Un cadre qui évolue: le troisième pilier et la protection des données

Un cadre qui évolue: le troisième pilier et la protection des données
∗
Peter J. Hustinx
Contrôleur européen de la protection des données
Introduction
Dans l'exercice de ses fonctions de premier inspecteur général polonais de la
protection des données à caractère personnel, Mme Ewa Kulesza a fait preuve d'un
grand sens des relations internationales, dépassant le cadre d'une étroite collaboration
avec ses collègues d'Europe centrale et orientale. Quelques événements suffisent à en
donner une illustration: j'ai eu le plaisir d'être invité à Varsovie en mai 2004, au cours
du premier mois qui a suivi l'adhésion de la Pologne à l'Union européenne. En
septembre 2004, l'inspecteur général polonais a organisé à Wroclaw la 26ème
Conférence internationale sur la vie privée et la protection des données à caractère
personnel. En avril 2005, Mme Kulesza a accueilli à Cracovie la Conférence annuelle
de printemps des commissaires européens à la protection des données et en mai 2006,
peu de temps avant l'échéance de son second mandat, elle organisera à Varsovie une
conférence sur la "Sécurité publique et la protection des données" à laquelle sont
assisteront de nouveau de nombreux collègues européens.
Cela témoigne indubitablement d'un intérêt particulier pour une thématique qui a
d'ailleurs occupé une place importante dans les travaux menés aussi bien à Wroclaw
qu'à Cracovie. Les principaux documents adoptés à l'occasion de ces conférences ont
influé sur les développements intervenus en Europe. C'est pourquoi il convient de
présenter brièvement ces développements dans un article qui est destiné à rendre
hommage à Mme Ewa Kulesza et à ses contributions à la protection des données.
Le troisième pilier
L'expression "troisième pilier" renvoie à la structure en piliers de l'Union européenne,
apparue dans le traité de Maastricht (1992). À cette époque, le troisième pilier traitait
de la coopération dans le domaine de la justice et des affaires intérieures. Cette
coopération a été restructurée dans le traité d'Amsterdam (1997). La mise en place
progressive d'un "espace de liberté, de sécurité et de justice" est devenue un objectif
du premier pilier et les dispositions relatives aux visas, à l'asile, à l'immigration et à la
coopération judiciaire en matière civile sont désormais énoncées au titre IV du traité
∗
Cet article a été publié dans: "Ochrona danych osobowych wczoraj, dziś, jutro / Personal Data
Protection Yesterday, Today, Tomorrow", Varsovie 2006, p. 132-137 (en anglais) et p. 137-142 (en
polonais).
2
instituant la Communauté européenne. L'objectif consistant à offrir aux citoyens un
niveau élevé de protection dans un espace de liberté, de sécurité et de justice,
notamment en élaborant une action en commun dans le domaine de la coopération
policière et judiciaire en matière pénale, continue de relever du troisième pilier dans le
titre VI du traité sur l'Union européenne. Les activités menées dans le domaine de la
liberté, de la sécurité et de la justice se sont accélérées à la suite des conclusions du
Conseil européen de Tampere (1999). Un nouveau programme quinquennal, le
"programme de La Haye", a été adopté en novembre 2004. Il conduira sans aucun
doute à une multiplication des activités, également dans le cadre du troisième pilier.
À ce stade, il faut savoir que le troisième pilier souffre d'un certain nombre de
problèmes structurels. Premièrement, toute action relevant de ce pilier est de nature
intergouvernementale et ne peut donc être entreprise qu'à l'unanimité des États
membres. En d'autre termes, le processus décisionnel n'est pas aisé et il aboutit
souvent à des compromis dilués. Deuxièmement, le rôle du Parlement européen est
encore limité. En vertu de l'article 39 du traité sur l'Union européenne (TUE), le
Parlement a uniquement le droit d'être consulté, le Conseil étant libre de ne pas tenir
compte de l'avis du Parlement ou même parfois de s'en passer, si telle est sa volonté.
Troisièmement, le contrôle juridictionnel de la Cour de justice est également
incomplet. L'article 35 du TUE stipule que la Cour n'est pas compétente pour les
questions relatives au maintien de l'ordre public et à la sauvegarde de la sécurité
intérieure. Quatrièmement, la mise en oeuvre des règles de l'UE au niveau national
pose problème; bien souvent, il n'est pas possible d'obtenir l'application de ces règles
ou de les contester devant les tribunaux. Enfin, on déplore un grave manque de
transparence et les informations pertinentes sont souvent transmises tardivement et de
façon parcellaire. La plupart de ces problèmes seraient résolus par le traité
constitutionnel, mais celui-ci n'est pas appelé à devenir réalité dans un proche avenir.
Quant au rôle consultatif des autorités chargées de la protection des données, les
dispositions en vigueur ne sont pas non plus satisfaisantes. La Commission
européenne a confirmé qu'elle estime qu'elle est tenue, en vertu de l'article 28,
paragraphe 2, du règlement (CE) n° 45/2001, de consulter le contrôleur européen de la
protection des données (CEPD) lorsqu'elle adopte une proposition de législation ayant
un impact sur la protection des données à caractère personnel, mais elle partage son
droit d'initiative législative avec les États membres qui, eux, ne sont pas liés par une
telle obligation. Les dispositions destinées à permettre une contribution systématique
des autorités nationales chargées de la protection des données sont encore moins
satisfaisantes. C'est la raison pour laquelle la Conférence européenne des
commissaires à la protection des données a adopté à Wroclaw, en septembre 2004,
3
une résolution visant à demander la création d'un forum conjoint sur la protection des
données dans le cadre du troisième pilier, afin qu'ils puissent contribuer de manière
systématique au processus décisionnel.
Quant aux dispositions générales relatives à la protection des données, il convient de
noter que la directive 95/46/CE ne s'applique pas étant donné que les activités telles
que celles prévues au titre VI du traité sur l'Union européenne en sont exclues à
l'article 3, paragraphe 2. La Convention 108 du Conseil de l'Europe a été ratifiée par
tous les États membres de l'UE mais ses dispositions ne s'appliquent qu'indirectement
à l'Union elle-même, en vertu de l'article 6 du TUE. Bien que la Convention 108 soit
jugée trop générale pour des applications spécifiques, plusieurs instruments la
retiennent comme texte de référence pour la protection des données dans le cadre du
troisième pilier. Ce fut d'abord le cas dans la Convention de Schengen (1990), puis
dans la Convention Europol (1995) et enfin dans la décision du Conseil instituant
Eurojust (2002). Schengen a été intégré dans le cadre de l'UE par le traité
d'Amsterdam mais Europol et Eurojust ont été mis en place dans le cadre du troisième
pilier à des stades différents. Chacun de ces instruments comportait des mesures
spécifiques sur la protection des données, applicables uniquement dans ce contexte
précis et ne cadrant pas nécessairement ensemble. Dans chaque cas, l'absence de
règles générales dans le troisième pilier a posé problème.
L'échange de données
La nécessité d'un cadre réglementaire commun est devenue plus évidente ces
dernières années en raison de l'intérêt croissant suscité par l'échange de données à
caractère personnel entre les autorités répressives des différents États membres.
Hormis certains incidents révélant un manque de coopération et un échange
d'informations insuffisant, cela tient à une logique simple. La coopération policière et
judiciaire en matière pénale a atteint aujourd'hui un stade où l'échange de données et
l'accès direct à des données "par-delà les frontières" revêtent une importance
grandissante pour l'application de la loi dans les régions "occupant le devant de la
scène". C'est pourquoi le programme de La Haye a fortement mis l'accent sur
l'échange des données en vertu du principe de disponibilité. Cela signifie que les
informations dont disposent certaines autorités d'un État membre doivent également
être mises à la disposition des autorités correspondantes dans les autres États
membres.
Le programme de La Haye insiste sur le fait que de telles dispositions devraient être
assorties de garanties adéquates en matière de protection des données. On prévoit
aisément que les services répressifs des différents États membres seront appelés à
4
devenir de plus en plus interdépendants pour ce qui est de vérifier la conformité aux
règles relatives à la régularité et à la légalité de la collecte, à la qualité et à la sécurité
des données, etc. Des règles appropriées en matière de protection des données, suivies
de bonnes pratiques, permettront donc d'instaurer la confiance entre les autorités de
différents pays et contribueront à une meilleure coopération transfrontalière en
matière pénale. Il est clair que des normes communes appropriées en matière de
protection des données représenteront en l'occurrence davantage que des garanties;
elles devraient également être considérées comme des conditions indispensables à une
coopération efficace.
Ces dernières années, un certain nombre d'initiatives ont été entreprises, tant à
l'intérieur qu'à l'extérieur du cadre de l'UE, par promouvoir l'échange d'informations à
caractère policier entre différents pays. En juin 2004, la Suède a proposé une
décision-cadre relative à la simplification de l'échange d'informations et de
renseignements entre les services répressifs des États membres. En mai 2005, sept
États membres ont signé à Prüm (Allemagne) un traité relatif à l'approfondissement
de la coopération transfrontalière, notamment en vue de lutter contre le terrorisme, la
criminalité transfrontalière et la migration illégale. Ce traité introduit entre autres des
mesures visant à améliorer l'échange d'informations sur les profils ADN et les
empreintes digitales, et tout État membre de l'Union européenne peut y adhérer.
L'objectif visé est l'intégration du traité dans le cadre juridique de l'Union européenne.
Ce traité vient s'ajouter à d'autres initiatives, comme les propositions en vue d'un
système d'information Schengen de deuxième génération (SIS II) ou encore
récemment la proposition de décision-cadre relative à l'échange d'informations en
vertu du principe de disponibilité, et s'inscrit dans le cadre des suites générales
données à cette partie du programme de La Haye. Ces diverses initiatives ne sont pas
nécessairement cohérentes et la protection des données ne fait pas encore l'objet d'une
approche cohérente.
La protection des données
Après leur rencontre à Wroclaw, en septembre 2004, les autorités européennes
chargées de la protection des données ont poursuivi leurs travaux sur la protection des
données dans le cadre du troisième pilier. Lors de la conférence de printemps qui s'est
tenue à Cracovie en avril 2005, ces travaux ont débouché sur l'adoption d'un
document de synthèse sur les services répressifs et l'échange d'informations dans l'UE,
présentant les principaux éléments d'un cadre juridique général pour la protection des
données dans le cadre du troisième pilier. Le document de synthèse a été annexé à une
déclaration dont le message est clair.
5
Elle souligne en premier lieu que les initiatives destinées à améliorer les services
répressifs dans l'UE, comme le principe de disponibilité, ne devraient être introduites
que sur la base d'un système approprié d'arrangements en matière de protection des
données, garantissant une norme de protection des données élevée et équivalente. La
déclaration insiste également sur le fait qu'un ensemble de règles applicables aux
activités répressives devrait tenir compte du niveau de protection des données qui
existe actuellement dans le cadre du premier pilier. Le niveau de protection des
données prévu par la directive 95/46/CE devrait donc servir de base à l'élaboration de
règles appropriées dans le cadre du troisième pilier.
La Commission européenne a tiré parti des apports de la déclaration de Cracovie et du
document de synthèse. En octobre 2005, elle a adopté une proposition de décisioncadre relative à la protection des données à caractère personnel traitées dans le cadre
de la coopération policière et judiciaire en matière pénale. Cette proposition s'inspire à
de nombreux égards de l'approche de la directive 95/46/CE et l'exposé des motifs fait
souvent référence au document de synthèse. La proposition est actuellement débattue
au sein d'un groupe de travail du Conseil ainsi qu'au sein de la Commission des
libertés civiles, de la justice et des affaires intérieures du Parlement européen. Le
CEPD a publié un avis en décembre 2005. La Conférence européenne a adopté un
avis peu de temps après une réunion organisée en janvier 2006 sous la présidence de
la Pologne. Tous deux saluent la proposition de la Commission, dont ils soutiennent
les grandes lignes, mais suggère des améliorations sur différents points. Bon nombre
de ces suggestions seront très probablement reprises par le Parlement européen. Tant
le Parlement que le Conseil traitent actuellement la proposition de manière prioritaire.
Si l'on se penche sur l'état actuel des travaux, on note avant tout que la nécessité de
disposer de règles en matière de protection des données dans le cadre du troisième
pilier ne semble plus contestée ni mise en doute. Le Parlement européen a appelé à
plusieurs reprises de ses vœux une proposition de la Commission, mais le Conseil a
été jusqu'à présent beaucoup plus réticent. On peut raisonnablement penser que les
discussions relatives aux échanges de données en général et au principe de
disponibilité en particulier ont fait évoluer les mentalités de la plupart des acteurs au
Conseil. Néanmoins, une décision-cadre ne pouvant être adoptée qu'à l'unanimité, il
convient d'être prudent quant à son contenu final et au moment où elle interviendra.
Ce qui est plus important à ce stade, c'est le champ d'application de la proposition.
L'article 1er, paragraphe 1, de la proposition prévoit qu'elle définit des "normes
communes" visant à assurer la protection des données à caractère personnel dans le
cadre de la coopération policière et judiciaire en matière pénale. Son article 3,
6
paragraphe 1, indique qu'elle s'applique au traitement des données à caractère
personnel (…) par une autorité compétente à des fins de prévention et de détection des
infractions pénales, et d’enquêtes et de poursuites en la matière. Ces dispositions
mettent en évidence les deux principales caractéristiques de la décision-cadre
proposée: d'une part, elle définit des normes communes, d'autre part, elle s'applique à
tous les traitements réalisés aux fins de l'application du droit pénal, même si les
données concernées n'ont pas été transmises ou mises à disposition par les autorités
des autres États membres.
Les avis rendus par le CEPD et par la Conférence européenne ont souligné
l'importance de ces caractéristiques. Cette approche se traduirait par la mise en place,
au sein du troisième pilier, d'un cadre juridique pour la protection des données qui
complète parfaitement le cadre juridique existant au sein du premier pilier. Cela
s'appliquerait également aux situations "purement nationales", ce qui risque de donner
lieu à des discussions difficiles au Conseil. Il convient toutefois de souligner que toute
limitation concernant les données transmises aux autorités compétentes des autres
États membres ou mises à leur disposition rendrait le domaine d'application de la
décision-cadre particulièrement incertain et aléatoire, ce qui serait contraire à son
objectif essentiel. Il serait porté atteinte à la sécurité juridique des personnes. Dans
des circonstances normales, il est impossible de savoir à l'avance si ces données
seront susceptibles de donner lieu à un échange avec les autorités compétentes
d'autres États membres. Il serait également difficile d'appliquer des normes
différentes, en établissant une distinction en fonction de l'origine des données à
caractère personnel. Il en résulterait très certainement d'importants problèmes d'ordre
pratique au regard du principe de disponibilité et de la suppression des frontières
intérieures en ce qui concerne l'échange de données en matière de répression.
Dans un avis rendu récemment, le Service juridique du Conseil a conclu que l'article
30, l'article 31 et l'article 34, paragraphe 2, point b), du TUE offrent la base juridique
nécessaire pour permettre au Conseil d'adopter une décision-cadre sur la protection
des données à caractère personnel applicable également au traitement de données dans
un contexte purement national. Autrement dit, il appartient au Conseil de décider dans
quelle mesure il souhaite faire usage de la compétence que lui confèrent ces
dispositions.
S'agissant du champ d'application, une autre question qui se pose est celle de savoir si
la proposition devrait aussi s'appliquer à Europol et à Eurojust. Il convient de noter
tout d'abord qu'une décision-cadre en vertu de l'article 34, paragraphe 2, point b), du
TUE ne peut être adoptée qu'aux fins du rapprochement des dispositions législatives
7
et réglementaires des États membres; par principe, elle ne peut donc s'adresser à des
instances telles qu'Europol et Eurojust. Dans le même temps, il serait souhaitable que
les règles qui les régissent actuellement soient rendues parfaitement conformes aux
nouvelles règles, dans les meilleurs délais. Ce serait peut-être aussi l'occasion
d'effectuer une harmonisation horizontale. Dans le cas du SIS II, on tient pour acquis
que, une fois adoptée, la décision-cadre proposée fera partie du cadre générale (lex
generalis).
Le contenu de la proposition soulève bon nombre d'autres questions intéressantes que le CEPD et la Conférence européenne ont commentées dans leurs avis - mais l'on
sortirait du cadre du présent article si l'on approfondissait la discussion.
Disponibilité
Récemment, le CEPD a également rendu un avis au sujet de la proposition de la
Commission, concernant une décision-cadre relative à l'échange d'informations en
vertu du principe de disponibilité. Dans cet avis, il préconise une meilleure analyse du
principe et une introduction plus prudente et progressive, en commençant par un type
de données (au lieu de six, comme l'a proposé la Commission), un accès indirect (via
des données d'index renvoyant à des informations auxquelles on ne peut pas accéder
en ligne) et un système "hit-no hit" permettant de mieux contrôler l'échange
d'informations qu'un système reposant sur un accès direct. Il est en tout cas essentiel
que le principe de disponibilité soit complété par des règles appropriées en matière de
protection des données dans le cadre du troisième pilier.
Pour ce qui est de la nécessité d'améliorer l'analyse, il convient de clarifier le champ
d'application du principe en ajoutant une définition claire et précise des données qui
seront considérées comme "disponibles", et le principe devrait de préférence ne
concerner que les informations contrôlées par les autorités compétentes. On ne sait
pas très bien si les données non soumises au contrôle de ces autorités et auxquelles
elles n'ont accès que dans certaines conditions doivent être considérées comme
"disponibles" pour une éventuelle diffusion aux autorités des autres États membres.
Une analyse plus poussée serait également essentielle en ce qui concerne le concept
des "données d'index": il importe d'établir une distinction fondamentale entre les
"méta-données", qui concernent les informations disponibles sur une certaine
catégorie, et les "indicateurs" qui concernent les informations disponibles au niveau
individuel. L'avis rendu par le CEPD contenait également un certain nombre
d'observations sur "l'accès direct". Il est évident qu'il faut éviter une interconnexion
sans restriction de bases de données, ne serait-ce que parce qu'un réseau international
8
de bases de données serait difficile à contrôler et à superviser. Enfin, l'avis aborde un
certain nombre de restrictions et de conditions relatives à l'échange de données sur
l'ADN, un sujet auquel le traité de Prüm fait une large place, sans le traiter toutefois
de manière totalement satisfaisante.
Jusqu'à présent, la proposition de décision-cadre relative à la disponibilité n'a pas été
discutée au sein du Conseil. C'est pourquoi l'avis du CEPD évoque également d'autres
approches et suggère une introduction progressive du principe qui associe un certain
nombre d'éléments positifs.
Remarques finales
Ce bref tour d'horizon suffit probablement à démontrer que de nombreuses activités
sont actuellement menées en vue de doter l'échange et la protection des données d'un
cadre adéquat au sein du troisième pilier. La contribution apportée par les autorités
chargées de la protection des données à différents niveaux a été non négligeable dans
ce débat et l'on peut espérer qu'il continuera d'en être ainsi dans l'avenir proche. En
tout cas, il est clair que les contributions de la Pologne ont laissé leur empreinte et que
Mme Ewa Kulesza mérite nos remerciements pour le rôle qu'elle a joué dans ce
contexte.
Il y aurait bien sûr beaucoup d'autres choses à dire, tant sur le plan personnel que sur
les questions de fond. Mais je me réserve d'en parler à une autre occasion,
probablement lors de la prochaine conférence qui sera organisée à Varsovie et durant
laquelle j'aurai le plaisir d'intervenir à nouveau.