Bruxelles, le 19 janvier – Lors de sa dernière session plénière, le comité européen de la protection des données a adopté un rapport visant à soutenir l’évaluation, par la Commission européenne, de la directive en matière de protection des données dans le domaine répressif.
La Commission doit présenter son rapport public* sur l’évaluation et le réexamen de la présente directive au Parlement européen et au Conseil au plus tard le 6 mai 2026. En amont, la Commission a recueilli les points de vue des autorités européennes de protection des données (APD) sur l’application et le fonctionnement de la directive en matière de protection des données dans le domaine répressif au cours de la période allant de janvier 2022 au 31 août 2025**.
«Nous nous félicitons des évaluations régulières de la Commission européenne sur l’application de la directive en matière de protection des données dans le domaine répressif et nous nous engageons à fournir notre expertise pour ces évaluations afin de veiller à ce que la directive en matière de protection des données dans le domaine répressif continue de respecter des normes élevées en matière de protection des données.»
Anu Talus, président du comité européen de la protection des données
L’EDPB facilite la coopération et la coordination entre les APD lorsqu’elles supervisent le traitement des données par les services répressifs. Le secrétariat de l’EDPB assure également le secrétariat du comité de surveillance coordonné (CSC), qui assure la surveillance coordonnée des systèmes d’information à grande échelle et des organes et agences de l’UE dans les domaines de l’application de la loi et de la justice pénale.
Dans son rapport, l’EDPB souligne le rôle clé de la directive en matière de protection des données dans le contexte répressif. Les APD ont de plus en plus conseillé les autorités nationales compétentes sur l’atténuation des violations de données, tandis que de nombreuses APD ont également mené des activités de sensibilisation et publié des orientations.
L’EDPB prend note de la demande des APD d’obtenir plus de clarté sur le champ d’application de la directive en matière de protection des données dans le domaine répressif, notamment sur ses limites avec le RGPD, et de relever de manière plus approfondie les défis posés par l’utilisation croissante des nouvelles technologies, telles que l’IA, dans le contexte répressif. L’EDPB souligne la nécessité pour les autorités répressives d’utiliser ces outils dans le strict respect de la directive en matière de protection des données dans le domaine répressif, en veillant à ce que leur utilisation soit nécessaire, proportionnée et assortie de garanties adéquates.
Selon l’EDPB, dans le contexte de la jurisprudence qui s’est développée depuis la dernière évaluation de la directive, il est essentiel de renforcer encore la mise en œuvre nationale de la directive en matière de protection des données dans l’ensemble de l’Union européenne. En outre, le rôle des délégués à la protection des données (DPD) devrait être renforcé afin de garantir l’application efficace et cohérente des règles en matière de protection des données dans les activités répressives.
Le rapport souligne également la nécessité d’améliorer la coopération, tant entre les autorités compétentes chargées de la directive en matière de protection des données dans le domaine répressif qu’entre les autorités répressives de manière plus générale.
Enfin, l’EDPB souligne que tant les APD que l’EDPB ont besoin de ressources financières et humaines supplémentaires pour mener à bien les nouvelles tâches découlant d’actes juridiques récents, y compris les responsabilités liées au CSC, dont les activités comprennent désormais également la surveillance de systèmes tels que le système d’information sur les visas (VIS), Prüm II et le système d’entrée/sortie (EES).
Ensuite, l’EDPB a adopté des recommandations sur la demande d’approbation et sur les éléments et principes figurant dans les règles d’entreprise contraignantes pour les sous-traitants (BCR-P).
Ces recommandations constituent une mise à jour du référentiel BCR-P existant, qui contient les critères d'approbation du BCR-P, et le fusionnent avec le formulaire de demande standard pour le BCR-P.
Les BCR-P sont un outil de transfert qui peut être utilisé par un groupe d'entreprises ou d'entreprises pour transférer des données à caractère personnel en dehors de l'Espace économique européen à des sous-traitants au sein du même groupe. Les BCR créent des droits opposables et énoncent des engagements visant à établir un niveau de protection des données essentiellement équivalent à celui prévu par le RGPD.
Les nouvelles recommandations s’appuient sur les accords conclus et l’expérience acquise par les APD au cours des procédures d’approbation des demandes concrètes de BCR-P depuis l’entrée en application du RGPD, ainsi que sur les travaux menés dans le cadre des recommandations actualisées sur les règles d’entreprise contraignantes pour les responsables du traitement (BCR-C).
Les recommandations fournissent des critères et des explications clairs pour garantir que le BCR-P élaboré par des groupes d’entreprises ou d’entreprises est conforme au RGPD. Les recommandations précisent quand le BCR-P peut être utilisé, à savoir uniquement pour les transferts intragroupe entre sous-traitants, lorsque le responsable du traitement ne fait pas partie du groupe.
En outre, les recommandations précisent que les BCR-P sont conçues pour répondre aux exigences de l’article 28, paragraphe 4, du RGPD. Cela signifie que tout sous-traitant du Groupe utilisant BCR-P n'a pas besoin de signer un accord de sous-traitement distinct avec chaque sous-traitant du Groupe.
Les recommandations seront ouvertes à la consultation publique jusqu’au 2 mars 2026.
Les membres du comité européen de la protection des données ont également procédé à un échange de vues sur le prochain avis conjoint sur l’omnibus numérique, dont l’adoption est prévue lors de la réunion plénière de février.
Note aux rédacteurs
*La base juridique de l’action de la Commission est l’article 62 de la directive (UE) 2016/680 (directive en matière de protection des données dans le domaine répressif), qui impose à la Commission d’évaluer l’application de la directive et d’en rendre compte.
**Voir également le rapport de la Commission européenne sur l’application de la directive en matière de protection des données dans le domaine répressif, COM(2022) 364 final, auquel l’EDPB a contribué.
Le communiqué de presse publié ici a été automatiquement traduit de l’anglais. L’EDPB ne garantit pas l’exactitude de la traduction. Veuillez vous référer au texte officiel dans sa version anglaise en cas de doute.