Protection des données à caractère personnel

Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL modifiant la décision 2009/917/JAI du Conseil en ce qui concerne sa mise en conformité avec les règles de l'Union relatives à la protection des données à caractère personnel

COM(2023) 244 final  du 11/05/2023

Contrôle de subsidiarité (article 88-6 de la Constitution)


Ø Proposition de règlement concernant la protection des données à caractère personnel (COM (2023) 244)

La directive en matière de protection des données dans le domaine répressif1(*), entrée en vigueur le 6 mai 2016 et se substituant à la décision-cadre 2008/977/JAI, constitue un instrument de protection des données personnelles qui s'applique, notamment, aux traitements nationaux et transfrontières de données à caractère personnel effectués par les autorités compétentes à des fins de prévention, de détection, d'enquêtes et de poursuites des infractions pénales.

L'article 62, paragraphe 6, de cette directive imposait à la Commission de réexaminer les autres actes juridiques de l'Union réglementant le traitement des données personnelles à des fins répressives. La liste de ces textes, communiquée en juin 2020, contenait notamment dix actes nécessitant une mise en conformité. Parmi eux, la décision 2009/917/JAI du Conseil sur l'emploi de l'informatique dans le domaine des douanes2(*), laquelle institue le système d'information des douanes (SID) visant à prévenir, rechercher et poursuivre les infractions graves aux lois nationales.

La proposition de règlement qui nous est soumise a donc pour objectif de mettre en conformité la décision 2009/917/JAI avec les dispositions de la directive en matière de protection des données dans le domaine répressif. Elle est composée de deux articles, le premier recensant les dispositions de la décision 2009/917/JAI devant être modifiées, le second précisant l'entrée en vigueur de la proposition de règlement. Les modifications prévues à l'article premier contiennent notamment :

- des modifications rédactionnelles (telles que le remplacement de la notion d'« infractions graves aux lois nationales » par « infractions pénales prévues par les lois nationales » ou le remplacement de toute mention de la décision-cadre 2008/977/JAI par la mention de la directive (UE)2016/680) ;

- des précisions sur les conditions de collecte et d'enregistrement des données personnelles. Ces dernières ne pourront être intégrées dans le SID que s'il existe des motifs raisonnables de penser que la personne concernée est susceptible de commettre, ou a commis, une infraction pénale. En outre, leur conservation ne pourra excéder la durée nécessaire pour atteindre l'objectif de prévenir, rechercher et poursuivre les infractions, dans une limite de cinq ans, portée à sept ans en cas de stricte nécessité évaluée au cas par cas ;

des dispositions sur l'accès des organisations internationales ou régionales au SID, qui ne peut être accordé que par décision à l'unanimité du Conseil, après consultation du comité européen de la protection des données, sous réserve que l'accès (1) est conforme aux principes généraux en matière de transfert des données personnelles et (2) est fondé sur une décision d'adéquation ou soumis à des garanties appropriées ;

des précisions sur le traitement ultérieur des données personnelles intégrées dans le SID par les États membres, Europol ou Eurojust, qui ne peuvent utiliser ces données que dans l'hypothèse où cette utilisation permettrait de prévenir, rechercher et poursuivre les infractions. L'utilisation de données non personnelles issues du SID est possible pour les mêmes fins, étendues à d'autres objectifs, tels qu'administratifs, dans le respect des conditions imposées par l'État ayant intégré ces informations dans le système. En outre, les données issues du SID peuvent, avec l'accord de l'État membre à l'origine de leur inscription, être transmises à des autorités nationales autres que celles prévues par la décision de 2009, ainsi qu'à des autorités compétentes de pays tiers ;

- la suppression de quatre articles faisant double emploi avec la directive en matière de protection des données dans le domaine répressif.

Il s'agit d'un acte de coordination basé sur l'article 16, paragraphe 2 du traité sur le fonctionnement de l'Union européenne (TFUE), limité à des modifications permettant la mise en conformité de la décision 2009/917/JAI avec la directive en matière de protection des données dans le domaine répressif. Il ne semble pas porter atteinte au principe de subsidiarité.

Compte tenu de ces observations, le groupe de travail sur la subsidiarité a décidé de ne pas intervenir plus avant sur ce texte au titre de l'article 88-6 de la Constitution.

* 1 Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016L0680

* 2 https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:323:0020:0030:FR:PDF


Examen dans le cadre de l'article 88-4 de la Constitution

Texte déposé au Sénat le 17/05/2023


Justice et affaires intérieures

Proposition de règlement du Parlement européen et du Conseil modifiant la décision 2009/917/JAI du Conseil en ce qui concerne sa mise en conformité avec les règles de l'Union relatives à la protection des données à caractère personnel

COM(2023) 244 final - E17775

(Procédure écrite du 13 juillet 2023)

Compte tenu de sa nature purement technique, la commission a décidé de ne pas intervenir sur ce texte.