Outre le Règlement général sur la protection des données (RGPD), au sein du « paquet protection des données » figure la directive relative au traitement de données à caractère personnel à des fins répressives, adoptée également par le Parlement européen le 14 avril 2016.

Jusqu’à présent, aucun cadre commun aux services répressifs des États membres de l’Union européenne (UE) n’existait. Face à l’hétérogénéité des législations nationales, le législateur européen, conscient de la nature spécifique des activités policières et judiciaires, a entendu, à travers l’adoption de cette directive, garantir le droit des personnes physiques à la protection des données à caractère personnel tout en assurant un niveau élevé de sécurité publique.

  • Champ d’application de la directive

La directive a vocation à s’appliquer aux opérations de traitement de données effectuées à la fois au niveau transfrontalier et au niveau national par les autorités compétentes des États membres à des fins répressives. Concrètement, cela concerne les opérations de prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière, ainsi que les menaces pour la sécurité publique et la prévention de telles menaces.

  • Droits de la personne concernée

Faisant de la protection des données et de la vie privée l’un des leitmotivs de cette directive, le législateur européen exige, comme en matière de droit commun des données personnelles, que les données à caractère personnel soient traitées licitement, qu’elles soient collectées pour des finalités déterminées, explicites et légitimes et qu’elles ne soient pas excessives au regard des finalités pour lesquelles elles sont traitées.

Par ailleurs, en accord avec le RGPD, la directive comprend également l’obligation pour les États membres de fournir des informations compréhensibles et de garantir à la personne concernée un droit d’accès, de rectification, d’effacement et de limitation du traitement.

  • Obligation du responsable du traitement

Afin d’aider les autorités compétentes à assurer le respect des dispositions de la règlementation relative à la protection des données, le responsable du traitement devra désigner un délégué à la protection des données.

Par ailleurs, le délégué à la protection des données aura l’obligation de procéder à une analyse d’impact lorsque un type de traitement est susceptible de présenter un risque élevé au regard des droits et libertés individuelles des personnes concernées.

Ainsi, la directive du 14 avril 2016 entrera en vigueur en septembre 2016 mais ne sera applicable qu’à compter de 2018. Elle devra enfin faire l’objet d’une loi de transposition pour être applicable en France.