CONSEIL DE L’EUROPE
COMITE DES MINISTRES

EXPOSE DES MOTIFS

Recommandation n° R (87) 15

Introduction
1.  Bien que les principes de protection des données contenus dans la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (ci-après dénommée "Convention pour la protection des données") du 28 janvier 1981 s'appliquent d'une manière générale à la collecte, à l'enregistrement, à l'utilisation, etc, des données à caractère personnel dans les secteurs public et privé, il a été jugé nécessaire de les adapter aux exigences spécifiques de secteurs particuliers.
2. Cette "approche sectorielle" de la protection des données a mené jusqu'ici à l'adoption par le Comité des Ministres du Conseil de l'Europe de quatre recommandations élaborées par son Comité d'experts sur la protection des données (CJ-PD): la Recommandation n°  R (81) 1 relative à la réglementation applicable aux banques de données médicales automatisées (23 janvier 1981); la Recommandation n°  R (83) 10 relative à la protection des données à caractère personnel utilisées à des fins de recherche scientifique et de statistiques (23 septembre 1983); la Recommandation n°  R (85) 20 relative à la protection des données à caractère personnel utilisées à des fins de marketing direct (25 octobre 1985); et la Recommandation n°  R (86) 1 relative à la protection des données à caractère personnel utilisées à des fins de sécurité sociale (23 janvier 1986).
3. Dans le cadre de cette approche sectorielle, le Comité d'experts sur la protection des données a estimé qu'il serait approprié de réfléchir sur les problèmes de protection des données créés par l'utilisation de données à caractère personnel dans le secteur de la police en vue de préparer un instrument juridique énonçant un ensemble de principes destinés à réglementer la collecte, l'enregistrement, l'utilisation, la communication et la conservation de données à caractère personnel par la police et qui s'inspireraient des normes contenues dans la Convention pour la protection des données.
4. Etant donné l'intervention croissante d'organes de police dans la vie des individus nécessitée par de nouvelles menaces telles que le terrorisme, la drogue, etc, ainsi qu'une augmentation générale de la criminalité, il a été estimé d'autant plus nécessaire d'établir des lignes directrices claires pour le secteur de la police indiquant l'équilibre requis dans nos sociétés entre les droits de l'individu et les activités légitimes de la police quand celle-ci a recours aux techniques de l'informatique.
5. Gardant à l'esprit que l'article 9, paragraphe 2, de la Convention laisse aux Etats membres la possibilité de déroger aux principes de base de protection des données dans le cas notamment de "la répression des infractions pénales", le comité d'experts a chargé un groupe de travail d'identifier le genre de problème posé par l'utilisation de données à caractère personnel dans le secteur de la police et de formuler des propositions concrètes de solutions. Le groupe de travail était composé d'experts des pays suivants: la Belgique, la France, l'Italie, les Pays-Bas, le Portugal, la Suède, la Suisse et le Royaume-Uni. Sous la présidence du Dr R. Schweizer (Suisse), le groupe de travail a tenu cinq réunions.
6. A sa première réunion (19 au 20 décembre 1983), le groupe de travail s'est efforcé d'identifier dans quelle mesure la législation des Etats membres contenait des dispositions spécifiques régissant l'utilisation de données à caractère personnel dans le secteur de la police. En outre, il a analysé le type de problèmes posés par ce secteur pour la protection des données. A cet égard, la tâche du groupe de travail a été facilitée par une étude préparée par un expert consultant, le professeur H. Maisl (France).
7. A leur deuxième réunion (18 au 20 juin 1984), les membres du groupe de travail ont examiné les problèmes de façon plus approfondie en tenant compte des réponses soumises par les Etats membres suite à un questionnaire. En plus, le groupe de travail a analysé la jurisprudence pertinente de la Cour et de la Commission européennes des Droits de l'Homme dans le contexte de l'article 8 de la Convention européenne des Droits de l'Homme qui a une incidence sur la collecte, l'utilisation, l'enregistrement, etc, de données à caractère personnel par la police. Ces discussions ont donné lieu à un avant-projet d'instrument qui reflétait les vues provisoires du groupe de travail sur les moyens de réglementer l'utilisation de données à caractère personnel dans le secteur de la police.
8. A sa troisième réunion (17 au 19 décembre 1984), le groupe de travail a procédé à la révision de l'avant-projet d'instrument. Une attention particulière a été accordée au champ d'application de la dérogation prévue dans l'article 9, paragraphe 2, de la Convention sur la protection des données. Le groupe de travail a pris comme point de départ l'utilité d'établir un corps spécial de principes de protection des données pour les tâches classiques et essentielles de la police tout en adaptant ces principes aux nécessités particulières notamment dans le cas de la "répression des infractions pénales".
9. A partir des commentaires et des observations soumis par le comité plénier tenu régulièrement informé de l'état d'avancement des travaux du groupe de travail, ce dernier a élargi son analyse au cours de ses réunions ultérieures (5 au 7 juin 1985; 27 au 29 novembre 1985) en vue d'aborder d'autres questions telles que la communication des données par la police à des tierces personnes, en particulier les flux transfrontières de données. La version finale du texte a été soumise au comité plénier accompagnée d'un projet d'exposé des motifs préparé par le secrétariat.
10. Après un examen détaillé, le comité d'experts a approuvé le projet de recommandation et le projet d'exposé des motifs à sa treizième réunion (4 au 7 novembre 1986) et a décidé de soumettre les deux textes au Comité européen de coopération juridique (CDCJ) pour examen et approbation.
11. Le projet de recommandation et le projet d'exposé des motifs ont été approuvés par le Comité européen de coopération juridique le 22 mai 1987.
12. La Recommandation n°  R (87) 15 visant à réglementer l'utilisation de données à caractère personnel dans le secteur de la police a été adoptée par le Comité des Ministres du Conseil de l'Europe le 17 septembre 1987. 
Commentaires détaillés
Préambule
13. La technologie facilite à l'évidence l'action de la police. Dans un secteur où la collecte et l'enregistrement de très nombreuses données à caractère personnel sont indispensables, eu égard au rôle important et étendu des forces de police dans la société, les avantages que présente le recours à la technologie apparaissent nettement. Une délinquance complexe nécessite inévitablement l'utilisation de méthodes de répression équivalentes et tout aussi complexes. L'informatique, en particulier, a permis à la police de recueillir et d'enregistrer plus efficacement des données à caractère personnel et elle a accéléré la prise de décision au niveau de l'application des lois, dans l'intérêt de la société.
14. Toutefois, les préoccupations, qui ont inspiré l'élaboration de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et qui sont consécutives à l'utilisation croissante de systèmes informatiques dans tous les domaines, sont ressenties plus vivement dans le secteur de la police. C'est dans ce secteur, en effet, que les conséquences d'une violation des principes de base énoncés dans la Convention pourraient peser le plus lourdement sur l'individu.
15. Le préambule reconnaît la nécessité de trouver un équilibre entre les intérêts en présence, ceux de l'individu et son droit à la vie privée et les intérêts de la société quant à la prévention et à la répression des infractions pénales et au maintien de l'ordre public.
16. Bien entendu, l'équilibre est difficile à obtenir dans le secteur de la police. L'article 8, paragraphe 2, de la Convention européenne des Droits de l'Homme tout comme l'article 9 de la Convention pour la protection des données prévoient des exceptions à l'exercice des droits qu'ils garantissent.
17. Bien que le préambule mentionne la menace que pourrait constituer pour la vie privée l'abus des procédés de traitement automatisé des informations, il faut se souvenir que l'expression "vie privée" ne doit pas être interprétée comme si elle désignait simplement la protection d'une sphère personnelle contre les intrusions. C'est la raison pour laquelle le préambule renvoie à l'article 8 de la Convention de sauvegarde des Droits de l'Homme et des Libertés fondamentales, et la légalité de certains moyens techniques de surveillance pour obtenir des données sur les individus doit être vérifiée à la lumière des dispositions de cet article et des arrêts pertinents de la Cour européenne des Droits de l'Homme.
18. Le recours aux écoutes téléphoniques et à l'interception du courrier sont des exemples d'atteintes à la vie privée, au sens strict. La Cour européenne des Droits de l'Homme a rendu deux arrêts dans ce sens (Klass et autres, arrêt du 6 septembre 1978, Série A, n°  28; Malone, arrêt du 2 août 1984, Série A, n°  82). Les principes 2.2 et 2.3, en particulier, doivent être interprétés eu égard à la jurisprudence de la Cour.
19. Toutefois, le préambule mentionne également les dispositions de la Convention pour la protection des données du 28 janvier 1981 qui vont au-delà des notions traditionnelles de la vie privée et définissent une série de principes protecteurs fondamentaux destinés à réglementer la collecte, l'enregistrement, l'utilisation et la communication des données à caractère personnel.
20. Le préambule mentionne spécifiquement les dérogations autorisées par l'article 9 de la Convention pour la protection des données et il y a lieu de rappeler qu'une dérogation aux dispositions de l'article 5 ("qualité des données"), de l'article 6 ("catégories particulières de données") et de l'article 8 ("garanties complémentaires pour la personne concernée") n'est autorisée que si elle est prévue par la loi et constitue une mesure nécessaire dans une société démocratique, notamment pour la "répression des infractions pénales". Etant donné que la Cour européenne des Droits de l'Homme dans son arrêt dans l'affaire Malone a indiqué un certain nombre de critères précis pour l'interprétation de l'expression "prévu par la loi" (précision, sécurité, prévisibilité, etc), les principes énoncés dans l'instrument non contraignant que constitue la Recommandation pourraient utilement guider le législateur aux fins de l'interprétation de la dérogation de l'article 9, paragraphe 2, de la Convention pour la protection des données s'agissant de la collecte et de l'utilisation de données à caractère personnel dans le secteur de la police. Ceci devrait être gardé à l'esprit, par exemple, dans le contexte du paragraphe 2.1.
21. Dans ce libellé, la portée de la dérogation est plus étroite que les intérêts de la société mentionnés au paragraphe 5 du préambule. Toutefois, l'objectif de la présente Recommandation consiste à établir un corps spécial de principes de protection des données pour les tâches classiques et essentielles de la police tout en adaptant ces principes aux nécessités particulières notamment dans le cas de la "répression des infractions pénales". Il va sans dire que les données personnelles collectées et utilisées pour des tâches n'entrant pas dans les activités classiques de la police, par exemple les activités administratives de la police, sont soumises aux règles générales de la protection des données. 
Champ d'application et définitions
22. Les principes doivent porter sur toutes les étapes cruciales pour lesquelles des questions de protection des données se posent: collecte, enregistrement, utilisation et communication. Il convient de noter que ces activités sont orientées vers un but qu'indiquent les mots "à des fins de police". Cette dernière expression est définie compte tenu des intérêts en cause pour la société, déjà mentionnés au cinquième paragraphe du préambule. Toutefois, on peut rappeler que cette définition de la finalité est précisée ultérieurement dans le texte, de telle sorte que les principes soient adaptés aux différentes fonctions de la police, celles concernant la répression des infractions pénales, d'une part, et celles concernant la prévention générale et le maintien de l'ordre public, d'autre part.
23. La Recommandation mentionne simplement les "autorités de police". Il faut garder à l'esprit la coexistence possible de différentes forces de police, selon le système juridique en vigueur. La distinction entre ces forces n'est pas toujours facile du point de vue de la répartition des tâches. Toutefois, quelles que soient les dénominations, les principes sont applicables à tout organe exerçant des fonctions de police impliqué dans la collecte, l'enregistrement, l'utilisation et la communication de données à caractère personnel pour les finalités indiquées à l'alinéa 3 de cette partie de la Recommandation.
24. La Recommandation porte essentiellement sur les données à caractère personnel automatisées. L'expression "données à caractère personnel" est définie de la même manière que dans les recommandations antérieures du Conseil de l'Europe sur la protection des données. Il est utile de rappeler que la question de savoir si une personne physique doit être considérée ou non comme "identifiable" doit être déterminée objectivement, compte tenu des méthodes d'identification complexes dont dispose la police (techniques relatives aux empreintes digitales, systèmes de reconnaissance de la voix, surveillance de banques de données, etc).
25. L'"organe responsable" mentionné dans cette partie est en réalité, pour utiliser la terminologie de la Convention, le maître du fichier; il s'agit donc de l'institution qui assume en dernier ressort la responsabilité du fichier. Aux termes du principe 1.4, le nom de l'organe responsable d'un fichier particulier devrait être notifié à l'autorité de contrôle.
26. Bien que la portée de l'instrument se limite aux données à caractère personnel automatisées - comme les lois d'un certain nombre d'Etats membres - il faut reconnaître que les fichiers manuels sont encore largement utilisés dans certains Etats membres du Conseil de l'Europe. En outre, dans certains pays où l'informatisation de la police est très avancée, les données enregistrées sur ordinateur ne sont parfois intelligibles que par référence à des fichiers manuels. Il ne serait donc pas souhaitable d'exempter les fichiers manuels et c'est pourquoi il est reconnu dans la Recommandation que les Etats membres ont la faculté d'étendre les principes aux informations détenues sous une forme manuelle. On constatera que le paragraphe 38 ci-dessous donne aux gouvernements des lignes directrices sur le traitement des fichiers manuels.
27. Il va de soi que des données de plus en plus nombreuses détenues pour l'instant dans des fichiers manuels seront automatisées avec le temps et relèveront alors des principes formulés dans le présent instrument. Toutefois, il convient d'éviter que le gouvernement d'un Etat membre puisse tourner délibérément les garanties prévues dans ledit instrument en transférant dans un fichier manuel des données à caractère personnel automatisées. Il a été reconnu, cependant, qu'il peut être difficile de déterminer s'il y a eu une fraude volontaire quand les données sont supprimées en vertu du principe 7 mais qu'une copie des données est conservée.
28. Conformément à l'article 3, paragraphe 2, de la Convention pour la protection des données, il est reconnu dans la Recommandation que les Etats membres ont la faculté d'appliquer aux personnes morales les principes qui y sont énoncés.
29. Enfin, pour les questions relatives à la sécurité de l'Etat, que le rapport explicatif concernant la Convention pour la protection des données décrit comme la protection de la "souveraineté nationale contre des menaces tant internes qu'externes, y compris la protection des relations internationales de l'Etat", il paraît souhaitable de reconnaître aux gouvernements des Etats membres la liberté d'étendre certaines des garanties énoncées dans le présent instrument au domaine de la sécurité de l'Etat, lorsque leur application semble appropriée et possible en pratique.
30. En dehors des contextes particuliers de la sécurité de l'Etat et des personnes morales, les principes définis dans la Recommandation ont été considérés par les rédacteurs de celle-ci comme des garanties minimales, les Etats membres étant évidemment libres d'établir des mesures de protection plus strictes. 
Principe 1 - Contrôle et notification
31. Les différents organes, commissions ou commissaires pour la protection des données jouent un rôle central dans le cadre des lois nationales en la matière. Lorsque de tels organes existent, ils devraient se voir confier les fonctions prévues dans la Recommandation. Il ne serait pas souhaitable de créer un organe concurrent pour les besoins de la Recommandation. Toutefois, tout nouvel organe créé devrait être réellement indépendant de la police, qualité cruciale puisque la Recommandation prévoit la possibilité qu'à certains stades lui soient confiés des pouvoirs de décision impliquant l'évaluation des limites de l'action de la police quant à l'utilisation de données à caractère personnel.
32. La structure constitutionnelle de certains Etats membres pourrait nécessiter la création de plusieurs autorités de contrôle indépendantes lorsque des organes n'existent pas encore. Il n'est pas indispensable que l'autorité soit un organe collégial. Une personne aurait la possibilité de "veiller au respect des principes énoncés" dans la Recommandation. Toutefois, étant donné l'importance de ce rôle, il serait souhaitable que l'autorité de contrôle, quelle qu'en soit la forme, ait des ressources suffisantes pour être efficace.
33. Il y a lieu de souligner, enfin, que l'absence d'une législation générale sur la protection des données ne fait pas obstacle à la création d'une autorité de contrôle indépendante pour le secteur de la police. Les principes définis dans la Recommandation s'adressent aux gouvernements de tous les Etats membres et peuvent être adoptés dans des pays qui n'ont pas encore établi de normes générales pour la protection des données.
34. Il est reconnu dans le préambule que les nouveaux moyens techniques de traitement des données autres que l'ordinateur présentent des avantages pour les activités de police. On peut en donner pour exemples les systèmes de reconnaissance de la voix, les cartes d'identification lisibles à la machine, les techniques de surveillance basées sur l'ordinateur, les systèmes de repérage électroniques. Toutefois, eu égard aux abus possibles, il est essentiel que ces moyens soient introduits et employés en toute connaissance de leurs incidences pour l'individu. C'est pourquoi le principe 1.2 recommande d'en étudier l'introduction avec soin, de telle sorte qu'elle ne nuise pas à l'esprit de la législation existante sur la protection des données. En outre, un débat public paraît souhaitable lorsqu'il est question d'introduire des technologies nouvelles constituant, pour la vie privée, une menace éventuelle qui ne pouvait pas être perçue par le législateur au moment de l'adoption des normes en matière de protection des données.
35. Dans ce contexte, l'autorité de contrôle indépendante peut jouer un rôle utile. En vertu du principe 1.3, elle devrait être habilitée à faire des observations, à la demande de l'organe compétent, quand celui-ci a l'intention d'introduire des méthodes de traitement automatisé des données qui seraient susceptibles de poser des problèmes pour l'application de la Recommandation. Le principe 1.3 n'implique pas un droit de veto. Toutefois, il permet à l'autorité de contrôle d'examiner les méthodes envisagées pour voir, par exemple, si elles s'écarteraient des principes concernant la communication des données (principe 5). Elle pourrait conseiller l'organe responsable sur la sorte de mesures à prendre en vue d'assurer le respect des principes de la Recommandation.
36. Aux fins de l'instrument, l'expression "fichier de police" désigne toutes les données à caractère personnel structurées ou organisées, gérées par les services de police et répondant à leurs besoins en matière de prévention ou de répression des infractions pénales ou de maintien de l'ordre public. Selon cette définition, les fichiers permettent à la police d'extraire des informations relatives à des personnes identifiées ou identifiables. Le principe 1.4 prévoit que la police ou tout autre organe désigné par le droit national doit notifier une liste des fichiers permanents automatisés auprès de l'autorité de contrôle et communiquer certaines précisions sur chaque fichier.
37. On constatera que cette disposition contient une règle générale de notification. Aucune exception n'est prévue pour les fichiers concernant seulement la répression des infractions pénales. Comme il est indiqué précédemment, la Recommandation tend à établir des règles particulières pour le secteur de la police et ne s'en écarte que lorsqu'il est jugé nécessaire de tenir compte des nécessités propres à ce secteur dans le contexte de la "répression des infractions pénales".
38. Bien que la règle de la notification soit limitée aux fichiers de police automatisés, il est possible que certains Etats membres usent de leur droit d'étendre les principes énoncés dans l'instrument aux fichiers de police manuels. En pareil cas, les autorités de l'Etat membre visé peuvent obliger la police à établir une description de chaque type de fichier manuel existant, en indiquant le maître du fichier, sa finalité, le type de données concernées et les personnes à qui elles peuvent être communiquées. Ces descriptions générales seraient notifiées à l'autorité de contrôle. Une autre solution, qui éviterait de devoir communiquer toutes ces descriptions, consisterait à exiger de chaque force de police que ses fichiers manuels soient conformes à une description donnée convenue au niveau central. A supposer qu'un service de police s'écarte de la description générale, elle devrait procéder à sa propre description et la communiquer à l'autorité de contrôle.
39. Bien entendu, il existe d'autres moyens d'étendre les principes aux fichiers manuels.
40. Le deuxième alinéa du principe 1.4 concerne la question des fichiers ad hoc, constitués à l'occasion d'affaires particulières. La notification de tous les fichiers ad hoc pourrait créer une bureaucratie inacceptable. Toutefois, ils ne doivent pas échapper à toute notification. Les circonstances dans lesquelles ils sont signalés à l'attention de l'autorité de contrôle peuvent être établies par le droit interne. Il est possible que ce dernier impose seulement la notification de l'existence de tels fichiers, ou la notification globale de fichiers ad hoc d'un type particulier, permettant à l'autorité de contrôle de les inspecter pour s'assurer qu'ils sont conformes aux principes de la protection des données.
41. En l'absence de dispositions du droit national en la matière, il y aurait lieu d'envisager une autre solution qui consisterait à ce que l'autorité de contrôle, en collaboration avec l'organe responsable précédemment mentionné, élabore des directives régissant la notification des fichiers ad hoc. Par exemple, le dialogue entre l'autorité de contrôle et l'organe responsable pourrait faire apparaître l'opportunité de notifier ces fichiers après écoulement d'un délai raisonnable après leur création, ou le fait que l'on peut présumer qu'ils seront probablement conservés pendant un délai raisonnable. D'autres critères de notification pourraient être adoptés.
42. Un fichier créé pour traiter une affaire particulière rapidement réglée pourrait ne pas être notifié. 
Principe 2 - Collecte des données
43. Le principe 2.1 exclut une collecte illimitée et sans discrimination de données par la police. Il traduit l'approche qualitative et quantitative de l'article 5.c de la Convention pour la protection des données, d'après lequel les informations à caractère personnel doivent être adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées. L'article 9.a de la Convention permettant une dérogation à ce principe dans le cas de "la répression des infractions pénales", le principe 2.1 de la Recommandation tente de fixer les limites de cette exception, en restreignant la collecte de données à caractère personnel à celles qui sont nécessaires pour prévenir un danger concret ou réprimer une infraction pénale spécifique, à moins que le droit interne n'attribue clairement à la police des pouvoirs plus larges pour rassembler des informations. Le terme "danger concret" doit être compris comme ne se limitant pas à une infraction ou à un auteur d'infraction particuliers mais englobant tous les cas où il existe des présomptions suffisantes qu'une infraction pénale grave a été ou pourrait être commise mais excluant des possibilités éventuelles non assorties de preuves. A titre d'exemple, des présomptions suffisantes selon lesquelles des drogues non identifiées ont été introduites illégalement dans un pays, par un port, par des yachts privés non identifiés justifieraient la collecte de données sur tous les yachts mouillant dans ce port, mais non pas sur tous les yachts mouillant dans chaque port de ce pays, ainsi que sur leurs propriétaires et leurs passagers.
44. Le principe 2.2 concerne le problème de la collecte et de l'enregistrement des données à l'insu de la personne concernée et vise à définir des principes de base, lorsqu'il est décidé de conserver les données ainsi collectées; la personne sur laquelle des données ont été collectées à son insu devrait être informée que des données sont conservées sur son compte et ce dès que l'objet des activités de police ne risque plus de subir un préjudice. Il va sans dire qu'il ne sera pas nécessaire d'avoir recours à cette procédure si la police a décidé de détruire les données collectées à l'insu de l'individu.
Il est reconnu que le principe 2.2 peut se révéler difficilement applicable aux systèmes vidéo employés dans la rue et autres méthodes analogues de surveillance de masse permettant de recueillir des informations sur de nombreuses personnes. C'est pourquoi le principe recommande de faire savoir à ceux qui ont été soumis à une surveillance secrète que des informations sont détenues sur leur compte uniquement "si cela est possible". Il appartient à la police elle-même de prendre la décision.
45. On a estimé que les Etats membres pourraient reconnaître la valeur de ce principe à la lumière de la jurisprudence de la Commission européenne des Droits de l'Homme qui, dans le contexte de l'article 8 de la Convention européenne des Droits de l'Homme, a constaté que la collecte et l'enregistrement de données à l'insu de la personne concernée sont susceptibles de poser des problèmes de protection des données (Requête n°  8170/78, X c/Autriche; Requête n°  9248/81 Leander c/ Suède).
46. Tandis que le principe 2.2 insiste sur l'enregistrement de données personnelles collectées à l'insu de la personne concernée, par des moyens secrets ou non (par exemple en posant des questions aux voisins de la personne concernée), le principe 2.3 a trait à la collecte de données par des moyens techniques de surveillance ou par d'autres méthodes automatisées. Des dispositions spéciales du droit interne devraient régir la collecte de données par de telles méthodes. En particulier, il conviendrait de garder à l'esprit la jurisprudence de la Cour européenne des Droits de l'Homme en cas de recours aux écoutes téléphoniques. L'arrêt dans l'affaire Malone constate qu'une telle forme de surveillance technique doit être autorisée, avec une précision raisonnable, dans des dispositions juridiques accessibles indiquant suffisamment la portée et le mode d'exercice du pouvoir discrétionnaire accordé aux autorités, et s'accompagner de garanties adéquates contre les abus.
47. Les organes de répression exercent leurs fonctions dans les limites de la loi et leurs activités de collecte des données sont restreintes en conséquence. Il y a donc lieu de respecter les dispositions du droit interne, qui doivent avoir pour base minimale les clauses de la Convention de sauvegarde des Droits de l'Homme et des Libertés fondamentales. A cet égard, on doit tenir compte également de la jurisprudence de la Commission et de la Cour européennes des Droits de l'Homme dans les domaines de l'arrestation ou de la détention pour interrogatoire, des perquisitions et saisies, des méthodes d'interrogatoire, des prélèvements sur le corps humain, des empreintes digitales et photographies, etc. Il va sans dire que la législation interne pertinente doit être conforme aux dispositions de la Convention, telles qu'interprétées par la Cour européenne des Droits de l'Homme.
48. Le principe 2.4 concerne la question des données sensibles et reflète le souci, exprimé à l'article 6 de la Convention pour la protection des données, de limiter la collecte et l'enregistrement de catégories particulières d'informations. Il se peut que la collecte de certaines données sensibles soit nécessaire pour atteindre les objectifs définis au principe 2.1. Toutefois, de telles données ne doivent en aucun cas être recueillies simplement pour permettre à la police d'établir un fichier sur certains groupes minoritaires dont le comportement est légal. La collecte d'informations de ce type ne doit être autorisée que si "elle est absolument nécessaire pour les besoins d'une enquête déterminée". Les mots "enquête déterminée" doivent être entendus comme impliquant une limitation de caractère général; une telle enquête devrait être fondée sur des présomptions sérieuses qu'une infraction pénale grave a été ou pourrait être commise; la collecte de données sensibles dans de telles circonstances devrait, en outre, être "absolument nécessaire" pour les besoins de telles enquêtes.
Bien entendu, l'expression "comportement sexuel" ne s'applique pas dans le cas des infractions. 
Principe 3 - Enregistrement des données
49. Une fois recueillies, les données à caractère personnel font l'objet d'une décision concernant leur enregistrement sur un fichier de police. Le principe 3.1 concerne l'exigence d'exactitude et de limites à l'enregistrement. Les données enregistrées doivent être exactes et se limiter aux informations nécessaires pour permettre à la police d'accomplir ses tâches légales. Le principe 3.1 reconnaît que les tâches légales de la police, justifiant l'enregistrement de données, n'ont pas pour seul fondement le droit interne, mais également le droit international (par exemple, instruments juridiques internationaux de coopération entre forces de police nationales) qui, aux fins de la Recommandation, vise également la coopération internationale au sein d'lnterpol.
50. Ce principe est important car l'enregistrement de données à caractère personnel dans des fichiers de police peut prendre un caractère permanent et cette mise en mémoire sans discrimination risque d'affecter les droits et libertés de l'individu. Il est également dans l'intérêt de la police de ne disposer que de données précises et fiables.
51. Il y a lieu de noter que le principe 3 pose une règle générale relative à toutes les catégories de données recueillies à des fins de police, telles que celles-ci ont été définies antérieurement.
52. Le principe 3.2 encourage la mise en oeuvre d'un système de classification des données. On a estimé possible d'établir une distinction entre les données corroborées et celles qui ne le sont pas (par exemple, des appréciations relatives à des comportements), entre des faits et des opinions, entre des informations fiables (à différents degrés) et des suppositions, entre des motifs raisonnables de supposer que des informations sont exactes et une croyance sans fondement en leur exactitude.
53. Les données recueillies et enregistrées par la police à des fins administratives (informations sur les permis de port d'armes, sur les objets perdus, etc) sont évidemment soumises aux principes généraux de protection des données. Le principe 3.3 recommande de les détenir dans un fichier distinct de celui des données enregistrées à des fins de police, au sens du présent instrument, lorsqu'il est décidé de les conserver indéfiniment. Il ne serait pas souhaitable en principe que le régime particulier des données de police, avec l'approche particulière de la protection des informations qui lui est appliquée, soit élargi à ces données administratives.
54. Toutefois, il n'est pas toujours possible en pratique d'établir une distinction stricte entre les deux catégories de données. Néanmoins, dans un tel cas, les Etats membres devraient examiner le genre de mesures qui pourraient être prises dans l'éventualité d'un amalgame inévitable, pour que les données administratives restent entièrement soumises aux dispositions générales sur la protection des données. 
Principe 4 - Utilisation des données par la police
55. Le principe 4 indique clairement la notion de finalité: les données à caractère personnel collectées pour la prévention et la répression des infractions ou pour le maintien de l'ordre public ("à des fins de police") ne doivent être utilisées qu'à ces seules fins. Toutefois, le caractère absolu de cette clause est modifié en partie par le principe 5. 
Principe 5 - Communication des données
56. Le principe 5 est structuré de manière à régir séparément les différentes formes de transfert des données légitimement possibles, tout en définissant les idées générales applicables à tout transfert envisagé.
57. Le transfert de données au sein de la police est subordonné à la condition que l'autorité de police ait un intérêt légitime à les obtenir, par exemple qu'il soit nécessaire pour l'autorité les demandant de disposer de ces informations pour prévenir ou réprimer des infractions ou maintenir l'ordre public. Il a été admis qu'une autorité de police qui demande des informations à une autre autorité de police peut communiquer certaines données pour que la demande puisse être traitée, si les deux parties à la communication remplissent la condition d'intérêt légitime prévue au principe 5.1.
58. En dehors du contexte de la communication au sein de la police, les conditions relatives au transfert sont plus strictes, car celui-ci peut avoir lieu à des fins qui n'ont au sens strict aucun rapport avec la police. Les principes 5.2 et 5.3 mettent l'accent sur le caractère exceptionnel des circonstances qui permettent la communication. Il y a lieu de noter que les circonstances a et b figurant aux principes 5.2.ii et 5.3.ii sont expressément qualifiées "d'exceptionnelles".
59. Les organes publics mentionnés au principe 5.2 pourraient être des organes de sécurité sociale, des institutions fiscales enquêtant sur des fraudes, des services de contrôle de l'immigration, les douanes, etc.
60. Les conditions générales de transfert de données à de tels organes sont énoncées aux paragraphes 5.2.i.a et b. On peut noter que le paragraphe 5.2.i.a envisage le cas d'un transfert de données autorisé par l'autorité de contrôle. C'est dans la perspective de ce rôle que le principe 1 soulignait la nécessité d'une autorité de contrôle indépendante de la police.
"L'autorisation légale claire" visée sous 5.2.i.a pourrait être donnée par un magistrat.
61. L'entraide entre les services de police et des organes publics comme ceux qui ont été mentionnés ci-dessus est possible également en l'absence des circonstances indiquées au paragraphe 5.2.i.a. Le principe 5.2.i.b permettrait, par exemple, à une institution de sécurité sociale procédant à des recherches sur des fraudes dans son domaine de compétence d'accéder aux données de police pertinentes si celles-ci sont indispensables à l'enquête. Il a été admis que les organes publics visés au paragraphe 59 sont ceux engagés dans des activités analogues aux activités de police et que les informations détenues par la police peuvent être utiles pour ces activités. La notion d'incompatibilité visée au principe 5.2.1.b reflète le contenu de l'article 5.b de la Convention sur la protection des données; des données peuvent seulement être communiquées pour de telles activités connexes. Les "obligations légales" de la police doivent être interprétées selon la législation interne.
62. Le principe 5.2.ii indique deux circonstances supplémentaires justifiant la communication, et il convient de rappeler que celle-ci est permise "exceptionnellement". Pour illustrer le paragraphe a, on peut citer le cas dans lequel un bureau de sécurité sociale, avant de faire droit à une demande de prestation présentée par un migrant, aurait besoin de contrôler la situation juridique de ce dernier dans le pays intéressé, en consultant un fichier de police. Ceci serait aussi dans l'intérêt du demandeur. Il y a lieu de noter que le danger mentionné au point b doit être à la fois grave et imminent. On a estimé indiqué de qualifier ainsi le danger, vu le fait que le point 5.2.ii ne concerne que des cas exceptionnels justifiant la communication. En cas de danger grave mais non imminent, la communication pourrait être effectuée conformément aux dispositions du point 5.2.ii.a.
63. La police peut se trouver occasionnellement dans la nécessité de communiquer des données à des organes privés, bien que ce ne soit pas à la même échelle que dans le cas de l'entraide avec d'autres institutions publiques. La police met quelquefois, à la disposition de magasins et de banques, des données sur des fraudeurs connus ou sur des cartes de crédits et chèques volés. Une fois encore, le principe 5.3 rappelle qu'il s'agit de cas exceptionnels, nécessitant une obligation ou autorisation légales claires (par exemple, le consentement d'un magistrat), ou le consentement de l'autorité de contrôle. En l'absence de ces éléments, le principe 5.3 reprend les mêmes conditions que celles énoncées au principe 5.2.ii.
64. Les dispositions des principes 5.2 et 5.3 couvrent la diffusion auprès d'organes publics ou de particuliers de photographies ou portraits-robots de suspects résultant d'un traitement automatique de données.
65. Le principe 5.4 a trait au transfert international de données de police, au sens strict, entre organes de police. La référence au droit international concerne non seulement les accords internationaux d'entraide en matière pénale, mais aussi la coopération dans le cadre d'lnterpol. Le principe tient également compte de l'existence ou de la conclusion d'accords entre des Etats voisins destinés à améliorer la communication transfrontière de données entre services de police.
66. En ce qui concerne l'expression "services de police", il est admis que des fonctions de police peuvent être exercées dans certains Etats membres par des organes qui ne sont pas au sens strict des "services de police". Inversement, il se peut que certaines fonctions, dont on estime dans certains Etats membres qu'elles relèvent de la compétence de la police, soient exercées en fait par des institutions différentes dans d'autres Etats membres.
67. C'est pourquoi l'expression "services de police", telle qu'elle est employée dans le principe 5.4, doit être comprise au sens large. Il convient de se demander si l'organe visé exerce une fonction liée à la prévention ou à la répression des infractions pénales ou au maintien de l'ordre public.
Enfin, le principe 5.4 ne devrait pas être interprété comme excluant la possibilité de communiquer des données à des autorités judiciaires étrangères dans la mesure où ces autorités exercent des fonctions concernant la prévention et la répression des infractions pénales. Il va sans dire que les conditions énoncées au principe 5.4 doivent être respectées.
68. Les communications internationales de données personnelles entre services de police ne peuvent avoir lieu que conformément aux conditions énoncées au paragraphe a ou b. Le principe 5.4.b sera applicable si l'Etat destinataire n'est pas membre d'lnterpol ou s'il n'existe pas de traité autorisant la communication des données à l'Etat destinataire.
69. Le texte du principe 5.4 correspond, dans une certaine mesure, aux dispositions de l'article 12 de la Convention pour la protection des données, qui couvrent la question des flux transfrontières de données. Il y a lieu de noter que la clause "dans la mesure où il n'est pas porté atteinte aux réglementations internes relatives à la protection de la personne concernée" correspond au concept de "protection équivalente" assurée par l'autre partie, formulé au paragraphe 3.a de l'article 12. En conséquence, l'autorité de contrôle du pays expéditeur doit s'assurer du niveau de protection des données de police garanti dans l'Etat destinataire. Si elle impose des conditions relatives à l'utilisation des données (durée de conservation, par exemple), ces conditions doivent être respectées. Les principes 5.4.a et b sont régis par cette disposition.
70. Le principe 5.5 énonce un certain nombre de règles qui devraient régir les différentes formes de communication mentionnées plus haut.
En traitant des règles qui devraient régir la communication des données, les auteurs du texte se sont inspirés dans une certaine mesure des dispositions du Règlement relatif à la coopération policière internationale et au contrôle interne des fichiers d'lnterpol. En outre, les dispositions de la Convention européenne d'entraide judiciaire en matière pénale du 20 avril 1959 sont reflétées dans le texte.
71. Les critères définis au principe 5.5.i ont été établis pour que les données soient communiquées de façon justifiée. On peut rappeler que le principe 5.1 oblige un service de police qui demande des informations à un autre service de police à avoir un intérêt légitime à l'obtention de ces données. Aux termes du principe 5.5.i, les échanges de données tant intérieurs qu'internationaux sont soumis à une condition de justification.
72. Toutefois, on admet que le droit interne ou des dispositions d'accords internationaux dispensent dans certains cas de l'obligation d'une demande motivée.
73. Le principe 5.5.ii n'a pas un caractère absolu. Les conditions définies doivent être remplies "pour autant que possible". Il est admis, par exemple, que dans certains pays la police n'est pas toujours informée des décisions judiciaires.
74. Comme indiqué précédemment, l'exactitude des données est dans l'intérêt de la police comme dans celui de l'individu.
75. Le principe 5.5.ii est flexible dans la mesure où on se rend compte que les périodes de vérification sont différentes selon les pays. C'est pourquoi la vérification de la qualité des données a été rendue possible jusqu'au moment de la communication.
76. Le principe 5.5.iii peut permettre l'utilisation exceptionnelle des données à des fins autres que celles qui avaient justifié la demande initiale de communication. Il est essentiel que l'organe expéditeur soit informé de telles intentions, et de ne pas oublier que les différentes finalités doivent se rattacher à un ou plusieurs des facteurs envisagés dans les principes 5.2 à 5.4.
77. Le principe 5.5.iii ne s'applique pas à la communication à l'intérieur de la police. Les règles posées dans les principes 4.1 et 5.1 sont applicables dans ce cas.
78. Si le principe 2 est une clause générale applicable à la collecte de données par la police, le principe 5.6 concerne la situation particulière dans laquelle celle-ci peut chercher à rassembler des informations en mettant en relation ses propres fichiers avec ceux détenus à d'autres fins, tels qu'institutions de sécurité sociale, lignes aériennes pour les listes de passagers, syndicats disposant de registres d'adhérents, etc, ou encore, si l'on cherche à comparer un certain nombre de fichiers pour voir s'ils donnent une image précise d'un certain type de délinquance et des catégories de personnes susceptibles de s'engager dans cette délinquance.
79. La légitimité de telles pratiques est subordonnée à l'attribution de l'une des catégories d'autorisation figurant aux paragraphes a et b. La "disposition légale claire" visée au principe 5.6.b devrait indiquer les conditions dans lesquelles la mise en relation peut s'effectuer.
80. La possibilité pour la police d'accéder directement par ordinateur aux fichiers détenus par ses différents organes ou par d'autres institutions est examinée au dernier alinéa du principe 5.6. Dans ce cas, l'accès direct devrait être conforme à la législation interne qui devrait refléter certains éléments clés de la Recommandation. 
Principe 6 - Publicité, droit d'accès aux fichiers de police, droit de rectification et droit de recours
81. L'obligation d'une publicité relative à l'existence de fichiers de police ainsi qu'aux droits de l'individu à l'égard de ces fichiers revêt une importance fondamentale. Le principe 6.1 attribue cette fonction de publicité à l'autorité de contrôle, mais les gouvernements des Etats membres trouveront sans aucun doute d'autres moyens de la mettre en oeuvre.
82. L'exigence de publicité s'applique en principe à tous les fichiers automatisés. Toutefois, on admet que l'importance des informations communiquées à propos des fichiers de police dépend des circonstances. La description peut être plus générale, par exemple, pour un fichier ad hoc ayant trait à une affaire délicate en cours.
83. L'individu doit pouvoir, en premier lieu, adresser au maître du fichier une demande d'accès à un fichier de police. Ce droit doit être exercé au moins par l'intermédiaire de l'autorité de contrôle, le mode d'exercice étant déterminé par le droit interne. En outre, le principe 6.2 cherche à garantir l'accès de la personne concernée, à des intervalles raisonnables et sans délai excessif.
84. En principe, les demandes d'accès à des données ne devraient pas être enregistrées, car l'enregistrement pourrait gêner l'exercice du droit précité. Si néanmoins un Etat membre applique un système d'enregistrement, il faut veiller à ce que le registre des demandes soit distinct des fichiers pénaux normaux détenus par la police. Il faudrait également veiller à la destruction du registre après un délai raisonnable.
85. Lorsque l'exercice du droit d'accès a révélé une inexactitude des données, ou lorsque l'application d'autres principes a permis de constater que celles-ci étaient inexactes, non pertinentes ou excessives, le principe 6.3 prévoit que la police doit faire en sorte que le fichier soit rectifié. Elle peut le faire en effaçant les données inexactes ou en rectifiant les informations de telle sorte qu'elles correspondent à la situation réelle. Comme possibilité alternative à l'effacement, le principe 6.3 ne fait pas obstacle au maintien des données dans le fichier à condition d'y ajouter une déclaration rectificative indiquant la situation réelle. Cette dernière méthode s'appliquerait, par exemple, aux déclarations de témoins dont on a pu démontrer l'inexactitude. Plutôt que d'éliminer entièrement la déclaration du dossier, il pourrait être souhaitable de l'y maintenir, tout en y adjoignant une version authentique des faits.
86. Le deuxième alinéa du principe 6.3 fixe un calendrier relatif aux mesures d'effacement ou de rectification. Il y a lieu de noter que ces précautions ne se limitent pas au fichier proprement dit, mais doivent s'étendre, dans toute la mesure du possible, à tous les documents annexes.
87. L'expérience de l'un au moins des Etats membres a montré qu'il devrait être possible en principe d'autoriser l'accès dans la très grande majorité des cas. Le principe 6.4 reconnaît que le droit d'accès (et donc le droit de rectification et d'effacement) peut être refusé dans les deux cas énoncés.
88. Il y a lieu de noter que la restriction nécessaire à la protection de la personne concernée et des droits et libertés d'autrui s'inspire de l'article 9, paragraphe 2.b, de la Convention pour la protection des données. Dans le contexte de la police, cette expression pourrait couvrir l'opportunité de protéger des témoins ou des informateurs.
89. La seconde justification d'une restriction de l'accès, le cas où elle est "indispensable à l'accomplissement d'une tâche légale de la police" n'a pas de contrepartie exacte à l'article 9 de la Convention. Toutefois, dans le contexte des restrictions au droit d'accès, la dérogation contenue dans la Convention ("la répression des infractions pénales") est interprétée au mieux de cette manière.
90. Il peut être fait pression sur un individu pour obtenir une copie de son dossier de police, par exemple, par un employeur potentiel. Il peut ne pas être dans son intérêt de recevoir une copie ou un état du contenu du fichier. Dans un tel cas, la législation interne peut permettre une communication orale du contenu du fichier.
91. Les principes 6.5 et 6.6 établissent certaines garanties de procédure dans l'éventualité d'un refus ou d'une restriction des droits d'accès, de rectification et d'effacement. En premier lieu, un refus ou une restriction doivent être motivés par écrit. Il importe de démontrer que le devoir conféré à la police par le principe 6.4 - mettre en parallèle les droits de la personne concernée et les intérêts supérieurs à préserver - a été exercé.
92. On peut remarquer que la communication des motifs peut être refusée uniquement pour les raisons mêmes qui justifient un refus et une restriction des droits d'accès, de rectification ou d'effacement. La personne concernée doit être informée de son droit de recours contre un refus d'accès. Ce droit doit être indiqué dans la décision motivée, envisagée au principe 6.5. Toutefois, même si les raisons d'un refus d'accès ne sont pas mentionnées parce que la police a estimé qu'un intérêt supérieur entrait en ligne de compte, des informations doivent être communiquées à l'individu sur la manière de contester cette décision.
93. Le principe 6.6 est rédigé de manière à tenir compte des différentes pratiques des Etats membres concernant l'exercice du droit d'accès. Il se peut que les ressortissants de certains pays ne jouissent pas du droit d'accès direct aux fichiers de police et ne puissent les consulter que par l'intermédiaire de l'autorité de contrôle.
94. La mention d'"un autre organe indépendant" indique qu'un tribunal peut remplacer l'autorité de contrôle dans certains pays aux fins de recours. Indépendamment de cette possibilité, la personne concernée aura bien entendu le droit de s'adresser à une juridiction en vue d'obtenir la rectification d'un fichier ou de le faire compléter, etc, lorsque sa demande aura été rejetée.
95. La législation interne détermine les pouvoirs d'intervention de l'autorité de contrôle ou d'un autre organe indépendant relatifs à l'examen du fichier de police contesté. Il peut se faire que l'organe chargé de l'inspection ne soit pas tenu de communiquer effectivement les données à la personne concernée, même s'il n'y a pas eu justification du refus d'accès. La personne concernée peut simplement être informée qu'une vérification du fichier de police a eu lieu et que ce fichier est correct. Ou encore, l'organe chargé de la vérification peut décider de communiquer à la personne concernée les informations contenues dans le fichier. 
Principe 7 - Durée de conservation et mise à jour des données
96. Il est essentiel que les fichiers de police fassent l'objet d'examens périodiques, afin d'en éliminer les données superflues ou inexactes et de les mettre à jour. Le principe 7.1 énumère certaines considérations à garder à l'esprit pour déterminer si des données restent ou non nécessaires à la prévention et à la répression de la délinquance ou au maintien de l'ordre public.
97. Le principe 7.2 exprime le souhait que la qualité des données soit contrôlée régulièrement en application de règles établies et que des dispositions fixant des périodes de conservation soient appliquées à ces données. La mise en oeuvre de ce principe faciliterait la tâche attribuée à la police par le principe 5.5.ii.
98. Le droit interne donne parfois les moyens d'établir de telles règles, qui peuvent également être formulées par l'autorité de contrôle elle-même, en consultation avec les organes de police. Si la police elle-même devait élaborer des règles, l'autorité de contrôle devrait être consultée quant à leur teneur et leur application.
99. Il est admis que les données de police présentent un intérêt évident à des fins de recherche et de statistiques. Le droit interne sur les archives permettra de traiter tous les problèmes qui pourraient se poser dans ce contexte. Il convient de se référer en outre, le cas échéant, aux dispositions de la Recommandation n°  R (83) 10 relative à la protection des données à caractère personnel utilisées à des fins de recherche scientifique et de statistiques. 
Principe 8 - Sécurité des données
100. Le principe 8 exprime la nécessité de garantir aussi bien la sécurité physique que le caractère confidentiel des données. L'organe responsable déjà mentionné devra faire en sorte que seul un personnel spécifiquement accrédité ait accès aux terminaux et que des autorisations soient délivrées pour la communication de données répondant aux demandes faites en application du principe 5. A cet effet, l'organe responsable pourrait tenir un registre des catégories d'informations envisagées au principe 5.5.i.
Par lettre du 10 décembre 1997, le Gouvernement irlandais a notifié au Secrétaire Général sa décision de limiter la réserve faite lors de l'adoption de la recommandation aux trois dispositions suivantes : Principe 2.2; Principe 2.3 et Principe 2.4



 Haut de page

 

  Documents liés
 
   Réunions
 
   Documents connexes