B. LA DIRECTIVE RELATIVE AUX TRAITEMENTS MIS EN oeUVRE EN MATIÈRE POLICIÈRE ET JUDICIAIRE
Comme le règlement (UE) 2016/679, la directive (UE) 2016/680 tend à harmoniser les règles nationales afin d'assurer dans tous les États membres un niveau élevé de protection des données à caractère personnel. Ce cadre européen permettrait de renforcer l'efficacité de la coopération policière et judiciaire.
La directive est applicable à tout traitement de données à caractère personnel qui dépend d'une autorité « compétente » à des finalités de prévention, de détection des infractions pénales, d'enquêtes, de poursuites ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.
Elle vise à appliquer aux services dits de « police/justice » les mêmes exigences de protection des données personnelles que celles prévues par le règlement, avec les adaptations nécessaires aux spécificités du secteur (traitement licite et loyal ; finalités déterminées, adéquates et pertinentes ; données exactes et, si nécessaire, mises à jour, conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités ; analyse d'impact du traitement en cas de risque élevé pour les droits et libertés, notification des failles, etc .).
Abrogeant une décision-cadre de 2008, elle doit être transposée avant le 6 mai 2018. Ses principales innovations consistent en :
- un champ d'application matériel étendu. Alors que la décision-cadre de 2008 ne visait que les échanges de données entre États, la directive s'applique désormais également aux traitements de données effectués par les autorités compétentes au sein des États membres ;
- la création d'un droit à l'information de la personne concernée par les données personnelles traitées (identité et coordonnées du responsable du traitement, finalités, existence du droit d'accès et d'un droit de réclamation auprès de l'autorité de contrôle) ;
- l'instauration du principe d'un droit direct d'accès aux données, et d'un droit de rectification et d'effacement, que les États pourront limiter par la loi.
La directive précise également les conditions applicables aux transferts de données à caractère personnel (vers les autres États membres, vers les États tiers et vers des entités privées au sein d'États tiers) en instaurant un mécanisme à plusieurs niveaux en fonction du degré d'« adéquation » du niveau de protection des données. Elle prévoit enfin que tous les accords internationaux incompatibles avec les règles de protection des données doivent être renégociés ou complétés par des protocoles pour assurer la protection des données à caractère personnel.