Un cadre qui évolue: le troisième pilier et la protection des données
Transcription
Un cadre qui évolue: le troisième pilier et la protection des données
Un cadre qui évolue: le troisième pilier et la protection des données ∗ Peter J. Hustinx Contrôleur européen de la protection des données Introduction Dans l'exercice de ses fonctions de premier inspecteur général polonais de la protection des données à caractère personnel, Mme Ewa Kulesza a fait preuve d'un grand sens des relations internationales, dépassant le cadre d'une étroite collaboration avec ses collègues d'Europe centrale et orientale. Quelques événements suffisent à en donner une illustration: j'ai eu le plaisir d'être invité à Varsovie en mai 2004, au cours du premier mois qui a suivi l'adhésion de la Pologne à l'Union européenne. En septembre 2004, l'inspecteur général polonais a organisé à Wroclaw la 26ème Conférence internationale sur la vie privée et la protection des données à caractère personnel. En avril 2005, Mme Kulesza a accueilli à Cracovie la Conférence annuelle de printemps des commissaires européens à la protection des données et en mai 2006, peu de temps avant l'échéance de son second mandat, elle organisera à Varsovie une conférence sur la "Sécurité publique et la protection des données" à laquelle sont assisteront de nouveau de nombreux collègues européens. Cela témoigne indubitablement d'un intérêt particulier pour une thématique qui a d'ailleurs occupé une place importante dans les travaux menés aussi bien à Wroclaw qu'à Cracovie. Les principaux documents adoptés à l'occasion de ces conférences ont influé sur les développements intervenus en Europe. C'est pourquoi il convient de présenter brièvement ces développements dans un article qui est destiné à rendre hommage à Mme Ewa Kulesza et à ses contributions à la protection des données. Le troisième pilier L'expression "troisième pilier" renvoie à la structure en piliers de l'Union européenne, apparue dans le traité de Maastricht (1992). À cette époque, le troisième pilier traitait de la coopération dans le domaine de la justice et des affaires intérieures. Cette coopération a été restructurée dans le traité d'Amsterdam (1997). La mise en place progressive d'un "espace de liberté, de sécurité et de justice" est devenue un objectif du premier pilier et les dispositions relatives aux visas, à l'asile, à l'immigration et à la coopération judiciaire en matière civile sont désormais énoncées au titre IV du traité ∗ Cet article a été publié dans: "Ochrona danych osobowych wczoraj, dziś, jutro / Personal Data Protection Yesterday, Today, Tomorrow", Varsovie 2006, p. 132-137 (en anglais) et p. 137-142 (en polonais). 2 instituant la Communauté européenne. L'objectif consistant à offrir aux citoyens un niveau élevé de protection dans un espace de liberté, de sécurité et de justice, notamment en élaborant une action en commun dans le domaine de la coopération policière et judiciaire en matière pénale, continue de relever du troisième pilier dans le titre VI du traité sur l'Union européenne. Les activités menées dans le domaine de la liberté, de la sécurité et de la justice se sont accélérées à la suite des conclusions du Conseil européen de Tampere (1999). Un nouveau programme quinquennal, le "programme de La Haye", a été adopté en novembre 2004. Il conduira sans aucun doute à une multiplication des activités, également dans le cadre du troisième pilier. À ce stade, il faut savoir que le troisième pilier souffre d'un certain nombre de problèmes structurels. Premièrement, toute action relevant de ce pilier est de nature intergouvernementale et ne peut donc être entreprise qu'à l'unanimité des États membres. En d'autre termes, le processus décisionnel n'est pas aisé et il aboutit souvent à des compromis dilués. Deuxièmement, le rôle du Parlement européen est encore limité. En vertu de l'article 39 du traité sur l'Union européenne (TUE), le Parlement a uniquement le droit d'être consulté, le Conseil étant libre de ne pas tenir compte de l'avis du Parlement ou même parfois de s'en passer, si telle est sa volonté. Troisièmement, le contrôle juridictionnel de la Cour de justice est également incomplet. L'article 35 du TUE stipule que la Cour n'est pas compétente pour les questions relatives au maintien de l'ordre public et à la sauvegarde de la sécurité intérieure. Quatrièmement, la mise en oeuvre des règles de l'UE au niveau national pose problème; bien souvent, il n'est pas possible d'obtenir l'application de ces règles ou de les contester devant les tribunaux. Enfin, on déplore un grave manque de transparence et les informations pertinentes sont souvent transmises tardivement et de façon parcellaire. La plupart de ces problèmes seraient résolus par le traité constitutionnel, mais celui-ci n'est pas appelé à devenir réalité dans un proche avenir. Quant au rôle consultatif des autorités chargées de la protection des données, les dispositions en vigueur ne sont pas non plus satisfaisantes. La Commission européenne a confirmé qu'elle estime qu'elle est tenue, en vertu de l'article 28, paragraphe 2, du règlement (CE) n° 45/2001, de consulter le contrôleur européen de la protection des données (CEPD) lorsqu'elle adopte une proposition de législation ayant un impact sur la protection des données à caractère personnel, mais elle partage son droit d'initiative législative avec les États membres qui, eux, ne sont pas liés par une telle obligation. Les dispositions destinées à permettre une contribution systématique des autorités nationales chargées de la protection des données sont encore moins satisfaisantes. C'est la raison pour laquelle la Conférence européenne des commissaires à la protection des données a adopté à Wroclaw, en septembre 2004, 3 une résolution visant à demander la création d'un forum conjoint sur la protection des données dans le cadre du troisième pilier, afin qu'ils puissent contribuer de manière systématique au processus décisionnel. Quant aux dispositions générales relatives à la protection des données, il convient de noter que la directive 95/46/CE ne s'applique pas étant donné que les activités telles que celles prévues au titre VI du traité sur l'Union européenne en sont exclues à l'article 3, paragraphe 2. La Convention 108 du Conseil de l'Europe a été ratifiée par tous les États membres de l'UE mais ses dispositions ne s'appliquent qu'indirectement à l'Union elle-même, en vertu de l'article 6 du TUE. Bien que la Convention 108 soit jugée trop générale pour des applications spécifiques, plusieurs instruments la retiennent comme texte de référence pour la protection des données dans le cadre du troisième pilier. Ce fut d'abord le cas dans la Convention de Schengen (1990), puis dans la Convention Europol (1995) et enfin dans la décision du Conseil instituant Eurojust (2002). Schengen a été intégré dans le cadre de l'UE par le traité d'Amsterdam mais Europol et Eurojust ont été mis en place dans le cadre du troisième pilier à des stades différents. Chacun de ces instruments comportait des mesures spécifiques sur la protection des données, applicables uniquement dans ce contexte précis et ne cadrant pas nécessairement ensemble. Dans chaque cas, l'absence de règles générales dans le troisième pilier a posé problème. L'échange de données La nécessité d'un cadre réglementaire commun est devenue plus évidente ces dernières années en raison de l'intérêt croissant suscité par l'échange de données à caractère personnel entre les autorités répressives des différents États membres. Hormis certains incidents révélant un manque de coopération et un échange d'informations insuffisant, cela tient à une logique simple. La coopération policière et judiciaire en matière pénale a atteint aujourd'hui un stade où l'échange de données et l'accès direct à des données "par-delà les frontières" revêtent une importance grandissante pour l'application de la loi dans les régions "occupant le devant de la scène". C'est pourquoi le programme de La Haye a fortement mis l'accent sur l'échange des données en vertu du principe de disponibilité. Cela signifie que les informations dont disposent certaines autorités d'un État membre doivent également être mises à la disposition des autorités correspondantes dans les autres États membres. Le programme de La Haye insiste sur le fait que de telles dispositions devraient être assorties de garanties adéquates en matière de protection des données. On prévoit aisément que les services répressifs des différents États membres seront appelés à 4 devenir de plus en plus interdépendants pour ce qui est de vérifier la conformité aux règles relatives à la régularité et à la légalité de la collecte, à la qualité et à la sécurité des données, etc. Des règles appropriées en matière de protection des données, suivies de bonnes pratiques, permettront donc d'instaurer la confiance entre les autorités de différents pays et contribueront à une meilleure coopération transfrontalière en matière pénale. Il est clair que des normes communes appropriées en matière de protection des données représenteront en l'occurrence davantage que des garanties; elles devraient également être considérées comme des conditions indispensables à une coopération efficace. Ces dernières années, un certain nombre d'initiatives ont été entreprises, tant à l'intérieur qu'à l'extérieur du cadre de l'UE, par promouvoir l'échange d'informations à caractère policier entre différents pays. En juin 2004, la Suède a proposé une décision-cadre relative à la simplification de l'échange d'informations et de renseignements entre les services répressifs des États membres. En mai 2005, sept États membres ont signé à Prüm (Allemagne) un traité relatif à l'approfondissement de la coopération transfrontalière, notamment en vue de lutter contre le terrorisme, la criminalité transfrontalière et la migration illégale. Ce traité introduit entre autres des mesures visant à améliorer l'échange d'informations sur les profils ADN et les empreintes digitales, et tout État membre de l'Union européenne peut y adhérer. L'objectif visé est l'intégration du traité dans le cadre juridique de l'Union européenne. Ce traité vient s'ajouter à d'autres initiatives, comme les propositions en vue d'un système d'information Schengen de deuxième génération (SIS II) ou encore récemment la proposition de décision-cadre relative à l'échange d'informations en vertu du principe de disponibilité, et s'inscrit dans le cadre des suites générales données à cette partie du programme de La Haye. Ces diverses initiatives ne sont pas nécessairement cohérentes et la protection des données ne fait pas encore l'objet d'une approche cohérente. La protection des données Après leur rencontre à Wroclaw, en septembre 2004, les autorités européennes chargées de la protection des données ont poursuivi leurs travaux sur la protection des données dans le cadre du troisième pilier. Lors de la conférence de printemps qui s'est tenue à Cracovie en avril 2005, ces travaux ont débouché sur l'adoption d'un document de synthèse sur les services répressifs et l'échange d'informations dans l'UE, présentant les principaux éléments d'un cadre juridique général pour la protection des données dans le cadre du troisième pilier. Le document de synthèse a été annexé à une déclaration dont le message est clair. 5 Elle souligne en premier lieu que les initiatives destinées à améliorer les services répressifs dans l'UE, comme le principe de disponibilité, ne devraient être introduites que sur la base d'un système approprié d'arrangements en matière de protection des données, garantissant une norme de protection des données élevée et équivalente. La déclaration insiste également sur le fait qu'un ensemble de règles applicables aux activités répressives devrait tenir compte du niveau de protection des données qui existe actuellement dans le cadre du premier pilier. Le niveau de protection des données prévu par la directive 95/46/CE devrait donc servir de base à l'élaboration de règles appropriées dans le cadre du troisième pilier. La Commission européenne a tiré parti des apports de la déclaration de Cracovie et du document de synthèse. En octobre 2005, elle a adopté une proposition de décisioncadre relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale. Cette proposition s'inspire à de nombreux égards de l'approche de la directive 95/46/CE et l'exposé des motifs fait souvent référence au document de synthèse. La proposition est actuellement débattue au sein d'un groupe de travail du Conseil ainsi qu'au sein de la Commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen. Le CEPD a publié un avis en décembre 2005. La Conférence européenne a adopté un avis peu de temps après une réunion organisée en janvier 2006 sous la présidence de la Pologne. Tous deux saluent la proposition de la Commission, dont ils soutiennent les grandes lignes, mais suggère des améliorations sur différents points. Bon nombre de ces suggestions seront très probablement reprises par le Parlement européen. Tant le Parlement que le Conseil traitent actuellement la proposition de manière prioritaire. Si l'on se penche sur l'état actuel des travaux, on note avant tout que la nécessité de disposer de règles en matière de protection des données dans le cadre du troisième pilier ne semble plus contestée ni mise en doute. Le Parlement européen a appelé à plusieurs reprises de ses vœux une proposition de la Commission, mais le Conseil a été jusqu'à présent beaucoup plus réticent. On peut raisonnablement penser que les discussions relatives aux échanges de données en général et au principe de disponibilité en particulier ont fait évoluer les mentalités de la plupart des acteurs au Conseil. Néanmoins, une décision-cadre ne pouvant être adoptée qu'à l'unanimité, il convient d'être prudent quant à son contenu final et au moment où elle interviendra. Ce qui est plus important à ce stade, c'est le champ d'application de la proposition. L'article 1er, paragraphe 1, de la proposition prévoit qu'elle définit des "normes communes" visant à assurer la protection des données à caractère personnel dans le cadre de la coopération policière et judiciaire en matière pénale. Son article 3, 6 paragraphe 1, indique qu'elle s'applique au traitement des données à caractère personnel (…) par une autorité compétente à des fins de prévention et de détection des infractions pénales, et d’enquêtes et de poursuites en la matière. Ces dispositions mettent en évidence les deux principales caractéristiques de la décision-cadre proposée: d'une part, elle définit des normes communes, d'autre part, elle s'applique à tous les traitements réalisés aux fins de l'application du droit pénal, même si les données concernées n'ont pas été transmises ou mises à disposition par les autorités des autres États membres. Les avis rendus par le CEPD et par la Conférence européenne ont souligné l'importance de ces caractéristiques. Cette approche se traduirait par la mise en place, au sein du troisième pilier, d'un cadre juridique pour la protection des données qui complète parfaitement le cadre juridique existant au sein du premier pilier. Cela s'appliquerait également aux situations "purement nationales", ce qui risque de donner lieu à des discussions difficiles au Conseil. Il convient toutefois de souligner que toute limitation concernant les données transmises aux autorités compétentes des autres États membres ou mises à leur disposition rendrait le domaine d'application de la décision-cadre particulièrement incertain et aléatoire, ce qui serait contraire à son objectif essentiel. Il serait porté atteinte à la sécurité juridique des personnes. Dans des circonstances normales, il est impossible de savoir à l'avance si ces données seront susceptibles de donner lieu à un échange avec les autorités compétentes d'autres États membres. Il serait également difficile d'appliquer des normes différentes, en établissant une distinction en fonction de l'origine des données à caractère personnel. Il en résulterait très certainement d'importants problèmes d'ordre pratique au regard du principe de disponibilité et de la suppression des frontières intérieures en ce qui concerne l'échange de données en matière de répression. Dans un avis rendu récemment, le Service juridique du Conseil a conclu que l'article 30, l'article 31 et l'article 34, paragraphe 2, point b), du TUE offrent la base juridique nécessaire pour permettre au Conseil d'adopter une décision-cadre sur la protection des données à caractère personnel applicable également au traitement de données dans un contexte purement national. Autrement dit, il appartient au Conseil de décider dans quelle mesure il souhaite faire usage de la compétence que lui confèrent ces dispositions. S'agissant du champ d'application, une autre question qui se pose est celle de savoir si la proposition devrait aussi s'appliquer à Europol et à Eurojust. Il convient de noter tout d'abord qu'une décision-cadre en vertu de l'article 34, paragraphe 2, point b), du TUE ne peut être adoptée qu'aux fins du rapprochement des dispositions législatives 7 et réglementaires des États membres; par principe, elle ne peut donc s'adresser à des instances telles qu'Europol et Eurojust. Dans le même temps, il serait souhaitable que les règles qui les régissent actuellement soient rendues parfaitement conformes aux nouvelles règles, dans les meilleurs délais. Ce serait peut-être aussi l'occasion d'effectuer une harmonisation horizontale. Dans le cas du SIS II, on tient pour acquis que, une fois adoptée, la décision-cadre proposée fera partie du cadre générale (lex generalis). Le contenu de la proposition soulève bon nombre d'autres questions intéressantes que le CEPD et la Conférence européenne ont commentées dans leurs avis - mais l'on sortirait du cadre du présent article si l'on approfondissait la discussion. Disponibilité Récemment, le CEPD a également rendu un avis au sujet de la proposition de la Commission, concernant une décision-cadre relative à l'échange d'informations en vertu du principe de disponibilité. Dans cet avis, il préconise une meilleure analyse du principe et une introduction plus prudente et progressive, en commençant par un type de données (au lieu de six, comme l'a proposé la Commission), un accès indirect (via des données d'index renvoyant à des informations auxquelles on ne peut pas accéder en ligne) et un système "hit-no hit" permettant de mieux contrôler l'échange d'informations qu'un système reposant sur un accès direct. Il est en tout cas essentiel que le principe de disponibilité soit complété par des règles appropriées en matière de protection des données dans le cadre du troisième pilier. Pour ce qui est de la nécessité d'améliorer l'analyse, il convient de clarifier le champ d'application du principe en ajoutant une définition claire et précise des données qui seront considérées comme "disponibles", et le principe devrait de préférence ne concerner que les informations contrôlées par les autorités compétentes. On ne sait pas très bien si les données non soumises au contrôle de ces autorités et auxquelles elles n'ont accès que dans certaines conditions doivent être considérées comme "disponibles" pour une éventuelle diffusion aux autorités des autres États membres. Une analyse plus poussée serait également essentielle en ce qui concerne le concept des "données d'index": il importe d'établir une distinction fondamentale entre les "méta-données", qui concernent les informations disponibles sur une certaine catégorie, et les "indicateurs" qui concernent les informations disponibles au niveau individuel. L'avis rendu par le CEPD contenait également un certain nombre d'observations sur "l'accès direct". Il est évident qu'il faut éviter une interconnexion sans restriction de bases de données, ne serait-ce que parce qu'un réseau international 8 de bases de données serait difficile à contrôler et à superviser. Enfin, l'avis aborde un certain nombre de restrictions et de conditions relatives à l'échange de données sur l'ADN, un sujet auquel le traité de Prüm fait une large place, sans le traiter toutefois de manière totalement satisfaisante. Jusqu'à présent, la proposition de décision-cadre relative à la disponibilité n'a pas été discutée au sein du Conseil. C'est pourquoi l'avis du CEPD évoque également d'autres approches et suggère une introduction progressive du principe qui associe un certain nombre d'éléments positifs. Remarques finales Ce bref tour d'horizon suffit probablement à démontrer que de nombreuses activités sont actuellement menées en vue de doter l'échange et la protection des données d'un cadre adéquat au sein du troisième pilier. La contribution apportée par les autorités chargées de la protection des données à différents niveaux a été non négligeable dans ce débat et l'on peut espérer qu'il continuera d'en être ainsi dans l'avenir proche. En tout cas, il est clair que les contributions de la Pologne ont laissé leur empreinte et que Mme Ewa Kulesza mérite nos remerciements pour le rôle qu'elle a joué dans ce contexte. Il y aurait bien sûr beaucoup d'autres choses à dire, tant sur le plan personnel que sur les questions de fond. Mais je me réserve d'en parler à une autre occasion, probablement lors de la prochaine conférence qui sera organisée à Varsovie et durant laquelle j'aurai le plaisir d'intervenir à nouveau.