This document is an excerpt from the EUR-Lex website
Document 52014XX0208(01)
Executive Summary of the Opinion of the European Data Protection Supervisor on the Proposal for a Regulation of the European Parliament and of the Council on the European Union Agency for Law enforcement Cooperation and Training (Europol) and repealing Decisions 2009/371/JHA and 2005/681/JHA
Résumé de l'avis du Contrôleur européen de la protection des données sur la proposition de règlement du Parlement européen et du Conseil relatif à l’Agence de l’Union européenne pour la coopération et la formation des services répressifs (Europol) et abrogeant les décisions 2009/371/JAI et 2005/681/JAI
Résumé de l'avis du Contrôleur européen de la protection des données sur la proposition de règlement du Parlement européen et du Conseil relatif à l’Agence de l’Union européenne pour la coopération et la formation des services répressifs (Europol) et abrogeant les décisions 2009/371/JAI et 2005/681/JAI
JO C 38 du 8.2.2014, p. 3–7
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
JO C 38 du 8.2.2014, p. 3–3
(HR)
8.2.2014 |
FR |
Journal officiel de l'Union européenne |
C 38/3 |
Résumé de l'avis du Contrôleur européen de la protection des données sur la proposition de règlement du Parlement européen et du Conseil relatif à l’Agence de l’Union européenne pour la coopération et la formation des services répressifs (Europol) et abrogeant les décisions 2009/371/JAI et 2005/681/JAI
(Le texte complet de l'avis en anglais, français et allemand est disponible sur le site internet du CEPD http://www.edps.europa.eu)
(2014/C 38/03)
I. Introduction
I.1. Contexte de l’avis
1. |
Le 27 mars 2013, la Commission a adopté la proposition de règlement du Parlement européen et du Conseil relatif à l’Agence de l’Union européenne pour la coopération et la formation des services répressifs (Europol) et abrogeant les décisions 2009/371/JAI et 2005/681/JAI (ci-après la «proposition»). Le même jour, la Commission a transmis cette proposition pour consultation au CEPD, qui l’a reçue le 4 avril 2013. |
2. |
Avant l’adoption de la proposition, le CEPD a eu l’occasion de soumettre des observations informelles. Le CEPD se félicite du fait que nombre de ces observations ont été prises en considération. |
3. |
Le CEPD se réjouit du fait qu’il ait été consulté par la Commission et qu’une référence à cette consultation soit mentionnée dans le préambule de la proposition. |
4. |
Le CEPD a également été consulté sur la communication de la Commission au Parlement européen, au Conseil, au Comité économique et social et au Comité des régions sur la création d’un programme européen de formation des services répressifs, adoptée en même temps que la proposition (1). Il s’abstiendra cependant d’émettre une réaction séparée sur cette communication, étant donné que ses observations à cet égard sont très limitées et qu’elles sont mentionnées dans la partie IV du présent avis. |
I.2. Objectif de la proposition
5. |
La proposition est fondée sur l’article 88 et sur l’article 87, paragraphe 2, point b), du traité sur le fonctionnement de l’Union européenne (TFUE) et vise à (2):
Le CEPD souligne que la proposition est essentielle du point de vue du traitement des données à caractère personnel. Le traitement d’informations, comprenant des données à caractère personnel, est une des raisons principales de l’existence d’Europol. En l’état actuel du développement de l’Union européenne, le travail policier opérationnel reste une compétence des États membres. Cependant, cette tâche revêt une nature transfrontalière croissante, et le niveau de l’Union européenne procure un appui en fournissant, échangeant et examinant des informations. |
I.3. Objectif de l’avis
6. |
Le présent avis sera axé sur les modifications les plus significatives du cadre juridique d’Europol du point de vue de la protection des données. Il analysera en premier lieu le contexte juridique, son évolution et ses conséquences pour Europol. Il détaillera ensuite les principales modifications, qui sont les suivantes:
|
7. |
Cet avis abordera ensuite un certain nombre de dispositions spécifiques de la proposition, en particulier son chapitre VII (articles 34 à 48) sur les garanties en matière de protection des données. |
V. Conclusions
Généralités
167. |
Le CEPD souligne que la proposition est essentielle du point de vue du traitement des données à caractère personnel. Le traitement d’informations, comprenant des données à caractère personnel, est une des principales raisons d’être d’Europol et la proposition prévoit déjà une protection solide des données. Le présent avis détaillé a dès lors été adopté en vue de consolider la proposition. |
168. |
Le CEPD note que la décision du Conseil relative à Europol en vigueur fournit un régime solide de protection des données et considère que ce niveau ne devrait pas être abaissé, indépendamment des discussions sur la proposition de directive relative à la protection des données. Il convient de préciser ces points dans le préambule. |
169. |
Le CEPD salue le fait que la proposition met Europol en conformité avec les exigences de l’article 88, paragraphe 2, du TFUE, ce qui garantira que les activités d’Europol bénéficieront de la pleine participation de toutes les institutions de l’Union européenne concernées. |
170. |
Le CEPD salue l’article 48 de la proposition qui prévoit que le règlement (CE) no 45/2001, y compris les dispositions sur le contrôle, s’applique entièrement aux données administratives et concernant le personnel. Le CEPD regrette cependant le fait que la Commission n’ait pas choisi d’appliquer le règlement (CE) no 45/2001 aux activités principales d’Europol, et de limiter la proposition à des règles spécifiques et des dérogations supplémentaires, qui tiennent dûment compte des spécificités du secteur des services répressifs. Il note toutefois que le considérant 32 de la proposition mentionne expressément le fait que les règles relatives à la protection des données au niveau d’Europol devraient être renforcées et se fonder sur les principes du règlement (CE) no 45/2001. Ces principes constituent aussi un important point de référence pour le présent avis. |
171. |
Le CEPD recommande de préciser dans les considérants de la proposition que le nouveau cadre de la protection des données des institutions et des organes de l’Union européenne s’appliquera à Europol dès son adoption. En outre, l’application à Europol du régime de protection des données des institutions et organes de l’Union européenne devrait être précisée dans l’instrument remplaçant le règlement (CE) no 45/2001, comme annoncé pour la première fois en 2010, dans le cadre de la révision du paquet de mesures sur la protection des données. Au plus tard dès l’adoption du nouveau cadre général, les principaux nouveaux éléments de la réforme de la protection des données (à savoir le principe de responsabilité, l’analyse d’impact relative à la protection des données, la prise en compte du respect de la vie privée dès la conception et la protection de la vie privée par défaut ainsi que la notification de violations de données à caractère personnel) devraient aussi s’appliquer à Europol. Il convient de mentionner également ce point dans le préambule. |
Europol: une nouvelle structure des informations
172. |
Le CEPD comprend la nécessité de flexibilité en raison de l’évolution du contexte, ainsi qu’à la lumière des rôles croissants d’Europol. L’architecture existante des informations ne constitue pas nécessairement la référence pour l’avenir. C’est au législateur européen qu’il revient de définir la structure des informations d’Europol. Dans son rôle en tant que conseiller auprès du législateur européen, le CEPD se concentre sur la question de savoir dans quelle mesure le choix des législateurs est limité par les principes de la protection des données. |
173. |
En ce qui concerne l’article 24 de la proposition, il:
|
Renforcement du contrôle de la protection des données
174. |
L’article 45 de la proposition reconnaît que le contrôle du traitement prévu dans la proposition est une tâche qui nécessite aussi la participation active des autorités nationales chargées de la protection des données (3). La coopération entre le CEPD et les autorités nationales de contrôle est essentielle en vue du contrôle efficace dans ce domaine. |
175. |
Le CEPD salue l’article 45 de la proposition. Cet article indique que le traitement de données par les autorités nationales est soumis à un contrôle au niveau national, ce qui reflète dès lors le rôle clé des autorités nationales de contrôle. Il salue également l’exigence selon laquelle les autorités nationales de contrôle devraient tenir le CEPD informé de toute action prise à l’égard d’Europol. |
176. |
Le CEPD salue:
|
177. |
Le CEPD propose d’insérer à l’article 26, paragraphe 1, de la proposition une phrase indiquant que les autorités compétentes des États membres ont accès aux informations et recherchent des informations sur la base du besoin d’en connaître et dans la mesure où ces informations sont nécessaires en vue de l’accomplissement légitime de leurs tâches. Il convient de modifier l’article 26, paragraphe 2, et de le mettre en conformité avec l’article 27, paragraphe 2. |
178. |
Le CEPD salue le fait qu’en principe, le transfert vers des pays tiers et des organisations internationales ne peut avoir lieu que si ce transfert est adéquat ou si un accord contraignant fournit des garanties appropriées. Un accord contraignant garantira la sécurité juridique ainsi que la responsabilité d’Europol en ce qui concerne le transfert. Un accord contraignant doit toujours être nécessaire pour les transferts massifs, structurels et fréquents. Le CEPD comprend cependant qu’il existe des situations dans lesquelles un accord contraignant ne peut être requis. Ces situations devraient être exceptionnelles et fondées sur une réelle nécessité, uniquement dans des cas limités. Elles devraient également être fondées sur des garanties solides, aussi bien au niveau du fond qu’au niveau de la procédure. |
179. |
Le CEPD recommande fortement de supprimer la possibilité pour Europol de supposer l’autorisation des États membres. Le CEPD conseille également d’ajouter que l’autorisation devrait être accordée «avant le transfert», à la deuxième phrase de l’article 29, paragraphe 4. Le CEPD recommande également d’ajouter à l’article 29 un paragraphe exigeant qu’Europol consigne de manière détaillée les transferts de données à caractère personnel. |
180. |
Le CEPD recommande d’ajouter à la proposition une disposition transitoire relative aux accords de coopération existants et régissant les transferts de données à caractère personnel par Europol. Cette disposition devrait réviser ces accords dans un délai raisonnable afin de les aligner sur les exigences de la proposition. Elle devrait être insérée dans les principales dispositions de la proposition et contenir une échéance de maximum deux ans après l’entrée en vigueur de la proposition. |
181. |
Pour des raisons de transparence, le CEPD recommande aussi d’ajouter, à la fin de l’article 31, paragraphe 1, qu’Europol publie sur son site internet la liste, régulièrement mise à jour, de ses accords de coopération internationaux avec les pays tiers et les organisations internationales. |
182. |
Le CEPD recommande d’ajouter expressément, à l’article 31, paragraphe 2, que les dérogations ne peuvent s’appliquer aux transferts fréquents, massifs ou structurels, en d’autres termes aux ensembles de transferts (par opposition aux transferts occasionnels). |
183. |
Le CEPD recommande de prévoir un paragraphe spécifique consacré aux transferts effectués avec l’autorisation du CEPD. Ce paragraphe, qui devrait logiquement précéder celui sur les dérogations, prévoira que le CEPD peut autoriser un transfert ou un ensemble de transferts lorsqu’Europol apporte des garanties suffisantes quant à la protection de la vie privée, des libertés et droits fondamentaux des personnes et quant à l’exercice des droits correspondants. En outre, cette autorisation sera accordée avant le transfert/l’ensemble de transferts, pour une période ne dépassant pas un an, renouvelable. |
184. |
Le présent avis comprend de nombreuses autres recommandations, visant à améliorer encore la proposition. Quelques recommandations plus significatives sont énumérées ci-dessous:
|
Fait à Bruxelles, le 31 mai 2013.
Peter HUSTINX
Contrôleur européen de la protection des données
(1) COM(2013) 172 final.
(2) Exposé des motifs, partie 3.
(3) Voir aussi la résolution no 4 de la conférence de printemps des autorités européennes de protection des données (Lisbonne, 16 et 17 mai 2013).