23.3.2010   

FR

Journal officiel de l'Union européenne

C 73/1

1.

Le 27 juillet 2009, la Commission a adopté une proposition de règlement du Conseil instituant certaines mesures restrictives spécifiques à l'encontre de certaines personnes physiques ou morales, entités et organismes en raison de la situation en Somalie, ainsi qu'une proposition de règlement du Conseil modifiant le règlement (CE) no 314/2004 du Conseil concernant certaines mesures restrictives à l'encontre du Zimbabwe. Le 18 septembre, elle a en outre adopté une proposition de règlement du Conseil modifiant le règlement (CE) no 329/2007 concernant des mesures restrictives à l'encontre de la République populaire démocratique de Corée. Le 23 novembre, enfin, elle a adopté une proposition de règlement du Conseil instituant certaines mesures restrictives spécifiques à l'encontre de la Guinée. La Commission a transmis toutes ces propositions au CEPD pour consultation, conformément à l'article 28, paragraphe 2, du règlement (CE) no 45/2001. Le CEPD rappelle qu'il a également formulé des observations informelles sur les projets de ces propositions ainsi que sur d'autres projets de propositions visant à modifier des règlements analogues du Conseil qui prévoient le gel des fonds et d'autres mesures restrictives.

2.

Le CEPD se félicite d'avoir été consulté et note avec satisfaction que cette consultation est mentionnée dans les considérants des propositions, comme cela a été le cas dans plusieurs autres textes législatifs sur lesquels il a été consulté conformément au règlement (CE) no 45/2001.

3.

Toutes ces propositions, qui visent à modifier la législation actuelle ou à soumettre de nouveaux instruments législatifs, ont pour objet de lutter contre le terrorisme ou les violations des droits de l'homme en instituant des mesures restrictives — telles que le gel des avoirs et les interdictions de voyager — à l'encontre des personnes physiques et morales soupçonnées d'être associées à des organisations terroristes ou à certains gouvernements. À cet effet, la Commission européenne publie et diffuse des «listes noires» des personnes physiques ou morales concernées par ces mesures restrictives.

4.

Le CEPD a déjà rendu le 28 juillet 2009 un avis sur la proposition de règlement du Conseil modifiant le règlement (CE) no 881/2002 du Conseil instituant certaines mesures restrictives spécifiques à l'encontre de certaines personnes et entités liées à Oussama BEN LADEN, au réseau Al-Qaida et aux Talibans (ci-après dénommée «la proposition Al-Qaida»). Il s'y félicitait de l'intention de la Commission de renforcer la protection des droits fondamentaux, y compris la protection des données à caractère personnel, et recommandait de modifier ou de clarifier certains aspects de la proposition en vue de respecter les principes essentiels de l'UE en matière de protection des données. Le CEPD, qui a suivi de près le déroulement des négociations sur la proposition Al-Qaida au sein du Conseil (3), regrette que de nombreuses dispositions relatives à la protection des données à caractère personnel aient été supprimées ou considérablement affaiblies.

5.

Les observations déjà formulées dans cet avis restent d'actualité, et la plupart d'entre elles s'appliquent également dans une certaine mesure aux nouvelles propositions, dont de nombreuses dispositions correspondent à celles de la proposition Al-Qaida. Le présent avis, qui tient compte de toutes les propositions transmises à ce jour au CEPD en vue d'une consultation, ainsi que de l'évolution des négociations au sein du Conseil, portera sur l'application des principes de la protection des données dans le cadre de mesures restrictives et présentera des recommandations visant à améliorer cette protection. Ces recommandations tiendront en outre compte de l'entrée en vigueur du traité de Lisbonne ainsi que des orientations politiques importantes définies dans le programme de Stockholm adopté récemment (4). Cette manière de procéder permettra au CEPD de ne formuler de nouveaux avis sur les propositions législatives présentées dans ce domaine que lorsque celles-ci s'écarteront fortement des propositions actuelles.

6.

Le présent avis est axé sur les aspects des mesures restrictives qui présentent un lieu direct avec la protection des données à caractère personnel, et en particulier sur ceux que le CEPD recommande de clarifier, afin de garantir la sécurité juridique et l'efficacité des mesures. Le présent avis n'aborde ni ne concerne d'autres questions essentielles qui pourraient découler de l'inscription sur une liste dans le cadre de l'application d'autres règles.

7.

Les propositions de la Commission visent à tenir compte de la jurisprudence de la Cour de justice, qui a réaffirmé à plusieurs reprises qu'il convenait de respecter les normes européennes de protection des droits fondamentaux, que des mesures restrictives soient adoptées au niveau de l'UE ou qu'elles émanent d'organisations internationales telles que les Nations unies (5).

8.

Parmi les droits fondamentaux de l'UE figure aussi le droit à la protection des données à caractère personnel, que la Cour a reconnu comme étant l'un des principes découlant de l'article 6, paragraphe 2, du traité UE et qui a été confirmé par l'article 8 de la charte des droits fondamentaux de l'UE (6). Lorsqu'il est question de mesures restrictives, ce droit joue un rôle capital, car il contribue au respect effectif d'autres droits fondamentaux tels que les droits de la défense, le droit d'être entendu et le droit à une protection juridictionnelle effective.

9.

Dans ce contexte, le CEPD se félicite, comme il l'avait déjà fait dans son avis du 28 juillet 2009 sur les mesures restrictives à l'encontre d'Al-Qaida, de l'intention de la Commission de modifier le cadre législatif actuel en améliorant la procédure d'inscription sur la liste et en prenant explicitement en considération le droit à la protection des données à caractère personnel. L'adoption de mesures restrictives se fonde sur le traitement de données à caractère personnel, qui est lui-même — indépendamment du gel des avoirs — soumis à des règles et des garanties en matière de protection des données. Il est par conséquent extrêmement important de définir clairement les règles applicables au traitement des données à caractère personnel des personnes figurant sur une liste et d'assurer la sécurité juridique à cet égard, notamment en vue de garantir la licéité et la légitimité des mesures restrictives.

10.

Le programme de Stockholm indique clairement que «lorsqu'il s'agit d'apprécier la question du respect de la vie privée des personnes dans l'espace de liberté, de sécurité et de justice, le droit à la liberté est primordial» et que l'UE devrait promouvoir l'application des principes de protection des données en son sein et dans le cadre de ses relations avec les pays tiers.

11.

L'entrée en vigueur du traité de Lisbonne renforce le cadre législatif en la matière. D'une part, il établit deux nouvelles bases juridiques (articles 75 et 125 du traité FUE) permettant à l'UE d'adopter des mesures restrictives à l'encontre de personnes physiques ou morales, de groupes ou d'entités non étatiques. D'autre part, les articles 16 du traité FUE et 39 du traité UE réaffirment le droit à la protection des données à caractère personnel et la nécessité de prévoir des règles et des garanties en matière de protection des données dans tous les domaines d'activité de l'Union européenne; en outre, la charte des droits fondamentaux de l'UE acquiert un caractère contraignant, ce qui, comme l'indique explicitement le programme de Stockholm, «renforcera l'obligation qui incombe à l'Union et, partant, à ses institutions de veiller à promouvoir activement les droits fondamentaux dans l'ensemble de leurs domaines d'action» (7).

12.

Plus précisément, l'article 16 du traité FUE s'applique au traitement des données à caractère personnel effectué par les institutions de l'UE dans le cadre de toutes les activités de l'UE, y compris la politique étrangère et de sécurité commune, tandis que l'article 39 du traité UE prévoit un processus décisionnel différent à l'égard du traitement des données à caractère personnel effectué par les États membres dans le cadre de la politique étrangère et de sécurité commune. En outre, la Cour de justice devient pleinement compétente, même dans le cadre de la politique étrangère et de sécurité commune, pour contrôler la légalité — et notamment le respect des droits fondamentaux — des décisions prévoyant de mesures restrictives à l'encontre de personnes physiques ou morales (article 275 du traité FUE).

13.

Par ailleurs, l'adhésion de l'UE à la convention européenne des droits de l'homme, prévue par le traité de Lisbonne, accroîtra encore l'importance pour le cadre législatif de l'UE, des positions adoptées par le Conseil de l'Europe au sujet des listes noires (8) et de la jurisprudence de la Cour européenne des droits de l'homme.

14.

Dans ce contexte, l'article 8 de la charte des droits fondamentaux de l'UE revêt une importance particulière, notamment en ce qu'il prévoit que les données à caractère personnel doivent être traitées en vertu d'un fondement légitime prévu par la loi et que «toute personne a le droit d'accéder aux données collectées la concernant». Ces éléments essentiels de la protection des données doivent être respectés dans toutes les mesures adoptées par l'UE, et des particuliers pourraient même se prévaloir de l'effet direct des droits conférés par cet article, qu'ils aient ou non été repris explicitement dans le droit européen dérivé.

15.

Le nouveau cadre juridique résultant de l'entrée en vigueur du traité de Lisbonne impose au législateur d'élaborer des règles globales et cohérentes en matière de protection des données à caractère personnel, y compris dans le domaine des mesures restrictives, et lui fournit les outils nécessaires à cet effet. Cette obligation est d'autant plus importante que le nombre et la durée de ce type de mesures, lourdes de conséquences pour les personnes concernées, vont croissant.

16.

C'est pourquoi le CEPD recommande vivement à la Commission d'abandonner l'approche parcellaire actuelle — selon laquelle chaque pays ou organisation adopte des règles spécifiques, parfois différentes, en matière de protection des données à caractère personnel — pour proposer un cadre général et cohérent s'appliquant à toutes les sanctions ciblées mises en place par l'UE à l'encontre de personnes physiques ou morales, d'entités ou d'organismes, qui garantisse le respect des droits fondamentaux des personnes concernées, et en particulier le respect du droit fondamental à la protection des données à caractère personnel. Les limitations nécessaires de ces droits devraient être définies clairement par la loi, proportionnées et, en tout état de cause, conformes à la substance de ces droits.

17.

Le CEPD estime que cette nouvelle approche devrait aller de pair avec la poursuite de l'objectif défini par le Conseil européen dans le programme de Stockholm, à savoir s'employer «à améliorer la nature, la mise en œuvre et l'efficacité des sanctions arrêtées par le Conseil de sécurité de l'ONU en vue de respecter les droits fondamentaux et de garantir des procédures équitables et sans ambiguïté» (9).

18.

Les points qui suivent, consacrés à l'analyse des propositions, contiennent non seulement des recommandations visant à en améliorer les dispositions, mais mettent en outre en lumière les aspects de la protection des données qui ne sont pas pris en compte actuellement et que le CEPD recommande de clarifier soit dans ces instruments législatifs, soit dans un cadre plus général.

19.

Comme indiqué dans l'avis du CEPD du 28 juillet 2009, les règles sur la protection des données définies par le règlement (CE) no 45/2001 s'appliquent au traitement des données à caractère personnel effectué par les institutions de l'UE lorsqu'elles adoptent des mesures restrictives, même si ces mesures trouvent leur origine dans des décisions d'organisations internationales ou des positions communes arrêtées dans le cadre de la politique étrangère et de sécurité commune.

20.

Dans cette perspective, le CEPD se félicite des références faites dans les propositions à l'applicabilité du règlement (CE) no 45/2001 ainsi qu'aux droits des personnes concernées qui en découlent. Il regrette néanmoins que les négociations relatives aux mesures restrictives à l'encontre d'Al-Qaida aient débouché sur la suppression de certaines de ces références.

21.

Le CEPD tient à souligner à cet égard que ces suppressions n'excluent ni ne limitent l'applicabilité des obligations et des droits des personnes concernées qui ne sont plus explicitement mentionnés dans les instruments législatifs. Il estime toutefois que le fait de mentionner et d'aborder explicitement les aspects liés à la protection des données dans les instruments législatifs relatifs aux mesures restrictives permet non seulement de renforcer la protection des droits fondamentaux, mais également d'éviter que des questions délicates restent imprécises et donnent par conséquent lieu à des recours en justice.

22.

D'une manière plus générale, le CEPD souligne que, conformément à l'article 8 de la charte des droits fondamentaux, «toute personne a droit à la protection des données à caractère personnel». Ce droit fondamental devrait donc être garanti au sein de l'Union européenne, quels que soient la nationalité, le lieu de résidence ou les activités professionnelles des personnes concernées; en d'autres termes, alors que des limitations de ce droit peuvent se révéler nécessaires dans le cadre de mesures restrictives, aucune catégorie de personnes, y compris celles ayant des liens avec le gouvernement d'un pays tiers, ne peut être exclue par principe ou d'une manière générale de ce droit.

23.

Conformément aux règles applicables sur la protection des données [article 4 du règlement (CE) no 45/2001], les données à caractère personnel doivent être traitées loyalement et licitement, être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, et être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement. Les données à caractère personnel doivent également être exactes et, si nécessaire, mises à jour: toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes soient effacées ou rectifiées. En outre, les données à caractère personnel doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement.

24.

Le CEPD se félicite de ce que toutes les propositions de la Commission (10) définissent explicitement les catégories de données à caractère personnel qui seront traitées dans le cadre des mesures restrictives et réglementent explicitement le traitement des données à caractère personnel relatives aux infractions pénales, aux condamnations pénales et aux mesures de sûreté.

25.

Dans ce contexte, le CEPD relève avec satisfaction le principe énoncé à l'article 7, paragraphe 3, de la proposition Al-Qaida, selon lequel le nom et les prénoms des parents de la personne physique peuvent uniquement figurer dans l'annexe lorsqu'ils sont nécessaires dans un cas spécifique dans le seul but de vérifier l'identité de la personne physique concernée figurant sur la liste. Cette disposition est par ailleurs tout à fait conforme au principe de limitation de la finalité, selon lequel les données à caractère personnel doivent être collectées pour des finalités déterminées, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités.

26.

En vue de garantir que ce principe soit énoncé et appliqué de manière adéquate à tout traitement de données à caractère personnel dans ce domaine, le CEPD recommande explicitement de l'appliquer à toutes les catégories de données; il faudrait donc modifier les articles pertinents de manière à ce que l'annexe comprenant la liste de personnes contienne «uniquement les informations nécessaires à la vérification de l'identité des personnes physiques figurant sur la liste et, en tout état de cause, tout au plus les informations suivantes» — cette modification permettrait d'éviter la collecte et la publication d'informations inutiles sur des personnes physiques inscrites sur une liste et sur leur famille.

27.

Le CEPD suggère en outre que les propositions indiquent explicitement que les données à caractère personnel seront détruites ou rendues anonymes dès qu'elles ne seront plus nécessaires, dans chacune des affaires, aux fins de la mise en œuvre des mesures restrictives ou d'une procédure en cours devant la Cour de justice.

28.

En ce qui concerne l'obligation de conserver des données exactes et à jour, les propositions suivent des approches différentes. La proposition relative à la Somalie (qui est le reflet de celle concernant Al-Qaida), prévoit que, si les Nations unies décident de radier une personne de la liste, la Commission modifie la liste de l'UE en conséquence (article 11, paragraphe 4). La proposition relative à la Corée du Nord prévoit quant à elle l'obligation de réexaminer la liste à intervalles réguliers et au moins tous les douze mois (article 6, paragraphe 2). Les autres propositions ne font référence à aucun de ces mécanismes.

29.

Toutefois, toutes les listes de l'UE, quel que soit le pays qu'elles concernent et indépendamment du fait qu'elles soient adoptées directement au niveau de l'UE ou qu'elles mettent en œuvre des décisions des Nations unies, doivent respecter le principe de la qualité des données, qui revêt une importance capitale dans le domaine des mesures restrictives. En effet, comme le Tribunal de l'UE l'a indiqué récemment (11), si les mesures restrictives ont été décidées sur la base d'enquêtes de police ou de sûreté, il convient de tenir compte, lors du réexamen des listes, des développements ultérieurs de ces enquêtes, tels que la clôture d'une enquête, l'abandon des poursuites ou un acquittement au pénal, afin d'éviter que les fonds d'une personne soient gelés indéfiniment en-dehors de tout contrôle juridictionnel et quelle que soit l'issue des procédures judiciaires éventuellement suivies.

30.

Compte tenu de ce qui précède, le CEPD recommande que des mécanismes effectifs visant à radier une personne physique d'une liste et à réexaminer les listes de l'UE à intervalles réguliers soient mis en œuvre pour toutes les propositions, actuelles et à venir, dans ce domaine.

31.

Dans son avis du 28 juillet 2009, le CEPD se félicitait de l'intention de la Commission de renforcer le respect des droits fondamentaux en permettant aux personnes concernées d'être informées sur les raisons de leur inscription sur la liste et en leur offrant la possibilité d'exprimer leur avis sur la question. Le même type de disposition est à présent proposé en ce qui concerne la Somalie (12) et la Guinée (13); par contre, pour le Zimbabwe (14), le droit d'être informé des raisons de l'inscription sur une liste et d'exprimer son opinion est limité aux personnes qui ne sont pas liées au gouvernement; quant à la proposition relative à la Corée du Nord, elle ne mentionne même pas cette possibilité.

32.

Le CEPD rappelle que l'obligation de fournir des informations à la personne concernée est prévue à l'article 11 du règlement (CE) no 45/2001; l'article 12 traite plus particulièrement des informations à fournir lorsque les données n'ont pas été collectées auprès de la personne concernée. Ces dispositions doivent être respectées à l'égard de toutes les personnes, quelle que soit leur nationalité ou leur lien avec le gouvernement d'un pays déterminé. Il va de soi que ces informations peuvent être fournies aux personnes concernées selon des modalités variables, qui peuvent être adaptées au contexte politique spécifique des mesures restrictives. En outre, des limitations ou des exceptions peuvent être adoptées conformément à l'article 20 du règlement (CE) no 45/2001 (15), pour autant qu'elles soient nécessaires dans des circonstances précises, mais il n'est pas possible d'exclure d'une manière générale et illimitée l'obligation d'informer la personne concernée.

33.

C'est pourquoi le CEPD recommande de réglementer plus explicitement, dans toutes les propositions actuelles et futures relatives à ce domaine, le droit à l'information des personnes inscrites sur des listes, ainsi que les conditions et les modalités des limitations qui peuvent se révéler nécessaires.

34.

Selon l'article 8, paragraphe 2, de la charte des droits fondamentaux de l'UE, «toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification»; le droit d'accès est ainsi consacré comme l'un des éléments centraux du droit fondamental à la protection des données à caractère personnel. Dans le même esprit, l'article 13 du règlement (CE) no 45/2001 prévoit que la personne concernée a le droit d'obtenir, sans contrainte, à tout moment dans un délai de trois mois à partir de la réception de la demande d'information et gratuitement, du responsable du traitement, entre autres, la communication, sous une forme intelligible, des données faisant l'objet des traitements [point c)].

35.

Dans le domaine des mesures restrictives, les données à caractère personnel concernant les personnes inscrites sur des listes, et notamment celles relatives aux motifs pour lesquels ces personnes y ont été inscrites, figurent souvent dans des documents classifiés. À l'égard de ces documents, toutes les propositions de la Commission contiennent des dispositions identiques: premièrement, elles prévoient que, lorsque les Nations unies ou un État lui soumettent des informations classifiées, la Commission traite ces informations conformément à ses dispositions internes en matière de sécurité [décision 2001/844/CE, CECA, Euratom (16)] et, s'il y a lieu, à l'accord sur la sécurité des informations classifiées conclu entre l'Union européenne et l'État concerné; elles disposent en outre qu'un document classifié à un niveau correspondant à «Très secret UE», «Secret UE» ou «Confidentiel UE» ne peut être rendu public sans l'accord de son auteur (17).

36.

Le CEPD a déjà analysé ces dispositions en détail dans son avis du 28 juillet 2009 (18) et noté que ni les règles internes de la Commission en matière de sécurité ni les accords conclus avec certains États ou avec les Nations unies ne portent sur la question de l'accès des personnes aux données à caractère personnel les concernant. Par ailleurs, même si des limitations du droit d'accès peuvent être envisagées dans le cadre de mesures restrictives, les dispositions actuelles ne garantissent pas que le droit d'accès ne sera limité qu'en cas de nécessité et ne prévoient aucun critère concret pour l'évaluation de cette nécessité. En effet, ces propositions prévoient que le droit d'accès est soumis à la condition sine qua non que l'auteur donne son accord, ce qui laisse toute latitude aux auteurs des informations, qui pour certains ne relèvent pas du droit communautaire ou des normes de l'UE en matière de protection des droits fondamentaux.

37.

Les négociations menées au sein du Conseil ont débouché sur la suppression de cette disposition dans la proposition Al-Qaida.

38.

C'est pourquoi, le CEPD recommande vivement au législateur d'aborder, dans les propositions actuelles et futures, la question essentielle du droit des personnes inscrites sur une liste d'accéder — directement ou indirectement via d'autres autorités (19) — aux données à caractère personnel les concernant qui figurent dans des documents classifiés, sous réserve des limitations proportionnées qui pourraient se révéler nécessaires dans certaines circonstances.

39.

Le CEPD tient également à rappeler que le règlement (CE) no 45/2001 définit d'autres droits des personnes concernées que le législateur peut envisager d'aborder dans les propositions en question ou futures. En particulier, l'article 14 prévoit l'obligation pour le responsable du traitement de rectifier sans délai les données à caractère personnel inexactes ou incomplètes, tandis que l'article 17 l'oblige à notifier à un tiers auquel les données ont été communiquées toute rectification ou tout effacement de celles-ci — comme en cas de radiation d'une liste — si cela ne s'avère pas impossible ou ne suppose pas un effort disproportionné.

40.

En outre, le CEPD se félicite de ce que toutes les propositions prévoient la désignation explicite d'une unité de la Commission européenne en tant que responsable du traitement, ce qui renforce la visibilité de celui-ci et facilite l'exercice des droits des personnes concernées ainsi que la répartition des responsabilités conformément au règlement (CE) no 45/2001.

41.

Une question importante, qui n'est pas soulevée explicitement par les propositions, mais qui est inhérente à la procédure d'inscription sur la liste, est celle de la protection adéquate des données à caractère personnel échangées par l'UE avec des pays tiers et des organisations internationales telles que les Nations unies.

42.

À cet égard, le CEPD tient à attirer l'attention sur l'article 9 du règlement (CE) no 45/2001, qui définit les conditions du transfert de données à caractère personnel à des destinataires autres que les organes communautaires et ne relevant pas de la directive 95/46/CE. Tout un éventail de solutions sont possibles: depuis le consentement de la personne concernée [paragraphe 6, point a)] et l'exercice d'un droit en justice [paragraphe 6, point d)] — ce qui pourrait être utile au cas où les informations seraient fournies par la personne figurant sur la liste dans le but d'en déclencher la révision — jusqu'à l'existence au sein des Nations unies ou du pays tiers concerné de mécanismes censés assurer une protection adéquate des données à caractère personnel transmises par l'UE.

43.

Rappelant que les diverses activités de traitement envisagées devraient être conformes à ce système, le CEPD recommande au législateur de faire en sorte que des mécanismes et des garanties appropriés — tels que des précisions dans les propositions ou des arrangements avec les Nations unies ou d'autres pays tiers concernés — soient mis en place pour garantir une protection adéquate des données à caractère personnel échangées avec des pays tiers et des organisations internationales.

44.

Le CEPD estime que la question des restrictions et des limitations de certains droits fondamentaux, tels que la protection des données à caractère personnel, revêt une grande importance dans le cadre de mesures restrictives, dont l'application correcte et efficace peut justement nécessiter de telles restrictions et limitations.

45.

La convention européenne des droits de l'homme, la charte des droits fondamentaux de l'UE ainsi que les actes législatifs spécifiques en matière de protection des données, y compris l'article 20 du règlement (CE) no 45/2001, prévoient cette possibilité sous certaines conditions, qui ont été réaffirmées et clarifiées par la Cour européenne des droits de l'homme et par la Cour de justice de l'Union européenne (20). En bref, ces limitations du droit fondamental à la protection des données devraient être fondées sur des mesures législatives et respecter une condition stricte de proportionnalité, c'est-à-dire qu'elles devraient être limitées — tant dans leur substance que dans leur application dans le temps — à ce qui est nécessaire pour défendre les intérêts publics en jeu, ainsi que le confirme la jurisprudence de la Cour de justice, également dans le domaine des mesures restrictives. Des limitations générales, disproportionnées ou imprévisibles ne rempliraient pas cette condition.

46.

Ainsi, l'information des personnes concernées devra être retardée dans la mesure où cela s'avère nécessaire pour préserver «l'effet de surprise» de la décision consistant à les inscrire sur la liste et à geler leurs avoirs. Toutefois, comme le Tribunal de première instance l'indique dans sa jurisprudence (21), refuser cette information ou la reporter après le gel serait inutile et donc disproportionné. Des limitations proportionnées et temporaires du droit d'accès des personnes inscrites sur une liste aux données à caractère personnel les concernant — y compris les données relatives aux décisions sur lesquelles est fondée leur inscription sur la liste — peuvent également être envisagées, mais une exclusion générale et permanente de ce droit serait contraire à la substance du droit fondamental à la protection des données.

47.

Le règlement (CE) no 45/2001 fournit un cadre juridique justifiant de mettre en place tant des limitations que des garanties: les paragraphes 3 et 4 de son article 20 contiennent des règles relatives à l'application d'une limitation. Le paragraphe 3 prévoit que l'institution à l'origine de la limitation doit informer la personne concernée des principales raisons qui motivent cette limitation et de son droit de saisir le contrôleur européen de la protection des données. Le paragraphe 4 prévoit une autre règle, portant spécifiquement sur la limitation du droit d'accès: lorsqu'il examine une réclamation introduite sur la base du paragraphe précédent, le contrôleur européen de la protection des données fait uniquement savoir à la personne concernée si les données ont été traitées correctement et, dans la négative, si toutes les corrections nécessaires ont été apportées (22).

48.

Chacune des propositions n'aborde la question des limitations des droits à la protection des données que de manière partielle ou implicite, ce qui ouvre la voie à des conflits de normes et à des divergences d'interprétation qui finiront vraisemblablement par donner lieu à des recours en justice. Qui plus est, les négociations sur la proposition Al-Qaida semblent s'orienter vers une réduction des références aux droits en matière de protection des données et aux limitations nécessaires.

49.

Dans ce contexte, le CEPD recommande au législateur d'aborder cette question délicate en clarifiant, dans les propositions ou dans un autre acte législatif, quelles sont les limitations des principes de la protection des données ainsi que les garanties qui peuvent se révéler nécessaires dans le cadre de l'adoption de mesures restrictives. Les limitations seraient alors prévisibles et proportionnées, ce qui assurerait à son tour l'efficacité des mesures restrictives, le respect des droits fondamentaux et une diminution du nombre des affaires portées en justice. Cette action serait en outre conforme au programme de Stockholm, qui indique clairement que l'Union doit prévoir les circonstances dans lesquelles l'ingérence des pouvoirs publics dans l'exercice de ces droits est justifiée et énoncer des règles en la matière (23).

50.

Conformément à l'article 32, paragraphe 4, du règlement (CE) no 45/2001, ainsi qu'à l'article 23 de la directive 95/46/CE, toute personne ayant subi un dommage du fait d'un traitement illicite a le droit d'obtenir du responsable du traitement réparation du préjudice subi, à moins que le responsable du traitement ne prouve que le fait qui a provoqué le dommage ne lui est pas imputable. Il s'agit d'un aspect particulier de la notion générale de responsabilité, en ce que la charge de la preuve est ici renversée.

51.

Dans cette optique, les mesures restrictives reposent sur le traitement et la publication de données à caractère personnel qui, en cas d'illicéité, peuvent — quelles que soient les mesures restrictives qui sont prises — entraîner un préjudice moral ainsi que l'a déjà reconnu le Tribunal de première instance (24).

52.

Le CEPD fait observer que cette responsabilité non contractuelle pour un traitement de données à caractère personnel effectué en violation du droit applicable en matière de protection des données ne peut être compromise ni vidée de sa substance par certaines des propositions (25) qui excluent toute responsabilité, excepté en cas de négligence, des personnes physiques ou morales qui mettent en œuvre les mesures restrictives.

53.

Les personnes inscrites sur une liste ont le droit d'introduire un recours juridictionnel ainsi que des recours administratifs devant les autorités de contrôle de la protection des données. Les recours administratifs impliquent l'audition des réclamations présentées par les personnes concernées, conformément à l'article 32 du règlement (CE) no 45/2001, et reposent sur le fait que le CEPD est habilité à obtenir d'un responsable du traitement ou d'une institution ou d'un organe communautaire l'accès à toutes les données à caractère personnel et à toutes les informations nécessaires à ses enquêtes [article 47, paragraphe 2, point b), du règlement (CE) no 45/2001].

54.

Le contrôle indépendant de la conformité aux règles en matière de protection des données constitue l'un des principes fondamentaux de la protection des données, à présent réaffirmé de manière explicite, en ce qui concerne le traitement des données à caractère personnel effectué dans le cadre de toutes les activités de l'UE, non seulement par l'article 8 de la charte des droits fondamentaux de l'Union européenne, mais également par l'article 16 du traité FUE et l'article 39 du traité UE.

55.

Comme indiqué dans son avis du 28 juillet 2009 (26), le CEPD craint que la condition énoncée dans les propositions en question, selon laquelle les informations classifiées ne peuvent être rendues publiques sans l'accord de leur auteur, pourrait non seulement avoir des effets sur les pouvoirs de contrôle du CEPD en la matière, mais pourrait également avoir une incidence sur l'efficacité du contrôle juridictionnel en influant sur la capacité de la Cour de justice à déterminer si un juste équilibre est atteint entre les exigences de la lutte contre le terrorisme international et la protection des droits fondamentaux. Ainsi que l'a indiqué le Tribunal de première instance dans son arrêt du 4 décembre 2008, l'accès aux informations classifiées peut s'avérer nécessaire pour permettre au Tribunal de première instance d'effectuer ce contrôle (27).

56.

C'est pourquoi, le CEPD recommande de veiller à ce que les propositions garantissent que les voies de recours juridictionnel existantes et le contrôle indépendant exercé par les autorités de contrôle de la protection des données soient pleinement respectés et que leur efficacité ne soit pas compromise par les conditions d'accès aux documents classifiés. À cet égard, il conviendrait de commencer par remplacer, dans la version anglaise des articles concernés des propositions (28), le terme «released» par les termes «publicly disclosed» (29).

57.

Le CEPD est convaincu que la lutte contre ceux qui ne respectent pas les droits fondamentaux doit être menée dans le respect de ces mêmes droits fondamentaux.

58.

C'est pourquoi il se félicite, comme il l'avait déjà fait dans son avis du 28 juillet 2009 sur les mesures restrictives à l'encontre d'Al-Qaida, de l'intention de la Commission de modifier le cadre législatif actuel en améliorant la procédure d'inscription sur la liste et en prenant explicitement en considération le droit à la protection des données à caractère personnel.

59.

Compte tenu des outils offerts par le traité de Lisbonne ainsi que de la vision à long terme proposée dans le programme de Stockholm, le CEPD recommande vivement à la Commission d'abandonner l'approche parcellaire actuelle — selon laquelle chaque pays ou organisation adopte des règles spécifiques, parfois différentes, en matière de protection des données à caractère personnel — pour proposer un cadre général et cohérent s'appliquant à toutes les sanctions ciblées mises en place par l'UE à l'encontre de personnes physiques ou morales, d'entités ou d'organismes qui garantisse le respect des droits fondamentaux des personnes concernées, et en particulier le respect du droit fondamental à la protection des données à caractère personnel. Les limitations nécessaires de ces droits devraient être définies clairement par la loi, proportionnées et, en tout état de cause, conformes à la substance de ces droits.

60.

Le CEPD se félicite des références faites dans les propositions à l'applicabilité du règlement (CE) no 45/2001 ainsi qu'aux droits des personnes concernées qui en découlent.

61.

En ce qui concerne la qualité des données et la limitation de la finalité, le CEDP recommande quelques modifications visant à garantir que seules les données nécessaires sont traitées, que ces données sont mises à jour et qu'elles ne sont pas conservées plus longtemps que nécessaire. En particulier, il recommande que des mécanismes effectifs visant à radier une personne physique d'une liste et à réexaminer les listes de l'UE à intervalles réguliers soient mis en œuvre pour toutes les propositions, actuelles et à venir, dans ce domaine.

62.

Le CEPD recommande de réglementer plus explicitement, dans toutes les propositions actuelles et futures relatives à ce domaine, le droit à l'information des personnes inscrites sur des listes, ainsi que les conditions et les modalités des limitations qui peuvent se révéler nécessaires.

63.

Le CEPD recommande vivement au législateur d'aborder, dans les propositions actuelles et futures, la question essentielle du droit des personnes inscrites sur une liste d'accéder aux données à caractère personnel les concernant qui figurent dans des documents classifiés, sous réserve des limitations proportionnées qui pourraient se révéler nécessaires dans certaines circonstances.

64.

Le CEPD recommande au législateur de faire en sorte que des mécanismes et des garanties appropriés — tels que des précisions dans les propositions ou des arrangements avec les Nations unies ou d'autres pays tiers concernés — soient mis en place pour garantir une protection adéquate des données à caractère personnel échangées avec des pays tiers et des organisations internationales.

65.

Le CEPD recommande au législateur de clarifier, dans les propositions ou dans un autre acte législatif, quelles sont les limitations des principes de la protection des données ainsi que les garanties qui peuvent se révéler nécessaires dans le cadre de l'adoption de mesures restrictives, en vue de rendre lesdites limitations prévisibles et proportionnées.

66.

Le CEPD fait observer que le principe de responsabilité en cas de traitement illicite de données à caractère personnel ne peut être compromis ni vidé de sa substance.

67.

Le CEPD recommande de veiller à ce que les voies de recours juridictionnel existantes et le contrôle indépendant exercé par les autorités de contrôle de la protection des données soient pleinement respectés et que leur efficacité ne soit pas compromise par les conditions d'accès aux documents classifiés.