La Commission doit présenter son rapport public sur l’évaluation et le réexamen de la directive dite « police-justice » au Parlement européen et au Conseil au plus tard le 6 mai 2026. En amont, la Commission a recueilli les points de vue des autorités européennes de protection des données sur l’application et le fonctionnement de cette directive au cours de la période allant de janvier 2022 au 31 août 2025.

Le CEPD facilite la coopération et la coordination entre les autorités de contrôle lorsqu’elles supervisent le traitement des données par les autorités répressives. Le secrétariat du CEPD assure également le secrétariat du comité de supervision coordonné (CSC), qui assure le contrôle coordonné des systèmes d’information à grande échelle et des organes et agences de l’UE dans les domaines de l’application de la loi et de la justice pénale.

Dans son rapport, le CEPD souligne le rôle clé de la directive dite « police-justice ». Les autorités ont de plus en plus conseillé les autorités nationales compétentes sur l’atténuation des violations de données, tandis que de nombreuses autorités ont également mené des activités de sensibilisation et publié des orientations.

Le CEPD prend note de la demande des autorités de protection des données visant d’une part à clarifier le champ d’application de cette directive, notamment sur les possibles recoupements avec le RGPD, et d’autre part à relever de manière plus approfondie les défis posés par l’utilisation croissante des nouvelles technologies, telles que l’IA, dans un contexte répressif. Le CEPD souligne la nécessité pour les autorités répressives de recourir à ces outils dans le strict respect des dispositions de la directive, en veillant à ce que leur utilisation soit nécessaire, proportionnée et assortie de garanties adéquates.

Selon le CEPD, dans le contexte de la jurisprudence qui s’est développée depuis la dernière évaluation de la directive police-justice, il est essentiel de renforcer encore sa mise en œuvre dans l’ensemble de l’Union européenne. En outre, le rôle des délégués à la protection des données (DPD) devrait être renforcé afin de garantir l’application efficace et cohérente des règles en matière de protection des données dans les activités répressives.

Enfin, le CEPD souligne que tant les autorités que le CEPD ont besoin de ressources financières et humaines supplémentaires pour mener à bien les nouvelles tâches découlant d’actes juridiques récents, y compris les responsabilités liées au CSC, dont les activités comprennent désormais également la surveillance du système d’information sur les visas (VIS), de Prüm II et du système d’entrée/sortie (EES).

---

D’autre part, le CEPD a adopté les recommandations 1/2026 sur la demande d’approbation et sur les éléments et principes qui doivent figurer dans les règles d’entreprise contraignantes pour les sous-traitants (BCR-ST).