COMMUNICATIONS PROVENANT DES INSTITUTIONS, ORGANES ET ORGANISMES DE L'UNION EUROPÉENNE

INFORMATIONS PROVENANT DES INSTITUTIONS, ORGANES ET ORGANISMES DE L'UNION EUROPÉENNE

14.2.2018

Journal officiel de l'Union européenne

C 55/2

Taux de change de l'euro (1)

13 février 2018

(2018/C 55/03)

1 euro =

	Monnaie	Taux de change
USD	dollar des États-Unis	1,2333
JPY	yen japonais	132,82
DKK	couronne danoise	7,4488
GBP	livre sterling	0,88935
SEK	couronne suédoise	9,9388
CHF	franc suisse	1,1522
ISK	couronne islandaise	125,40
NOK	couronne norvégienne	9,7418
BGN	lev bulgare	1,9558
CZK	couronne tchèque	25,386
HUF	forint hongrois	312,16
PLN	zloty polonais	4,1781
RON	leu roumain	4,6586
TRY	livre turque	4,6865
AUD	dollar australien	1,5715
CAD	dollar canadien	1,5544
HKD	dollar de Hong Kong	9,6467
NZD	dollar néo-zélandais	1,6941
SGD	dollar de Singapour	1,6314
KRW	won sud-coréen	1 338,24
ZAR	rand sud-africain	14,7780
CNY	yuan ren-min-bi chinois	7,8244
HRK	kuna croate	7,4357
IDR	rupiah indonésienne	16 822,21
MYR	ringgit malais	4,8678
PHP	peso philippin	64,285
RUB	rouble russe	71,2558
THB	baht thaïlandais	38,861
BRL	real brésilien	4,0642
MXN	peso mexicain	22,9778
INR	roupie indienne	79,2730

(1) Source: taux de change de référence publié par la Banque centrale européenne.

14.2.2018

Journal officiel de l'Union européenne

C 55/4

Résumé de l’avis du contrôleur européen de la protection des données sur la proposition de règlement relatif au système ECRIS-TCN

[Le texte complet de l’avis en anglais, français et allemand est disponible sur le site internet du CEPD www.edps.europa.eu]

(2018/C 55/05)

Le système ECRIS actuel, établi par la décision-cadre 2009/315/JAI du Conseil (1), encourage l’échange d’informations sur les condamnations pénales, principalement dans le contexte de la coopération judiciaire. L’ECRIS peut également être utilisé à d’autres fins que dans le cadre des procédures pénales, conformément au droit national de l’État membre requis et de l’État membre requérant. Si le système ECRIS actuel peut être utilisé pour des ressortissants de pays tiers (third country nationals ou «TCN» en anglais), son efficacité est remise en question. C’est la raison pour laquelle des améliorations se justifient.

L’efficacité de l’ECRIS pour des ressortissants de pays tiers a été soulignée dans le programme européen en matière de sécurité et est devenue une priorité législative pour 2017. Déjà en 2016, la Commission avait adopté une proposition de directive modifiant la législation en vigueur et introduisant des améliorations pour les ressortissants de pays tiers au moyen d’un système décentralisé fonctionnant sur la base d’un index-filtre contenant les empreintes digitales stockées sous la forme de modèles hachés. Cette solution s’est heurtée à des problèmes techniques. La proposition de règlement relative au système ECRIS-TCN, adoptée le 29 juin 2017, porte création d’une base de données européenne centralisée dans laquelle sont stockées des informations contribuant à établir l’identité des ressortissants de pays tiers, notamment leurs empreintes et images faciales. Cette base de données devrait permettre d’effectuer des recherches fondées sur la concordance/non-concordance («hit/no hit») et d’identifier l’État membre détenant des informations sur les condamnations pénales de ressortissants de pays tiers. En outre, la proposition d’un système ECRIS-TCN centralisé se justifie en partie par le fait qu’il devrait favoriser l’interopérabilité future des systèmes européens à grande échelle dans les domaines de la liberté, de la sécurité et de la justice.

Le CEPD suit ce dossier depuis le début des négociations pour la création du système ECRIS. Il a déjà émis deux avis et reconnu l’importance d’un échange efficace des informations, qu’il s’agisse, indifféremment, de ressortissants européens ou de ressortissants de pays tiers. Cette position reste inchangée.

Le présent avis aborde certains problèmes particuliers que soulève la proposition de règlement. S’il y a lieu, il renvoie à la proposition de directive, les deux propositions se voulant complémentaires. Le CEPD relève quatre préoccupations majeures et formule d’autres recommandations supplémentaires, lesquelles sont davantage détaillées dans le présent avis. En somme, le système ECRIS ayant été adopté par l’Union européenne avant le traité de Lisbonne, le CEPD recommande que ces nouvelles propositions de directive et de règlement rendent le système conforme aux normes requises par l’article 16 du TFUE et la Charte des droits fondamentaux de l’Union européenne, notamment au regard des exigences de limitation légale des droits fondamentaux.

La nécessité d’un système européen centralisé devrait faire l’objet d’une analyse d’impact qui devrait également prendre en considération l’impact de la concentration de l’administration de toutes les bases de données européennes de grande envergure dans les domaines de la liberté, de la sécurité et de la justice au sein d’une seule et unique agence. Il serait prématuré d’anticiper l’interopérabilité dans ce contexte, cette notion devant tout d’abord être juridiquement définie et sa conformité avec les principes de protection des données garantie.

Les finalités du traitement des données auxquelles tendent les systèmes ECRIS et ECRIS-TCN, outre dans le contexte des procédures pénales, doivent être définies clairement, en accord avec le principe de limitation de la finalité dans le cadre de la protection des données. Cela vaut également pour l’accès par les instances de l’Union qui doit aussi être évalué à la lumière du droit à l’égalité de traitement des citoyens de l’Union et des ressortissants de pays tiers. Il doit être démontré que tout accès par les instances de l’Union est nécessaire, adapté, conforme à la finalité de l’ECRIS et strictement limité aux tâches incombant à ces instances européennes dans le cadre de leur mission.

Le traitement de données à caractère personnel en cause, très sensibles par nature, doit respecter rigoureusement le principe de nécessité: une concordance («hit») ne doit être déclenchée que lorsque l’État membre requis est autorisé en vertu de son droit national à fournir des informations sur les condamnations pénales à d’autres fins que dans le cadre de procédures pénales. La portée du traitement des empreintes digitales doit être limitée, et ce traitement ne doit survenir que lorsque l’identité d’un ressortissant d’un pays tiers donné ne peut être confirmée par d’autres méthodes. S’agissant des images faciales, le CEPD recommande la conduite — ou la mise à disposition (si elle a déjà été conduite) — d’une évaluation basée sur des données probantes de la nécessité de collecter de telles données et de les utiliser à des fins de vérifications ou d’identification.

La proposition de règlement qualifie, à tort, l’eu-LISA de sous-traitant. Le CEPD préconise de désigner l’eu-LISA et les autorités centrales des États membres responsables conjoints du traitement. Il recommande par ailleurs de mentionner clairement, dans une disposition de base, que l’eu-LISA pourra être tenue responsable de toute violation de cette proposition de règlement et du règlement (CE) no 45/2001 du Parlement européen et du Conseil (2).

1. INTRODUCTION ET CONTEXTE

Le 29 juin 2017, la Commission européenne a publié une proposition de règlement portant création d’un système centralisé permettant d’identifier les États membres détenant des informations relatives aux condamnations concernant des ressortissants de pays tiers et des apatrides, qui vise à compléter et à soutenir le système européen d’information sur les casiers judiciaires (système ECRIS-TCN), et modifiant le règlement (UE) no 1077/2011 (ci-après la «proposition de règlement») (3). Cette proposition s’accompagne d’un document d’analyse connexe (4). Le même jour, la Commission européenne a adopté le premier Rapport statistique sur les échanges, au moyen du système européen d’information sur les casiers judiciaires (ECRIS), d’informations extraites des casiers judiciaires entre les États membres, comme prévu par l’article 7 de la décision 2009/316/JAI du Conseil (5).

La proposition de règlement vise à améliorer les échanges d’informations sur les ressortissants de pays tiers et les citoyens de l’Union qui possèdent également la nationalité d’un pays tiers. Le principe fondamental du système ECRIS existant réside dans le fait que les informations relatives aux condamnations pénales de ressortissants de l’Union européenne peuvent être obtenues auprès de l’État membre dont ces personnes sont des nationaux, qui conserve toutes les condamnations pénales indépendamment du lieu de l’Union européenne où elles ont été prononcées. En ce qui concerne les ressortissants de pays tiers, chaque État membre conserve les condamnations prononcées sur son territoire; aussi une demande d’informations doit être adressée à tous les États membres. De l’avis de la Commission, si le système ECRIS doit être utilisé systématiquement pour extraire des informations sur des ressortissants de pays tiers, répondre aux «demandes générales» génère une charge administrative et des coûts élevés. Les États membres se montrent réticents à utiliser le système — selon le Rapport statistique, 10 % des demandes concernant des ressortissants de pays tiers (6) — et, de ce fait, les antécédents judiciaires des ressortissants de pays tiers ne sont pas toujours accessibles comme envisagé (7). L’amélioration de l’efficacité du système ECRIS en ce qui concerne les ressortissants de pays tiers est accélérée par le programme européen en matière de sécurité (8) et constitue l’une des priorités législatives pour 2017 (9).

La proposition de règlement vient compléter la proposition de directive présentée par la Commission du 19 janvier 2016 en ce qui concerne les échanges d’informations relatives aux ressortissants de pays tiers ainsi que le système européen d’information sur les casiers judiciaires (ECRIS), qui modifie la décision-cadre 2009/315/JAI du Conseil existante et remplace la décision 2009/316/JAI du Conseil (ci-après la «proposition de directive»).

Le point commun de ces deux propositions réside dans la création d’un système pour l’identification des États membres détenant des informations sur les condamnations pénales des ressortissants de pays tiers et des citoyens de l’Union européenne qui possèdent également la nationalité d’un pays tiers. La proposition de directive prévoyait un système décentralisé, ce qui signifie qu’il n’existera pas une base de données européenne unique, mais que chaque État membre tiendra à jour un dossier dit «index-filtre». Ce dossier devait être alimenté au moyen d’informations sur les ressortissants de pays tiers qui auraient été anonymisées et extraites des casiers judiciaires des États membres avant d’être communiquées à l’ensemble des États membres. Les États membres auraient ensuite fait concorder leurs propres données avec les données du terrain et pu découvrir, selon qu’il y ait ou non concordance, l’identité des États membres détenant des informations au sujet de la condamnation pénale d’un ressortissant de pays tiers. Si la proposition de directive prévoyait déjà le traitement des empreintes digitales, le recours aux empreintes digitales ayant été considéré comme l’une des options envisageables dans l’Analyse d’impact 2016, la proposition de règlement, elle, rend leur utilisation obligatoire. La Commission explique que les attaques terroristes ont accéléré l’encouragement de l’utilisation systématique des empreintes digitales à des fins d’identification (10). Une fois la proposition de directive adoptée, une étude de faisabilité a révélé qu’il n’existe actuellement aucune technologie aboutie permettant de confronter une empreinte digitale à plusieurs autres au moyen de modèles hachés.

La proposition de règlement, pour répondre aux problèmes techniques rencontrés, envisage plutôt un système centralisé incluant des données alphanumériques, des empreintes digitales et des images faciales des ressortissants de pays tiers. Les données alphanumériques et les empreintes digitales pourraient être utilisées pour identifier les ressortissants de pays tiers et les images faciales, à des fins de vérification dans un premier temps puis, lorsque la technologie sera plus aboutie, à des fins d’identification également. L’«autorité centrale» de l’État membre de condamnation saisit les données dans le système ECRIS TCN local, lequel transmet ces données vers un système centralisé de l’Union européenne. Selon qu’il y a ou non concordance, l’État membre requérant peut identifier l’État ou les États membre(s) qui détien(nen)t des informations sur les antécédents judiciaires d’un ressortissant d’un pays tiers, puis demander à obtenir ces informations en utilisant le système ECRIS existant, tel qu’amélioré par la proposition de directive. Lorsque les empreintes digitales sont utilisées à des fins d’identification, toute donnée alphanumérique correspondante peut être communiquée également. La gestion de la base de données européenne est confiée à l’eu-LISA et, à cette fin, la proposition de règlement modifie le règlement (UE) no 1077/2011 portant création de l’eu-LISA.

Par ailleurs, la solution d’un système centralisé est replacée dans le contexte de l’interopérabilité prévue entre tous les systèmes d’information pour la gestion de la sécurité, des frontières et des flux migratoires. En réalité, parmi les motifs invoqués pour justifier le choix d’un système centralisé, l’interopérabilité est mise en avant, plutôt que les problèmes techniques rencontrés (11). Le système ECRIS est également inscrit dans la feuille de route du Conseil visant à renforcer les échanges d’informations, la gestion des informations et la recherche de l’interopérabilité (12). L’interopérabilité avec le système ECRIS est également prévue dans la proposition ETIAS (13).

Une fois alignées l’une sur l’autre, les deux propositions devraient être complémentaires. Si la proposition de règlement doit aborder les problèmes liés au système centralisé, la proposition de directive doit régler les problèmes d’ordre général liés au fonctionnement du système ECRIS pour les ressortissants de pays tiers comme pour les citoyens de l’Union européenne (14). La Commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen a adopté le Rapport sur la proposition de directive en 2016 (15), tandis qu’en ce qui concerne la proposition de règlement, le projet de rapport a été adopté le 30 octobre 2017 (16). Le Conseil a d’abord suspendu les négociations relatives à la proposition de directive à la suite de la demande, adressée par des États membres à la Commission lors du Conseil du 9 juin 2016, de présenter une proposition en vue de la création d’un système centralisé (17) et procède actuellement à l’examen des deux propositions en parallèle (18).

Le système ECRIS-TCN constitue une initiative importante qui traite des systèmes d’information dans les domaines de la liberté, de la sécurité et de la justice. Le CEPD suit ce dossier depuis le début des négociations pour la création du système ECRIS. Le premier avis relatif au système ECRIS a été publié en 2006 (19), puis validé par la décision-cadre 2009/315/JAI du Conseil. Plus tard, en 2016, le CEPD, dans son avis 3/2016, a tenu compte de la proposition de directive (20).

Dans ses deux avis, le CEPD a reconnu l’importance d’échanges d’informations extraites du casier judiciaire de personnes ayant été condamnées qui soient efficaces, ainsi que la nécessité qu’un système puisse fonctionner efficacement pour des ressortissants de pays tiers, particulièrement dans le contexte de l’adoption du programme européen en matière de sécurité (21). Sa position reste inchangée.

10.

Le présent avis s’appuie sur l’avis 3/2016 et aborde certains problèmes particuliers que soulève la proposition de règlement. Le cas échéant, l’avis fait également référence à la proposition de directive. Au chapitre 2, le CEPD expose ses principales inquiétudes et formule des recommandations quant aux réponses à y apporter. Les inquiétudes et recommandations supplémentaires pour de plus amples améliorations sont décrites au chapitre 3.

3. CONCLUSION

66.

À l’issue d’une analyse approfondie de la proposition ECRIS-TCN, le CEPD formule les recommandations suivantes:

67.

Au moment de créer une nouvelle base de données européenne centralisée et de modifier la législation relative au système ECRIS existante, le CEPD préconise de prendre en considération les exigences de la Charte des droits fondamentaux de l’Union européenne imposant une limitation légale des droits fondamentaux et de prévoir un degré de protection des données à caractère personnel suffisant dans le contexte de la proposition de règlement.

68.

Plus particulièrement, le CEPD rappelle la nécessité de produire des éléments de preuve objectifs de la nécessité d’instaurer un système centralisé au niveau européen. Dans ce contexte, l’interopérabilité doit d’abord être analysée par rapport à son impact sur les droits fondamentaux et ses finalités doivent être clairement définies au regard des finalités du système ECRIS. Une analyse d’impact appropriée sur les droits fondamentaux à la vie privée et à la protection des données doit accompagner la proposition de règlement pour ce qui concerne cet aspect, ainsi que pour ce qui concerne la concentration de tous les systèmes au sein d’une seule et même agence.

69.

La création d’une nouvelle base de données européenne centralisée et la modification de la législation relative au système ECRIS existante doivent respecter les critères de limitation légale des droits fondamentaux, conformément à une jurisprudence constante. À cette fin, les finalités du traitement des données autres que celles concernant les procédures pénales pour lesquelles ECRIS et ECRIS-TCN sont envisagés doivent être analysées du point de vue de leur nécessité et de leur proportionnalité, mais aussi être définies clairement, en accord avec le principe de limitation de la finalité dans le cadre de la protection des données. Par ailleurs, l’accès au système ECRIS-TCN par des instances de l’Union telles qu’Europol doit être conforme à la finalité du système ECRIS actuel et respecter le droit à une égalité de traitement des citoyens européens et des ressortissants de pays tiers. Il doit en outre être limité aux tâches qui incombent à ces instances dans le cadre de leur mission, pour lesquelles un accès répond à des impératifs de stricte nécessité. Tout élargissement envisagé des finalités actuelles doit être entériné par une disposition de base (un considérant ne suffit pas).

70.

Puisque le système ECRIS-TCN implique le traitement de données à caractère personnel très sensibles par nature, le CEPD invite à préciser les conditions appropriées pour traiter des données à caractère personnel dans le respect du principe de nécessité: une concordance («hit») ne doit être déclenchée que lorsque l’État membre requis est autorisé en vertu de son droit national à fournir des informations sur les condamnations pénales à d’autres fins que dans le cadre de procédures pénales. La portée du traitement des empreintes digitales doit être limitée et ce traitement ne doit survenir que lorsque l’identité d’un ressortissant d’un pays tiers donné ne peut être confirmée par d’autres méthodes. S’agissant des images faciales, le CEPD recommande la réalisation ou la mise à disposition d’une évaluation basée sur des données probantes de la nécessité d’inscrire de telles données et de les utiliser à des fins de vérifications et/ou d’identification.

71.

En outre, l’eu-LISA et les autorités centrales des États membres doivent être désignées en tant que responsables conjoints du traitement des données, étant donné qu’elles ont la responsabilité commune de définir les finalités et les méthodes des activités de traitement envisagées. La désignation de l’eu-LISA en tant que sous-traitant ne refléterait pas adéquatement la situation actuelle et ne contribuerait pas à garantir un degré élevé de protection des données, ou encore ne serait pas favorable aux intérêts légitimes des États membres. De plus, la proposition relative au système ECRIS-TCN doit mentionner clairement la responsabilité de l’eu-LISA en cas de violation de cette proposition de règlement ou d’infraction au règlement (CE) no 45/2001.

72.

Outre les principales préoccupations recensées ci-dessus, les recommandations exprimées par le CEPD dans le présent avis ont trait à l’amélioration des dispositions suggérées portant sur:

—	les références à l’applicabilité de la directive (UE) 2016/680 et du règlement (CE) no 45/2001,

—	les droits des personnes concernées,

—	les statistiques, le fichier central et le contrôle,

—	la sécurité des données,

—	le rôle du CEPD,

—	les autorités de contrôle nationales.

73.

Le CEPD reste disponible pour apporter des conseils supplémentaires sur les propositions de règlement et de directive, ainsi que sur tout acte délégué ou d’exécution susceptible d’être adopté en vertu des instruments proposés, et portant sur le traitement de données à caractère personnel.

Fait à Bruxelles, le 12 décembre 2017.

Giovanni BUTTARELLI

Contrôleur européen de la protection des données

(1) JO L 93 du 7.4.2009, p. 23.

(2) JO L 8 du 12.1.2001, p. 1.

(3) COM(2017) 344 final.

(4) SWD(2017) 248 final.

(5) COM(2017) 341 final. Ce Rapport s’accompagne d’un document de travail des services de la Commission, SWD(2017) 242 final.

(6) COM(2017) 341 final, p. 15.

(7) Exposé des motifs de la proposition, COM(2017) 344 final, p. 2.

(8) COM(2015) 185 final

(9) Déclaration commune sur les priorités législatives de l’Union européenne pour l’année 2017, https://ec.europa.eu/commission/sites/beta-political/files/joint-declaration-legislative-priorities-2017-jan2017_fr.pdf

(10) Exposé des motifs de la proposition, COM(2017) 344 final, p. 3; Document analytique connexe, SWD(2017) 248 final, p. 3

(11) Exposé des motifs de la proposition, COM(2017) 344 final, p. 3.

(12) Feuille de route en vue de renforcer l’échange d’informations et la gestion de l’information, y compris des solutions d’interopérabilité, dans le domaine de la justice et des affaires intérieures, 9368/1/16, http://data.consilium.europa.eu/doc/document/ST-9368-2016-REV-1/fr/pdf; premier rapport du Conseil du 8 novembre 2016, http://statewatch.org/news/2016/dec/eu-council-info-exhang-interop-sop-13554-REV-1-16.pdf; deuxième rapport du Conseil du 11 mai 2017, http://www.statewatch.org/news/2017/may/eu-council-information-management-strategy-second-implementation-report-8433-17.pdf

(13) COM(2016) 731 final.

(14) Exposé des motifs de la proposition, COM(2017) 344 final, p. 4.

(15) A8-0219/2016.

(16) PE 612.310v01-00.

(17) Résultats de la session du Conseil (JAI), 9979/16, http://data.consilium.europa.eu/doc/document/ST-9979-2016-INIT/fr/pdf

(18) Voir l’ordre du jour du Conseil Coreper du 29 novembre 2017, http://data.consilium.europa.eu/doc/document/CM-5236-2017-INIT/en/pdf.

(19) Avis du CEPD concernant la proposition de décision-cadre du Conseil relative à l’organisation et au contenu des échanges d’informations extraites du casier judiciaire entre les États membres [COM(2005) 690 final] (JO C 313 du 20.12.2006, p. 26), https://edps.europa.eu/sites/edp/files/publication/06-05-29_criminal_records_fr.pdf

(20) Avis 3/2016 du CEPD sur le système ECRIS, https://edps.europa.eu/sites/edp/files/publication/16-04-13_ecris_fr.pdf

(21) Avis 3/2016 du CEPD relatif au système ECRIS, p. 12, et référence supplémentaire 38 dans l’avis du CEPD de 2006.

		ISSN 1977-0936
Journal officiel de l'Union européenne		C 55

Édition de langue française	Communications et informations	61e année 14 février 2018

Numéro d'information	Sommaire	page
	II Communications
	COMMUNICATIONS PROVENANT DES INSTITUTIONS, ORGANES ET ORGANISMES DE L'UNION EUROPÉENNE
	Commission européenne
2018/C 55/01	Non-opposition à une concentration notifiée (Affaire M.8776 — Macquarie/Allianz/Lakeside Network Investments) ( 1 )	1
2018/C 55/02	Non-opposition à une concentration notifiée (Affaire M.8800 — Goldman Sachs/Riverstone Investment/Lucid Energy Group II) ( 1 )	1

	IV Informations
	INFORMATIONS PROVENANT DES INSTITUTIONS, ORGANES ET ORGANISMES DE L'UNION EUROPÉENNE
	Commission européenne
2018/C 55/03	Taux de change de l'euro	2
2018/C 55/04	Notes explicatives de la nomenclature combinée de l’Union européenne	3
	Contrôleur européen de la protection des données
2018/C 55/05	Résumé de l’avis du contrôleur européen de la protection des données sur la proposition de règlement relatif au système ECRIS-TCN	4


	(1) Texte présentant de l'intérêt pour l'EEE.