Directive « Police-Justice » : de quoi parle-t-on ?
La loi Informatique et Libertés et son décret d’application ont été modifiés afin de mettre en conformité le droit national avec le « paquet européen de protection des données à caractère personnel », composé du règlement n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) et de la directive n° 2016/680 du 27 avril 2016, dite directive « Police-Justice ». La directive « Police-Justice » a ainsi été transposée en France au sein du chapitre XIII de la loi Informatique et Libertés.
Quel champ d’application de la directive « Police-Justice » ?
La directive « Police-Justice » établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.
Pour entrer dans le champ d’application de la directive « Police-Justice », un traitement de données doit donc répondre à deux conditions cumulatives.
D’une part, il doit poursuivre l’une des finalités mentionnées à l’article 1er. La directive « Police-Justice » a ainsi largement vocation à s’appliquer en « matière pénale » et, en particulier, aux activités menées par la police par exemple dans le cadre de la prévention et de la constatation de certaines infractions à l’occasion des déplacements des passagers (traitement « API-PNR France ») ou encore aux traitements permettant la gestion des mesures d’application des peines prononcées par l’autorité judiciaire.
Les dispositions de cette directive peuvent également avoir vocation à encadrer les traitements mis en œuvre dans le cadre d’activités qui ne relèvent pas spécifiquement de la sphère pénale mais qui se rapportent à des activités de police effectuées en amont de la commission d’une infraction pénale. Peuvent ainsi relever des finalités encadrées par la directive « Police-Justice », les activités préventives de police aux fins de protection contre les menaces pour la sécurité publique susceptibles de déboucher sur une qualification pénale (activités de police lors de manifestations, d’évènements sportifs, maintien de l’ordre public, etc.) et les traitements mis en œuvre pour ces finalités.
D’autre part, le traitement, quelle que soit sa finalité, n’entre dans le champ de la directive « police justice » que s’il est mis en œuvre par une « autorité compétente ». Ce terme renvoie, selon la directive, à :
- toute autorité publique compétente pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en matière pénales ou l'exécution de sanctions pénales (les autorités judiciaires, la police, toutes autres autorités répressives etc.).
- tout autre organisme ou entité à qui le droit d’un Etat membre confie l’exercice de l’autorité publique et des prérogatives de puissance publique aux fins de mettre en œuvre un traitement relevant de la présente directive (par exemple les services internes de sécurité de la RATP et de la SNCF, les fédérations sportives agréées aux fins de sécurisation des manifestations sportives etc.).
Un champ d’application distinct du RGPD
Le RGPD et la directive « Police-Justice » composent tous deux le « paquet européen relatif à la protection des données à caractère personnel ». Ils présentent des champs d’application distincts qui se veulent complémentaires.
Le RGPD a vocation à s’appliquer à l’ensemble des traitements de données à caractère personnel dans les Etats membres, à la fois dans le secteur public et le secteur privé, à l’exception toutefois des traitements mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit de l’Union européenne, telles que les activités de sûreté de l’Etat ou de défense nationale, et ceux mis en œuvre aux fins de la directive « Police-Justice ».
Un champ d’application excluant les traitements mis en œuvre pour assurer la sûreté de l’Etat ou encore la défense nationale
Les traitements mis en œuvre pour assurer la sûreté de l’Etat ou encore la défense nationale ne relèvent pas du champ d’application de l’Union européenne et restent régis par les dispositions de la seule loi « Informatique et Libertés ».
Quelles obligations pour les responsables de traitement agissant dans le cadre de la directive « Police-Justice » ?
Différentes obligations incombent au responsable de traitement, sachant que lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont considérés comme étant responsables conjoints du traitement (article 21).
Certaines obligations prévues par la directive sont identiques à celles prévues par le RGPD :
- mettre en œuvre des mesures techniques et organisationnelles appropriées pour que le traitement soit conforme à la directive (article 19)
- mettre en œuvre une protection des données dès la conception et par défaut : privacy by design and by default (article 20)
- faire appel à des sous-traitants qui présentent des garanties suffisantes et qui ne pourront agir que sur instruction du responsable du traitement (article 22)
- tenir un registre des activités de traitement (article 24)
- mettre en œuvre des mesures de journalisation (article 25)
- coopérer avec l’autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions (article 26)
- réaliser une analyse d’impact relative à la protection des données lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques (article 27)
- consulter préalablement l’autorité de contrôle dans les cas énumérés à l’article 28 de la directive
- mettre en œuvre les mesures appropriées afin de garantir un niveau de sécurité adapté au risque, en particulier pour les données dites sensibles (article 29)
- notifier à l’autorité de contrôle les violations de données à caractère personnel dans les meilleurs délais, et si possible au plus tard dans un délai de 72h après en avoir pris connaissance, en cas de risques pour les droits et libertés d’une personne physique (article 30)
- communiquer à la personne concernée la violation de ses données à caractère personnel lorsqu’il y a un risque élevé pour les droits et libertés de celle-ci (article 31)
- désigner un délégué à la protection des données dans les conditions prévues à l’article 32 de la directive
- respecter les conditions définies pour le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales (articles 35 et suivants)
D’autres obligations sont spécifiques à la directive « Police-Justice » :
- établir, le cas échéant et dans la mesure du possible, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, comme par exemple les personnes reconnues coupables d’une infraction pénale, les personnes victimes d’une infraction pénale, les tiers à une infraction pénale etc. (article 6)
- distinguer entre les données à caractère personnel (données fondées sur des faits/données fondées sur des appréciations personnelles) et vérifier la qualité des données (article 7)
- le traitement doit être licite, c’est-à-dire nécessaire à l’exécution d’une mission effectuée par une autorité compétente, pour les finalités prévues aux fins de la présente directive, et fondé sur le droit de l’Union ou le droit d’un Etat membre (article 8)
- le traitement portant sur des données sensibles ne peut être autorisé qu’en cas de nécessité absolue (article 10)
Quels droits pour les personnes concernées ?
En raison de la spécificité du champ d’application de la directive « Police-Justice », des droits présents dans le RGPD ne se retrouvent pas dans la directive (c’est le cas, par exemple, du droit à la portabilité) ou peuvent être assortis de limitations. Les droits des personnes reconnus dans la directive sont les suivants :
- l’information de la personne concernée, sous réserve de possibles limitations (article 13)
- le droit d’accès (article 14) sous réserve des limitations, entières ou partielles, qui peuvent lui être apportées notamment pour ne pas gêner les enquêtes, éviter de nuire à la prévention et à la détection des infractions pénales etc. (article 15). En pratique, la limitation du droit d’accès pourra avoir pour conséquence de conduire à la mise en œuvre d’un « droit d’accès indirect », c’est-à-dire exercé par l’intermédiaire de l’autorité de contrôle compétente (article 17)
- le droit de rectification ou d’effacement des données à caractère personnel (article 16)
Textes de référence
- La Directive 2016/680 du 27 avril 2016
- La loi du 6 janvier 1978 modifiée (chap. XIII)
- Le décret n° 2005-1309 du 20 octobre 2005 modifié
- Avis du CE sur un projet de loi d’adaptation au droit de l’UE de la loi Informatique et Libertés, n° 393836
- Avis du G29 sur la directive (ENG) du 29 novembre 2017 « Opinion on some key issues of the Law Enforcement Directive », wp 258
- Décision du Conseil constitutionnel n° 2018-765 DC du 12 juin 2018