L'invité

Le paquet réglementaire européen sur la vie privée crée un volet judiciaire inédit

La réforme de la protection des données personnelles qui vise à remplacer la directive de 1995 et celles qui l’ont modernisée tant bien que mal a maintenu une directive surprenante et courageuse en ces temps sécuritaires

La réforme de la protection des données personnelles qui vise à remplacer la directive de 1995 et celles qui l’ont modernisée tant bien que mal a maintenu une directive surprenante et courageuse en ces temps sécuritaires: délimiter l’exploitation des données personnelles dans le cadre judiciaire: prévention, détection des activités criminelles, les poursuites ainsi que l’exécution des peines.

Voir aussi: Serrage de vis européen sur la protection des données privées

C’est le traité de Lisbonne qui permet à la Commission de traiter cette question, plutôt du ressort de la souveraineté nationale. La Commission précise que pour les questions de sécurité nationale vraiment en dehors de la compétence de l’Europe, la directive ne s’applique pas. Les opérations policières telles que les enquêtes sous couverture, les surveillances et autres planques ne sont pas non plus concernées. Rien n’interdira non plus à l’Etat membre de mettre en place des mesures plus protectrices du citoyen.

Neutre technologiquement

La directive doit être neutre technologiquement, sans quoi une nouvelle technologie pourrait servir de prétexte à fouiller plus que de raison, car non décrite au départ. Les autorités publiques qui ont un rôle proche des autorités judiciaires, telles les impôts, qui sont aussi amenées à traiter des données privées, ne sont pas concernées par la directive. La directive prend en compte les transferts de données privées vers des organisations internationales comme Interpol: elle s’appliquera. Les données personnelles utilisées par les autorités judiciaires, doivent être utilisées uniquement pour le but au départ, rien d’autre. Il faut un délai maximum de conservation à moins de garde-fous dûment documentés en cas d’exception. Les données doivent être protégées et sécurisées, précision toujours utile quand on sait les carences technologiques des administrations. En cas de brèches, hacking ou vol, les autorités avertiront les… suspects sauf en cas de risque pour l’enquête. Les autorités qui traitent les données personnelles auront un expert interne en protection des données spécialement formé.

Echanges de données

Les données peuvent concerner les victimes et les tiers (on pense aux témoins) et les échanges sont fréquents entre autorités judiciaires et police(s). Si les données sont incomplètes, incorrectes, plus à jour, il faudra l’éviter pour éviter des «faux positifs». Si le bénéficiaire des transferts n’est pas une autorité judiciaire, qu’à cela ne tienne, les recevoir le fera tomber sous l’application de la directive.

Attention aussi aux décisions (judiciaires) prises automatiquement après un traitement des données personnelles des individus, s’inquiète la directive: le citoyen doit pouvoir s’expliquer et avoir accès aux données et au traitement qui a eu lieu via un site internet à ouvrir par les autorités. Si on le lui refuse, il faudra lui fournir une explication basée sur les faits ou la loi. Le droit à la rectification de ses données peut s’exercer mais pas de manière à altérer l’intégrité et la rigueur d’un dossier; pas question de modifier un témoignage. Si doute ou controverse il y a, les données incriminées doivent être conservées mais rendues non disponibles.

Transferts internationaux de ces données

La Commission décidera si un pays tiers ou une institution vers lequel le pays a l’habitude d’échanger des données est sûr. La Commission pourra surveiller la qualité de ce pays ou de l’institution internationale en ces matières (Interpol appréciera!). La lutte contre le terrorisme ne se limite pas aux pays sûrs: des dérogations s’appliqueront et s’il s’agit d’avertir un pays d’une menace imminente ou de sauver des vies, on peut passer outre, sur base individuelle. Si des échanges internationaux ou autres traités prévoient des échanges de données qui ne sont pas conformes à la directive, ils resteront valables tant qu’ils ne seront pas amendés, révoqués ou remplacés. Ils ne seront pas caducs du jour au lendemain.

Contrôle démocratique

Une autorité de surveillance, qui n’est pas forcément la commission de la vie privée locale, veillera à l’application de la directive. Le citoyen aura un degré d’appel. Ces autorités devront s’effacer lorsque le traitement de données privées est effectué par les juges, indépendance des pouvoirs oblige.

Les Etats membres auront, apprend-t-on, jusqu’à 7 ans pour se mettre en conformité dans leur manière de faire. Ces mesures pourraient concerner la Suisse au regard de l’acquis Schengen, conclut enfin la directive.

Cette directive est un geste courageux de la Commission qui devrait un peu calmer les surenchères sécuritaires qui ne sont jamais bonnes, prises dans la précipitation.

*Ecole polytechnique de Bruxelles, ULB et membre du Conseil de l’IBPT

Publicité