1.4.2011   

FR

Journal officiel de l'Union européenne

C 101/1

1.

Le 20 septembre 2010, la Commission européenne a adopté une proposition de règlement sur la commercialisation et l’utilisation de précurseurs d’explosifs (3) (ci-après «la proposition»). Le 11 novembre 2010, la proposition telle qu’adoptée par la Commission a été transmise au CEPD pour consultation conformément à l’article 28, paragraphe 2, du règlement (CE) no 45/2001. Le CEPD se réjouit d’avoir été consulté par la Commission et qu’une référence à cette consultation apparaisse dans l’exposé des motifs de la proposition.

2.

Les mesures proposées visent essentiellement à réduire le risque d’attentats par des terroristes ou d’autres criminels utilisant des précurseurs d’explosifs de fabrication artisanale. À cet effet, le règlement limite l’accès du grand public à certains produits chimiques, susceptibles d’être détournés pour servir de précurseurs d’explosifs de fabrication artisanale. En outre, la proposition place les ventes de ces produits chimiques sous un contrôle plus strict impliquant le signalement des transactions suspectes et des vols.

3.

Dans le présent avis, le CEPD attire l’attention du législateur sur un certain nombre de questions pertinentes en rapport avec la protection des données et énonce des recommandations en vue d’assurer le respect du droit fondamental à la protection des données à caractère personnel.

4.

La proposition aborde les problèmes de détournement de certains produits chimiques, que le grand public peut se procurer aisément sur le marché en tant que précurseurs d’explosifs de fabrication artisanale. Les articles 4 et 5 de la proposition concernent l’interdiction de vente au grand public, laquelle est combinée à un système de licences et à une exigence d’enregistrement de toutes les transactions couvertes par une licence. L’article 6 impose aux opérateurs économiques l’obligation de signaler les transactions suspectes et les vols. Enfin, l’article 7 traite de la nécessité de protéger les données.

5.

La vente à des membres du grand public de certains produits chimiques dépassant des seuils de concentration déterminés est interdite. La vente de ces produits dans des concentrations supérieures ne serait autorisée qu’aux utilisateurs pouvant attester un besoin légitime d’utilisation du produit.

6.

Le champ d’application de l’interdiction est limité à une liste succincte de substances chimiques et de leurs mélanges (voir l’annexe I à la proposition) et à la vente de ces produits au grand public. Les restrictions ne s’appliquent pas aux utilisateurs professionnels ou aux transactions entre entreprises. En outre, l’accès du grand public aux substances figurant sur la liste succincte n’est limité que si ces dernières dépassent des niveaux de concentration déterminés. Par ailleurs, l’accès à ces substances reste possible sur présentation d’une licence délivrée par une administration publique (attestant l’existence d’une utilisation légitime). Enfin, une exception est prévue pour les agriculteurs qui peuvent acheter sans licence du nitrate d’ammonium pour s’en servir comme engrais, quelle que soit la concentration.

7.

Des licences seront également nécessaires lorsqu’un membre du grand public entend importer une substance figurant dans la liste succincte dans le territoire de l’Union européenne.

8.

Tout opérateur économique qui met une substance ou un mélange à la disposition d’un membre du grand public titulaire d’une licence est tenu de vérifier la licence et de consigner la transaction.

9.

Chaque État membre est tenu de définir les règles de délivrance de la licence. L’autorité compétente de l’État membre concerné refusera de délivrer la licence au demandeur s’il existe de bonnes raisons de douter de la légitimité de l’utilisation prévue. Les licences seront valables dans tous les États membres. La Commission peut élaborer des lignes directrices relatives aux détails techniques des licences afin de faciliter la reconnaissance mutuelle de celles-ci.

10.

La vente d’une gamme plus large de substances chimiques suscitant des inquiétudes (celles énumérés à l’annexe II, ajoutées à celles figurant à l’annexe I, qui sont déjà soumises à l’obligation de licence) est soumise à l’obligation de signalement des transactions suspectes et des vols.

11.

La proposition exige que chaque État membre désigne un point de contact national (avec un numéro de téléphone et une adresse électronique clairement identifiés) auquel les transactions suspectes et les vols seront signalés. Les opérateurs économiques sont tenus de signaler toute transaction suspecte et tout vol sans retard, en mentionnant, si possible l’identité du client.

12.

La Commission rédigera et actualisera des lignes directrices destinées à aider les opérateurs économiques à reconnaître et à signaler les transactions suspectes. Les lignes directrices incluront une liste régulièrement mise à jour des substances qui ne sont classées ni à l’annexe I ni à l’annexe II, pour lesquelles le signalement volontaire des transactions suspectes et des vols est encouragé.

13.

Le considérant 11 et l’article 7 requièrent que le traitement des données à caractère personnel dans le cadre du règlement soit toujours effectué conformément à la législation de l’UE en matière de protection des données, en particulier la directive 95/46/CE (4), et aux lois nationales en matière de protection des données transposant cette directive. La proposition ne contient pas d’autre disposition sur la protection des données.

14.

Le signalement des transactions suspectes et des vols et le système de délivrance de licences et d’enregistrement prévu dans le règlement nécessitent le traitement de données à caractère personnel. Tous deux impliquent, à tout le moins dans une certaine mesure, une ingérence dans la vie privée et le droit à la protection des données à caractère personnel et requièrent donc des sauvegardes adéquates.

15.

Le CEPD se réjouit que la proposition contienne une disposition distincte (article 7) sur la protection des données. Cela étant, cette disposition unique — et très générale — prévue dans la proposition est insuffisante pour répondre adéquatement aux préoccupations que soulèvent les mesures proposées en matière de protection des données. En outre, les articles pertinents de la proposition (articles 4, 5 et 6) ne décrivent pas non plus de manière suffisamment détaillée les spécificités des opérations prévues de traitement des données.

16.

À titre d’illustration concernant la délivrance des licences, le règlement exige que les opérateurs économiques consignent les transactions couvertes par une licence sans toutefois préciser quelles données personnelles doivent être enregistrées, combien de temps elles devraient être conservées, à qui elles peuvent être divulguées et dans quelles conditions. Le règlement ne précise pas davantage quelles données seront collectées lors du traitement des demandes de licence.

17.

Quant à l’obligation de signaler les transactions suspectes et les vols, la proposition impose une obligation de signalement sans toutefois préciser ce qu’est une transaction suspecte, quelles données personnelles devraient être notifiées, combien de temps les informations notifiées devraient être conservées, à qui elles peuvent être divulguées et dans quelles conditions. La proposition ne fournit pas davantage de détails sur les «points de contact nationaux» à désigner ou sur les bases de données que ces points de contact pourraient créer pour l’État membre dont ils dépendent, ou sur toute éventuelle base de données qui pourrait être créée au niveau de l’UE.

18.

Du point de vue de la protection des données, la collecte de données relatives à des transactions suspectes est le point le plus sensible de la proposition. Les dispositions pertinentes devraient être clarifiées afin d’assurer que le traitement des données reste proportionné et que tout abus soit évité. Pour y parvenir, les conditions du traitement de données devraient être clairement précisées et des sauvegardes adéquates devraient être appliquées.

19.

Il est important que les données ne soient pas utilisées à d’autres fins que la lutte contre le terrorisme (et d’autres crimes impliquant le détournement de produits chimiques aux fins de la fabrication artisanale d’explosifs). Les données ne devraient pas non plus être conservées longtemps, en particulier si le nombre de destinataires potentiels ou réels est important et/ou si les données devaient être utilisées pour l’extraction de données. C’est d’autant plus important dans les cas où il peut être démontré que la suspicion initiale n’était pas fondée. Dans ces cas, le maintien de la conservation doit répondre à une justification spécifique. À titre d’illustration, le CEPD cite, dans ce contexte, l’arrêt de la Cour européenne des droits de l’homme dans l’affaire S. et Marper c. Royaume-Uni (2008) (5), en vertu duquel la conservation à long terme de l’ADN de personnes non inculpées d’une infraction pénale constituait une violation de leur droit à la vie privée, conformément à l’article 8 de la Convention européenne des droits de l’homme.

20.

Par ces motifs, le CEPD recommande que les articles 5, 6 et 7 de la proposition contiennent des dispositions additionnelles et plus spécifiques afin de répondre adéquatement à ces préoccupations. Certaines recommandations spécifiques sont formulées ci-dessous.

21.

En outre, il conviendrait également d’envisager la rédaction de dispositions plus spécifiques et détaillées dans une décision d’application de la Commission, conformément aux articles 10, 11 et 12 de la proposition, afin de résoudre les questions supplémentaires liées à la protection des données au niveau pratique.

22.

Enfin, le CEPD recommande également que les lignes directrices de la Commission sur les transactions suspectes et sur les détails techniques des licences contiennent d’autres dispositions spécifiques sur le traitement et la protection des données. Les lignes directrices, comme toute décision d’application éventuelle en matière de protection des données, devraient être adoptées après consultation du CEPD et, lorsque la mise en œuvre au niveau national est concernée, après consultation du groupe de travail «Article 29» sur la protection des données. Le règlement lui-même devrait prévoir clairement cet élément et dresser la liste des principales questions à traiter dans les lignes directrices ou dans la décision d’application.

23.

Le CEPD recommande que l’article 5 du règlement précise la durée maximale de conservation (prima facie, pas plus de deux ans) et les catégories de données à caractère personnel qui doivent être signalées (sans aller au-delà du nom, du numéro de licence et des articles achetés). Ces recommandations découlent des principes de nécessité et de proportionnalité: la collecte et la conservation de données à caractère personnel doivent être limitées à ce qui est strictement nécessaire au regard des finalités pour lesquelles elles sont collectées [voir l’article 6, points c) et e), de la directive 95/46/CE]. Si ces spécifications sont laissées à la législation ou à la pratique nationale, cela conduira probablement à des incertitudes inutiles et à une inégalité de traitement de situations similaires dans la pratique.

24.

Par ailleurs, l’article 5 du règlement devrait également interdire expressément, dans le cadre de la procédure de délivrance des licences, la collecte et le traitement de «catégories particulières de données» (telles que définies à l’article 8 de la directive 85/46/CE), telles que, notamment, les données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques et les convictions religieuses ou philosophiques.

25.

Cela devrait contribuer à assurer que les demandeurs ne soient pas traités de manière discriminatoire, par exemple, en raison de leur race, de leur nationalité ou de leur appartenance politique ou religieuse. Dans ce contexte, le CEPD souligne qu’assurer un niveau élevé de protection des données est également un moyen de contribuer à la lutte contre le racisme, la xénophobie et la discrimination, ce qui peut concourir, ensuite, à prévenir la radicalisation et le recrutement par des organisations terroristes.

26.

Le règlement prévoit que les demandes de licence doivent être rejetées s’il existe de bonnes raisons de douter de la légitimité de l’utilisation prévue. À cet égard, il serait utile que les lignes directrices ou la décision d’application précisent les données qui peuvent être collectées dans le cadre de la demande de licence par les autorités qui délivrent les licences.

27.

Les lignes directrices ou la décision d’application devraient prévoir que les registres ne soient divulgués qu’aux autorités répressives compétentes enquêtant sur des activités terroristes ou tout autre détournement de précurseurs d’explosifs suspecté d’être criminel. Les informations ne devraient pas être utilisées à d’autres fins [voir l’article 6, point b), de la directive 95/46/CE].

28.

Le CEPD recommande, en outre, que les lignes directrices ou la décision d’application précisent que l’autorité qui délivre les licences — qui est la mieux placée pour adresser une notification directement aux personnes concernées — devrait informer les titulaires de licence du fait que leurs achats seront enregistrés et pourront être signalés s’ils sont jugés «suspects» (voir les articles 10 et 11 de la directive 95/46/CE).

29.

Le CEPD recommande que le rôle et la nature des points de contact nationaux soient clarifiés dans la proposition. L’évaluation d’impact, au point 6.33, évoque la possibilité que ces points de contact puissent non seulement être des «autorités répressives», mais aussi des «associations». Les documents législatifs n’apportent aucune information supplémentaire à cet égard. Cela devrait notamment être précisé à l’article 6, paragraphe 2, de la proposition. En principe, les données devraient être conservées par les autorités répressives; si tel n’est pas le cas, les raisons devraient en être très clairement justifiées.

30.

Par ailleurs, l’article 6 du règlement devrait préciser les données à caractère personnel qui doivent être enregistrées (sans aller au-delà du nom, du numéro de licence, des articles achetés et des raisons justifiant la suspicion). Ces recommandations découlent des principes de nécessité et de proportionnalité: la collecte des données à caractère personnel devrait être limitée à ce qui est strictement nécessaire au regard des finalités pour lesquelles elles sont collectées [voir l’article 6, point c), de la directive 95/46/CE]. Dans ce contexte, des considérations similaires à celles formulées au point 23 ci-dessus s’appliquent.

31.

L’article 6 du règlement devrait aussi expressément interdire, dans le cadre de la procédure de signalement, la collecte et le traitement de «catégories particulières de données» (telles que définies à l’article 8 de la directive 95/46/CE) telles que, notamment, les données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques et les convictions religieuses ou philosophiques (voir aussi les points 24 et 25 ci-dessus).

32.

Enfin, l’article 6 devrait définir une durée maximale de conservation, compte tenu des finalités du stockage des données. Le CEPD recommande que — à moins qu’une transaction suspecte ou un vol n’ait abouti à une enquête particulière et que celle-ci soit toujours en cours — toutes les transactions suspectes et les vols signalés soient effacés de la base de données après l’expiration du délai spécifié (prima facie, au plus tard deux ans après la date de signalement). Cela devrait contribuer à assurer que dans les cas où la suspicion n’a pas été confirmée (ou a même fait l’objet d’une enquête), des personnes innocentes ne continuent pas à figurer sur une «liste noire» ou ne restent pas «suspectes» pendant un délai excessivement long [voir l’article 6, point e), de la directive 95/46/CE]. En tout état de cause, il convient d’éviter des divergences nationales trop importantes en la matière.

33.

Cette limitation est également nécessaire pour assurer le respect du principe de qualité des données (voir l’article 6, point d), de la directive 95/46/CE) ainsi que d’autres principes de droit importants, comme la présomption d’innocence. Cela pourrait non seulement aboutir à un niveau de protection plus adéquat des personnes physiques, mais, parallèlement, cela devrait également permettre aux autorités répressives de se concentrer plus efficacement sur les affaires les plus graves dans lesquelles, en fin de compte, la suspicion sera probablement confirmée.

34.

La proposition ne définit pas ce qu’est une transaction «suspecte». Or, l’article 6, paragraphe 6, point a), de la proposition prévoit que la Commission «rédige et actualise des lignes directrices» et fournisse des informations concernant «les moyens de reconnaître et de signaler les transactions suspectes».

35.

Le CEPD se réjouit que la proposition impose à la Commission de rédiger des lignes directrices. Celles-ci devraient être suffisamment claires et précises et empêcher une interprétation trop large afin de réduire au minimum la transmission de données à caractère personnel aux autorités répressives et d’éviter les pratiques arbitraires ou discriminatoires, par exemple pour des motifs de race, de nationalité ou d’appartenance politique ou religieuse.

36.

Les lignes directrices/modalités d’application devraient également prévoir que les informations soient gardées en sécurité et confidentielles et ne soient divulguées qu’aux autorités répressives compétentes enquêtant sur des activités terroristes ou tout autre détournement de précurseurs d’explosifs suspecté d’être criminel. Les informations ne devraient pas être utilisées à d’autres fins, comme une enquête des autorités fiscales ou de l’immigration sur des questions sans rapport.

37.

Les lignes directrices ou la décision d’application devraient en outre préciser qui devrait avoir accès aux données reçues (et conservées) par les points de contact nationaux. L’accès ou la divulgation devrait respecter strictement le principe du «besoin d’en connaître». La publication d’une liste des destinataires potentiels devrait également être envisagée.

38.

Les lignes directrices ou la décision d’application devraient prévoir des droits d’accès pour les personnes concernées, y compris, le cas échéant, le droit de rectification ou d’effacement de leurs données (voir les articles 12 à 14 de la directive 95/46/CE). L’existence de ce droit — ou toute dérogation éventuelle au titre de l’article 13 — peut avoir des conséquences importantes. Ainsi, selon la règle générale, la personne concernée a également le droit de savoir si sa transaction a été signalée comme suspecte. L’exercice (potentiel) de ce droit pourrait toutefois empêcher le vendeur de précurseurs d’explosifs de communiquer des transactions suspectes de l’acheteur. Par conséquent, toute dérogation devrait être clairement justifiée et précisée, de préférence dans le règlement ou, en tout état de cause, dans les lignes directrices ou la décision d’application. Un mécanisme de recours devrait aussi être prévu, avec la participation des points de contact nationaux.

39.

Le CEPD se réjouit que l’article 16 de la proposition prévoie un réexamen du règlement (cinq ans après son adoption). En effet, le CEPD est d’avis que tout nouvel instrument devrait démontrer, dans le cadre d’un réexamen périodique, qu’il constitue toujours un moyen efficace de lutte contre le terrorisme (et d’autres activités criminelles). Le CEPD recommande que le règlement prévoie spécifiquement que, dans le cadre de ce réexamen, l’efficacité de l’instrument ainsi que ses effets sur les droits fondamentaux, y compris la protection des données, soient également examinés.

40.

Le CEPD recommande d’ajouter à la proposition davantage de dispositions spécifiques pour répondre adéquatement aux préoccupations concernant la protection des données. En outre, les lignes directrices de la Commission sur les transactions suspectes et sur les détails techniques des licences — et une éventuelle décision d’application sur la protection des données — devraient aussi inclure de nouvelles dispositions spécifiques sur le traitement et la protection des données. Les lignes directrices (et, le cas échéant, la décision d’application) devraient être adoptées après consultation du CEPD et — si nécessaire — du groupe de travail de l'Article 29, composé de représentants des autorités chargées de la protection des données dans les États membres.

41.

L’article 5 du règlement devrait définir une durée de conservation maximale (prima facie, pas plus de deux ans) des transactions enregistrées et des catégories de données à caractère personnel à enregistrer (sans aller au-delà du nom, du numéro de licence et des articles achetés). Le traitement de catégories particulières de données devrait être expressément interdit.

42.

Le rôle et la nature des points de contact devraient être clarifiés à l’article 6 de la proposition. Cette disposition devrait également définir une durée maximale de conservation des données signalées sur les transactions suspectes (prima facie, pas plus de deux ans) ainsi que les données à caractère personnel à enregistrer (sans aller au-delà du nom, du numéro de licence, des articles achetés et des raisons justifiant la suspicion). Le traitement de catégories particulières de données devrait être expressément interdit.

43.

En outre, les lignes directrices ou la décision d’application devraient préciser quelles données peuvent être collectées dans le cadre de la demande de licence par les autorités qui délivrent les licences. Elles devraient aussi limiter clairement les finalités pour lesquelles les données peuvent être utilisées. Des dispositions similaires devraient également s’appliquer aux enregistrements des transactions suspectes. Les lignes directrices ou la décision d’application devraient préciser que l’autorité qui délivre la licence doit informer les titulaires d’une licence du fait que leurs achats seront enregistrés et pourront faire l’objet d’un signalement s’ils sont jugés «suspects». Les lignes directrices ou la décision d’application devraient aussi préciser qui doit avoir accès aux données reçues (et stockées) par les points de contact nationaux. L’accès ou la divulgation devrait respecter strictement le principe du besoin d’en connaître. Les lignes directrices ou la décision d’application devraient également accorder des droits d’accès adéquats aux personnes concernées et énoncer et justifier clairement toute dérogation.

44.

L’efficacité des mesures prévues devrait être réexaminée périodiquement, en même temps que leur impact sur la vie privée.

1.4.2011   

FR

Journal officiel de l'Union européenne

C 101/6

1.

Le 22 novembre 2010, la Commission a adopté une communication intitulée «La stratégie de sécurité intérieure de l’UE en action: cinq étapes vers une Europe plus sûre» (ci-après «la communication») (3). La communication a été envoyée au CEPD pour consultation.

2.

Le CEPD se réjouit d’avoir été consulté par la Commission. Avant même l’adoption de la communication, il avait formulé des observations informelles sur le projet de texte, dont certaines ont été prises en compte dans la version finale de la communication.

3.

La stratégie de sécurité intérieure de l’UE (ci-après «la SSI»), abordée dans la communication, a été adoptée le 23 février 2010 sous la présidence espagnole (4). Elle définit un modèle de sécurité européen qui combine entre autres une action relative à la coopération policière et judiciaire, la gestion des frontières et la protection civile, en tenant dûment compte des valeurs européennes communes, telles que les droits fondamentaux. Ses principaux objectifs sont:

4.

La SSI a pour objet de cibler les menaces et les défis les plus urgents pour la sécurité de l’UE tels que la grande criminalité et la criminalité organisée, le terrorisme et la cybercriminalité, la gestion des frontières extérieures de l’UE et le renforcement de la résilience aux catastrophes d’origine naturelle ou humaine. La stratégie prévoit des lignes directrices générales, des principes et des orientations sur la manière dont l’UE devrait réagir à ces problèmes et appelle la Commission à proposer des mesures en temps opportun pour mettre en œuvre la stratégie.

5.

Il importe en outre d’évoquer dans ce contexte les récentes conclusions du Conseil «Justice et affaires intérieures» sur la création et mise en œuvre d’un cycle politique de l’UE pour lutter contre la grande criminalité internationale, adoptées les 8 et 9 novembre 2010 (5) (ci-après «les conclusions de novembre 2010»). Ce document fait suite aux conclusions du Conseil sur l’architecture de la sécurité intérieure, approuvées en 2006 (6), et appelle le Conseil et la Commission à définir une SSI globale basée sur les valeurs et principes communs de l’UE tels que réaffirmés dans la Charte des droits fondamentaux de l’UE (7).

6.

Parmi les orientations et les objectifs qui devraient guider la mise en œuvre de la SSI, les conclusions de novembre 2010 font référence à la réflexion sur une approche proactive et fondée sur le renseignement, une coopération rigoureuse entre les agences de l’UE, notamment en améliorant encore l’échange d’informations entre elles et la sensibilisation des citoyens à l’importance de ce qui est accompli par l’UE aux fins de leur protection. Par ailleurs, les conclusions appellent la Commission à élaborer avec les experts des agences concernées et des États membres un plan stratégique pluriannuel (ci-après «PSP») pour chaque priorité définissant la stratégie la plus appropriée pour faire face au problème. Elles invitent également la Commission à mettre au point, en consultation avec les experts des États membres et des agences de l’UE, un mécanisme indépendant pour évaluer la mise en œuvre du PSP. Le CEPD abordera ces questions ci-après dans le présent avis étant donné qu’elles sont étroitement liées entre elles ou qu’elles affectent la protection des données à caractère personnel, la vie privée et d’autres droits et libertés fondamentaux qui leur sont liés.

7.

La communication propose cinq objectifs stratégiques, tous liés à la protection de la vie privée et des données:

8.

La SSI en action telle que proposée dans la communication soumet un programme commun à l’intention des États membres, du Parlement européen, de la Commission, du Conseil, des agences et d’autres acteurs, y compris la société civile et les autorités locales, et leur propose des façons de collaborer tous ensemble au cours des quatre prochaines années pour réaliser les objectifs de la SSI.

9.

La communication s’appuie sur le traité de Lisbonne et reconnaît les orientations données par le programme de Stockholm (et son plan d’action), qui soulignent au chapitre 4.1 la nécessité d’une SSI globale basée sur le respect des droits fondamentaux, la protection internationale et l’État de droit. En outre, conformément au programme de Stockholm, l’élaboration, le contrôle et la mise en œuvre de la stratégie de sécurité intérieure devraient être une des tâches prioritaires du comité de coopération opérationnelle en matière de sécurité intérieure (COSI) créé en vertu de l’article 71 TFUE. Pour garantir l’exécution effective de la SSI, celle-ci devrait également couvrir les aspects liés à la sécurité d’une gestion intégrée des frontières et, le cas échéant, la coopération judiciaire dans les affaires pénales en rapport avec la coopération opérationnelle dans le domaine de la sécurité intérieure. Il importe également de mentionner à cet égard que le programme de Stockholm appelle à une approche intégrée de la SSI, qui devrait aussi tenir compte de la stratégie de sécurité extérieure élaborée par l’UE ainsi que d’autres politiques de l’Union, notamment celles qui concernent le marché intérieur.

10.

La communication porte sur divers domaines politiques qui relèvent du concept de «sécurité intérieure» au sens large dans l’Union européenne ou ont une incidence sur celui-ci.

11.

L’objectif du présent avis n’est pas d’analyser tous les domaines politiques et questions spécifiques couverts par la communication, mais:

12.

Le CEPD procédera en mettant notamment en exergue les liens entre la SSI et la stratégie de gestion de l’information et les travaux sur le cadre complet de protection des données. Le CEPD se réfèrera en outre à des concepts tels que les meilleures techniques disponibles et le «respect de la vie privée dès la conception», l’évaluation d’impact sur la protection de la vie privée et des données et les droits des personnes concernées, qui ont une influence directe sur la conception et la mise en œuvre de la SSI. L’avis formulera également des observations sur une série de domaines politiques choisis tels que la gestion intégrée des frontières, y compris EUROSUR et le traitement de données à caractère personnel par FRONTEX, ainsi que d’autres domaines comme le cyberespace et le TFTP.

13.

Diverses stratégies de l’UE basées sur le traité de Lisbonne et le programme de Stockholm et affectant directement ou indirectement la protection des données sont actuellement débattues et proposées au niveau de l’UE. La SSI en fait partie et est étroitement liée à d’autres stratégies (qui ont été abordées dans de récentes communications de la Commission ou sont envisagées dans un avenir proche), telles que la stratégie de gestion de l’information de l’UE et le modèle européen d’échange d’informations, la stratégie pour la mise en œuvre de la Charte des droits fondamentaux de l’UE, la stratégie globale de protection des données et la politique antiterroriste de l’UE. Dans le présent avis, le CEPD accorde une attention particulière aux liens avec la stratégie de gestion de l’information et le cadre complet de protection des données basé sur l’article 16 TFUE, qui entretiennent des liens politiques tout à fait évidents avec la SSI du point de vue de la protection des données.

14.

Toutes ces stratégies forment une «mosaïque» complexe de lignes directrices politiques, de programmes et de plans d’action étroitement liés entre eux, qui préconisent une approche globale et intégrée au niveau de l’UE.

15.

De manière plus générale, cette approche consistant à «relier les stratégies», si elle est retenue dans les actions futures, montrerait qu’il existe une vision au niveau de l’UE en matière de stratégies de l’UE et que ces stratégies, ainsi que les communications récentes qui les développent, sont étroitement liées, ce qui est le cas, le programme de Stockholm étant leur point de référence commun à toutes. Elle donnerait également lieu à des synergies positives entre les différentes politiques relevant du domaine de la liberté, de la sécurité et de la justice, et éviterait toute répétition inutile d’activités et d’efforts dans ce domaine. Cette approche donnerait également lieu, et c’est tout aussi important, à une application plus efficace et plus cohérente des règles relatives à la protection des données dans le contexte de toutes les stratégies liées entre elles.

16.

Le CEPD souligne qu’un des piliers de la SSI est la gestion efficace de l’information au sein de l’Union européenne, qui devrait reposer sur les principes de la nécessité et de la proportionnalité pour justifier le besoin d’échange d’informations.

17.

En outre, ainsi qu’on peut le lire dans l’avis du CEPD sur la communication relative à la gestion de l’information (8), le CEPD souligne que toute nouvelle mesure législative qui faciliterait le stockage et l’échange de données à caractère personnel ne doit être proposée que si sa nécessité est prouvée par des faits concrets (9). Cette exigence légale doit être transformée en approche politique proactive lors de la mise en œuvre de la SSI. La nécessité d’une approche globale de la SSI conduit inévitablement aussi à la nécessité d’évaluer tous les instruments et outils existants en matière de sécurité intérieure avant d’en proposer de nouveaux.

18.

À cet égard, le CEPD suggère également un usage plus fréquent de dispositions prévoyant une évaluation périodique des instruments existants, comme le prévoit la directive sur la conservation des données, qui est actuellement en cours d’évaluation (10).

19.

La communication fait référence à la protection des données à caractère personnel au paragraphe intitulé «Une politique de sécurité fondée sur des valeurs communes», où elle mentionne que les instruments et les actions utilisés pour mettre en œuvre la SSI doivent être fondés sur des valeurs communes, notamment l’État de droit et le respect des droits fondamentaux consacrés dans la Charte des droits fondamentaux de l’UE. Dans ce contexte, elle déclare que «Si un contrôle efficace de l’application de la législation dans l’Union passe par un échange d’informations, nous devons aussi protéger la vie privée des intéressés et leur droit fondamental à la protection des données à caractère personnel les concernant».

20.

Cette déclaration est encourageante. On ne saurait toutefois considérer qu’elle suffit à régler la question de la protection des données dans la SSI. La communication ne donne pas de plus amples détails sur la protection des données (11) et n’explique pas davantage comment le respect de la vie privée et la protection des données à caractère personnel seront garantis de manière pratique dans les actions mettant en œuvre la SSI.

21.

D’après le CEPD, la communication La SSI en action devrait avoir notamment pour objectif une protection au sens large qui assurerait un équilibre approprié entre, d’une part, la protection des citoyens contre les menaces existantes et, d’autre part, la protection de leur vie privée et leur droit à la protection des données à caractère personnel. En d’autres termes, les considérations liées à la sécurité et à la vie privée doivent être prises avec le même sérieux lors de l’élaboration de la SSI, conformément au programme de Stockholm et aux conclusions du Conseil.

22.

En bref, la garantie de la sécurité dans le respect total de la protection de la vie privée et des données doit être mentionnée comme un objectif essentiel de la stratégie de sécurité intérieure de l’UE. Cela doit se manifester dans toutes les actions entreprises par les États membres et les institutions de l’UE afin de mettre en œuvre la stratégie.

23.

À cet égard, le CEPD renvoie à la communication (2010) 609 sur une approche globale de la protection des données à caractère personnel dans l’Union européenne (12). Le CEPD publiera prochainement un avis sur cette communication, mais il souligne d’ores et déjà qu’une SSI efficace ne peut être mise en place sans le soutien d’un cadre solide de protection des données qui le complète et qui garantit la confiance mutuelle et une meilleure efficacité.

24.

Il est clair que certaines actions découlant des objectifs de la SSI sont susceptibles d’accroître les risques pour la protection de la vie privée et des données des individus. Pour contrebalancer ces risques, le CEPD souhaite attirer en particulier l’attention sur certains concepts tels que le «respect de la vie privée dès la conception», l’évaluation d’impact sur la protection de la vie privée et des données, les droits des personnes concernées et les meilleures techniques disponibles (MTD). Tous ces concepts doivent être pris en compte dans la mise en œuvre de la SSI et peuvent contribuer utilement à des politiques plus respectueuses de la vie privée et davantage axées sur la protection des données dans ce domaine.

25.

Le CEPD a plaidé à diverses occasions et dans divers avis en faveur du concept de vie privée «intégrée» («respect de la vie privée dès la conception» ou «paramétrage par défaut»). Ce concept est actuellement développé tant pour le secteur public que pour le secteur privé et doit donc jouer également un rôle important dans le contexte de la sécurité intérieure de l’UE et le domaine de la police et de la justice (13).

26.

La communication ne mentionne pas ce concept. Le CEPD suggère qu’il y soit fait référence dans les actions ciblées qui seront proposées et entreprises pour mettre en œuvre la SSI, notamment dans le contexte de l’objectif 4, «Renforcer la sécurité par la gestion des frontières», où il est clairement fait état d’une utilisation renforcée des nouvelles technologies aux fins des contrôles et de la surveillance frontaliers.

27.

Le CEPD encourage la Commission à réfléchir — dans le cadre des travaux futurs sur la conception et la mise en œuvre de la SSI sur la base de la communication — à ce qu’il y a lieu d’entendre par une véritable «évaluation d’impact sur la protection de la vie privée et des données» dans le domaine de la liberté, de la sécurité et de la justice, et en particulier de la SSI.

28.

La communication évoque des évaluations de menaces et de risques, ce dont il convient de se réjouir. Les évaluations d’impact sur la protection de la vie privée et des données ne sont toutefois mentionnées nulle part. Le CEPD pense que les travaux sur la mise en œuvre de la communication sur la SSI offrent une bonne occasion de développer ces évaluations d’impact sur la protection de la vie privée et des données dans le contexte de la sécurité intérieure. Le CEPD note que ni la communication, ni les lignes directrices de la Commission pour l’évaluation d’impact (14) ne détaillent cet aspect ni n’en font une exigence politique.

29.

Le CEPD recommande dès lors de réaliser, lors de la mise en œuvre d’instruments futurs, une évaluation d’impact plus spécifique et rigoureuse sur la protection de la vie privée et des données, soit en tant qu’évaluation distincte, soit dans le cadre de l’évaluation d’impact générale sur les droits fondamentaux effectuée par la Commission. Cette évaluation d’impact devrait non seulement affirmer des principes généraux ou analyser des options politiques, comme c’est le cas actuellement, mais aussi recommander des garanties particulières et concrètes.

30.

Par conséquent, des indicateurs et des caractéristiques spécifiques devraient être élaborés pour garantir que chaque proposition ayant une incidence sur la protection de la vie privée et des données dans le domaine de la sécurité intérieure de l’UE soit soumise à un examen détaillé portant notamment sur des aspects tels que la proportionnalité, la nécessité et le principe de la limitation des finalités.

31.

De plus, il pourrait être utile dans ce contexte d’évoquer le point 4 de la recommandation sur la RFID (15), dans lequel la Commission appelle les États membres à veiller à ce que les entreprises, en collaboration avec les parties intéressées de la société civile, élaborent un cadre d’évaluation d’impact sur la protection de la vie privée et des données. En outre, la résolution de Madrid, adoptée en novembre 2009 par la Conférence internationale des commissaires à la protection des données et de la vie privée, encourage la mise en œuvre d’évaluations d’impact sur la protection de la vie privée et des données avant celle de nouveaux systèmes et technologies d’information en vue du traitement de données à caractère personnel ou de modifications substantielles aux traitements existants.

32.

Le CEPD note que la communication n’aborde pas spécifiquement la question des droits des personnes concernées, qui constitue un élément vital de la protection des données et qui devrait avoir une incidence sur la conception de la SSI. Il est essentiel de veiller à ce que dans tous les différents systèmes et instruments concernant la sécurité intérieure de l’UE, les personnes concernées bénéficient des mêmes droits pour ce qui est de la manière dont leurs données à caractère personnel sont traitées.

33.

Bon nombre des systèmes mentionnés dans la communication instaurent des règles particulières en ce qui concerne les droits des personnes concernées (en ciblant aussi des catégories de personnes telles que les victimes, les personnes suspectées d’activités criminelles ou les migrants), mais il existe de grandes variations entre les systèmes et instruments, sans justification probante.

34.

Par conséquent, le CEPD invite la Commission à examiner plus attentivement la question de l’harmonisation, à brève échéance, des droits des personnes concernées dans l’UE dans le contexte de la SSI et de la stratégie de gestion de l’information.

35.

Il convient d’accorder une attention particulière aux mécanismes de recours. La SSI doit garantir que, lorsque les droits de certains individus n’ont pas été pleinement respectés, les responsables du traitement prévoient des procédures de plainte qui soient facilement accessibles, efficaces et abordables.

36.

La mise en œuvre de la SSI s’appuiera inévitablement sur l’utilisation d’une infrastructure informatique qui soutiendra les actions envisagées dans la communication. Les meilleures techniques disponibles (MTD) peuvent être considérées comme des instruments permettant de réaliser un équilibre adéquat entre la réalisation des objectifs de la SSI et le respect des droits des individus. Dans le contexte actuel, le CEPD souhaite rappeler la recommandation qu’il a formulée dans de précédents avis (16) concernant la nécessité que la Commission définisse et encourage, avec les parties prenantes de l’industrie, des mesures concrètes en vue de l’application des MTD. Cette application suppose le stade de développement le plus efficace et avancé des activités et de leurs modes d’exploitation démontrant l’aptitude pratique de techniques particulières à fournir les résultats escomptés d’une manière efficace, dans le respect du cadre européen régissant la protection de la vie privée et des données. Cette approche est en tout point conforme à l’approche basée sur le «respect de la vie privée dès la conception» mentionnée ci-dessus.

37.

Lorsque cela est pertinent et possible, des documents de référence devraient être rédigés afin de fournir des lignes directrices et apporter une plus grande sécurité juridique en vue de la mise en œuvre effective des mesures définies par la SSI. Cela pourrait également favoriser l’harmonisation de ces mesures entre les différents États membres. Enfin, et surtout, la définition des MTD respectueuses de la vie privée et de la sécurité facilitera le rôle de contrôle des autorités chargées de la protection des données en leur fournissant des références techniques conformes à la protection de la vie privée et des données adoptées par les responsables du traitement.

38.

Le CEPD note également l’importance d’un alignement adéquat de la SSI sur les activités déjà menées au titre du septième programme-cadre pour la recherche et le développement et le programme-cadre «Sécurité et protection des libertés». Une vision commune sur la mise en place de MTD favorisera l’innovation sur le plan des connaissances et des capacités requises pour protéger les citoyens tout en respectant les droits fondamentaux.

39.

Enfin, le CEPD met en avant le rôle que l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) peut jouer dans l’élaboration de lignes directrices et l’évaluation des capacités de sécurité requises pour garantir l’intégrité et la disponibilité des systèmes informatiques, mais aussi dans la promotion de ces MTD. À cet égard, le CEPD se réjouit de l’inclusion de l’Agence en tant qu’acteur clé dans l’amélioration des capacités pour faire face aux cyberattaques et lutter contre la cybercriminalité (17).

40.

Dans ce contexte, il convient de mieux préciser les acteurs qui font partie de l’architecture de la SSI ou y contribuent. La communication énumère divers acteurs et parties prenantes tels que les citoyens, le pouvoir judiciaire, les agences de l’UE, les autorités nationales, la police et les entreprises. Les rôles et compétences spécifiques de ces acteurs devraient être mieux abordés dans les actions spécifiques qui seront proposées dans le cadre de la mise en œuvre de la SSI.

41.

La communication fait référence au fait qu’avec l’entrée en vigueur du traité de Lisbonne, l’UE est mieux à même de tirer parti des synergies entre les politiques de gestion des frontières pour les personnes et les marchandises. En ce qui concerne la circulation des personnes, elle affirme que «l’Union peut envisager la gestion des migrations et la lutte contre la criminalité comme un double objectif de la stratégie de gestion intégrée des frontières». Ce document considère la gestion des frontières comme un moyen potentiellement puissant de perturber la grande criminalité et la criminalité organisée (18).

42.

Le CEPD constate en outre que la communication décrit trois volets stratégiques: 1) une utilisation accrue des nouvelles technologies aux fins du contrôle aux frontières (SIS II, VIS, système d’entrée/sortie et programme d’enregistrement des voyageurs); 2) une utilisation accrue des nouvelles technologies de surveillance des frontières (système européen de surveillance des frontières, EUROSUR) et 3) une meilleure coordination entre les États membres par l’intermédiaire de FRONTEX.

43.

Le CEPD souhaite rappeler, à l’occasion du présent avis, qu’il a demandé dans plusieurs avis précédents qu’une politique claire de gestion des frontières — respectant pleinement les règles relatives à la protection des données — soit établie au niveau de l’UE. Le CEPD pense que les travaux actuels sur la SSI et la gestion de l’information offrent de très bonnes occasions de prendre des mesures plus concrètes dans le sens d’une approche politique cohérente de ces domaines.

44.

Le CEPD note que la communication ne fait pas seulement référence aux systèmes à grande échelle existants et à ceux qui sont susceptibles d’être mis en service dans un proche avenir (tels que SIS, SIS II et VIS), mais également — dans le même esprit — aux systèmes susceptibles d’être proposés par la Commission à l’avenir mais pour lesquels aucune décision n’a encore été prise (à savoir, le programme d’enregistrement des voyageurs (RTP) et le système d’entrée/sortie). Il convient de rappeler à cet égard que les objectifs et la légitimité de l’introduction de ces systèmes doivent encore être clarifiés et démontrés, notamment à la lumière des résultats des évaluations d’impact particulières effectuées par la Commission. Dans le cas contraire, la communication peut donner l’impression de devancer le processus décisionnel et par conséquent de ne pas tenir compte du fait que la décision finale d’introduire ou non le RTP et le système d’entrée/sortie dans l’Union européenne n’a pas encore été prise.

45.

Le CEPD suggère dès lors d’éviter ce genre d’anticipations dans les travaux futurs sur la mise en œuvre de la SSI. Comme il a été indiqué précédemment, toute décision sur l’introduction de nouveaux systèmes à grande échelle portant atteinte à la vie privée ne devrait être prise qu’après une évaluation adéquate de tous les systèmes existants, dans le respect des principes de nécessité et de proportionnalité.

46.

La communication signale que la Commission présentera une proposition législative visant à instituer EUROSUR en 2011 pour contribuer à la sécurité intérieure et à la lutte contre la criminalité. Elle signale également qu’EUROSUR utilisera les nouvelles technologies développées à l’aide des projets de recherche et les activités financés par l’UE, tels que l’imagerie satellite destinée à détecter et à suivre des cibles aux frontières comme, par exemple, les bateaux rapides qui transportent des stupéfiants vers l’UE.

47.

Dans ce contexte, le CEPD note qu’il n’est pas clairement établi si la proposition législative sur EUROSUR, qui doit être présentée par la Commission en 2011, prévoira aussi le traitement des données à caractère personnel dans le contexte d’EUROSUR et, si tel est le cas, dans quelle mesure. La Commission n’a pas adopté de position claire sur ce point dans la communication. Cette question est d’autant plus pertinente que la communication établit un lien clair entre EUROSUR et FRONTEX aux niveaux tactique, opérationnel et stratégique (voir les observations ci-dessous sur FRONTEX) et qu’elle préconise une étroite coopération entre les deux agences.

48.

Le CEPD a publié le 17 mai 2010 un avis sur la révision du règlement FRONTEX (19) dans lequel il appelle à mener un véritable débat et une réflexion approfondie sur la question de la protection des données dans le contexte du renforcement des tâches existantes de FRONTEX et de la délégation de nouvelles responsabilités à celle-ci.

49.

La communication évoque la nécessité d’accroître la contribution de FRONTEX aux frontières extérieures dans le cadre de l’objectif 4, «Renforcer la sécurité par la gestion des frontières». À ce propos, la communication indique que sur la base de l’expérience acquise et dans le contexte de l’approche globale de l’UE en matière de gestion de l’information, la Commission considère que permettre à FRONTEX de traiter et d’utiliser ces informations, avec une portée limitée et en accord avec des règles bien définies de gestion des données à caractère personnel, contribuera de manière importante au démantèlement d’organisations criminelles. Il s’agit là d’une approche nouvelle par rapport à la proposition de la Commission sur la révision du règlement FRONTEX, qui est examinée actuellement par le Parlement européen et le Conseil, et qui ne disait mot du traitement des données à caractère personnel.

50.

Dans ce contexte, le CEPD se réjouit du fait que la communication donne quelques indications quant aux circonstances dans lesquelles ce traitement pourrait s’avérer nécessaire (par exemple, analyse de risques, meilleures performances des opérations conjointes ou échange d’informations avec Europol). Plus particulièrement, la communication explique qu’à l’heure actuelle, les informations sur des criminels impliqués dans des réseaux de trafics — auxquels FRONTEX est confrontée — ne peuvent être utilisées par la suite à des fins d’analyse de risques ou pour mieux cibler de futures opérations conjointes. Qui plus est, les données pertinentes sur les criminels présumés ne parviennent pas aux autorités nationales compétentes ou à Europol en vue d’enquêtes supplémentaires.

51.

Le CEPD note néanmoins que la communication n’évoque pas les débats en cours sur la révision du cadre légal de FRONTEX qui, comme il a été indiqué précédemment, aborde cette question afin d’apporter des solutions législatives. En outre, la formulation de la communication mettant l’accent sur le rôle de FRONTEX dans le contexte de l’objectif visant à démanteler les organisations criminelles peut être interprétée comme un élargissement du mandat de FRONTEX. Le CEPD suggère de tenir compte de ce point lors de la révision du règlement FRONTEX et de la mise en œuvre de la SSI.

52.

Le CEPD attire aussi l’attention sur la nécessité de veiller à ce qu’il n’y ait pas de duplication de tâches entre Europol et FRONTEX. Dans ce contexte, le CEPD se réjouit que la communication recommande d’éviter la duplication de tâches entre ces deux agences. Cette question pourrait toutefois aussi être abordée plus clairement tant dans le règlement FRONTEX révisé que dans les actions mettant en œuvre la SSI qui prévoient une étroite coopération entre FRONTEX et Europol. Cet élément revêt une importance particulière du point de vue des principes de la limitation des finalités et de la qualité des données. Cette remarque s’applique aussi à la coopération future avec des agences telles que l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) ou le Bureau européen d’appui en matière d’asile.

53.

La communication n’aborde pas spécifiquement le phénomène actuel de l’utilisation accrue de données biométriques dans le domaine de la liberté, de la sécurité et de la justice, y compris dans les systèmes informatiques à grande échelle de l’UE et d’autres outils de gestion des frontières.

54.

Le CEPD saisit donc cette occasion pour rappeler sa suggestion (20) de tenir sérieusement compte de cette question très sensible du point de vue de la protection des données lors de la mise en œuvre de la SSI, notamment dans le contexte de la gestion des frontières.

55.

Le CEPD recommande également d’élaborer une politique claire et rigoureuse en matière d’utilisation de données biométriques dans le domaine de la liberté, de la sécurité et de la justice, sur la base d’une évaluation sérieuse et d’une appréciation au cas par cas de la nécessité de l’utilisation des données biométriques dans le contexte de la SSI, dans le respect intégral de certains principes fondamentaux de la protection des données tels que la proportionnalité, la nécessité et la limitation des finalités.

56.

La communication annonce que la Commission élaborera en 2011 une politique de l’UE relative à l’extraction et à l’analyse des données de messagerie financière détenues sur son territoire. Dans ce contexte, le CEPD renvoie à son avis du 22 juin 2010 sur le traitement et le transfert de données de messagerie financière de l’UE aux États-Unis aux fins du programme de surveillance du financement du terrorisme (TFTP II) (21). Toutes les remarques critiques exprimées dans cet avis sont tout autant valides et applicables dans le contexte des travaux prévus sur un cadre de l’UE relatif aux données de messagerie financière. Il convient par conséquent d’en tenir compte dans les discussions portant sur cette question. Une attention particulière doit être accordée à la proportionnalité de l’extraction et du traitement de volumes importants de données relatives à des personnes qui ne sont pas soupçonnées et à la question du contrôle efficace par des autorités indépendantes et par le pouvoir judiciaire.

57.

Le CEPD se réjouit de l’importance que la communication attache aux actions préventives au niveau de l’UE et est d’avis que le renforcement de la sécurité dans les réseaux informatiques est un facteur essentiel contribuant au bon fonctionnement de la société de l’information. Le CEPD soutient également les activités spécifiques qui visent à améliorer la capacité de réaction aux cyberattaques, développer les capacités répressives et judiciaires et mettre en place des partenariats avec l’industrie afin de donner des moyens d’action aux citoyens et aux entreprises. L’ENISA joue en outre un rôle positif en tant que facilitateur d’un grand nombre d’actions prévues au titre de cet objectif.

58.

La SSI en action ne donne toutefois pas plus de précisions sur les actions répressives envisagées dans le cyberespace, la manière dont ces activités pourraient mettre en danger les droits individuels et les garanties nécessaires. Le CEPD appelle à une approche plus ambitieuse sur les garanties appropriées. Cette approche devrait être exposée afin de protéger les droits fondamentaux de tous les individus, y compris de ceux susceptibles d’être affectés par des actions visant à contrecarrer d’éventuelles activités criminelles dans ce domaine.

59.

Le CEPD demande qu’un lien soit établi entre les diverses stratégies de l’UE et les communications lors du processus de mise en œuvre de la SSI. Cette approche doit être suivie d’un plan d’action concret soutenu par une appréciation concrète des besoins, qui devrait déboucher sur une politique globale, intégrée et bien structurée de l’UE sur la SSI.

60.

Le CEPD profite également de l’occasion pour souligner l’importance de l’obligation légale d’effectuer une appréciation concrète de tous les instruments existants devant être utilisés dans le contexte de la SSI et de l’échange d’informations avant d’en proposer de nouveaux. À cet égard, l’inclusion de dispositions prévoyant des évaluations régulières de l’efficacité des instruments concernés est vivement recommandée.

61.

Le CEPD suggère de tenir compte, lors de la préparation du plan stratégique pluriannuel demandé par les conclusions du Conseil de novembre 2010, des travaux en cours sur le cadre complet de protection des données basé sur l’article 16 TFUE, et en particulier de la communication (2009) 609.

62.

Le CEPD formule un certain nombre de suggestions sur des notions et des concepts pertinents du point de vue de la protection des données, dont il convient de tenir compte dans le domaine de la SSI, tels que le respect de la vie privée dès la conception, l’évaluation d’impact sur la protection de la vie privée et des données et les meilleures techniques disponibles.

63.

Le CEPD recommande que, lors de la mise en œuvre d’instruments futurs, une évaluation d’impact sur la protection de la vie privée et des données soit effectuée, soit en tant qu’évaluation distincte, soit dans le cadre de l’évaluation d’impact générale sur les droits fondamentaux effectuée par la Commission.

64.

Le CEPD invite également la Commission à élaborer une politique plus cohérente et constante sur les conditions d’utilisation de données biométriques dans le domaine de la SSI et préconise une plus grande harmonisation des droits des personnes concernées au niveau de l’UE.

65.

Enfin, le CEPD formule un certain nombre d’observations sur le traitement des données à caractère personnel dans le contexte de la gestion des frontières, effectué notamment par FRONTEX et éventuellement dans le cadre d’EUROSUR.

1.4.2011   

FR

Journal officiel de l'Union européenne

C 101/14

1.

Le 11 octobre 2010, la Commission européenne a adopté une proposition modifiée de règlement du Parlement européen et du Conseil relatif à la création du système Eurodac pour la comparaison des empreintes digitales aux fins de l’application efficace du règlement (CE) no (…/…) (établissant les critères et mécanismes de détermination de l’État membre responsable de l’examen d’une demande de protection internationale présentée dans l’un des États membres par un ressortissant de pays tiers ou un apatride) (ci-après «la proposition») (3). Le même jour, la proposition telle qu’adoptée par la Commission a été transmise au CEPD pour consultation, conformément à l’article 28, paragraphe 2, du règlement (CE) no 45/2001. Le CEPD se félicite d’avoir été consulté par la Commission et demande que cette consultation soit mentionnée dans les considérants de la proposition.

2.

Eurodac a été établi par le règlement (CE) no 2725/2000 concernant la création du système «Eurodac» pour la comparaison des empreintes digitales aux fins de l’application efficace de la convention de Dublin (4). Une proposition remaniée de modification du règlement «Eurodac» a été adoptée par la Commission en décembre 2008 (5) (ci-après «la proposition de décembre 2008»). Le CEPD a commenté cette proposition dans un avis de février 2009 (6).

3.

L’objet de la proposition de décembre 2008 était de favoriser plus efficacement la bonne application du règlement dit «règlement de Dublin» et de traiter adéquatement les problèmes qui se posaient en matière de protection des données. De même, elle rendait le cadre de gestion informatique conforme à celui prévu par les règlements SIS II et VIS, via la reprise de la gestion opérationnelle d’Eurodac par la future agence pour la gestion opérationnelle des systèmes d’information à grande échelle dans le domaine de la liberté, de la sécurité et de la justice (7) (ci-après «l’agence IT») (8).

4.

La Commission a alors adopté une proposition modifiée en septembre 2009 dans laquelle elle a introduit la possibilité, pour les services répressifs des États membres et Europol, d’accéder à la base de données centrale d’Eurodac aux fins de la prévention et de la détection des infractions terroristes et autres infractions pénales graves ainsi que des enquêtes en la matière.

5.

Ainsi, cette proposition prévoyait, outre les nécessaires dispositions d’accompagnement, une clause passerelle pour permettre l’accès à des fins répressives; elle modifiait également la proposition de décembre 2008. Elle a été présentée en même temps que la proposition de décision du Conseil relative aux demandes de comparaison avec les données Eurodac présentées par les services répressifs des États membres et Europol à des fins répressives (9) (ci-après «la décision du Conseil»), qui fixe les modalités précises de cet accès. Le CEPD a formulé un avis sur cette proposition en décembre 2009 (10).

6.

À la suite de l’entrée en vigueur du traité de Lisbonne et de l’abolition du système des piliers, la proposition de décision du Conseil est devenue caduque. Elle devait être officiellement retirée et remplacée par une nouvelle proposition afin de tenir compte du nouveau cadre instauré par le TFUE.

7.

L’exposé des motifs de la proposition énonce qu’afin de faire progresser les négociations sur le paquet asile (11) et de faciliter la conclusion d’un accord sur le règlement Eurodac, la Commission a estimé qu’il convenait de retirer du règlement Eurodac les dispositions faisant référence à l’accès à des fins répressives.

8.

La Commission considère également que le fait de retirer cette partie (assez controversée) de la proposition et de permettre ainsi l’adoption plus rapide du nouveau règlement Eurodac facilitera également la création en temps utile de l’agence pour la gestion opérationnelle des systèmes d’information à grande échelle dans le domaine de la liberté, de la sécurité et de la justice, puisque l’agence devrait également être chargée de la gestion d’Eurodac.

9.

En conséquence, si la proposition modifiée actuelle introduit deux dispositions techniques, son principal objet est de modifier la proposition précédente (c’est-à-dire celle de septembre 2009) en supprimant de celle-ci la possibilité d’accès à des fins répressives. Il n’a dès lors pas été jugé nécessaire de réaliser une nouvelle évaluation d’impact spécialement pour la proposition actuelle.

10.

Le CEPD a déjà émis plusieurs avis dans ce domaine, comme indiqué ci-dessus. L’objet du présent avis est de recommander des améliorations à la proposition, qui reposent soit sur des faits nouveaux, soit sur des recommandations qui ont déjà été formulées et dont il n’a pas encore été tenu compte, dans des situations où le CEPD estime que ses arguments n’ont pas été traités de manière adéquate ou que ces recommandations sont étayées par de nouveaux arguments.

11.

Le présent avis se concentrera sur les points suivants:

12.

Le CEPD se félicite du fait que la possibilité de donner l’accès à Eurodac aux services répressifs n’ait pas été retenue dans la proposition actuelle. En effet, si le CEPD ne conteste pas que les gouvernements ont besoin d’instruments appropriés pour garantir la sécurité du citoyen, il doute fortement de la légitimité de cette proposition sur la base des considérations suivantes.

13.

Les mesures visant à combattre les infractions terroristes et d’autres infractions graves peuvent constituer un motif légitime pour autoriser le traitement de données à caractère personnel — même si celui-ci est incompatible avec les finalités pour lesquelles les données ont été collectées initialement —, pour autant que la nécessité de l’ingérence s’appuie sur des éléments clairs et indéniables et que la proportionnalité du traitement soit démontrée. Cette exigence s’impose d’autant plus que les propositions concernent un groupe vulnérable qui a besoin d’une plus grande protection dans la mesure où il fuit des persécutions. La situation précaire de ces personnes doit être prise en compte pour évaluer la nécessité et la proportionnalité de la mesure proposée. Le CEPD a souligné, de manière plus concrète, que la nécessité doit être prouvée par la démonstration de preuves solides d’un lien entre les demandeurs d’asile et/ou les formes graves de criminalité, ce qui n’a pas été fait dans les propositions.

14.

De manière plus générale, le CEPD a soutenu, dans de nombreux avis et observations, la nécessité d’effectuer une évaluation de tous les instruments existants dans le domaine de l’échange d’informations avant d’en proposer de nouveaux, avec une insistance particulière dans les récents avis sur la «présentation générale de la gestion de l’information dans le domaine de la liberté, de la sécurité et de la justice» (12) et sur la «politique antiterroriste de l’UE: principales réalisations et défis à venir» (13).

15.

Il est en effet crucial d’évaluer l’efficacité des mesures existantes tout en tenant compte de l’incidence des mesures envisagées sur la vie privée, et cette évaluation doit jouer un rôle important dans l’action menée par l’Union européenne dans ce domaine, conformément à l’approche proposée par le programme de Stockholm. Dans ce cas, une attention particulière devrait être attachée par exemple à la mise en œuvre de l’échange de données au titre du mécanisme de Prüm. L’échange d’empreintes digitales est prévu dans ce cadre, et il doit être démontré que le système présente de graves insuffisances justifiant l’accès à une base de données telle qu’Eurodac.

16.

Enfin, dans ces avis comme dans beaucoup d’autres avis précédents, le CEPD recommande d’accorder une attention particulière aux propositions qui donnent lieu à des collectes de données à caractère personnel de larges catégories de citoyens plutôt que des seuls suspects. Une attention et une justification particulières doivent également être accordées aux cas où il est prévu de traiter des données à caractère personnel pour des finalités autres que celles pour lesquelles elles ont été initialement collectées, comme pour Eurodac.

17.

En conclusion, le CEPD se réjouit que cet élément ait été supprimé de la proposition actuelle.

18.

La collecte et le traitement ultérieur d’empreintes digitales occupent évidemment une place centrale dans le système Eurodac. Il convient de souligner que le traitement de données biométriques telles que les empreintes digitales pose des défis spécifiques et crée des risques qui doivent être gérés. Dans le cadre de la proposition, le CEPD souhaite épingler en particulier le problème de l’«enregistrement impossible» — la situation dans laquelle se trouve une personne lorsque, pour une raison ou une autre, ses empreintes digitales ne sont pas utilisables.

19.

Une impossibilité de s’enregistrer peut se produire lorsque des individus ont les extrémités des doigts ou les mains abîmées de façon temporaire ou permanente, en raison de divers facteurs tels qu’une maladie, un handicap, des blessures ou des brûlures. Dans certains cas, cela peut aussi être lié à leur origine ethnique ou à leur profession. Ainsi, il semble qu’un nombre non négligeable de travailleurs des secteurs de l’agriculture et de la construction ont les extrémités des doigts endommagées au point d’être illisibles. Dans d’autres cas, dont la fréquence est difficile à évaluer, il arrive que des réfugiés s’automutilent afin d’éviter que leurs empreintes digitales soient prélevées.

20.

Le CEPD reconnaît qu’il peut être difficile de distinguer les ressortissants de pays tiers qui ont volontairement endommagé leurs empreintes digitales afin de faire échec au processus d’identification de ceux qui présentent des empreintes digitales naturellement illisibles.

21.

Il est toutefois extrêmement important de veiller à ce que l’«impossibilité de s’enregistrer» n’entraîne pas en soi un déni de droits pour les demandeurs d’asile. Il serait inacceptable, par exemple, que l’impossibilité de s’enregistrer soit interprétée systématiquement comme une tentative de fraude et qu’elle entraîne un refus d’examen de la demande d’asile ou une suppression de l’assistance au demandeur d’asile. Si tel était le cas, cela signifierait que la possibilité d’avoir ses empreintes digitales prélevées serait un des critères de reconnaissance du statut de demandeur d’asile. L’objectif d’Eurodac est de faciliter l’application de la convention de Dublin et non d’ajouter un critère («avoir des empreintes digitales utilisables») pour octroyer à une personne le statut de demandeur d’asile, ce qui constituerait une violation du principe de limitation des finalités et à tout le moins de l’esprit du droit à l’asile.

22.

Enfin, le CEPD insiste également sur le fait que la proposition actuelle doit être cohérente avec les autres directives pertinentes en la matière. Ainsi, la «directive relative aux conditions d’accueil» insiste sur le fait que chaque demande doit être examinée selon ses mérites propres, et elle ne mentionne certainement pas l’impossibilité de s’enregistrer comme un critère d’examen de la demande d’asile (14).

23.

La proposition actuelle envisage déjà en partie l’impossibilité de s’enregistrer à son article 6, paragraphes 1 et 2 (15).

24.

Ces dispositions n’envisagent toutefois que l’hypothèse d’une impossibilité temporaire de s’enregistrer, alors que dans un nombre significatif de cas, cette impossibilité est permanente. L’article premier du règlement modifiant les instructions consulaires communes (16) prévoit de tels cas en énonçant que: (…) Les États membres veillent à ce que des procédures appropriées garantissant la dignité du demandeur soient en place en cas de difficultés pour effectuer le recueil. Le fait qu’un recueil d’empreintes digitales soit physiquement impossible n’influe pas sur la décision de délivrance ou de refus du visa.

25.

Afin de tenir compte de ces cas dans le contexte d’Eurodac, le CEPD recommande d’ajouter à l’article 6 une disposition inspirée de cette problématique, dans le sens suivant: «Une impossibilité temporaire ou permanente de fournir des empreintes digitales utilisables ne porte pas atteinte à la situation légale de l’individu. Dans tous les cas, elle ne peut constituer un motif suffisant pour refuser d’examiner ou rejeter une demande d’asile».

26.

Le CEPD note qu’il est indispensable, pour qu’Eurodac fonctionne bien, que le droit à l’information soit correctement mis en œuvre. En particulier, il est essentiel de veiller à ce que les informations soient communiquées d’une manière qui permette au demandeur d’asile de comprendre parfaitement sa situation ainsi que l’étendue de ses droits, y compris les démarches qu’il peut effectuer pour donner suite aux décisions administratives prises à son sujet. Le CEPD rappelle également que le droit d’accès est une pierre angulaire de la protection des données, tel que mentionné en particulier à l’article 8 de la Charte des droits fondamentaux de l’UE.

27.

Le CEPD a déjà souligné ce point dans son avis précédent sur Eurodac. Comme la modification proposée n’a pas été acceptée, il souhaite mettre l’accent sur l’importance de cette question.

28.

L’article 24 de la proposition énonce ce qui suit:

Toute personne visée par le présent règlement est informée par l’État membre d’origine par écrit et, le cas échéant, oralement, dans une langue qu’elle comprend ou dont on peut raisonnablement supposer qu’elle la comprend:

(…)

29.

Le CEPD suggère que le libellé de l’article 24 soit reformulé afin de clarifier les droits à reconnaître au demandeur. Le libellé proposé n’est pas clair, car il peut être interprété comme si «le droit d’être (informé) des procédures à suivre pour exercer ces droits (…)» était envisagé séparément du droit d’accéder aux données et/ou du droit de demander que des données inexactes soient corrigées (…). En outre, d’après le libellé actuel de la disposition précitée, les États membres doivent informer la personne visée par le règlement non pas du contenu des droits, mais de leur «existence». Comme ce dernier point semble être de nature purement stylistique, le CEPD suggère que l’article 24 soit reformulé comme suit: «Toute personne visée par le présent règlement est informée par l’État membre d’origine (…) g) du droit d’accéder aux données la concernant et du droit de demander que des données inexactes la concernant soient rectifiées ou que des données la concernant qui ont fait l’objet d’un traitement illicite soient effacées.»

30.

L’article 4, paragraphe 1, de la proposition énonce: «Après une période de transition, une instance gestionnaire, financée sur le budget général de l’Union européenne, est chargée de la gestion opérationnelle d’Eurodac. L’instance gestionnaire veille, en coopération avec les États membres, à ce que le système central bénéficie à tout moment de la meilleure technologie disponible, moyennant une analyse coût-bénéfice». Bien que le CEPD salue l’obligation prévue à l’article 4, paragraphe 1, il souhaite faire observer que l’expression «meilleure technologie disponible» utilisée dans la disposition précitée devrait être remplacée par les termes «meilleures techniques disponibles», qui recouvrent tant la technologie utilisée que la manière dont l’installation est conçue, construite, entretenue et exploitée.

31.

Ce point est important parce que le concept de «meilleures techniques disponibles» est plus large et qu’il couvre divers aspects contribuant à l’application du «respect de la vie privée dès la conception», qui est considéré comme un principe clé dans la révision du cadre juridique de l’UE en matière de protection des données. Il souligne que la protection des données peut être mise en œuvre par des moyens différents, qui ne sont pas tous de nature technologique. Il importe en effet d’examiner non seulement la technologie, mais aussi la manière dont celle-ci est utilisée comme un moyen de réaliser la finalité du traitement des données en cause. Les processus opérationnels doivent être orientés vers la réalisation de cette finalité, qui se traduit par des procédures et des structures organisationnelles.

32.

À cet égard, et de manière plus générale, le CEPD souhaite réitérer la recommandation formulée dans des avis précédents (17) concernant la nécessité que la Commission définisse et encourage, avec les parties prenantes de l’industrie, les «meilleures techniques disponibles» suivant la même procédure que celle qu’elle a adoptée dans le domaine environnemental (18). Par «meilleures techniques disponibles» (MTD), il convient d’entendre le stade de développement le plus efficace et avancé des activités et de leurs modes d’exploitation démontrant l’aptitude pratique de techniques particulières à fournir un seuil de détection donné, dans le respect du cadre européen régissant la protection de la vie privée et des données. Ces MTD sont destinées à prévenir et, lorsque cela n’est pas faisable, à atténuer à un niveau approprié les risques pour la sécurité liés à ce traitement des données et à réduire le plus possible leur incidence sur la vie privée.

33.

Ce processus devrait également fournir des documents de référence sur les «meilleures techniques disponibles» susceptibles d’offrir des éléments d’orientation très utiles pour la gestion d’autres systèmes d’information à grande échelle de l’UE. Il renforcera aussi l’harmonisation de ces mesures dans toute l’UE. Enfin, et surtout, la définition des MTD respectueuses de la vie privée et de la sécurité facilitera le rôle de contrôle des autorités chargées de la protection des données en leur fournissant des références techniques conformes à la protection de la vie privée et des données adoptées par les responsables du traitement.

34.

Le CEPD note que la proposition n’aborde pas la question de la sous-traitance de certaines tâches de la Commission (19) à une autre organisation ou entité (telle qu’une société privée). La sous-traitance est cependant utilisée fréquemment par la Commission pour le développement et la gestion du système et des infrastructures de communication. Si la sous-traitance d’activités n’est pas en soi contraire aux exigences de la protection des données, d’importantes garanties devraient être mises en place pour faire en sorte que l’applicabilité du règlement (CE) no 45/2001, en ce compris le contrôle de la protection des données exercé par le CEPD, ne soit en rien affectée par la sous-traitance. En outre, des garanties supplémentaires de nature plus technique devraient également être adoptées.

35.

À cet égard, le CEPD suggère que des garanties juridiques similaires à celles envisagées dans les instruments juridiques relatifs au SIS II soient prévues mutatis mutandis dans le cadre pour la révision du règlement Eurodac, précisant que même lorsque la Commission sous-traite une partie de ses tâches à un autre organe ou organisation, elle veille à ce que le CEPD ait le droit et la possibilité de s’acquitter pleinement de sa mission, y compris de procéder à des vérifications sur place ou d’exercer tout autre pouvoir dont il est investi en vertu de l’article 47 du règlement (CE) no 45/2001.

36.

Le CEPD se réjouit d’avoir été consulté par la Commission et demande que cette consultation soit mentionnée dans les considérants de la proposition.

37.

Le CEPD se réjouit que la possibilité de donner accès à Eurodac aux services répressifs ait été supprimée de la proposition actuelle.

38.

La collecte et le traitement ultérieur des empreintes digitales occupent une place centrale dans le système Eurodac. Le CEPD souligne que le traitement de données biométriques telles que les empreintes digitales pose des défis spécifiques et crée des risques qui doivent être gérés. Il souhaite épingler en particulier le problème de l’«enregistrement impossible» — la situation dans laquelle se trouve une personne lorsque, pour une raison ou une autre, ses empreintes digitales ne sont pas utilisables. L’impossibilité de s’enregistrer ne doit pas en soi entraîner un déni de droits pour les demandeurs d’asile.

39.

Le CEPD recommande d’ajouter à l’article 6 bis de la proposition une disposition dans ce sens: «Une impossibilité temporaire ou permanente de fournir des empreintes digitales utilisables ne porte pas atteinte à la situation légale de l’individu. Dans tous les cas, elle ne peut constituer un motif suffisant pour refuser d’examiner ou rejeter une demande d’asile».

40.

Le CEPD note qu’il est indispensable, pour qu’Eurodac fonctionne bien, que le droit à l’information soit correctement mis en œuvre, afin de garantir que les informations soient communiquées d’une manière qui permette au demandeur d’asile de comprendre parfaitement sa situation ainsi que l’étendue de ses droits, y compris les démarches qu’il peut effectuer pour donner suite aux décisions administratives prises à son sujet. Le CEPD suggère que le libellé de l’article 24 de la proposition soit reformulé de manière à clarifier les droits à reconnaître au demandeur d’asile.

41.

Le CEPD recommande de modifier l’article 4, paragraphe 1, de la proposition en utilisant l’expression «meilleures techniques disponibles» au lieu de «meilleures technologies disponibles». Les meilleures techniques disponibles recouvrent tant la technologie utilisée que la manière dont l’installation est conçue, construite, entretenue et exploitée.

42.

En ce qui concerne la question de la sous-traitance d’une partie des tâches de la Commission à une autre organisation ou entité (telle qu’une société privée), le CEPD recommande que des garanties soient mises en place pour faire en sorte que l’applicabilité du règlement (CE) no 45/2001, en ce compris le contrôle de la protection des données exercé par le CEPD, ne soit en rien affectée par la sous-traitance. En outre, des garanties supplémentaires de nature plus technique devraient également être adoptées.

1.4.2011   

FR

Journal officiel de l'Union européenne

C 101/20

1.

Le 30 septembre 2010, la Commission a adopté une proposition de règlement du Parlement européen et du Conseil concernant l’ENISA, l’Agence européenne chargée de la sécurité des réseaux et de l’information (3).

2.

L’ENISA a été instituée en mars 2004 par le règlement (CE) no 460/2004 (4) pour une durée initiale de cinq ans. En 2008, son mandat a été prolongé jusqu’en mars 2012 par le règlement (CE) no 1007/2008 (5).

3.

Comme il ressort de l’article premier, paragraphe 1, du règlement (CE) no 460/2004, l’Agence a été instituée pour assurer un niveau élevé et efficace de sécurité des réseaux et de l’information au sein de l’Union et pour contribuer au bon fonctionnement du marché intérieur.

4.

La proposition de la Commission a pour objet de moderniser l’Agence, d’élargir ses compétences et de lui accorder un nouveau mandat de cinq ans garantissant la continuité de ses activités au-delà de mars 2012 (6).

5.

Le règlement proposé trouve son fondement juridique dans l’article 114 du traité sur le fonctionnement de l’Union européenne (TFUE) (7), qui accorde à l’Union la compétence d’adopter des mesures destinées à établir ou assurer le fonctionnement du marché intérieur. L’article 114 du TFUE remplace l’article 95 de l’ancien traité CE sur lequel se fondaient les précédents règlements concernant l’ENISA (8).

6.

La note explicative qui accompagne la proposition précise que l’obligation de prévenir et de combattre la criminalité est devenue une compétence commune depuis l’entrée en vigueur du traité de Lisbonne. Cela a donné à l’ENISA la possibilité de jouer un rôle de plateforme concernant les aspects de sécurité des réseaux et de l’information (Network Information Security — NIS) en matière de lutte contre la cybercriminalité et d’échanger des points de vue et des bonnes pratiques avec les autorités chargées de la cyberdéfense, du respect de la loi et de la protection des données.

7.

Parmi les différentes options qui se présentaient à elle, la Commission a choisi de proposer une extension des responsabilités de l’ENISA et de faire des autorités chargées du respect de la loi et de la protection des données des membres à part entière de son groupe permanent des parties prenantes. La nouvelle liste des fonctions n’inclut pas les tâches opérationnelles, mais actualise et reformule les tâches actuelles.

8.

Le 1er octobre 2010, la proposition a été adressée au CEPD pour consultation, conformément à l’article 28, paragraphe 2, du règlement (CE) no 45/2001. Le CEPD se félicite d’avoir été consulté sur cette question et recommande que référence soit faite à cette consultation dans les considérants de la proposition, comme cela se fait généralement dans les textes législatifs sur lesquels il est consulté conformément au règlement (CE) no 45/2001.

9.

Avant l’adoption de la proposition, le CEPD a été consulté de manière officieuse et a formulé plusieurs commentaires informels. Toutefois, il n’a été tenu compte d’aucune de ces remarques dans la version finale de la proposition.

10.

Le CEPD souligne le fait que la sécurité du traitement des données est un élément primordial de la protection des données (9). À cet égard, il se dit favorable à l’objectif de la proposition visant à renforcer les compétences de l’Agence de manière à permettre à cette dernière d’assumer plus efficacement ses tâches et responsabilités actuelles, et d’étendre le champ de ses activités. Le CEPD se félicite en outre de l’implication des autorités chargées de la protection des données et des organes répressifs en tant que membres de plein droit du groupe des parties prenantes. Il considère que l’extension du mandat de l’ENISA est un moyen d’encourager, à l’échelon européen, la gestion professionnelle et harmonisée relative aux mesures de sécurité des systèmes d’information.

11.

L’évaluation globale de la proposition est positive. Toutefois, sur plusieurs points, le règlement proposé manque de clarté ou est incomplet, ce qui suscite quelques inquiétudes du point de vue de la protection des données. Ces aspects sont examinés et évalués dans le chapitre suivant du présent avis.

12.

Les attributions élargies de l’Agence relativement à la participation des organes répressifs et des autorités chargées de la protection des données sont formulées de manière très générale dans l’article 3 de la proposition. La note explicative est plus explicite à cet égard. Elle fait allusion à l’interaction de l’ENISA avec les organes de répression de la cybercriminalité et la réalisation de tâches non opérationnelles dans la lutte contre la cybercriminalité. Toutefois, ces tâches ne figurent pas dans l’article 3 ou n’y sont mentionnées qu’en termes très généraux.

13.

Pour éviter toute incertitude juridique, le règlement proposé doit exposer clairement et sans ambiguïté les tâches de l’ENISA. Comme cela a déjà été souligné, la sécurité du traitement des données est un élément primordial de la protection des données. L’ENISA jouera un rôle de plus en plus important dans ce domaine. Les citoyens, institutions et organes doivent savoir clairement quels types d’activités peuvent être assurés par l’ENISA. Cet aspect serait même encore plus important au cas où les attributions élargies de l’ENISA incluraient le traitement de données à caractère personnel (voir les points 17 à 20 ci-dessous).

14.

L’article 3, paragraphe 1, point k), de la proposition précise que l’Agence doit assurer toute autre tâche qui lui est confiée par les actes législatifs de l’Union. Le CEPD exprime des craintes quant à cette clause non limitative qui constitue une faille susceptible d’altérer la cohérence des instruments juridiques et d’entraîner un détournement de la vocation de l’Agence.

15.

Une des tâches mentionnées à l’article 3, paragraphe 1, point k), de la proposition figure dans la directive 2002/58/CE (10). Elle prévoit que la Commission est tenue de consulter l’Agence sur toutes mesures techniques de mise en œuvre applicables aux notifications dans le contexte des violations de données. Le CEPD recommande que cette activité de l’Agence soit décrite de façon plus détaillée et se limite au domaine de la sécurité. Compte tenu de l’impact potentiel de l’ENISA sur l’élaboration des stratégies dans ce domaine, cette activité doit être précisée et occuper une place plus importante dans le règlement proposé.

16.

Le CEPD recommande en outre l’inclusion d’une référence à la directive 1999/5/CE (11) dans le considérant 21 compte tenu de la tâche particulière mentionnée à l’article 3, paragraphe 1, point c), de la proposition, selon lequel l’ENISA doit assister les États membres et les institutions et organismes européens dans leurs efforts pour recueillir, analyser et diffuser des données sur la sécurité des réseaux et de l'information. Cela devrait alimenter les exercices promotionnels de l’ENISA en faveur des bonnes pratiques et techniques en matière de sécurité des réseaux et de l’information (Network Information Security — NIS) en illustrant mieux les éventuelles interactions constructives entre l’Agence et les organismes de normalisation.

17.

La proposition ne précise pas si les tâches attribuées à l’Agence peuvent inclure le traitement de données à caractère personnel. Elle ne comporte par conséquent pas de base juridique pour le traitement de données à caractère personnel au sens de l’article 5 du règlement (CE) no 45/2001.

18.

Toutefois, certaines des tâches attribuées à l’Agence peuvent comporter (au moins dans une certaine mesure) le traitement de données à caractère personnel. Par exemple, il n’est pas exclu que l’analyse d’incidents de sécurité et d’atteintes à la protection des données ou l’exécution de tâches non opérationnelles dans le cadre de la lutte contre la cybercriminalité entraînent la collecte et l’analyse de données à caractère personnel.

19.

Le considérant 9 de la proposition renvoie aux dispositions de la directive 2002/21/CE (12) établissant que, le cas échéant, notification est faite à l’Agence par les autorités réglementaires nationales en cas d’atteintes à la sécurité. Le CEPD recommande que la proposition fournisse davantage de détails sur les notifications qui doivent être adressées à l’ENISA et sur la façon dont l’ENISA doit y répondre. De même, la proposition doit tenir compte des implications que l’analyse de ces notifications (le cas échéant) peut avoir sur le traitement de données à caractère personnel.

20.

Le CEPD invite le législateur à préciser si les activités de l’ENISA énumérées dans l’article 3 incluront le traitement de données à caractère personnel et, dans l’affirmative, lesquelles.

21.

Bien que l’ENISA joue un rôle important dans la discussion sur la sécurité des réseaux et de l’information en Europe, la proposition ne fait pratiquement pas état de la mise en place de mesures de sécurité pour l’Agence proprement dite (qu’elles soient ou non liées au traitement de données à caractère personnel).

22.

Le CEPD estime que l’Agence sera encore mieux placée pour promouvoir les bonnes pratiques relatives à la sécurité du traitement des données si de telles mesures de sécurité sont strictement appliquées en interne par l’Agence elle-même. Cela favorisera la reconnaissance de l’Agence non seulement comme centre d’expertise mais également comme point de référence pour la mise en œuvre pratique des meilleures techniques disponibles dans le domaine de la sécurité. La recherche de l’excellence dans la mise en œuvre des pratiques de sécurité doit par conséquent être inscrite dans le règlement régissant les procédures de travail de l’Agence. Le CEPD suggère donc d’ajouter à la proposition une disposition allant dans ce sens, par exemple en exigeant que l’Agence applique les meilleures techniques disponibles, c’est-à-dire les procédures de sécurité les plus modernes et les plus efficaces, ainsi que leurs modes d’opération.

23.

Cette approche permettra à l’Agence de donner des conseils sur l’adéquation pratique de techniques particulières visant à offrir les garanties de sécurité nécessaires. De plus, la mise en œuvre de ces meilleures pratiques doit donner la priorité à celles qui garantissent la sécurité tout en minimisant, autant que possible, leur impact sur la vie privée. Il faudra choisir les techniques correspondant le mieux au concept de privacy by design (respect de la vie privée dès la conception).

24.

Même avec une approche moins ambitieuse, le CEPD recommande, au minimum, que le règlement contienne les exigences suivantes: i) la création d’une politique de sécurité interne faisant suite à une évaluation approfondie des risques et tenant compte des normes internationales et des meilleures pratiques appliquées dans les États membres; ii) la nomination d’un délégué à la sécurité chargé de mettre en œuvre cette politique et disposant des ressources et de l’autorité nécessaires; iii) l’approbation de cette politique après un examen approfondi du risque résiduel et des contrôles proposés par le conseil d’administration; et iv) un examen périodique de la politique avec spécification de la périodicité choisie et des objectifs de l’examen.

25.

Comme cela a été souligné ci-dessus, le CEPD se félicite de l’élargissement du mandat de l’Agence et est persuadé que les autorités de protection des données pourront tirer grand profit de son existence (tout comme l’Agence bénéficie de l’expertise de ces autorités). Compte tenu de la convergence naturelle et logique entre sécurité et protection des données, l’Agence et les autorités de protection des données sont appelées à agir en étroite collaboration.

26.

Les considérants 24 et 25 font référence à la proposition de directive de l’UE sur la cybercriminalité et mentionnent qu’il conviendrait que l’Agence se concerte avec les autorités répressives et celles chargées de la protection de la vie privée pour dégager les aspects «sécurité des réseaux et de l'information» de la lutte contre la cybercriminalité (13).

27.

La proposition doit également prévoir des mécanismes de collaboration concrets i) garantissant la cohérence des activités de l’Agence avec celles des autorités chargées de la protection des données; et ii) permettant une coopération étroite entre l’Agence et les autorités de protection des données.

28.

En ce qui concerne la cohérence, le considérant 27 fait explicitement référence au fait que les activités de l’Agence ne doivent pas entrer en conflit avec les autorités chargées de la protection des données des États membres. Le CEPD se félicite de cette référence mais constate qu’aucune référence n’est faite au CEPD et au groupe de travail «Article 29». Le CEPD recommande au législateur d’inclure également, dans la proposition, une disposition similaire de non-interférence concernant ces deux entités. Cela créera un environnement de travail plus clair pour toutes les parties et structurera les voies et mécanismes de collaboration qui permettront à l’Agence d’aider les différentes autorités de protection des données et le groupe de travail «Article 29».

29.

De même, en ce qui concerne la coopération étroite, le CEPD se félicite de l’inclusion d’une représentation des autorités chargées de la protection des données dans le groupe permanent des parties prenantes qui conseillera l’Agence dans ses activités. Il recommande qu’il soit explicitement mentionné que les représentants des autorités nationales de protection des données soient nommés par l’Agence sur la base d’une proposition du groupe de travail «Article 29». Il serait également souhaitable d’inclure une référence prévoyant la présence du CEPD, à ce titre, aux réunions au cours desquelles les questions concernant la coopération avec le CEPD doivent être examinées. En outre, le CEPD recommande que l’Agence (conseillée par le groupe permanent de parties prenantes et avec l’approbation du conseil d’administration) mette en place des groupes de travail ad hoc pour les différents sujets sur lesquels la protection des données et la sécurité se chevauchent, afin de mieux cadrer cet effort de coopération étroite.

30.

Enfin, pour éviter tout malentendu, le CEPD recommande d’utiliser l’expression «autorités de protection des données» plutôt que l’expression «autorité de protection de la vie privée» et de préciser ce que sont ces autorités en faisant référence à l’article 28 de la directive 95/46/CE, ainsi qu’au CEPD conformément aux dispositions du chapitre V du règlement (CE) no 45/2001.

31.

Le CEPD constate une incohérence dans le règlement proposé relativement à ceux qui peuvent demander l’aide de l’ENISA. Il ressort des considérants 7, 15, 16, 18 et 36 de la proposition, que l’ENISA peut assister les organes des États membres et l’Union dans son ensemble. Toutefois, l’article 2, paragraphe 1, ne fait référence qu’à la Commission et aux États membres, alors que l’article 14 restreint les demandes d’assistance: i) au Parlement européen; ii) au Conseil; iii) à la Commission; et iv) à tout organisme compétent désigné par un État membre et ignore certains organes, institutions, agences et bureaux de l’Union.

32.

L’article 3 de la proposition est plus spécifique et envisage différents types d’assistance en fonction des types de bénéficiaires: i) collecte et analyse de données sur la sécurité de l’information (dans le cas des États membres et des institutions et organismes européens); ii) analyse ponctuelle de la sécurité des réseaux et de l’information en Europe (dans le cas des États membres et des institutions européennes); iii) promotion du recours à la gestion des risques et aux bonnes pratiques de sécurité (dans toute l’Union et tous les États membres); iv) développement de la détection de sécurité des réseaux et de l’information (dans les institutions et organes européens); et v) collaboration au dialogue et coopération avec les pays tiers (dans le cas de l’Union).

33.

Le CEPD invite le législateur à remédier à cette incohérence et à harmoniser les dispositions susmentionnées. À cet égard, il recommande que l’article 14 soit modifié de manière à inclure tous les organes, institutions, bureaux et agences de l’Union et à indiquer clairement le type d’assistance pouvant être demandé par les différentes entités de l’Union (au cas où cette différenciation serait envisagée par le législateur). De même, il est recommandé que certaines entités publiques et privées puissent demander l’assistance de l’Agence à condition que le soutien demandé présente clairement un intérêt du point de vue européen et qu’il soit conforme aux objectifs de l’Agence.

34.

La note explicative prévoit un élargissement des compétences du conseil d’administration dans son rôle de surveillance. Le CEPD se félicite de ce rôle accru et recommande que plusieurs aspects concernant la protection des données soient inclus dans les attributions du conseil d’administration. Par ailleurs, le CEPD recommande que le règlement précise, sans la moindre ambiguïté, qui est habilité à: i) définir les dispositions d’application du règlement (CE) no 45/2001 par l’Agence, y compris celles concernant la nomination d’un délégué à la protection des données; ii) approuver la politique de sécurité et ses révisions périodiques ultérieures; et iii) déterminer le protocole de coopération avec les autorités de protection des données et les organes chargés du respect de la loi.

35.

Bien que le règlement (CE) no 45/2001 l’exige déjà, le CEPD suggère d’inclure dans l’article 27 la nomination du délégué à la protection des données, dans la mesure où cela revêt une importance particulière, et de l’accompagner par la mise en place rapide de dispositions d’application concernant la portée des compétences et tâches à confier au délégué à la protection des données conformément à l’article 24, paragraphe 8, du règlement (CE) no 45/2001. Plus concrètement, l’article 27 pourrait être formulé comme suit:

36.

Au cas où une base juridique spécifique serait nécessaire pour le traitement de données à caractère personnel, comme nous l’avons vu aux points 17-20 ci-dessus, elle devrait également préciser les garanties, restrictions et conditions appropriées en vertu desquelles un traitement aurait lieu.

37.

L’évaluation globale de la proposition est positive et le CEPD se félicite de l’élargissement du mandat et des attributions de l’Agence grâce à l’implication des autorités de protection des données et des organismes chargés du respect de la loi en tant que parties prenantes de plein droit. Le CEPD estime que la continuité de l’Agence encouragera, au niveau européen, la gestion professionnelle et harmonisée des mesures de sécurité appliquées aux systèmes d’information.

38.

Pour éviter toute incertitude juridique, le CEPD recommande que la proposition soit clarifiée quant à l’élargissement des tâches de l’Agence et en particulier de celles qui concernent la participation des organes répressifs et des autorités de protection des données. Par ailleurs, le CEPD attire l’attention sur la faille potentielle créée par l’inclusion, dans la proposition, d’une disposition permettant, par tout autre acte législatif de l’Union, d’ajouter de nouvelles attributions à l’Agence sans restrictions supplémentaires.

39.

Le CEPD invite le législateur à préciser si les activités de l’ENISA incluront le traitement de données à caractère personnel et, si oui, lesquelles.

40.

Le CEPD recommande d’inclure des dispositions concernant la mise en place d’une politique de sécurité pour l’Agence elle-même, afin de renforcer le rôle de cette dernière comme catalyseur de l’excellence en matière de pratiques de sécurité et comme promoteur du concept de privacy by design (respect de la vie privée dès la conception) en intégrant l’application des meilleures techniques disponibles dans le domaine de la sécurité, avec le respect des droits à la protection des données à caractère personnel.

41.

Les mécanismes de coopération avec les autorités de protection des données, y compris avec le CEPD et le groupe de travail «Article 29», doivent être mieux définis en vue d’assurer la cohérence et la coopération étroite.

42.

Le CEPD invite le législateur à remédier à certaines incohérences quant aux restrictions exprimées à l’article 14 en ce qui concerne la capacité de demander l’assistance de l’Agence. En particulier, le CEPD recommande que ces restrictions soient abandonnées et que tous les organes, institutions, bureaux et agences de l’Union puissent demander l’assistance de l’Agence.

43.

Enfin, le CEPD recommande que les compétences élargies du conseil d’administration incluent certains aspects concrets pouvant accroître la garantie que l’Agence appliquera de bonnes pratiques de protection de la sécurité et des données. Entre autres, il est proposé d’inclure la nomination d’un délégué à la protection des données et l’approbation de mesures visant à assurer la bonne application du règlement (CE) no 45/2001.

1.4.2011   

FR

Journal officiel de l'Union européenne

C 101/25

—

dans la section consacrée aux concentrations, sur le site internet de la DG concurrence de la Commission (http://ec.europa.eu/competition/mergers/cases/). Ce site permet de rechercher des décisions concernant des opérations de concentration à partir du nom de l'entreprise, du numéro de l'affaire, de la date ou du secteur d'activité,

—

sur le site internet EUR-Lex (http://eur-lex.europa.eu/fr/index.htm), qui offre un accès en ligne au droit communautaire, sous le numéro de document 32011M6076.

1.4.2011   

FR

Journal officiel de l'Union européenne

C 101/26

1.4.2011   

FR

Journal officiel de l'Union européenne

C 101/27

Cour des comptes européenne

Unité «Communication et rapports»

12, rue Alcide De Gasperi

1615 Luxembourg

LUXEMBOURG

Tél. +352 4398-1

Courriel: euraud@eca.europa.eu

1.4.2011   

FR

Journal officiel de l'Union européenne

C 101/28

1)

la licence d’exploitation, le certificat de transporteur aérien (AOC), sauf si ces documents ont été délivrés par la Belgique;

2)

le certificat d’assurance;

3)

des éléments démontrant la conformité au droit communautaire de l’établissement en Belgique du transporteur aérien communautaire;

4)

les éléments démontrant la capacité opérationnelle et financière au sens du règlement (CE) no 1008/2008 du Parlement et du Conseil du 24 septembre 2008 établissant des règles communes pour l’exploitation de services aériens dans la Communauté;

5)

les renseignements suivants concernant les services aériens réguliers envisagés:

6)

acceptation éventuelle par le demandeur de mettre à disposition, dans des circonstances exceptionnelles, la capacité nécessaire pour satisfaire aux besoins nationaux ou internationaux de la Belgique.

1)

demander des éléments complémentaires d’information au transporteur aérien communautaire; et/ou

2)

organiser des auditions où l’ensemble des demandeurs sera convié.

1)

ni le nombre de transporteurs aériens communautaires pouvant être désignés;

2)

ni le nombre de vols pouvant être opérés sur les routes spécifiées.

1)

le nombre de transporteurs aériens communautaires pouvant être désignés; ou

2)

le nombre de fréquences pouvant être opérées sur les routes spécifiées;

1)

si des observations sont formulées, le ministre prend, dans un délai de quinze jours ouvrables à compter de la réception de ces observations, une décision définitive d’attribution de droits de trafic et/ou de désignation qui est communiquée aux demandeurs par lettre recommandée et publiée sur le site internet du SPF Mobilité et transports;

2)

si aucune observation n’est formulée, le projet de décision devient une décision définitive du ministre pour l’attribution de droits de trafic et/ou la désignation, qui est communiquée au(x) demandeur(s) par lettre recommandée et publiée sur le site internet du SPF Mobilité et transports.

1)

des éléments visés à l'article 4 communiqués par le transporteur aérien communautaire;

2)

des garanties offertes concernant la pérennité de l’exploitation et de son intégration dans un business plan cohérent;

3)

de l’utilisation optimale des droits de trafic restreints;

4)

du caractère prioritaire des opérations réalisées par un transporteur aérien communautaire au moyen de ses aéronefs (en propriété ou en location) par rapport aux opérations où le transporteur aérien communautaire se contente de commercialiser, à travers des accords de partage de codes, des vols opérés par un autre transporteur aérien;

5)

de l’intérêt de toutes les catégories d’usagers;

6)

de l’accès facilité à de nouvelles routes, marchés, régions, que ce soit à travers de nouvelles correspondances ou au départ ou à destination d'aéroports belges différents;

7)

de la contribution à l’offre d’un niveau satisfaisant de concurrence;

8)

des effets éventuels de l'exploitation sur la création d’emplois directs ou indirects dans le secteur du transport aérien;

9)

à titre subsidiaire, de l’ancienneté de la volonté, exprimée de façon active et récurrente, d’un transporteur aérien communautaire d’obtenir les droits de trafic qui font l’objet de sa demande.

1)

de mettre en œuvre l'exploitation des services aériens concernés au plus tard à la fin de la saison IATA suivant celle de la notification de la décision de désignation et/ou d’attribution de droits de trafic;

2)

d’exploiter les services aériens concernés conformément au dossier visé à l’article 4. Il ne peut y avoir entre le projet initial et l’exploitation proprement dite d'écarts d'une ampleur telle qu’ils pourraient conduire au choix d’un autre transporteur aérien lors de l’attribution initiale;

3)

de se conformer aux conditions éventuelles émises par le directeur général, aux décisions et autorisations des autorités aéronautiques des pays non communautaires concernés par l’exploitation des services aériens concernés ainsi qu’à toute règle internationale en la matière;

4)

de communiquer immédiatement au directeur général la cessation ou l’interruption de l’exploitation des services aériens concernés. Si cette interruption dure plus de deux saisons, la décision d’attribution de droits de trafic et/ou de désignation est retirée d’office à la fin de cette deuxième saison, sauf si le transporteur aérien communautaire peut se prévaloir de circonstances exceptionnelles indépendantes de sa volonté.

1)

soit de ne pas donner suite à cette demande;

2)

soit de lancer une nouvelle procédure d’attribution.

1.4.2011   

FR

Journal officiel de l'Union européenne

C 101/34

1.4.2011   

FR

Journal officiel de l'Union européenne

C 101/36

1.

Le 23 mars 2011, la Commission a reçu notification, conformément à l'article 4 du règlement (CE) no 139/2004 du Conseil (1), d'un projet de concentration par lequel l'entreprise Giesecke & Devrient GmbH («G&D», Allemagne) et l'entreprise BEB Industrie-Elektronik AG («BEB», Suisse), qui est contrôlée par Wincor Nixdorf International GmbH («WNI», Allemagne), appartenant au groupe d'entreprises Wincor Nixdorf Aktiengesellschaft (Allemagne), acquièrent, au sens de l'article 3, paragraphe 1, point b), du règlement CE sur les concentrations, le contrôle en commun de l'entreprise CI Tech Components AG (Suisse), respectivement par transfert d'actifs et achat d'actions dans une entreprise nouvellement créée constituant une entreprise commune.

2.

Les activités des entreprises considérées sont les suivantes:

3.

Après examen préliminaire et sans préjudice de sa décision définitive sur ce point, la Commission estime que l'opération notifiée pourrait entrer dans le champ d'application du règlement CE sur les concentrations. Conformément à la communication de la Commission relative à une procédure simplifiée de traitement de certaines opérations de concentration en application du règlement CE sur les concentrations (2), il convient de noter que ce cas est susceptible d'être traité selon la procédure définie par ladite communication.

4.

La Commission invite les tiers intéressés à lui présenter leurs observations éventuelles sur le projet de concentration.

Ces observations devront lui parvenir au plus tard dans un délai de dix jours à compter de la date de la présente publication. Elles peuvent être envoyées par télécopie (+32 22964301), par courrier électronique à l’adresse COMP-MERGER-REGISTRY@ec.europa.eu ou par courrier postal, sous la référence COMP/M.6144 — Giesecke & Devrient/Wincor Nixdorf International/BEB Industrie-Elektronik, à l'adresse suivante:

1.4.2011   

FR

Journal officiel de l'Union européenne

C 101/38

1.

Le 21 mars 2011, la Commission a reçu notification, conformément à l’article 4 du règlement (CE) no 139/2004 du Conseil (1), d’un projet de concentration par lequel l'entreprise MAN Truck & Bus AG («MAN Truck & Bus», Allemagne), contrôlée par MAN SE («MAN», Allemagne), acquiert, au sens de l'article 3, paragraphe 1, point b), du règlement CE sur les concentrations, le contrôle exclusif de l'ensemble des entreprises MAN Camions et Bus S.A.S. («MAN Camions et Bus», France) et MAN Truck and Bus N.V./S.A. («MAN Truck and Bus Belgium», Belgique) par achat d'actions.

2.

Les activités des entreprises considérées sont les suivantes:

3.

Après examen préliminaire et sans préjudice de sa décision définitive sur ce point, la Commission estime que l'opération notifiée pourrait entrer dans le champ d'application du règlement CE sur les concentrations. Conformément à la communication de la Commission relative à une procédure simplifiée de traitement de certaines opérations de concentration en application du règlement CE sur les concentrations (2), il convient de noter que ce cas est susceptible d'être traité selon la procédure définie par ladite communication.

4.

La Commission invite les tiers intéressés à lui présenter leurs observations éventuelles sur le projet de concentration.

Ces observations devront lui parvenir au plus tard dans un délai de dix jours à compter de la date de la présente publication. Elles peuvent être envoyées par télécopie (+32 22964301), par courrier électronique à l’adresse COMP-MERGER-REGISTRY@ec.europa.eu ou par courrier postal, sous la référence COMP/M.6182 — MAN/MAN Camions et Bus/MAN Truck & Bus Belgium, à l'adresse suivante:

1.4.2011   

FR

Journal officiel de l'Union européenne

C 101/39

1.

La position commune 2002/402/PESC (1) invite l'Union à ordonner le gel des fonds et ressources économiques d'Oussama ben Laden, des membres de l'organisation Al-Qaida et des Taliban, ainsi que des personnes, groupes, entreprises et entités qui y sont liés, visés dans la liste qui a été établie conformément aux résolutions 1267(1999) et 1333(2000) du Conseil de sécurité des Nations unies et qui doit être régulièrement mise à jour par le comité des Nations unies créé en application de la résolution 1267(1999).

Figurent sur la liste établie par le comité des Nations unies:

Les actes ou activités indiquant qu'une personne, un groupe, une entreprise ou une entité est «lié(e)» à Al-Qaida, à Oussama ben Laden ou aux Taliban englobent:

2.

Le 23 mars 2011, le comité des Nations unies a décidé d'ajouter M. Ibrahim Hassan Tali Al-Asiri à la liste en question. Ce dernier peut adresser à tout moment au médiateur des Nations unies une demande de réexamen de la décision par laquelle il a été inclus dans cette liste, en y joignant toute pièce justificative utile. Cette demande doit être envoyée à l'adresse suivante:

Pour de plus amples informations, voir: http://www.un.org/sc/committees/1267/delisting.shtml

3.

À la suite de la décision des Nations unies visée au point 2, la Commission a adopté le règlement (UE) no 317/2011 (2), qui modifie l'annexe I du règlement (CE) no 881/2002 du Conseil instituant certaines mesures restrictives spécifiques à l'encontre de certaines personnes et entités liées à Oussama ben Laden, au réseau Al-Qaida et aux Taliban (3). La modification, effectuée conformément à l'article 7, paragraphe 1, point a), et à l’article 7 bis, paragraphe 1, du règlement (CE) no 881/2002, comporte l'ajout de M. Ibrahim Hassan Tali Al-Asiri à la liste des personnes énumérées à l'annexe I dudit règlement («annexe I»).

Les mesures ci-après, prévues par le règlement (CE) no 881/2002, s'appliquent aux personnes et aux entités figurant à l'annexe I:

4.

L'article 7 bis du règlement (CE) no 881/2002 (5) prévoit un processus de réexamen lorsque les personnes, entités, organismes ou groupes inscrits sur la liste formulent des observations à propos des raisons de cette inscription. Les personnes et entités ajoutées à l'annexe I par le règlement (UE) no 317/2011 peuvent demander à la Commission de leur communiquer les raisons de cette inscription. Cette demande doit être envoyée à l'adresse suivante:

5.

L'attention des personnes et entités concernées est également attirée sur la possibilité de contester le règlement (UE) no 317/2011 devant le Tribunal de l’Union européenne, dans les conditions prévues à l'article 263, quatrième et sixième alinéas, du traité sur le fonctionnement de l'Union européenne.

6.

Les données à caractère personnel des personnes concernées seront traitées conformément aux règles fixées par le règlement (CE) no 45/2001 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires (à présent de l'Union) et à la libre circulation de ces données (6). Les demandes éventuelles, telles que, par exemple, les demandes de renseignements complémentaires ou d'exercice des droits conférés par le règlement (CE) no 45/2001 (accès aux données à caractère personnel ou rectification de celles-ci, par exemple) doivent être envoyées à l'adresse mentionnée au point 4 ci-dessus.

7.

À des fins de bonne administration, l'attention des personnes et entités figurant à l'annexe I du règlement (CE) no 881/2002 est attirée sur le fait qu'il est possible de présenter aux autorités compétentes de l'État membre concerné (ou des États membres concernés), énumérées à l'annexe II du règlement, une demande visant à obtenir l'autorisation d'utiliser les fonds et ressources économiques gelés pour couvrir des besoins essentiels ou procéder à certains paiements conformément à l'article 2 bis dudit règlement.