28.4.2007   

FR

Journal officiel de l'Union européenne

C 94/3


Avis du contrôleur européen de la protection des données sur la proposition de règlement du Parlement européen et du Conseil modifiant le règlement (CE) no 515/97 du Conseil relatif à l'assistance mutuelle entre les autorités administratives des États membres et à la collaboration entre celles-ci et la Commission en vue d'assurer la bonne application des réglementations douanière et agricole (COM(2006) 866 final)

(2007/C 94/02)

LE CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES,

vu le traité instituant la Communauté européenne, et notamment son article 286,

vu la Charte des droits fondamentaux de l'Union européenne, et notamment son article 8,

vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (1),

vu le règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (2), données, et notamment son article 41,

vu la demande d'avis formulée par la Commission conformément à l'article 28, paragraphe 2, du règlement (CE) no 45/2001, reçue le 4 janvier 2007,

A ADOPTÉ L'AVIS SUIVANT:

INTRODUCTION

1.

La proposition de règlement du Parlement européen et du Conseil modifiant le règlement (CE) no515/97 du Conseil du 13 mars relatif à l'assistance mutuelle entre les autorités administratives des États membres et à la collaboration entre celles-ci et la Commission en vue d'assurer la bonne application des réglementations douanière et agricole (3) (ci-après dénommée «la proposition») vise un double objectif: adapter, d'une part, le règlement (CE) no 515/97 aux nouvelles compétences de la Communauté en matière de coopération douanière communautaire et renforcer, d'autre part, la coopération ainsi que les échanges d'informations entre les États membres et entre ceux-ci et la Commission.

2.

Pour atteindre ces deux objectifs, la proposition développe entre autres les fonctionnalités de l'actuel système d'information douanier (SID) et met en place un nouveau répertoire européen de données qui rendra compte des mouvements des conteneurs et/ou des moyens de transport ainsi que des marchandises et des personnes concernées par ces mouvements («répertoire européen de données»).

3.

En outre, la proposition intègre dans la législation communautaire le fichier d'identification des dossiers d'enquêtes douanières (FIDE), initialement créé par les États membres en vertu du titre VI du traité sur l'Union européenne (4). Désormais, le FIDE relèvera tant des actions menées par la Communauté européenne que du troisième pilier, le fonctionnement du FIDE étant dans chaque cas régi par les instruments juridiques pertinents. Il en va de même pour le SID (5). En pratique, cela revient à créer deux bases de données mises à la disposition de diverses entités en vue d'être utilisées à des fins différentes (premier et troisième pilier).

I.   Consultation du contrôleur de la protection des données

4.

La Commission a soumis la proposition au contrôleur européen de la protection des données (CEPD) pour avis, conformément à l'article 28, paragraphe 2, du règlement (CE) no 45/2001 du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (ci-après dénommé «règlement (CE) no 45/2001»). Le CEPD a reçu cette demande le 4 janvier 2007.

5.

Compte tenu du caractère obligatoire de l'article 28, paragraphe 2, du règlement (CE) no 45/2001, une mention faisant référence à l'exercice de cette consultation devrait être ajoutée dans le préambule de la proposition, avant les considérants. À cet effet, le CEPD suggère de reprendre la formulation employée dans d'autres propositions législatives pour faire référence aux avis du CEPD (6), soit: «Après consultation du contrôleur européen de la protection des données».

II.   Importance de la proposition du point de vue de la protection des données

6.

La création et le perfectionnement des divers instruments visant à renforcer la coopération communautaire, à savoir le SID, le FIDE et le répertoire européen de données, entraînent un accroissement de la part d'informations à caractère personnel qui seront initialement collectées par les autorités administratives des États membres, puis échangées entre elles et, dans certains cas, également échangées avec des pays tiers. Les données à caractère personnel traitées par les autorités administratives des États membres et échangées entre elles peuvent comprendre des informations relatives à la participation présumée ou confirmée de personnes physiques à des actes illicites dans le cadre d'opérations effectuées en matière douanière ou agricole. De ce point de vue, la proposition a des conséquences importantes sur la protection des données à caractère personnel. Son importance est d'ailleurs encore plus nette si l'on tient compte du type de données collectées et échangées, notamment celles relatives à des personnes soupçonnées d'être impliquées dans des actes illicites, et de la finalité et du résultat d'ensemble du traitement des données.

7.

Compte tenu des effets de la proposition sur la protection des données à caractère personnel, le CEPD estime opportun de rendre le présent avis en analysant l'incidence de la proposition sur la protection des droits et des libertés individuels en ce qui concerne le traitement des données à caractère personnel.

III.   Principaux éléments de la proposition et premières observations

8.

Les principaux éléments de la proposition ayant une importance sur le plan de la protection des données sont les suivants: i) la création d'un répertoire européen de données (articles 18 bis et 18 ter); ii) les dispositions actualisant les règles relatives au SID (articles 23 à 37) et iii) les règles faisant de FIDE une base de données communautaire (articles 41 bis à 41 quinquies). D'autres dispositions sont également importantes, notamment celles qui traitent du contrôle de la protection des données et qui ont été modifiées pour tenir compte de l'adoption du règlement (CE) no45/2001 (articles 37, 42 et 43).

9.

Le CEPD rappelle que, dans son avis précédent sur la proposition de règlement relatif à l'assistance administrative mutuelle aux fins de la protection des intérêts financiers de la Communauté contre la fraude et toute autre activité illégale (7), il avait insisté sur la nécessité d'adapter certaines dispositions du règlement (CE) no 515/97 du Conseil afin de les rendre conforme à la nouvelle législation relative à la protection des données applicable aux institutions de l'UE, à savoir le règlement (CE) no 45/2001. Le CEPD se félicite par conséquent des modifications apportées à la proposition qui vont dans ce sens.

10.

En outre, le CEPD constate avec satisfaction que les dispositions établissant le répertoire européen de données et celles actualisant les règles relatives au SID contiennent des garanties destinées à assurer la protection des données à caractère personnel et de la vie privée des personnes physiques. Le CEPD salue également la décision visant à mettre le FIDE en conformité avec la législation communautaire, et donc avec le règlement (CE) no 45/2001.

11.

Le CEPD mesure l'importance des objectifs visés par la proposition, à savoir le renforcement de la coopération tant entre les États membres qu'entre les États membres et la Commission. Il reconnaît par ailleurs la nécessité de mettre en place des instruments pour atteindre ces objectifs ou d'actualiser ceux qui existent, comme le SID ou le FIDE. Le CEPD constate en outre avec satisfaction que tout en poursuivant ces objectifs, la proposition a prévu des garanties en matière de protection des données qui prennent en considération la législation en vigueur applicable aux institutions de l'UE dans ce domaine. Le CEPD estime cependant que certaines améliorations pourraient être apportées pour assurer la compatibilité d'ensemble de la proposition avec le cadre juridique existant sur la protection des données ainsi qu'une protection efficace des données à caractère personnel. À cette fin, le CEPD, a formulé les observations et suggestions figurant dans la section ci-après.

ANALYSE DE LA PROPOSITION

I.   Création du répertoire européen de données

12.

Aux termes de l'article 18 bis, paragraphe 1 de la proposition, la Commission crée et gère un répertoire européen de données dont le but est de «détecter les envois de marchandises susceptibles de faire l'objet d'opérations contraires aux réglementations douanière et agricole ainsi que les moyens de transport». La Commission obtiendra la plus grande partie de ces données de fournisseurs de service, publics ou privés, dont les activités sont liées à la chaîne logistique internationale ou au transport de marchandises. Selon l'article 18 bis, paragraphe 2, point b), le répertoire peut être enrichi «au moyen d'autres sources de données». L'article 18 bis, paragraphe 3 fait l'inventaire des données pouvant figurer dans le répertoire et comprend également la liste des données à caractère personnel concernées (8). La Commission met les données du répertoire à la disposition des autorités compétentes des États membres.

13.

La proposition affirme que la création d'un répertoire sera utile pour détecter les opérations présentant un risque d'irrégularité au regard des réglementations douanière et agricole. Le CEPD estime cependant que, comme cela devrait toujours être le cas lors de la création d'une base de données centrale contenant des données à caractère personnel, la nécessité d'une telle base doit faire l'objet d'une évaluation appropriée et approfondie et, lorsque la base de données est établie, des garanties particulières doivent être mises en œuvre en fonction des principes applicables en matière de protection des données. L'objectif est d'éviter tout développement susceptible de porter atteinte à la protection des données à caractère personnel.

14.

Le CEPD estime que la proposition ne fournit pas d'arguments suffisants justifiant la nécessité de créer un répertoire. Afin de s'assurer que seules des bases de données réellement nécessaires seront créées, le CEPD demande à la Commission de procéder à une évaluation appropriée de la nécessité de créer le répertoire et de lui faire rapport de ses conclusions.

15.

S'agissant des garanties en matière de protection des données, le CEPD constate que certaines garanties ont été prévues par la proposition; il estime cependant que des mesures supplémentaires sont nécessaires.

I.1.   Application du règlement (CE) no 45/2001

16.

Le CEPD note que, compte tenu du fait que la Commission va créer et gérer le répertoire européen de données et que ce répertoire contiendra des données à caractère personnel, le règlement (CE) no 45/2001 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données s'applique bien au répertoire. Par conséquent, la Commission, en sa qualité de contrôleur des données du répertoire (9), doit veiller à la conformité de celui-ci avec toutes les dispositions figurant dans ledit règlement.

17.

Bien que, vu de ce qui précède, le règlement (CE) no 45/2001 s'applique en soi à la création et à la gestion du répertoire, le CEPD estime approprié, pour des raisons de cohérence, d'introduire un nouveau paragraphe rappelant l'application de ce règlement. Le CEPD constate en effet que l'article 34 de la proposition comprend une disposition rappelant l'application du règlement (CE) no 45/2001 au système d'information douanier et au fichier d'identification des dossiers d'enquêtes douanières (FIDE). Afin d'être en accord avec cette approche, une disposition similaire devrait être introduite pour le répertoire. Le CEPD suggère donc d'ajouter à l'article 18 bis paragraphe 1 un nouveau paragraphe s'inspirant de la formule employée dans l'article 34, soit: «La Commission considère le répertoire européen de données comme un système de traitement de données à caractère personnel qui est soumis aux dispositions du règlement (CE) n o 45/2001.»

18.

Le CEPD note que l'article 18 bis, paragraphe 2, point b) de la proposition confirme l'application du règlement (CE) no 45/2001 pour «certaines utilisations» du répertoire, notamment lorsque la Commission utilise le répertoire pour «rapprocher les données… les indexer, les enrichir…». En l'absence d'une déclaration générale confirmant l'application du règlement (CE) no 45/2001 au répertoire dans son ensemble, y compris aux traitements effectués depuis la création jusqu'à la gestion du répertoire, toute autre activité/étape qui n'est pas explicitement mentionnée par l'article 18 bis, paragraphe 2, point b) peut être considérée comme exclue du champ d'application du règlement (CE) no 45/2001. Ceci constitue un argument supplémentaire en faveur de l'introduction du libellé proposé ci-dessus.

19.

Le CEPD rappelle que pour se conformer au règlement (CE) no 45/2001, la Commission sera entre autres tenue d'informer les personnes dont le nom figure dans le répertoire de cet état de fait (10). En particulier, il convient de garder à l'esprit que ce droit existe, même si les informations personnelles figurant dans le répertoire émanent de sources publiques. En outre, compte tenu de la finalité du répertoire, la Commission sera tenue de respecter l'article 27 du règlement (CE) no 45/2001 aux termes duquel le CEPD doit effectuer un contrôle préalable avant la mise en œuvre du système (11).

I.2.   Application des dispositions nationales mettant en œuvre la directive 95/46/CE

20.

En vertu de l'article 18 bis, paragraphe 2, point c) de la proposition, la Commission est habilitée à mettre les données à la disposition des autorités compétentes des États membres. Le CEPD note que ce transfert est régi par le règlement (CE) no 45/2001, alors que les utilisations ultérieures des données par les États membres relèveront de la directive 95/46/CE. Vu que l'article 18 bis, paragraphe 2, point c) semble vouloir exprimer cette idée, ainsi que cela est précisé ci-après, son libellé pourrait être amélioré afin d'exprimer cette notion de manière plus précise.

21.

L'article 18 bis, paragraphe 2, point c) de la proposition stipule: «Dans le cadre de la gestion de ce répertoire, la Commission est habilitée: […] c) à mettre les données de ce répertoire à la disposition des autorités compétentes visées à l'article 1 er , paragraphe 1, dans le seul but d'atteindre les objectifs du présent règlement et pour autant que les dispositions nationales mettant en œuvre la directive 95/46/CE soient respectées». Le CEPD estime que l'article 18 bis, paragraphe 2, point c) ne rend pas correctement compte de l'idée selon laquelle les utilisations ultérieures des données à caractère personnel par les autorités des États membres sont régies par les dispositions nationales mettant en œuvre la directive 95/46/CE. Afin de clarifier ce point, le CEPD estime que la dernière partie de l'article 18 bis, paragraphe 2, point c) devrait être modifiée comme suit:«… dans le seul but d'atteindre les objectifs du présent règlement. Les utilisations ultérieures des données à caractère personnel par ces autorités sont soumises aux dispositions nationales mettant en œuvre la directive 95/46/CE». En tout état de cause, ces utilisations ultérieures au niveau national devront être compatibles avec la finalité pour laquelle ces données ont été mises à disposition par la Commission, sauf si des conditions particulières sont remplies (voir l'article 6, paragraphe 1, point b) et l'article 13, paragraphe 1, de la directive 95/46/CE.)

I.3.   Autres observations

22.

Le CEPD soutient l'approche retenue à l'article 18, paragraphe 4, de la proposition visant à limiter au sein de la Commission les services habilités à traiter les données à caractère personnel figurant dans le répertoire européen de données. Cette approche est conforme à l'article 22 du règlement (CE) no 45/2001 qui exige, entre autres, des contrôleurs de données qu'ils mettent en œuvre des mesures techniques et organisationnelles, pour veiller par exemple à ce que les informations soient disponibles en application du principe du «besoin d'en connaître», afin d'assurer un niveau de sécurité approprié des données.

23.

Le dernier alinéa de l'article 18, paragraphe 4 indique que les données à caractère personnel qui ne sont pas nécessaires pour atteindre l'objectif pour lequel elles ont été collectées doivent être anonymisées et ajoute, qu'en tout état de cause, elles ne peuvent être conservées qu'une année au maximum. Le CEPD salue cette obligation qui est en conformité avec l'article 4, paragraphe 1, point e) du règlement, lequel stipule que les données à caractère personnel doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement.

24.

Ainsi que l'exige l'article 22 du règlement (CE) no 45/2001, le répertoire doit être protégé de manière appropriée. Assurer le respect d'un niveau de sécurité optimal du répertoire constitue une exigence fondamentale pour la protection des données à caractère personnel conservées dans la base de données. Alors que les dispositions régissant le système d'information douanier prévoient la mise en œuvre de mesures spécifiques de sécurité, la proposition n'indique rien pour le répertoire européen de données. Le CEPD estime que les questions de sécurité concernant le répertoire devraient faire l'objet de règles administratives complémentaires déterminant les mesures spécifiques à prendre pour assurer la confidentialité des informations. Le CEPD devrait par ailleurs être consulté lors de l'adoption de ces règles.

II.   Modifications des dispositions relatives au système d'information douanier (SID)

25.

Les articles 23 à 41 du règlement (CE) no 515/97 du Conseil fixent les dispositions établissant le système d'information douanier, une base de données gérée par la Commission, accessible par les États membres et par la Commission, dont le but est d'aider à prévenir, à rechercher et à poursuivre les opérations qui sont contraires aux réglementations douanière ou agricole.

II.1.   Élargissement des utilisations possibles des données à caractère personnel conservées dans le SID

26.

La proposition a modifié certaines dispositions initiales établissant le fonctionnement et l'utilisation du SID. L'article 25, notamment, a élargi les catégories de données à caractère personnel pouvant être conservées dans le SID et l'article 27 a étendu la liste des utilisations possibles des données à caractère personnel conservées dans le SID afin d'y inclure les analyses opérationnelles permettant entre autres «l'évaluation de la fiabilité de la source d'informations et des informations elles-mêmes»,«la formulation de constatations (…) ou de recommandations (…) pour détecter d'autres opérations (…) et/ou pour identifier avec précision la ou les personne(s) physique(s) ou morale(s).» En outre, l'article 35, paragraphe 3, permet de copier le contenu du SID dans d'autres systèmes de traitement de données pour opérer dans «des systèmes de gestion des risques chargés d'orienter les contrôles douaniers au niveau national ou dans un système d'analyse opérationnelle permettant d'orienter les actions de coordination au niveau communautaire».

27.

Conformément à la proposition, les utilisations supplémentaires susmentionnées sont nécessaires pour l'aide à la recherche et à la poursuite des opérations contraires aux réglementations douanière et agricole. Bien que le CEPD ne mette pas en cause l'existence d'une telle nécessité, il estime que la proposition de la Commission aurait dû donner plus d'informations et de motifs valables justifiant cette nécessité.

28.

Le CEPD constate avec satisfaction que les modifications susmentionnées ont été assorties de garanties en matière de protection des données. En effet, la proposition a conservé une liste fermée des données à caractère personnel pouvant être incluses dans le SID (cf. article 25, paragraphe 1), lesquelles ne peuvent être incluses que s'il existe «des indices réels»portant à croire que la personne en question a effectué ou effectuera des opérations qui sont contraires aux réglementations douanière ou agricole (cf. article 27, paragraphe 2). En outre, selon l'article 25, paragraphe 3, aucune donnée sensible (12) ne peut être introduite dans le CIS. L'article 35, paragraphe 3 a par ailleurs restreint le nombre de personnes habilitées à reproduire le contenu du SID aux fins définies dans le même article et limité la durée de conservation des données copiées dans le SID. Ces mesures sont en conformité avec le principe de qualité des données défini à l'article 4 du règlement (CE) no 45/2001.

II.2.   Champ d'application du règlement (CE) no 45/2001

29.

L'article 34 de la proposition a tenu compte de l'adoption du règlement (CE) no 45/2001, qui s'applique au traitement de données à caractère personnel par les institutions et les organes communautaires. En conséquence, la Commission doit tenir compte du fait que le règlement (CE) no 45/2001 s'applique au SID. Le CEPD confirme que tel est bien le cas, étant donné que le SID contient des données à caractère personnel et que la Commission a accès à la base de données à l'égard de laquelle elle joue un rôle de contrôleur des données. Le CEPD salue par conséquent cette modification qui reflète l'actuel cadre juridique de la protection des données.

30.

Le CEPD rappelle qu'en application de l'article 27 du règlement (CE) no 45/2001 et, compte tenu du fait que les finalités du SID peuvent être considérées comme présentant des risques spécifiques pour ce qui est des droits et des libertés des personnes concernées, le CEPD doit exercer un contrôle préalable du système.

31.

Outre l'application du règlement (CE) no 45/2001, l'article 34 de la proposition maintient l'application simultanée des dispositions nationales mettant en œuvre la directive 95/46/CE. Selon le CEPD, cette approche est appropriée dans la mesure où les autorités des États membres ont accès au SID et sont habilitées à inclure et traiter ultérieurement les données figurant dans le SID. En résumé, le CEPD estime que les compétences en matière de contrôle du SID sont partagées entre la Commission et les États membres qui agissent en qualité de contrôleurs des données SID.

II.3.   Le CEPD, contrôleur du SID avec les autorités nationales chargées de la protection des données

32.

En application du règlement (CE) no 45/2001, le contrôleur européen de la protection des données est chargé de veiller à l'application du règlement pour ce qui concerne le SID. Certains articles de la proposition tiennent compte des compétences du CEPD, mais pas tous. Le CEPD regrette en particulier que certains paragraphes de l'article 37 ayant trait au contrôle n'aient pas été modifiés en conséquence et demande aux législateurs d'introduire les modifications figurant ci-après.

33.

Le CEPD note que l'article 37, paragraphe 1, reconnaît explicitement les compétences des autorités des États membres pour contrôler le SID. Toutefois, l'article 37, paragraphe 1 ne mentionne pas de compétences similaires du CEPD en vertu du règlement (CE) no 45/2001. Ce problème est encore plus marqué à l'article 37, paragraphe 3, qui n'a pas été modifié par la proposition. L'article 37, paragraphe 3, stipule que «La Commission prend toute disposition au sein de ses services pour assurer un contrôle de la protection des données à caractère personnel qui offre des garanties d'un niveau équivalent à celles résultant du paragraphe 1». En d'autres termes, l'article 37, paragraphe 3, confie le contrôle de la protection des données à «la Commission». À l'évidence, cet article aurait dû être modifié afin de rendre compte du nouveau rôle de contrôle du CEPD. Dans sa formulation actuelle, l'article 37, paragraphe 3 n'a aucun sens. Afin de remédier à ce problème, l'article 37, paragraphe 3 devrait être modifié pour préciser que «le contrôleur européen de la protection des données contrôlera la conformité du SID avec le règlement (CE) n o 45/2001».

34.

En outre, étant donné que le SID n'est pas seulement régi par le règlement (CE) no 45/2001, mais également par les dispositions nationales mettant en œuvre la directive 95/46/CE, le contrôle du SID relève à la fois du CEPD et des autorités nationales chargées de la protection des données. Enfin, les activités de contrôle des autorités nationales et du CEPD devraient, dans une certaine mesure, être coordonnées afin d'assurer un niveau de cohérence suffisant et une efficacité d'ensemble. Ainsi que le CEPD l'a déjà indiqué dans des avis précédents relatifs aux bases de données soumises au contrôle des États membres de l'UE et du CEPD, «il est nécessaire d'harmoniser la mise en œuvre du règlement et de rechercher des solutions communes aux problèmes communs» (13).

35.

Malheureusement, la proposition ne prévoit pas de procédure de coordination pour structurer et renforcer la coopération entre le CEPD et les autorités nationales chargées de la protection des données. Afin de résoudre ce problème, le CEPD propose comme première option d'ajouter à l'article 37 un nouveau paragraphe traitant du contrôle de la protection des données qui serait libellé comme suit: «Une fois par an au moins, le CEPD convoque toutes les autorités nationales de contrôle à une réunion pour traiter des questions de contrôle relatives au SID. Les membres des autorités nationales de protection des données et le CEPD constituent les autorités de contrôle.»

36.

Comme nous l'avons mentionné plus haut, une meilleure solution pour rendre compte de ce contrôle exercé à plusieurs niveaux, serait de subdiviser les dispositions relatives au contrôle (article 37) en plusieurs dispositions, chacune d'entre elles étant consacrée à un niveau de contrôle, ainsi que cela a été fait à bon escient dans les instruments juridiques récemment adoptés pour le système d'information Schengen (SIS II). En particulier, les articles 44 à 46 du règlement (CE) no 1987/2006 du Parlement européen et du Conseil du 20 décembre 2006 sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen de deuxième génération (SIS II) (14) prévoient un système de contrôle bien équilibré, partagé entre le niveau national et le niveau européen et comprenant une coordination de ces deux niveaux de contrôle. Le CEPD recommande vivement l'introduction du même système pour le SID (moyennant de légères modifications). En effet le SID et le SIS sont, dans une large mesure, des systèmes comparables en ce qui concerne la structure du contrôle.

37.

L'article 43, paragraphe 5, prévoit qu'une formation ad hoc du comité visé à l'article 43, paragraphe 1 (ci-après désigné «le comité en formation ad hoc») se réunira régulièrement pour se pencher sur les problèmes liés à la protection des données. Le CEPD estime que ce comité en formation ad hoc ne devrait pas être considéré comme étant la formation appropriée pour exercer le contrôle du SID, étant donné que cette compétence appartient exclusivement aux autorités nationales des États membres et au CEPD. La formation ad hoc prévue par l'article 43, paragraphe 5 est en réalité un comité du type prévu par la comitologie.

38.

Le CEPD considère en revanche le comité en formation ad hoc comme une enceinte appropriée pour examiner les problèmes de protection des données liés au fonctionnement du SID. Dans cette optique, le CEPD propose de reformuler comme suit l'article 43, paragraphe 5, afin de rendre compte des tâches et du rôle du comité en formation ad hoc prévu dans cet article: «Le comité examine, avec le groupe de contrôle visé à l'article…, tout problème lié au fonctionnement du SID que rencontrent les autorités de contrôle. Le comité, dans sa formation ad hoc, se réunit au moins une fois par an».

39.

Le CEPD souhaite également attirer l'attention du législateur sur une autre caractéristique commune aux systèmes SID et SIS II: ils relèvent tous deux du premier et du troisième pilier, ce qui suppose l'existence de deux bases juridiques distinctes pour chaque système. Le SID relevant du troisième pilier est régi par la convention mentionnée au point 3 du présent avis, ce qui a un certain nombre de conséquences, notamment sur la structure du contrôle: la partie du SID relevant du premier pilier sera contrôlée par le CEPD et les autorités nationales chargées de la protection des données, tandis que la partie relevant du troisième pilier est contrôlée par une autorité de contrôle commune (composée de représentants de ces mêmes autorités nationales). C'est là un système de contrôle assez lourd, qui risque de conduire à des incohérences et à un manque d'efficacité. Ceci illustre les difficultés d'un environnement juridique complexe comme celui-ci.

40.

Il convient de noter qu'en ce qui concerne le SIS II, le législateur européen a opté pour une rationalisation du modèle de contrôle, en appliquant le même modèle à plusieurs niveaux décrit plus haut, tant dans le cadre du premier pilier que du troisième pilier. Cette approche mérite sans aucun doute d'être prise en considération; le CEPD propose donc d'examiner les possibilités qu'elle offre pour améliorer le contrôle et le rendre plus cohérent.

II.4.   Les droits des personnes

41.

Les droits des personnes en matière de protection des données, notamment le droit d'accès, sont réglementés par les articles 36 et 37, lesquels ont fait l'objet de modifications partielles dans la proposition. S'agissant du droit d'accès, le CEPD souhaite se pencher sur les trois questions suivantes: i) le droit applicable en vertu de l'article 36, paragraphe 1; ii) les limites du droit d'accès en vertu de l'article 36, paragraphe 2 et iii) la procédure à suivre par les personnes concernées pour présenter des demandes d'accès au titre de l'article 37, paragraphe 2 de la proposition.

42.

Le droit applicable: l'article 36, paragraphe 1, qui n'a pas été modifié dans la proposition, reconnaît au passage l'application des droits des personnes en matière de protection des données et prévoit que le droit d'accès sera régi par la législation des États membres ou les règles applicables à la Commission en matière de protection des données, selon que ces droits sont invoqués auprès des États membres ou auprès des institutions de l'UE. Ce critère reflète ce qui a été dit plus haut à propos de l'article 34 de la proposition, à savoir que le contrôle du SID est exercé à la fois par la Commission et par les États membres. Le CEPD approuve cette approche et constate avec satisfaction que la proposition a conservé la formulation de l'article 36, paragraphe 1. En tout état de cause, il est clair que cette disposition se réfère implicitement au droit national applicable mettant en œuvre la directive 95/46/CE ou le règlement (CE) no 45/2001. Le droit applicable dans chaque cas dépendra du lieu où s'exercent les droits.

43.

Les limites du droit d'accès: le deuxième paragraphe de l'article 36, paragraphe 2 stipule que «l'accès est refusé» pendant la période durant laquelle des actions sont menées aux fins d'observation ou de compte rendu ou durant laquelle l'analyse opérationnelle ou l'enquête est en cours. Pour les raisons indiquées ci-après, le CEPD serait en faveur d'une modification indiquant que l'accès «peut être refusé »(au lieu de «l'accès est refusé»).

44.

Aux termes du règlement (CE) no 45/2001, les personnes sont, en règle générale, autorisées à exercer leur droit d'accès aux données les concernant. Toutefois, l'article 20 du règlement (CE) no 45/2001 reconnaît la possibilité de limiter ce droit lorsqu'est remplie l'une des conditions spécifiques justifiant la limitation de celui-ci. En d'autres termes, les personnes concernées jouissent en principe d'un droit d'accès qui peut, cependant, être limité. En revanche, le libellé de l'article 36, paragraphe 2, «l'accès est refusé» ne permet pas de déterminer si l'accès peut-être accordé ou non. Cela signifie que les personnes ne jouissent pas de ce droit pendant une certaine période. Il n'y a pas de raison que l'approche générale retenue par le règlement (CE) no 45/2001 ne fonctionne pas dans le cas présent, notamment si l'article 20 permet une limitation du droit d'accès durant la période prévue par l'article 36, paragraphe 2. En effet, si la Commission souhaite refuser l'accès, elle peut se prévaloir de l'article 20, aux termes duquel l'accès peut être refusé pour assurer la recherche.

45.

Le CEPD estime que la proposition devrait être formulée en suivant la même approche que pour le règlement (CE) no 45/2001. Une autre approche serait en contradiction avec le cadre général qui prévoit le droit d'accès en vertu du règlement (CE) no 45/2001. Le problème pourrait être simplement résolu en remplaçant «est refusé »par «peut être refusé».

46.

Procédure à suivre par les personnes souhaitant faire une demande d'accès: la proposition a modifié l'ancien article 37, paragraphe 2, du règlement (CE) no 515/97 qui traite de la procédure que doit engager une personne qui souhaite savoir si le SID contient des informations à caractère personnel la concernant. Le nouvel article 37, paragraphe 2, reconnaît aux personnes concernées la possibilité d'introduire une demande d'accès auprès du contrôleur de la protection des données ou auprès des autorités nationales de contrôle, selon que les données figurant dans le SID ont été introduites par la Commission ou par un État membre.

47.

Le CEPD se félicite que cette modification rende la procédure plus conforme au cadre juridique actuel relatif à la protection des données. Toutefois, pour les raisons indiquées ci-après, le CEPD estime que la compétence des États membres ou de la Commission ne devrait pas dépendre de l'entité qui a introduit les informations dans le SID. En premier lieu, le CEPD note que, très probablement, les personnes concernées ne sauront pas quelle entité a introduit les informations dans le SID, la Commission ou un État membre. Elles ne sauront donc pas quelle entité est compétente pour traiter de cette demande d'accès. Obliger les personnes concernées à déterminer d'abord qui a introduit les données entraînera un alourdissement de la procédure de demande d'accès. En second lieu, le CEPD estime que cette disposition est en contradiction avec le critère choisi par l'article 36, paragraphe 1, selon lequel le droit d'accès est régi par la législation des États membres ou par les règles en matière de protection des données applicables à la Commission, selon que ces droits ont été exercés auprès des États membres ou auprès des institutions de l'UE. Par conséquent, par simple souci de cohérence avec l'article 36, la compétence en matière de demandes d'accès devrait être déterminée selon que la demande a été introduite auprès des autorités nationales de contrôle ou auprès du CEPD.

48.

Afin de résoudre ce problème, la phrase «selon que les données ont été introduites dans le SID par un État membre ou par la Commission» devrait être remplacée par le texte suivant: «selon que les droits ont été invoqués auprès des autorités nationales de contrôle ou auprès du CEPD». Ainsi, si cette approche est choisie, la phrase ci-après de l'article 37 paragraphe 2 prend tout son sens: «Si ces données ont été introduites par un autre État membre ou par la Commission, la vérification est effectuée en collaboration étroite avec l'autorité de contrôle nationale de cet autre État membre ou avec le contrôleur européen de la protection des données.»

II.5.   Échange de données

49.

La proposition n'apporte pas d'éléments nouveaux concernant l'échange de données à caractère personnel avec les autorités des pays tiers. Cette question est traitée à l'article 30, paragraphe 4, du règlement. Le CEPD estime que cet article aurait dû être modifié afin de tenir compte de la nécessité pour la Commission (et pas seulement pour les États membres) de prendre des mesures spécifiques pour s'assurer de la sécurité de ces données lorsqu'elles sont transmises ou fournies à des services situés dans des pays tiers. En outre, l'article 30, paragraphe 4, devrait être modifié afin d'assurer sa conformité à la législation applicable à la transmission de données à caractère personnel à des pays tiers.

III.   Fichier d'identification des dossiers d'enquêtes douanières (FIDE)

50.

Les articles 41 bis, 41 ter, 41 quater et 41 quinquies de la proposition établissent les règles de fonctionnement du fichier d'identification des dossiers d'enquêtes douanières. FIDE permet aux autorités compétentes de vérifier si une personne ou une entreprise a déjà fait l'objet d'une enquête pénale dans un quelconque État membre.

51.

FIDE est un instrument déjà utilisé par les États membres dans le cadre du troisième pilier (15). La finalité de l'article 41 est par conséquent de fournir une base juridique pour le FIDE communautaire, ce dont le CEPD se félicite.

52.

Étant donné que toutes les dispositions de la proposition s'appliquant au SID s'appliquent également au FIDE en vertu de l'article 41 bis, les observations formulées dans la section II ci-dessus s'appliquent mutatis mutandis au FIDE.

III.1.   Application du règlement (CE) no 45/2001

53.

Le CEPD note que, compte tenu du fait que la Commission est compétente pour traiter les données figurant dans le FIDE, il convient d'indiquer clairement que le règlement (CE) no45/2001 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données s'applique au FIDE. Selon le CEPD, l'article 41 devrait rappeler que le règlement (CE) no 45/2001 est applicable au FIDE et que le CEPD est compétent pour contrôler et faire respecter les dispositions dudit règlement.

54.

Le CEPD rappelle qu'en application de l'article 27 du règlement (CE) no 45/2001, et compte tenu des finalités du FIDE et de la nature des données qu'il contient, ce dernier peut être considéré comme présentant des risques particuliers au regard des droits et libertés des personnes concernées. Le CEPD doit donc procéder au contrôle préalable de ce système.

III.2.   Conservation des données

55.

L'article 41 quinquies fixe des délais de conservation des données particuliers. Le CEPD estime que les délais prévus par l'article 41 quinquies sont raisonnables.

56.

Le lien entre cette disposition et l'article 33, relatif au SID, n'est pas très clair. En principe, l'article 41 quinquies prime sur les dispositions concernant le même sujet qui traitent du SID, mais ceci n'est pas mentionné de manière explicite dans la proposition. Une disposition clarifiant ce point serait utile.

III.3.   Mise à jour des informations enregistrées dans le FIDE

57.

Le principe de la qualité des données défini à l'article 4 du règlement (CE) no 45/2001 exige que les données à caractère personnel soient adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées. Il va de soi que la qualité des données à caractère personnel ne peut être assurée que si leur exactitude fait l'objet d'un contrôle régulier en bonne et due forme. Le CEPD salue également la disposition de l'article 41 quinquies exigeant que les fichiers soient immédiatement effacés dès que, aux termes des lois, réglementations et procédures de l'État membre fournisseur, une personne est mise hors de cause.

58.

Par ailleurs, afin que des données inutiles ne demeurent pas dans le FIDE, le CEPD propose d'appliquer au FIDE certaines règles de conservation des données prévues à l'article 33 pour le SID. En particulier, le CEPD propose d'appliquer au FIDE les dispositions de l'article 33, paragraphe 1, selon lesquelles la nécessité de conserver les données devrait être examinée, au moins une fois par an, par le partenaire qui a fourni les données. À cette fin, le CEPD propose d'insérer le texte suivant après l'article 41 quinquies, paragraphe 2: «La nécessité de conserver les données est examinée, au moins une fois par an, par l'État membre qui a fourni les données».

CONCLUSIONS

59.

Le CEPD se réjouit d'être consulté sur cette proposition, qui prévoit la création ou la mise à jour de divers systèmes contenant des données à caractère personnel, à savoir le répertoire européen des données, le système d'information douanier (SID) et le fichier d'identification des dossiers d'enquête douanières (FIDE) afin de renforcer la coopération ainsi que les échanges d'information tant entre les États membres qu'entre les États membres et la Commission.

60.

Sur le fond , le CEPD conclut ce qui suit:

La proposition ne fournit pas d'arguments suffisants justifiant la nécessité de créer un répertoire européen de données. Le CEPD invite la Commission à évaluer valablement la nécessité de créer ce répertoire et à présenter ses conclusions.

Il y a lieu d'insérer à l'article 18 bis, paragraphe 1, un nouvel alinéa rappelant que le règlement (CE) no 45/2001 s'applique au répertoire européen de données et qui pourront être libellés comme suit: «La Commission considère le répertoire européen de données comme un système de traitement de données à caractère personnel qui est soumis aux dispositions du règlement (CE) n o 45/2001/CE».

Il convient de préciser que les dispositions nationales mettant en œuvre la directive 95/46/CE s'appliquent aux utilisations du répertoire européen de données par les États membres. Le CEPD propose de modifier l'article 18 bis, paragraphe 2 comme suit: Dans le cadre de la gestion de ce répertoire, la Commission est habilitée: c) à mettre les données de ce répertoire à la disposition des autorités compétentes visées à l'article 1 er , paragraphe 1, dans le seul but d'atteindre les objectifs du présent règlement. Les utilisations ultérieures des données à caractère personnel par ces autorités sont soumises aux dispositions nationales mettant en œuvre la directive 95/46/CE.

La proposition n'aborde pas la question des mesures de sécurité relatives au répertoire européen de données. Le CEPD estime qu'il serait approprié d'ajouter un nouveau point à l'article 18 bis, paragraphe 2 prévoyant l'adoption de règles administratives supplémentaires établissant des mesures particulières pour assurer la confidentialité des informations. Lors de l'adoption de ces règles, le CEPD devrait être consulté.

La proposition ne reconnaît pas complètement le rôle de contrôle du CEPD en ce qui concerne le système d'information douanier (SID). Afin de résoudre ce problème, l'article 37, paragraphe 3 devrait être modifié pour préciser que «le contrôleur européen de la protection des données contrôlera la conformité du SID avec le règlement (CE) n o 45/2001.»

Les activités de contrôle des autorités nationales de contrôle et du CEPD devraient, dans une certaine mesure, être coordonnées afin d'assurer un niveau suffisant de cohérence et d'efficacité d'ensemble dans le contrôle du SID. A cette fin, le CEPD propose comme première option d'introduire à l'article 37 un nouvel alinéa libellé comme suit: «Une fois par an au moins, le CEPD convoque toutes les autorités nationales de contrôle à une réunion pour traiter des questions de contrôle relatives au SID. Les membres des autorités nationales chargées de la protection des données et le CEPD constituent les autorités de contrôle». Toutefois, une meilleure solution serait de suivre le modèle plus élaboré récemment adopté pour le système d'information Schengen de deuxième génération (SIS II). «Le comité examine, avec le groupe de contrôle visé à l'article…, tout problème lié au fonctionnement du SID que rencontrent les autorités de contrôle visées au présent article. Le comité, dans sa formation ad hoc, se réunit au moins une fois par an».

En vertu de l'article 36, paragraphe 2, deuxième alinéa concernant l'accès aux données à caractère personnel conservées dans le SID, «l'accès est refusé »pendant la période durant laquelle des actions sont menées aux fins d'observation ou de compte rendu ou pendant la période durant laquelle l'analyse opérationnelle des données ou l'enquête est en cours. Afin d'assurer la cohérence avec le règlement (CE) no 45/2001, le CEPD serait favorable à une modification indiquant que «l'accès peut être refusé».

Pour ce qui est de la procédure de demande d'accès aux données, et de la question de savoir si cette demande doit être adressée au CEPD ou aux autorités nationales de contrôle, le CEPD juge très peu pratique le système proposé par l'article 37, paragraphe 2 aux termes duquel la détermination de l'autorité compétente dépend de la question de savoir si les données ont été introduites dans le SID par un État membre ou par la Commission. Cette disposition serait par ailleurs en contradiction avec d'autres articles de la proposition. Afin de résoudre ce problème, la phrase «selon que les données ont été introduites dans le SID par un État membre ou par la Commission» devrait être remplacée par «selon que les droits ont été invoqués auprès des autorités nationales de contrôle ou auprès du CEPD».

Le CEPD estime qu'il serait approprié de rappeler à l'article 41 bis que le règlement (CE) no 45/2001 s'applique au fichier d'identification des dossiers d'enquête douanière (FIDE) et que le CEPD est compétent pour contrôler et faire respecter les dispositions dudit règlement.

61.

Afin de s'assurer que les données à caractère personnel inutiles sont effacées du FIDE, le CEPD suggère d'introduire le libellé suivant après l'article 41 quinquies, paragraphe 2. «La nécessité de conserver les données devrait être examinée, au moins une fois par an, par l'État membre qui a fourni les données».

62.

Pour ce qui est de la procédure , le CEPD

Recommande de faire explicitement référence au présent avis dans le préambule de la proposition en insérant le texte suivant: «Après consultation du contrôleur européen de la protection des données.»

Rappelle que, étant donné que les traitements effectués dans le cadre du répertoire européen de données, du SID et du FIDE présentent des risques particuliers au regard des droits et libertés des personnes concernées, en raison de la finalité de la base de données et de la nature de ces données, le CEPD doit, en vertu de l'article 27 du règlement (CE) no 45/2001, procéder au contrôle préalable de ces trois systèmes.

Fait à Bruxelles, le 22 février 2007.

Peter HUSTINX

Contrôleur européen de la protection des données


(1)  JO L 281 du 23.11.1995, p. 31.

(2)  JO L 8 du 12.1.2001, p. 1.

(3)  JO L 82 du 22.3.1997, p. 1.

(4)  Protocole établi conformément à l'article 34 du traité sur l'Union européenne, modifiant, en ce qui concerne la création d'un fichier d'identification des dossiers d'enquêtes douanières, la convention sur l'emploi de l'informatique dans le domaine des douanes (Convention SID). Ce protocole a été adopté par acte du Conseil du 8 mai 2003 (JO C 139 du 13.6.2003, p. 2).

(5)  La Convention SID, établie sur la base de l'article K.3 du traité sur l'Union européenne, sur l'emploi de l'informatique dans le domaine des douanes (JO C 316 du 27.11.1995, p. 34) est la base juridique de la base de (

(6)  Voir la proposition de règlement du Parlement européen et du Conseil modifiant le règlement (CE) no 1073/1999 relatif aux enquêtes effectuées par l'Office européen de lutte antifraude (OLAF), {SEC(2006) 638 }/COM (2006) 244 final — COD 2006/0084.

(7)  Avis du contrôleur européen de la protection des données concernant la proposition de règlement du Parlement européen et du Conseil relatif à l'assistance administrative mutuelle aux fins de la protection des intérêts financiers de la Communauté contre la fraude et toute autre activité illégale (COM(2004) 509 final du 20 juillet 2004) (JO C 301 du 7.12.2004, p. 4).

(8)  L'article 18 bis, paragraphe 3, point c) limite strictement les données aux «nom, nom de jeune fille, prénoms, noms d'emprunt, date et lieu de naissance, nationalité, sexe et adresse des propriétaires, expéditeurs, destinataires, transitaires, transporteurs et autres intermédiaires ou personnes intervenant dans la chaîne logistique internationale et dans le transport de marchandises».

(9)  Les contrôleurs des données sont les personnes ou les autorités qui déterminent les finalités et les moyens du traitement de données, tant dans le secteur public que dans le secteur privé.

(10)  Sauf si les fournisseurs de service qui transmettent les informations à la Commission en ont déjà informé les personnes concernées, conformément aux dispositions nationales mettant en œuvre la directive 95/46/CE.

(11)  Les traitements de données soumis au contrôle préalable du CEPD comprennent les traitements énumérés à l'article 27 du règlement (CE) no 45/2001, à savoir: a) les traitements de données relatives à la santé et les traitements de données relatives à des suspicions, infractions, condamnations pénales ou mesures de sûreté; b) les traitements destinés à évaluer des aspects de la personnalité des personnes concernées, tels que leur compétence, leur rendement ou leur comportement; c) les traitements permettant des interconnexions non prévues en vertu de la législation nationale ou communautaire entre des données traitées pour des finalités différentes; d) les traitements visant à exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat.

(12)  Données révélant l'origine raciale ou ethnique, les opinons politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données relatives à la santé ou à la vie sexuelle.

(13)  Avis du 19 octobre 2005 sur trois propositions relatives au Système d'information Schengen de deuxième génération (SIS II) (COM (2005) 230 final, COM(2005) 236 final et COM(2005) 237 final) (JO C 91 du 19.4.2006, p. 38); avis du 23 mars 2005 sur la proposition de règlement du Parlement européen et du Conseil concernant le système d'information sur les visas (VIS) et l'échange de données entre les États membres sur les visas de court séjour, JO C 181 du 23.7.2005, p. 13.

(14)  JO L 381 du 28.12.2006, p. 4.

(15)  Créé par l'Acte du Conseil du 8 mai 2003 établissant le protocole modifiant la convention sur l'emploi de l'informatique dans le domaine des douanes.