Droit de l'Homme et citoyenneté

Protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union : des règles actualisées et renforcées

Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE.

Dans le contexte de la protection des droits fondamentaux des personnes à l’ère numérique - la Charte des droits fondamentaux de l’Union européenne proclamant en son article 8 le droit fondamental à la protection des données à caractère personnel – le législateur européen a adopté un socle législatif entièrement renouvelé, entré en application le 25 mai 2018. Ainsi, pour répondre aux nécessités du marché intérieur dans son volet numérique, le nouveau règlement 2016/679 est venu remplacer et actualiser la directive 95/46/CE, afin d’assurer à la fois la protection et la libre circulation des données personnelles dans ce cadre. Ce texte étant inapplicable par définition au champ de l’Espace de Liberté, de Sécurité et de Justice (ELSJ), c’est une directive spécifique qui a été adoptée en même temps, la directive 2016/680, succédant pour sa part à la décision-cadre 2008/977/JAI, afin d’assurer la protection des données personnelles dans un domaine plus intrusif par nature dans les droits fondamentaux des individus. Il manquait dès lors de toiletter l’ancien règlement 45/2001, relatif à la protection des données par les institutions, organes et organismes de l’Union, afin de parachever cette vaste construction législative. C’est chose faite avec l’adoption le 23 octobre 2018 du nouveau règlement 2018/1725. La nécessité d’une approche cohérente en matière de protection des données, quelle que soit l’identité du responsable du traitement de celles-ci, justifie un alignement du contenu de ce nouveau texte sur les règles et principes contenus dans le nouveau règlement (Règlement Général sur la Protection des Données : RGPD) et la nouvelle directive. C’est effectivement le cas, aussi bien quant à la structure du texte (I) que quant à son contenu (II).

I. Une architecture complexe

Cette architecture semble directement copiée de celle de la législation générale relative à la protection des données au sein de l’UE (RGPD et directive 2016/680).

A. La coexistence de règles distinctes selon le champ considéré

L’ancien règlement 45/2001 ne contenait qu’une série de dispositions unifiées concernant le traitement de données à caractère personnel par toutes les institutions et tous les organes communautaires, dans la mesure où ce traitement était mis en œuvre pour l'exercice d'activités relevant en tout ou en partie du champ d'application du droit communautaire.

En revanche, le nouveau règlement 2018/1725 concerne, de manière générale, la protection des données par les institutions et organes de l’Union, mais recèle des dispositions spécifiques (Chapitre IX) relatives au traitement de « données opérationnelles » par les institutions et organes de l’Union exerçant des activités relevant du champ d’application de la troisième partie, titre V, chapitre 4 ou 5, du traité sur le fonctionnement de l’Union européenne, c’est-à-dire de la coopération judiciaire en matière pénale et policière dans le cadre de l’ELSJ. On retrouve donc, au sein même du règlement, la dichotomie existant entre les textes généraux relatifs à la protection des données au sein de l’UE (le RGPD et la directive 2016/680). On verra que la distinction est non seulement formelle mais également substantielle.

B. Une dispersion de la règlementation (en voie d’harmonisation ?)

Outre la summa divisio évoquée ci-dessus, le chapitre IX du règlement précité précise en outre en son article 70 que ses dispositions s’appliquent au traitement des données opérationnelles à caractère personnel par les organes et organismes de l’Union dans l’exercice d’activités qui relèvent du champ d’application de l’ELSJ, sans préjudice toutefois des règles spécifiques en matière de protection des données applicables à ces organes ou organismes de l’Union.

C’est dire que ce chapitre IX du règlement n’a pas pu être la lex generalis en la matière, à l’image de la directive 2016/680, obérée par le même défaut. Quelle lisibilité dès lors pour la protection des données dans ce domaine, sensible, de la protection des « données opérationnelles » par les diverses agences de l’Union en la matière (par exemple EU-Lisa) ?

L’article 2 du règlement dispose en outre que le règlement ne s’appliquera au traitement des données opérationnelles à caractère personnel par Europol et le Parquet européen (c’est nous qui soulignons) qu’une fois que le règlement (UE) 2016/794 du Parlement européen et du Conseil et le règlement (UE) 2017/1939 du Conseil les concernant auront été adaptés, conformément à l’article 98 du règlement. Cet article 98 correspond à une clause de réexamen, permettant de contrôler la compatibilité de dispositions existantes et à venir avec les règles de la directive 2016/680 et celles du chapitre IX du règlement 2018/1725. A noter que le règlement ne s’applique pas non plus dans le domaine de la PESC. La fragmentation et la dispersion de la règlementation relative à la protection des données sont donc à leur comble…

Quant au contenu des règles et principes contenus dans le nouveau règlement, il est à l’image de sa structure : différencié et ambivalent.

II. Une protection des données différenciée

La protection des données par le nouveau règlement étudié reprend toutes les nouveautés et avancée issues du RGPD, mais révèle les mêmes limites que la directive 2016/680 pour le champ correspondant.

A. Des droits et obligations renforcés à l’image du RGPD

Les droits des personnes sont tout d’abord renforcés grâce à l’apparition de nouveaux principes, comme par exemple la transparence, ajoutée aux principes cardinaux de loyauté et licéité du traitement, le consentement, le « droit à l’oubli », la portabilité des données, la protection des mineurs. Les responsables du traitement des données sont soumis par ailleurs à des obligations étendues, « responsabilisation » (accountability) accrue se traduisant par exemple par la mise en œuvre des principes de « privacy by design » et « by default », c’est-à-dire, pour le premier, que la protection des données doit être prise en compte tout au long du cycle de vie des technologies, depuis leur conception, jusqu’à leur déploiement et leur élimination définitive, et pour le second, cela signifie par exemple un paramétrage par défaut favorable au respect de la vie privée.

Les autorités de protection des données, à savoir le Délégué à la protection des données nécessairement désigné par tout organe ou institution, mais qui peut être commun à plusieurs d’entre eux, et le Contrôleur Européen de la Protection des Données, voient leur statut, leurs missions et leurs prérogatives renforcés. En matière de sanctions, le CEPD dispose d’un pouvoir d’imposer des amendes administratives, dont le montant est toutefois, et naturellement, bien en-deçà de celui qui peut être infligé aux opérateurs économiques dans le cadre du RGPD, dans la mesure où les institutions n’exercent pas d’activités à but lucratif.

Au total, le règlement aligne donc les règles applicables aux institutions de l’UE sur le RGPD en tenant compte des spécificités du secteur public européen[1].

B. Des limites identiques à celles de la directive 2016/680 dans le cadre de l’ELSJ

Dans le champ de l’ELSJ, le chapitre IX du nouveau règlement est calqué sur la logique qui a prévalu pour la directive 2016/680, à savoir une duplication des grands principes du RGPD assortie d’un certain nombre de limites, propres à tenir compte de la « spécificité » du domaine considéré, conformément à la Déclaration 21 annexée au Traité de Lisbonne.

À noter au rang des avancées, la prise en compte des catégories de personnes concernées (article 73), à l’image de la directive, qui appelle pour sa part explicitement à distinguer entre personnes reconnues coupables d’une infraction pénale, celles qui en sont victimes, ou encore des tiers, appelés à témoigner par exemple. Toutefois, une telle distinction ne sera opérée que « dans la mesure du possible », ce qui atténue la portée de cette disposition... Si, à l’instar des dispositions générales du règlement, le traitement des données à caractère sensible[2] n’est pas interdit, il est cependant subordonné à une nécessité absolue et doit être entouré des garanties appropriées pour les droits et libertés fondamentaux de la personne concernée.

En revanche, outre le morcellement des dispositions législatives évoquées ci-dessus, le règlement en sa partie IX souffre des mêmes limites que la directive 2016/680. Par exemple, certains principes issus du RGPD ne sont pas tous repris, par exemple celui de transparence, ce qui peut s’expliquer eu égard aux matières concernées (coopération policière et judiciaire en matière pénale). De même, le droit d’accès aux données des personnes concernées est largement limité, afin de tenir compte des nécessités des enquêtes, ou des exigences de sécurité publique ou de sécurité nationale. A noter que ce type de limitations, lié aux objectifs de sécurité nationale ou publique, ou « autres objectifs importants d’intérêt public de l’Union ou d’un Etat membre » figure aussi dans les dispositions générales du règlement (article 25).

Au total, c’est donc l’ensemble des législations essentielles de l’Union en matière de protection des données à caractère personnel qui a été révisé, le nouveau règlement 2018/1725 ayant bénéficié de l’attraction du RGPD dont il reprend les avancées, tout en recélant quelques limites, propres au domaine de la coopération policière et judiciaire en matière pénale, pour lequel les nécessités de l’ordre public ont été mises en balance avec celles de la protection des droits fondamentaux.

Notes de bas de page

  • Voir par exemple notre commentaire : « Le nouveau règlement général européen relatif à la protection des données à caractère personnel : un texte à la hauteur de ses ambitions », Revue des Affaires Européennes 2016/1, p. 103.
  • Voir par exemple notre commentaire, « La directive 2016/680 du 27 avril 2016 (protection des données dans les domaines de la coopération policière et judiciaire en matière pénale) », in L’échange des données dans l’Espace de Liberté, de Sécurité et de Justice de l’Union européenne, Colloque université Grenoble – Alpes, 17 et 18 novembre 2016, Ed. Mare & Martin, 2017, pp. 403-420.
  • Voir pour les détails l’avis du CEPD 5/2017, « Renforcement des règles de protection des données pour les Institutions et organes de l’UE », 15 mars 2017.
  • Ce sont celles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, les données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique, mais aussi (c’est nouveau) les données génétiques et biométriques .