Vers la création d`un espace européen de liberté, de sécurité et de

Vers la création d'un espace européen de liberté, de sécurité et de justice
dans lequel sécurité et protection des données vont de pair
Joaquin Bayo Delgado 1
Les attentats terroristes de ces dernières années ont déterminé les agendas politiques de la plupart
des gouvernements, y compris celui de l'Union européenne, en propulsant les questions de sécurité
au cœur du débat politique. Depuis lors, les gouvernements discutent des mesures à prendre à titre
de prévention contre la criminalité, en particulier contre la criminalité à caractère terroriste.
Dans ce contexte, il est désormais assez courant d'envisager la sécurité et la protection des données
comme s'il s'agissait de deux notions a priori antinomiques et incompatibles. Pour essayer de
concilier la mise en application de ces deux principes, on fait souvent valoir qu'il faut trouver un
juste équilibre entre les exigences en matière de sécurité, d'une part, et la protection des données à
caractère personnel, d'autre part. Le terme "équilibre" est aujourd'hui à la mode et personne n'ose
mettre en cause la pertinence de la recherche de cet équilibre. Toutefois, le recours à la notion
d'équilibre et donc la nécessité d'équilibrer les deux plateaux de la balance ne sont peut-être pas
l'approche qui convient; comme nous l'expliquons plus loin, cette approche n'est que partiellement
correcte, ou, autrement dit, elle est partiellement erronée. En effet, parler d'équilibre fait intervenir
l'image d'une balance, et suppose que l'un des plateaux, qui contiendrait les exigences en matière de
sécurité, contrebalance l'autre plateau, celui des exigences en matière de protection des données à
caractère personnel. L'image à utiliser n'est en fait pas celle d'une balance à plateaux, avec des
forces concurrentes, mais plutôt celle d'un attelage de quatre chevaux (quadrige), dont le conducteur
doit tenir les différentes rênes d'une manière coordonnée, en leur imprimant la force et la direction
voulues, afin de faire avancer les chevaux vers l'objectif souhaité.
De fait, la réalité est beaucoup plus complexe que celle d'un équilibre à atteindre et ce, pour
plusieurs raisons. En premier lieu, parce que les exigences en matière de protection des données et
les exigences de sécurité ne sont pas toujours contradictoires et, en second lieu, parce que, outre les
valeurs de protection des données et de sécurité, il y a un troisième principe à prendre en
considération, à savoir la transparence et l'ouverture de l'action politique et administrative dans les
sociétés démocratiques. Les rapports qu'entretiennent les principes de transparence et de sécurité et
la protection des données sont également complexes, et ils sont tout à la fois similaires et
divergents.
COMPATIBILITÉ ENTRE LES EXIGENCES EN MATIÈRE DE SÉCURITÉ ET LES
EXIGENCES EN MATIÈRE DE PROTECTION DES DONNÉES
Afin d'analyser ces similitudes et ces divergences, il est sans doute utile de rappeler les principes
qui régissent la protection des données et d'évaluer s'ils sont compatibles avec les exigences qui
découlent de la nécessité d'assurer la sécurité et la transparence dans une société démocratique.
1.
La qualité et la proportionnalité dans le traitement des données à caractère personnel
Lors des opérations de traitement des données, il faut s'assurer que les données traitées sont exactes,
complètes et mises à jour. Les données collectées doivent en outre être non excessives et adéquates
(il faut qu'il y ait un lien entre l'information et la finalité de son utilisation).
1
Contrôleur adjoint de la protection des données
Nous constatons que ces exigences correspondent à celles qui découlent des besoins en matière de
sécurité. La prévention des activités criminelles et les enquêtes à leur propos se fondent sur des
informations exactes, complètes et mises à jour. L'efficacité des services répressifs et des autorités
judiciaires dépend d'ailleurs de leur capacité à utiliser des informations exactes et mises à jour. Les
informations qui ne sont pas pertinentes, autrement dit qui sont inappropriées, n'ont aucune utilité;
elles risquent en outre d'occasionner un gaspillage des ressources, limitées, des autorités
répressives. La tendance qui consiste à collecter des masses d'informations, dans l'espoir qu'elles
puissent être utiles un jour, est regrettable et s'est avérée inutile, même avec les systèmes
informatiques actuels. Elle provoque invariablement une perte de temps et un gaspillage de moyens
humains. Il en va de même pour la conservation d'informations sans limitation de durée, qui non
seulement exige un espace de stockage important, mais qui implique aussi la mise à jour constante
de fichiers afin d'éviter de conserver des données erronées.
La nécessité pour les autorités répressives de pouvoir se fier à des informations exactes présente une
caractéristique supplémentaire, qui s'applique également dans le cadre de la protection des données:
le degré de fiabilité des informations doit être clairement indiqué dans un dossier d'instruction
(soupçons, avis, éléments de preuve concrets, décisions judiciaires faisant l'objet d'un recours,
décisions judiciaires définitives, décisions judiciaires frappées de prescription, informations
relatives aux témoins et aux victimes, etc.). C'est une application particulière du principe de la
qualité des données.
2.
La sécurité dans le traitement des informations personnelles
Il est essentiel d'assurer la sécurité des informations personnelles qui font l'objet d'un traitement,
tant pour les autorités répressives que dans l'intérêt de la protection des données. Il est primordial
d'empêcher l'accès non autorisé aux données collectées et ensuite conservées, utilisées et transférées
par des moyens physiques ou numériques tant pour garantir l'efficacité des enquêtes que pour
assurer le respect des droits des personnes en matière de protection des données les concernant.
3.
Le droit d'accès, de rectification et d'opposition
Dans ce domaine, les exigences associées aux besoins en matière de sécurité et celles liées à la
protection des données sont tantôt convergentes, tantôt divergentes. Le droit d'accès des personnes
aux données à caractère personnel les concernant doit également s'appliquer aux informations
personnelles conservées par les services répressifs et les autorités judiciaires. Bien que la directive
relative à la protection des données ne s'applique pas au traitement des données à caractère
personnel mis en œuvre par les services répressifs ou les autorités judiciaires (ce que l'on appelle le
troisième pilier), de nombreux États membres ont, au moment de transposer la directive dans leur
droit national, décidé d'en étendre le champ d'application pour y inclure le traitement des données à
caractère personnel effectué par les services de police et les autorités judiciaires. En outre, ces
principes sont également énoncés dans la Convention 108 du Conseil de l'Europe du
28 janvier 1981, qui a été signée et ratifiée par tous les États membres de l'Union européenne. Le
droit d'accès peut être suspendu au cours d'une instruction pénale, mais seulement dans la mesure
où cela est nécessaire afin de protéger l'enquête. La même exception s'applique en ce qui concerne
le droit de rectification. Ces deux exceptions sont temporaires: si l'octroi du droit d'accès ou de
rectification cesse de compromettre l'enquête, ces deux droits redeviennent alors pleinement
applicables et ont tous deux une influence sur l'exactitude des informations détenues par les
autorités compétentes. En fait, ces deux droits ont la même teneur que les droits de la défense. Ici
aussi, nous constatons qu'il y a convergence entre les besoins liés à la sécurité et ceux liés à la
protection des données, vu que l'objectif final d'une enquête pénale est de sanctionner un délit et
que, dans une société démocratique, une preuve qui ne peut être contestée est nulle.
Par ailleurs, les exigences en matière d'ouverture et de transparence des gouvernements et des
autorités administratives vont dans le sens du droit d'accès des personnes aux données à caractère
personnel les concernant. En fait, les instruments juridiques qui traitent du droit d'accès aux
données détenues par le gouvernement et les autorités administratives sont aussi appelés législation
relative à l'accès aux documents publics, qui peut parfois porter sur des données à caractère
personnel. Dans ces conditions, la personne peut invoquer l'une ou l'autre législation pour obtenir
l'accès aux documents, bien que ce choix entraîne certaines conséquences en ce qui concerne les
exceptions aux droits.
En ce qui concerne le droit d'opposition, il n'est pas possible de reconnaître ce droit aux personnes
qui font l'objet d'une enquête ou de poursuites judiciaires, mais rien n'empêche d'appliquer ce droit
aux témoins, aux victimes, etc., conformément à la procédure pénale.
4.
Limitation de la finalité
La limitation des finalités pour lesquelles les données à caractère personnel sont collectées et
traitées ultérieurement constitue l'un des principes fondamentaux de la protection des données à
caractère personnel, qui s'applique au responsable du traitement. Dans le cadre des missions des
autorités policières et judiciaires, l'application de ce principe peut constituer un défi, dans la mesure
où une enquête suppose, par définition, que l'on ignore a priori les faits et leurs conséquences.
Toutefois, il est logique d'imposer une certaine limitation en ce qui concerne les finalités de la
collecte d'informations par les forces de police. Il suffit de songer aux écoutes téléphoniques ou aux
perquisitions menées à domicile. En cas de recours à ces techniques, qui constituent une intrusion
importante dans la vie privée des personnes et dans les données à caractère personnel, le droit pénal
lui-même limite la portée des informations qui peuvent être collectées et utilisées ultérieurement,
pour garantir le respect des droits fondamentaux des personnes.
5.
Transparence
Les articles 10 et 11 de la directive relative à la protection des données comportent des dispositions
mettant en œuvre le principe de transparence en ce qui concerne les personnes dont les données à
caractère personnel ont été collectées et traitées ultérieurement. L'identité du responsable du
traitement et les finalités du traitement, ainsi que toute information supplémentaire relative au
traitement des données à caractère personnel, doivent être communiquées aux personnes concernées
afin d'assurer un traitement loyal des données. Dans une certaine mesure, nous constatons ici encore
que les exigences dictées par la sécurité sont compatibles avec celles qui découlent de la protection
des données. De toute évidence, le principe d'ouverture et de transparence joue également un rôle
crucial dans l'instauration d'une administration démocratique.
6.
Limitations concernant les transferts à des tiers
En vertu de la législation applicable, les données à caractère personnel ne devraient pas être
transférées vers des pays tiers n'assurant pas un niveau de protection adéquat. Toutefois, les
transferts de données sont autorisés dans certains cas, lorsqu'ils sont pratiquement inévitables pour
différentes raisons. Les autorités policières et judiciaires doivent transmettre des données à
caractère personnel à des pays tiers afin de s'assurer la coopération de leurs homologues dans ces
pays. En matière pénale, ces transferts sont impératifs, puisque ce sont les États qui sont compétents
à l'égard des enquêtes judiciaires qui se déroulent sur leur territoire. Pour cette même raison, il est
également nécessaire d'obtenir des informations provenant d'autres pays concernant les enquêtes en
cours. Il convient, par le biais d'accords internationaux, de veiller à ce que les droits fondamentaux
des personnes soient dûment garantis dans le cadre de ces échanges d'informations. Dans ce
contexte, des exigences telles que celle relative à la qualité des données sont essentielles, tant du
point de vue des autorités policières et judiciaires que pour la protection des droits des personnes.
EXEMPLES DE RECOMMANDATIONS FORMULÉES PAR LE CEPD
Le contrôleur européen de la protection des données a exposé, dans de nombreux dossiers, les
principes énoncés ci-dessus et leur compatibilité avec les besoins des autorités judiciaires et des
services répressifs, qui découlent de la nécessité d'assurer la sécurité. Le CEPD a développé ces
principes dans les avis qu'il a rendus concernant des propositions législatives de l'UE qui ont un
effet dans le domaine de la protection des données. Dans ce type de dossiers, la Commission
européenne doit soumettre ces propositions législatives pour consultation au CEPD, qui émet un
avis non contraignant. L'avis sur la proposition de décision-cadre du Conseil relative à la protection
des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en
matière pénale (COM (2005) 475 final), qui n'a pas encore été adopté, est l'un des avis du CEPD
portant sur ces questions. Dans tous les avis qu'il a rendus dans ce domaine, le CEPD a mis l'accent
sur la nécessité de la compatibilité, nécessité qui se trouve consacrée dans les suggestions qui ont
été formulées. On trouvera ci-dessous quelques exemples de recommandations émises par le CEPD,
qui traitent de cette compatibilité.
1)
Avis du contrôleur européen de la protection des données sur la proposition de décisioncadre du Conseil relative à la protection des données à caractère personnel traitées dans
le cadre de la coopération policière et judiciaire en matière pénale (COM (2005) 475
final)
b)
Une protection efficace des données à caractère personnel est non seulement importante pour
les personnes concernées, mais elle contribue aussi au succès de la coopération policière et
judiciaire à proprement parler. À de nombreux égards, ces deux intérêts publics vont de pair.
d)
Cette proposition remplit ces conditions, dans la mesure où elle garantit que les principes
existants de la protection des données, tels qu'ils sont énoncés dans la directive 95/46/CE,
s'appliquent dans le domaine du troisième pilier, étant donné que la plupart des dispositions
de la proposition s'inspirent des autres instruments juridiques de l'UE en matière de protection
des données à caractère personnel et sont compatibles avec ceux-ci. Elle définit par ailleurs
des normes communes qui précisent ces principes en vue de leur application dans ce domaine,
qui sont en général suffisantes pour fournir des mesures adéquates de protection des données
dans le cadre du troisième pilier.
n)
Les dispositions relatives à la vérification de la qualité des données (article 9, paragraphes 1 et
6) et celles réglementant le traitement ultérieur des données à caractère personnel (article 11,
paragraphe 1) devraient être déplacées vers le chapitre II afin qu'elles s'appliquent à tous les
traitements de données réalisés par les services répressifs, même si les données à caractère
personnel n'ont pas été transmises ni mises à disposition par un autre État membre. En
particulier, il est essentiel - aussi bien dans l'intérêt de la personne concernée que dans celui
des autorités compétentes - de veiller à ce que la qualité de toutes les données à caractère
personnel soit vérifiée de manière appropriée.
p)
Conformément au droit de l'UE relatif à la protection des données, les données à caractère
personnel doivent être collectées pour des finalités déterminées et explicites, et ne pas être
traitées ultérieurement de manière incompatible avec ces finalités. Il faut autoriser une
certaine souplesse en ce qui concerne l'utilisation ultérieure. La limitation relative à la collecte
a plus de chances d'être correctement respectée si les autorités en charge de la sécurité
intérieure savent qu'elles peuvent avoir recours, moyennant des garanties appropriées, à une
dérogation concernant la limitation applicable à l'utilisation ultérieure.
t)
Lorsque des données à caractère personnel sont transmises par des pays tiers, il convient,
avant de les utiliser, d'en évaluer avec soin la qualité au regard des critères du respect des
droits de l'homme et des normes en matière de protection des données.
x)
Les données à caractère personnel concernant différentes catégories de personnes (les
personnes suspectes, les personnes condamnées, les victimes, les témoins, etc.) devraient être
traitées selon des conditions et des mesures de protection adéquates différentes. Dès lors, le
CEPD propose d'ajouter à l'article 4 un paragraphe contenant les éléments suivants:
- l'obligation, pour les États membres, de prévoir les conséquences sur le plan légal des
distinctions à établir dans les données à caractère personnel en fonction des différentes
catégories de personnes;
- des dispositions supplémentaires visant à limiter les finalités du traitement, à fixer des
durées de conservation précises et à restreindre l'accès aux données, en ce qui concerne les
personnes non suspectes.
2)
Avis du contrôleur européen de la protection des données sur la proposition de décisioncadre du Conseil relative à l'échange d'informations en vertu du principe de
disponibilité (COM (2005) 490 final) (2006/C 116/04)
74. Le CEPD estime que la proposition devrait, dans la mesure où elle prévoit des échanges
de données relatives à l'ADN:
- clairement limiter et définir le type d'informations ADN pouvant faire l'objet d'échanges (y
compris en ce qui concerne la différence fondamentale qui existe entre les échantillons
d'ADN et les profils ADN);
- établir des normes techniques communes pour éviter que les différences qui existent entre
les États membres dans la manière de traiter les bases de données ADN à des fins de police
scientifique ne soient sources de difficultés et ne génèrent des résultats inexacts lors de
l'échange de données.
3)
Avis du contrôleur européen de la protection des données sur les propositions suivantes:
- proposition de décision du Conseil sur l'établissement, le fonctionnement et
l'utilisation du système d'information Schengen de deuxième génération (SIS II)
(COM(2005)230 final);
- proposition de règlement du Parlement européen et du Conseil sur l'établissement, le
fonctionnement et l'utilisation du système d'information Schengen de deuxième
génération (SIS II) (COM(2005)236 final), et
- proposition de règlement du Parlement européen et du Conseil sur l'accès des services
des États membres chargés de l'immatriculation des véhicules au système
d'information Schengen de deuxième génération (SIS II) (COM(2005)237 final)
7.
Dans le cadre de ce rôle, il conviendrait d'ajouter, à l'article 12 de ces deux propositions, que
la Commission devrait régulièrement proposer la mise en œuvre de nouvelles technologies qui
soient les plus avancées dans ce domaine et permettront de renforcer le niveau de protection
de sécurité et des données.
4)
Avis du contrôleur européen de la protection des données sur la proposition de directive
du Parlement européen et du Conseil sur la conservation de données traitées dans le
cadre de la fourniture de services de communications électroniques accessibles au
public, et modifiant la directive 2002/58/CE
80)
Ajouter à la proposition de nouvelles dispositions incitant les fournisseurs à investir dans
une infrastructure technique appropriée, en particulier des incitations financières. Cette
infrastructure ne peut être appropriée que s'il existe des moteurs de recherche efficaces.