Nathalie Métallinos, Avocat Bird & Bird AARPI,

1. E-Justice, Droit et Justice en réseaux dans l’ Union Européenne vendredi 23 novembre 2012 Traitement des données à caractère personnel et circulation de ces données au sein d’E-Justice : quelle(s) réglementation(s), quel(s) outils au sein de l’Union ? Projet de directive police-justice Nathalie Métallinos, Avocat Bird & Bird AARPI, Responsable de l’atelier ADIJ « Protection des données personnelles » nathalie.metallinos@twobirds.com

2. Cadre juridique actuel de la protection des données personnelles • Une directive communautaire (95/46/CE) qui exclut les traitements en matière de police et justice pénale • Un cadre spécifique pour la coopération policière en matière pénale • Décision-cadre 2008/977/JAI relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale • Insuffisances de la décision-cadre 2008/977/JAI : • Application limitée aux échanges de données entre Etats Membres - Ne s’applique pas aux traitements de données au niveau national • Large pouvoir de discrétionnaire des Etats Membres dans la mise en œuvre • Absence de mécanisme similaire au Groupe de l’Article 29

3. Le projet de directive • Base juridique nouvelle : art. 16 du TFUE (protection données personnelles = droit fondamental de l’UE) • Des apports pour le droit des personnes : • Des droits précisés - inspirés de la directive 95/46/CE et du projet de règlement : principes de traitement des données (Art 4), obligations d’information (Art 11), droits d’accès (Art 12) de rectification (Art 15) et d’effacement (Art 16), droit de déposer une réclamation devant une autorité de contrôle (Art 50) … • Des obligations renforcées - distinction entre différentes catégories de personnes concernées (Art 5) - éviter Marper c/Royaume-Uni (CEDH 2008) ou ou Affaire Nada c/Suisse (2012)? , obligation de désigner un délégué à la protection des données personnelles ( Art 30 ), notification des violations de données (Art 28)… Page 3

4. Mais des notions sujettes à interprétation • « Autorité compétente » ? (Art 2-1, Art 3-14) • « Traitements nécessaire à l’exécution d’une mission » ? (Art 7) • « Ne pas être traitées ultérieurement de manière incompatible » ? (Art 4-b) De nombreuses exceptions et dérogations Limitation totale ou partielle des droits d’information (Art 11-4) et d’accès (Art 13) Des domaines peu encadrés • Données sensibles ( Art 8) • Durée de conservation des données (Art 4-e)

5. Des matières qui échappent aux dispositions du projet de directive • Sécurité nationale ( Art 2-3-a) = activité n’entrant pas dans le champ d’application du droit de l’Union Européenne– utilisation des données en matière de lutte contre le terrorisme ? • Eurojust, Europol, Schengen (Art 59)= les traitements de données pour la détection des infractions pénales, d’enquêtes et de poursuites , ou d’exécution des sanctions pénales, figurant dans les actes de l’Union Européenne adoptés antérieurement, sont exclus du champ d’application.

6. Des dérogations relatives aux règles de droit commun (art.38) applicables aux transferts de données vers des pays tiers à l’Union Européenne • Transfert essentiel pour prévenir une menace grave et immédiate pour la sécurité publique d’un Etat membre ou d’un pays tiers • Transfert nécessaire dans des « cas particuliers » (lesquels?) à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou de sanctions pénales • Patriot Act ?

7. Réactions au niveau européen • Critiques du groupe de l’Article 29 • Critiques du Contrôleur Européen de la Protection des Données Page 7

8. MERCI! • Avez-vous des questions? • Nathalie Métallinos • Nathalie.metallinos@twobirds.com Page 8