30.12.2010   

FR

Journal officiel de l'Union européenne

C 357/1

1.

Le 24 février 2010, la Commission a adopté une proposition de règlement du Parlement européen et du Conseil modifiant le règlement (CE) no 2007/2004 du Conseil portant création d’une Agence européenne pour la gestion de la coopération opérationnelle aux frontières extérieures des États membres de l’Union européenne (FRONTEX) (3) (ci-après la proposition ou la proposition de règlement).

2.

Le CEPD se félicite d’avoir été consulté de manière informelle par la Commission avant l’adoption de la proposition. Il a publié ses observations informelles le 8 février 2010, lesquelles ont permis d’apporter un certain nombre de modifications à la version finale de la proposition adoptée par la Commission.

3.

Le 2 mars 2010, la proposition telle qu’adoptée par la Commission a été envoyée au CEPD pour consultation conformément à l’article 28, paragraphe 2, du règlement no 45/2001.

4.

Dans ce contexte, il est également pertinent de mentionner que le 26 avril 2010, le CEPD a publié un avis sur une notification en vue d’un contrôle préalable reçue du délégué à la protection des données de l’Agence européenne pour la gestion de la coopération opérationnelle aux frontières extérieures des États membres de l’Union européenne (FRONTEX) concernant «la collecte de noms et de certaines autres informations utiles au sujet de rapatriés pour des opérations de retour conjointes» (ci-après l’avis de contrôle préalable) (4). Les conclusions de l’avis susmentionné, dont l’objet est le traitement de données à caractère personnel dans le cadre de la préparation et de la réalisation d’opérations de retour conjointes conformément à l’article 9 du règlement (CE) no 2007/2004, ont été utilisées comme base pour formuler certaines des observations et conclusions présentées dans le présent avis.

5.

En ce qui concerne la motivation et les objectifs de la proposition, l’exposé des motifs qui accompagne la proposition de règlement (ci-après l’exposé des motifs) est libellé comme suit: «la présente proposition concerne les modifications qu’il convient d’apporter au règlement (CE) no 2007/2004 (…) en vue de garantir le bon fonctionnement de l’Agence FRONTEX, sur la base d’un mandat bien défini, au cours des prochaines années. La proposition a pour objectif d’adapter le règlement, à la lumière des évaluations réalisées et des expériences pratiques, afin de préciser le mandat de l’Agence et de remédier aux lacunes constatées».

6.

Dans ce contexte, il convient de mentionner que le considérant 9 de la proposition fait référence au fait que le programme de Stockholm demande une clarification et un renforcement du rôle de FRONTEX dans la gestion des frontières extérieures de l’Union européenne.

7.

En outre, le considérant 10 a trait à la nécessité de renforcer les capacités opérationnelles de FRONTEX. Comme indiqué dans ce considérant, «le mandat de l’Agence doit donc être revu de manière à renforcer notamment ses capacités opérationnelles tout en garantissant que toutes les mesures prises sont proportionnées aux objectifs poursuivis et pleinement conformes aux droits fondamentaux (…)». De plus, le considérant 11 souligne qu’«il convient de renforcer, notamment sur le plan des ressources techniques disponibles, les possibilités actuelles d’assistance effective aux États membres en ce qui concerne les aspects opérationnels».

8.

En outre, comme précisé au considérant 4 de la proposition, «le présent règlement respecte les droits fondamentaux ainsi que les principes reconnus en particulier par la Charte des droits fondamentaux de l’Union européenne, notamment la dignité humaine, l’interdiction de la torture et des traitements ou sanctions inhumains ou dégradants, le droit à la liberté et à la sécurité, le droit à la protection des données à caractère personnel, le droit d’asile, les principes de non-refoulement et de non-discrimination, les droits de l’enfant et le droit à un recours effectif. Le présent règlement devrait être appliqué par tous les États membres conformément à ces droits et principes.»

9.

La proposition tient compte des recommandations formulées par la Commission dans sa communication du 13 février 2008 sur l’évaluation et le développement futur de l’agence FRONTEX (5), ainsi que des recommandations du conseil d’administration dans la mesure où elles nécessitent une révision de la base juridique de l’Agence, sous réserve des exceptions décrites dans l’analyse d’impact.

10.

À titre de remarque générale, le CEPD relève que la proposition a pour objectif de permettre à FRONTEX de s’acquitter plus efficacement de ses tâches et responsabilités actuelles, ainsi que de celles exposées dans la proposition de règlement. Les nouvelles tâches de FRONTEX, telles que mentionnées dans l’exposé des motifs, doivent comprendre, si elles sont approuvées selon la proposition de la Commission, entre autres: 1) l’extension des travaux liés à l’analyse des risques; 2) l’intensification des travaux liés à la recherche; 3) l’introduction de la possibilité de coordonner les opérations de retour conjointes; 4) une tâche nouvelle relative à l’élaboration et à la gestion de systèmes d’information; 5) une tâche nouvelle relative à la fourniture d’une assistance à EUROSUR, etc.

11.

Lorsqu’il a mené sa réflexion sur le contenu et les conclusions du présent avis, le CEPD a tenu compte de ce nouveau cadre juridique envisagé par la proposition, dans lequel FRONTEX sera opérationnelle dans les années à venir, et qui pourrait également se traduire par l’attribution de nouvelles tâches opérationnelles à FRONTEX sur la base de la proposition de règlement.

12.

Dans ce contexte et, comme susmentionné, eu égard aux nouveaux rôles et responsabilités qui pourraient être confiés à l’Agence, il est frappant que la proposition de règlement n’évoque pratiquement pas le traitement de données à caractère personnel par FRONTEX, à la seule exception de la dernière phrase de l’article 11 de la proposition. Cette question sera également examinée à la lumière des observations et conclusions de l’avis de contrôle préalable du CEPD évoqué au point 4.

13.

En outre, l’avis sera axé sur les dispositions particulières de la proposition de règlement qui ont, ou qui pourraient avoir, à l’avenir, des implications en matière de protection des données. Dans ce contexte, le présent avis examinera les dispositions particulières suivantes:

14.

Comme susmentionné, la proposition ne précise pas si et, le cas échéant, dans quelles circonstances, conditions et limitations, et sous réserve de quelles garanties, FRONTEX serait autorisée à traiter (certaines) données à caractère personnel dans le cadre des tâches et des responsabilités accrues que la proposition envisage de lui confier. En effet, la proposition de règlement ne donne aucune précision sur cette question et ne contient aucune base juridique spécifique permettant de clarifier les circonstances dans lesquelles le traitement par FRONTEX pourrait avoir lieu, sous réserve de garanties solides de protection des données et conformément aux principes de proportionnalité et de nécessité.

15.

Dans ce contexte, il est important de renvoyer une fois de plus à l’exposé des motifs, qui indique que l’option privilégiée de l’analyse d’impact est largement intégrée dans la proposition «à l’exception de l’attribution à FRONTEX d’un mandat limité pour traiter les données à caractère personnel liées à la lutte contre les réseaux criminels qui organisent l’immigration illégale.» L’exposé des motifs précise également que «bien qu’elle reconnaisse qu’il convient d’explorer toutes les possibilités de renforcer la lutte contre le trafic de migrants et la traite des êtres humains, la Commission préférerait que la question des données à caractère personnel soit abordée dans le contexte de la stratégie globale en matière d’échange d’informations qui sera présentée dans le courant de l’année, et en tenant compte de la réflexion qui sera menée sur la façon de développer la coopération entre les agences dans le domaine de la justice et des affaires intérieures, comme le demande le programme de Stockholm.»

16.

Le CEPD nourrit des doutes quant à l’approche adoptée par la Commission dans la proposition de règlement en ce qui concerne la question du traitement des données à caractère personnel par FRONTEX. La référence susmentionnée dans l’exposé des motifs ne précise pas quelle pourrait être la portée du traitement des données à caractère personnel dans d’autres domaines d’activité de FRONTEX (voir les points 10 et 11). Pour illustrer ce point, le CEPD souhaite renvoyer à son avis de contrôle préalable concernant la préparation et la réalisation d’opérations de retour conjointes, l’activité dans le cadre de laquelle FRONTEX a informé le CEPD que certains traitements de données à caractère personnel pourraient être nécessaires à la bonne exécution des tâches visées à l’article 9 du règlement FRONTEX.

17.

Dans l’avis de contrôle préalable, le CEPD jugeait «préférable, voire indispensable, de recourir à une base légale plus spécifique que l’article 9 du règlement (CE) no 2007/2004, compte tenu du caractère sensible des données et des activités en cause, qui concernent une population fragile, afin d’établir des limites plus claires pour le traitement et de fournir des garanties adéquates pour les personnes concernées, comme le prescrit l’article 8 de la convention européenne des droits de l’homme et la Charte des droits fondamentaux de l’Union européenne».

18.

Le CEPD estime que l’exemple des opérations de retour conjointes dans le cadre desquelles certains traitements de données à caractère personnel sont considérés nécessaires par FRONTEX, démontre qu’il est urgent de clarifier cette question dans la proposition. La réticence de la Commission à préciser ce point dans la proposition de règlement ou à indiquer clairement la date à laquelle elle en a l’intention, préférant remettre la question à plus tard en attendant de nouvelles circonstances juridiques et politiques (voir le point 15 du présent avis), suscite de vives préoccupations. Le CEPD est d’avis que cette approche pourrait entraîner une insécurité juridique peu souhaitable et un risque considérable de non-respect des règles et des garanties de protection des données.

19.

Compte tenu des nouvelles tâches et responsabilités de FRONTEX, telles qu’envisagées dans la proposition, le CEPD est d’avis que la proposition de règlement devrait — dans la mesure où cela est nécessaire et approprié — clairement examiner la question de la portée des activités qui pourraient donner lieu au traitement de données à caractère personnel par FRONTEX. Le CEPD estime qu’une base juridique spécifique tenant compte du traitement de données à caractère personnel par FRONTEX dans le cadre de ses tâches actuelles ou de ses nouvelles tâches est nécessaire. Ce n’est que lorsqu’il est jugé nécessaire à des fins clairement établies et licites — notamment les opérations de retour conjointes — qu’un tel traitement doit être autorisé.

20.

La base juridique devrait en outre préciser les garanties, limitations et conditions nécessaires et appropriées dans lesquelles un tel traitement de données à caractère personnel aurait lieu, conformément à l’article 8 de la convention européenne des droits de l’homme et à l’article 8 de la charte des droits fondamentaux de l’Union européenne.

21.

La nécessité de préciser ce point est d’autant plus pertinente compte tenu de la difficulté pratique à différencier clairement les activités opérationnelles de FRONTEX de ses activités non opérationnelles et, plus précisément, les cas dans lesquels le traitement de données à caractère personnel aurait lieu à des fins purement administratives ou purement opérationnelles. Ces termes peuvent prêter à confusion quant à leur portée et à leur contenu précis. Le CEPD invite dès lors le législateur à clarifier cette question dans la proposition de règlement.

22.

Le CEPD tient également à souligner que les conclusions de l’avis de contrôle préalable s’appliquent uniquement à une activité spécifique (à savoir les opérations de retour conjointes) qui sera exercée à l’avenir par FRONTEX conformément à l’article 9 du règlement FRONTEX (6). Ces conclusions se fondent sur une analyse détaillée des circonstances juridiques et pratiques de cette activité spécifique ainsi que sur les informations fournies par FRONTEX au CEPD lors du contrôle préalable. Par conséquent, elles ne peuvent être appliquées à l’appréciation de la nécessité, de la proportionnalité et de la licéité de tout traitement de données à caractère personnel qui pourrait à l’avenir être envisagé dans le cadre d’autres activités de FRONTEX. Si FRONTEX venait à envisager tout autre traitement de données à caractère personnel, ce dernier ferait l’objet d’une analyse au cas par cas quant à la licéité du traitement, en l’absence de disposition spécifique dans le règlement FRONTEX. (7)

23.

Comme indiqué au point 13, le présent avis examinera également les dispositions particulières de la proposition de règlement qui ont ou qui pourraient avoir des implications en matière de protection des données à l’avenir (articles 11, 11 bis, 11 ter, 13 et 14).

24.

La proposition prévoit de reformuler l’article 11 du règlement (CE) no 2007/2004, qui modifie le rôle de l’Agence en l’obligeant à faciliter l’échange d’informations et à élaborer et gérer un système d’information permettant d’échanger des informations classifiées. Plus précisément, le texte proposé stipule que «l’Agence peut prendre toutes les mesures nécessaires pour faciliter l’échange avec la Commission et les États membres d’informations qui lui sont utiles pour l’exécution de ses tâches. Elle élabore et gère un système d’information permettant d’échanger des informations classifiées avec la Commission et les États membres. Les échanges d’informations que doit permettre ce système ne comprennent pas les échanges de données à caractère personnel».

25.

Le CEPD relève avec satisfaction la précision apportée dans la dernière phrase de la disposition susmentionnée étant donné qu’elle donne des explications sur le contenu de l’information qui peut être échangée par FRONTEX avec la Commission et les États membres, et qu’elle ne laisse aucun doute quant à la question de savoir si un tel échange d’informations porterait ou non sur des données à caractère personnel.

26.

Dans ce contexte cependant, le CEPD souhaite attirer l’attention sur le fait que l’article 11 proposé est en fait la seule disposition dans la proposition qui examine explicitement la question du traitement des données à caractère personnel par FRONTEX dans le cadre de ses activités opérationnelles. Elle l’examine en excluant l’échange de données à caractère personnel dans le domaine d’un système d’information particulier. Le fait que d’autres dispositions, telles que celle traitant de la coopération avec les agences, organes et organismes de l’Union européenne et les organisations internationales (article 13) ou celle régissant la coopération avec les pays tiers (article 14) ne contiennent aucune précision de cette nature peut faire naître des doutes, voire susciter des préoccupations sur le plan de la protection des données.

27.

La proposition prévoit d’insérer l’article 11 bis, qui concerne l’application du règlement (CE) no 45/2001 et qui est libellé comme suit: «Le conseil d’administration fixe les modalités d’application du règlement (CE) no 45/2001 par l’Agence, y compris celles concernant le délégué à la protection des données de l’Agence».

28.

Le CEPD se félicite de cette disposition qui confirme que l’Agence est obligée de traiter des données à caractère personnel conformément au règlement (CE) no 45/2001, lorsqu’elle y est autorisée.

29.

Dans ce contexte, la désignation du délégué à la protection des données revêt une importance particulière et devrait s’accompagner de la mise en place rapide des modalités d’application concernant la portée des compétences et des tâches à confier au délégué à la protection des données conformément à l’article 24, paragraphe 8, du règlement (CE) no 45/2001. En outre, ces modalités devraient être complétées par toutes les mesures nécessaires requises pour la bonne application de ce règlement à FRONTEX.

30.

Cette disposition présente également un grand intérêt dans le cadre des conclusions de l’avis de contrôle préalable aux fins desquelles FRONTEX a informé le CEPD que certains traitements de données à caractère personnel seraient nécessaires pour la bonne exécution des tâches visées à l’article 9 du règlement FRONTEX. Étant donné que le règlement (CE) no 45/2001 s’applique, FRONTEX, en qualité de responsable du traitement des données, devra veiller au respect de l’ensemble des dispositions contenues dans ce règlement.

31.

Il convient également de préciser que la proposition ne contient aucune règle spécifique concernant l’exercice des droits des personnes concernées [(articles 13 à 19 du règlement (CE) no 45/2001)]. Qui plus est, il n’existe aucune disposition spécifique concernant l’obligation qui incombe au responsable du traitement de fournir des informations à la personne concernée [(articles 11 et 12 du règlement (CE) no 45/2001)]. Le CEPD recommande de tenir particulièrement compte de ces règles dans les mesures qui doivent être arrêtées par le conseil d’administration à la lumière de l’article 11 bis envisagé dans la proposition.

32.

L’article 11 ter dispose que FRONTEX applique les règles de sécurité de la Commission telles qu’énoncées dans la décision 2001/844/CE, CECA, Euratom de la Commission concernant les informations classifiées. Sont notamment concernées les dispositions relatives à l’échange, au traitement et au stockage des informations classifiées. La disposition envisagée oblige également l’Agence à traiter des informations sensibles non classifiées, telles qu’adoptées et appliquées par la Commission.

33.

Le CEPD estime que cette disposition, dont il se félicite, est une précision nécessaire concernant la façon dont les informations classifiées doivent être sécurisées, échangées, traitées et stockées par FRONTEX. Le CEPD relève également avec satisfaction la façon dont les informations sensibles non classifiées devraient être traitées en toute sécurité suivant les principes de sécurité adoptés par la Commission. Afin de compléter et de préciser cette obligation de sécurité, le CEPD recommande que les mots: «et d’élaborer en conséquence sa propre politique de sécurité détaillée» soient ajoutés à la dernière phrase de l’article 11 ter. En effet, pour être applicables, les principes de la Commission doivent être transposés de manière appropriée et appliqués au moyen d’une politique de sécurité adaptée.

34.

La proposition remplace le libellé actuel de l’article 13 du règlement FRONTEX. Le nouveau libellé dispose que «l’agence peut coopérer avec Europol, le Bureau européen d’appui en matière d’asile, l’Agence des droits fondamentaux, d’autres agences, organes et organismes de l’Union européenne et les organisations internationales compétentes dans les domaines régis par le présent règlement, dans le cadre d’accords de travail conclus avec ces entités, conformément aux dispositions pertinentes du traité et aux dispositions relatives à la compétence de ces entités».

35.

Après avoir analysé cette disposition, le CEPD comprend que les arrangements de travail conclus avec les agences, organes et organismes de l’Union européenne et les organisations internationales nommés dans cet article ne porteront pas sur le traitement de données à caractère personnel. Cela est dû au fait que le nouveau libellé ne précise pas ce point tout comme il n’inclut pas les catégories de données qui pourraient être échangées entre les agences, organes et organismes. Il ne précise pas non plus les conditions dans lesquelles cet échange pourrait avoir lieu.

36.

Sans préjudice de la position adoptée ci-dessus, le CEPD souhaiterait attirer l’attention sur les dispositions de l’article 22 de la décision du Conseil du 6 avril 2009 portant création de l’Office européen de police (Europol) (8) (ci-après la décision Europol) concernant les Relations avec les institutions, organes et organismes de l’Union ou de la Communauté. Cette disposition permet à Europol d’établir et d’entretenir des relations de coopération avec les institutions, organes et organismes créés par le traité sur l’Union européenne et par les traités instituant les Communautés européennes ou sur la base de ces traités, notamment FRONTEX. Dans ce contexte, il convient d’ajouter que le paragraphe 2 de l’article 22 stipule qu’«Europol conclut des accords ou des arrangements de travail avec les entités visées au paragraphe 1. Ces accords ou arrangements de travail peuvent porter sur l’échange d’informations opérationnelles, stratégiques ou techniques, y compris de données à caractère personnel et d’informations classifiées. De tels accords ou arrangements de travail ne peuvent être conclus qu’après approbation du conseil d’administration, celui-ci ayant préalablement obtenu l’avis de l’autorité de contrôle commune». En outre, sur la base de l’article 22, paragraphe 3, avant l’entrée en vigueur de l’accord ou de l’arrangement de travail visé au paragraphe 2, Europol peut directement recevoir et utiliser les informations, y compris les données à caractère personnel, reçues des entités visées au paragraphe 1, dans la mesure où cela est nécessaire à l’exécution légitime des missions lui incombant, et peut, dans les conditions prévues à l’article 24, paragraphe 1, transmettre directement des informations, y compris des données à caractère personnel, à ces entités, dans la mesure où cela est nécessaire à l’exécution légitime des missions incombant au destinataire.

37.

Étant donné que la décision Europol contient une disposition qui permettrait à Europol de conclure un accord ou un arrangement de travail avec FRONTEX pouvant porter sur l’échange d’informations opérationnelles, stratégiques ou techniques, y compris de données à caractère personnel, le CEPD demande au législateur de préciser dans la proposition de règlement que l’arrangement de travail qui pourrait être conclu avec Europol sur la base de l’article 13 envisagé dans le règlement FRONTEX, exclurait l’échange de données à caractère personnel.

38.

L’article 14, paragraphe 1, de la proposition porte sur la question de la facilitation de la coopération opérationnelle avec les pays tiers et de la coopération avec les autorités compétentes des pays tiers. Plus précisément, l’Agence, «pour les questions qui relèvent de ses activités et dans la mesure nécessaire à l’accomplissement de ses tâches, (…) facilite la coopération opérationnelle entre les États membres et les pays tiers, dans le cadre de la politique de l’Union européenne en matière de relations extérieures, y compris en ce qui concerne les droits de l’homme». En outre, le paragraphe 6 de l’article susmentionné stipule que «l’Agence peut coopérer avec les autorités de pays tiers compétentes dans les domaines régis par le présent règlement, dans le cadre d’accords de travail conclus avec ces autorités, conformément aux dispositions pertinentes du traité».

39.

En ce qui concerne la disposition susmentionnée, le CEPD relève qu’elle ne mentionne pas le traitement de données à caractère personnel et qu’elle ne précise pas si et, le cas échéant, dans quelle mesure et dans quelles circonstances les «arrangements de travail» envisagés dans cette disposition comprendraient des données à caractère personnel. Par conséquent, et compte tenu du raisonnement tenu dans les remarques générales, le CEPD comprend que cette disposition ne concernerait pas le traitement de données à caractère personnel. Cette conclusion va également dans le sens des informations que le CEPD a reçues de FRONTEX dans le cadre de la notification en vue d’un contrôle préalable pour des opérations de retour conjointes.

40.

Le CEPD se félicite d’avoir été consulté par la Commission conformément à l’article 28, paragraphe 2, du règlement (CE) no 45/2001.

41.

Le CEPD a pris acte de la motivation et des objectifs de la proposition de règlement ainsi que des raisons qui ont conduit à l’adoption de la proposition prévoyant la révision du cadre législatif de FRONTEX. Il relève notamment que la proposition a pour objectif de permettre à FRONTEX de s’acquitter plus efficacement de ses tâches et responsabilités actuelles, ainsi que de celles exposées dans la proposition de règlement.

42.

Compte tenu du nouveau cadre juridique envisagé par la proposition, dans lequel FRONTEX sera opérationnelle dans les années à venir, et qui pourrait également se traduire par l’attribution de nouvelles tâches à FRONTEX sur la base de la proposition de règlement, il est frappant que la proposition n’évoque pas le traitement de données à caractère personnel par FRONTEX, à la seule exception de la dernière phrase de l’article 11.

43.

Le CEPD est d’avis que la proposition de règlement devrait — dans la mesure où cela est nécessaire et approprié — clairement examiner la question de la portée des activités qui pourraient donner lieu au traitement de données à caractère personnel par FRONTEX.

44.

Une base juridique spécifique examinant la question du traitement des données à caractère personnel par FRONTEX et permettant de clarifier les circonstances dans lesquelles le traitement par FRONTEX pourrait avoir lieu, sous réserve de garanties solides de protection des données et conformément aux principes de proportionnalité et de nécessité, s’impose. Ce n’est que lorsqu’il est jugé nécessaire à des fins clairement établies et licites (notamment les opérations de retour conjointes) qu’un tel traitement doit être autorisé.

45.

La base juridique devrait en outre préciser les garanties, limitations et conditions nécessaires et appropriées dans lesquelles un tel traitement de données à caractère personnel aurait lieu, conformément à l’article 8 de la convention européenne des droits de l’homme et à l’article 8 de la Charte des droits fondamentaux de l’Union européenne, y compris des garanties concernant les droits de la personne concernée comme étant un des éléments les plus importants.

46.

La réticence de la Commission à préciser ce point dans la proposition de règlement ou à indiquer clairement la date à laquelle elle en a l’intention, préférant remettre la question à plus tard en attendant de nouvelles circonstances juridiques et politiques, suscite de vives préoccupations. Le CEPD est d'avis que cette approche pourrait entraîner une insécurité juridique peu souhaitable et un risque considérable de non-respect des règles et des garanties de protection des données.

47.

Afin d’améliorer un peu plus la proposition, le CEPD demande également au législateur de préciser dans la proposition de règlement que l’arrangement de travail qui pourrait être conclu avec Europol sur la base de l’article 13 envisagé dans le règlement FRONTEX, exclurait l’échange de données à caractère personnel. Par ailleurs, il suggère également d’apporter des précisions sur l’article 11 ter de la proposition.