Vers la création d`un espace européen de liberté, de sécurité et de
Transcription
Vers la création d`un espace européen de liberté, de sécurité et de
Vers la création d'un espace européen de liberté, de sécurité et de justice dans lequel sécurité et protection des données vont de pair Joaquin Bayo Delgado 1 Les attentats terroristes de ces dernières années ont déterminé les agendas politiques de la plupart des gouvernements, y compris celui de l'Union européenne, en propulsant les questions de sécurité au cœur du débat politique. Depuis lors, les gouvernements discutent des mesures à prendre à titre de prévention contre la criminalité, en particulier contre la criminalité à caractère terroriste. Dans ce contexte, il est désormais assez courant d'envisager la sécurité et la protection des données comme s'il s'agissait de deux notions a priori antinomiques et incompatibles. Pour essayer de concilier la mise en application de ces deux principes, on fait souvent valoir qu'il faut trouver un juste équilibre entre les exigences en matière de sécurité, d'une part, et la protection des données à caractère personnel, d'autre part. Le terme "équilibre" est aujourd'hui à la mode et personne n'ose mettre en cause la pertinence de la recherche de cet équilibre. Toutefois, le recours à la notion d'équilibre et donc la nécessité d'équilibrer les deux plateaux de la balance ne sont peut-être pas l'approche qui convient; comme nous l'expliquons plus loin, cette approche n'est que partiellement correcte, ou, autrement dit, elle est partiellement erronée. En effet, parler d'équilibre fait intervenir l'image d'une balance, et suppose que l'un des plateaux, qui contiendrait les exigences en matière de sécurité, contrebalance l'autre plateau, celui des exigences en matière de protection des données à caractère personnel. L'image à utiliser n'est en fait pas celle d'une balance à plateaux, avec des forces concurrentes, mais plutôt celle d'un attelage de quatre chevaux (quadrige), dont le conducteur doit tenir les différentes rênes d'une manière coordonnée, en leur imprimant la force et la direction voulues, afin de faire avancer les chevaux vers l'objectif souhaité. De fait, la réalité est beaucoup plus complexe que celle d'un équilibre à atteindre et ce, pour plusieurs raisons. En premier lieu, parce que les exigences en matière de protection des données et les exigences de sécurité ne sont pas toujours contradictoires et, en second lieu, parce que, outre les valeurs de protection des données et de sécurité, il y a un troisième principe à prendre en considération, à savoir la transparence et l'ouverture de l'action politique et administrative dans les sociétés démocratiques. Les rapports qu'entretiennent les principes de transparence et de sécurité et la protection des données sont également complexes, et ils sont tout à la fois similaires et divergents. COMPATIBILITÉ ENTRE LES EXIGENCES EN MATIÈRE DE SÉCURITÉ ET LES EXIGENCES EN MATIÈRE DE PROTECTION DES DONNÉES Afin d'analyser ces similitudes et ces divergences, il est sans doute utile de rappeler les principes qui régissent la protection des données et d'évaluer s'ils sont compatibles avec les exigences qui découlent de la nécessité d'assurer la sécurité et la transparence dans une société démocratique. 1. La qualité et la proportionnalité dans le traitement des données à caractère personnel Lors des opérations de traitement des données, il faut s'assurer que les données traitées sont exactes, complètes et mises à jour. Les données collectées doivent en outre être non excessives et adéquates (il faut qu'il y ait un lien entre l'information et la finalité de son utilisation). 1 Contrôleur adjoint de la protection des données Nous constatons que ces exigences correspondent à celles qui découlent des besoins en matière de sécurité. La prévention des activités criminelles et les enquêtes à leur propos se fondent sur des informations exactes, complètes et mises à jour. L'efficacité des services répressifs et des autorités judiciaires dépend d'ailleurs de leur capacité à utiliser des informations exactes et mises à jour. Les informations qui ne sont pas pertinentes, autrement dit qui sont inappropriées, n'ont aucune utilité; elles risquent en outre d'occasionner un gaspillage des ressources, limitées, des autorités répressives. La tendance qui consiste à collecter des masses d'informations, dans l'espoir qu'elles puissent être utiles un jour, est regrettable et s'est avérée inutile, même avec les systèmes informatiques actuels. Elle provoque invariablement une perte de temps et un gaspillage de moyens humains. Il en va de même pour la conservation d'informations sans limitation de durée, qui non seulement exige un espace de stockage important, mais qui implique aussi la mise à jour constante de fichiers afin d'éviter de conserver des données erronées. La nécessité pour les autorités répressives de pouvoir se fier à des informations exactes présente une caractéristique supplémentaire, qui s'applique également dans le cadre de la protection des données: le degré de fiabilité des informations doit être clairement indiqué dans un dossier d'instruction (soupçons, avis, éléments de preuve concrets, décisions judiciaires faisant l'objet d'un recours, décisions judiciaires définitives, décisions judiciaires frappées de prescription, informations relatives aux témoins et aux victimes, etc.). C'est une application particulière du principe de la qualité des données. 2. La sécurité dans le traitement des informations personnelles Il est essentiel d'assurer la sécurité des informations personnelles qui font l'objet d'un traitement, tant pour les autorités répressives que dans l'intérêt de la protection des données. Il est primordial d'empêcher l'accès non autorisé aux données collectées et ensuite conservées, utilisées et transférées par des moyens physiques ou numériques tant pour garantir l'efficacité des enquêtes que pour assurer le respect des droits des personnes en matière de protection des données les concernant. 3. Le droit d'accès, de rectification et d'opposition Dans ce domaine, les exigences associées aux besoins en matière de sécurité et celles liées à la protection des données sont tantôt convergentes, tantôt divergentes. Le droit d'accès des personnes aux données à caractère personnel les concernant doit également s'appliquer aux informations personnelles conservées par les services répressifs et les autorités judiciaires. Bien que la directive relative à la protection des données ne s'applique pas au traitement des données à caractère personnel mis en œuvre par les services répressifs ou les autorités judiciaires (ce que l'on appelle le troisième pilier), de nombreux États membres ont, au moment de transposer la directive dans leur droit national, décidé d'en étendre le champ d'application pour y inclure le traitement des données à caractère personnel effectué par les services de police et les autorités judiciaires. En outre, ces principes sont également énoncés dans la Convention 108 du Conseil de l'Europe du 28 janvier 1981, qui a été signée et ratifiée par tous les États membres de l'Union européenne. Le droit d'accès peut être suspendu au cours d'une instruction pénale, mais seulement dans la mesure où cela est nécessaire afin de protéger l'enquête. La même exception s'applique en ce qui concerne le droit de rectification. Ces deux exceptions sont temporaires: si l'octroi du droit d'accès ou de rectification cesse de compromettre l'enquête, ces deux droits redeviennent alors pleinement applicables et ont tous deux une influence sur l'exactitude des informations détenues par les autorités compétentes. En fait, ces deux droits ont la même teneur que les droits de la défense. Ici aussi, nous constatons qu'il y a convergence entre les besoins liés à la sécurité et ceux liés à la protection des données, vu que l'objectif final d'une enquête pénale est de sanctionner un délit et que, dans une société démocratique, une preuve qui ne peut être contestée est nulle. Par ailleurs, les exigences en matière d'ouverture et de transparence des gouvernements et des autorités administratives vont dans le sens du droit d'accès des personnes aux données à caractère personnel les concernant. En fait, les instruments juridiques qui traitent du droit d'accès aux données détenues par le gouvernement et les autorités administratives sont aussi appelés législation relative à l'accès aux documents publics, qui peut parfois porter sur des données à caractère personnel. Dans ces conditions, la personne peut invoquer l'une ou l'autre législation pour obtenir l'accès aux documents, bien que ce choix entraîne certaines conséquences en ce qui concerne les exceptions aux droits. En ce qui concerne le droit d'opposition, il n'est pas possible de reconnaître ce droit aux personnes qui font l'objet d'une enquête ou de poursuites judiciaires, mais rien n'empêche d'appliquer ce droit aux témoins, aux victimes, etc., conformément à la procédure pénale. 4. Limitation de la finalité La limitation des finalités pour lesquelles les données à caractère personnel sont collectées et traitées ultérieurement constitue l'un des principes fondamentaux de la protection des données à caractère personnel, qui s'applique au responsable du traitement. Dans le cadre des missions des autorités policières et judiciaires, l'application de ce principe peut constituer un défi, dans la mesure où une enquête suppose, par définition, que l'on ignore a priori les faits et leurs conséquences. Toutefois, il est logique d'imposer une certaine limitation en ce qui concerne les finalités de la collecte d'informations par les forces de police. Il suffit de songer aux écoutes téléphoniques ou aux perquisitions menées à domicile. En cas de recours à ces techniques, qui constituent une intrusion importante dans la vie privée des personnes et dans les données à caractère personnel, le droit pénal lui-même limite la portée des informations qui peuvent être collectées et utilisées ultérieurement, pour garantir le respect des droits fondamentaux des personnes. 5. Transparence Les articles 10 et 11 de la directive relative à la protection des données comportent des dispositions mettant en œuvre le principe de transparence en ce qui concerne les personnes dont les données à caractère personnel ont été collectées et traitées ultérieurement. L'identité du responsable du traitement et les finalités du traitement, ainsi que toute information supplémentaire relative au traitement des données à caractère personnel, doivent être communiquées aux personnes concernées afin d'assurer un traitement loyal des données. Dans une certaine mesure, nous constatons ici encore que les exigences dictées par la sécurité sont compatibles avec celles qui découlent de la protection des données. De toute évidence, le principe d'ouverture et de transparence joue également un rôle crucial dans l'instauration d'une administration démocratique. 6. Limitations concernant les transferts à des tiers En vertu de la législation applicable, les données à caractère personnel ne devraient pas être transférées vers des pays tiers n'assurant pas un niveau de protection adéquat. Toutefois, les transferts de données sont autorisés dans certains cas, lorsqu'ils sont pratiquement inévitables pour différentes raisons. Les autorités policières et judiciaires doivent transmettre des données à caractère personnel à des pays tiers afin de s'assurer la coopération de leurs homologues dans ces pays. En matière pénale, ces transferts sont impératifs, puisque ce sont les États qui sont compétents à l'égard des enquêtes judiciaires qui se déroulent sur leur territoire. Pour cette même raison, il est également nécessaire d'obtenir des informations provenant d'autres pays concernant les enquêtes en cours. Il convient, par le biais d'accords internationaux, de veiller à ce que les droits fondamentaux des personnes soient dûment garantis dans le cadre de ces échanges d'informations. Dans ce contexte, des exigences telles que celle relative à la qualité des données sont essentielles, tant du point de vue des autorités policières et judiciaires que pour la protection des droits des personnes. EXEMPLES DE RECOMMANDATIONS FORMULÉES PAR LE CEPD Le contrôleur européen de la protection des données a exposé, dans de nombreux dossiers, les principes énoncés ci-dessus et leur compatibilité avec les besoins des autorités judiciaires et des services répressifs, qui découlent de la nécessité d'assurer la sécurité. Le CEPD a développé ces principes dans les avis qu'il a rendus concernant des propositions législatives de l'UE qui ont un effet dans le domaine de la protection des données. Dans ce type de dossiers, la Commission européenne doit soumettre ces propositions législatives pour consultation au CEPD, qui émet un avis non contraignant. L'avis sur la proposition de décision-cadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (COM (2005) 475 final), qui n'a pas encore été adopté, est l'un des avis du CEPD portant sur ces questions. Dans tous les avis qu'il a rendus dans ce domaine, le CEPD a mis l'accent sur la nécessité de la compatibilité, nécessité qui se trouve consacrée dans les suggestions qui ont été formulées. On trouvera ci-dessous quelques exemples de recommandations émises par le CEPD, qui traitent de cette compatibilité. 1) Avis du contrôleur européen de la protection des données sur la proposition de décisioncadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (COM (2005) 475 final) b) Une protection efficace des données à caractère personnel est non seulement importante pour les personnes concernées, mais elle contribue aussi au succès de la coopération policière et judiciaire à proprement parler. À de nombreux égards, ces deux intérêts publics vont de pair. d) Cette proposition remplit ces conditions, dans la mesure où elle garantit que les principes existants de la protection des données, tels qu'ils sont énoncés dans la directive 95/46/CE, s'appliquent dans le domaine du troisième pilier, étant donné que la plupart des dispositions de la proposition s'inspirent des autres instruments juridiques de l'UE en matière de protection des données à caractère personnel et sont compatibles avec ceux-ci. Elle définit par ailleurs des normes communes qui précisent ces principes en vue de leur application dans ce domaine, qui sont en général suffisantes pour fournir des mesures adéquates de protection des données dans le cadre du troisième pilier. n) Les dispositions relatives à la vérification de la qualité des données (article 9, paragraphes 1 et 6) et celles réglementant le traitement ultérieur des données à caractère personnel (article 11, paragraphe 1) devraient être déplacées vers le chapitre II afin qu'elles s'appliquent à tous les traitements de données réalisés par les services répressifs, même si les données à caractère personnel n'ont pas été transmises ni mises à disposition par un autre État membre. En particulier, il est essentiel - aussi bien dans l'intérêt de la personne concernée que dans celui des autorités compétentes - de veiller à ce que la qualité de toutes les données à caractère personnel soit vérifiée de manière appropriée. p) Conformément au droit de l'UE relatif à la protection des données, les données à caractère personnel doivent être collectées pour des finalités déterminées et explicites, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Il faut autoriser une certaine souplesse en ce qui concerne l'utilisation ultérieure. La limitation relative à la collecte a plus de chances d'être correctement respectée si les autorités en charge de la sécurité intérieure savent qu'elles peuvent avoir recours, moyennant des garanties appropriées, à une dérogation concernant la limitation applicable à l'utilisation ultérieure. t) Lorsque des données à caractère personnel sont transmises par des pays tiers, il convient, avant de les utiliser, d'en évaluer avec soin la qualité au regard des critères du respect des droits de l'homme et des normes en matière de protection des données. x) Les données à caractère personnel concernant différentes catégories de personnes (les personnes suspectes, les personnes condamnées, les victimes, les témoins, etc.) devraient être traitées selon des conditions et des mesures de protection adéquates différentes. Dès lors, le CEPD propose d'ajouter à l'article 4 un paragraphe contenant les éléments suivants: - l'obligation, pour les États membres, de prévoir les conséquences sur le plan légal des distinctions à établir dans les données à caractère personnel en fonction des différentes catégories de personnes; - des dispositions supplémentaires visant à limiter les finalités du traitement, à fixer des durées de conservation précises et à restreindre l'accès aux données, en ce qui concerne les personnes non suspectes. 2) Avis du contrôleur européen de la protection des données sur la proposition de décisioncadre du Conseil relative à l'échange d'informations en vertu du principe de disponibilité (COM (2005) 490 final) (2006/C 116/04) 74. Le CEPD estime que la proposition devrait, dans la mesure où elle prévoit des échanges de données relatives à l'ADN: - clairement limiter et définir le type d'informations ADN pouvant faire l'objet d'échanges (y compris en ce qui concerne la différence fondamentale qui existe entre les échantillons d'ADN et les profils ADN); - établir des normes techniques communes pour éviter que les différences qui existent entre les États membres dans la manière de traiter les bases de données ADN à des fins de police scientifique ne soient sources de difficultés et ne génèrent des résultats inexacts lors de l'échange de données. 3) Avis du contrôleur européen de la protection des données sur les propositions suivantes: - proposition de décision du Conseil sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen de deuxième génération (SIS II) (COM(2005)230 final); - proposition de règlement du Parlement européen et du Conseil sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen de deuxième génération (SIS II) (COM(2005)236 final), et - proposition de règlement du Parlement européen et du Conseil sur l'accès des services des États membres chargés de l'immatriculation des véhicules au système d'information Schengen de deuxième génération (SIS II) (COM(2005)237 final) 7. Dans le cadre de ce rôle, il conviendrait d'ajouter, à l'article 12 de ces deux propositions, que la Commission devrait régulièrement proposer la mise en œuvre de nouvelles technologies qui soient les plus avancées dans ce domaine et permettront de renforcer le niveau de protection de sécurité et des données. 4) Avis du contrôleur européen de la protection des données sur la proposition de directive du Parlement européen et du Conseil sur la conservation de données traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public, et modifiant la directive 2002/58/CE 80) Ajouter à la proposition de nouvelles dispositions incitant les fournisseurs à investir dans une infrastructure technique appropriée, en particulier des incitations financières. Cette infrastructure ne peut être appropriée que s'il existe des moteurs de recherche efficaces.