19.3.2010   

FR

Journal officiel de l'Union européenne

C 70/13

1.

Le 24 juin 2009, la Commission a adopté un paquet législatif portant création d'une agence pour la gestion opérationnelle des systèmes d'information à grande échelle dans le domaine de la liberté, de la sécurité et de la justice. Ce paquet comprend une proposition de règlement du Parlement européen et du Conseil portant création de l'agence et une proposition de décision du Conseil confiant à cette agence les tâches relatives à la gestion opérationnelle du système d'information Schengen de deuxième génération (SIS II) et du système d'information sur les visas (VIS) en application du titre VI du traité UE (3). Ces deux propositions sont exposées de manière détaillée dans une communication adoptée à la même date (4). Le 11 août 2009, les deux propositions et la communication, accompagnées de l'analyse d'impact et de son résumé (5), ont été adressées au CEPD pour consultation.

2.

Le règlement proposé trouve son fondement juridique dans le titre IV du traité CE. Étant donné que l'utilisation du SIS II et du VIS aux fins de la coopération policière et judiciaire en matière pénale est actuellement fondée sur le titre VI du traité UE, le règlement proposé est complété par une proposition de décision du Conseil, basée sur le même titre.

3.

Les instruments juridiques créant respectivement le SIS II, le VIS et Eurodac confient la responsabilité de la gestion opérationnelle de ces trois systèmes à la Commission (6). Dans le cas du SIS II et du VIS, la Commission ne devrait assumer cette fonction que pendant une période transitoire, au terme de laquelle une instance gestionnaire devrait reprendre en charge la gestion opérationnelle. Dans une déclaration commune du 7 juin 2007, le Parlement européen et le Conseil ont invité la Commission à présenter, sur la base d'une évaluation d'impact comportant une analyse des alternatives, les propositions législatives nécessaires pour confier à une agence la gestion opérationnelle à long terme du SIS II et du VIS (7). Cette invitation a conduit à la présentation des propositions actuelles.

4.

L'agence créée par le règlement proposé sera effectivement chargée d'assurer la gestion opérationnelle du SIS II et du VIS, mais aussi d'Eurodac et, éventuellement, d'autres systèmes d'information à grande échelle. La référence faite aux «autres systèmes d'information à grande échelle» sera examinée aux points 28 à 31 du présent avis. Selon le préambule du règlement proposé, c'est en vue de créer des synergies qu'il a été décidé de confier la gestion opérationnelle des trois systèmes d'information à grande échelle et d'autres systèmes éventuels à une seule et même entité, de manière à bénéficier d'économies d'échelle, à atteindre une masse critique et à assurer le taux d'utilisation du capital et des ressources humaines le plus élevé possible (8).

5.

Le règlement proposé crée une agence de régulation qui dispose d'une autonomie juridique, administrative et financière et est dotée de la personnalité juridique. Elle s'acquittera des tâches confiées à l'instance gestionnaire (ou à la Commission), telles qu'elles sont décrites dans les instruments juridiques portant création du SIS II, du VIS et d'Eurodac. L'agence suivra en outre l'évolution des recherches et, à la demande expresse de la Commission, mettra en œuvre des projets pilotes pour le développement et/ou la gestion opérationnelle des systèmes d'information à grande échelle, en application du titre IV du traité CE et éventuellement aussi dans le domaine plus large de la liberté, de la sécurité et de la justice (voir les points 28 à 31 ci-dessous).

6.

La structure de direction et de gestion de l'agence comprendra un conseil d'administration, composé d'un représentant de chaque État membre et de deux représentants de la Commission, un directeur exécutif, nommé par le conseil d'administration et les groupes consultatifs, qui apportent au conseil d'administration une expertise en ce qui concerne leurs systèmes d'information respectifs. Dans l'état actuel des choses, la proposition prévoit trois groupes consultatifs, chargés respectivement du SIS II, du VIS et d'Eurodac.

7.

La proposition de décision du Conseil confère à l'agence les tâches assignées à l'instance gestionnaire, telles qu'elles sont mentionnées dans la décision 2007/533/JAI du Conseil sur le SIS II et dans la décision 2008/633/JAI du Conseil sur le VIS (9). Elle accorde en outre à Europol le statut d'observateur aux réunions du conseil d'administration de l'agence lorsqu'une question concernant le SIS II ou le VIS figure à l'ordre du jour. Europol peut également désigner un représentant au sein des groupes consultatifs chargés du SIS II et du VIS (10). Eurojust a également un statut d'observateur et peut désigner un représentant, mais seulement pour ce qui concerne le SIS II.

8.

Le CEPD se félicite d'avoir été consulté et recommande que cette consultation soit mentionnée dans les considérants des propositions, comme c'est habituellement le cas pour les textes législatifs sur lesquels il a été consulté conformément au règlement (CE) no 45/2001.

9.

Le CEPD a été consulté de façon informelle préalablement à l'adoption de la proposition, ce dont il s'est félicité. Il s'est en outre réjoui de constater que la plupart de ses observations avaient été prises en compte dans la proposition définitive.

10.

Le CEPD suit bien entendu de près l'évolution de la situation en ce qui concerne la création de l'agence, puisque celle-ci est appelée à assumer la responsabilité du bon fonctionnement et de la sécurité de bases de données telles que le SIS II, le VIS et Eurodac, qui contiennent de grandes quantités de données à caractère personnel. Comme il sera expliqué plus loin dans le présent avis, le CEPD n'est pas opposé à la création d'une telle agence, pour autant que certains risques éventuels, qui sont susceptibles d'avoir des répercussions importantes sur la vie privée des personnes, soient suffisamment pris en compte dans le ou les instruments législatifs fondateurs.

11.

Avant d'exposer ce point du vue de manière plus détaillée aux points III et IV ci-dessous, le CEPD examinera d'abord, au point II, l'incidence que le traité de Lisbonne, entré en vigueur le 1er décembre 2009, aura sur les propositions actuelles. Au point V, il présentera des observations concernant plusieurs dispositions spécifiques des deux propositions.

12.

La structure juridique de l'Union européenne a été considérablement modifiée avec l'entrée en vigueur du traité de Lisbonne le 1er décembre 2009. En particulier, en ce qui concerne le domaine de la liberté, de la sécurité et de la justice, la compétence de l'UE a été élargie et les procédures législatives ont été adaptées. Le CEPD a examiné l'incidence que les changements apportés aux traités auront sur les propositions actuelles.

13.

Les bases juridiques mentionnées dans le règlement proposé sont l'article 62, paragraphe 2, point a), l'article 62, paragraphe 2, point b), sous ii), l'article 63, paragraphe 1, point a), l'article 63, paragraphe 3, point b) et l'article 66 du traité CE. Le texte de ces articles a été repris en grande partie à l'article 77, paragraphe 1, point b), à l'article 77, paragraphe 2, points b) et a), à l'article 78, paragraphe 2, point e), à l'article 79, paragraphe 2, point c) et à l'article 74 du traité sur le fonctionnement de l'Union européenne. La procédure législative qu'il convient de suivre pour adopter des mesures fondées sur ces bases juridiques ne sera pas modifiée: la codécision est toujours applicable, comme c'était le cas auparavant, mais elle est aujourd'hui dénommée «procédure législative ordinaire». L'incidence de la modification des traités sur la base juridique et sur la procédure législative qu'il convient de suivre pour le règlement proposé semble donc être limitée.

14.

Les articles sur lesquels la proposition de décision du Conseil se fonde actuellement sont l'article 30, paragraphe 1, points a) et b) et l'article 34, paragraphe 2, point c), du traité UE. Dans les nouveaux traités, l'article 34 du traité UE a été abrogé. L'article 30, paragraphe 1, point a), a été remplacé par l'article 87, paragraphe 2, point a), du TFUE, qui crée la base pour des mesures portant sur la collecte, le stockage, le traitement, l'analyse et l'échange d'informations pertinentes, adoptées conformément à la procédure législative ordinaire. L'article 30, paragraphe 1, point b), du traité UE, qui traite de la coopération opérationnelle entre les autorités compétentes, est remplacé par l'article 87, paragraphe 3, du TFUE, qui prévoit une procédure législative spéciale, selon laquelle le Conseil statue à l'unanimité, après consultation du Parlement européen. Ces deux procédures législatives étant incompatibles, l'article 87, paragraphe 2, point a) et l'article 87, paragraphe 3, du TFUE ne peuvent plus être utilisés conjointement pour servir de base juridique à la décision du Conseil. Il faut donc faire un choix.

15.

Le CEPD estime que l'article 87, paragraphe 2, point a), du TFUE pourrait être retenu comme seule base juridique pour la mesure proposée. Cette option semble aussi être la plus indiquée, étant donné que le recours à la procédure législative ordinaire a pour effet d'associer pleinement le Parlement européen, ce qui permet d'assurer la légitimité démocratique de la proposition (11). À cet égard, il convient de souligner que la proposition concerne la création d'une agence qui sera responsable de la protection de données à caractère personnel, qui découle d'un droit fondamental consacré par l'article 16 du TFUE et par l'article 8 de la Charte des droits fondamentaux, laquelle est devenue contraignante depuis le 1er décembre 2009.

16.

L'adoption de l'article 87, paragraphe 2, point a), comme seule base juridique permettrait en outre à la Commission de fusionner les deux propositions actuelles dans un seul instrument aux fins de la création de l'agence, à savoir un règlement qui devrait être adopté conformément à la procédure législative ordinaire.

17.

En tout état de cause, le CEPD invite la Commission à clarifier la situation dans les meilleurs délais.

18.

Comme cela a été dit au point 3 ci-dessus, le Parlement européen et le Conseil ont invité la Commission à analyser des alternatives et à présenter les propositions législatives nécessaires pour confier à une agence la gestion opérationnelle à long terme du SIS II et du VIS. La Commission y ajouté Eurodac. Dans son analyse d'impact, la Commission examine cinq options pour la gestion opérationnelle de ces trois systèmes:

La Commission a analysé ces options selon quatre perspectives différentes: le fonctionnement, la gouvernance, les aspects financiers et les aspects juridiques.

19.

Dans le cadre de l'analyse juridique, la Commission a comparé la manière dont ces différentes structures pourraient permettre de garantir efficacement les droits et les libertés fondamentales, et en particulier la protection des données à caractère personnel. Elle a conclu que les options 3 et 4 étaient les plus indiquées à cet égard (12). En ce qui concerne les deux premières options, la Commission a attiré l'attention sur les problèmes qui pourraient se poser dans le cadre du contrôle effectué par le CEPD, qui ont été examinés au cours du développement du SIS II. Pour ce qui est de ces deux options, la Commission a en outre évoqué la situation problématique en termes de responsabilité qui pourrait découler de l'article 288 du traité CE (actuellement article 340 du TFUE), si des traitements réalisés par des agents nationaux devaient être contestés.

20.

Le CEPD partage l'avis de la Commission selon lequel, du point de vue du contrôle exercé par le CEPD, il serait préférable de disposer d'une entité européenne unique qui serait responsable de la gestion opérationnelle de systèmes d'information à grande échelle tels que le SIS II, le VIS et Eurodac. La création d'une entité unique permettrait en outre de clarifier les questions relatives à la responsabilité et à la loi applicable. En effet, le règlement (CE) no 45/2001 s'appliquerait à l'ensemble des activités menées par cette entité européenne.

21.

La question qui se pose ensuite est néanmoins de savoir quel type d'entité européenne l'on devrait mettre en place. La Commission examine la possibilité de créer une nouvelle agence et d'utiliser deux entités existantes, à savoir Frontex et Europol. Il existe un argument solide contre la gestion opérationnelle de systèmes d'information à grande échelle par Frontex ou Europol, étant donné que, dans l'exécution de leurs tâches, Frontex et Europol ont un intérêt propre à l'utilisation de données à caractère personnel. L'accès d'Europol au SIS II et au VIS est déjà prévu et la législation prévoyant l'accès d'Europol à Eurodac est en cours d'examen (13). Le CEPD estime que la meilleure solution consisterait à confier la gestion opérationnelle conjointe de bases de données à grande échelle telles que le SIS II, le VIS et Eurodac à une entité indépendante qui ne serait pas elle-même partie prenante en tant qu'utilisatrice de la base de données. Cela réduirait le risque d'utilisation abusive des données. À cet égard, le CEPD souhaiterait mettre en exergue le principe fondamental qui prévaut en matière de protection des données, à savoir le principe de limitation de la finalité, selon lequel des données à caractère personnel ne peuvent pas être utilisées à des fins qui sont incompatibles avec la finalité pour laquelle elles ont été initialement traitées (14).

22.

Une option que n'examine pas la Commission consiste à confier à celle-ci la gestion opérationnelle des systèmes, sans qu'il n'y ait aucune délégation au niveau national. Une autre solution, proche de cette dernière option, consisterait à créer une agence exécutive au lieu d'une agence de régulation. Bien que rien ne s'oppose en principe, d'un point de vue de la protection des données, à ce que la Commission assume elle-même cette tâche (elle n'est pas en tant que telle l'utilisatrice de ces systèmes), le CEPD estime que la création d'une agence distincte présente des avantages sur le plan pratique. Il serait également souhaitable d'opter pour une agence de régulation plutôt que pour une agence exécutive, étant donné que cela permettrait d'éviter que la création de l'agence et la détermination de la portée de ses activités soient régies sur la seule base d'une décision de la Commission. L'agence qu'il est actuellement prévu de créer sera établie sur la base d'un règlement qui sera adopté conformément à la procédure législative ordinaire et fera dès lors l'objet d'une décision démocratique.

23.

Le CEPD estime que la création d'une agence de régulation indépendante comporte des avantages. Il tient cependant à souligner qu'une telle agence ne devrait être créée que lorsque la portée de ses activités et ses compétences auront été clairement définies.

24.

Dans le cadre de l'actuel débat législatif et public concernant cette proposition, des préoccupations ont été exprimées à propos de la création éventuelle d'une «agence big brother». Cette crainte est liée à la possibilité d'un détournement d'usage, mais aussi à la question de l'interopérabilité des différents systèmes d'information. Ces deux préoccupations seront examinées dans cette partie du présent avis.

25.

Avant de se pencher sur cette question, le CEPD souhaiterait formuler comme hypothèse de base que le risque d'erreurs ou d'utilisation abusive de données à caractère personnel augmente à mesure que l'on confie un nombre plus important de systèmes d'information à grande échelle au même gestionnaire opérationnel. Les systèmes d'information à grande échelle gérés par une seule et même agence devraient par conséquent être limités à un nombre qui permettrait de continuer à offrir des garanties suffisantes en matière de protection des données. En d'autres termes, il ne faut pas partir du principe qu'il convient de confier à une seule agence la gestion opérationnelle du plus grand nombre possible de systèmes d'information à grande échelle.

26.

Dans le contexte actuel, la crainte d'un détournement d'usage est liée à l'idée que la nouvelle agence sera en mesure de créer et de regrouper, de sa propre initiative, les systèmes d'information à grande échelle existants et les nouveaux systèmes, dans une mesure qu'il est aujourd'hui impossible de prévoir. Le CEPD estime que le risque de détournement d'usage par l'agence peut être évité si, premièrement, le champ d'activités (éventuelles) de celle-ci est limité et clairement défini dans l'instrument juridique fondateur et, deuxièmement, si l'on veille à ce que toute extension éventuelle de ce champ d'activités repose sur un processus de prise de décision démocratique, à savoir, en principe, la procédure législative ordinaire.

27.

En ce qui concerne la limitation de la portée des activités (éventuelles) de l'agence, l'article 1er de la proposition à l'examen fait référence à la gestion opérationnelle de SIS II, du VIS et d'Eurodac, ainsi qu'«au développement et à la gestion d'autres systèmes d'information à grande échelle, en application du titre IV du traité CE». Sous l'angle de la définition du champ d'activités, la dernière partie de cette phrase soulève trois questions: à quoi fait référence le terme «développement»? Que faut-il entendre par «systèmes d'information à grande échelle»? Quelle est la signification de la mention figurant après la virgule? Ces trois questions seront examinées ci-dessous dans l'ordre inverse de leur énumération.

28.

La mention «en application du titre IV du traité CE» impose une limite au type de systèmes d'information à grande échelle qui peuvent être placés sous la responsabilité de l'agence. Le CEPD constate toutefois que cette mention a pour effet de limiter l'étendue des activités éventuelles dans une plus large mesure que ne le laissent supposer le titre du règlement proposé et ses considérants 4 et 10. Les textes précités diffèrent de l'article 1er en ce sens qu'ils prévoient un champ d'application plus large en faisant référence au «domaine de la liberté, de la sécurité et de la justice», et non au domaine de compétence plus limité visé au titre IV du traité CE (visas, asile, immigration et autres politiques liées à la libre circulation des personnes).

29.

La distinction entre le titre IV du traité CE et la notion plus générale que constitue le domaine de la liberté, de la sécurité et de la justice (qui englobe également le titre VI du traité UE) apparaît clairement à l'article 6 du règlement proposé, qui traite, au paragraphe 1, de la possibilité pour l'agence de mettre en œuvre des projets pilotes pour le développement et/ou la gestion opérationnelle des systèmes d'information à grande échelle, en application du titre IV du traité CE, et, au paragraphe 2, de la possibilité que des projets pilotes concernant d'autres systèmes d'information à grande échelle soient mis en œuvre par l'agence dans le domaine de la liberté, de la sécurité et de la justice. Stricto sensu, l'article 6, paragraphe 2, n'est pas compatible avec l'article 1er du règlement proposé.

30.

Il y a lieu de résoudre la contradiction qui apparaît entre l'article 1er, d'une part, et le titre du règlement proposé, les considérants 4 et 10 et l'article 6, paragraphe 2, d'autre part. Se référant à l'hypothèse de départ mentionnée au point 25 ci-dessus, le CEPD estime qu'il serait souhaitable, à ce stade, de limiter effectivement le domaine de compétence aux systèmes d'information à grande échelle relevant du titre IV du traité CE. Depuis le 1er décembre 2009, avec l'entrée en vigueur du traité de Lisbonne, cela entraînerait une limitation aux domaines d'action mentionnés au chapitre 2 du titre V du TFUE. Lorsque l'on aura acquis une certaine expérience et après une évaluation positive du fonctionnement de l'agence (voir l'article 27 de la proposition et les observations qui figurent au point 49 ci-dessous), la référence qui figure à l'article 1er pourrait éventuellement être élargie pour couvrir le domaine de la liberté, de la sécurité et de la justice dans son ensemble, pour autant qu'une décision en ce sens soit prise sur la base de la procédure législative ordinaire.

31.

Si, à l'inverse, le législateur devait décider d'opter pour un champ d'application tel que celui qui peut être déduit du titre et des considérants 4 et 10, il conviendrait alors de clarifier un autre problème, relatif à l'article 6, paragraphe 2. Contrairement au premier paragraphe de l'article 6, le deuxième paragraphe ne précise pas que la mise en œuvre des projets pilotes concerne le développement et/ou la gestion opérationnelle de systèmes d'information à grande échelle. La distinction qui a été faite volontairement entre les deux paragraphes et l'absence de cette phrase supplémentaire au deuxième paragraphe nous conduit à nous interroger sur ce que la Commission a réellement voulu établir. Cela signifie-t-il que les projets pilotes évoqués au premier paragraphe devraient comporter une évaluation destinée à déterminer si leur mise en œuvre et leur gestion opérationnelle pourraient être assurées par la nouvelle agence, alors que les projets pilotes visés au deuxième paragraphe ne doivent pas faire l'objet d'une telle évaluation? Dans l'affirmative, il conviendrait de rendre le texte beaucoup plus explicite à cet égard, car la suppression de la mention en question n'exclut pas la mise en œuvre et la gestion opérationnelle de ces systèmes par l'agence. Si la Commission a voulu dire autre chose, il conviendrait également de le préciser.

32.

La notion de «systèmes d'information à grande échelle» est matière à controverse. Il n'y a pas toujours de consensus sur la question de savoir quels sont les systèmes qui doivent ou ne doivent pas être considérés comme des systèmes d'information à grande échelle. Or, l'interprétation de cette notion a des répercussions importantes sur l'étendue des activités futures éventuelles de l'agence. Les trois systèmes d'information à grande échelle expressément cités dans la proposition présentent une caractéristique commune, à savoir le fait que les données sont stockées dans une base de données centralisée dont la Commission est (pour l'instant) responsable. Il n'y a aucune certitude quant au fait de savoir si les activités futures éventuelles de l'agence se limiteront à des systèmes d'information présentant cette caractéristique ou si elles pourraient également s'étendre à des systèmes décentralisés, pour lesquels la responsabilité de la Commission se limite au développement et à la maintenance de l'infrastructure commune, comme c'est le cas pour le système de Prüm et pour le système européen d'information sur les casiers judiciaires (ECRIS) (15). Afin d'éviter toute équivoque à l'avenir, le CEPD invite le législateur à clarifier la notion de systèmes d'information à grande échelle dans le cadre de la création de l'agence.

33.

Outre la gestion opérationnelle des systèmes d'information à grande échelle, l'agence s'acquittera également des missions définies à l'article 5 (suivi des recherches) et à l'article 6 (projets pilotes). Dans le premier cas, il s'agit de suivre l'évolution des recherches pertinentes et d'informer la Commission de cette évolution. Les activités menées dans le cadre de l'article 6 consistent à mettre en œuvre des projets pilotes pour le développement et/ou la gestion opérationnelle de systèmes d'information à grande échelle (voir, toutefois, les observations figurant au point 31 ci-dessus). L'article 6 précise ce qu'il y a lieu d'entendre par le terme «développement». L'utilisation de ce terme à l'article 1er donne à penser que l'agence pourrait être responsable du développement de systèmes d'information à grande échelle, de sa propre initiative. Le libellé de l'article 6, paragraphes 1 et 2, exclut toutefois cette hypothèse. Il y est clairement indiqué que l'agence peut mettre en œuvre des projets «[à] la demande expresse de la Commission». Autrement dit, c'est la Commission qui dispose du pouvoir d'initiative en ce qui concerne le développement de nouveaux systèmes d'information à grande échelle. Toute décision portant sur la création effective d'un nouveau système d'information à grande échelle devrait bien entendu être prise sur la base des procédures législatives prévues dans le TFUE. Afin de renforcer encore le libellé de l'article 6 du règlement proposé, le législateur pourrait décider d'ajouter le terme «Uniquement» au début de la première phrase des paragraphes 1 et 2 de l'article 6.

34.

Ainsi qu'il a été dit, le risque de détournement d'usage peut être évité si, premièrement, le champ d'activités (éventuelles) de l'agence est limité et clairement défini dans l'instrument juridique fondateur et, deuxièmement, si l'on veille à ce que toute extension éventuelle de ce champ d'activités repose sur une procédure de prise de décision démocratique, à savoir, en principe, la procédure législative ordinaire. Le texte actuel contient déjà des dispositions qui limitent le risque de détournement d'usage.

35.

Toutefois, certaines incertitudes subsistent quant à la portée exacte des activités éventuelles de la nouvelle agence. Le législateur devrait, en premier lieu, préciser et décider en connaissance de cause si la portée des activités doit être limitée au chapitre 2 du titre V du TFUE ou s'il conviendrait éventuellement de l'élargir à l'ensemble des systèmes d'information à grande échelle développés dans le domaine de la liberté, de la sécurité et de la justice. Il devrait, en deuxième lieu, clarifier la notion de systèmes d'information à grande échelle dans ce cadre, et préciser si ceux-ci se limitent à des systèmes qui se caractérisent par le stockage de données dans une base de données centralisée, dont la responsabilité est confiée à la Commission ou à l'agence. En troisième lieu, même si l'article 6 fait déjà obstacle au développement, par l'agence, de nouveaux systèmes d'information qu'elle mettrait en œuvre de sa propre initiative, le libellé de l'article 6 pourrait encore être renforcé en ajoutant le terme «Uniquement» au début des paragraphes 1 et 2 (si ce dernier paragraphe est maintenu).

36.

La notion d'«interopérabilité» n'est pas dépourvue d'ambiguïtés. Le CEPD est parvenu à cette conclusion dans ses observations du 10 mars 2006 relatives à la communication de la Commission sur l'interopérabilité des bases de données européennes (16). En ce qui concerne la nouvelle agence, la notion d'interopérabilité doit être comprise en tenant compte du fait qu'il existe un risque que, lorsque plusieurs systèmes d'information à grande échelle sont regroupés pour en confier la gestion opérationnelle à une agence, une technologie similaire soit utilisée pour les différents systèmes, lesquels pourraient dès lors être facilement interconnectés. D'une manière générale, le CEPD partage cette préoccupation. Dans ses observations du 10 mars 2006, le CEPD a indiqué que le fait de rendre techniquement possible l'interconnexion de différents systèmes d'information à grande échelle constituait une puissante incitation à les interconnecter effectivement. C'est une bonne raison d'insister à nouveau sur l'importance que revêtent les règles en matière de protection des données à caractère personnel. Le CEPD a par conséquent souligné que l'interopérabilité des systèmes d'information à grande échelle ne pouvait être rendue possible que dans le plein respect des principes relatifs à la protection des données, et en particulier dans le plein respect du principe de la limitation de la finalité, mentionné précédemment (voir supra, point 21).

37.

Le fait que l'interopérabilité des systèmes d'information à grande échelle puisse éventuellement être encouragée parce que la technologie utilisée permet de procéder aisément à leur interconnexion n'est toutefois pas nécessairement lié à la création d'une nouvelle agence. En effet, même en l'absence d'une telle agence, des systèmes pourraient être développés d'une manière analogue, ce qui serait de nature à favoriser leur interopérabilité.

38.

Quelle que soit la structure qui sera retenue pour la gestion opérationnelle, l'interopérabilité ne peut être rendue possible que si elle est en conformité avec la légalisation en matière de protection des données, et à la condition que la décision effective de réaliser l'interopérabilité soit prise sur la base d'une procédure législative ordinaire. Il ressort clairement de la proposition de règlement que la décision de rendre des systèmes d'information à grande échelle interopérables n'est pas une décision qui peut être prise par l'agence (voir également l'analyse présentée plus haut, au point 33). La communication de la Commission du 11 mars 2008 sur les agences européennes indique plus explicitement encore que la Commission n'est pas autorisée à déléguer le pouvoir d'adopter de telles mesures réglementaires de portée générale à une agence (17). Tant qu'une telle décision n'est pas prise, l'agence est tenue de mettre en place des mesures de sécurité afin de prévenir toute interconnexion éventuelle des systèmes d'information à grande échelle dont elle assure la gestion (en ce qui concerne les mesures de sécurité, voir également les points 46 et 47 ci-dessous).

39.

L'interopérabilité (envisagée ou pouvant éventuellement être envisagée à l'avenir) pourrait faire partie de la demande que la Commission adresse à l'agence afin de mettre en œuvre un projet pilote pour le développement de nouveaux systèmes d'information à grande échelle, comme prévu à l'article 6 du règlement proposé. Cela soulève la question de savoir quelle procédure la Commission suivra pour demander à l'agence de mettre en œuvre de tels projets pilotes. La demande de la Commission devrait, en tout état de cause, être basée au moins sur une évaluation préliminaire visant à déterminer si le système d'information à grande échelle proprement dit, et l'interopérabilité en particulier, seraient conformes aux exigences en matière de protection des données et, de manière plus générale, à la base juridique utilisée pour la création de ces systèmes. En outre, la consultation obligatoire du Parlement européen et du CEPD pourraient faire partie de la procédure de demande. En tout état de cause, le texte de la demande adressée par la Commission à l'agence devrait être rendu accessible à toutes les parties concernées, ainsi qu'au Parlement européen et au CEPD. Le CEPD invite le législateur à clarifier cette procédure.

40.

La proposition de règlement crée une agence de régulation indépendante dotée de la personnalité juridique. Au considérant 6 de la proposition, il est précisé que l'agence devrait être créée sous cette forme, étant donné que l'instance gestionnaire devrait jouir d'une autonomie juridique, administrative et financière. Comme cela a été exposé au point 20 ci-dessus, la création d'une entité unique permettrait de clarifier les questions relatives à la responsabilité et à la loi applicable.

41.

L'article 25 de la proposition de règlement confirme que le traitement des informations par la nouvelle agence est soumis au règlement (CE) no 45/2001. Le considérant 16 met en outre en évidence que cela signifie que le CEPD est habilité à obtenir de l'agence l'accès à toutes les informations nécessaires à ses enquêtes.

42.

Le CEPD se réjouit de constater que l'applicabilité du règlement (CE) no 45/2001 aux activités de la nouvelle agence a été mise en évidence de cette façon. Même si la référence au règlement (CE) no 45/2001 fait défaut dans la proposition de décision du Conseil, il est néanmoins évident que l'agence sera également liée par les dispositions de ce règlement lorsque la base de données sera utilisée pour des activités relevant de la coopération policière et judiciaire en matière pénale. Avec l'entrée en vigueur du traité de Lisbonne et, dans l'hypothèse où le législateur déciderait de maintenir deux instruments juridiques distincts (voir les observations figurant plus haut, au point II), rien ne s'opposerait à ce qu'il soit également fait référence au règlement (CE) no 45/2001 dans les considérants et/ou les dispositions de la décision du Conseil.

43.

Le CEPD relève également avec satisfaction que la désignation d'un délégué à la protection des données est mentionnée explicitement à l'article 9, paragraphe 1, point o), du règlement proposé. Le CEPD souhaite souligner combien il est important de désigner rapidement un délégué à la protection des données, compte tenu du document de référence qu'il a établi sur les DPD (18).

44.

Sur la base du règlement (CE) no 45/2001 et en vertu des instruments juridiques qui ont créé les systèmes d'information, le CEPD est habilité à exercer un contrôle sur l'agence. Il est généralement fait appel à ces compétences en matière de contrôle, qui sont énumérées à l'article 47 du règlement (CE) no 45/2001, lorsqu'une violation des règles relatives à la protection des données s'est déjà produite. Le CEPD a indiqué qu'il souhaitait être régulièrement informé, non seulement a posteriori, mais aussi préalablement, des activités de l'agence. Il a aujourd'hui mis en place, avec la Commission, une procédure qui répond à ce souhait. Il espère qu'une coopération aussi satisfaisante verra également le jour avec la nouvelle agence. Compte tenu de ce qui précède, le CEPD demande au législateur de l'inclure dans la liste des destinataires auxquels, conformément à l'article 9, paragraphe 1, points i) et j), du règlement proposé, il convient de transmettre le programme de travail annuel et le rapport d'activité annuel.

45.

L'article 9, paragraphe 1, point r), du règlement proposé traite du rapport que le CEPD établit dans le cadre de l'audit qu'il effectue, conformément à l'article 45 du règlement (CE) no 1987/2006 sur le SIS II et à l'article 42, paragraphe 2, du règlement (CE) no 767/2008 sur le VIS. La formulation actuelle donne l'impression que l'agence jouit d'une totale liberté en ce qui concerne la suite à donner à l'audit et qu'elle a même la possibilité de ne tenir aucun compte des recommandations qui ont été formulées. Même si l'agence peut formuler des observations sur le rapport et si elle a toute latitude quant à la manière de mettre en œuvre les recommandations du CEPD, elle n'a certainement pas la possibilité de faire abstraction de ces recommandations. Le CEPD propose dès lors, soit de supprimer l'article, soit de remplacer la mention «et décide de la suite à donner à cet audit» par «et décide de la manière la plus appropriée de mettre en œuvre les recommandations formulées à la suite de cet audit».

46.

Dans le règlement proposé, il est indiqué que le directeur exécutif présente au conseil d'administration pour adoption le projet de mesures de sécurité nécessaires, y compris un plan de sécurité (voir l'article 14, paragraphe 6, point g), et l'article 9, paragraphe 1, point n)). La sécurité est également évoquée à l'article 26, qui traite des règles de sécurité en matière de protection des informations classifiées et des informations sensibles non classifiées. Il y est fait référence à la décision 2001/844/CE, CECA, Euratom (19) de la Commission du 29 novembre 2001 et, au deuxième paragraphe, aux principes de sécurité relatifs au traitement des informations sensibles non classifiées tels qu'ils sont adoptés et mis en œuvre par la Commission européenne. Outre les observations qui seront énoncées au point suivant, le CEPD recommande au législateur d'inclure aussi, dans le deuxième paragraphe, une référence aux documents spécifiques, étant donné que ce paragraphe est relativement vague dans son libellé actuel.

47.

Le CEPD tient à faire observer que les instruments juridiques sur lesquels reposent le SIS II, le VIS et Eurodac comportent des dispositions détaillées en matière de sécurité. Il ne va pas de soi que ces dispositions spécifiques sont complètement similaires ou totalement compatibles avec les règles visées à l'article 26. Étant donné qu'il convient de veiller à ce que le plan de sécurité assure le niveau de sécurité le plus élevé possible, le CEPD recommande au législateur de faire de l'article 26 une disposition plus large qui traiterait de la question des règles de sécurité d'une manière plus générale et comporterait des références aux dispositions pertinentes des instruments juridiques relatifs aux trois systèmes d'information à grande échelle. Mais il convient au préalable d'évaluer dans quelle mesure les règles auxquelles il sera fait référence sont similaires et compatibles entre elles. Il conviendrait en outre d'établir un lien entre cette disposition plus générale, d'une part, et l'article 14, paragraphe 6, point g), et l'article 9, paragraphe 1, point n), qui traitent de l'élaboration et de l'adoption de mesures de sécurité et d'un plan de sécurité, d'autre part.

48.

Le CEPD est conscient du fait que la décision relative au siège de l'agence, visé à l'article 7, paragraphe 4, du règlement, est, dans une large mesure, une décision politique. Le CEPD recommande toutefois que, compte tenu de l'article 19, qui traite de l'accord de siège, le choix du siège repose sur des critères objectifs, tels que les bâtiments disponibles — en partant du principe qu'il ne devrait y avoir qu'un seul bâtiment, uniquement affecté à l'agence — et les possibilités d'assurer la sécurité de ce bâtiment.

49.

L'article 27 du règlement proposé dispose que dans les trois ans suivant l'entrée en fonction de l'agence, et tous les cinq ans ensuite, le conseil d'administration commande une évaluation extérieure indépendante, sur la base d'un mandat délivré par le conseil d'administration après consultation de la Commission. Afin de s'assurer que la protection des données fera partie intégrante de ce mandat, le CEPD recommande au législateur d'y faire expressément référence au premier paragraphe. Le CEPD invite en outre le législateur à préciser d'une manière non exhaustive quelles sont les parties prenantes dont il est question au deuxième paragraphe et à y inclure le CEPD. Il recommande au législateur de l'inclure également dans la liste des institutions destinataires des documents visés au troisième paragraphe.

50.

À titre liminaire, le CEPD relève qu'il est impossible de baser la proposition de décision du Conseil sur les deux articles du TFUE qui ont remplacé les articles du traité de l'UE sur lesquels la proposition se fonde actuellement. Le CEPD invite la Commission à clarifier la situation et à envisager d'adopter comme base juridique l'article qui accorde le plus de pouvoirs au Parlement européen, ainsi qu'à réfléchir à la possibilité de fusionner les deux propositions en un seul règlement.

51.

Le CEPD a analysé les différentes options qui se présentent pour assurer la gestion opérationnelle du SIS II, du VIS et d'Eurodac, et il estime que la création d'une agence de régulation indépendante offre des avantages pour ce qui est de la gestion opérationnelle de certains systèmes d'information à grande échelle. Le CEPD tient cependant à souligner qu'une telle agence ne devrait être créée que lorsque la portée de ses activités et ses responsabilités auront été clairement définies.

52.

Le CEPD a examiné deux préoccupations d'ordre général concernant la création d'une agence qui sont importantes pour la protection des données, à savoir le risque de détournement d'usage et les répercussions sur l'interopérabilité des systèmes.

53.

Le CEPD estime que le risque de détournement d'usage peut être évité si, premièrement, le champ d'activités (éventuelles) de l'agence est limité et clairement défini dans l'instrument juridique fondateur et, deuxièmement, si l'on veille à ce que toute extension éventuelle de ce champ d'activités repose sur une procédure de prise de décision démocratique. Le CEPD relève que les propositions actuelles comportent déjà de telles dispositions, mais que certaines incertitudes subsistent. Il recommande par conséquent au législateur de:

54.

D'une manière générale, le CEPD est préoccupé par les ambiguïtés entourant l'évolution des choses en ce qui concerne l'interopérabilité possible des systèmes d'information à grande échelle. Il estime toutefois que la création de l'agence n'est pas le facteur qui représente le risque le plus important à cet égard. Le CEPD a constaté que l'agence ne sera pas habilitée à prendre, de sa propre initiative, une décision en matière d'interopérablité. Le CEPD encourage le législateur à apporter des précisions sur la procédure que la Commission devrait suivre avant d'adresser une demande de projet pilote. De l'avis du CEPD, cette procédure devrait comporter une évaluation — qui pourrait nécessiter une consultation du Parlement européen et du CEPD — de l'incidence que l'initiative mise en œuvre à la suite d'une telle demande est susceptible d'avoir sur la protection des données.

55.

Le CEPD émet en outre les recommandations spécifiques suivantes: