5.12.2008   

FR

Journal officiel de l'Union européenne

C 310/1

1.

Le 27 février 2008, l'initiative de 14 États membres en vue de l'adoption d'une décision du Conseil sur le renforcement d'Eurojust et modifiant la décision 2002/187/JAI (1) a été publiée au Journal officiel.

2.

Le CEPD n'a pas été invité à formuler un avis sur cette initiative. Il rend donc d'office le présent avis, comme il l'a fait pour l'initiative en vue de l'adoption d'une décision du Conseil relative à l'approfondissement de la coopération transfrontière, notamment en vue de lutter contre le terrorisme et la criminalité transfrontière (traité de Prüm), et pour l'initiative en vue de l'adoption d'une décision du Conseil concernant la mise en œuvre de la décision du Conseil précitée (2). Le CEPD estime que le présent avis devrait être mentionné dans le préambule de la décision du Conseil, de manière analogue à ce qui a été fait pour un certain nombre d'instruments juridiques adoptés sur la base d'une proposition de la Commission, dans lesquels son avis a été mentionné.

3.

Bien que l'État membre ou le groupe d'États membres qui prend l'initiative d'une mesure législative dans le cadre du titre VI du traité UE ne soit pas légalement tenu de demander l'avis du CEPD, les règles applicables n'excluent cependant pas cette possibilité. Le CEPD déplore que les États membres n'aient pas demandé son avis en l'espèce, étant donné que l'initiative concerne essentiellement le traitement de données à caractère personnel ou les conditions qui régissent ce traitement.

4.

Dans le même ordre d'idées, il déplore qu'aucune analyse d'impact n'accompagne l'initiative (3). Ce type d'analyse constitue un élément indispensable pour améliorer la transparence et, de manière plus générale, la qualité du processus législatif. Pour les citoyens de l'Union européenne, il n'est pas facile de comprendre pourquoi cet élément fait normalement partie du processus législatif lorsque la Commission émet des propositions et pourquoi il n'en va pas de même lorsque l'initiative émane des États membres.

5.

En l'occurrence, les documents d'accompagnement auraient pu fournir une justification attestant de l'urgence qu'il y a à modifier la décision 2002/187/JAI. À cet égard, il convient de souligner que l'initiative a été prise en vue d'adopter un instrument juridique juste avant l'entrée en vigueur du traité de Lisbonne. Ce traité entraînera une modification du statut d'Eurojust, notamment du fait de la suppression de la structure en piliers du traité UE.

6.

Enfin, le CEPD rappelle que les 14 États membres ont présenté une deuxième initiative, étroitement liée à la première, en vue de l'adoption d'une décision du Conseil concernant le Réseau judiciaire européen (4). Le CEPD n'émettra pas d'avis sur cette autre initiative, étant donné que celle-ci est moins importante du point de vue de la protection des données à caractère personnel. Les informations diffusées au sein du Réseau judiciaire européen — comme le propose l'article 8 de l'initiative — ne concernent en principe pas essentiellement des données à caractère personnel.

7.

Conformément à ses considérants, l'initiative vise à renforcer encore l'efficacité opérationnelle d'Eurojust. Cet objectif s'inscrit dans un contexte où la poursuite du développement d'Eurojust est considérée comme une évolution logique. Dans le programme de La Haye de novembre 2004 (5), le Conseil européen avait déjà invité la Commission à étudier la suite du développement d'Eurojust. En octobre 2007, la Commission a présenté une communication au Conseil et au Parlement européen sur le rôle d'Eurojust et du Réseau judiciaire européen dans le cadre de la lutte contre le crime organisé et le terrorisme dans l'Union européenne (6). Cette communication a conclu qu'il était nécessaire de modifier la décision relative à Eurojust pour permettre à cette organisation de développer son potentiel de coopération et de s'affirmer ultérieurement comme un acteur essentiel de la lutte contre le crime organisé et le terrorisme en Europe.

8.

Le CEPD rappelle également que l'article 85 du traité sur le fonctionnement de l'Union européenne (traité de Lisbonne) élargira la base juridique applicable à Eurojust, par rapport à la base juridique actuelle, définie à l'article 31, paragraphe 2, du traité UE. L'article 85 du traité sur le fonctionnement de l'Union européenne mentionne notamment le déclenchement d'enquêtes pénales. L'article 86 dudit traité dispose que le Conseil peut instituer un Parquet européen à partir d'Eurojust.

9.

La communication indique que le bilan opérationnel d'Eurojust est positif. On enregistre une augmentation considérable du nombre d'affaires traitées par Eurojust. La communication relève cependant que ce développement doit s'accompagner d'une clarification et d'un renforcement des pouvoirs des membres nationaux d'Eurojust et du collège. Elle démontre les faiblesses du cadre actuel, qui n'octroie pas suffisamment de pouvoirs aux membres nationaux et au collège.

10.

Le CEPD convient qu'il faut améliorer le cadre juridique d'Eurojust, afin de le rendre plus efficace. Il s'agit d'une organisation qui est en pleine évolution. Le rôle qu'elle joue dans le cadre des enquêtes et des poursuites pénales est de plus en plus important et devrait encore s'accroître afin de permettre à Eurojust de s'affirmer comme un acteur essentiel dans ce domaine.

11.

La communication souligne que l'accès à l'information est fondamental. Dans cette perspective, il est logique qu'une grande partie des modifications proposées dans l'initiative aient trait à la situation d'Eurojust en matière d'information (7). Le présent avis du CEPD se centrera en particulier sur cette question, étant donné qu'elle a trait à la collecte, au stockage et à l'échange de données à caractère personnel. À cet égard, il importe également de noter que la deuxième partie de la communication est essentiellement consacrée aux relations qui existent entre Eurojust et les autres acteurs de la coopération judiciaire en matière pénale. L'amélioration de ces relations revêt également une importance capitale dans l'initiative et constituera un élément essentiel du présent avis.

12.

Le CEPD constate que l'initiative comporte des dispositions qui présentent un intérêt particulier en matière de collecte, de stockage et d'échange de données à caractère personnel:

13.

Du fait qu'elles élargissent les possibilités existant en matière de collecte, de stockage et d'échange de données à caractère personnel, ces dispositions génèrent des risques supplémentaires pour la protection des données à caractère personnel. Il n'est bien sûr pas toujours possible d'éviter ces risques, étant donné qu'il faut faire en sorte que les règles applicables permettent à Eurojust d'accomplir ses activités opérationnelles avec efficacité. Néanmoins, lorsqu'il conçoit de nouvelles dispositions qui étendent les possibilités prévues en matière de traitement des données, le législateur européen devrait chercher à assurer un juste équilibre entre les différents intérêts publics qui sont en jeu, en tenant compte du principe de proportionnalité.

14.

Cela exige en tout état de cause que ces règles soient établies sur la base d'une analyse des points faibles des règles existantes et de l'efficacité attendue des nouvelles dispositions. C'est aussi pour cette raison qu'il est regrettable que l'initiative ne soit pas accompagnée de documents comportant une telle analyse, même si la communication fournit beaucoup d'informations utiles. Par exemple, aucun élément n'est avancé pour démontrer la nécessité de remplacer les listes exhaustives mentionnées à l'article 15 par des listes ouvertes.

15.

La nécessité de fournir des éléments de preuve est d'autant plus important qu'Eurojust doit fonctionner dans un cadre complexe. Au stade actuel de l'intégration européenne, les enquêtes et poursuites pénales relèvent des droits nationaux. Les législations internes en vigueur dans les États membres dans ce domaine reposent sur de longues traditions juridiques et sont très disparates. La mission d'Eurojust consiste à faciliter la coordination optimale des actions d'enquête et de poursuites des États membres couvrant le territoire de plusieurs d'entre eux, dans le respect intégral des droits et libertés fondamentaux (8).

16.

De plus, la décision 2002/187/JAI laisse une large marge d'appréciation aux gouvernements nationaux quant à la manière dont ils s'acquittent des missions qui leur incombent dans le cadre d'Eurojust, par exemple en ce qui concerne le statut qu'ils donnent aux membres nationaux.

17.

Cette réalité a des conséquences diverses. En premier lieu, il semble légitime de limiter la marge de manœuvre des États membres pour qu'Eurojust puisse fonctionner efficacement. L'article 2, paragraphe 2, proposé accroît le niveau minimum des ressources que les États membres devraient allouer aux membres nationaux. En outre, le nouvel article 9 bis vise à renforcer le statut des membres nationaux. Les États membres sont tenus de leur conférer certains pouvoirs.

18.

En second lieu, il faut tenir compte du fait qu'Eurojust échange des informations dans le cadre de systèmes juridiques très disparates, ayant des exigences légales (et constitutionnelles) différentes en ce qui concerne l'utilisation et l'accès aux informations. Ces exigences ne devraient pas être utilisées pour limiter les pouvoirs d'Eurojust en matière de collecte, de stockage et d'échange d'informations, ou restreindre ces échanges, mais il conviendrait, au contraire, dans un environnement aussi complexe, de bien évaluer toutes les conséquences potentielles et de les étudier préalablement.

19.

Le traité de Lisbonne a trois conséquences importantes en ce qui concerne cette initiative:

20.

La question se pose de savoir s'il ne serait pas préférable d'attendre l'entrée en vigueur du traité de Lisbonne pour adopter la modification du cadre législatif d'Eurojust, telle qu'elle est présentée dans l'initiative.

21.

Le CEPD estime que certains arguments plaident de manière convaincante pour la solution consistant à attendre l'entrée en vigueur du traité de Lisbonne. Ces arguments sont les suivants:

22.

L'article 14 de la décision 2002/187/JAI dispose qu'Eurojust peut, dans le cadre de ses compétences et afin de mener à bien ses tâches, traiter les données à caractère personnel. Cet article fait en outre référence à la convention no 108 (12) du Conseil de l'Europe, énonce certains principes généraux en matière de protection des données et dispose qu'Eurojust doit établir un index des données relatives aux enquêtes et peut créer des fichiers de travail temporaires comportant également des données à caractère personnel.

23.

Dans l'initiative, il n'est pas proposé de remplacer la référence à la convention no 108 par une référence à la décision-cadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (13), et il n'est fait aucunement référence à cette décision-cadre du Conseil (14). Pour des raisons de cohérence, le CEPD recommande de renvoyer à l'article 14 de la décision 2002/187/JAI. Cette référence est d'autant plus importante qu'Eurojust échange des données à caractère personnel avec des autorités nationales qui seront liées par la décision-cadre du Conseil relative à la protection des données à caractère personnel, dès son entrée en vigueur dans les États membres.

24.

L'initiative propose de remplacer la référence faite à l'«index [des données]» par une référence à un «système de gestion des dossiers contenant [des données]». Le CEPD est favorable à ce changement, qui reflète mieux les pratiques en vigueur au sein d'Eurojust. Cette modification permet de préciser que les dispositions ou les restrictions relatives au traitement des données à caractère personnel s'appliquent au «système de gestion des dossiers» proprement dit et pas uniquement à l'index.

25.

Dans l'initiative, il est proposé de remplacer les listes limitées de données à caractère personnel qui peuvent faire l'objet d'un traitement conformément à l'article 15, paragraphes 1 et 2, par des listes similaires, mais dotées d'un caractère ouvert. Le terme «seulement» sera supprimé et à l'article 15, paragraphe 1, les termes «telles que» sont ajoutés. Mis à part une légère incohérence qu'il convient de rectifier dans l'initiative (pourquoi n'ajouter «telles que» qu'à l'article 15, paragraphe 1?), le CEPD estime qu'il ne convient pas d'adopter la modification proposée dans le droit de l'Union. Cette modification modifie la nature de la liste et a un effet négatif sur la protection de données et sur la sécurité juridique, sans que cela ne repose sur une raison valable (15).

26.

Le CEPD ne comprend pas la nécessité de cette modification, en particulier parce que les listes de données sont déjà relativement complètes. S'il manquait une catégorie spécifique de données, il serait préférable de l'inclure dans la décision proprement dite. L'initiative actuelle fournit une excellente occasion de le faire, comme l'atteste l'ajout proposé d'une catégorie 1) à l'article 15, paragraphe 1.

27.

Cet ajout concerne les numéros de téléphone, les données relatives à l'immatriculation des véhicules, les données relatives aux échanges téléphoniques et de courriers électroniques, les registres d'ADN et les photographies concernant des personnes qui font l'objet d'une enquête ou d'une poursuite pénale pour certains types de criminalité. S'il comprend la nécessité de traiter ces données, le CEPD estime cependant qu'il convient de clarifier certains points spécifiques, à savoir:

28.

Le septième considérant de l'initiative prévoit de renforcer la capacité d'Eurojust à travailler avec des partenaires extérieurs tels qu'Europol, l'OLAF et l'agence Frontex, ainsi qu'avec les autorités de pays tiers.

29.

En outre, l'article 26 contient de nouvelles dispositions relatives aux relations et à la coopération étroite avec d'autres partenaires tels que le Réseau judiciaire européen, le Centre de situation conjoint (SitCen), Interpol et l'Organisation mondiale des Douanes. Il ressort du texte de l'initiative que cette coopération peut, dans tous les cas, inclure l'échange de données à caractère personnel. Cela conduit aux observations suivantes:

30.

En ce qui concerne la coopération avec Europol, l'initiative contient plusieurs éléments nouveaux, qui ont essentiellement trait au statut d'Eurojust à l'égard des fichiers de travail établis par Europol à des fins d'analyse (18). L'article 9 bis, paragraphe 1, point c), tel qu'il est proposé, confère aux membres nationaux d'Eurojust le pouvoir de s'acquitter de tâches en liaison avec des fichiers de travail établis par Europol à des fins d'analyse. L'article 26, paragraphe 1 bis, proposé est particulièrement importante, étant donné qu'il dispose que les États membres prennent les mesures nécessaires pour que le collège puisse être effectivement en mesure d'ouvrir un fichier de travail établi par Europol à des fins d'analyse et qu'il puisse participer à son fonctionnement. Cette proposition relève d'une approche fondamentalement nouvelle, en ce qu'elle met un terme à une situation dans laquelle les cadres juridiques d'Europol et d'Eurojust prévoient une séparation totale entre les deux organes. Ceux-ci coopèrent, par exemple, sur la base d'un accord mutuel, mais ne disposent d'aucun accès direct à leurs systèmes respectifs.

31.

La proposition de décision du Conseil portant création de l'office européen de police (EUROPOL) ne comporte pas de disposition similaire à celle de l'article 26, paragraphe 1 bis, qui autorise l'accès et la participation d'Eurojust aux fichiers de travail établis par Europol. (19) L'article 14 de cette proposition prévoit, au contraire, des limitations strictes en ce qui concerne la participation et l'accès à ces fichiers de travail. L'article 14, paragraphe 2, dispose que seuls les analystes sont habilités à introduire des données dans le fichier concerné et à les modifier et que tous les participants au groupe d'analyse peuvent rechercher des données dans le fichier.

32.

Cela entraîne deux obligations juridiques antagonistes. D'une part, Europol ne peut accorder le droit de participer à ces fichiers de travail et de les analyser qu'aux analystes ou aux participants d'un groupe d'analyse. D'autre part, les États membres sont tenus, en vertu du droit de l'Union, d'autoriser Eurojust à ouvrir les fichiers et à y participer. Il n'est pas évident de déterminer laquelle de ces deux obligations prévaudrait. Pour des raisons de sécurité juridique, il est nécessaire que le Conseil modifie l'un de ces deux instruments juridiques avant de procéder à une adoption définitive. Il convient de veiller à ce que ces deux instruments soient compatibles.

33.

À cet égard, il convient également de répondre à une question essentielle. Est-il nécessaire que le collège d'Eurojust participe activement aux activités d'Europol ou suffirait-il qu'Eurojust demande à Europol de pouvoir consulter un fichier de travail à des fins d'analyse et/ou obtienne des informations de la part d'Europol sur demande, comme cela se passe actuellement, conformément à l'accord conclu entre les deux organes?

34.

Le CEPD estime qu'au vu des circonstances actuelles et compte tenu de l'absence de motivation claire et publique, il conviendrait d'examiner s'il ne suffirait pas de s'en tenir aux arrangements actuels, pour autant que:

Cette solution aurait également pour effet de servir la cause de la protection des données. Les responsabilités d'Europol et d'Eurojust en matière de traitement des données à caractère personnel demeureront bien distinctes (qui sera le sous-traitant?, qui sera le responsable du traitement?), ce qui est par ailleurs utile compte tenu de l'existence de différents systèmes de contrôle en matière de protection des données, dotés d'organes de contrôle communs différents, celui d'Eurojust étant composé de juges (21).

35.

Cela implique également une coopération avec les autorités de pays tiers. Les arrangements qui existent déjà en application de l'article 27 de la décision 2002/187/JAI du Conseil seront complétés par un article sur les magistrats de liaison détachés auprès d'États tiers (article 26 bis) et par un article relatif aux demandes de coopération judiciaire émanant d'États tiers (article 27 bis).

36.

Le CEPD approuve ces nouvelles dispositions, mais demande qu'une attention particulière soit accordée au niveau de protection des données assuré dans les pays tiers, qui fait l'objet de l'article 27, paragraphe 4, de la décision 2002/187/JAI du Conseil. Le CEPD recommande que l'on mette à profit la modification actuelle de la décision du Conseil, qui accroît encore l'étendue des échanges avec les pays tiers, pour y intégrer une procédure d'évaluation de leur bien-fondé. Cette évaluation devrait être réalisée par le collège d'Eurojust, avec l'approbation de l'organe de contrôle commun.

37.

La décision 2002/187/JAI du Conseil comporte des dispositions étendues visant à assurer le respect des règles applicables à Eurojust en matière de protection des données. L'article 17 traite du délégué à la protection des données au sein d'Eurojust, tandis que l'article 23 institue un organe de contrôle commun qui contrôle, de manière collégiale, les activités d'Eurojust.

38.

L'initiative ne propose aucune modification fondamentale à ces dispositions, qui semblent fonctionner correctement. Seul un petit ajout est proposé à l'article 23, paragraphe 10, afin de préciser que le secrétariat de l'organe de contrôle doit pouvoir s'appuyer sur les compétences du secrétariat créé par la décision 2000/641/JAI du Conseil (22).

39.

Le CEPD accueille favorablement cet ajout, qui pourrait renforcer la cohérence du contrôle de la protection des données dans le domaine de la coopération policière et judiciaire en matière pénale (actuel troisième pilier). L'expérience acquise avec d'autres organes de l'UE et l'utilisation de systèmes d'information à grande échelle contribuera immanquablement à améliorer la qualité de la protection.

40.

Sur le plan de la cohérence, la question ci-après mérite également d'être examinée. L'article 38 de la proposition de décision du Conseil portant création de l'office européen de police (EUROPOL) (23) traite du personnel d'Europol. L'article 38, paragraphe 1, soumet le directeur d'Europol, les directeurs adjoints et le personnel au statut des fonctionnaires des Communautés européennes (et à des règles similaires). Parallèlement à cela, l'article 38, paragraphe 5 bis, prévoit qu'Europol applique les dispositions du règlement (CE) no 45/2001 au traitement des données à caractère personnel relatives à son personnel. Cela inclut le contrôle de l'application de ce règlement par le CEPD.

41.

Le CEPD recommande que le Conseil adopte la même approche en ce qui concerne Eurojust et qu'il ajoute une disposition similaire concernant le traitement des données à caractère personnel de son personnel. L'incertitude qui règne quant au fait de savoir si l'organe de contrôle commun est compétent pour contrôler le traitement des données à caractère personnel relatives au personnel d'Eurojust constitue une raison supplémentaire de privilégier cette approche. En effet, l'article 23, paragraphe 1, de la décision 2002/187/JAI du Conseil fait spécifiquement référence au contrôle des activités d'Eurojust visées aux articles 14 à 22 de la décision, ce qui n'inclut pas nécessairement les données relatives à la gestion administrative d'Eurojust, telles que, par exemple, les données relatives au personnel.

42.

Cette solution est d'autant plus utile que l'entrée en vigueur du traité de Lisbonne, qui entraînera la suppression de la structure en piliers, pourrait éventuellement faire relever Eurojust du champ d'application du règlement (CE) no 45/2001 et qu'elle aura, en tout état de cause, pour effet de soumettre Eurojust à l'article 16, paragraphe 2, du traité sur le fonctionnement de l'Union européenne, qui oblige le législateur de l'Union à fixer les règles relatives au traitement des données à caractère personnel par les différents organes de l'UE.

43.

Enfin, l'initiative reconnaît le rôle consultatif joué par l'organe de contrôle commun. Certaines décisions ne peuvent être prises qu'après consultation de l'organe de contrôle commun. Il faut se féliciter de la reconnaissance ainsi accordée à cet organe. Son rôle pourrait même être renforcé à certains égards si le collège d'Eurojust était non seulement tenu de le consulter, mais aussi de respecter ses recommandations (voir plus haut, points 29 et 36).

44.

Le CEPD déplore que les États membres n'aient pas sollicité son avis, étant donné que l'initiative concerne essentiellement le traitement de données à caractère personnel par Eurojust ou les conditions qui autorisent ce traitement.

45.

L'initiative aurait dû être accompagnée non seulement d'un exposé des motifs, mais aussi d'une analyse d'impact, ces deux documents étant nécessaires pour améliorer la transparence, et d'une manière plus générale, la qualité du processus législatif. Ces documents auraient pu justifier l'urgence qu'il y a à modifier la décision 2002/187/JAI.

46.

Le CEPD convient qu'il est nécessaire d'améliorer le cadre juridique d'Eurojust, afin de le rendre plus efficace. Il s'agit d'une organisation en pleine évolution. Il fait les constatations suivantes:

C'est pour ces raisons également que de nouvelles règles doivent être établies sur la base d'une analyse des points faibles des règles existantes et de l'efficacité attendue des nouvelles dispositions.

47.

L'avis donne quatre arguments pour attendre l'entrée en vigueur du traité de Lisbonne. Ces arguments sont les suivants:

48.

Il conviendrait de faire référence à la décision-cadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale. Les listes des données à caractère personnel pouvant faire l'objet d'un traitement en vertu de l'article 15, paragraphes 1 et 2, devraient rester des listes fermées. Des précisions doivent être apportées en ce qui concerne les nouveaux éléments d'information qui sont ajoutés à l'article 15, paragraphe 1, point 1).

49.

Le CEPD est opposé à l'échange de données à caractère personnel entre Eurojust et l'Organisation mondiale des douanes.

50.

En ce qui concerne les relations avec Europol, il conviendrait d'envisager de maintenir les arrangements existants, pour autant que:

51.

En ce qui concerne la coopération avec les autorités de pays tiers, il est recommandé de mettre à profit la modification actuelle de la décision du Conseil, qui accroît encore l'étendue des échanges avec les pays tiers, pour intégrer dans la décision du Conseil une procédure d'évaluation de leur bien-fondé.

52.

Le CEPD accueille favorablement l'ajout proposé à l'article 23, paragraphe 10, qui prévoit que le secrétariat de l'organe de contrôle doit pouvoir s'appuyer sur les compétences du secrétariat créé par la décision 2000/641/JAI du Conseil.

53.

Le CEPD recommande d'ajouter une disposition similaire à celle figurant à l'article 38, paragraphe 5 bis, de la proposition de décision du Conseil portant création de l'office européen de police (EUROPOL), afin d'établir que les dispositions du règlement (CE) no 45/2001 s'appliquent au traitement des données à caractère personnel relatives au personnel d'Eurojust.

54.

Les dispositions relatives au rôle consultatif de l'organe de contrôle commun sont favorablement accueillies et pourraient même être renforcées à certains égards.