Directive Police-Justice : une étude EDRi dénonce une transposition encore fragmentée huit ans après
Huit ans après son entrée en application, la Directive Police-Justice — le pendant pénal du RGPD — reste transposée de façon disparate d'un État membre à l'autre. C'est le constat d'une étude commandée par l'ONG European Digital Rights (EDRi), publiée alors même que la Commission européenne doit rendre sa première évaluation officielle du texte.
Ce qui s'est passé
EDRi a fait réaliser une étude évaluant la mise en œuvre de la Law Enforcement Directive (LED, directive (UE) 2016/680) dans cinq États membres. Adoptée en 2016 en même temps que le RGPD et applicable depuis le 6 mai 2018, la LED encadre le traitement des données à caractère personnel par les autorités de police et de justice pénale — prévention, enquête, détection et poursuite des infractions. Verdict de l'étude : la transposition reste « fragmentée et insuffisante », avec des écarts notables entre droits nationaux sur des points aussi structurants que la durée de conservation, les garanties applicables au profilage ou les modalités d'exercice des droits des personnes.
Le calendrier n'est pas anodin. La LED prévoit, à son article 62, une clause de réexamen imposant à la Commission de remettre au Parlement et au Conseil une première évaluation du texte. Le Comité européen de la protection des données (EDPB) a lui aussi transmis sa contribution pour nourrir cet exercice. L'étude EDRi s'inscrit donc dans une fenêtre de révision où le sort de la directive — statu quo, refonte ou rapprochement avec le RGPD — reste ouvert.
Pourquoi c'est important
On l'oublie souvent : le RGPD ne couvre pas tout. Dès qu'une donnée est traitée par une autorité à des fins répressives, c'est la LED qui s'applique, et non le règlement. Or, contrairement au RGPD qui est d'application directe, la LED est une directive : chaque État membre la transpose dans son droit national, avec sa propre marge d'appréciation. Le patchwork de régimes décrit par EDRi est la conséquence mécanique de ce choix d'instrument.
Pour un délégué à la protection des données, cette frontière est rarement théorique. Une entreprise qui répond à une réquisition judiciaire, un sous-traitant technique d'un service de police, un organisme qui transmet des données dans le cadre d'une enquête : tous se trouvent à l'interface des deux régimes. Comprendre lequel s'applique conditionne la base légale, les délais de réponse aux personnes et les garanties à documenter.
La fragmentation pointée par EDRi rejoint par ailleurs un mouvement de fond. L'EDPB a fait de l'articulation entre régimes — RGPD, DSA, DMA, AI Act — l'enjeu central de la prochaine décennie. Une LED transposée de manière disparate fragilise tout l'édifice : elle crée des angles morts là où les données circulent le plus, entre acteurs privés et autorités publiques.
Ce que ça change pour les organisations
À court terme, l'étude EDRi ne modifie aucune obligation : c'est un document de plaidoyer, pas un texte normatif. Mais elle annonce une séquence à surveiller, et trois réflexes s'imposent dès maintenant pour les DPO et responsables conformité.
D'abord, cartographier les traitements qui basculent hors RGPD : tout flux de données vers une autorité répressive doit être identifié dans le registre des activités de traitement et qualifié correctement. Ensuite, sécuriser les procédures d'exercice des droits : lorsqu'une demande porte sur des données détenues par une autorité de police, les règles et les délais diffèrent de ceux applicables au droit d'accès RGPD — mieux vaut l'avoir anticipé que l'improviser. Enfin, suivre l'évaluation de la Commission : si elle débouche sur une révision, le rôle de supervision des autorités de contrôle nationales sera précisé, y compris vis-à-vis des sous-traitants privés.
Ce que Leto pense de cette décision
La LED est l'angle mort du RGPD. Huit ans après, peu d'organisations savent même qu'elle existe — et c'est précisément ce que l'étude EDRi rend visible. Une directive plutôt qu'un règlement, cinq transpositions, cinq régimes : le diagnostic était prévisible dès 2016. La vraie question n'est pas de constater la fragmentation, mais de décider quoi en faire. Pour nous, l'évaluation de la Commission devrait servir de point de bascule : soit on aligne franchement la LED sur les standards du RGPD, soit on assume un droit pénal des données à deux vitesses. Les DPO n'ont pas à attendre cette décision pour agir : ils doivent dès maintenant traiter l'interface police/RGPD comme un sujet de conformité à part entière, pas comme une curiosité juridique.
Sources :
