COMMISSION EUROPÉENNE
Bruxelles, le 11.5.2023
COM(2023) 244 final
2023/0143(COD)
Proposition de
RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL
modifiant la décision 2009/917/JAI du Conseil en ce qui concerne sa mise en conformité avec les règles de l’Union relatives à la protection des données à caractère personnel
EXPOSÉ DES MOTIFS
1.CONTEXTE DE LA PROPOSITION
•Justification et objectifs de la proposition
La directive (UE) 2016/680 1 (ci-après la «directive en matière de protection des données dans le domaine répressif») est entrée en vigueur le 6 mai 2016 et les États membres avaient jusqu’au 6 mai 2018 pour la transposer en droit national. Elle a abrogé et remplacé la décision-cadre 2008/977/JAI du Conseil 2 , mais elle constitue un instrument de protection des données à caractère personnel beaucoup plus complet. La directive s’applique en particulier aux traitements nationaux et transfrontières de données à caractère personnel effectués par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces (article 1er, paragraphe 1).
En vertu de l’article 62, paragraphe 6, de la directive en matière de protection des données dans le domaine répressif, la Commission était tenue de réexaminer, au plus tard le 6 mai 2019, d’autres actes juridiques adoptés par l’Union qui réglementent le traitement des données à caractère personnel par les autorités compétentes à des fins répressives, afin d’apprécier la nécessité de les mettre en conformité avec ladite directive et de formuler, le cas échéant, les propositions nécessaires en vue de modifier ces actes pour assurer une approche cohérente de la protection des données à caractère personnel dans le cadre de la directive précitée.
La Commission a exposé les résultats de son réexamen dans une communication intitulée «Marche à suivre en ce qui concerne la mise en conformité de l’acquis de l’ancien troisième pilier avec les règles en matière de protection des données» (24 juin 2020) 3 , qui mentionne dix actes juridiques qui devraient être alignés sur la directive en matière de protection des données dans le domaine répressif. Dans cette liste figure la décision 2009/917/JAI du Conseil sur l’emploi de l’informatique dans le domaine des douanes 4 .
La proposition vise à mettre en conformité les règles régissant la protection des données de la décision 2009/917/JAI du Conseil avec les principes et règles prévus par la directive en matière de protection des données dans le domaine répressif afin de mettre en place un cadre de protection des données à caractère personnel solide et cohérent dans l’Union.
•Cohérence avec les dispositions existantes dans le domaine d’action
Le système d’information des douanes, établi par la décision 2009/917/JAI du Conseil, est un système d’information automatisé qui répond aux besoins des douanes, dont l’objectif est d’aider à prévenir, rechercher et poursuivre les infractions graves aux lois nationales en rendant les données plus rapidement disponibles et de renforcer l’efficacité des administrations douanières. La proposition vise à mettre en conformité les règles régissant la protection des données de la décision 2009/917/JAI du Conseil avec les principes et règles prévus par la directive en matière de protection des données dans le domaine répressif afin de mettre en place un cadre de protection des données à caractère personnel solide et cohérent dans l’Union.
•Cohérence avec les autres politiques de l’Union
s.o.
2.BASE JURIDIQUE, SUBSIDIARITÉ ET PROPORTIONNALITÉ
•Base juridique
La protection des personnes physiques à l’égard du traitement des données à caractère personnel les concernant est un droit fondamental consacré par l’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après la «charte»).
La proposition est fondée sur l’article 16, paragraphe 2, du traité sur le fonctionnement de l’Union européenne (TFUE), qui constitue la base juridique la plus appropriée étant donné que l’objectif et le contenu de la modification proposée sont clairement limités à la protection des données à caractère personnel.
L’article 16, paragraphe 2, du TFUE permet l’adoption de règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes des États membres dans l’exercice d’activités de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ou d’exécution de sanctions pénales qui relèvent du champ d’application du droit de l’Union. Il autorise également l’adoption de règles en matière de libre circulation des données à caractère personnel, notamment en ce qui concerne les échanges de données à caractère personnel par les autorités compétentes au sein de l’Union.
Conformément à l’article 2 bis du protocole nº 22 sur la position du Danemark, annexé au traité sur l’Union européenne (TUE) et au traité sur le fonctionnement de l’Union européenne (TFUE), le Danemark ne sera pas lié par les règles fixées sur la base de l’article 16 du TFUE qui concernent le traitement des données à caractère personnel dans l’exercice d’activités qui relèvent du champ d’application des chapitres 4 et 5 du titre IV de la troisième partie du TFUE. Par conséquent, le Danemark ne sera pas lié par la présente proposition de règlement et continuera d’appliquer la décision du Conseil en l’état actuel, c’est-à-dire sans les modifications proposées dans le présent texte.
Il en découle, entre autres, que l’autorité de contrôle commune visée à l’article 25 de la décision du Conseil continuera formellement d’exister, uniquement pour le Danemark. Parallèlement, en raison de la proposition de suppression de cet article et de la proposition de modification de l’article 26 introduisant le modèle de contrôle coordonné prévu à l’article 62 du règlement (UE) 2018/1725, l’existence de ladite autorité de contrôle ne produira aucun effet à l’égard des autres États membres ou du système d’information des douanes en tant que tel. Étant donné que la présente proposition se limite à mettre en conformité la décision du Conseil avec la directive en matière de protection des données dans le domaine répressif, ce résultat est une conséquence inévitable de l’exercice de mise en conformité requis au titre de ladite directive et des contraintes découlant du protocole nº 22. À l’avenir, lorsqu’une évaluation plus large de la décision du Conseil se justifiera, la Commission réexaminera cette question.
Conformément à l’article 6 bis du protocole nº 21 sur la position du Royaume-Uni et de l’Irlande à l’égard de l’espace de liberté, de sécurité et de justice, l’Irlande ne sera pas liée par des règles fixées sur la base de l’article 16 du TFUE, lorsque l’Irlande n’est pas liée par des règles qui régissent des formes de coopération judiciaire en matière pénale ou de coopération policière dans le cadre desquelles les dispositions fixées sur la base de l’article 16 doivent être respectées. Étant donné que l’Irlande participe à la décision 2009/917/JAI du Conseil, elle participera également à l’adoption de la présente proposition.
•Subsidiarité (en cas de compétence non exclusive)
L’objet du présent règlement relève de la compétence exclusive de l’Union, étant donné que seule l’Union peut adopter des règles régissant le traitement des données à caractère personnel par les autorités compétentes à des fins répressives. Seule l’Union peut mettre en conformité ses actes avec les règles fixées dans la directive en matière de protection des données dans le domaine répressif. Par conséquent, seule l’Union peut adopter un acte législatif modifiant la décision 2009/917/JAI du Conseil.
•Proportionnalité
La proposition est limitée à ce qui est nécessaire pour mettre en conformité la décision 2009/917/JAI du Conseil avec la législation de l’Union en matière de protection des données à caractère personnel (la directive en matière de protection des données dans le domaine répressif) sans modifier en aucune manière le champ d’application de la décision du Conseil. La proposition ne va pas au-delà de ce qui est nécessaire pour atteindre les objectifs poursuivis, conformément aux dispositions de l’article 5, paragraphe 4, du traité sur l’Union européenne.
•Choix de l’instrument
La proposition vise à modifier une décision du Conseil, qui a été adoptée avant l’entrée
en vigueur du traité de Lisbonne en 2009. Les dispositions pertinentes de la décision 2009/917/JAI du Conseil qui instituent le système d’information des douanes et fixent les règles de fonctionnement et d’utilisation du système sont directement applicables.
Par conséquent, l’instrument le plus approprié pour modifier cette décision du Conseil au titre de l’article 16, paragraphe 2, du TFUE est un règlement du Parlement européen et du Conseil.
3.RÉSULTATS DES ÉVALUATIONS EX POST, DES CONSULTATIONS DES PARTIES INTÉRESSÉES ET DES ANALYSES D’IMPACT
•Évaluations ex post/bilans de qualité de la législation existante
La proposition fait suite aux résultats du réexamen effectué par la Commission au titre de l’article 62, paragraphe 6, de la directive en matière de protection des données dans le domaine répressif, tels que présentés dans la communication de 2020 intitulée «Marche à suivre en ce qui concerne la mise en conformité de l’acquis de l’ancien troisième pilier avec les règles en matière de protection des données». Dans cette communication sont énumérés six points spécifiques nécessitant la mise en conformité de la décision 2009/917/JAI du Conseil avec la directive en matière de protection des données dans le domaine répressif, à savoir:
–en ce qui concerne les «infractions graves» auxquelles s’applique la décision du Conseil;
–préciser les conditions de collecte et d’enregistrement des données et d’exiger que ces données ne puissent être introduites dans le système d’information des douanes que s’il existe des motifs raisonnables, en particulier sur la base d’activités illégales antérieures, qui donnent à penser que la personne concernée a commis, est en train de commettre ou commettra une infraction pénale;
–prévoir des exigences supplémentaires en matière de sécurité du traitement en mettant en conformité la liste des mesures de sécurité requises avec l’article 29 de ladite directive, c’est-à-dire en ajoutant des exigences en matière de restauration, de fiabilité et d’intégrité du système;
–restreindre le traitement ultérieur des données enregistrées dans le système d’information des douanes à des fins autres que celles pour lesquelles des données à caractère personnel ont été collectées exclusivement aux conditions prévues dans ladite directive;
–appliquer le modèle de contrôle coordonné prévu à l’article 62 du règlement (UE) 2018/1725 au traitement des données à caractère personnel au titre de la décision 2009/917/JAI du Conseil 5 . La décision du Conseil est le dernier acte juridique en vertu duquel le contrôle du traitement des données à caractère personnel est effectué par l’autorité de contrôle commune, devenue obsolète;
–mettre à jour le renvoi général à la décision-cadre 2008/977/JAI du Conseil en le remplaçant par la mention de l’applicabilité de ladite directive. Toute disposition qui fait double emploi avec la directive en matière de protection des données dans le domaine répressif (par exemple, les définitions ou les dispositions relatives aux droits des personnes concernées, au recours juridictionnel et à la responsabilité) devrait être supprimée au motif qu’elle est caduque et obsolète. Les renvois à des dispositions spécifiques de la décision-cadre 2008/977/JAI du Conseil devraient être mis à jour par des renvois spécifiques correspondants à ladite directive.
La présente proposition est limitée à ce qui est nécessaire pour traiter les points susmentionnés.
•Consultation des parties intéressées
s.o.
•Obtention et utilisation d’expertise
Lorsqu’elle a procédé au réexamen au titre de l’article 62, paragraphe 6, de la directive en matière de protection des données dans le domaine répressif, la Commission a tenu compte d’une étude réalisée dans le cadre du projet pilote intitulé «Examen des instruments et programmes de collecte de données de l’UE sous l’angle des droits fondamentaux» 6 . L’étude a défini les actes de l’Union couverts par l’article 62, paragraphe 6, de ladite directive et a recensé des dispositions susceptibles de nécessiter une mise en conformité sur les questions de protection des données.
•Analyse d’impact
L’incidence de la présente proposition se limite au traitement des données à caractère personnel par les autorités compétentes dans les cas spécifiques régis par la décision 2009/917/JAI du Conseil. L’impact des nouvelles obligations découlant de la directive en matière de protection des données dans le domaine répressif a été évalué dans le cadre des travaux préparatoires de ladite directive. Cela rend superflue toute analyse d’impact spécifique pour la présente proposition.
•Réglementation affûtée et simplification
La proposition ne s’inscrit pas dans le programme pour une réglementation affûtée et performante (REFIT).
•Droits fondamentaux
Le droit à la protection des données à caractère personnel est énoncé à l’article 8 de la charte et à l’article 16 du TFUE. Ainsi que l’a souligné la Cour de justice de l’Union européenne 7 , le droit à la protection des données à caractère personnel n’est pas absolu, mais doit être pris en considération par rapport à sa fonction dans la société 8 . La protection des données à caractère personnel est également étroitement liée au respect de la vie privée et familiale, tel que protégé par l’article 7 de la charte.
La présente proposition garantit que tout traitement de données à caractère personnel au titre de la décision 2009/917/JAI du Conseil est soumis aux principes et règles «horizontaux» de la législation de l’Union en matière de protection des données à caractère personnel, renforçant ainsi la mise en œuvre de l’article 8 de la charte. Cet acte législatif vise à assurer un niveau élevé de protection des données à caractère personnel. Le fait de clarifier que les règles de la directive en matière de protection des données dans le domaine répressif s’appliquent au traitement des données à caractère personnel en vertu de la décision du Conseil ainsi que le fait de préciser la manière dont elles s’appliquent auront une incidence positive à l’égard des droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel.
4.INCIDENCE BUDGÉTAIRE
s.o.
5.AUTRES ÉLÉMENTS
•Plans de mise en œuvre et modalités de suivi, d’évaluation et d’information
s.o.
•Explication détaillée de certaines dispositions de la proposition
À l’article 1er sont recensées les dispositions pertinentes de la décision 2009/917/JAI du Conseil qui doivent être modifiées sur la base du réexamen effectué par la Commission au titre de l’article 62, paragraphe 6, de la directive en matière de protection des données dans le domaine répressif et présenté dans sa communication de 2020. Ces dispositions sont indiquées ci-après.
·À l’article 1er, le paragraphe 2 est modifié pour remplacer la notion d’«infractions graves aux lois nationales» par une référence aux «infractions pénales prévues par les lois nationales», dans un but de clarification et de mise en conformité avec la directive en matière de protection des données dans le domaine répressif.
·À l’article 2, le point 2 relatif à la définition des «données à caractère personnel» est supprimé, étant donné que la définition des données à caractère personnel figurant à l’article 3, point 1, de la directive en matière de protection des données dans le domaine répressif s’applique.
·À l’article 3, le paragraphe 2 est modifié afin de préciser les rôles respectifs de la Commission et des États membres en ce qui concerne les données à caractère personnel. Un considérant est également introduit à cette fin.
·À l’article 4, le paragraphe 5 est mis à jour afin de remplacer le renvoi à la liste de certaines catégories de données à caractère personnel ne pouvant pas être introduites dans le système, qui figure dans la décision-cadre 2008/977/JAI, par un renvoi à la liste correspondante contenue dans la directive en matière de protection des données dans le domaine répressif.
·À l’article 5, le paragraphe 2 est mis à jour afin de préciser les conditions de collecte et d’enregistrement des données et d’exiger que ces données ne puissent être introduites dans le système d’information des douanes que s’il existe des motifs raisonnables, en particulier sur la base d’activités illégales antérieures, qui donnent à penser que la personne concernée a commis, est en train de commettre ou commettra l’une des infractions pénales prévues par les lois nationales concernées.
·À l’article 7, le paragraphe 3 est mis à jour afin de préciser les conditions dans lesquelles l’accès des organisations internationales ou régionales au système d’information des douanes peut être autorisé en vertu de la directive en matière de protection des données dans le domaine répressif.
·À l’article 8, le paragraphe 1 est mis à jour afin de limiter le traitement ultérieur des données à caractère personnel enregistrées dans le système d’information des douanes, conformément au principe de limitation des finalités tel que régi par la directive en matière de protection des données dans le domaine répressif. Les conditions dans lesquelles les données à caractère non personnel peuvent être traitées à d’autres fins sont également précisées. Le paragraphe 4 est reformulé afin de préciser les conditions dans lesquelles les transmissions et les transferts internationaux de données à caractère personnel et de données à caractère non personnel peuvent avoir lieu.
·L’article 14 sur la conservation des données à caractère personnel est mis à jour afin d’introduire une durée de conservation maximale, conformément à l’article 4, paragraphe 1, point e), de la directive en matière de protection des données dans le domaine répressif, et de simplifier la procédure précédente. Un considérant est également introduit pour expliquer plus en détail les motifs de cette mise à jour.
·À l’article 15, le paragraphe 3 est remplacé pour que la notion d’«infractions graves aux lois nationales» soit remplacée par la référence aux «infractions pénales prévues par les lois nationales», telle qu’introduite dans le nouvel article 1er, paragraphe 2.
·L’article 20 est remplacé pour mettre à jour le renvoi général à la décision-cadre 2008/977/JAI par un renvoi à la directive en matière de protection des données dans le domaine répressif.
·L’article 22 relatif aux droits d’accès, de rectification, d’effacement ou de verrouillage est supprimé en raison de son caractère caduc et obsolète.
·L’article 23 relatif aux droits des personnes concernées au niveau national est supprimé en raison de son caractère caduc et obsolète.
·L’article 24 relatif à la désignation d’une ou de plusieurs autorités de contrôle nationales est supprimé en raison de son caractère caduc et obsolète.
·L’article 25 relatif à l’institution d’une autorité de contrôle commune est supprimé en raison de son caractère caduc et obsolète.
·L’article 26 est mis à jour afin de soumettre le traitement des données à caractère personnel au modèle de contrôle coordonné prévu à l’article 62 du règlement (UE) 2018/1725.
·À l’article 28, le paragraphe 2 est modifié afin de prévoir des exigences supplémentaires en matière de sécurité du traitement en mettant en conformité la liste des mesures de sécurité requises avec l’article 29 de la directive en matière de protection des données dans le domaine répressif, c’est-à-dire en ajoutant des exigences en matière de restauration, de fiabilité et d’intégrité du système.
·À l’article 30, le paragraphe 1 est supprimé en raison de son caractère caduc et obsolète.
L’article 2 précise la date d’entrée en vigueur du présent règlement.
2023/0143 (COD)
Proposition de
RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL
modifiant la décision 2009/917/JAI du Conseil en ce qui concerne sa mise en conformité avec les règles de l’Union relatives à la protection des données à caractère personnel
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16, paragraphe 2,
vu la proposition de la Commission européenne,
après transmission du projet d’acte législatif aux parlements nationaux,
statuant conformément à la procédure législative ordinaire,
considérant ce qui suit:
(1)La directive (UE) 2016/680 du Parlement européen et du Conseil 9 prévoit des règles harmonisées pour la protection et la libre circulation des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Cette directive impose à la Commission de réexaminer d’autres actes pertinents du droit de l’Union afin d’apprécier la nécessité de les mettre en conformité avec cette directive et de formuler, le cas échéant, les propositions nécessaires en vue de modifier ces actes pour assurer une approche cohérente de la protection des données à caractère personnel dans le cadre de cette directive.
(2)La décision 2009/917/JAI du Conseil 10 sur l’emploi de l’informatique dans le domaine des douanes institue le système d’information des douanes afin d’aider à prévenir, rechercher et poursuivre les infractions graves aux lois nationales en rendant les données plus rapidement disponibles et de renforcer l’efficacité des administrations douanières. Pour assurer une approche cohérente de la protection des données à caractère personnel dans l’Union, il convient de modifier cette décision afin de la mettre en conformité avec la directive (UE) 2016/680. En particulier, les règles en matière de protection des données à caractère personnel devraient respecter le principe de précision des finalités, être limitées à certaines catégories de personnes concernées et de données à caractère personnel, respecter les exigences en matière de sécurité des données, inclure une protection supplémentaire pour des catégories particulières de données à caractère personnel et respecter les conditions applicables au traitement ultérieur. En outre, il convient de prévoir le modèle de contrôle coordonné introduit par l’article 62 du règlement (UE) 2018/1725 11 .
(3)En particulier, afin d’assurer une approche claire et cohérente garantissant une protection adéquate des données à caractère personnel, il y a lieu de remplacer le terme «infractions graves» par le terme «infractions pénales». En effet, le fait qu’un comportement donné soit interdit en vertu du droit pénal d’un État membre entraîne en soi un certain degré de gravité de l’infraction. En outre, l’objectif du système d’information des douanes devrait rester limité à l’aide à la prévention, à la recherche, à la détection et aux poursuites des infractions pénales prévues par les lois nationales telles que définies dans la décision 2009/917/JAI du Conseil, c’est-à-dire des lois nationales pour lesquelles les administrations douanières nationales sont compétentes et qui sont donc particulièrement pertinentes dans le contexte des douanes. Par conséquent, bien que la qualification d’infraction pénale soit une condition nécessaire, toutes les infractions pénales ne devraient pas être réputées concernées. À titre d’exemple, parmi les infractions pénales concernées figurent le trafic illicite de drogues, le trafic illicite d’armes et le blanchiment d’argent. En outre, mis à part l’introduction du terme «infractions pénales», cette modification ne devrait pas être interprétée comme ayant une incidence sur les exigences spécifiques fixées dans ladite décision du Conseil en ce qui concerne l’établissement et la transmission d’une liste des infractions pénales prévues par les lois nationales remplissant certaines conditions, ces exigences s’appliquant uniquement à la finalité particulière du fichier d’identification des dossiers d’enquêtes douanières.
(4)Il est nécessaire de préciser les rôles respectifs de la Commission et des États membres en ce qui concerne les données à caractère personnel. La Commission est considérée comme le sous-traitant agissant pour le compte des autorités nationales désignées par chaque État membre, qui sont considérées comme les responsables du traitement des données à caractère personnel.
(5)Afin d’assurer une conservation optimale des données tout en réduisant la charge administrative pesant sur les autorités compétentes, la procédure régissant la conservation des données à caractère personnel dans le système d’information des douanes devrait être simplifiée en supprimant l’obligation de réexaminer les données chaque année et en fixant une durée maximale de conservation de cinq ans, qui peut être augmentée, sous réserve de justification, d’une période supplémentaire de deux ans. Cette durée de conservation est nécessaire et proportionnée compte tenu de la durée habituelle des procédures pénales et de la nécessité de disposer des données pour l’exécution d’opérations douanières conjointes et d’enquêtes.
(6)Conformément à l’article 6 bis du protocole nº 21 sur la position du Royaume-Uni et de l’Irlande à l’égard de l’espace de liberté, de sécurité et de justice, annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, l’Irlande est liée par la décision 2009/917/JAI du Conseil et participe donc à l’adoption du présent règlement.
(7)Conformément aux articles 1er, 2 et 2 bis du protocole nº 22 sur la position du Danemark annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, le Danemark ne participe pas à l’adoption du présent règlement et n’est pas lié par celui-ci ni soumis à son application.
(8)Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42 du règlement (UE) 2018/1725 et a rendu un avis le XX/XX/202X.
(9)Il convient, dès lors, de modifier la décision 2009/917/JAI du Conseil en conséquence,
ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
La décision 2009/917/JAI du Conseil est modifiée comme suit:
(1)À l’article 1er, le paragraphe 2 est remplacé par le texte suivant:
«2. L’objectif du système d’information des douanes est d’aider les autorités compétentes des États membres à prévenir, rechercher, détecter et poursuivre les infractions pénales prévues par les lois nationales en rendant les données plus rapidement disponibles et en renforçant ainsi l’efficacité des procédures de coopération et de contrôle des administrations douanières des États membres.».
(2)À l’article 2, le point 2 est supprimé.
(3)À l’article 3, paragraphe 2, après la première phrase, une nouvelle phrase est ajoutée comme suit:
«En ce qui concerne le traitement des données à caractère personnel dans le système d’information des douanes, la Commission est considérée comme le sous-traitant, au sens de l’article 3, point 12), du règlement (UE) 2018/1725, agissant pour le compte des autorités nationales désignées par chaque État membre, qui sont considérées comme les responsables du traitement des données à caractère personnel.».
(4)À l’article 4, le paragraphe 5 est remplacé par le texte suivant:
«5. En aucun cas, les données à caractère personnel visées à l’article 10 de la directive (UE) 2016/680 ne sont introduites dans le système d’information des douanes.».
(5)À l’article 5, le paragraphe 2 est remplacé par le texte suivant:
«2. Aux fins des actions visées au paragraphe 1, les données à caractère personnel qui entrent dans les catégories visées à l’article 3, paragraphe 1, ne peuvent être introduites dans le système d’information des douanes que si des motifs raisonnables, en particulier sur la base d’activités illégales préalables, portent à croire que la personne en question a commis, est en train de commettre ou commettra des infractions pénales prévues par les lois nationales.».
(6)À l’article 7, le paragraphe 3 est remplacé par le texte suivant:
«3. Par dérogation aux paragraphes 1 et 2, le Conseil peut, à titre exceptionnel, par une décision à l’unanimité et après consultation du comité européen de la protection des données, permettre à des organisations internationales ou régionales d’accéder au système d’information des douanes, pour autant que les deux conditions suivantes soient remplies:
(a)l’accès est conforme aux principes généraux applicables aux transferts de données à caractère personnel énoncés à l’article 35 ou, le cas échéant, à l’article 39 de la directive (UE) 2016/680;
(b)l’accès est fondé sur une décision d’adéquation adoptée en vertu de l’article 36 de ladite directive ou est soumis à des garanties appropriées en vertu de l’article 37 de ladite directive.».
(7)À l’article 8, le paragraphe 1 est remplacé par le texte suivant:
«1. Les États membres, Europol et Eurojust ne peuvent traiter des données à caractère personnel provenant du système d’information des douanes que dans le but d’atteindre l’objectif énoncé à l’article 1er, paragraphe 2, conformément aux règles applicables du droit de l’Union relatives au traitement des données à caractère personnel.
Les États membres, Europol et Eurojust peuvent traiter des données à caractère non personnel provenant du système d’information des douanes afin d’atteindre l’objectif énoncé à l’article 1er, paragraphe 2, ou à d’autres fins, notamment administratives, dans le respect des conditions imposées par l’État membre qui a introduit les données à caractère non personnel dans ce système.».
(8)À l’article 8, le paragraphe 4 est remplacé par le texte suivant:
«4. Les données provenant du système d’information des douanes peuvent, avec l’autorisation préalable de l’État membre qui les a introduites dans le système et sous réserve du respect des conditions qu’il a imposées, être:
(a)transmises à des autorités nationales autres que celles désignées en vertu du paragraphe 2 et traitées ultérieurement par celles-ci, conformément aux règles applicables du droit de l’Union relatives au traitement des données à caractère personnel; ou
(b)transférées aux autorités compétentes de pays tiers et à des organisations internationales ou régionales et traitées ultérieurement par celles-ci, conformément au chapitre V de la directive (UE) 2016/680 et, le cas échéant, au chapitre V du règlement (UE) 2018/1725.
Les données à caractère non personnel provenant du système d’information des douanes peuvent être transférées à des autorités nationales autres que celles désignées en vertu du paragraphe 2, des pays tiers et des organisations internationales ou régionales et traitées ultérieurement par ces entités, dans le respect des conditions imposées par l’État membre qui a introduit les données à caractère non personnel dans ce système.».
(9)L’article 14 est remplacé par le texte suivant:
«Les données à caractère personnel introduites dans le système d’information des douanes ne sont conservées que pendant la durée nécessaire pour atteindre l’objectif énoncé à l’article 1er, paragraphe 2, et ne peuvent être conservées plus de cinq ans. Toutefois, à titre exceptionnel, ces données peuvent être conservées pendant une période supplémentaire de deux ans au maximum, lorsqu’une stricte nécessité de le faire pour atteindre cet objectif est établie au cas par cas, et dans cette mesure uniquement.».
(10)À l’article 15, le paragraphe 3 est remplacé par le texte suivant:
«3. Aux fins du fichier d’identification des dossiers d’enquêtes douanières, chaque État membre transmet aux autres États membres, à Europol et à Eurojust, ainsi qu’au comité visé à l’article 27, une liste des infractions pénales prévues par ses lois nationales.
Cette liste ne comprend que les infractions pénales qui sont punies:
(a)d’une peine privative de liberté ou d’une mesure de sûreté privative de liberté d’un maximum d’au moins douze mois; ou
(b)d’une amende d’au moins 15 000 EUR.».
(11)L’article 20 est remplacé par le texte suivant:
«La directive (UE) 2016/680 s’applique aux fins du traitement des données à caractère personnel effectué en vertu de la présente décision.».
(12)Les articles 22, 23, 24 et 25 sont supprimés.
(13)L’article 26 est remplacé par le texte suivant:
«Un contrôle coordonné entre les autorités de contrôle nationales et le Contrôleur européen de la protection des données est assuré conformément à l’article 62 du règlement (UE) 2018/1725.».
(14)À l’article 28, paragraphe 2, les points suivants sont ajoutés:
«i) garantir que les systèmes installés puissent être rétablis en cas d’interruption;
j) garantir que les fonctions du système opèrent, que les erreurs de fonctionnement soient signalées et que les données à caractère personnel conservées ne puissent pas être corrompues par un dysfonctionnement du système.».
(15)À l’article 30, le paragraphe 1 est supprimé.
Article 2
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans les États membres conformément aux traités.
Fait à Bruxelles, le
Par le Parlement européen Par le Conseil
La présidente Le président