T-PD(2015)06                    

Strasbourg, 8 juin 2015

PROJET DE GUIDE PRATIQUE SUR L’USAGE DES DONNÉES À CARACTÈRE PERSONNEL PAR LA POLICE

Rapport établi par Edward Beaman, maître de conférences, Faculté des sciences médico-légales et d’investigation, Université du Lancashire central, Royaume-Uni

Les vues exprimées dans le présent rapport sont de la responsabilité de l'auteur et ne reflètent pas nécessairement la ligne officielle du Conseil de l'Europe.

Direction Générale droits de l’Homme et Etat de droit


La Recommandation (87)15 du Comité des Ministres aux États membres a 28 ans. À la suite du rapport réalisé par le professeur Joseph A. Cannataci et Mme Mireille M. Caruna, « 25 ans de Recommandation R (87)15 », j’ai été chargé de rédiger un projet de rapport sur les problèmes associés aux principes que continue à rencontrer la mise en œuvre de cette recommandation en Europe.

Comme M. Cannataci et Mme Caruna, je considère que le moment est venu de faire de cette recommandation un instrument contraignant, sous une forme ou une autre. La difficulté réside dans le fait de parvenir à un juste équilibre entre, d’une part, les droits des citoyens et, d’autre part, la capacité des services de police à exercer leurs fonctions de prévention et de recherche des infractions, de maintien de l’ordre public et de protection des personnes et des biens.

La majorité des agents qui prennent part aux activités de police ne souhaitent pas vivre dans un État policier ni en être les rouages, mais ils ne veulent pas davantage qu’une législation ou une réglementation excessivement restrictive les empêche de mener à bien leurs missions essentielles. Le Code européen d’éthique de la police précise que « [l]a police ne doit porter atteinte au droit de chacun au respect de sa vie privée qu’en cas de nécessité absolue et uniquement pour réaliser un objectif légitime »[1].

Les différences sont minces entre les convictions des partisans d’un renforcement des droits de l’homme et des libertés fondamentales et le point de vue des agents chargés de maintenir l’ordre dans la société. Tous deux aspirent à une bonne gouvernance et à une société juste ; la difficulté réside bien souvent dans l’interprétation des textes et ses conséquences sur les activités de police.

Le présent rapport vise à permettre aux deux groupes de trouver un juste équilibre dans ce débat et à démontrer que chacun d’eux peut aller de l’avant pour atteindre un but nécessaire dans une société démocratique moderne.

J’ai choisi de ne pas traiter ici des situations qui concernent les activités professionnelles des services de sécurité et de renseignement, car je ne me crois plus qualifié pour le faire, puisque je n’ai pas travaillé dans ce domaine depuis très longtemps. Je pense cependant que les services du Royaume-Uni plaideraient résolument en faveur de leur exclusion en vertu de l’article 4, alinéa 2, du Traité de l’Union européenne.

Le présent rapport se veut une recommandation en faveur d’un guide pratique sur l’usage des données à caractère personnel par la police, fondé sur les principes de la Recommandation (87)15 du Comité des Ministres.

Les recommandations qui suivent concernent les activités policières, qui englobent les activités des services que le grand public associe à la police : les services de police, les services des Douanes, les gardes-frontières et les services d’investigation financière, notamment.

Précisons d’emblée que, selon moi, la majorité des services qui exercent des activités de police se conforment à la loi et sont favorables à une gouvernance transparente et partisans d’accorder aux citoyens autant de liberté que faire se peut dans une société démocratique ouverte.

Les présentes recommandations suivent l’ordre des principes énoncés dans la Recommandation (87)15 du Comité des Ministres.

Principe 1                    Contrôle et notification

1.1          L’existence, au sein d’un État, d’une autorité de contrôle indépendante chargée de la surveillance des activités policières ne saurait poser de problème pratique. Il importe que les responsables de cette autorité ne soient pas de hauts responsables à la retraite ou d’anciens hauts responsables des services de police ou de sécurité et des services de renseignement. Cette situation est cependant fréquente, ce qui peut amener les citoyens à penser que cette autorité de contrôle n’est pas totalement indépendante.

1.2          Il importe que les agents contactent l’autorité de contrôle indépendante lorsqu’ils souhaitent mettre en place de nouveaux moyens techniques de traitement des données, afin de s’assurer que leur utilisation est conforme à la législation.

1.3          Ce principe ne devrait pas poser problème pour les activités de police ; il est d’ailleurs, à bien des égards, déjà la norme et respecté. L’utilisation du système HOLMES[2] et des autres systèmes automatisés rend le recours aux fichiers ad hoc obsolète dans l’ensemble de l’Europe.

Recommandation

L’autorité de contrôle indépendante obligatoire devrait veiller au respect des recommandations du présent document. Il lui appartient d’autoriser les nouveaux moyens techniques de traitement des données avant qu’ils soient mis en œuvre et de surveiller en permanence les fichiers automatisés.

Principe 2                    Collecte des données

2.1        Tout enquêteur doit être autorisé à obtenir des données à caractère personnel qui concernent, soit la prévention d’un danger concret, soit un type particulier d’infraction, mais pas une infraction pénale déterminée, comme le prévoit ce principe. Cela permettrait à un enquêteur d’agir en vue de l’arrestation de l’auteur d’une infraction relative à la drogue en général, et non d’une infraction relative à la drogue précise, prévue par une loi ou l’article d’un Code pénal national. En effet, il n’est pas toujours possible de qualifier précisément, en application du Code pénal, une infraction particulière avant que l’enquête ne soit déjà bien avancée. Les services de police agissent aussi bien en réaction à une infraction commise que par anticipation à l’encontre de délinquants qu’ils soupçonnent de commettre ou d’être sur le point de commettre une infraction. Il arrive que la nature exacte de cette infraction ne soit pas connue pendant un certain temps.

2.2        Dans la majorité des cas, la recommandation 2.2 ne devrait pas poser problème. Elle imposerait néanmoins au Royaume-Uni de modifier sa législation. À l’heure actuelle, les renseignements obtenus grâce à une mise sur écoute ou à l’interception de courriers ne sont pas recevables en guise de preuve et ne peuvent pas davantage être produits devant un tribunal, en vertu des dispositions relatives aux immunités d’intérêt général (Public Interest Immunity)[3] et de l’article 17 de la loi relative à la régulation des pouvoirs d’investigation de 2000. Les éléments de preuve sont communiqués à la défense avant d’être présentés au procès et il est souvent évident que ces éléments proviennent d’une écoute. La plupart des citoyens savent que les interceptions de communications sont pratiquées ; au lieu de donner à cette pratique une forme plus ou moins occulte, qui fait traîner en longueur les procès et laisse les jurés perplexes, il vaudrait mieux en admettre l’existence. Les méthodes et les précisions techniques sur le mode opératoire doivent être protégées pour ne pas nuire à de futures investigations, mais le fait d’informer l’intéressé qu’il a fait l’objet d’une surveillance ne devrait pas poser à l’enquêteur des problèmes insurmontables.

2.3        Le principe 2.3 ne devrait poser aucun problème ; il est déjà respecté dans la plupart des pays. Au Royaume-Uni, il est en grande partie pris en compte par la loi relative à la régulation des pouvoirs d’investigation de 2000 et conforme à l’article 5 de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel.

Il serait utile aux enquêteurs et aux futures enquêtes de ne pas révéler les détails techniques de la surveillance, tout en admettant que des données ont été obtenues par ce biais. La documentation pertinente fait d’ailleurs état de la capacité d’un État à procéder à une surveillance par des moyens techniques[4].

2.4        Bien que le principe 2.4 rencontre, pour l’essentiel, mon assentiment, le fait qu’il mentionne tels mouvements ou organisations qui ne sont pas interdits par la loi peut poser problème. Les services de police ont souvent besoin de mener une enquête approfondie sur une organisation pour vérifier s’il convient de l’interdire ou si elle commet des infractions.

            Au Royaume-Uni, le Front national (National Front) et, plus récemment, la Ligue de défense anglaise (English Defence League), ne sont pas des organisations interdites, mais les services de police doivent pouvoir enquêter sur leur compte, ne fût-ce que pour prévenir de graves troubles à l’ordre public. Il importe que des investigations puissent être menées sur des organisations similaires, afin de vérifier si elles commettent des infractions ou si elles peuvent à l’avenir avoir des conséquences pour l’État. Le libellé actuel de la recommandation qui concerne les mouvements et organisations est trop étroit et pourrait empêcher que de légitimes investigations soient menées sur des organisations susceptibles de prendre part à des activités non démocratiques. Il convient cependant d’être vigilant lorsque de telles investigations ont lieu, afin que les personnes qui enquêtent elles-mêmes sur ces groupes, comme les journalistes d’investigation, ne se retrouvent pas dans les dossiers des services de police.

Recommandations

Il convient d’autoriser les services de police à collecter les données relatives à un type d’infraction pénale, et non à une infraction déterminée. Lorsqu’un tribunal est saisi d’une affaire, l’intéressé devrait être autorisé à consulter son dossier pénal, ainsi que la version rédigée du dossier qui comporte les données recueillies sur son compte par les activités de renseignement.

Toute collecte de données par des moyens techniques devrait être spécifiquement autorisée, conformément à la législation. Il importe que les services de police puissent enquêter sur les mouvements et des organisations, sous réserve qu’ils soient en mesure d’en justifier les motifs devant un tribunal ou l’autorité de contrôle indépendante.

Principe 3                    Enregistrement des données

3.1        Ce principe ne devrait, selon moi, poser aucun problème. Les données peuvent être classées en deux catégories : les informations établies sur la base de faits, qui sont susceptibles d’erreur, et les données qui se fondent sur des faits ou des informations recueillis par ouï-dire auprès d’un certain nombre de sources et qui devront peut-être être appréciées avec beaucoup plus d’attention, car elles peuvent être préjudiciables à l’intéressé.

3.2        Ce principe ne devrait poser aucun problème pour les activités de police. Toutes les données devraient être classées selon un système d’évaluation en trois fois cinq points (« 5x5x5 system ») ou un système équivalent. Dans ce système, les données sont classées en fonction de[5]

L’évaluation de la source :

                        a. la source est systématiquement fiable

                        b. la source est fiable pour l’essentiel

                        c. la source est parfois fiable

                        d. la source est peu fiable

                        e. la fiabilité de la source n’a pas été vérifiée.

           

L’évaluation des données :

1.     la véracité des données est établie sans réserve

2.     la source a personnellement connaissance de ces données, mais pas l’agent

3.     la source n’a pas eu personnellement connaissance de ces données, mais elles sont corroborées par d’autres éléments ou personnes

4.     il est impossible d’apprécier la fiabilité des données

5.     les données sont soupçonnées d’être erronées ou trompeuses

Le caractère sensible du traitement des données :

1.     les données peuvent être communiquées à d’autres services répressifs et services chargés des poursuites (y compris les services répressifs compatibles de l’Espace économique européen (EEE) et de l’Union européenne (UE) (aucune condition particulière))

2.     les données peuvent être communiquées à des services autres que les services chargés des poursuites (autorisation nécessaire)

3.     les données peuvent être communiquées aux services répressifs des États qui ne font pas partie de l’EEE (application de conditions particulières)

4.     les données peuvent uniquement être communiquées au sein du service dont elles proviennent

5.     aucune communication possible sans que le service dont elles proviennent n’en soit informé ou que l’agent qui a autorisé la collecte des données n’impose un traitement particulier de ces données.

Ces niveaux de sensibilité du traitement des données peuvent être source de problèmes entre les États. Imaginons qu’un agent de renseignement opère secrètement et communique des informations à un fonctionnaire de police britannique ; ce dernier les transmet à un enquêteur ou un procureur européen qui souhaite utiliser ces informations comme élément de preuve et demande au Royaume-Uni des précisions sur cet agent de renseignement ; il est probable que la police britannique refusera de lui donner ces précisions, ce qui créera un sujet de conflit. De même, il peut arriver qu’un fonctionnaire de police britannique témoigne devant une juridiction européenne au sujet d’une enquête pénale internationale et indique que les services de police ont agi sur la foi d’informations qui leur avaient été communiquées. Il se peut que ces informations proviennent d’un agent de renseignement ou que la juridiction européenne demande si tel est le cas et, dans l’affirmative, demande l’identité de cet agent. Cette identité sera probablement protégée par le Royaume-Uni au titre des dispositions relatives aux immunités d’intérêt général (Public Interest Immunity)[6]. Pareille attitude risque d’être considérée dans un autre pays européen comme une entrave à la bonne marche de la justice. On considère bien souvent que la communication d’informations aux services d’un État qui ne fait pas partie de l’UE peut être extrêmement dangereuse pour la sécurité de la source de renseignement, y compris lorsque ces informations sont communiquées par l’intermédiaire d’INTERPOL. L’article 9.2 b de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel n’autorise aucune exception à la protection des droits et libertés d’autrui. De nombreux autres pays ne disposent pas d’un système de freins et contrepoids identique à celui que les États de l’UE jugent normal.

Le système d’évaluation en trois fois cinq points sert également à classer les données en fonction de l’intérêt qu’elles présentent pour :

1.     la sécurité nationale

2.     la prévention ou la recherche des infractions et le maintien de l’ordre public

3.     la préservation de la sûreté de la collectivité

4.     l’évaluation ou la collecte d’un impôt ou d’une taxe

5.     la défense d’un intérêt général important.

Les définitions de la préservation de la sûreté de la collectivité et de la défense d’un intérêt général important sont extrêmement larges ; il convient donc de les préciser et de les aborder de manière plus complète.

Les informations factuelles et les données obtenues par l’intermédiaire des activités de renseignement doivent continuer à former deux catégories distinctes. Il serait peut-être opportun de définir le sens donné à ces deux notions au sein de l’UE. Au Royaume-Uni, les éléments factuels (le casier judiciaire) sont conservés sur le Système informatique national de la police (Police National Computer – PNC)[7], tandis que les données obtenues par les activités de renseignement sont conservées sur la Base de données nationale de la police (Police National Database – PND). Les informations de la Base de données nationale doivent être classées selon le système d’évaluation en trois fois cinq points. D’autres systèmes informatisés de données, soumis à des restrictions d’accès beaucoup plus importantes, peuvent être utilisés par les plates-formes de lutte contre le terrorisme et d’autres unités chargées d’enquêter sur la grande criminalité. Le classement de leurs données est également effectué selon le système d’évaluation en trois fois cinq points, mais leur accès est plus restrictif et se limite à un nombre inférieur de personnes.

Les informations de la Base de données nationale doivent être réexaminées plus fréquemment, afin que leur exactitude et leur fiabilité soient vérifiées. Ce type d’informations est plus susceptible d’être inexact ou plus dommageable en cas de divulgation. La communication des données (voir plus loin le Principe 5) contribuera à la mise à jour des fichiers.

De véritables erreurs peuvent être commises dans ce domaine. À titre d’exemple, imaginons un fichier contenant des informations exactes au moment où elles ont été entrées ; ces informations indiquent que la personne X habite à l’adresse Y. Les services de police chargés d’exécuter un mandat d’arrêt à l’adresse Y découvrent que, depuis quelque temps, X a définitivement changé d’adresse (voir plus loin le Principe 5). La police doit obtenir des informations par l’intermédiaire des activités de renseignement pour pouvoir exercer ses missions essentielles de protection des citoyens et de prévention et de recherche des infractions, mais il convient de trouver un juste équilibre entre ces activités de renseignement et le respect des droits de la personne.

3.3        Le principe 3.3 énonce que les données administratives ne devraient PAS être soumises aux dispositions applicables aux données policières. Cette formulation est source de confusion. Il convient de mieux définir en quoi consistent les données administratives, car la formulation actuelle ne précise pas si les éléments factuels conservés dans le Système informatique national de la police ou les informations similaires entrent dans la catégorie des « données administratives ». Le simple fait d’avoir connaissance du casier judiciaire d’une personne peut être extrêmement préjudiciable ; il convient de définir et d’expliquer cette recommandation avec plus de rigueur (voir plus loin le Principe 7).  



Recommandations

Les données conservées devraient, dans la mesure du possible, être exactes, car le fait de conserver des données inexactes ne présente aucun intérêt. L’enregistrement des données devrait se limiter aux catégories d’informations autorisées par le droit interne.

Il convient de procéder à l’évaluation des données recueillies par les activités de renseignement en appliquant un système en trois fois cinq points ou un système similaire. Quant aux bases de données constituées par ces éléments, il importe qu’elles restent distinctes des casiers judiciaires ou des dossiers constitués en matière pénale.

Principe 4                    Utilisation des données par la police

Les données à caractère personnel recueillies et conservées par les services de police à des fins de police devraient être utilisées exclusivement à ces fins. Sous réserve que la définition donnée en page 2 de la Recommandation R 87(15) soit respectée, cela ne devrait pas poser problème.

Les services de police obtiennent souvent des données à caractère personnel auxquelles ils sont seuls à avoir accès et dont d’autres personnes ont pourtant besoin, y compris en dehors de ces services. Par exemple, si une personne A est impliquée dans un accident de la circulation avec une personne B et que la personne A est hospitalisée, il est probable que les données à caractère personnel relatives à la personne B seront recueillies et conservées par la police. La personne A ne pourra pas obtenir ces informations pour sa compagnie d’assurance si la police n’est pas autorisée à les lui communiquer. Le Principe 5.2.Ib ci-dessous peut prendre en compte ce type de situation.

En cas d’incident important, il arrive fréquemment que les services de police recueillent les données à caractère personnel relatives aux personnes concernées par cet incident. Ces données doivent être communiquées à d’autres services qui n’exercent pas d’activités policières et, à l’occasion, à la presse. C’est la raison pour laquelle cette disposition doit être davantage précisée et se conformer au Code européen d’éthique de la police[8].

Recommandations

Les services de police devraient uniquement communiquer les données qu’ils conservent aux services légitimement concernés et pour des motifs légitimes. Parmi ceux-ci pourraient figurer d’autres services, les citoyens et la presse. L’utilisation erronée des données conservées par les services de police au regard du droit interne devra faire l’objet de sanctions suffisamment lourdes pour dissuader toute utilisation impropre[9].

Principe 5                    Communication des données

5.1        Ce principe ne devrait pas poser trop de problèmes, bien qu’il faille peut-être légèrement modifier la législation dans certains domaines. À l’heure actuelle, la police communique des données au sein de ses propres services, même s’il n’existe aucune législation qui autorise expressément cette pratique.

5.2ia     Le respect de ce principe ne devrait pas présenter de difficultés pour les services de police. À l’heure actuelle, les services de police du Royaume-Uni communiquent des informations au Service de communication et de refus de communication des données (Disclosure and Barring Service)[10], afin de lui permettre d’exercer ses fonctions légales. Le Système informatique national de la police peut être consulté par 56 organes non policiers[11].

5.2ib     Cette disposition peut atténuer une partie des préoccupations évoquées plus haut à propos du Principe 4, mais uniquement pour les organes publics, puisque les compagnies d’assurance ou autres entités ne sont pas prises en compte. Il sera peut-être nécessaire de définir le terme « indispensables », pour qu’il ait le même sens dans l’ensemble de l’UE.

5.2iia    Ce principe peut, là encore, atténuer certaines préoccupations évoquées à propos du Principe 4 ci-dessus, mais il concerne lui aussi uniquement les organes publics, et non les entités extérieures au service public.

5.3i       Bien que l’objet de cette disposition soit clair et se comprenne parfaitement, son libellé est trop strict pour le but qu’elle poursuit.

Les services de police sont souvent détenteurs de données à caractère personnel relatives à une personne, qu’elles transmettent à un tiers en cas de besoin. Cette pratique ne serait pas, à l’heure actuelle, prévue par la législation et il serait trop coûteux de légiférer en prévoyant tous les cas de figure. Imaginons une situation très simple : une personne A a perdu un objet, que trouve la personne B, qui le remet à la police. La police contacte la personne A, qui récupère l’objet et demande des renseignements sur la personne B pour pouvoir la remercier ou la récompenser. Le Principe 5.3i empêcherait les services de police de communiquer ces informations, alors qu’il s’agit d’une demande parfaitement innocente à laquelle la plupart des personnes consentiraient dans une société classique.

Il suffirait de demander à la personne B si elle consent à ce que ses coordonnées soient transmises à la personne A ; les services de police rencontrent ce type de situation plusieurs fois par jour, mais le Principe 5.3i, tel qu’il est libellé, ne leur permettrait pas d’utiliser cette solution. On pourrait considérer qu’il s’agit là d’un exemple trop banal et que la réglementation n’est pas faite pour traiter de ce genre de rapport. Si tel est le cas, il convient de le préciser, car la crainte d’enfreindre le droit de l’UE est extrêmement répandue. Cette situation entraîne une certaine paralysie des activités police, qui deviennent excessivement bureaucratiques et consignent tout, pour le cas où ces éléments devaient servir par la suite.

5.3ii      Cette disposition serait utile pour le cas mentionné plus haut à propos du Principe 4, lorsque les services de police disposent d’informations qu’ils pourraient communiquer à une compagnie d’assurances, pour le plus grand profit de leurs clients. Mais l’emploi du terme « exceptionnellement » est préoccupant, car ce genre de situation se rencontre presque tous les jours et peut difficilement être considérée comme exceptionnelle.

Ce principe remédie cependant à de nombreux inconvénients évoqués plus haut à propos du Principe 4. Les services de police pourraient dans ce cadre communiquer à d’autres services, dans une situation d’urgence, les informations recueillies.

5.4        Ce principe ne devrait guère poser de problème, hormis une légère modification de la législation dans certains États. Il convient cependant de préciser que, même si la législation autorise cette communication, un État n’est pas tenu de communiquer des informations à un autre État. Comme nous l’avons indiqué plus haut à propos du Principe 3, page 5, il peut arriver que l’État A ne souhaite pas divulguer la source des données dont il dispose à l’État B, même si leurs services de renseignement respectifs sont prêts à communiquer ces informations[12]. Le Code européen d’éthique de la police précise que « les services de police doivent être prêts à fournir aux citoyens des informations objectives sur leurs activités, sans pour autant dévoiler des informations confidentielles ». Là encore, ce pourrait être l’occasion de définir le sens donné aux informations et aux données obtenues par les activités de renseignement.

Le terme services de police doit s’entendre, dans ce cas, dans le sens le plus large, de manière à englober tous les services qui exercent des activités policières, y compris les services de sécurité et les services de renseignement.

5.5i       Ce principe ne devrait poser aucun problème, mais il convient de préciser aux services destinataires de ces informations à qui d’autre ils peuvent les communiquer. Le service destinataire des informations devrait se conformer aux restrictions précisées par l’organe qui lui a fourni ces informations. Cela permettrait d’empêcher que l’identité d’un agent de renseignement protégé dans son propre État, mais qui opère secrètement dans un État tiers, n’y soit dévoilée en raison de la communication de ces données. Ce principe permettrait également d’éviter que des informations communiquées par un État A à un État B ne soient transmises à un État tiers auquel l’État A n’avait pas l’intention de les communiquer.

5.5ii      Le recours au système d’évaluation en trois fois cinq points mentionné plus haut, page 5, à propos du Principe 3.2, serait ici très utile.

Il est évident que ce principe doit figurer dans la recommandation, mais il aura pour conséquence d’accroître considérablement le temps nécessaire à la transmission des informations d’un service à un autre.

Les données peuvent être vérifiées au moment de leur enregistrement initial grâce au système d’évaluation en trois fois cinq points ou à un système similaire.

Lorsqu’elles sont communiquées à un tiers, il convient d’en vérifier une nouvelle fois la validité, sauf si très peu de temps s’est écoulé depuis leur enregistrement. Cette vérification est évidemment importante et utile aux fins de de protection des droits de l’intéressé, mais elle demande du temps, car :

a.     la source initiale de ces données doit être retrouvée et interrogée

b.    les agents de l’appareil judiciaire pénal sont souvent mutés et il n’est pas toujours facile de retrouver leurs différentes mutations

c.     la source initiale peut avoir pris sa retraite

d.    la source initiale peut être décédée.

Cette situation concerne principalement les agents de renseignement qui ont été à la source des données en question, car il est plus facile de vérifier les données classiques, comme celles que contiennent les casiers judiciaires, en les comparant aux autres données officielles.

Il convient de prévoir dans le cadre de ce principe que les données jugées toujours exactes peuvent être transmises sans que leur exactitude soit vérifiée, dès lors que cette précision est donnée à l’organe destinataire. Cette procédure serait réservée à des situations exceptionnelles. Il convient également de préciser que les informations transmises de l’organe A à l’organe C via l’organe B n’ont pas besoin d’être vérifiées une nouvelle fois par l’organe B, afin d’éviter un excès de bureaucratie. L’organe A vérifiera bien entendu l’exactitude et le caractère actuel, à sa connaissance, de ces données.

5.5iii     Ce principe devrait pouvoir être généralement admis, bien qu’il faille expressément indiquer ici que les données ne devraient pas être transmises à un tiers par leur destinataire sans l’autorisation de leur expéditeur. Cela devrait être le cas quand bien même l’organe destinataire serait autorisé à le faire par sa législation nationale, conformément aux recommandations 5.2 et 5.4 ci-dessus.

5.6        Ce principe devrait être admis, sous réserve qu’à titre exceptionnel, dans des situations d’urgence, l’autorisation soit demandée par voie électronique ou a posteriori.

Ce caractère d’urgence exceptionnelle devrait être pleinement justifié auprès de l’autorité de contrôle indépendante ; en cas de désaccord de cette dernière, les données devraient être détruites par le destinataire et en aucun cas utilisées à des fins de poursuites. Ce système permettrait d’empêcher le contournement de ce principe par un agent qui ferait preuve d’excès de zèle ; il permettrait par ailleurs la communication de données à des heures auxquelles l’agent chargé de délivrer l’autorisation au sein de l’autorité de contrôle indépendante n’est pas joignable.

Il importe également de préciser très clairement dans le libellé de cette disposition que l’exception prévue N’EST PAS destinée à contourner ce principe.

Certains États pourraient devoir modifier leur législation.

Recommandations

La communication par la police de données à un autre organe doit se justifier, être nécessaire et proportionnée. Il se peut que la législation ne prévoie pas systématiquement les raisons pour lesquelles cette communication peut être autorisée, mais elle doit être suffisamment motivée pour résister, le cas échéant, à l’examen scrupuleux de l’autorité de contrôle indépendante ou du juge.

L’organe expéditeur des données doit être autorisé à imposer au destinataire des restrictions à propos de la communication ultérieure des informations transmises. Les informations communiquées doivent être vérifiées et leur fiabilité évaluée avant qu’elles ne soient transmises, au moyen du système d’évaluation en trois fois cinq points ou d’un système similaire.

Principe 6                    Publicité, droits d’accès aux fichiers de police, droit de rectification et droit de recours

6.1        Il ne fait guère de doute que les citoyens devraient être informés des types de fichiers conservés par la police. Ils devraient être titulaires d’un droit d’accès aux données à caractère personnel qui les concernent et figurent dans leur fichier personnel (voir plus loin)[13].

Il importe que les fichiers de casiers judiciaires comportent des informations exactes et mises à jour ; aucune objection ne peut être opposée au fait que les citoyens aient accès à leur propre fichier pour vérifier l’exactitude des informations qui y figurent. Les données relatives à ce type de fichier sont principalement dans le domaine public ; il s’agit des archives publiques actualisées des juridictions ou d’informations fournies par les intéressés eux-mêmes, par exemple leur nom et adresse, date de naissance, fiche signalétique, etc. Il importe que les citoyens soient autorisés à vérifier l’exactitude de ces fichiers[14]. Cette consultation devrait être néanmoins limitée à une vérification après chaque changement survenu dans leur existence, afin d’éviter une consultation intempestive à laquelle le système ne pourrait pas faire face. Il peut également s’avérer indispensable de prévoir des frais de consultation raisonnables, en raison des dépenses générées par cette procédure[15].

Par ailleurs, la consultation des fichiers de données relatifs à des criminels endurcis connus et à des terroristes connus ou des personnes soupçonnées d’activités terroristes se heurte à quelques obstacles.

Il va sans dire que l’accès à ce type de fichier ne peut être autorisé pendant le déroulement des enquêtes. Mais il convient de noter que ce type d’enquête peut durer plusieurs années. L’article 9 de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel autorise un certain nombre d’exceptions à ce principe, qui visent à l’éradication de la criminalité.

La consultation de ce type de fichier après une condamnation ou un acquittement ne devrait guère poser de problème, les données ayant alors été traitées pour préserver l’anonymat de l’agent de renseignement et empêcher l’identification des autres méthodes utilisées par la police lorsqu’elle opère secrètement. Il ne fait aucun doute que cette recommandation sera critiquée par les fonctionnaires de police, en particulier au Royaume-Uni, mais sa mise en œuvre pourra être entreprise une fois que les pratiques actuelles auront été contestées et modifiées.

Une question se pose : dans quelle mesure l’accès à un fichier personnel peut-il être autorisé, s’il doit l’être, lorsque l’intéressé n’a jamais fait l’objet d’une mise en accusation ?

Les criminels endurcis peuvent faire l’objet d’une enquête pendant de nombreuses années sans qu’aucun chef d’accusation ne soit retenu contre eux. S’ils étaient autorisés à consulter le dossier comportant les données qui les concernent et qui ont été recueillies à l’occasion de leur surveillance, cela entraînerait un surcroît d’activité bureaucratique puisque les services de police devraient régulièrement « caviarder » ces dossiers. Cela vaut également, naturellement, pour les personnes impliquées dans des infractions terroristes ; accorder à des terroristes recherchés la possibilité de consulter leur dossier de renseignement n’aurait guère de sens avant qu’ils aient été arrêtés.

À cet égard, il convient de contester les conclusions du projet de texte « RESPECT » sur le droit à l’information, article 10 (2), page 28, s’il doit être adopté par le Parlement européen.

Il s’agit là du point le plus litigieux de ce principe. Les partisans d’une transparence et d’une liberté d’accès absolues considéreront qu’il convient de mettre en place un accès public illimité. Les membres des services chargés de lutter contre les criminels endurcis et les terroristes estimeront qu’il ne saurait en être question, du moins pas avant que des poursuites aient abouti à une condamnation[16].

6.2        Comme nous l’avons indiqué plus haut à propos de la consultation du casier judiciaire d’une personne, ce principe posera peu de problèmes, car il s’agit de données qui, pour l’essentiel, sont déjà dans le domaine public, même si elles sont compilées depuis des sources disparates. Le problème se posera, en revanche, pour les données des fichiers de renseignement susmentionnées. Si le projet de réglementation définit un délai précis, les enquêtes policières en cours s’en trouveront sérieusement entravées ; ce sera l’occasion d’un vif débat, qui risque de retarder considérablement la mise en place d’une bonne partie des dispositions non contestées de ce principe.

6.3        Ce principe ne devrait guère poser de problème, ce qui explique que les intéressés aient accès à leur dossier. Pour les raisons évoquées plus haut, cet accès concernera plutôt les fichiers de type casier judiciaire que les dossiers contenant des données recueillies dans le cadre des activités de renseignement.

Pour autant, ces derniers devraient eux aussi faire l’objet d’une vérification interne régulière et les erreurs constatées devraient être corrigées dès que possible. Cette démarche sera profitable non seulement à l’intéressé, mais également aux services de police, qui éviteront ainsi d’agir sur la base d’informations erronées. Ce système de vérification devrait être obligatoire, même s’il se limite à imposer aux services de police de vérifier chaque année une portion seulement des fichiers comportant des données de renseignement. Il sera peut-être possible de vérifier en détail l’ensemble des fichiers, mais si un grand nombre d’erreurs étaient découvertes dans la portion vérifiée, cela inciterait les services de police à poursuivre cette vérification. Comme nous l’avons indiqué plus haut, les données inexactes contenues dans les fichiers ne présentent aucun intérêt pour eux.

6.4        Cette disposition donnera lieu, elle aussi, à un débat animé. Le droit d’accès de l’intéressé à son propre casier judiciaire ne devrait poser aucun problème[17]. Mais il n’en sera pas de même pour la question de l’accès au dossier des données de renseignement qui le concerne, pour les raisons que nous avons mentionnées. Ce ne sont pas les éléments factuels du dossier qui seront ici en cause, mais le fait que l’identité de l’agent de renseignement et les autres techniques de surveillance de la police puissent être dévoilées si les intéressés ont accès à leur dossier. Le fait de devoir retrancher des informations de ce dossier avant d’en permettre la consultation par l’intéressé représenterait un travail considérable et une source de préoccupation pour les services de police. Le Principe 6.4 permet que ce type de fichier ne soit pas communiqué si cette restriction est indispensable à l’accomplissement d’une attribution légale ou à la protection des droits d’autrui. Cette faculté risque très certainement d’être utilisée pour interdire de manière générale toute communication du dossier, ce qui entraînerait l’engagement de nombreuses actions en justice et ralentirait du même coup le fonctionnement des voies de recours en matière pénale. Citons à ce sujet l’affaire des cinq agents de police[18].

6.5        Ce principe a été abordé dans le paragraphe 6.4 ; le fait que les services juridiques de la police soient tenus de justifier la non-communication de chaque dossier occasionnerait de gros problèmes de ressources. La plupart du temps, les fichiers peuvent être communiqués. C’est le cas par exemple lorsqu’une personne A, qui était soupçonnée d’être impliquée dans une affaire aux côtés d’une personne B, est rapidement mise hors de cause. Le dossier ouvert à son sujet est alors clos et mentionne que la personne A n’a commis aucun acte répréhensible et n’a aucun lien avec la personne B. Ce genre de dossier risque peu de faire l’objet d’une demande de communication, puisque la plupart des citoyens ne verront aucun intérêt à faire cette démarche, considérant qu’il n’existe aucun dossier à leur nom ou que, s’il existe, il ne contient aucun élément qui leur soit préjudiciable.

En revanche, les criminels endurcis et les personnes soupçonnées d’activités terroristes souhaiteront vérifier constamment le contenu de leur dossier de données de renseignement. Dans l’affaire L v. Commissioner of Police for the Metropolis[19], le juge a considéré qu’il fallait mettre en balance, d’une part, l’importance des informations qui doivent être communiquées et, d’autre part, le droit de l’intéressé à obtenir la communication de son dossier. Voyez également à ce propos T v. Chief Constable of Greater Manchester Police[20]. Il est cependant possible que l’attitude de l’opinion publique, ainsi que la connaissance et la mise en œuvre de la loi relative aux droits de l’homme de 1998, aient sensibilisé les citoyens à cette question et qu’il faille désormais s’attendre à une forte augmentation des recours déposés.

Dans un arrêt rendu récemment par la Cour suprême au sujet d’une affaire qui concernait John Catt[21], la Cour a estimé que la surveillance excessive dont avait fait l’objet M. Catt, qui avait pris part à un certain nombre de manifestations, était nécessaire, proportionnée et conforme aux droits de l’homme. La Cour a considéré que les services de police devaient pouvoir agir avec discrétion lorsqu’ils surveillaient certains groupes de personnes, même si cela impliquait une légère ingérence dans les droits de l’homme de certaines personnes. Il est probable que cette affaire aboutisse devant la Cour européenne des droits de l’homme.

Lors de la mise en place de la loi relative à la liberté de l’information de 1998 au Royaume-Uni, d’aucuns redoutaient que plusieurs milliers, voire millions, de personnes demandent à consulter leur dossier. Or, la communauté urbaine de Manchester, qui est l’une des plus grandes agglomérations du Royaume-Uni, n’a reçu que quatre demandes au cours de l’année qui a suivi l’entrée en vigueur de la loi.

6.6        Le droit de recours ne devrait pas poser problème dans une société démocratique[22]. Les services de police devraient être en mesure de démontrer à une autorité de contrôle indépendante que tout refus d’accès à un dossier personnel se justifie. En l’absence de justification, l’intéressé devrait pouvoir consulter son dossier. Le personnel de l’agence de contrôle indépendante devra peut-être obtenir une habilitation rigoureuse sur le plan de la sécurité pour pouvoir examiner les dossiers litigieux. Cela peut justifier une augmentation des effectifs de cette autorité de contrôle. Par ailleurs, il convient de demander à l’intéressé de s’acquitter de frais raisonnables, afin d’éviter toute demande désinvolte ou vexatoire, sans pour autant empêcher le dépôt de demandes sincères.

Recommandations

Il importe que les citoyens aient connaissance des types de fichiers conservés en matière pénale par la police. Il convient tout autant qu’ils sachent quels types de fichiers comportant des données de renseignement sont conservés, sans pour autant en connaître le contenu précis.

Les intéressés doivent avoir accès à leur casier judiciaire, afin de pouvoir vérifier la présence d’éventuelles erreurs ; celles-ci devraient être immédiatement rectifiées.

Les dossiers qui comportent des données de renseignement devraient être soumis à des conditions d’accès plus rigoureuses et être expurgés de certains éléments avant que l’intéressé ne puisse les lire. Les dossiers des donnés de renseignement ne devraient être soumis à aucun délai de communication. La définition d’un délai de communication serait arbitraire et, comme nous l’avons indiqué, il arrive que les enquêtes durent des années avant d’aboutir. Par ailleurs, le fait de fixer un délai arbitraire soumettrait les investigations des services de police à une pression inutile, car ils seraient contraints de dévoiler des éléments de preuve avant l’achèvement de l’enquête, ce qui n’aurait guère de sens.

Principe 7                    Durée de conservation et mise à jour des données

7.1        Lorsque les données sont nécessaires à certaines activités ou lorsqu’elles sont recueillies en vertu de dispositions réglementaires ou légales au moment de l’arrestation, il convient de les détruire dès que l’intéressé est acquitté par un tribunal ou que ces données ne sont plus nécessaires aux besoins de l’enquête[23].

Les échantillons d’ADN sont souvent prélevés après un acquittement ou, avec le consentement de l’intéressé, au cours d’une enquête approfondie. Il convient de mettre fin à cette pratique[24]. D’un point de vue technique, il devrait être beaucoup plus facile de supprimer ces dossiers, car la plupart d’entre eux sont conservés en format numérique. Il devrait être relativement facile d’installer un marqueur sur un casier judiciaire pour qu’il soit supprimé lorsque la condamnation est éteinte. Au Royaume-Uni, le Système informatique national de la police compte à l’heure actuelle 10 millions de dossiers en matière pénale, qui peuvent être conservés jusqu’à ce que l’intéressé atteigne l’âge de 100 ans[25]. L’arrêt L. V Commissioner of Police for Metropolis a précisé que rien ne s’opposait à la conservation des données pendant une période prolongée. Le délai pendant lequel elles peuvent être communiquées et leur destinataire sont en revanche susceptibles de poser problème.

La durée de conservation des données pénales varie d’un État à l’autre de l’Union européenne. Le Royaume-Uni, la République tchèque et la Slovaquie semble être les pays qui conservent le plus longtemps ces données, puisqu’elles peuvent être conservées jusqu’au centième anniversaire de l’intéressé.

Rares sont les personnes, même parmi les meilleurs individus que compte la société, qui sont aujourd’hui les mêmes qu’autrefois ; elles devraient donc avoir le droit de ne pas porter toujours le fardeau de leurs erreurs passées. Ce principe souffre un certain nombre d’exceptions pour les auteurs de graves infractions, qui peuvent être soumis à une évaluation individuelle au regard de leur dossier lorsqu’ils posent leur candidature pour certaines professions.

Au Royaume-Uni, les personnes qui souhaitent exercer certaines professions, par exemple les activités au contact d’enfants ou d’adultes vulnérables, les médecins généralistes, les dentistes, le personnel pénitentiaire ou les fonctionnaires de police, pour n’en citer que quelques-unes, doivent obtenir un certificat qui garantit à leur employeur qu’elles n’ont aucun casier judiciaire ou précise intégralement chaque élément pertinent conservé dans les fichiers centraux[26]. Cette pratique devrait devenir la norme dans l’ensemble de l’UE, afin de permettre la libre circulation de la main-d’œuvre au sein de cet espace.

Ces informations sont conservées au Royaume-Uni par Service de communication et de refus de communication des données (Disclosure and Barring Service), qui a accès aux casiers judiciaires détenus par la police en vertu de l’article 122, Partie V, de la loi relative aux services de police de 1997.

7.2        Sous réserve du respect des conditions précitées, ce principe devrait être acceptable, bien qu’il puisse entraîner une augmentation des effectifs de l’administration au sein de la police, du Service de communication et de refus de communication des données et de l’autorité de contrôle indépendante, ce qui ne devrait pas pour autant empêcher sa mise en œuvre. Le fait qu’une personne ait consommé de la drogue à l’âge de 20 ans sans avoir jamais commis d’autres infractions au cours des 20 années qui ont suivi ne devrait pas justifier la conservation de son casier judiciaire pendant 60 ans de plus, même s’il est probable qu’elle n’aura pas à le communiquer puisqu’il sera officiellement vierge. Il est assez arbitraire de conserver ce type de dossier jusqu’à ce que l’intéressé atteigne l’âge de 100 ans, bien que la Cour suprême ne partage pas cet avis[27] [28].

Recommandations

Il convient de définir, dans l’ensemble de l’Union européenne, une durée standard de conservation des données.

Il importe que les données soient uniquement conservées aux fins pour lesquelles elles ont été recueillies.

Principe 8                    Sécurité des données

Il est dans l’intérêt de chacun que ce principe soit respecté ; les services de police, notamment, ne tiennent pas à ce que les fichiers qu’ils conservent soient volés, piratés, publiés ou supprimés sans qu’ils le sachent[29].

Il convient de recourir, en tenant compte des contraintes financières, au niveau de sécurité matérielle et technique le plus élevé pour toutes les données, en renforçant encore les restrictions d’accès pour certains types d’informations recueillies dans le cadre des activités de renseignement.

Au Royaume-Uni, tous les fonctionnaires de police ont accès aux fichiers de casiers judiciaires du Système informatique national de la police dans l’exercice de leurs fonctions. L’obtention de ces informations est bien entendue soumise à des contrôles d’accès et à des vérifications matérielles. L’accès aux fichiers de données de renseignement qui concernent les criminels endurcis est restreint à un nombre bien plus limité d’agents ; ceux qui ont accès aux fichiers de données de renseignement qui concernent les personnes soupçonnées de terrorisme sont encore moins nombreux. La proportion de fonctionnaires de police autorisés à consulter les dossiers de données de renseignement des services de sécurité et de renseignement est plus infime encore ; qui plus est, ils ne disposent pas d’un accès direct et doivent passer par ces services.

Ces précautions semblent logiques, car elles permettent aux fonctionnaires de police de consulter les casiers judiciaires dont ils ont besoin, qui comportent pour l’essentiel uniquement des éléments factuels. Mais il peut arriver que ces fichiers contiennent des erreurs, par exemple des dates ou des adresses erronées. Les fichiers de données de renseignement qui concernent les criminels endurcis ou les personnes soupçonnées d’activités terroristes peuvent être nettement plus préjudiciables aux intéressés en cas d’erreur, car ils comportent bien plus d’avis et de commentaires subjectifs que d’éléments factuels.

Comme nous l’avons déjà indiqué, il importe de trouver un juste équilibre entre ce dont la police a besoin pour l’accomplissement de ses missions essentielles et les droits de la personne.

Recommandations

Il convient que les services assurent à la fois la sécurité matérielle des données et la protection des mots de passe, tout en empêchant, autant que faire se peut, les cyberattaques.

Lorsque ces données sont déplacées matériellement d’un endroit à un autre, il importe qu’elles soient cryptées ou transportées par deux personnes. Les occasions de perdre, au cours de son transport, un compact disc ou un autre dispositif portable de conservation de données à caractère personnel sont en effet bien trop nombreuses[30].

Conclusion

Comme le précisent les conclusions de M. Cannataci et de Mme Caruna, l’existence d’un instrument juridiquement contraignant applicable à l’ensemble de l’Europe est aujourd’hui indispensable.

Les difficultés auxquelles se heurtera l’obtention d’un accord sur cet instrument pourraient être surmontées par l’examen détaillé du sens donné à certains termes employés par la Recommandation (87)15 et des effets qu’ils paraissent avoir. Le moment est peut-être venu pour les groupes de défense des droits de l’homme et pour la catégorie plus restreinte des hauts fonctionnaires des services de police de toute l’Europe de définir ensemble les effets voulus des termes choisis et d’inscrire cette décision dans un document contraignant, en se fondant sur les propositions formulées dans la Recommandation (87)15.

 



[1] Recommandation Rec(2001)10 du Comité des Ministres aux Etats membres sur le Code européen d’éthique de la police.

[2] Home Office Large Major Enquiry System.

[3] Règlement relatif à la procédure pénale de 2005 (S.I.2005 n° 384)

[4] Peter Jenkins, Surveillance Tradecraft – The Professional’s Guide to Covert Surveillance Training (3e édition, Éditions Intel 2010)

[5] ACPO Guidance on the National Intelligence Model  (NCPE 2005)

[6] Ibid. 2

[7] Article 27(4) de la loi relative aux services de police et aux éléments de preuve en matière pénale de 1984.

[8] Article 42 du Code européen d’éthique de la police, Recommandation Rec(2001)10 du Comité des Ministres aux Etats membres.

[9] Article 10 de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel.

[10] Article 122 de la Partie V de la loi relative aux services de police de 1997.

[11] S. et Marper c. Royaume-Uni [2008] 1581, p. 87 Lord Styn.

[12] Recommandation 19 du Code européen d’éthique de la police, Recommandation Rec(2001)10 du Comité des Ministres aux Etats membres.

[13] Article 8 de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel.

[14] Article 5 de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel.

[15] Article 7 de la loi relative à la protection des données de 1998.

[16] Article 29 de la loi relative à la protection des données de 1998.

[17] Article 8 de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel.

[18] (2009) EWCA Civ109.

[19] (2009) UKSC3.

[20] R on the Application of T, JB and AW and the Chief Constable of Greater Manchester Police, the Secretary of State for the Home Department, Secretary of State for Justice [2013] EWCA Civ25.

[21]  R (on the application of Catt) (Respondent) v Commissioner of Police of the Metropolis and another (Appellants) [2015] UKSC 9.

[22] Article 117, Partie V, de la loi relative aux services de police 1997.

[23] Article 5 de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel.

[24] Loi relative à la protection des libertés de 2012.

[25] Ibid. 7.

[26] Loi relative à la réinsertion des délinquants de 1974, décret de 1975 (exceptions), décret (modifications) (Angleterre et pays de Galles) de 2013 et loi relative aux services de police de 1997 (certificat d'absence de casier judiciaire ; éléments pertinents), décret (modifications) (Angleterre et pays de Galles) de 2013.

[27] Ibid. 7.

[28] S. et Marper c. Royaume-Uni [2008] Cour européenne des droits de l'homme, 1581.

[29] Article 5 de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel.

[30] David Harrison, « Government record year of data loss », The Telegraph (Londres  6 janvier 2009) 1.