Résumé de l’avis du contrôleur européen de la protection des données sur la recommandation de décision du Conseil autorisant l’ouverture de négociations en vue d’un accord de coopération entre l’Union européenne (UE) et INTERPOL

(Le texte complet de l’avis en anglais, français et allemand est disponible sur le site Internet du CEPDwww.edps.europa.eu)

(2021/C 251/06)

Le 14 avril 2021, la Commission européenne a adopté une recommandation de décision du Conseil autorisant l’ouverture de négociations en vue d’un accord de coopération entre l’Union européenne et l’Organisation internationale de police criminelle (O.I.P.C.-Interpol).

Malgré la coopération déjà en place avec Interpol, la Commission a recensé des domaines dans lesquels la coopération pourrait et devrait être intensifiée, voire mise en place dans de nouveaux domaines, aux fins de répondre à une série de besoins opérationnels indispensables et de mettre en œuvre les actes juridiques existants, dans le but de mieux aider les États membres à prévenir et à combattre le terrorisme et la criminalité organisée. Ces besoins opérationnels nécessitent la conclusion d’un accord de coopération avec Interpol.

Le CEPD tient à souligner que l’objectif consistant à soutenir la coopération (actuelle et future) entre l’Union européenne et Interpol dans le cadre d’un large éventail d’activités s’inscrivant dans un instrument juridique unique rend l’accord envisagé très hétérogène par nature. Il insiste dès lors sur la nécessité d’une analyse d’impact approfondie et souligne que cette approche ne devrait pas conduire à affaiblir les libertés et droits fondamentaux des personnes physiques, plus particulièrement leurs droits à la protection des données et au respect de la vie privée.

Le régime juridique de l’Union en matière de protection des données prévoit, en principe, que les transferts de données vers une organisation internationale ne peuvent avoir lieu sans exigences supplémentaires que si cette organisation internationale garantit un niveau de protection adéquat. Lorsque l’organisation internationale n’a pas été déclarée adéquate, des exceptions s’appliquent aux transferts spécifiques, jusqu’à ce que les garanties appropriées soient apportées. En conséquence, le CEPD formule également trois recommandations principales pour garantir que l’accord envisagé soit en mesure de fournir des garanties appropriées:

—

Il convient de préciser dans les directives de négociation qu’il est nécessaire de veiller à ce que l’accord envisagé soit globalement conforme à la Charte, à la législation horizontale pertinente en matière de protection des données [règlement (UE) 2018/1725, règlement (UE) 2016/679 et directive (UE) 2016/680] et aux exigences et garanties spécifiques en matière de protection des données prévues dans les actes de base instituant les agences ou systèmes informatiques de l’UE.

—	Le futur accord devrait préciser explicitement qu’il n’y aura pas d’accès réciproque, direct ou indirect, d’Interpol aux bases de données de l’UE.

—	Dans le contexte des transferts ultérieurs, il convient de prévoir explicitement que les données à caractère personnel transférées par l’UE à Interpol ne seront pas utilisées pour demander, prononcer ni exécuter une peine de mort ou toute forme de traitement cruel et inhumain.

Enfin, le CEPD recommande que les visas cités dans le préambule de la recommandation fassent non seulement référence à la base juridique procédurale adéquate mais également à la base juridique matérielle pertinente, notamment à l’article 16 du TFUE, qui traite de l’objet du futur accord.

Le CEPD reste également disposé à fournir des conseils supplémentaires au cours des négociations et de la consultation formelle qui doit avoir lieu sur la proposition soumise au Conseil en vue de la signature et de la conclusion de l’accord au titre de l’article 218 du TFUE, conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725.

1.   INTRODUCTION ET CONTEXTE

1.

L’Organisation internationale de police criminelle (Interpol) (1), qui compte 194 pays membres, est la plus grande organisation intergouvernementale de police criminelle au monde. L’UE et Interpol entretiennent déjà une coopération étroite et de longue date dans toute une série de domaines liés à l’application de la loi. Interpol constitue un partenaire essentiel de l’UE dans le domaine de la sécurité intérieure et extérieure, notamment dans la lutte contre le terrorisme et la criminalité organisée, ainsi que dans la gestion intégrée des frontières.

2.

La stratégie de 2020 de l’UE pour l’union de la sécurité (2) invite les États membres à intensifier la coopération entre l’Union et Interpol, car un tel renforcement est essentiel pour améliorer la coopération et l’échange d’informations. Cette stratégie reconnaît qu’Interpol a un rôle important à jouer à cet égard. Outre la coopération déjà en place avec Interpol, des domaines dans lesquels la coopération pourrait être renforcée ou même mise en place pour répondre à une série de besoins opérationnels et pour mettre en œuvre les actes juridiques existants ont été recensés, dans le but de mieux aider les États membres à prévenir et à combattre le terrorisme et la criminalité organisée.

3.

En conséquence, le 14 avril 2021, la Commission a adopté une recommandation de décision du Conseil autorisant l’ouverture de négociations en vue d’un accord de coopération entre l’Union européenne et Interpol (3) (ci-après la «recommandation»).

4.

L’exposé des motifs (4) de la proposition précise que l’accord de coopération entre l’Union et Interpol envisagé poursuivrait les objectifs suivants: — Réglementer la coopération entre l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) (5) et Interpol, compte tenu des dernières évolutions en date dans la lutte contre le terrorisme et la grande criminalité organisée transfrontière et transnationale, des besoins opérationnels actuels, du mandat d’Europol et du régime de protection des données de l’UE le plus récent. — Fournir les mesures de sauvegarde et les garanties nécessaires pour autoriser l’accès contrôlé des États membres de l’UE et agences de l’UE aux bases de données d’Interpol sur les documents de voyage volés ou perdus (SLTD) et sur les documents de voyage associés aux notices (TDAWN), par l’intermédiaire du portail de recherche européen (ESP), dans la mesure nécessaire à l’accomplissement de leurs tâches, conformément à leurs droits d’accès, à la législation de l’UE ou à la législation nationale régissant un tel accès, et dans le strict respect des exigences de l’UE en matière de protection des données et des droits fondamentaux (6). — Fournir les mesures de sauvegarde et les garanties nécessaires pour autoriser les États membres de l’UE et Frontex (7) [plus précisément l’unité centrale du système européen d’information et d’autorisation concernant les voyages (ETIAS)] à accéder aux bases de données d’Interpol par l’intermédiaire de l’ESP, conformément aux exigences de l’UE en matière de protection des données et aux droits fondamentaux. — Fournir les mesures de sauvegarde et les garanties nécessaires à la mise en œuvre d’un règlement révisé concernant le système d’information sur les visas (8), qui autorise les États membres de l’UE à accéder aux bases de données SLTD et TDAWN par l’intermédiaire de l’ESP lors de l’examen des demandes de visa ou de titre de séjour, dans le plein respect des exigences de l’UE en matière de protection des données et des droits fondamentaux. — Instaurer et réglementer la coopération entre le Parquet européen, créé par le règlement (UE) 2017/1939 (le «règlement du Parquet européen») (9), et Interpol, conformément à leurs mandats respectifs, et dans le strict respect des exigences de l’UE en matière de protection des données et des droits fondamentaux. — Établir la base juridique pour autoriser Europol, le personnel de catégorie 1 de Frontex (personnel statutaire du contingent permanent (10)) et le Parquet européen à accéder aux bases de données pertinentes d’Interpol afin de s’acquitter de leurs tâches, dans le strict respect des exigences de l’UE en matière de protection des données et des droits fondamentaux. — Établir la base juridique pour autoriser Eurojust (11) et le Parquet européen à échanger des informations opérationnelles avec Interpol, dans le strict respect des exigences de l’UE en matière de protection des données et des droits fondamentaux.

5.

Conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725, la Commission doit consulter le CEPD à la suite de l’adoption d’une recommandation au Conseil en vertu de l’article 218 du TFUE en cas d’incidence sur la protection des droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel. Le CEPD a également été consulté de manière informelle au cours du processus d’élaboration de la recommandation et a communiqué ses observations informelles en août 2020. Il se réjouit que son avis ait été sollicité (et mis en œuvre dans une certaine mesure) à un stade précoce de la procédure et encourage la Commission à maintenir cette bonne pratique.

6.

Le CEPD a été consulté officiellement par la Commission le 14 avril 2021 et espère qu’une référence au présent avis sera intégrée dans le préambule de la décision du Conseil. Le présent avis est sans préjudice de toute observation ou recommandation supplémentaire ultérieure du CEPD, notamment si de nouvelles problématiques sont mises au jour, si de nouvelles informations sont disponibles et si une consultation formelle doit avoir lieu sur les propositions soumises au Conseil en vue de la signature et de la conclusion de l’accord au titre de l’article 218 du TFUE, conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725. Sur ce point, le CEPD se félicite du considérant 19 de la recommandation, selon lequel la Commission devrait le consulter au cours de la négociation de l’accord ou, en tout état de cause, avant la conclusion de l’accord. En outre, le présent avis est sans préjudice de toute action future que pourrait entreprendre le CEPD dans l’exercice des pouvoirs que lui confère l’article 58 du règlement (UE) 2018/1725.

5.   CONCLUSIONS

43.

Le CEPD se félicite que l’accord devrait garantir le strict respect des droits fondamentaux et observer les principes qui sont consacrés par la Charte, en particulier le droit à la vie privée et familiale, prévu à l’article 7 de la Charte, le droit à la protection des données à caractère personnel, prévu à l’article 8 de la Charte, et le droit à un recours effectif et à accéder à un tribunal impartial, consacrés par l’article 47 de la Charte.

44.

Il convient cependant de préciser dans le mandat que l’accord devrait inclure les trois niveaux de conformité suivants: — de manière générale, avec la Charte; — avec la législation horizontale pertinente en matière de protection des données: avec le règlement (UE) 2018/1725, la directive (UE) 2016/680 et le règlement (UE) 2016/679; — avec les exigences et garanties spécifiques en matière de protection des données prévues dans les actes de base instituant les agences ou systèmes informatiques de l’UE.

45.

En outre, l’objectif consistant à soutenir une coopération (existante et à venir) importante entre l’UE et Interpol au moyen d’un instrument juridique unique rend l’accord envisagé très hétérogène par nature, englobant un large éventail d’activités. Le CEPD insiste dès lors sur la nécessité d’une analyse d’impact approfondie et souligne que cette approche ne devrait pas conduire à affaiblir les libertés et droits fondamentaux des personnes physiques, plus particulièrement leurs droits à la protection des données et à la vie privée.

46.

En l’absence de décision d’adéquation concernant Interpol, l’accord envisagé pourrait constituer une base juridique permettant le transfert de données à caractère personnel à Interpol à la condition qu’il soit juridiquement contraignant et opposable à toutes les parties à l’accord et qu’il s’accompagne de mesures de sauvegarde appropriées en matière de protection des données.

47.

Le CEPD estime que la mise en place de mesures de sauvegarde appropriées implique que l’accord international conclu avec Interpol devrait: — veiller au respect des mesures de sauvegarde introduites dans la législation existante de l’UE pour ce qui concerne le transfert par les agences et organes de l’UE concernés et les transferts ultérieurs de données à caractère personnel, y compris les dispositions spécifiques relatives aux transferts de données opérationnelles par Europol et le Parquet européen. Plus particulièrement, dans le contexte des transferts ultérieurs, il convient de prévoir explicitement que les données à caractère personnel transférées par l’UE à Interpol ne seront pas utilisées pour demander, prononcer ni exécuter une peine de mort ou toute forme de traitement cruel et inhumain; — préciser explicitement qu’il n’y aura pas d’accès réciproque, direct ou indirect, d’Interpol aux bases de données de l’UE; — préciser quand et dans quelles circonstances des décisions individuelles automatisées sont autorisées (ou non); — offrir davantage de détails sur l’obligation d’Interpol de notifier une violation de données à caractère personnel; — fournir davantage de détails opérationnels sur les mesures techniques et organisationnelles prises pour assurer la sécurité des données à caractère personnel.

48.

Qui plus est, le CEPD recommande de préciser dans le mandat la possibilité de suspendre ou de dénoncer l’accord en cas de violation de ses dispositions relatives aux données à caractère personnel par l’une des parties et que les données à caractère personnel relevant du champ d’application de l’accord transférées avant sa suspension ou sa dénonciation peuvent continuer à être traitées conformément à l’accord.

49.

Pour finir, le CEPD recommande que les visas cités dans le préambule de la décision du Conseil fassent non seulement référence à la base juridique procédurale adéquate mais également à la base juridique matérielle pertinente, notamment à l’article 16 du TFUE.

---

(1)  Statut de l’O.I.P.C.-Interpol [I/CONS/GA/1956 (2017)].

(2)  Communication de la Commission au Parlement européen, au Conseil européen, au Comité économique et social européen et au Comité des régions relative à la stratégie de l’UE pour l’union de la sécurité, Bruxelles, 24 juillet 2020, COM(2020) 605 final.

(3)  COM(2021) 177 final.

(4)  Page 8.

(5)  Règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI (JO L 135 du 24.5.2016, p. 53) (le «règlement Europol»). Ainsi que cela est indiqué dans l’exposé des motifs, un accord de coopération avec Interpol qui prévoit l’échange de données à caractère personnel a déjà été conclu en 2001, bien avant l’entrée en vigueur du règlement Europol. Toutefois, l’accord ne permet pas à Europol d’accéder directement ou indirectement aux informations et aux bases de données d’Interpol, et notamment aux notices contenant des informations sur les terroristes. En outre, l’Agence ne peut échanger des informations avec Interpol et avoir accès à ses bases de données pour l’exécution de ses tâches que par l’intermédiaire de l’officier de liaison d’Interpol détaché auprès d’elle ou de son officier de liaison détaché auprès d’Interpol. Cet accord a été complété ultérieurement par plusieurs documents relatifs à la coopération approuvés par les organisations ou conclus entre elles, concernant, par exemple, la coopération par l’intermédiaire des officiers de liaison et l’établissement, la mise en œuvre et l’exploitation d’une ligne de communication sécurisée pour l’échange d’informations.

(6)  Après l’adoption des règlements relatifs à l’interopérabilité des systèmes d’information de l’UE dans le domaine des frontières et des visas, à savoir le règlement (UE) 2019/817 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d’un cadre pour l’interopérabilité des systèmes d’information de l’UE dans le domaine des frontières et des visas et modifiant les règlements (CE) no 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 et (UE) 2018/1861 du Parlement européen et du Conseil et les décisions 2004/512/CE et 2008/633/JAI du Conseil (JO L 135 du 22.5.2019, p. 27) et le règlement (UE) 2019/818 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d’un cadre pour l’interopérabilité des systèmes d’information de l’UE dans le domaine de la coopération policière et judiciaire, de l’asile et de l’immigration et modifiant les règlements (UE) 2018/1726, (UE) 2018/1862 et (UE) 2019/816 (JO L 135 du 22.5.2019, p. 85).

(7)  Frontex désigne l’Agence européenne de garde-frontières et de garde-côtes. Règlement (UE) 2019/1896 du Parlement européen et du Conseil du 13 novembre 2019 relatif au corps européen de garde-frontières et de garde-côtes et abrogeant les règlements (UE) no 1052/2013 et (UE) 2016/1624 (JO L 295 du 14.11.2019, p. 1) (le «règlement Frontex»).

(8)  Règlement (CE) no 767/2008 du Parlement européen et du Conseil du 9 juillet 2008 concernant le système d’information sur les visas (VIS) et l’échange de données entre les États membres sur les visas de court séjour (règlement VIS) (JO L 218 du 13.8.2008, p. 60); proposition de règlement du Parlement européen et du Conseil modifiant le règlement (CE) no 767/2008, le règlement (CE) no 810/2009, le règlement (UE) 2017/2226, le règlement (UE) 2016/399, le règlement (UE) XX/2018 [règlement sur l’interopérabilité] et la décision 2004/512/CE et abrogeant la décision 2008/633/JAI du Conseil (COM/2018/302 final) et voir accord politique: https://data.consilium.europa.eu/doc/document/ST-5537-2021-INIT/en/pdf

(9)  Règlement (UE) 2017/1939 du Conseil du 12 octobre 2017 mettant en œuvre une coopération renforcée concernant la création du Parquet européen (JO L 283 du 31.10.2017, p. 1) (le « règlement du Parquet européen »).

(10)  Conformément à l’article 54 du règlement Frontex, le contingent permanent du corps de garde-frontières et de garde-côtes européens se compose de quatre catégories de personnel opérationnel. La catégorie 1 comprend les membres du personnel statutaire déployés en tant que membres des équipes dans des zones d’opération, conformément à l’article 55 dudit règlement. L’Agence contribue au contingent permanent en mettant à disposition des membres de son personnel statutaire (catégorie 1) destinés à être déployés dans des zones d’opération en tant que membres des équipes accomplissant les tâches et exerçant les compétences prévues à l’article 82 dudit règlement. Leurs missions comprennent la lutte contre la criminalité transfrontalière et le terrorisme.

(11)  Règlement (UE) 2018/1727 du Parlement européen et du Conseil du 14 novembre 2018 relatif à l’Agence de l’Union européenne pour la coopération judiciaire en matière pénale (Eurojust) et remplaçant et abrogeant la décision 2002/187/JAI du Conseil (JO L 295 du 21.11.2018, p. 138) (le règlement «Eurojust»).