12.1.2017

Journal officiel de l'Union européenne

C 9/3

Résumé de l’avis du Contrôleur européen de la protection des données sur le premier paquet de mesures pour une réforme du régime d’asile européen commun (Eurodac, EASO et règlement de Dublin)

(Le texte complet de l’avis en allemand, en anglais et en français est disponible sur le site internet du CEPD www.edps.europa.eu)

(2017/C 9/04)

Depuis plusieurs années, l’Europe est confrontée à une crise migratoire et des réfugiés dont l’urgence est préoccupante, et qui s’est encore aggravée en 2015. La Commission a par conséquent proposé de réformer le règlement de Dublin afin de l’adapter à la situation actuelle. Cette réforme s’accompagne d’une proposition de création d’une Agence de l’Union européenne pour l’asile, afin d’aider les États membres à accomplir leurs devoirs en matière d’asile.

Depuis sa création, Eurodac permet de fournir des preuves dactyloscopiques en vue de déterminer l’État membre auquel il incombe d’examiner la demande d’asile introduite au sein de l’Union européenne.

La Commission a également proposé une refonte du règlement Eurodac. Le principal changement opéré dans ce règlement concerne l’extension du champ d’application d’Eurodac pour enregistrer les ressortissants de pays tiers se trouvant illégalement sur le territoire d’un État membre ou appréhendés dans le cadre du franchissement irrégulier d’une frontière séparant un État membre d’un pays tiers.

Le Contrôleur européen de la protection des données (CEPD) reconnaît la nécessité d’une gestion plus efficace de la migration et de l’asile dans l’Union européenne. Toutefois, il recommande des améliorations importantes de façon à mieux prendre en considération les droits et intérêts légitimes des personnes concernées susceptibles d’être affectées par le traitement de données à caractère personnel et, notamment, des groupes vulnérables de personnes nécessitant une protection spécifique, comme les migrants et les réfugiés.

Dans son avis, le CEPD recommande, entre autres, les principaux points suivants:

—	mentionner, dans le règlement de Dublin, que l’instauration de l’utilisation d’un identifiant unique dans la base de données de Dublin ne peut en aucun cas servir à d’autres fins que celles décrites dans le règlement de Dublin,

—

mener une évaluation complète des répercussions en matière de protection des données et de respect de la vie privée de la refonte du règlement Eurodac de 2016, afin de mesurer l’incidence sur le respect de la vie privée du nouveau texte proposé et de l’extension du champ d’application de la base de données Eurodac,

—	réaliser, sur la base d’une étude cohérente ou d’une approche fondée sur des données probantes, une évaluation de la nécessité de collecter et d’utiliser les images faciales des catégories de personnes visées dans la refonte du règlement Eurodac de 2016, et de la proportionnalité de cette collecte,

—	effectuer, en complément de l’exposé des motifs, une évaluation détaillée de la situation des mineurs et définir l’équilibre entre les risques et les préjudices inhérents à la procédure de relevé des empreintes digitales des mineurs et les avantages dont ceux-ci peuvent bénéficier.

L’avis définit en outre d’autres lacunes des différentes propositions et contient des recommandations complémentaires en matière de protection des données et de respect de la vie privée, qui devraient être prises en considération au cours du processus législatif.

I. INTRODUCTION ET CONTEXTE

En avril 2016, la Commission a adopté une communication intitulée «Vers une réforme du régime d’asile européen commun et une amélioration des voies d’entrée légale en Europe» (1), qui définissait les priorités aux fins de l’amélioration du régime d’asile européen commun (RAEC). Dans ce contexte, le 4 mai 2016, la Commission a formulé trois propositions dans le cadre du premier paquet de mesures pour la réforme du RAEC:

—

une proposition de règlement du Parlement européen et du Conseil sur l’établissement de critères et mécanismes de détermination de l’État membre responsable de l’examen d’une demande de protection internationale introduite dans l’un des États membres par un ressortissant de pays tiers ou un apatride (ci-après la «proposition sur le règlement de Dublin») (2),

—	une proposition de règlement du Parlement européen et du Conseil relatif à l’Agence de l’Union européenne pour l’asile et abrogeant le règlement (UE) no 439/2010 (ci-après la «proposition sur l’Agence de l’Union européenne pour l’asile» ou «proposition sur l’AUEA») (3), et

—

une proposition de règlement du Parlement européen et du Conseil relatif à la modification du règlement (UE) no 603/2013 concernant la création d’«Eurodac» pour la comparaison des empreintes digitales aux fins de l’application efficace du [règlement (UE) no 604/2013] établissant les critères et mécanismes de détermination de l’État membre responsable de l’examen d’une demande de protection internationale présentée dans l’un des États membres par un ressortissant de pays tiers ou un apatride, et de l’identification des ressortissants de pays tiers ou apatrides en séjour irrégulier, et relatif aux demandes de comparaison avec les données d’Eurodac présentées par les autorités répressives des États membres et par Europol à des fins répressives (refonte 2016) (ci-après «la proposition de refonte du règlement Eurodac de 2016») (4).

Le CEPD a été consulté de façon informelle avant la publication de la refonte du règlement Eurodac et de la proposition sur l’EASO et a transmis à la Commission des observations informelles sur les deux textes.

Le CEPD comprend que l’Union européenne doit relever les défis posés par la crise migratoire et des réfugiés depuis 2015 et disposer d’une politique efficace et harmonisée afin de lutter contre l’immigration illégale au sein de l’Union européenne ou vers celle-ci. Dans le plein respect du rôle du législateur consistant à évaluer la nécessité et la proportionnalité des mesures proposées, le CEPD, dans son rôle consultatif, fournira dans le présent avis certaines recommandations en matière de protection des données et de respect de la vie privée, afin d’aider le législateur à respecter les exigences énoncées aux articles 7 et 8 de la charte des droits fondamentaux, concernant les droits au respect de la vie privée et à la protection des données, ainsi qu’à l’article 16 du traité sur le fonctionnement de l’Union européenne.

Le CEPD formulera en premier lieu les recommandations principales à l’égard des trois propositions. Ces recommandations principales portent sur les problèmes majeurs constatés par le CEPD et qui doivent obligatoirement être examinés lors du processus législatif. Les recommandations complémentaires concernent les éléments pour lesquels le CEPD a estimé qu’une clarification, des informations supplémentaires ou des modifications mineures étaient nécessaires. Cette distinction devrait aider le législateur à donner la priorité aux problèmes majeurs abordés dans le présent avis.

IV. CONCLUSION

68.

Le CEPD salue les efforts réalisés sur le plan de la protection des données dans les différents textes. Il constate que la culture de la protection des données commence à être intégrée au processus législatif et peut également être observée dans la rédaction des propositions.

69.

Dans le plein respect du rôle du législateur pour ce qui est d’apprécier la nécessité et la proportionnalité des mesures proposées, le CEPD, dans son rôle consultatif, formule dans le présent avis certaines recommandations en matière de protection des données et de respect de la vie privée à l’égard des trois propositions examinées.

70.

Concernant la proposition sur le règlement de Dublin, le CEPD exprime son inquiétude à l’égard du fait que l’identifiant unique puisse être utilisé à des fins différentes, comme l’identification des personnes dans d’autres bases de données, rendant la comparaison des bases de données facile et simple. Le CEPD recommande de préciser que toute autre utilisation de l’identifiant doit être interdite.

71.

Concernant la proposition de refonte du règlement Eurodac, le CEPD considère que l’extension du champ d’application d’Eurodac est préoccupante au regard du respect du principe de limitation de la finalité, tel que consacré à l’article 7 de la charte des droits fondamentaux de l’Union européenne. Le CEPD recommande également de préciser davantage les types de mesures autres que l’éloignement et le rapatriement qui pourraient être prises par les États membres sur la base des données d’Eurodac. Le CEPD recommande que la Commission publie une évaluation complète des répercussions en matière de protection des données et de respect de la vie privée dans la refonte du règlement Eurodac de 2016, afin de mesurer l’incidence du texte proposé sur le respect de la vie privée.

72.

Le CEPD est également préoccupé par l’ajout des images faciales: le règlement ne fait référence à aucune évaluation de la nécessité de collecter et d’utiliser les images faciales des catégories de personnes visées dans la proposition de refonte du règlement Eurodac. En outre, le CEPD estime que la proposition doit préciser les cas dans lesquels une comparaison des empreintes digitales et/ou des images faciales est effectuée, dans la mesure où la formulation de la proposition de refonte semble laisser entendre qu’une telle comparaison doit avoir lieu systématiquement.

73.

Le CEPD recommande aussi qu’une évaluation détaillée soit publiée, en complément de l’exposé des motifs, concernant la situation des mineurs, l’équilibre entre les risques et les préjudices inhérents à une telle procédure pour les mineurs et les avantages dont ceux-ci peuvent bénéficier. Dans ce contexte, la signification du relevé des empreintes des mineurs d’une façon adaptée aux enfants doit être mieux définie dans le règlement (c’est-à-dire, dans un considérant).

74.

Concernant la durée de conservation, qui sera en principe de cinq ans, le CEPD recommande de donner plus de détails et d’explications quant aux raisons et à la façon dont une durée de conservation des données de cinq ans a été considérée nécessaire dans ce contexte afin d’atteindre les nouveaux objectifs de la base de données Eurodac. En outre, le CEPD recommande de réduire la durée de conservation à la durée réelle de l’interdiction d’entrée imposée à la personne concernée. Enfin, le CEPD recommande de préciser dans la proposition que le début de la durée de conservation est la date du traitement du premier relevé d’empreintes digitales réalisé par un État membre.

75.

Pour terminer, le CEPD recommande de verrouiller l’ensemble des données à des fins répressives après trois ans et d’arrêter de distinguer les différentes catégories de ressortissants de pays tiers à cet égard.

76.

Au-delà des principales lacunes de la proposition recensées ci-dessus, les recommandations exprimées par le CEPD dans le présent avis concernent les aspects suivants:

—

concernant la proposition de refonte du règlement Eurodac,

—	le CEPD recommande d’indiquer dans le texte de la proposition que la responsabilité finale du traitement des données à caractère personnel incombe aux États membres, qui seront considérés comme les responsables du traitement, au sens de la directive 95/46/CE,

—	l’article 37 doit être réécrit afin de préciser dans quels cas un transfert international est autorisé ou interdit, particulièrement en ce qui concerne le transfert vers le pays d’origine du demandeur,

—	l’article 38, paragraphe 1, doit préciser que seules les données strictement nécessaires aux fins du retour peuvent être transférées par les États membres,

—	la coercition doit être interdite pour obtenir les empreintes digitales des personnes. Ceci doit être précisé dans le règlement Eurodac,

—	dans ce contexte, le CEPD recommande de préciser que la rétention ne saurait être considérée comme une sanction pour le non-respect de l’obligation de fournir des empreintes digitales,

—

l’utilisation de données réelles par eu-LISA à des fins de test est particulièrement préoccupante et ne doit pas être autorisée par le règlement Eurodac. L’autre solution, consistant à utiliser des données fictives, doit être examinée et évaluée par le législateur, en tenant compte du risque pour la vie privée des personnes concernées. En tout état de cause, le texte ne doit pas considérer que les données biométriques peuvent être anonymisées, étant donné qu’elles se rapportent toujours à une personne et sont donc considérées comme des données à caractère personnel,

—	concernant le traitement des informations par eu-LISA, le CEPD recommande de préciser que des mesures de protection adéquates à l’égard de l’accès aux données par des prestataires externes doivent être mises en place,

—

enfin le CEPD salue les efforts visant à s’assurer que l’accès par les autorités répressives est évalué par un organe indépendant. Toutefois, les autorités désignées et les autorités chargées de la vérification ne doivent pas faire partie de la même organisation, afin de préserver l’indépendance de l’autorité chargée de la vérification;

—

concernant la proposition sur l’AUEA,

—	le CEPD recommande de préciser que les experts de l’Agence sont uniquement autorisés à consulter les bases de données dans le respect des actes légaux régissant ces bases de données et des règles en matière de protection des données,

—	le CEPD recommande de préciser davantage ce qui est entendu par «fins administratives» à l’article 30, paragraphe 3, étant donné que tout objectif poursuivi par une administration pourrait correspondre à ce terme,

—

le CEPD recommande d’apporter des précisions quant aux responsabilités pour ce qui est de garantir la sécurité des équipements utilisés par l’Agence, responsabilités qui devraient être définies à toutes les étapes du cycle de vie des équipements, à savoir de leur acquisition à leur destruction, en passant par leur stockage et leur utilisation.

Bruxelles, le 21 septembre 2016.

Giovanni BUTTARELLI

Contrôleur européen de la protection des données

(1) COM(2016) 197 final.

(2) COM(2016) 270 final.

(3) COM(2016) 271 final.

(4) COM(2016) 272 final.