23.9.2009   

FR

Journal officiel de l'Union européenne

C 229/6

1.

Le 3 décembre 2008, la Commission a soumis au CEPD, pour avis, la proposition de règlement du Parlement européen et du Conseil concernant la création du système «Eurodac» pour la comparaison des empreintes digitales aux fins de l'application efficace du règlement (CE) no […/…] [établissant les critères et mécanismes de détermination de l'État membre responsable de l'examen d'une demande de protection internationale présentée dans l'un des États membres par un ressortissant de pays tiers ou un apatride] (ci-après dénommée «la proposition» ou «la proposition de la Commission») conformément à l'article 28, paragraphe 2, du règlement (CE) no45/2001. Cette consultation devrait être explicitement mentionnée dans le préambule du règlement.

2.

Comme il est indiqué dans l'exposé des motifs de la proposition, le CEPD a contribué à l'élaboration de cette proposition à un stade antérieur et nombre des points qu'il a soulevés de manière informelle ont été pris en compte dans le texte final de la proposition de la Commission.

3.

Le règlement (CE) no 2725/2000 (3) du Conseil du 11 décembre 2000 concernant la création du système «Eurodac» (ci-après dénommé «le règlement Eurodac») est entré en vigueur le 15 décembre 2000. Le système informatique Eurodac, créé à l'échelle de la Communauté, a pour objectif de faciliter l'application de la convention de Dublin qui visait à mettre en place un mécanisme clair et efficace permettant de déterminer l'État membre responsable de l'examen d'une demande d'asile présentée dans l'un des États membres de l'UE. La Convention de Dublin a par la suite été remplacée par un instrument de droit communautaire, le règlement (CE) no 343/2003 du Conseil du 18 février 2003 établissant les critères et mécanismes de détermination de l'État membre responsable de l'examen d'une demande d'asile présentée dans l'un des États membres par un ressortissant d'un pays tiers (4) (ci-après dénommé le «règlement de Dublin») (5). Eurodac a commencé à fonctionner le 15 janvier 2003.

4.

La proposition est une révision du règlement Eurodac et de son règlement d'application, le règlement (CE) no 407/2002 du Conseil, et vise notamment à:

5.

Il convient également de souligner que l'un des principaux objectifs de la proposition est de mieux garantir le respect des droits fondamentaux, en particulier la protection des données à caractère personnel. Le présent avis examinera si les dispositions de cette proposition satisfont comme il convient à cet objectif.

6.

La proposition tient compte des conclusions du rapport d'évaluation du système de Dublin, établi par la Commission en juin 2007 (ci-après dénommé «le rapport d'évaluation»), qui couvre les trois premières années de la mise en œuvre d'Eurodac (2003-2005).

7.

Tout en notant que le système mis au point dans le règlement a été appliqué de manière globalement satisfaisante dans les États membres, le rapport d'évaluation de la Commission met en évidence certains problèmes liés à l'efficacité des dispositions actuelles, en particulier ceux sur lesquels il est nécessaire de se pencher afin d'améliorer le système Eurodac et de faciliter l'application du règlement de Dublin. Il ressort en particulier du rapport d'évaluation que certains États membres continuent à transmettre les empreintes digitales avec retard. Le règlement Eurodac ne prévoit à l'heure actuelle qu'un délai très vague pour la transmission de ces empreintes, ce qui, en pratique, peut être à l'origine de retards importants. Il s'agit là d'un point essentiel pour l'efficacité du système, car tout retard dans la transmission peut aboutir à des résultats contraires aux principes de responsabilité énoncés dans le règlement de Dublin.

8.

Le rapport d'évaluation souligne également que l'absence d'une méthode efficace permettant aux États membres de s'informer mutuellement du statut d'un demandeur d'asile a conduit dans de nombreux cas à une mauvaise gestion de la suppression de données. Les États membres qui saisissent des données concernant une personne précise ignorent souvent qu'un autre État membre d'origine a supprimé des données et, par conséquent, ne savent pas qu'ils devraient eux aussi effacer les données qu'ils détiennent sur cette même personne. De ce fait, il n'est pas possible de garantir convenablement le respect du principe selon lequel «aucune donnée ne peut être conservée sous une forme permettant l'identification de la personne concernée pendant plus longtemps que ne l'exigent les finalités de la collecte».

9.

En outre, selon l'analyse présentée dans le rapport d'évaluation, l'imprécision qui caractérise la désignation des autorités nationales ayant accès à Eurodac gêne la Commission et le contrôleur européen de la protection des données dans leur mission de contrôle.

10.

Compte tenu du rôle d'autorité de contrôle qu'il joue actuellement à l'égard d'Eurodac, le CEPD porte un intérêt particulier à la proposition de la Commission et à ce que la révision du système Eurodac dans son ensemble connaisse une issue positive.

11.

Le CEPD note que la proposition comporte divers éléments ayant trait aux droits fondamentaux des demandeurs d'asile, tels que le droit à l'asile, le droit à l'information au sens large, le droit à la protection des données à caractère personnel. Toutefois, compte tenu de la mission du CEPD, le présent avis portera essentiellement sur les questions relatives à la protection des données abordées dans la version révisée du règlement. À cet égard, le CEPD se félicite de la place importante accordée dans la proposition au respect et à la protection des données à caractère personnel. Le CEPD saisit cette occasion pour souligner que la garantie d'un niveau élevé de protection des données à caractère personnel et d'une mise en œuvre plus efficace de cette protection dans les faits devrait être considérée comme un préalable essentiel à l'amélioration du fonctionnement d'Eurodac.

12.

Le présent avis aborde essentiellement les modifications du texte ci-après car elles sont les plus pertinentes du point de vue de la protection des données à caractère personnel:

13.

Le CEPD approuve le fait que l'on veille à ce que cette proposition soit cohérente avec d'autres instruments juridiques régissant l'établissement et/ou l'utilisation d'autres systèmes informatiques à grande échelle. Le partage des responsabilités à l'égard de la base de données ainsi que la manière dont le modèle de contrôle a été conçu dans la proposition, en particulier, sont conformes aux instruments juridiques créant le système d'information Schengen de deuxième génération (SIS II ) et le système d'information sur les visas (VIS).

14.

Le CEPD constate que la proposition est compatible avec la directive 95/46/CE et le règlement (CE) no 45/2001. À cet égard, le CEPD accueille favorablement en particulier les nouveaux considérants 17, 18 et 19, qui prévoient que la directive 95/46/CE et le règlement (CE) no 45/2001 s'appliquent au traitement des données à caractère personnel effectué, en application de la proposition de règlement, respectivement par les États membres et par les institutions et organes communautaires concernés.

15.

Enfin, le CEPD attire l'attention sur la nécessité de veiller également à la cohérence entre le règlement Eurodac et celui de Dublin et il saisit l'occasion qui lui est donnée dans le présent avis pour mieux préciser ce que recouvre cette cohérence. Il observe toutefois qu'à certains égards la question a déjà été abordée dans la proposition, notamment dans l'exposé des motifs, où il est indiqué que «la cohérence avec le règlement de Dublin (ainsi que la prise en compte des préoccupations en matière de protection des données, et notamment le respect du principe de proportionnalité) sera assurée grâce à un alignement du délai de conservation des données relatives aux ressortissants de pays tiers ou aux apatrides ayant fait l'objet d'un relevé d'empreintes digitales, à la suite du franchissement illégal d'une frontière extérieure, sur le délai pendant lequel l'article 14, paragraphe 1, du règlement de Dublin attribue la responsabilité sur la base de ces informations (c'est-à-dire un an)».

16.

Le CEPD accueille favorablement le modèle de contrôle établi dans la proposition ainsi que les tâches spécifiques qui lui sont confiées en vertu des articles 25 et 26. Aux termes de l'article 25, deux tâches de contrôle sont confiées au CEPD qui:

L'article 26 porte sur la question de la coopération entre les autorités de contrôle nationales et le contrôleur européen de la protection des données.

17.

Le CEPD note en outre qu'une approche similaire à celle qui est utilisée dans le cadre du SIS II et du VIS est envisagée dans la proposition: il s'agit d'un système de contrôle à plusieurs niveaux, dans le cadre duquel les autorités nationales chargées de la protection des données et le CEPD exercent leur fonctions de contrôle respectivement aux niveaux national et européen, un mécanisme de coopération étant établi entre les deux niveaux. La manière dont le modèle de coopération est envisagé dans la proposition reflète aussi la pratique actuelle qui s'est avérée efficace et qui a favorisé une étroite collaboration entre le CEPD et les autorités chargées de la protection des données. En conséquence, le CEPD se félicite de ce que la proposition entérine ce système et de ce que, parallèlement aux dispositions qu'il a prises à cet effet, le législateur ait veillé à la cohérence avec les mécanismes de contrôle appliqués dans d'autres systèmes informatiques à grande échelle.

18.

Le CEPD constate que la proposition n'aborde pas la question de la sous-traitance d'une partie des tâches de la Commission à une autre organisation ou entité (telle qu'une entreprise privée). Néanmoins, la Commission a fréquemment recours à la sous-traitance dans la gestion et le développement tant du système que des infrastructures de communication. Si la sous-traitance en tant que telle ne va pas à l'encontre des exigences de protection des données, il convient de mettre en place d'importantes dispositions de sauvegarde afin de veiller à ce que la sous-traitance d'activités n'affecte en rien l'applicabilité du règlement (CE) no 45/2001, y compris le contrôle de la protection des données par le CEPD. En outre, il conviendrait d'adopter d'autres dispositions de sauvegarde de nature plus technique.

19.

À cet égard, le CEPD suggère que l'on prévoie dans le cadre de la révision du règlement Eurodac des garanties juridiques analogues à celles qui sont envisagées dans les instruments juridiques relatifs au SIS II, et qu'il soit précisé que, même si la Commission confie la gestion du système à une autre autorité, cela ne «porte pas préjudice à tout mécanisme permettant un contrôle effectif exercé, en vertu du droit communautaire, par la Cour de justice, la Cour des comptes ou le contrôleur européen de la protection des données» (article 15, paragraphe 7, de la décision et du règlement SIS II).

20.

Les dispositions sont encore plus précises dans le règlement SIS II, qui stipule à l'article 47: «Au cas où (…) la Commission délègue ses responsabilités à une autre instance ou à d'autres instances, (…) elle veille à ce que le contrôleur européen de la protection des données ait le droit et la possibilité de s'acquitter pleinement de sa mission, y compris de procéder à des vérifications sur place ou d'exercer tout autre pouvoir dont il est investi en vertu de l'article 47 du règlement (CE) no 45/2001».

21.

Les dispositions susmentionnées apportent toutes les précisions nécessaires sur les conséquences de la sous-traitance d'une partie des tâches de la Commission à d'autres autorités. Le CEPD suggère donc que les dispositions poursuivant le même objectif soient ajoutées au texte de la proposition de la Commission.

22.

L'article 3, paragraphe 5, de la proposition porte sur la procédure de relevé des empreintes digitales. Selon cette disposition, «la procédure de relevé des empreintes digitales est déterminée et appliquée conformément à la pratique nationale de l'État membre concerné et dans le respect des dispositions de sauvegarde établies dans la charte des droits fondamentaux de l'Union européenne, la convention de sauvegarde des droits de l'homme et des libertés fondamentales et la convention des Nations unies relative aux droits de l'enfant». Selon les dispositions de l'article 6 de la proposition, le relevé des empreintes digitales ne peut être effectué qu'auprès de demandeurs âgés de 14 ans au moins et ce, au plus tard dans les 48 heures suivant le dépôt de la demande.

23.

En ce qui concerne tout d'abord la limite d'âge, le CEPD souligne la nécessité de veiller à la cohérence de la proposition avec le règlement de Dublin. Le système Eurodac a été créé afin de garantir l'application effective dudit règlement. En d'autres termes, si, à l'issue de la révision du règlement de Dublin qui est en cours, son application pour les demandeurs d'asile mineurs s'en trouve modifiée, il conviendra d'en tenir compte dans le règlement Eurodac (6).

24.

En second lieu, pour ce qui est de fixer des limites d'âge pour le relevé d'empreintes digitales en général, le CEPD souhaite faire observer que la plupart des documents actuellement disponibles semblent indiquer que la possibilité d'identifier avec exactitude des empreintes digitales diminue avec l'âge. À cet égard, il est conseillé de suivre de près l'étude sur le relevé des empreintes digitales menée dans le cadre de la mise en œuvre du VIS. Sans préjuger des résultats de l'étude, le CEPD tient déjà à souligner à ce stade que, dans tous les cas où le relevé d'empreintes digitales s'avère impossible ou donnerait lieu à des résultats non fiables, il importe d'indiquer des procédures de remplacement qui respectent pleinement la dignité de la personne.

25.

En troisième lieu, le CEPD prend acte des efforts du législateur pour que les dispositions relatives au relevé d'empreintes digitales respectent les exigences internationales et européennes en matière de droits de l'homme. Néanmoins, il attire l'attention sur les difficultés rencontrées dans plusieurs États membres pour déterminer l'âge de jeunes demandeurs d'asile. Très souvent, les demandeurs d'asile ou les immigrés clandestins n'ont pas de document d'identification alors qu'il est nécessaire de connaître leur âge pour déterminer s'il convient de relever leurs empreintes digitales. Les méthodes utilisées pour ce faire suscitent bien des débats dans différents États membres.

26.

À cet égard, le CEPD attire l'attention sur le fait que le groupe de coordination du contrôle d'Eurodac (7) a lancé sur cette question une étude coordonnée, dont les résultats, attendus durant le premier semestre de 2009, devraient contribuer à définir des procédures communes en la matière.

27.

Pour conclure sur ce point, le CEPD estime nécessaire, dans toute la mesure du possible, de mieux coordonner et d'harmoniser au niveau de l'UE les procédures de relevé des empreintes digitales.

28.

À l'article 4, paragraphe 1, de la proposition, il est prévu que: «Après une période de transition, une instance gestionnaire, financée sur le budget général de l'Union européenne, est chargée de la gestion opérationnelle d'EURODAC. L'instance gestionnaire veille, en coopération avec les États membres, à ce que le système central bénéficie à tout moment de la meilleure technologie disponible, moyennant une analyse coût-bénéfice». Si le CEPD approuve l'obligation prévue à l'article 4, paragraphe 1, il souhaite faire observer qu'il faudrait, dans cette disposition, remplacer l'expression «la meilleure technologie disponible» par «les meilleures techniques disponibles», qui couvre à la fois la technologie employée et la manière dont l'installation est conçue, construite, entretenue et exploitée.

29.

L'article 9, paragraphe 1, de la proposition porte sur la question de l'effacement anticipé des données. En vertu de cette disposition, l'État membre d'origine est tenu d'effacer du système central «les données concernant une personne qui a acquis la nationalité d'un État membre, quel qu'il soit, avant l'expiration de la période visée à l'article 8», dès que l'État membre d'origine apprend que l'intéressé a acquis ladite nationalité. Le CEPD approuve l'obligation qui est faite d'effacer les données, laquelle correspond bien au principe de la qualité des données. En outre, le CEPD estime que la révision de cette disposition offre l'occasion d'encourager les États membres à mettre en place des procédures garantissant que, lorsqu'une personne obtient la nationalité d'un des États membres, l'effacement des données intervient de manière certaine et rapide (et, si possible, automatique).

30.

Le CEPD souhaite également signaler qu'il conviendrait de reformuler l'article 9, paragraphe 2, qui traite de la suppression anticipée de données, car l'énoncé proposé n'est pas clair. D'un point de vue rédactionnel, le CEPD suggère de remplacer dans la proposition le pronom «il» par «ils».

31.

L'article 12 de la proposition traite de la conservation des données. Le CEPD souhaite faire observer que le fait de fixer la durée de conservation des données à un an (au lieu de 2 ans dans la version actuelle du règlement) constitue une bonne application du principe relatif à la qualité des données en vertu duquel les données doivent être conservées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées. Il s'agit là d'une heureuse amélioration du texte.

32.

Il y a lieu de se féliciter de la disposition qui prévoit la publication par l'instance gestionnaire de la liste des autorités ayant accès aux données enregistrées dans Eurodac. Cette mesure contribuera à améliorer la transparence et à créer un instrument pratique permettant, notamment aux autorités chargées de la protection des données, de mieux contrôler le système.

33.

L'article 21 de la proposition porte sur la conservation des enregistrements de l'ensemble des opérations de traitement de données effectuées au sein du système central. À l'article 21, paragraphe 2, il est précisé que ces relevés ne peuvent être utilisés que pour le contrôle de la licéité du traitement des données (…). À cet égard, il convient d'ajouter que cela inclut également des mesures d'auto-contrôle.

34.

L'article 23, paragraphe 1, point e), est ainsi libellé:

«Toute personne visée par le présent règlement est informée par l'État membre d'origine (…):

35.

Le CEPD note qu'il est indispensable au bon fonctionnement d'Eurodac que le droit à l'information soit effectivement mis en œuvre. Il est, en particulier, essentiel de veiller à ce que les informations soient fournies de telle manière que le demandeur d'asile puisse pleinement comprendre sa situation ainsi que l'étendue de ses droits, y compris les démarches qu'il peut entreprendre à la suite des décisions administratives prises à son encontre.

36.

En ce qui concerne les aspects pratiques de la mise en œuvre de ce droit, le CEPD tient à souligner que, si les autorités chargées de la protection des données peuvent être saisies des réclamations relatives à la protection des données à caractère personnel, le libellé de la proposition ne devrait pas empêcher le demandeur (la personne concernée) de présenter d'abord une réclamation au responsable du traitement. Sous sa forme actuelle, l'article 23, paragraphe 1, point e), semble indiquer que le demandeur devrait introduire sa demande - directement et dans chaque cas - auprès de l'autorité chargée de la protection des données, alors que, selon la procédure habituelle et la pratique en vigueur dans les États membres, le demandeur présente d'abord sa réclamation au responsable du traitement.

37.

Le CEPD suggère également que cette disposition soit reformulée afin de clarifier les droits dont le demandeur doit bénéficier. La formulation proposée n'est pas claire, car on pourrait comprendre que «le droit d'obtenir des informations sur les procédures à suivre pour exercer ces droits (…)» fait partie du droit d'accès aux données et/ou du droit de demander que des données inexactes soient rectifiées (…). Par ailleurs, selon la formulation actuelle de cette disposition, les États membres doivent informer la personne visée par le règlement non pas du contenu des droits mais de leur «existence». Comme il semble qu'il s'agisse d'un point d'ordre stylistique, le CEPD suggère de reformuler l'article 23, paragraphe 1, point e), comme suit:

«Toute personne visée par le présent règlement est informée par l'État membre d'origine (…):

38.

Selon la même logique, il convient de modifier l'article 23, paragraphe 10, comme suit: «Dans chaque État membre, l'autorité de contrôle nationale assiste la personne concernée dans l'exercice de ses droits, s'il y a lieu (ou: à la demande de celle-ci), conformément à l'article 28, paragraphe 4, de la directive 95/46/CE». Le CEPD tient à souligner une nouvelle fois que l'intervention de l'autorité chargée de la protection des données ne devrait pas, en principe, être nécessaire; le responsable du traitement devrait, au contraire, être encouragé à répondre de manière appropriée aux réclamations des personnes concernées. Il en va de même lorsque les autorités de différents États membres doivent coopérer. Les responsables du traitement devraient être en premier ressort chargés du traitement des demandes et devraient coopérer à cette fin.

39.

En ce qui concerne l'article 23, paragraphe 9, le CEPD se félicite non seulement de l'objectif même de cette disposition (qui envisage le contrôle du recours à des «recherches spéciales», recommandé par les autorités chargées de la protection des données dans leur premier rapport sur des inspections coordonnées), mais il note également avec satisfaction la procédure proposée pour y parvenir.

40.

S'agissant des méthodes destinées à fournir des informations aux demandeurs, le CEPD renvoie aux travaux entrepris par le groupe de coordination du contrôle d'Eurodac. Ce groupe examine actuellement cette question dans le cadre d'Eurodac afin de proposer des conseils pertinents dès que les résultats des enquêtes nationales auront été communiqués et rassemblés.

41.

Le CEPD souscrit à la proposition de règlement du Parlement européen et du Conseil concernant la création du système «Eurodac» pour la comparaison des empreintes digitales aux fins de l'application efficace du règlement (CE) no […/…] établissant les critères et mécanismes de détermination de l'État membre responsable de l'examen d'une demande de protection internationale présentée dans l'un des États membres par un ressortissant de pays tiers ou un apatride.

42.

Le CEPD accueille favorablement le modèle de contrôle suggéré dans la proposition ainsi que du rôle et des tâches qui lui ont été confiés dans le nouveau système. Le modèle envisagé reflète la pratique actuelle qui a fait la preuve de son efficacité.

43.

Le CEPD constate que l'on veille dans cette proposition à la cohérence avec d'autres instruments juridiques régissant la mise en place et/ou l'utilisation d'autres systèmes informatiques à grande échelle.

44.

Le CEPD se félicite de la place importante accordée dans la proposition au respect des droits fondamentaux et, en particulier, à la protection des données à caractère personnel. Comme il l'a en outre indiqué dans son avis sur la révision du règlement de Dublin, le CEPD estime que cette approche est une condition préalable indispensable à l'amélioration des procédures d'asile dans l'Union européenne.

45.

Le CEPD attire l'attention sur la nécessité de garantir pleinement la cohérence entre le règlement Eurodac et le règlement de Dublin.

46.

Le CEPD estime nécessaire d'améliorer au niveau de l'UE la coordination et l'harmonisation des procédures de relevé d'empreintes, qu'elles concernent les demandeurs d'asile ou toute autre personne faisant l'objet de la procédure Eurodac. Il attire plus particulièrement l'attention sur la question des limites d'âge pour le relevé d'empreintes, notamment sur les difficultés que rencontrent plusieurs États membres pour déterminer l'âge de jeunes demandeurs d'asile.

47.

Le CEPD insiste pour que soient clarifiées les dispositions relatives aux droits des personnes concernées et souligne en particulier que les responsables du traitement sont responsables au premier chef de la mise en œuvre de ces droits.