21.7.2007   

FR

Journal officiel de l'Union européenne

C 169/2

1.

En février 2007, quinze États membres ont pris l'initiative précitée en vue de l'adoption de la décision du Conseil relative à l'approfondissement de la coopération transfrontière, notamment en vue de lutter contre le terrorisme et la criminalité transfrontière (3). Cette initiative traite de questions concernant le traitement de données à caractère personnel. Le contrôleur européen de la protection des données est chargé de formuler un avis sur cette initiative étant donné que cela relève de la mission qui lui a été confiée, notamment à l'article 41 du règlement (CE) no 45/2001. Le CEPD rend d'office le présent avis puisqu'aucune demande d'avis ne lui a été adressée (4). Selon le CEPD, le présent avis devrait être mentionné dans le préambule de la décision du Conseil (5).

2.

L'initiative est unique en son genre dans le cadre de la coopération relevant du troisième pilier. Elle vise à rendre applicables à l'ensemble des États membres les parties essentielles du traité de Prüm, qui a été signé par sept États membres le 27 mai 2005 (6). Certains de ces sept États membres ont déjà ratifié ces parties essentielles, tandis que d'autres ont entrepris de le faire. De toute évidence, l'intention n'est donc pas de modifier ces parties essentielles quant au fond (7).

3.

Comme l'indiquent les considérants, l'initiative doit être considérée comme une mise en oeuvre du principe de disponibilité présenté dans le programme de La Haye de 2004 comme une approche innovante de l'échange transfrontière d'informations en matière répressive (8). L'initiative est présentée comme une solution de rechange à la proposition de décision-cadre du Conseil relative à l'échange d'informations en vertu du principe de disponibilité, sur laquelle le CEPD a rendu son avis le 28 février 2006 (9) et qui n'a pas fait l'objet d'un débat au sein du Conseil en vue de son adoption.

4.

L'initiative adopte une approche fondamentalement différente de celle de la proposition de décision-cadre susmentionnée. Alors que cette proposition prévoit un accès direct aux informations disponibles, l'initiative envisage un accès indirect via des données indexées. De plus, l'initiative fait obligation aux États membres de collecter et de stocker certaines informations, même si celles-ci ne sont pas encore disponibles sur le territoire national.

5.

L'initiative met fortement l'accent sur l'échange d'informations biométriques entre les autorités policières et judiciaires des États membres, notamment des données provenant des fichiers d'analyses ADN et des systèmes automatisés d'identification dactyloscopique [systèmes contenant des empreintes digitales (10)].

6.

L'initiative comporte un chapitre 6 intitulé «Dispositions générales relatives à la protection des données». Ce chapitre contient un certain nombre de dispositions en matière de protection des données, qui sont adaptées à la nature particulière de l'échange de données qu'elles régissent (11). Le cadre général pour la protection des données auquel renvoie également le chapitre 6 est la Convention no 108 du Conseil de l'Europe (12) et des documents connexes du Conseil de l'Europe, la décision-cadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale n'ayant pas été adoptée (13).

7.

Le présent avis tiendra compte de la nature tout à fait particulière de l'initiative, plus précisément du fait qu'il n'est pas prévu d'apporter, sur le fond, d'importantes modifications aux dispositions. Le CEPD mettra donc l'accent sur un certain nombre de questions plus générales en rapport avec l'initiative et son contexte. Les modifications que le CEPD propose ont essentiellement pour effet d'améliorer le texte, sans toucher au système d'échange d'informations proprement dit.

8.

La première question a trait à la procédure. L'initiative implique qu'un petit nombre d'États membres définissent les choix de politique générale de l'ensemble des États membres, dans un domaine qui est couvert par les dispositions du traité UE, en particulier le titre VI du traité UE (le troisième pilier). Les procédures du titre VI pour la coopération renforcée n'ont pas été suivies.

9.

La deuxième question concerne le principe de disponibilité. Bien que l'initiative doive être considérée comme une mise en œuvre de ce principe, elle ne débouche pas sur la disponibilité en tant que telle, mais n'est qu'un nouveau pas en avant sur la voie de la disponibilité transfrontière d'informations en matière répressive. Il s'agit d'un élément parmi tant d'autres d'une approche qui vise à faciliter l'échange d'informations en matière répressive.

10.

La troisième question peut être ramenée à celle de la proportionnalité. Il est difficile de déterminer si les dispositions de l'initiative en vue de l'adoption d'une décision du Conseil sont justifiées par la nécessité de lutter contre le terrorisme et la criminalité transfrontière. Le CEPD rappelle que le traité de Prüm a été conçu comme un «laboratoire» pour l'échange transfrontière d'informations, notamment de fichiers d'analyses ADN et d'empreintes digitales. Or, la présentation de l'initiative est antérieure à la réalisation concrète des expériences d'échange (14).

11.

La quatrième question a trait à l'utilisation de données biométriques. L'initiative requiert la collecte, le stockage et l'échange (limité) de fichiers d'analyses ADN et d'empreintes digitales. L'utilisation de ces données biométriques à des fins répressives comporte des risques particuliers pour les personnes concernées et nécessite des garanties supplémentaires pour la protection des droits de ces personnes.

12.

La cinquième question découle du fait que la décision du Conseil devrait s'appuyer sur un cadre général approprié pour la protection des données dans le troisième pilier, alors que ce cadre n'a pas encore été mis en place au niveau de l'UE. Dans son avis, le CEPD illustrera l'importance que revêt un tel cadre général, qu'il considère comme une condition sine qua non pour que des services répressifs procèdent à l'échange de données à caractère personnel sur la base de l'initiative.

13.

Le traité de Prüm est souvent comparé à l'accord de Schengen de 1985 et à la convention de Schengen de 1990, pour des raisons évidentes. Les pays concernés sont presque les mêmes, le thème est analogue et il y a un lien étroit avec la coopération au sein de l'UE (15). Toutefois, il existe une différence fondamentale par rapport à Schengen. Actuellement, un cadre juridique européen permet à l'Union européenne de réglementer les questions concernées et il avait d'ailleurs été prévu d'y recourir pour les (principaux) aspects couverts par le traité de Prüm. Plus précisément, à l'époque de la conclusion du traité de Prüm, la Commission travaillait à l'élaboration d'une proposition de décision-cadre du Conseil (16).

14.

Les États membres concernés ont néanmoins opté pour un traité multilatéral leur permettant de contourner l'épineux problème d'une législation exigeant l'unanimité dans le cadre du troisième pilier. Ils ont également éludé les exigences de la coopération renforcée, tant au niveau du fond que de la procédure, énoncées aux articles 40, 40 A, 43 et 43 A du traité UE (17). Cela est d'autant plus important que la procédure prévue en matière de coopération renforcée présentait un caractère obligatoire à condition de réunir au minimum huit États membres. Or, sept États membres seulement ont signé le traité de Prüm, mais ils ont par la suite encouragé d'autres États membres à y adhérer. On pourrait certes affirmer que le traité de Prüm enfreint le droit de l'Union européenne, pour les raisons susmentionnées. Toutefois, il s'agit d'un argument essentiellement théorique, étant donné que, dans le cadre du troisième pilier, la Commission a des compétences limitées pour veiller au respect du droit de l'Union européenne par les États membres et, de son côté, la Cour de justice, ainsi que d'autres cours, ont elles aussi des compétences limitées.

15.

Dans la situation actuelle, quinze États membres ont pris l'initiative visant à remplacer le traité de Prüm par une décision du Conseil. Bien que la possibilité d'un changement des dispositions quant au fond ne soit pas, et ne puisse pas être, formellement exclue, l'objectif des États membres qui ont présenté l'initiative est clairement de ne pas permettre de changements de fond. Cet objectif découle du fait que les sept pays ayant adhéré au traité de Prüm viennent de transposer le traité de Prüm dans leur droit interne (ou sont arrivés à un stade avancé de la transposition) et qu'ils ne veulent pas modifier à nouveau leurs dispositions nationales. L'objectif visé transparaît par ailleurs dans la façon dont la présidence allemande du Conseil procède à l'égard de ce dossier. En effet, le calendrier fixé pour l'adoption est très serré et l'initiative ne sera pas examinée au sein d'un groupe du Conseil mais seulement par le Comité de l'article 36 (qui est un comité de coordination composé de hauts fonctionnaires, fondé sur l'article 36 du traité UE).

16.

En conséquence, les autres États membres n'ont pas leur mot à dire dans le choix des règles. Ils peuvent uniquement choisir de participer ou non. Comme le troisième pilier exige l'unanimité, si un État membre n'approuve pas le texte, il peut arriver que les autres États membres décident de poursuivre, sur la base de la procédure de la coopération renforcée.

17.

Ce contexte a également des répercussions sur la légitimité démocratique de l'initiative, étant donné que l'avis du Parlement européen, rendu conformément à l'article 39 du traité UE, ne peut guère avoir de conséquence sur le choix des règles. De la même façon, le présent avis ne peut avoir qu'un impact limité.

18.

Le CEPD estime fâcheux que l'on ait suivi cette procédure car cela conduit à ignorer totalement la nécessité d'un processus législatif démocratique et transparent puisque les facultés, déjà très limitées, instituées par le troisième pilier ne sont même pas respectées. À ce stade, le CEPD prend acte du fait que c'est cette procédure qui a été choisie et il se concentrera donc, dans son avis, essentiellement sur le fond de l'initiative.

19.

Enfin, le CEPD a noté que l'initiative prévoit l'instrument d'une décision du Conseil et non pas d'une décision-cadre du Conseil, bien que l'initiative se rapporte à l'objectif du rapprochement des dispositions législatives et réglementaires des États membres. Ce choix de l'instrument pourrait être lié à la possibilité d'arrêter les mesures de mise en œuvre en statuant à la majorité qualifiée, dans le cas de décisions du Conseil telles qu'elles sont définies à l'article 34, paragraphe 2, point c), du traité UE. L'article 34 de l'initiative traite de ces mesures de mise en œuvre.

20.

Le CEPD recommande que soit ajoutée une phrase à l'article 34 de l'initiative en vue de l'adoption d'une décision du Conseil, qui serait libellée comme suit: «Il consulte le CEPD avant d'arrêter de telles mesures.» La raison en est évidente. Les mesures de mise en œuvre ont la plupart du temps des incidences sur le traitement de données à caractère personnel. De surcroît, si la Commission ne prend pas l'initiative de telles mesures, l'article 28, paragraphe 2, du règlement (CE) no 45/2001 ne s'applique pas.

21.

Dans ce contexte, il convient de noter que les sept États membres qui ont signé le traité de Prüm ont également conclu, le 5 décembre 2006, un accord d'exécution contenant les dispositions nécessaires à la mise en œuvre administrative et technique et à l'exécution du traité (18). L'on peut supposer que cet accord d'exécution servira de modèle aux mesures de mise en œuvre qui seront arrêtées en vertu de l'article 34 de l'initiative en vue de l'adoption d'une décision du Conseil. Le présent avis renverra à cet accord d'exécution dans la mesure où cela permettrait de mieux comprendre l'initiative proprement dite.

22.

Le principe de disponibilité peut être considéré comme un instrument important pour la réalisation d'un espace de liberté, de sécurité et de justice sans frontières intérieures. Le libre échange d'informations entre services répressifs constitue une mesure importante face aux contraintes territoriales dans la lutte contre la criminalité, les frontières intérieures ayant été maintenues dans le cadre des enquêtes.

23.

Conformément au programme de La Haye, ce principe signifie que «dans l'ensemble de l'Union, tout agent des services répressifs d'un État membre qui a besoin de certaines informations dans l'exercice de ses fonctions peut les obtenir d'un autre État membre, l'administration répressive de l'autre État membre qui détient ces informations les mettant à sa disposition aux fins indiquées […]». Il est par ailleurs souligné dans le programme que «les méthodes utilisées pour échanger les informations devraient exploiter pleinement les nouvelles technologies et être adaptées à chaque type d'information, s'il y a lieu, par le biais d'un accès réciproque aux banques de données nationales, de leur interopérabilité ou de l'accès direct (en ligne)».

24.

Compte tenu des considérations qui précèdent, l'initiative ne constitue qu'un petit pas. Ses ambitions sont nettement plus modestes que celles de la proposition de décision-cadre du Conseil présentée par la Commission relative à l'échange d'informations en vertu du principe de disponibilité. L'initiative peut être qualifiée de mesure allant dans le sens de la disponibilité, mais au sens strict elle n'applique pas le principe de disponibilité. Elle complète d'autres mesures visant à faciliter l'échange d'informations en matière répressive, telle que la décision-cadre 2006/960/JAI du Conseil du 18 décembre 2006 relative à la simplification de l'échange d'informations et de renseignements entre les services répressifs des États membres de l'Union européenne (19), qui doivent veiller à ce que les informations et les renseignements soient fournis aux autorités des autres États membres, sur demande.

25.

Dans son avis sur la proposition de la Commission, le CEPD préconisait que le principe de disponibilité soit appliqué en suivant une approche plus prudente et progressive. Dans le cadre de cette approche, il conviendrait de limiter les types de données échangées en vertu du principe de disponibilité et de n'autoriser qu'un accès indirect, par le biais de données d'index (20). Une telle approche progressive permet aux parties prenantes de surveiller l'efficacité de l'échange d'informations à des fins répressives, ainsi que les conséquences pour la protection des données à caractère personnel du citoyen.

26.

Ces observations demeurent valables en l'espèce. Le CEPD note avec satisfaction que l'initiative adopte cette approche plus prudente et progressive comme moyen de mettre en œuvre le principe de disponibilité.

27.

Les articles 5 et 10 de l'initiative illustrent en quelque sorte cette approche. Ils concernent la transmission d'autres données à caractère personnel (et d'autres informations) en cas de concordance respectivement de profils ADN et d'empreintes digitales. Les deux cas sont régis par le droit national de l'État membre requis, y compris les dispositions relatives à l'entraide judiciaire. L'impact juridique de ces deux articles est limité. Ils constituent une règle de conflits de lois (de nature déclaratoire, qui ne modifie pas la situation actuelle) mais ils n'appliquent pas le principe de disponibilité (21).

28.

Un échange efficace d'informations en matière répressive est un enjeu fondamental pour la coopération policière et judiciaire. Il est essentiel pour la création d'un espace de liberté, de sécurité et de justice sans frontières intérieures que les informations soient accessibles par delà les frontières nationales. Il convient de mettre en place un cadre juridique approprié afin de faciliter les échanges.

29.

Une autre chose est de déterminer si les dispositions de l'initiative sont justifiées par la nécessité de lutter contre le terrorisme et la criminalité transfrontière, autrement dit déterminer si elles sont nécessaires et proportionnées.

30.

Tout d'abord, au niveau de l'Union européenne, un certain nombre de mesures ont été adoptées afin de faciliter l'échange d'informations en matière répressive. Dans certains cas, ces mesures comprennent l'établissement d'une organisation centralisée, comme Europol ou Eurojust, ou d'un système d'information centralisé, comme le Système d'information Schengen. D'autres mesures portent sur les échanges directs entre les États membres, comme c'est le cas de l'initiative. Tout récemment, la décision-cadre 2006/960/JAI a été adoptée en tant qu'instrument de simplification de l'échange d'informations et de renseignements entre les services répressifs.

31.

En règle générale, il conviendrait de n'adopter de nouveaux instruments juridiques en matière de coopération policière et judiciaire qu'après que les mesures législatives existantes ont fait l'objet d'une évaluation concluant à l'insuffisance de ces mesures. Les considérants figurant dans le texte de l'initiative ne permettent pas de penser que les mesures existantes aient fait l'objet d'une évaluation complète. Il y est fait référence à la décision-cadre 2006/960/JAI et il est y précisé que les nouvelles technologies devraient être exploitées pleinement et qu'un accès réciproque aux banques de données nationales devrait également être prévu. Il est primordial que des informations précises puissent être échangées de manière rapide et efficace. Les considérants n'indiquent rien de plus. Aucune référence n'y est faite, par exemple, à l'échange d'informations entre les États membres via le Système d'information Schengen, qui est un instrument essentiel pour l'échange d'informations entre les États membres.

32.

Le CEPD regrette que l'initiative soit publiée sans que les mesures existantes concernant l'échange d'informations en matière répressive n'aient fait l'objet d'une évaluation adéquate et il demande au Conseil d'inclure une telle évaluation dans la procédure d'adoption.

33.

En deuxième lieu, comme nous l'avons indiqué plus haut, le traité de Prüm a été conçu comme un «laboratoire» pour l'échange transfrontière d'informations, notamment de fichiers d'analyses ADN et d'empreintes digitales. Il devrait permettre aux États membres concernés d'expérimenter ce type d'échange. À la date où l'initiative en vue d'une décision du Conseil a été publiée, des expériences n'avaient pas été menées concrètement à plus grande échelle, mis à part un premier échange effectué entre l'Allemagne et l'Autriche (22).

34.

Le CEPD n'est pas convaincu que les premiers résultats de cet échange limité — tout intéressants qu'ils sont, ces résultats ont été obtenus sur une courte période et seulement pour les deux États membres concernés — puissent constituer une base empirique suffisante pour permettre d'appliquer le système à tous les États membres.

35.

Entre la mise en place d'un système d'échange d'informations entre quelques États membres qui ont déjà de l'expérience en matière de bases de données ADN, et la mise en place d'un système à l'échelle de l'UE, englobant des États membres qui n'ont aucune expérience en la matière, il y a une différence d'échelle. Il faut considérer en outre le fait que, à petite échelle, des contacts étroits sont possibles entre les États membres impliqués, lesquels contacts pourraient également être utiles pour contrôler les risques pour la protection des données à caractère personnel des personnes concernées. Qui plus est, l'expérience à petite échelle est nettement plus facile à superviser. Par conséquent, même si le traité de Prüm lui-même devait être considéré comme nécessaire et proportionné, cela ne signifie pas pour autant que l'on arriverait à la même conclusion pour l'initiative.

36.

En troisième lieu, comme on le verra plus loin dans le présent avis, il y a des différences importantes entre les législations nationales des États membres, en ce qui concerne la collecte et l'utilisation de données biométriques à des fins répressives. De plus, les pratiques nationales ne sont pas harmonisées. Dans ce contexte, on notera par ailleurs que l'on n'a pas encore adopté de cadre juridique harmonisé pour la protection des données dans le troisième pilier.

37.

L'initiative n'harmonise pas les éléments essentiels de la collecte et de l'échange des différents types de données concernées. Ainsi, elle reste imprécise quant aux finalités de la collecte et de l'échange. Les dispositions relatives aux profils ADN s'appliquent-elles à toutes les formes de criminalité ou bien un État membre a-t-il la possibilité de limiter leur application aux formes plus graves de criminalité? Elle ne précise pas non plus qui sont les personnes concernées par la collecte et l'échange. Les bases de données contiennent-elles uniquement du matériel (biométrique) de personnes soupçonnées et/ou condamnées, ou également du matériel d'autres personnes, comme des témoins ou d'autres personnes qui se sont un jour trouvées dans le voisinage d'une scène de crime? D'après le CEPD, une harmonisation minimale de ces éléments essentiels aurait été préférable, également pour veiller au respect des principes de nécessité et de proportionnalité.

38.

Le CEPD tire les conclusions suivantes: il ressort clairement que l'initiative se révélera probablement être un instrument utile pour la coopération policière. C'est d'autant plus manifeste à la lumière des premières expériences qui ont eu lieu avec le traité de Prüm en Allemagne et en Autriche. Toutefois, il n'est pas facile d'examiner cette initiative sous l'angle de la nécessité et de la proportionnalité. Le CEPD déplore que l'initiative soit prise sans qu'une analyse d'impact appropriée n'ait été effectuée, compte tenu des observations faites dans cette partie du présent avis. Il invite le Conseil à faire figurer une évaluation de ce type dans la procédure d'adoption et à examiner, dans le cadre de cette évaluation, d'autres modalités d'action, si possible moins susceptibles de porter atteinte à la vie privée (23).

39.

Le CEPD propose également qu'une clause d'évaluation soit incorporée au chapitre 7 de l'initiative («Dispositions de mise en œuvre et dispositions finales»). Cette clause d'évaluation pourrait être libellée comme suit: «La Commission présente au Parlement européen et au Conseil une évaluation de l'application de la présente décision du Conseil afin de déterminer s'il y a lieu de modifier les dispositions de la présente décision, au plus tard trois ans après l'entrée en vigueur de la décision du Conseil.»

40.

Une telle clause d'évaluation est un instrument particulièrement utile dans le contexte actuel, puisque la nécessité et la proportionnalité de l'initiative ne sont pas (encore) clairement établies et qu'un système d'échange d'informations est introduit à l'échelle de l'UE sur la base d'expériences limitées.

41.

Le chapitre 2, qui porte sur l'accès en ligne et les demandes de suivi, établit une distinction entre trois types de données: les profils ADN, les empreintes digitales et les données relatives à l'immatriculation des véhicules. Cette distinction nous conduit à formuler deux observations d'ordre général.

42.

Premièrement, il convient de noter que toutes les données traitées dans le cadre de la décision du Conseil à l'examen, à l'exception de celles visées à l'article 13 (24), sont des données à caractère personnel au sens de la directive 95/46/CE (25) et d'autres instruments du droit communautaire. L'article 2, point a), de cette directive définit la notion de «données à caractère personnel» comme suit: toute information concernant une personne physique identifiée ou identifiable; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale. La proposition de décision-cadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, qui — une fois qu'elle aura été adoptée — devrait être applicable à l'échange d'informations en vertu de l'initiative à l'examen, utilise la même définition. Le CEPD regrette que l'initiative ne prévoie pas de définition des données à caractère personnel et suggère, pour des raisons de clarté juridique, d'en insérer une à l'article 24.

43.

En tout état de cause, selon la définition citée au point précédent, il ne fait aucun doute que les bases de données ne contenant que des profils ADN et des données indexées provenant des fichiers d'analyses ADN et des systèmes d'identification par empreintes digitales sont également considérées, totalement ou principalement, comme des recueils de données à caractère personnel.

44.

Deuxièmement, la finalité des échanges d'informations est différente pour chacun des trois types de données à caractère personnel (profils ADN, empreintes digitales et données relatives à l'immatriculation des véhicules). En ce qui concerne les profils ADN, les États membres créent et conservent des fichiers nationaux d'analyses ADN aux fins des enquêtes relatives aux infractions pénales (article 2, paragraphe 1); pour ce qui est des empreintes digitales, ils veillent à la disponibilité des données indexées provenant du fichier regroupant les systèmes automatisés nationaux d'identification par empreintes digitales créés en vue de la prévention et des enquêtes en matière d'infractions pénales (article 8); enfin, en ce qui concerne les données relatives à l'immatriculation des véhicules, les échanges portent non seulement sur la prévention et les enquêtes en matière d'infractions pénales, mais aussi sur d'autres infractions — non pénales —, ainsi que sur le maintien de l'ordre et de la sécurité publics (article 12, paragraphe 1).

45.

De même, l'échange de données relatives à l'ADN et aux empreintes digitales et l'accès à de telles données font l'objet de garanties plus rigoureuses que celles prévues pour les données relatives à l'immatriculation des véhicules. Pour ce qui est des données relatives à l'ADN et aux empreintes digitales, l'accès est dans un premier temps limité à des données indexées qui ne permettent pas d'identifier directement la personne concernée. L'initiative énonce le principe qui consiste à conserver, dans deux bases de données distinctes, les données biométriques, d'une part, et les informations d'identification sous forme de texte, d'autre part, l'accès à la deuxième base n'étant possible que si une concordance a été mise en évidence dans la première. Une telle séparation n'existe pas pour les données relatives à l'immatriculation des véhicules: pour ce type de données, un accès automatisé et direct est prévu et il n'est pas obligatoire de créer deux bases de données.

46.

Le CEPD souscrit à cette approche progressive, car, selon lui, elle contribue à la protection de la personne concernée: plus les données sont sensibles, plus les fins pour lesquelles elles peuvent être utilisées, ainsi que leur accès, doivent être limités. Dans le cas particulier des données relatives à l'ADN — qui sont peut-être les données à caractère personnel les plus sensibles visées par l'initiative —, les échanges ne peuvent avoir lieu qu'à des fins de poursuites pénales, et pas pour des activités policières de prévention. En outre, les profils ADN ne peuvent être établis que sur la base de la partie non codante de l'ADN.

47.

En ce qui concerne les données relatives à l'ADN, le lecteur pourra se reporter à d'autres avis émis précédemment par le CEPD (26). Il est essentiel de définir clairement la notion de données relatives à l'ADN et d'établir une distinction entre les profils ADN et les données relatives à l'ADN qui peuvent fournir des informations sur les caractéristiques génétiques et l'état de santé d'une personne. Il faut également tenir compte des progrès scientifiques: un profil ADN considéré comme «innocent» à un certain stade peut ultérieurement révéler beaucoup plus d'informations que prévu et nécessaire.

48.

Si l'initiative prévoit que seuls les profils ADN issus de la partie non codante peuvent être transmis, elle ne contient toutefois pas de définitions précises concernant les profils ADN, ni de procédure régissant l'élaboration de définitions communes conformément à l'état actuel des connaissances scientifiques. L'accord d'exécution du traité de Prüm (27) définit la partie non codante de l'ADN comme suit: zones chromosomes ne contenant aucune expression génétique, c'est-à-dire non connues pour fournir des informations sur des caractéristiques héréditaires spécifiques. Le CEDP suggère d'insérer une définition de la partie non codante de l'ADN dans le dispositif de l'initiative et de prévoir également une procédure garantissant que — tant aujourd'hui que dans le futur — il ne sera effectivement pas possible d'obtenir plus d'informations au départ de la partie non codante.

49.

L'initiative part du principe que la concordance des profils ADN constitue le principal instrument de la coopération policière. C'est la raison pour laquelle tous les États membres doivent mettre en place une base de données ADN aux fins des enquêtes pénales. Compte tenu du coût de ces bases de données et des risques qu'elles présentent en termes de protection des données, il est nécessaire que l'efficacité d'un tel instrument fasse l'objet d'une évaluation préalable approfondie. L'expérience limitée acquise dans le domaine de l'échange de données ADN entre l'Allemagne et l'Autriche ne suffit pas.

50.

Le CEPD note, à cet égard, que tous les États membres sont tenus, en vertu de l'initiative, de créer des fichiers nationaux d'analyses ADN. Il est important de souligner que plusieurs États membres disposent déjà d'une base de données ADN nationale éprouvée, alors que d'autres ont une moins grande expérience dans ce domaine, voire aucune. La base de données ADN la plus élaborée en Europe (et dans le monde) est celle du Royaume-Uni: avec plus de trois millions de références, elle constitue le plus grand recueil de profils ADN. Cette base de données contient des informations sur les personnes qui ont été condamnées, ainsi que sur les personnes arrêtées et celles sur lesquelles un échantillon a été prélevé sur une base volontaire à des fins «d'élimination» (28). La situation est différente dans les autres pays. Par exemple, en Allemagne, seuls sont conservés les profils des personnes qui ont été condamnées pour des infractions graves. On peut raisonnablement penser que la collecte, dans ce pays, de données relatives à l'ADN à des fins plus étendues ne serait pas compatible avec la jurisprudence de la Cour constitutionnelle (29).

51.

Le CEPD regrette que l'initiative ne précise pas quelles catégories de personnes seront visées par les bases de données ADN. Cette indication permettrait non seulement d'harmoniser les dispositions nationales dans ce domaine — ce qui pourrait contribuer à l'efficacité de la coopération transfrontière —, mais aussi de renforcer le caractère proportionné de la collecte et de l'échange de ce type de données à caractère personnel, à condition que les catégories de personnes soient limitées.

52.

Le délai de conservation des données contenues dans les fichiers d'analyses ADN est une question connexe qui relève de la législation nationale des États membres. Le droit national peut exiger que les profils créés dans ces fichiers soient conservés aussi longtemps que la personne concernée est en vie, quelle que soit l'issue d'une procédure judiciaire, mais il pourrait aussi prévoir que les profils en question doivent être conservés, sauf si la personne n'est pas inculpée et n'a donc pas été condamnée par un tribunal, ou que la nécessité de conserver les profils de manière prolongée doit être réexaminée régulièrement (30).

53.

Enfin, le CEPD attire l'attention sur l'article 7, qui porte sur le prélèvement de matériel génétique et la transmission de profils ADN. Une disposition similaire n'est pas prévue pour les empreintes digitales. Cette disposition fait obligation à tout État membre, à la demande d'un autre État membre et dans le cadre d'une enquête ou d'une procédure judiciaire en cours, de prélever et d'analyser le matériel génétique d'une personne et de transmettre ensuite son profil ADN à cet État membre, sous certaines conditions. Cet article a une portée très étendue: il oblige un État membre à prélever (et à analyser) le matériel génétique d'une personne, à condition que ce prélèvement et cette analyse soient autorisés dans l'État membre requérant [condition b)].

54.

Non seulement cette disposition a une portée très large, mais elle manque également de clarté. D'une part, elle n'est pas limitée aux infractions les plus graves, ni même aux personnes soupçonnées d'avoir commis un délit, d'autre part, les conditions prévues par le droit de l'État membre requis doivent être réunies [condition c)] sans qu'on sache quelles peuvent être ces conditions. Selon le CEPD, des éclaircissements s'imposent, de préférence dans le libellé de cet article. En tout état de cause, le principe de proportionnalité exige une interprétation plus limitée de cette disposition.

55.

Cette partie de l'avis abordera les questions suivantes relatives à la protection des données:

56.

À titre liminaire, le CEPD note que l'article 1er de l'initiative, qui en décrit l'objet et le champ d'application, ne contient pas de référence au chapitre 6, alors que la décision du Conseil comporte un chapitre relatif à la protection des données. Par conséquent, le CEPD recommande d'insérer une telle référence dans le texte.

57.

Comme il l'a déjà indiqué à plusieurs reprises (31), le CEPD considère qu'il est essentiel que des instruments juridiques spécifiques visant à faciliter l'échange d'informations en matière répressive — comme l'initiative à l'examen — ne soient pas adoptés avant que le Conseil n'ait adopté un cadre relatif à la protection des données, qui garantira un niveau approprié de protection des données conformément aux conclusions formulées par le CEPD dans ses deux avis sur la proposition de décision-cadre du Conseil présentée par la Commission relative à la protection des données dans le troisième pilier (32).

58.

Comme cela est prévu à l'article 30, paragraphe 1, point b), du traité UE, et confirmé dans plusieurs documents d'orientation de l'UE, l'existence d'un cadre législatif applicable à la protection des données est une condition sine qua non pour que l'échange de données à caractère personnel puisse avoir lieu entre les services répressifs. Or, dans la pratique, des actes législatifs facilitant l'échange de données sont adoptées avant qu'un niveau de protection adéquat des données soit garanti. Il conviendrait d'inverser l'ordre des choses.

59.

Il importe aussi de procéder dans l'ordre inverse parce qu'il n'est pas exclu que les règles plus détaillées en matière de protection des données énoncées dans l'initiative puissent être incompatibles avec la future décision-cadre, toujours à l'examen, qui définira le cadre applicable à la protection des données dans le troisième pilier. Il n'est pas non plus judicieux de commencer à mettre en œuvre les dispositions de cette initiative — ce qui implique notamment d'adopter des normes relatives à la protection des données, de mettre en place des procédures administratives et de désigner les autorités compétentes — avant que ladite décision-cadre ne soit adoptée; celle-ci pourrait en effet prévoir des exigences différentes qui nécessiteraient de modifier des dispositions nationales à peine adoptées.

60.

L'article 25, paragraphe 1, de l'initiative fait référence à la convention no 108 du Conseil de l'Europe et à son protocole additionnel du 8 novembre 2001, ainsi qu'à la recommandation no R (87) 15 relative à l'utilisation de données à caractère personnel dans le domaine policier. Ces instruments, adoptés par le Conseil de l'Europe, devraient garantir un niveau minimum de protection des données à caractère personnel. Or, comme le CEPD l'a déjà indiqué précédemment (33), la convention précitée, qui lie tous les États membres, n'offre pas la précision nécessaire à cet égard, ce qui a déjà été constaté au moment de l'adoption de la directive 95/46/CE. Quant à la recommandation, elle n'est, par définition, pas contraignante.

61.

Premièrement, les dispositions du chapitre 6 de l'initiative visent à développer un cadre général régissant la protection des données (cf. l'article 25 de l'initiative). Elles doivent donc être vues comme une lex specialis applicable aux données transmises en application de la décision du Conseil. Malheureusement, le cadre général actuel prévu par la Convention no 108 du Conseil de l'Europe et les documents connexes est insuffisant. Néanmoins, l'intention en soi illustre bien la nécessité de prévoir un cadre général approprié au moyen d'une décision-cadre du Conseil. Mais il en existe d'autres illustrations.

62.

Deuxièmement, l'initiative ne porte que sur une partie du traitement des données à caractère personnel à des fins répressives et de l'échange de ces données entre les États membres, le chapitre 6 étant, intrinsèquement, limité aux traitements liés aux échanges d'informations prévus par l'initiative. Tout échange d'autres informations policières et judiciaires dans le cadre de l'initiative, notamment celles qui ne sont pas liées aux profils ADN, aux empreintes digitales ou à l'immatriculation des véhicules, est par conséquent exclu. L'accès à des fins répressives aux données collectées par des sociétés privées est un autre exemple de la portée partielle du chapitre 6 de l'initiative, dès lors que celle-ci vise à assurer l'échange d'informations entre les services chargés de la prévention des infractions pénales et des enquêtes en la matière (article 1er de l'initiative).

63.

Troisièmement, pour ce qui est du champ d'application des dispositions prévues au chapitre 6, le texte est ambigu et manque par conséquent de clarté sur le plan juridique. Selon l'article 24, paragraphe 2, ces dispositions sont applicables aux données qui sont ou qui ont été transmises en application de la décision du Conseil. Le CEPD est d'avis que ce libellé garantit que l'accès direct aux profils ADN, aux empreintes digitales et aux données relatives à l'immatriculation des véhicules est couvert, ainsi que la situation particulière prévue à l'article 7 (34). Il ne fait par ailleurs aucun doute que les dispositions en question s'appliquent également à la transmission de données à caractère personnel en vertu de l'article 14 (manifestations de grande envergure) et de l'article 16 (prévention des infractions terroristes).

64.

Par contre, on ne sait pas exactement si le chapitre 6 ne s'applique qu'aux données à caractère personnel qui sont ou qui ont été échangées entre les États membres, ou s'il s'applique aussi au prélèvement et au traitement de matériel ADN et des empreintes digitales dans un État membre en vertu des articles 2 et 8. En d'autres termes, le chapitre 6 s'applique-t-il aux données à caractère personnel qui ont été collectées conformément à la décision du Conseil, mais qui n'ont pas — ou pas encore — été transmises aux autorités d'autres États membres? On ne voit pas bien non plus si la transmission d'autres données à caractère personnel à la suite d'une concordance de profils ADN ou d'empreintes digitales est visée, puisque, d'une part, le considérant 11 laisse entendre que la transmission d'informations complémentaires (par le biais des procédures d'entraide judiciaire) relève du champ d'application de la décision du Conseil, mais que, d'autre part, les articles 5 et 10 soulignent qu'une telle transmission est régie par le droit national. Enfin, il convient de noter que l'article 24, paragraphe 2, prévoit une exception à l'applicabilité des dispositions du chapitre 6, qui sont applicables «pour autant que les chapitres précédents n'en disposent pas autrement». D'après le CEPD, cette disposition ne présente guère d'intérêt — vu qu'il n'a relevé aucune disposition contraire dans les chapitres précédents —, mais elle pourrait néanmoins renforcer l'ambiguïté du texte à propos du caractère applicable du chapitre 6.

65.

Le CEPD recommande qu'il soit précisé, à l'article 24, paragraphe 2, que le chapitre 6 s'applique au prélèvement et au traitement de matériel ADN et des empreintes digitales dans un État membre, ainsi qu'à la transmission, dans le cadre du champ d'application de la décision, de données à caractère personnel complémentaires. Il conviendrait par ailleurs de supprimer les termes «pour autant que les chapitres précédents n'en disposent pas autrement». De telles précisions garantiraient que les dispositions du chapitre 6 aient des effets concrets.

66.

Quatrièmement, de par leur nature, les dispositions relatives à la protection des données énoncées au chapitre 6, dans la mesure où elles sont fondées sur la notion traditionnelle d'entraide judiciaire en matière pénale, illustrent à elles seules la nécessité de prévoir un cadre général de protection. L'échange d'informations présuppose un degré minimum d'harmonisation des règles de base en matière de protection des données ou, à tout le moins, la reconnaissance mutuelle des législations nationales, de manière à éviter que les différences entre les législations des États membres ne portent atteinte à l'efficacité de la coopération.

67.

Bien que l'initiative prévoie une harmonisation sur certains points importants de la législation relative à la protection des données, pour d'autres aspects, tout aussi importants, les dispositions du chapitre 6 n'harmonisent pas les législations nationales ni ne prescrivent une reconnaissance mutuelle. Au lieu de cela, elles se fondent sur l'applicabilité simultanée de deux (ou plus de deux) systèmes juridiques: très souvent, la transmission de données n'est autorisée que si le droit de l'État membre transmettant les données et celui de l'État membre destinataire sont respectés. Autrement dit, pour ces aspects, l'initiative ne contribue pas à un espace de liberté, de sécurité et de justice sans frontières intérieures, mais renforce le système traditionnel d'entraide judiciaire en matière pénale fondé sur la souveraineté nationale (35).

68.

Le CEPD estime que, en tant que tel, le chapitre 6 ne facilite pas les échanges de données à caractère personnel, mais rend les choses plus complexes, compte tenu du fait que l'initiative vise à rendre le système mis en place par le traité de Prüm applicable à l'ensemble des 27 États membres et qu'un cadre général commun régissant la protection des données n'a pas encore été adopté. Ainsi, l'article 26, paragraphe 1, n'autorise le traitement à d'autres fins que si cela est permis à la fois par le droit national de l'État membre transmettant les données et par celui de l'État membre destinataire. Prenons également l'exemple de l'article 28, paragraphe 3, qui prévoit que les données à caractère personnel qui n'auraient pas dû être transmises (ou reçues) sont effacées. Mais comment l'État membre destinataire peut-il savoir que les données n'ont pas été transmises conformément au droit de l'État membre qui les transmet? Cela risque de donner lieu à des questions difficiles lorsque ces problèmes se poseront dans les affaires portées devant les tribunaux nationaux.

69.

Cinquièmement, l'existence d'un cadre commun régissant la protection des données est d'autant plus importante qu'il existe de grandes différences entre les législations des États membres, à la fois dans le domaine du droit pénal positif et du droit de procédure pénale. Outre les conséquences qu'elles peuvent avoir pour la coopération entre les autorités des États membres, ces différences affectent aussi directement les personnes concernées lorsque des données les concernant sont échangées entre les autorités de deux ou plus de deux États membres. Par exemple, les voies de recours effectives dont elles disposent devant les tribunaux ne sont pas nécessairement les mêmes dans tous les États membres.

70.

Pour conclure, nous pouvons dire que la proposition harmonise certains aspects de l'échange de données entre les autorités compétentes, et qu'elle comprend pour cette raison un chapitre relatif à la protection des données, mais elle est loin d'harmoniser toutes les garanties dans ce domaine. Les dispositions prévues dans ce chapitre n'ont pas une portée générale (contrairement à un cadre général ou une lex generalis) et sont incomplètes (vu qu'il y manque des éléments importants, comme cela sera montré au point 75 ci-dessous).

71.

Il est évident que, en dehors du champ d'application de l'initiative, un cadre général commun régissant la protection des données est nécessaire. Le citoyen est en droit de s'attendre à un niveau minimum d'harmonisation en matière de protection des données, quel que soit l'endroit dans l'Union européenne où des données le concernant sont traitées à des fins répressives.

72.

Un tel cadre commun est également nécessaire dans le cadre du champ d'application de l'initiative. Celle-ci porte, entre autres, sur la collecte, le traitement et l'échange de données biométriques potentiellement sensibles, comme le matériel ADN. En outre, les catégories de personnes susceptibles d'être visées par ce système ne se limitent pas aux personnes suspectées d'un délit particulier ou condamnées pour un tel délit. Dans ces circonstances, on devrait à plus forte raison pouvoir compter sur l'existence d'un mécanisme clair et approprié de protection des données.

73.

Dans ce contexte, il convient de souligner à nouveau que le champ d'application de l'initiative et de son chapitre 6 n'est pas clairement défini. Il est important, pour des raisons de sécurité juridique, que les données à caractère personnel soient dûment protégées, qu'elles relèvent ou non, et dans quelque situation que ce soit, de ce champ d'application. Pour les mêmes raisons, la cohérence entre les règles applicables dans le cadre du champ d'application de l'initiative et en dehors de celui-ci devrait être garantie.

74.

Les dispositions relatives à la protection des données énoncées au chapitre 6 de l'initiative sont applicables aux données qui sont ou qui ont été transmises en application de la décision. Elles traitent d'un certain nombre de questions importantes et ont été soigneusement rédigées, comme des règles spécifiques s'ajoutant à un cadre général régissant la protection des données. Le CEPD estime que, d'une manière générale, ces dispositions offrent pour l'essentiel une protection appropriée.

75.

Néanmoins, outre les observations formulées plus haut sur la nature des dispositions du chapitre 6, le CEPD y a recensé d'autres lacunes (36):

76.

Le CEPD recommande au Conseil de combler ces lacunes, en modifiant le texte de l'initiative ou en intégrant les éléments évoqués ci-dessus dans la décision-cadre du Conseil relative à la protection des données dans le troisième pilier. Selon lui, la première option n'entraîne pas nécessairement une modification du système d'échange d'informations proprement dit et ne va pas à l'encontre de l'intention des quinze États membres qui ont pris cette initiative de ne pas modifier les parties essentielles du traité de Prüm.

77.

Le présent avis tient compte de la nature tout à fait particulière de l'initiative, plus précisément du fait qu'il n'est pas prévu d'apporter, sur le fond, d'importantes modifications aux dispositions. Les modifications que le CEPD propose ont essentiellement pour effet d'améliorer le texte, sans toucher au système d'échange d'informations proprement dit.

78.

Le CEPD note avec satisfaction que l'initiative adopte une approche plus prudente et progressive comme moyen de mettre en œuvre le principe de disponibilité. Toutefois, il déplore que l'initiative n'harmonise pas les éléments essentiels de la collecte et de l'échange des différents types de données concernées, également pour veiller au respect des principes de nécessité et de proportionnalité.

79.

Le CEPD déplore que l'initiative soit prise sans qu'une analyse d'impact appropriée n'ait été effectuée et il invite le Conseil à faire figurer une évaluation de ce type dans la procédure d'adoption et à examiner, dans le cadre de cette évaluation, d'autres modalités d'action, si possible moins susceptibles de porter atteinte à la vie privée.

80.

Le CEPD souscrit à l'approche suivie dans l'initiative concernant les différents types de données à caractère personnel: plus les données sont sensibles, plus les fins pour lesquelles elles peuvent être utilisées, ainsi que leur accès, doivent être limités.

81.

Le CEPD regrette que l'initiative ne précise pas quelles catégories de personnes seront visées par les bases de données ADN et qu'elle ne limite pas la durée de conservation des données.

82.

Cette décision ne devrait pas être adoptée avant que le Conseil n'ait adopté la décision-cadre relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, qui garantira un niveau approprié de protection des données.

83.

Les dispositions relatives à la protection des données énoncées au chapitre 6 de l'initiative ne facilitent pas les échanges de données à caractère personnel, mais les rendent plus complexes, dans la mesure où elles se fondent sur la notion traditionnelle d'entraide judiciaire en matière pénale.

84.

Le CEPD recommande d'apporter les modifications suivantes au texte de l'initiative:

85.

De manière plus générale, le CEPD recommande au Conseil de combler les lacunes recensées dans l'initiative, en modifiant le texte ou en intégrant les éléments évoqués ci-dessus dans la décision-cadre du Conseil relative à la protection des données dans le troisième pilier. Selon lui, la première option (qui consiste à intégrer les éléments mentionnés au point précédent) n'entraîne pas nécessairement une modification du système d'échange d'informations proprement dit et ne va pas à l'encontre de l'intention des quinze États membres qui ont pris cette initiative de ne pas modifier les parties essentielles du traité de Prüm.

86.

Enfin, le présent avis devrait être mentionné dans le préambule de la décision du Conseil.