La loi聽Informatique et Libert茅s聽et son d茅cret d鈥檃pplication ont 茅t茅 modifi茅s afin de mettre en conformit茅 le droit national avec le 芦聽paquet europ茅en de protection des donn茅es 脿 caract猫re personnel聽禄, compos茅 du r猫glement n掳 2016/679 du 27 avril 2016 relatif 脿 la protection des personnes physiques 脿 l鈥櫭ゞard du traitement des donn茅es 脿 caract猫re personnel et 脿 la libre circulation de ces donn茅es (RGPD) et de la directive n掳 2016/680 du 27 avril 2016, dite directive 芦聽Police-Justice聽禄. La directive 芦聽Police-Justice聽禄 a ainsi 茅t茅 transpos茅e en France au sein du chapitre XIII de la loi聽Informatique et Libert茅s.
Print the articleCourrielDecrease the size of the fontIncrease the size of the font Quel champ d鈥檃pplication de la directive 芦 Police-Justice 禄 ?聽La 聽directive 芦聽Police-Justice聽禄 茅tablit des r猫gles relatives 脿 la protection des personnes physiques 脿 l鈥櫭ゞard du traitement des donn茅es 脿 caract猫re personnel par les autorit茅s comp茅tentes 脿 des fins de pr茅vention et de d茅tection des infractions p茅nales, d鈥檈nqu锚tes et de poursuites en la mati猫re ou d鈥檈x茅cution de sanctions p茅nales, y compris la protection contre les menaces pour la s茅curit茅 publique et la pr茅vention de telles menaces.
Pour entrer dans le champ d鈥檃pplication de la directive 芦 Police-Justice聽禄, un traitement de donn茅es doit donc r茅pondre 脿 deux conditions cumulatives.
D鈥檜ne part, il doit poursuivre l鈥檜ne des finalit茅s mentionn茅es 脿 l鈥檃rticle 1er. La directive 芦聽Police-Justice聽禄 a ainsi largement vocation 脿 s鈥檃ppliquer en 芦聽mati猫re p茅nale聽禄 et, en particulier, aux activit茅s men茅es par la police par exemple dans le cadre de la pr茅vention et de la constatation de certaines infractions 脿 l鈥檕ccasion des d茅placements des passagers (traitement 芦聽API-PNR France聽禄) ou encore aux traitements permettant la gestion des mesures d鈥檃pplication des peines prononc茅es par l鈥檃utorit茅 judiciaire.
Les dispositions de cette directive peuvent 茅galement avoir vocation 脿 encadrer les traitements mis en 艙uvre dans le cadre d鈥檃ctivit茅s qui ne rel猫vent pas sp茅cifiquement de la sph猫re p茅nale mais qui se rapportent 脿 des activit茅s de police effectu茅es en amont de la commission d鈥檜ne infraction p茅nale. Peuvent ainsi relever des finalit茅s encadr茅es par la directive 芦聽Police-Justice聽禄, les activit茅s pr茅ventives de police aux fins de protection contre les menaces pour la s茅curit茅 publique susceptibles de d茅boucher sur une qualification p茅nale (activit茅s de police lors de manifestations, d鈥櫭﹙猫nements sportifs, maintien de l鈥檕rdre public, etc.) et les traitements mis en 艙uvre pour ces finalit茅s.
D鈥檃utre part, le traitement, quelle que soit sa finalit茅, n鈥檈ntre dans le champ de la directive 芦聽police justice聽禄 que s鈥檌l est mis en 艙uvre par une 芦聽autorit茅 comp茅tente聽禄. Ce terme renvoie, selon la directive, 脿聽:
toute autorit茅 publique comp茅tente pour la pr茅vention et la d茅tection des infractions p茅nales, les enqu锚tes et les poursuites en mati猫re p茅nales ou l'ex茅cution de sanctions p茅nales (les autorit茅s judiciaires, la police, toutes autres autorit茅s r茅pressives etc.).tout autre organisme ou entit茅 脿 qui le droit d鈥檜n Etat membre confie l鈥檈xercice de l鈥檃utorit茅 publique et des pr茅rogatives de puissance publique aux fins de mettre en 艙uvre un traitement relevant de la pr茅sente directive (par exemple les services internes de s茅curit茅 de la RATP et de la SNCF, les f茅d茅rations sportives agr茅茅es聽aux fins de s茅curisation des manifestations sportives etc.).Un champ d鈥檃pplication distinct du RGPDLe RGPD et la directive 芦聽Police-Justice聽禄 composent tous deux le 芦聽paquet europ茅en relatif 脿 la protection des donn茅es 脿 caract猫re personnel聽禄. Ils pr茅sentent des champs d鈥檃pplication distincts qui se veulent compl茅mentaires.
Le RGPD a vocation 脿 s鈥檃ppliquer 脿 l鈥檈nsemble des traitements de donn茅es 脿 caract猫re personnel dans les Etats membres, 脿 la fois dans le secteur public et le secteur priv茅, 脿 l鈥檈xception toutefois des traitements mis en 艙uvre pour l鈥檈xercice d鈥檃ctivit茅s qui ne rel猫vent pas du champ d鈥檃pplication du droit de l鈥橴nion europ茅enne, telles que les activit茅s de s没ret茅 de l鈥橢tat ou de d茅fense nationale, et ceux mis en 艙uvre aux fins de la directive 芦聽Police-Justice聽禄.
Un champ d鈥檃pplication excluant les traitements mis en 艙uvre pour assurer la s没ret茅 de l鈥橢tat ou encore la d茅fense nationaleLes traitements mis en 艙uvre pour assurer la s没ret茅 de l鈥橢tat ou encore la d茅fense nationale ne rel猫vent pas du champ d鈥檃pplication de l鈥橴nion europ茅enne et restent r茅gis par les dispositions de la seule loi 芦聽Informatique et Libert茅s聽禄.
Quelles obligations pour les responsables de traitement agissant dans le cadre de la directive 芦聽Police-Justice聽禄聽?Diff茅rentes obligations incombent au responsable de traitement, sachant que lorsque deux responsables du traitement ou plus d茅terminent conjointement les finalit茅s et les moyens du traitement, ils sont consid茅r茅s comme 茅tant responsables conjoints du traitement (article 21).
Certaines obligations pr茅vues par la directive sont identiques 脿 celles pr茅vues par le RGPD聽:
mettre en 艙uvre des mesures techniques et organisationnelles appropri茅es pour que le traitement soit conforme 脿 la directive (article 19)mettre en 艙uvre une protection des donn茅es d猫s la conception et par d茅faut聽: privacy by design and by default (article 20)faire appel 脿 des sous-traitants qui pr茅sentent des garanties suffisantes et qui ne pourront agir que sur instruction du responsable du traitement (article 22)tenir un registre des activit茅s de traitement (article 24)mettre en 艙uvre des mesures de journalisation (article 25)coop茅rer avec l鈥檃utorit茅 de contr么le, 脿 la demande de celle-ci, dans l鈥檈x茅cution de ses missions (article 26)r茅aliser une analyse d鈥檌mpact relative 脿 la protection des donn茅es lorsque le traitement est susceptible d鈥檈ngendrer un risque 茅lev茅 pour les droits et libert茅s des personnes physiques (article 27)consulter pr茅alablement l鈥檃utorit茅 de contr么le聽 dans les cas 茅num茅r茅s 脿 l鈥檃rticle 28 de la directivemettre en 艙uvre les mesures appropri茅es afin de garantir un niveau de s茅curit茅 adapt茅 au risque, en particulier pour les donn茅es dites sensibles (article 29)notifier 脿 l鈥檃utorit茅 de contr么le les violations de donn茅es 脿 caract猫re personnel dans les meilleurs d茅lais, et si possible au plus tard dans un d茅lai de 72h apr猫s en avoir pris connaissance, en cas de risques pour les droits et libert茅s d鈥檜ne personne physique (article 30)communiquer 脿 la personne concern茅e la violation de ses donn茅es 脿 caract猫re personnel lorsqu鈥檌l y a un risque 茅lev茅 pour les droits et libert茅s de celle-ci (article 31)d茅signer un d茅l茅gu茅 脿 la protection des donn茅es dans les conditions pr茅vues 脿 l鈥檃rticle 32 de la directiverespecter les conditions d茅finies pour le transfert de donn茅es 脿 caract猫re personnel vers des pays tiers ou 脿 des organisations internationales (articles 35 et suivants)D鈥檃utres obligations sont sp茅cifiques 脿 la directive 芦聽Police-Justice聽禄聽:
茅tablir, le cas 茅ch茅ant et dans la mesure du possible, une distinction claire entre les donn茅es 脿 caract猫re personnel de diff茅rentes cat茅gories de personnes concern茅es, comme par exemple les personnes reconnues coupables d鈥檜ne infraction p茅nale, les personnes victimes d鈥檜ne infraction p茅nale, les tiers 脿 une infraction p茅nale etc. (article 6)distinguer entre les donn茅es 脿 caract猫re personnel (donn茅es fond茅es sur des faits/donn茅es fond茅es sur des appr茅ciations personnelles) et v茅rifier la qualit茅 des donn茅es (article 7)le traitement doit 锚tre licite, c鈥檈st-脿-dire n茅cessaire 脿 l鈥檈x茅cution d鈥檜ne mission effectu茅e par une autorit茅 comp茅tente, pour les finalit茅s pr茅vues aux fins de la pr茅sente directive, et fond茅 sur le droit de l鈥橴nion ou le droit d鈥檜n Etat membre (article 8)le traitement portant sur des donn茅es sensibles ne peut 锚tre autoris茅 qu鈥檈n cas de n茅cessit茅 absolue (article 10)Quels droits pour les personnes concern茅es聽?En raison de la sp茅cificit茅 du champ d鈥檃pplication de la directive 芦聽Police-Justice聽禄, des droits pr茅sents dans le RGPD ne se retrouvent pas dans la directive (c鈥檈st le cas, par exemple, du droit 脿 la portabilit茅) ou peuvent 锚tre assortis de limitations. Les droits des personnes reconnus dans la directive sont les suivants聽:
l鈥檌nformation de la personne concern茅e, sous r茅serve de possibles limitations (article 13)le droit d鈥檃cc猫s (article 14) sous r茅serve des limitations, enti猫res ou partielles, qui peuvent lui 锚tre apport茅es notamment pour ne pas g锚ner les enqu锚tes, 茅viter de nuire 脿 la pr茅vention et 脿 la d茅tection des infractions p茅nales etc. (article 15). En pratique, la limitation du droit d鈥檃cc猫s pourra avoir pour cons茅quence de conduire 脿 la mise en 艙uvre d鈥檜n 芦聽droit d鈥檃cc猫s indirect聽禄, c鈥檈st-脿-dire exerc茅 par l鈥檌nterm茅diaire de l鈥檃utorit茅 de contr么le comp茅tente (article 17)le droit de rectification ou d鈥檈ffacement des donn茅es 脿 caract猫re personnel (article 16)Texte reference Textes de r茅f茅rence La Directive 2016/680 du 27 avril 2016La loi du 6 janvier 1978 modifi茅e (chap. XIII)Le d茅cret n掳 2005-1309 du 20 octobre 2005 modifi茅Avis du CE sur un projet de loi d鈥檃daptation au droit de l鈥橴E de la loi Informatique et Libert茅s, n掳 393836Avis du G29 sur la directive (ENG) du 29 novembre 2017 芦 Opinion on some key issues of the Law Enforcement Directive 禄, wp 258D茅cision du Conseil constitutionnel n掳 2018-765 DC du 12 juin 2018 Pr茅c茅dent : La directive Police-JusticeSommaireSuivant : La directive ePrivacy >