. Cette directive portait sur la conservation et l’utilisation dans des enquêtes de métadonnées, aussi appelée données de trafic, c’est-à-dire par exemple, les numéros d’appels entrants ou sortant, la durée de la conversation téléphonique, et non pas le contenu des messages.

Dans son arrêt, la Cour constate que la conservation imposée par la directive est apte à réaliser l’objectif légitime poursuivi, çàd contribuer à la lutte contre la criminalité grave. Toutefois, en raison de l’ingérence vaste et particulièrement grave dans les droits fondamentaux, la Cour considère que la directive ne prévoit pas suffisamment de garanties pour que cette ingérence soit effectivement limitée au strict nécessaire. La Cour énumère plusieurs garanties qui, selon elle, sont manquantes.

Entre autres, la Cour pointe le fait que la directive couvre l’ensemble des données de la population, sans aucune différenciation, limitation ou exception en fonction de l’objectif poursuivi. Elle conteste l’absence de contrôle préalable par une autorité judiciaire réglementant l’accès aux données. La Cour pointe également l’absence de critères objectifs explicitant comment limiter la durée de conservation des données afin de garantir sa limitation au strict nécessaire.

La Cour a annulé la directive sur la rétention des données ab initio, depuis son adoption. Toutefois, la Cour n’a pas compétence pour annuler une législation nationale, l’annulation de la directive n’a ainsi pas de conséquence directe sur les législations de mise en œuvre adoptées dans les Etats membres. Indirectement, toutefois, la question se pose de savoir dans quelle mesure ces législations nationales respectent le principe de proportionnalité tel que décrit par la Cour de Justice. Plusieurs recours sont ainsi pendants devant les Cours constitutionnelles ou Cours suprêmes des Etats membres.

Une future initiative de la Commission européenne est attendue pour combler le vide ainsi créé. Cette initiative devra cependant répondre à des questions délicates. Tout d’abord les nombreuses conditions et garanties énumérées par la Cour dans son arrêt sont-elles cumulatives ou non ? Autrement dit, suffira-t-il de répondre à un certain nombre d’entre elles ou faut-il répondre à toutes pour se conformer à l’arrêt ? D’autant que certaines d’entre elles posent des problèmes d’interprétation. L’interdiction de viser une population entière, par exemple, pose question car comment déterminer a priori des catégories de population sensibles ?

De même, l’arrêt de la Cour est susceptible d’avoir un impact sur l’interprétation du principe de subsidiarité puisque la Cour semble considérer que, dès lors qu’une directive européenne autorise une ingérence dans les droits fondamentaux, elle devrait également prévoir des garanties appropriées. Mais dans ce cas, on ne pourrait plus s’appuyer sur les garanties prévues au niveau national.

Lutte contre le terrorisme et respect de l’état de droit

En guise de conclusion, je voudrais paraphraser un article d’Olivier Babeau paru récemment dans la lettre électronique de PRESAJE. Cet article relève qu’autrefois, c’était la volonté de contrôle et de répression qui conduisait aux abus des régimes totalitaires, et qu’aujourd’hui, c’est le souci louable de protection contre la menace terroriste qui conduit aux mêmes abus. Toute la tâche du législateur européen sera de trouver l’équilibre délicat entre collecte des données indispensable en vue de lutter contre le crime organisé ou le terrorisme, et respect de la liberté et de l’Etat de droit, y compris le droit à la vie privée.