27.10.2007   

FR

Journal officiel de l'Union européenne

C 255/13

1.

La proposition de décision du Conseil portant création de l'Office européen de police (Europol) a été adressée par la Commission au CEPD pour avis, conformément à l'article 28, paragraphe 2, du règlement (CE) no 45/2001. Le CEPD estime que le présent avis devrait être mentionné dans le préambule de la décision-cadre (3).

2.

L'objectif de la proposition n'est pas d'apporter des changements majeurs au mandat ou aux activités d'Europol, mais principalement de donner à Europol un cadre juridique nouveau et plus souple. Europol a été créé en 1995 par une convention conclue entre les États membres, au sens de l'article K.6 du TUE (maintenant l'article 34) (4). Du point de vue de la souplesse et de l'efficacité, ces conventions présentent l'inconvénient de devoir être ratifiées par l'ensemble des États membres, ce qui peut prendre plusieurs années, comme l'a montré l'expérience récente. L'exposé des motifs de la proposition en question rappelle que les trois protocoles modifiant la convention Europol adoptés en 2000, 2002 et 2003 n'étaient pas encore entrés en vigueur à la fin 2006 (5).

3.

Néanmoins, la proposition contient également des modifications substantielles visant à améliorer encore le fonctionnement d'Europol. Elle étend le mandat de l'Office et contient plusieurs dispositions nouvelles visant à faciliter davantage ses activités. Dans cette perspective, l'échange de données entre Europol et d'autres instances (telles que des organes de la Communauté européenne/l'Union européenne, des autorités des États membres et de pays tiers) devient une question de premier plan. La proposition prévoit qu'Europol fait tout son possible pour assurer l'interopérabilité de ses systèmes de traitement de données avec ceux des États membres et des organismes de la Communauté européenne/de l'Union européenne (article 10, paragraphe 5 de la proposition). Elle prévoit en outre un accès direct des unités nationales au système d'Europol.

4.

En outre, la position d'Europol en tant qu'organe relevant du titre VI du traité sur l'Union européenne (troisième pilier) a des conséquences pour le droit applicable en matière de protection des données étant donné que le règlement (CE) no 45/2001 s'applique uniquement au traitement mis en oeuvre pour l'exercice d'activités qui relèvent du champ d'application du droit communautaire et ne s'applique donc pas, en principe, aux traitements effectués par Europol. Le chapitre V de la proposition contient des règles spécifiques relatives à la protection et à la sécurité des données qui peuvent être considérées comme une lex specialis prévoyant des règles supplémentaires en complément d'une lex generalis, un cadre juridique général sur la protection des données. Cependant, ce cadre juridique général pour le troisième pilier n'a pas encore été adopté (voir les points 37 à 40 ci-après).

5.

Enfin, il y a lieu de mentionner que certaines autres modifications rapprocheront davantage la position d'Europol de celles d'autres organes de l'Union europénne, établis en vertu du traité instituant la Communauté européenne. Même si cela ne change pas fondamentalement la position d'Europol, cela peut apparaître comme une première évolution encourageante. Europol sera financé par le budget communautaire et le personnel d'Europol relèvera du statut du personnel de la Communauté. Cela renforce le contrôle du Parlement européen (en raison de sa position dans la procédure budgétaire) et celui de la Cour européenne de justice (dans les différends relatifs au budget et aux questions de personnel). Le CEPD sera compétent en matière de traitement des données à caractère personnel relatives au personnel des Communautés (voir plus loin le point 47).

6.

Le présent avis abordera successivement les modifications substantielles (sous le point III), les lois applicables en matière de protection des données (sous le point IV) et les similarités croissantes entre Europol et les organes communautaires (sous le point V).

7.

L'avis accordera une attention particulière à l'importance substantielle des échanges de données entre Europol et les autres organes de l'Union européenne, qui dans la plupart sont soumis au contrôle du CEPD. Dans ce contexte, les articles 22, 25 et 48 de la proposition peuvent être cités plus particulièrement. La complexité de cette question suscite des inquiétudes tant en ce qui concerne le principe de limitation de la finalité qu'en ce qui concerne les lois applicables en matière de protection des données et de contrôle lorsque des autorités de contrôle distinctes sont compétentes pour assurer le contrôle des différents organes européens, selon le pilier dont ils relèvent. Un autre sujet de préoccupation a trait à l'interopérabilité du système d'information d'Europol avec d'autres systèmes d'information.

8.

L'environnement législatif de la proposition examinée évolue rapidement.

9.

En premier lieu, la proposition examinée s'inscrit dans le cadre des nombreuses actions législatives menées dans le domaine de la coopération policière et judiciaire visant à améliorer les possibilités de stockage et d'échange des données à caractère personnel pour les besoins des services répressifs. Certaines de ces propositions — telles que la décision-cadre du Conseil du 18 décembre 2006 relative à l'échange d'informations et de renseignements, par exemple (6), ont été adoptées par le Conseil, tandis que d'autres propositions sont toujours en phase d'examen.

10.

Le principe directeur de ces actions législatives est le principe de la disponibilité; il s'agit d'un principe de droit essentiel introduit pour la première fois dans le programme de La Haye en novembre 2004. Il implique que les informations nécessaires à la lutte contre la criminalité devraient pouvoir franchir sans entraves les frontières intérieures de l'UE.

11.

Le principe de la disponibilité n'est pas suffisant en soi. Des mesures législatives complémentaires sont nécessaires pour permettre aux autorités policières et judiciaires d'échanger efficacement des informations. Dans certains cas, l'instrument choisi pour faciliter cet échange comprend la mise en place d'un système d'informations au niveau européen ou des améliorations apportées à un tel système. Le système d'informations d'Europol est un système de ce type. Le CEPD a déjà traité des questions essentielles relatives à ces systèmes en ce qui concerne le Système d'information Schengen et abordera à nouveau certaines de ces questions dans le cadre de la présente proposition. Parmi ces questions figurent les conditions d'octroi de l'accès au système, l'interconnexion et l'interopérabilité ainsi que les règles applicables relatives à la protection et au contrôle des données (7).

12.

En outre, la proposition devrait être examinée à la lumière des développements les plus récents, tels que l'initiative présentée par la présidence allemande de l'Union européenne visant à transposer le traité de Prüm dans le cadre juridique de l'UE.

13.

En deuxième lieu, le cadre régissant la protection des données dans le troisième pilier — condition nécessaire à l'échange de données à caractère personnel — n'a (comme cela a été dit précédemment) pas encore été adopté. Au contraire, les négociations au sein du Conseil sur la proposition de décision-cadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale se sont avérées relativement difficiles. La présidence allemande du Conseil a annoncé qu'un nouveau texte (8) serait proposé, avec certaines différences essentielles par rapport à l'approche adoptée dans la proposition de la Commission.

14.

En troisième lieu, la proposition est directement liée aux évolutions relatives au Traité établissant une Constitution pour l'Europe. L'article III-276 du Traité constitutionnel est censé être une étape essentielle dans un processus par lequel, d'une part, le rôle et les fonctions d'Europol sont progressivement étendus et, d'autre part, Europol est progressivement intégré dans le cadre institutionnel européen. Comme indiqué dans l'exposé des motifs de la proposition examinée, cet article reflète la conception de l'avenir d'Europol qui s'est dégagée. La décision en question intègre en partie cette conception, tout en tenant compte de l'incertitude qui règne quant à savoir si les dispositions du Traité constitutionnel entreront en vigueur et à quel moment.

15.

Les articles 4 et 5 et l'annexe I de la proposition définissent le mandat d'Europol. Ce mandat s'étend désormais au-delà de la seule criminalité organisée et couvre la même liste de formes graves de criminalité que celle qui figure dans la décision-cadre du Conseil relative au mandat d'arrêt européen (9). Deuxième extension du rôle d'Europol: ses bases de données comprendront désormais des informations et des renseignements transmis par des organismes privés.

16.

La première extension constitue une étape logique de l'évolution de la coopération policière en matière pénale. Le CEPD reconnaît qu'elle aboutit à une plus grande harmonisation des instruments juridiques visant à faciliter la coopération policière. L'harmonisation est utile, non seulement parce qu'elle renforce les conditions d'une meilleure coopération, mais également parce qu'elle renforce la sécurité juridique du citoyen et permet un contrôle plus efficace de la coopération policière, puisque la portée des différents instruments s'étend aux mêmes catégories d'infractions. Le CEPD suppose que cette extension du mandat est proposée en tenant compte du principe de proportionnalité.

17.

La deuxième extension s'inscrit quant à elle dans la tendance récente de la coopération policière marquée par une utilisation croissante des données collectées par des sociétés privées pour les besoins des services répressifs. Le CEPD reconnaît qu'il peut être nécessaire d'utiliser ce type de données. Il peut notamment être nécessaire, pour lutter contre le terrorisme et d'autres formes graves de criminalité, que les services répressifs aient accès à toutes les informations pertinentes, y compris les informations détenues par des parties privées (10). Néanmoins, la nature des informations et des renseignements émanant de parties privées nécessite des garanties complémentaires, notamment pour s'assurer de l'exactitude de ces informations puisqu'il s'agit de données à caractère personnel qui ont été recueillies à des fins commerciales dans un environnement commercial. Il faudrait également s'assurer que ces informations ont été recueillies et traitées de manière licite avant d'être transmises à Europol, en vertu de la législation nationale mettant en œuvre la directive 95/46/CE, et que l'accès d'Europol à ces informations n'est autorisé que sur la base de conditions et de restrictions clairement définies: l'accès ne devrait être autorisé qu'au cas par cas, pour des finalités données et devrait faire l'objet d'un contrôle juridictionnel dans les États membres (11). Le CEPD propose donc d'insérer ces conditions et ces restrictions dans le texte de la décision.

18.

L'article 6 de la convention Europol adopte une approche restrictive en ce qui concerne le traitement des informations recueillies par Europol. Ce traitement se limite à trois éléments: le système d'informations d'Europol, les fichiers d'analyse et un système d'index. L'article 10, paragraphe 1, de la proposition remplace cette approche par une disposition générale permettant à Europol de traiter les informations et les renseignements dans la mesure nécessaire pour atteindre ses objectifs. Cependant, l'article 10, paragraphe 3, de la proposition prévoit que le traitement des données à caractère personnel en dehors du système d'informations d'Europol et des fichiers d'analyse est soumis aux conditions fixées dans une décision du Conseil après consultation du Parlement européen. Le CEPD estime que cette disposition est formulée de manière suffisamment précise pour protéger les intérêts légitimes des personnes concernées. La consultation des autorités compétentes en matière de protection des données avant l'adoption d'une telle décision par le Conseil, conformément à ce qui est proposé au point 55, devrait être ajoutée à l'article 10, paragraphe 3.

19.

A l'article 10, paragraphe 2, la possibilité pour Europol de «traiter des données afin de déterminer si elles sont utiles à ses missions» semble contraire au principe de proportionnalité. Cette formulation n'est pas très précise et présente le risque, dans la pratique, qu'un traitement soit entrepris pour toutes sortes de finalités non définies.

20.

Le CEPD comprend qu'il est nécessaire de traiter les données à caractère personnel à un stade où leur utilité pour une mission d'Europol n'a pas encore établie. Néanmoins, il faudrait veiller à ce que le traitement des données à caractère personnel dont la pertinence n'a pas encore été évaluée soit strictement limité à la finalité consistant à évaluer leur pertinence, que cette évaluation soit réalisée dans des délais raisonnables et que, lorsque la pertinence n'est pas vérifiée, les données ne soient pas traitées pour les besoins des services répressifs. Une solution différente ne porterait pas seulement atteinte aux droits des personnes concernées mais entraverait aussi l'efficacité des services répressifs.

Afin de respecter le principe de proportionnalité, le CEPD propose donc d'ajouter à l'article 10, paragraphe 2, une disposition prévoyant l'obligation de stocker les données dans des bases de données distinctes jusqu'à ce que leur utilité pour une mission spécifique d'Europol soit établie. En outre, le temps nécessaire au traitement de ces données doit être strictement limité et en tout état de cause ne pas dépasser 6 mois (12).

21.

Conformément à l'article 10, paragraphe 5, de la proposition, tous doit être mis en œuvre pour assurer l'interopérabilité avec les systèmes de traitement de données des États membres et ceux utilisés par les organismes concernés de la Communauté et de l'Union. Cette approche renverse celle de la convention Europol (article 6, paragraphe 2), qui interdit la connexion à d'autres systèmes de traitement automatisé.

22.

Dans ses observations relatives à la communication de la Commission sur l'interopérabilité des bases de données européennes (13), le CEPD a contesté l'avis selon lequel l'interopérabilité est avant tout un concept technique. Si l'interopérabilité des bases de données devient techniquement possible — ce qui signifie qu'il est possible d'avoir accès aux données et de les échanger — des pressions s'exerceront pour utiliser concrètement cette possibilité. Cela pose des risques spécifiques liés au principe de limitation de la finalité, car les données peuvent aisément être utilisées à des fins différentes de celles de la collecte. Le CEPD insiste sur la nécessité d'appliquer des conditions et des garanties strictes, lorsque l'interconnexion avec une base de données sera effectivement mise en place.

23.

Le CEPD recommande donc d'ajouter à la proposition une disposition prévoyant que l'interconnexion n'est autorisée qu'après l'adoption d'une décision fixant les conditions et les garanties de cette interconnexion, notamment en ce qui concerne la nécessité de l'interconnexion et les finalités pour lesquelles les données à caractère personnel seront utilisées. Cette décision devrait être adoptée après consultation du CEPD et de l'autorité de contrôle commune. Une telle disposition pourrait être liée à l'article 22 de la proposition, qui concerne les relations avec d'autres organes et agences.

24.

En ce qui concerne l'article 11, paragraphe 1, le CEPD prend note de la suppression de l'actuelle restriction d'accès des unités nationales aux données à caractère personnel relatives aux délinquants potentiels qui n'ont pas (encore) commis d'infraction. Cette restriction est actuellement prévue à l'article 7, paragraphe 1, de la convention et limite l'accès direct aux seuls éléments d'identité des personnes concernées.

25.

Le CEPD estime que cette modification substantielle n'est pas justifiée. Au contraire, ces garanties spécifiques relatives à cette catégorie de personnes sont parfaitement conformes à l'approche adoptée par la Commission dans sa proposition de décision-cadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale. Le CEPD recommande de fournir davantage de garanties pour l'accès aux données concernant des personnes qui n'ont pas (encore) commis d'infraction et en tout état de cause de ne pas réduire la protection conférée par la convention Europol.

26.

Conformément au texte modifié de l'article 21, paragraphe 3, de la convention Europol (14), la nécessité de conserver de manière prolongée les données à caractère personnel des personnes visées à l'article 10, paragraphe 1, est réexaminée chaque année et ce réexamen fait l'objet d'une mention. En revanche, l'article 20, paragraphe 1, de la proposition n'exige un réexamen que trois ans après l'introduction des données. Le CEPD n'est pas convaincu que cette souplesse supplémentaire soit nécessaire et recommande donc d'insérer dans la proposition une obligation de réexamen annuel. Une modification de la proposition est d'autant plus importante que celle-ci devrait prévoir l'obligation de réexaminer les conditions de conservation de manière régulière, et non une seule fois au bout de trois ans.

27.

L'article 21 est une disposition générale permettant à Europol d'interroger par voie automatisée d'autres systèmes d'information nationaux ou internationaux et de rechercher des données dans ces systèmes. Cet accès ne devrait être autorisé qu'au cas par cas, dans des conditions strictes. L'article 21 autorise toutefois un accès beaucoup trop large, qui n'est pas nécessaire à l'exécution des fonctions d'Europol. À cet égard, le CEPD renvoie à son avis du 20 janvier 2006 sur l'accès au système d'information sur les visas (VIS) par les autorités compétentes en matière de sécurité intérieure (15). Le CEPD recommande de modifier le texte de la proposition en conséquence.

28.

Il est important de garder à l'esprit que cette disposition, dans la mesure où elle concerne l'accès aux bases de données nationales, a une portée plus large que la communication d'informations entre Europol et les unités nationales, qui est traitée notamment par l'article 12, paragraphe 4, de la proposition. Cet accès sera non seulement soumis aux dispositions de la décision du Conseil examinée, mais il sera également régi par la législation nationale relative à l'accès aux données et à leur utilisation. Le CEPD se félicite du principe énoncé à l'article 21 selon lequel la règle la plus stricte s'applique. En outre, l'importance de la communication de données à caractère personnel entre Europol et les bases de données nationales, y compris l'accès d'Europol à ces bases de données nationales, est une raison supplémentaire d'adopter une décision-cadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale.

29.

L'article 24, paragraphe 1, soumet à deux conditions la transmission de données aux organismes publics de pays tiers et aux organisations internationales: a) la transmission ne peut avoir lieu que si cette mesure est nécessaire, dans des cas individuels, à la lutte contre les infractions et b) elle doit se faire sur la base d'une convention internationale garantissant un degré suffisant de protection des données par l'organisme tiers. L'article 24, paragraphe 2, prévoit une dérogation dans des cas exceptionnels, en tenant compte du niveau de protection des données offert par l'autorité destinataire. Le CEPD comprend que ces exceptions sont nécessaires et souligne la nécessité d'une application stricte des exceptions, au cas par cas et dans des circonstances très exceptionnelles. Le texte de l'article 24, paragraphe 2, traduit ces conditions de manière satisfaisante.

30.

L'article 29 traite du droit d'accès aux données à caractère personnel. Il s'agit de l'un des droits fondamentaux de la personne concernée, consacré à l'article 8, paragraphe 2, de la charte des droits fondamentaux de l'Union européenne et garanti également par la convention no 108 du Conseil de l'Europe du 28 janvier 1981 ainsi que par la recommandation no R (87) 15 du 17 septembre 1987 du comité des ministres du Conseil de l'Europe. Ce droit fait partie du principe de traitement loyal et licite des données à caractère personnel et vise à protéger les intérêts essentiels de la personne concernée. Toutefois, les conditions visées à l'article 29 limitent ce droit d'une manière qui n'est pas acceptable compte tenu de ce qui précède.

31.

Tout d'abord, l'article 29, paragraphe 3 prévoit que la demande d'accès — introduite dans un État membre conformément à l'article 29, paragraphe 2 — sera traitée conformément à l'article 29 ainsi qu'aux lois et procédures de l'État membre dans lequel la demande a été introduite. En conséquence, le droit national peut limiter le champ d'application et le contenu du droit d'accès et imposer des contraintes procédurales. Ce résultat pourrait s'avérer insatisfaisant. Par exemple, les demandes d'accès aux données à caractère personnel peuvent également être introduites par des personnes dont les données ne sont pas traitées par Europol. Il est essentiel que le droit d'accès s'étende à ces demandes. Il convient dès lors de garantir qu'un droit national prévoyant un droit d'accès plus limité ne s'applique pas.

32.

Le CEPD estime que la référence au droit national figurant à l'article 29, paragraphe 3, devrait être supprimée et remplacée par des règles harmonisées sur le champ d'application, le contenu et la procédure, de préférence dans la décision-cadre du Conseil relative à la protection des données à caractère personnel ou, le cas échéant, dans la décision du Conseil.

33.

En outre, l'article 29, paragraphe 4, énumère les raisons susceptibles de motiver un refus d'accès aux données à caractère personnel, lorsque la personne concernée souhaite exercer son droit d'accès aux données à caractère personnel la concernant traitées par Europol. Conformément à l'article 29, paragraphe 4, l'accès est refusé si cet accès peut compromettre certains intérêts spécifiques; Cette formulation est beaucoup plus large que celle de l'article 19, paragraphe 3, de la convention Europol, qui autorise le refus d'accès uniquement «dans la mesure où cela est nécessaire».

34.

Le CEPD recommande de conserver la formulation plus stricte du texte de la convention Europol. Il convient également de s'assurer que le responsable du traitement des données est obligé d'indiquer les raisons du refus, de sorte que l'utilisation de cette exception puisse être effectivement contrôlée. Ce principe est mentionné expressément dans la recommandation no R (87) 15 du comité des ministres du Conseil de l'Europe. La formulation utilisée dans la proposition de la Commission n'est pas acceptable car elle ne tient pas suffisamment compte de la nature fondamentale du droit d'accès. Les exceptions à ce droit ne peuvent être acceptées que si elles sont nécessaires afin de protéger un autre intérêt fondamental, en d'autres termes si l'accès compromettrait cet autre intérêt.

35.

Enfin, et c'est loin d'être le moins important, le droit d'accès est fortement limité par le mécanisme de consultation prévu à l'article 29, paragraphe 5. En vertu de ce mécanisme, l'accès est subordonné à la consultation de toutes les autorités compétentes concernées et, en ce qui concerne les fichiers de travail aux fins d'analyse, il est également subordonné à l'accord d'Europol et de tous les États membres participant à l'analyse ou directement concernés. Ce mécanisme va de fait à l'encontre de la nature fondamentale du droit d'accès. La règle générale devrait être d'accorder l'accès et de ne le restreindre que dans des circonstances spécifiques. Au lieu de cela, le texte de la proposition prévoit que l'accès ne serait accordé qu'après qu'une consultation aura été effectuée et après qu'un accord sera intervenu.

36.

Europol sera un organe de l'Union européenne, et non une institution ou un organe communautaire au sens de l'article 3 du règlement (CE) no 45/2001. Par conséquent, ledit règlement ne s'applique en principe pas au traitement de données à caractère personnel par Europol, sauf dans des situations déterminées. Le chapitre V de la proposition prévoit donc un régime spécifique de protection des données, qui s'appuie également sur un cadre juridique général applicable en la matière.

37.

La proposition tient compte du fait qu'un cadre juridique général relatif à la protection des données est nécessaire. Conformément à son article 26, Europol applique en tant que lex generalis les principes de la décision-cadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale. Cette référence à la (proposition de) décision-cadre du Conseil remplace la référence faite à l'article 14, paragraphe 3, de la convention Europol, à la convention no 108 du Conseil de l'Europe du 28 janvier 1981 ainsi qu'à la recommandation R (87) 15 du comité des ministres du Conseil de l'Europe du 17 septembre 1987.

38.

Le CEPD accueille avec satisfaction l'article 26 de la proposition. Cette disposition est déterminante pour l'efficacité de la protection des données, ainsi que pour des raisons de cohérence, étant donné qu'elle facilite l'échange de données à caractère personnel, ce qui est également utile aux fins de l'action répressive. Toutefois, il conviendrait de veiller à la compatibilité entre les deux instruments, ce qui ne va pas de soi compte tenu des éléments suivants:

En fonction des résultats des négociations au Conseil sur la décision-cadre, qui seront probablement menées sur la base de la proposition allemande évoquée ci-dessus, il pourrait s'avérer nécessaire de prévoir des garanties supplémentaires dans la proposition à l'examen. Cet aspect devra être réexaminé par la suite, lorsqu'on aura une idée plus précise des résultats des négociations sur la décision-cadre du Conseil.

39.

Le CEPD insiste sur le fait que la décision du Conseil à l'examen ne devrait pas être adoptée avant que le Conseil n'adopte le cadre relatif à la protection des données, qui garantira un niveau approprié de protection des données conformément aux conclusions formulées par le CEPD dans ses deux avis sur la proposition de décision-cadre du Conseil présentée par la Commission (16).

40.

À cet égard, le CEPD attire l'attention sur deux éléments particuliers de la proposition de décision-cadre du Conseil susmentionnée qui sont notamment utiles pour renforcer la protection accordée aux personnes concernées en cas de traitement de leurs données par Europol. En premier lieu, cette proposition prévoit la possibilité d'établir une distinction entre les traitements des données selon leur degré d'exactitude et de fiabilité, les données fondées sur des avis étant distinguées de celles fondées sur des faits. Cette approche, fondée sur une différence clairement établie entre les données «non vérifiées» et les données dites «dures», est importante, car elle contribue au respect du principe de la qualité des données. En second lieu, la proposition établit aussi une distinction entre les données se rapportant à différentes catégories de personnes selon leur degré d'implication éventuelle dans une infraction pénale.

41.

Les observations qui précèdent nous amènent à la question de l'applicabilité du règlement (CE) no 45/2001 aux activités d'Europol. D'abord, ce règlement s'applique en ce qui concerne le personnel d'Europol — cet aspect sera examiné au point 47 ci-après. Ensuite, et c'est l'objet de la partie IV du présent avis, le règlement en question s'applique aux échanges de données avec les organes communautaires, du moins dans la mesure où ceux-ci communiquent des données à Europol. Parmi les organes communautaires, ceux qui sont mentionnés à l'article 22, paragraphe 1, de la proposition sont des exemples importants.

42.

On peut supposer que ces organes seront tenus de transmettre des données à caractère personnel à Europol de façon très régulière. Ce faisant, les institutions et organes communautaires devront respecter toutes les obligations prévues par le règlement (CE) no 45/2001, notamment en ce qui concerne la licéité du traitement (article 5 du règlement), les contrôles préalables (article 27) et la consultation du CEPD (article 28), ce qui soulève des questions quant à l'applicabilité des articles 7, 8 et 9 du règlement (CE) no 45/2001. Europol, en tant qu'organe «autre que les institutions et organes communautaires» et ne relevant pas de la directive 95/46/CE, peut très bien relever de l'article 9. Dans ce cas, le caractère adéquat de la protection offerte par Europol devrait être apprécié conformément à l'article 9, paragraphe 2, du règlement (CE) no 45/2001, au même titre que les autres organisations internationales ou pays tiers. Cette solution entraînerait une insécurité juridique et irait en outre à l'encontre de l'idée de base de la proposition selon laquelle il convient d'harmoniser la situation d'Europol avec celle des institutions et organes relevant du traité CE. Une meilleure solution consisterait à considérer Europol comme un organe communautaire, dans la mesure où il traite des données émanant d'organes communautaires. Le CEPD propose d'ajouter un paragraphe à l'article 22, libellé comme suit: «Lorsque des données à caractère personnel lui sont transmises par une institution ou un organe communautaire, Europol est considéré comme un organe communautaire au sens de l'article 7 du règlement (CE) no 45/2001».

43.

Il convient d'accorder une attention particulière à l'échange de données à caractère personnel avec l'Office européen de lutte antifraude (OLAF). Actuellement, l'échange d'informations entre Europol et l'OLAF est régi par un accord administratif conclu entre les deux organes. Cet accord prévoit l'échange d'informations stratégiques et techniques, mais exclut l'échange de données à caractère personnel.

44.

La proposition de décision du Conseil est de nature différente. L'article 22, paragraphe 3, prévoit l'échange d'informations, y compris des données à caractère personnel, dans les mêmes conditions que pour l'échange de données entre l'OLAF et les autorités des États membres (17). La finalité de cet échange est limitée à la fraude, à la corruption active et passive et au blanchiment de capitaux. Tant l'OLAF qu'Europol doivent tenir compte, pour chaque cas spécifique, des exigences du secret de l'instruction et de la protection des données. Dans le cas de l'OLAF, cela signifie, en tout état de cause, qu'il est tenu d'assurer le niveau de protection défini dans le règlement (CE) no 45/2001.

45.

Par ailleurs, l'article 48 de la proposition prévoit que les dispositions du règlement (CE) no 1073/1999 (18) s'appliquent à Europol. L'OLAF sera habilité à effectuer des enquêtes administratives au sein d'Europol et aura à cette fin accès sans préavis et sans délai à toute information détenue par Europol (19). Selon le CEPD, le champ d'application de cette disposition n'est pas clair:

46.

Cependant, cette disposition ne couvre pas et ne devrait pas couvrir les enquêtes sur des irrégularités effectuées en dehors d'Europol pour lesquelles les données traitées par celui-ci sont susceptibles d'apporter un éclairage supplémentaire. En l'espèce, les dispositions relatives à l'échange d'informations, y compris des données à caractère personnel, énoncées à l'article 22, paragraphe 3, seraient suffisantes. Le CEPD recommande de préciser le champ d'application de l'article 48 de la proposition en ce sens.

47.

Le personnel d'Europol relèvera du statut des fonctionnaires des Communautés européennes. Pour des raisons de cohérence et dans un souci de non discrimination, tant les règles de fond du règlement (CE) no 45/2001 que celles concernant le contrôle devraient s'appliquer en cas de traitement de données relatives au personnel d'Europol. Le considérant 12 de la proposition indique que le règlement en question s'applique au traitement de données à caractère personnel, notamment s'agissant des données à caractère personnel relatives au personnel d'Europol. Le CEPD estime qu'il n'est pas suffisant de préciser cet aspect dans les considérants. En effet, les considérants d'un acte communautaire ne sont pas juridiquement contraignants et ne comportent pas de dispositions de caractère normatif (20). Afin d'assurer pleinement l'application du règlement (CE) no 45/2001, il conviendrait d'ajouter un paragraphe dans le dispositif de la décision (par exemple à l'article 38) précisant que le règlement (CE) no 45/2001 s'applique au traitement des données à caractère personnel relatives au personnel d'Europol.

48.

L'objectif de la proposition n'est pas de modifier fondamentalement le système de contrôle auquel est soumis Europol en accordant un rôle central à l'autorité de contrôle commune. Le cadre juridique proposé prévoit que l'autorité de contrôle sera mise en place conformément à l'article 33 de la proposition. Néanmoins, certaines modifications apportées au statut et aux activités d'Europol auront pour effet de limiter la participation du CEPD, en dehors de ses tâches relatives au personnel d'Europol. C'est pourquoi l'article 33, paragraphe 6, de la proposition prévoit que l'autorité de contrôle commune doit coopérer avec le CEPD ainsi qu'avec les autres autorités de contrôle. Cette disposition correspond à l'obligation qu'a le CEPD, en vertu de l'article 46, point f) ii), du règlement (CE) no 45/2001, de coopérer avec l'autorité de contrôle commune. Le CEPD se félicite de cette disposition, qui contribue à promouvoir une approche cohérente du contrôle du traitement des données dans l'ensemble de l'UE, quel que soit le pilier concerné.

49.

Comme cela a été évoqué plus haut, la proposition à l'examen ne vise pas à modifier radicalement le système de contrôle. Toutefois, compte tenu du contexte plus large de la proposition, il se pourrait que le système futur de contrôle d'Europol doive faire l'objet d'une réflexion plus approfondie. On peut à cet égard mentionner deux éléments nouveaux particuliers. Premièrement, les articles 44 à 47 du règlement (CE) no 1987/2006 (21) prévoient une nouvelle structure de contrôle pour le SIS II. Ensuite, dans le contexte de la décision-cadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, la présidence allemande a annoncé qu'elle réfléchissait à une nouvelle structure de contrôle des systèmes d'information européens relevant du troisième pilier, y compris Europol.

50.

Le CEPD estime que le présent avis n'est pas l'occasion appropriée de débattre des modifications fondamentales concernant le système de contrôle. Le système de contrôle applicable à SIS II en tant que système interconnecté est fondé dans le cadre du premier pilier, mais ne serait pas adapté à Europol, organe relevant du troisième pilier, dans lequel les compétences des institutions communautaires, notamment la Commission et la Cour de justice, sont limitées. En l'absence de garanties dans le cadre du troisième pilier, un système spécifique de contrôle sera donc nécessaire. Par exemple, l'article 31 porte sur les recours formés par les particuliers. Par ailleurs, la réflexion concernant une nouvelle structure de contrôle des systèmes d'information européens annoncée par la présidence allemande en est encore à un stade très précoce. Enfin, il convient de noter que le système actuel fonctionne bien.

51.

Par conséquent, le CEPD axera ses observations sur son rôle en ce qui concerne l'échange de données à caractère personnel entre Europol et d'autres organes au niveau de l'Union européenne. Les dispositions relatives à cet échange constituent un élément nouveau important introduit par la proposition. L'article 22, paragraphe 1, mentionne l'agence Frontex, la Banque centrale européenne, l'EMCDDA (22), ainsi que l'OLAF. Tous ces organes rentrent dans le champ d'application du contrôle exercé par le CEPD. L'article 22, paragraphe 2, prévoit qu'Europol peut conclure des accords de travail avec ces organes, qui peuvent porter sur l'échange de données à caractère personnel. Pour ce qui est de l'OLAF, cet échange peut même avoir lieu en l'absence d'accords de travail (article 22, paragraphe 3). L'article 48 de la proposition — qui est examiné aux points 45 et 46 supra — est également pertinent à cet égard.

52.

Il convient de veiller à ce que le CEPD puisse exercer les compétences qui lui sont conférées par le règlement (CE) no 45/2001 en ce qui concerne les données communiquées par les organes communautaires. Cet aspect sera d'autant plus important dans le cas de transferts de données à caractère personnel à l'égard desquels Europol sera considéré comme un organe communautaire au sens de l'article 7 du règlement (CE) no 45/2001, comme cela est proposé plus haut. Cela ne fait que renforcer l'importance que revêt la coopération étroite avec l'autorité de contrôle commune prévue à l'article 33.

53.

Le CEPD souhaiterait formuler deux recommandations supplémentaires en ce qui concerne les droits des personnes concernées en rapport avec les données en question:

54.

Compte tenu des considérations qui précèdent, le CEPD devrait coopérer étroitement avec l'autorité de contrôle commune, du moins une fois que les modalités relatives à l'échange de données avec les organes communautaires auront été mises en place. C'est un des domaines principaux pour lequel l'obligation mutuelle de coopérer deviendra effective.

55.

L'article 10, paragraphe 3, prévoit que la création par Europol de systèmes particuliers de traitement des données à caractère personnel est subordonnée à une décision du Conseil qui en fixe les conditions. Le CEPD recommande d'y ajouter l'obligation de consulter le CEPD et l'autorité de contrôle commune avant l'adoption d'une telle décision.

56.

L'article 22 a trait aux relations d'Europol avec d'autres organes et agences de la Communauté ou de l'Union. Les relations de coopération mentionnées dans cet article peuvent être concrétisées par des accords de travail et porter sur l'échange de données à caractère personnel. Par conséquent, le CEPD et l'autorité de contrôle commune devraient être consultés au moment de l'adoption des accords visés à l'article 22, dans la mesure où ceux-ci présentent un intérêt pour la protection des données à caractère personnel traitées par les institutions et organes communautaires. Le CEPD recommande de modifier le texte de la proposition en ce sens.

57.

L'article 25, paragraphe 2, prévoit que des règles régissant les échanges avec les autres organes et agences de la Communauté et de l'Union doivent être établies. Le CEPD recommande que, outre l'autorité de contrôle commune, il soit lui-même également consulté avant l'adoption de telles règles, conformément à la pratique en droit communautaire selon laquelle les organes communautaires consultent le CEPD conformément à l'article 28, paragraphe 1, du règlement (CE) no 45/2001.

58.

Le CEPD accueille favorablement l'article 27 relatif au délégué à la protection des données (DPD). Celui-ci aura notamment pour tâche de veiller, en toute indépendance, à la licéité et au respect des dispositions de la décision en matière de traitement des données à caractère personnel. Cette fonction a été mise en place avec succès au sein des institutions et organes communautaires par le règlement (CE) no 45/2001. La fonction de DPD existe également au sein d'Europol, mais sans qu'il existe à ce jour une base juridique appropriée.

59.

Afin que le DPD puisse exercer ses fonctions de manière satisfaisante, il est indispensable que son indépendance soit effectivement garantie par un texte législatif. C'est pourquoi l'article 24 du règlement (CE) no 45/2001 comporte plusieurs dispositions qui permettent d'assurer cet objectif. Ainsi le DPD est nommé pour une période déterminée et ne peut être démis de ses fonctions que dans des circonstances tout à fait exceptionnelles. Il dispose par ailleurs du personnel et des ressources nécessaires et ne peut recevoir d'instructions dans l'exercice de ses fonctions.

60.

Malheureusement, ces dispositions sont absentes du texte de la proposition examinée, sauf en ce qui concerne les instructions. Par conséquent, le CEPD recommande vivement d'insérer dans le dispositif les garanties relatives à l'indépendance du DPD, notamment celles concernant sa nomination et sa révocation, ainsi que son indépendance vis-à-vis du conseil d'administration. Outre que ces dispositions sont nécessaires pour garantir l'indépendance du DPD, elles permettraient aussi d'harmoniser davantage la situation du DPD d'Europol avec celle de ses homologues des autres institutions communautaires. Enfin, le CEPD souligne que l'article 27, paragraphe 5, de la proposition, en vertu duquel le conseil d'administration d'Europol doit adopter des dispositions d'application sur certains aspects du fonctionnement du DPD, n'est en soi pas approprié pour garantir l'indépendance du DPD. Il ne faut pas perdre de vue que c'est surtout vis-à-vis de la direction d'Europol que l'indépendance est nécessaire.

61.

Il existe un autre motif pour lequel il convient d'harmoniser la disposition relative au DPD énoncée dans la décision du Conseil avec l'article 24 du règlement (CE) no 45/2001. Étant donné que ce règlement s'applique aux données à caractère personnel du personnel d'Europol (voir le point 47 supra), le DPD d'Europol relèvera, dans ce domaine, dudit règlement. En tout état de cause, il convient qu'un DPD soit nommé conformément aux exigences de ce règlement.

62.

Le CEPD recommande par ailleurs d'appliquer à Europol le système des contrôles préalables prévu pour les organes communautaires à l'article 27 du règlement (CE) no 45/2001. Ce système s'est révélé être un instrument efficace et joue un rôle essentiel dans la protection des données au sein des institutions et organes communautaires.

63.

Enfin, il serait utile que le DPD d'Europol participe au réseau de DPD existant dans le cadre du premier pilier, et ce même en dehors de ses activités concernant le personnel d'Europol. Cela contribuerait davantage à développer une approche des questions relatives à la protection des données commune à celle suivie par les organes communautaires, et irait parfaitement dans le sens de l'objectif énoncé au considérant 16 de la proposition, à savoir coopérer avec les organes et agences européens garantissant un degré suffisant de protection des données conformément au règlement (CE) no 45/2001. Le CEPD recommande d'ajouter dans les considérants de la proposition une phrase énonçant l'objectif que constitue cette approche commune. Cette phrase pourrait être libellée comme suit: «Dans l'exercice de ses fonctions, le délégué à la protection des données coopère avec les délégués à la protection des données nommés conformément au droit communautaire».

64.

Le CEPD comprend la nécessité de donner à Europol un cadre juridique nouveau et plus souple, mais attache une attention particulière aux modifications substantielles, aux lois applicables en matière de protection des données et aux similarités croissantes entre Europol et les organes communautaires.

65.

Pour ce qui est des modifications substantielles, le CEPD recommande:

66.

La décision du Conseil à l'examen ne devrait pas être adoptée avant que le Conseil n'adopte le cadre relatif à la protection des données garantissant un niveau approprié de protection des données conformément aux conclusions formulées par le CEPD dans ses deux avis sur la proposition de décision-cadre du Conseil présentée par la Commission. Il convient d'établir une distinction entre les données fondées sur des avis et celles fondées sur des faits, ainsi qu'entre les données se rapportant à différentes catégories de personnes selon leur degré d'implication éventuelle dans une infraction pénale.

67.

Le CEPD propose d'ajouter un paragraphe à l'article 22, libellé comme suit: «Lorsque des données à caractère personnel lui sont transmises par une institution ou un organe communautaire, Europol est considéré comme un organe communautaire au sens de l'article 7 du règlement (CE) no 45/2001».

68.

L'article 48 de la proposition relatif aux enquêtes effectuées par l'OLAF ne devrait pas couvrir les enquêtes sur des irrégularités effectuées en dehors d'Europol pour lesquelles les données traitées par celui-ci sont susceptibles d'apporter un éclairage supplémentaire. Le CEPD recommande de préciser le champ d'application de l'article 48 de la proposition.

69.

Afin d'assurer pleinement l'application du règlement (CE) no 45/2001, il conviendrait d'ajouter un paragraphe dans le dispositif de la décision précisant que le règlement (CE) no 45/2001 s'applique au traitement des données à caractère personnel relatives au personnel d'Europol.

70.

Le champ d'application de deux dispositions relatives aux droits des personnes concernées (article 30, paragraphe 2, et article 32, paragraphe 2) devrait être étendu aux données communiquées par un organe communautaire contrôlé par le CEPD, afin qu'Europol et l'organe communautaire concerné agissent de manière coordonnée.

71.

L'article 10, paragraphe 3, l'article 22 et l'article 25, paragraphe 2, devraient comporter une disposition (plus précise) sur la consultation des autorités chargées de la protection des données.

72.

Le CEPD recommande vivement d'intégrer les garanties relatives à l'indépendance du DPD, notamment celles concernant sa nomination et sa révocation, ainsi que son indépendance vis-à-vis du conseil d'administration, conformément au règlement (CE) no 45/2001.