9.6.2022   

FR

Journal officiel de l’Union européenne

C 225/6


Résumé de l’avis du contrôleur européen de la protection des données sur la proposition de règlement relatif à l’échange automatisé de données dans le cadre de la coopération policière («Prüm II»)

(Le texte complet de l'avis en anglais, français et allemand est disponible sur le site Internet du CEPD www.edps.europa.eu)

(2022/C 225/04)

Le 8 décembre 2021, la Commission européenne a adopté une proposition de règlement du Parlement européen et du Conseil relatif à l’échange automatisé de données dans le cadre de la coopération policière («Prüm II»), modifiant les décisions 2008/615/JAI et 2008/616/JAI du Conseil et les règlements (UE) 2018/1726, 2019/817 et 2019/818 du Parlement européen et du Conseil (les «décisions Prüm»). La proposition fait partie d’un paquet législatif plus vaste, dénommé «code de coopération policière de l’UE», qui comprend également une proposition de directive du Parlement européen et du Conseil relative à l’échange d’informations entre les services répressifs des États membres (sous réserve d’un avis distinct du CEPD) et une proposition de recommandation du Conseil relative à la coopération policière opérationnelle.

L’objectif de la proposition est de renforcer la coopération en matière répressive et, en particulier, l’échange d’informations entre les autorités compétentes chargées de la prévention et de la détection des infractions pénales, ainsi que des enquêtes en la matière, en définissant les conditions et les procédures applicables à la consultation automatisée de profils ADN, de données dactyloscopiques (empreintes digitales), d’images faciales, de registres de la police et de certaines données relatives à l’immatriculation des véhicules, ainsi qu’à l’échange de données à la suite d’une correspondance.

Bien que le CEPD comprenne la nécessité pour les services répressifs de bénéficier des meilleurs outils juridiques et techniques possibles pour la détection et la prévention des infractions pénales ainsi que des enquêtes en la matière, il note que le nouveau cadre Prüm proposé ne définit pas clairement les éléments essentiels de l’échange de données, tels que les types d’infractions, qui peuvent justifier une requête, et n’est pas suffisamment clair quant à l’étendue des personnes concernées affectées par l’échange automatisé de données, par exemple si les bases de données, qui font l’objet d’une requête, ne contiennent que des données de suspects et/ou de personnes reconnues coupables, ou également des données d’autres personnes concernées, telles que les victimes ou les témoins.

Le CEPD estime, en particulier, que la consultation automatisée de profils ADN et d’images faciales ne devrait être possible que dans le cadre d’enquêtes individuelles sur des infractions pénales graves, plutôt que sur toute infraction pénale, comme le prévoit la proposition. En outre, le CEPD juge nécessaire d’introduire dans la proposition des exigences et conditions communes applicables aux données figurant dans les bases de données nationales qui sont rendues accessibles aux fins de recherches automatisées, en tenant dûment compte de l’obligation, prévue à l’article 6 de la directive (UE) 2016/680 en matière de protection des données dans le domaine répressif, d’établir une distinction entre les différentes catégories de personnes concernées (c’est-à-dire les criminels reconnus coupables, les suspects, les victimes, etc.).

Le CEPD est également préoccupé par les conséquences de la consultation et de l’échange automatisés proposés de registres de la police sur les droits fondamentaux des personnes concernées. Il estime que la nécessité de la consultation et de l’échange automatisés de données des registres de la police n’est pas suffisamment démontrée. Si une telle mesure est néanmoins adoptée, même sur une base volontaire, des garanties solides supplémentaires seraient alors nécessaires pour respecter le principe de proportionnalité. En particulier, compte tenu des problèmes de qualité des données, le futur règlement devrait, entre autres, définir explicitement les types et/ou la gravité des infractions susceptibles de justifier une requête automatisée dans les casiers judiciaires nationaux.

En ce qui concerne l’inclusion d’Europol dans le cadre Prüm, le CEPD estime que les observations et recommandations qu’il a formulées dans son avis 4/2021 sur la proposition de modification du règlement Europol restent parfaitement valables dans le cadre de la coopération Prüm, en particulier celles relatives au « défi des mégadonnées », à savoir le traitement par l’Agence d’ensembles de données vastes et complexes. Le CEPD souhaite rappeler deux des messages clés figurant dans l’avis sur Europol: des pouvoirs renforcés devraient toujours aller de pair avec un contrôle renforcé et, tout aussi important, les exceptions applicables sous la forme de dérogations ne devraient pas être autorisées à devenir la règle.

La proposition prévoit une architecture complexe de consultation et d’échange automatisés de données au titre du cadre Prüm, comportant trois solutions techniques distinctes, élaborées et gérées par trois entités différentes. Le CEPD estime que la proposition devrait être plus explicite quant à la responsabilité du traitement des données à caractère personnel, en particulier dans EUCARIS, qui n’est pas fondé sur le droit de l’UE et a un caractère intergouvernemental. De plus, le CEPD estime que, compte tenu de l’ampleur et de la sensibilité du traitement des données à caractère personnel, le modèle de gouvernance horizontal proposé du cadre Prüm n’est pas approprié et devrait être encore renforcé, par exemple en attribuant un rôle central de coordination à une entité de l’UE, comme la Commission.

En outre, dans un souci de sécurité juridique, le CEPD considère que le lien entre les règles de protection des données contenues dans la proposition et le cadre juridique existant en matière de protection des données dans l’UE, en particulier la directive en matière de protection des données dans le domaine répressif et le règlement (UE) 2018/1725 («RPDUE»), devrait être explicitement clarifié.

Par ailleurs, le présent avis analyse et formule des recommandations sur un certain nombre d’autres questions spécifiques, telles que le lien entre le cadre Prüm et le cadre d’interopérabilité, le transfert de données vers des pays tiers et à des organisations internationales ou le contrôle des opérations de traitement aux fins de la coopération Prüm.

1.   INTRODUCTION

1.

Le 8 décembre 2021, la Commission européenne a adopté une proposition de règlement du Parlement européen et du Conseil relatif à l’échange automatisé de données dans le cadre de la coopération policière («Prüm II»), modifiant les décisions 2008/615/JAI et 2008/616/JAI du Conseil et les règlements (UE) 2018/1726, 2019/817 et 2019/818 du Parlement européen et du Conseil (la «proposition») (1).

2.

La proposition fait partie d’un paquet législatif plus vaste, dénommé «code de coopération policière de l’UE», qui comprend également:

une proposition de directive du Parlement européen et du Conseil relative à l’échange d’informations entre les services répressifs des États membres, abrogeant la décision-cadre 2006/960/JAI du Conseil (2), et

une proposition de recommandation du Conseil relative à la coopération policière opérationnelle (3).

3.

L’objectif du code de coopération policière de l’UE, comme l’indique la Commission, est de renforcer la coopération en matière répressive entre les États membres et, en particulier, l’échange d’informations entre les autorités compétentes (4). À cet égard, la proposition établit les conditions et procédures applicables à la consultation automatisée de profils ADN, de données dactyloscopiques (empreintes digitales), d’images faciales, de registres de la police et de certaines données relatives à l’immatriculation des véhicules, ainsi qu’à l’échange de données à la suite d’une correspondance entre les autorités chargées de la prévention et de la détection des infractions pénales, ainsi que des enquêtes en la matière.

4.

La proposition ainsi que, plus généralement, le code de coopération policière de l’UE sont liés aux objectifs politiques poursuivis par plusieurs documents stratégiques de l’UE dans le domaine de la justice et des affaires intérieures, en particulier la stratégie de l’UE pour l’union de la sécurité (5), la stratégie de l’UE visant à lutter contre la criminalité organisée (2021-2025) (6) et la stratégie de 2021 relative à l’espace Schengen (7). En outre, les propositions établissant le code de coopération policière devraient être examinées à la lumière de la réforme en cours d’Europol et du rôle de plus en plus important de l’Agence en tant que centre de renseignements de l’Union sur la criminalité, qui collecte et traite un volume croissant de données (8).

5.

Le 5 janvier 2022, la Commission a consulté le CEPD sur la proposition de règlement Prüm II, en application de l’article 42, paragraphe 1, du règlement (UE) 2018/1725. Les observations et recommandations contenues dans le présent avis se limitent aux dispositions les plus pertinentes de la proposition du point de vue de la protection des données.

4.   CONCLUSIONS

73.

Le nouveau cadre Prüm proposé n’établit pas clairement les composantes essentielles de l’échange de données, telles que les types d’infractions pénales qui peuvent justifier une requête (recherche), en particulier de profils ADN, c’est-à-dire toute infraction pénale ou uniquement les infractions plus graves. En outre, la proposition n’indique pas clairement l’étendue des personnes concernées par l’échange automatisé de données, c’est-à-dire si les bases de données faisant l’objet d’une requête ne contiennent que les données de suspects et/ou de personnes reconnues coupables, ou également les données d’autres personnes concernées, telles que des victimes ou des témoins.

74.

Afin de garantir la nécessité et la proportionnalité de l’ingérence dans le droit fondamental à la protection des données à caractère personnel, à la lumière de l’article 52, paragraphe 1, de la Charte, il est essentiel de préciser le champ d’application personnel et matériel des mesures, c’est-à-dire les catégories de personnes concernées qui seront directement affectées, ainsi que les conditions objectives susceptibles de justifier une recherche automatisée dans les bases de données d’autres États membres ou d’Europol.

75.

Le CEPD estime, en particulier, que la consultation automatisée de profils ADN et d’images faciales ne devrait être possible que dans le cadre d’enquêtes individuelles sur des infractions pénales graves, plutôt que sur toute infraction pénale, comme le prévoit la proposition. En outre, conformément à l’obligation prévue à l’article 6 de la directive en matière de protection des données dans le domaine répressif d’établir une distinction entre les différentes catégories de personnes concernées, la proposition devrait prévoir une limitation des catégories de personnes concernées dont les profils ADN et les images faciales, stockés dans les bases de données nationales, devraient être rendus accessibles pour des consultations automatisées, compte tenu notamment de la limitation de la finalité inhérente aux données provenant d’autres catégories que les criminels reconnus coupables ou les suspects.

76.

Le CEPD estime que la nécessité de la consultation et de l’échange automatisés proposés des données des registres de la police n’est pas suffisamment démontrée. Si une telle mesure était néanmoins adoptée, même sur une base volontaire, des garanties supplémentaires solides seraient nécessaires pour respecter le principe de proportionnalité. En particulier, compte tenu des problèmes de qualité des données, qui ne peuvent être résolus par des mesures techniques telles que la seule pseudonymisation, le futur règlement devrait à tout le moins déterminer les types et/ou la gravité des infractions pénales susceptibles de justifier une consultation automatisée des registres nationaux de la police.

77.

En ce qui concerne l’inclusion d’Europol dans le cadre Prüm, le CEPD est d’avis que les observations et recommandations qu’il a formulées dans son avis 4/2021 sur la proposition de modification du règlement Europol restent parfaitement valables dans le cadre de la coopération Prüm, en particulier celles relatives au traitement par l’Agence d’ensembles de données vastes et complexes. En outre, le CEPD recommande de clarifier le champ d’application personnel, c’est-à-dire de préciser les catégories de personnes concernées qui font l’objet de requêtes au titre des articles 49 et 50, ainsi que d’aligner les durées de conservation des registres, afin de garantir la cohérence avec le règlement Europol.

78.

La proposition prévoit une architecture complexe de consultation et d’échange automatisés de données au titre du cadre Prüm, comportant trois solutions techniques distinctes, élaborées et gérées par trois entités différentes. En outre, l’un d’entre eux – EUCARIS – n’est pas fondé sur un acte juridique de l’UE, mais a un caractère intergouvernemental. Toutefois, le CEPD estime que la proposition devrait aborder explicitement la responsabilité du traitement des données à caractère personnel dans EUCARIS. De plus, le CEPD considère que, compte tenu de l’ampleur et de la sensibilité du traitement des données à caractère personnel, le modèle de gouvernance horizontal proposé du cadre Prüm n’est pas approprié et devrait être encore renforcé, par exemple en attribuant un rôle central de coordination à une entité de l’UE, comme la Commission.

79.

Un autre élément important de la proposition, qui requiert une analyse approfondie de ses implications en matière de droits fondamentaux, est l’alignement du cadre Prüm sur le cadre d’interopérabilité des systèmes d’information de l’UE dans le domaine de la justice et des affaires intérieures. Le CEPD invite le colégislateur à examiner la nécessité de prévoir des règles supplémentaires à cet égard, par exemple dans un acte d’exécution ou un acte délégué, qui devraient répondre à des défis spécifiques tels que la qualité et la performance des algorithmes de mise en correspondance pour les images faciales.

80.

Compte tenu du fait que la base juridique de la proposition comprend, entre autres, l’article 16 du TFUE, par souci de clarté et de sécurité, le CEPD recommande de préciser dans la proposition que les dispositions relatives à la protection des données figurant au chapitre 6 sont sans préjudice de l’application de la directive en matière de protection des données dans le domaine répressif et du RPDUE en ce qui concerne le traitement des données à caractère personnel dans le cadre de la coopération en matière répressive relevant du cadre Prüm.

81.

En outre, le CEPD estime que l’obligation d’effectuer des audits réguliers des opérations de traitement de données à caractère personnel aux fins du règlement Prüm II devrait être étendue et couvrir également les opérations de traitement de données à caractère personnel au niveau national. Dans ce contexte, le CEPD recommande que l’article 60, paragraphe 2, de la proposition fasse référence, de manière générale, aux compétences du CEPD, conformément à l’article 58 du RPDUE, et pas seulement à certains d’entre eux.

Bruxelles, le 2 mars 2022

Wojciech Rafał WIEWIÓROWSKI


(1)  COM(2021) 784 final.

(2)  COM(2021) 782 final.

(3)  COM(2021) 780 final.

(4)  https://ec.europa.eu/home-affairs/news/boosting-police-cooperation-across-borders-enhanced-security-2021-12-08_en

(5)  Communication de la Commission relative à la stratégie de l’UE pour l’union de la sécurité, COM(2020)605 final.

(6)  Communication de la Commission relative à la stratégie de l’UE visant à lutter contre la criminalité organisée (2021-2025), COM(2021)170 final.

(7)  Communication de la Commission «Une stratégie pour un espace Schengen pleinement opérationnel et résilient», COM(2021)277 final.

(8)  Pour de plus amples informations, voir avis 4/2021 du CEPD, https://edps.europa.eu/system/files/2021-03/21-03-08_opinion_europol_reform_en.pdf