30.1.2013

Journal officiel de l'Union européenne

C 28/3

Résumé de l'avis du contrôleur européen de la protection des données sur la proposition modifiée de règlement du Parlement européen et du Conseil relatif à la création du système «Eurodac» pour la comparaison des empreintes digitales aux fins de l’application efficace du règlement (UE) no […/…] (refonte)

(Le texte complet de l'avis en anglais, français et allemand est disponible sur le site internet du CEPD http://www.edps.europa.eu)

2013/C 28/03

1. Introduction

1.1. Consultation du CEPD

Le 30 mai 2012, la Commission a adopté une proposition concernant une refonte du règlement du Parlement européen et du Conseil relatif à la création du système «Eurodac» pour la comparaison des empreintes digitales aux fins de l’application efficace du règlement (UE) no […/…] (établissant les critères et mécanismes de détermination de l’État membre responsable de l’examen d’une demande de protection internationale présentée dans l’un des États membres par un ressortissant de pays tiers ou un apatride) et pour les demandes de comparaison avec les données d’Eurodac présentées par les services répressifs des États membres et Europol à des fins répressives, et modifiant le règlement (UE) no 1077/2011 portant création d’une agence européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice (ci-après, la «proposition») (1).

2.	La proposition a été envoyée par la Commission au CEPD pour consultation le 5 juin 2012, conformément à l’article 28, paragraphe 2, du règlement (CE) no 45/2001. Le CEPD recommande de faire référence à la présente consultation dans le préambule de la proposition.

Le CEPD regrette que les services de la Commission ne lui aient pas demandé de formuler des observations informelles à l’intention de la Commission avant l’adoption de la proposition, conformément à la procédure convenue en rapport avec les documents de la Commission relatifs au traitement de données à caractère personnel (2).

La proposition a été présentée aux ministres de l’Intérieur lors du Conseil «Justice et affaires intérieures» des 7 et 8 juin 2012 et est actuellement examinée au sein du Conseil et du Parlement européen en vue de l’adoption d’un règlement selon la procédure législative ordinaire d’ici à la fin 2012. Le présent avis du CEPD vise à contribuer à cette procédure.

7. Conclusions

87.

Le CEPD note que, ces dernières années, la nécessité d’accéder aux données d’Eurodac à des fins répressives a été longuement débattue au sein de la Commission, du Conseil et du Parlement européen. Il comprend également que la disponibilité d'une base d’empreintes digitales peut constituer un outil supplémentaire utile dans la lutte contre la criminalité. Toutefois, le CEPD rappelle aussi que cet accès à Eurodac est lourd de conséquences pour la protection des données à caractère personnel des individus dont les données sont saisies dans le système Eurodac. Pour être valable, la nécessité de cet accès doit être étayée par des éléments manifestes et indéniables, et la proportionnalité du traitement démontrée. Cela s’impose d’autant plus en cas d’atteinte aux droits d’individus qui constituent un groupe vulnérable nécessitant une protection, comme la proposition le prévoit.

88.

D’après le CEPD, les preuves apportées jusqu’à présent — et compte tenu notamment du contexte spécifique décrit ci-dessus — ne sont pas suffisantes ni assez à jour pour démontrer la nécessité et la proportionnalité de l’octroi d’un accès à Eurodac à des fins répressives. Il existe déjà un certain nombre d’instruments juridiques qui autorisent un État membre à consulter les empreintes digitales et d’autres données des services répressifs détenues par un autre État membre. Une bien meilleure justification est nécessaire au préalable pour permettre l’accès à des fins répressives.

89.

Dans ce contexte, le CEPD recommande à la Commission de prévoir une nouvelle analyse d’impact qui considère l’ensemble des options politiques pertinentes, qui fournisse des preuves solides et des données statistiques fiables et qui comprenne une évaluation dans la perspective des droits fondamentaux.

90.	Le CEPD a mis en évidence plusieurs problèmes supplémentaires, qui sont les suivants:

Législation applicable en matière de protection des données

91.	Le CEPD souligne la nécessité de clarifier la manière dont les dispositions de la proposition précisant certains droits et obligations en matière de protection des données se rapportent à la décision-cadre 2008/977/JAI du Conseil ainsi qu’à la décision 2009/371/JAI du Conseil (voir la section 4).

Conditions d’un accès à des fins répressives

Comme exposé ci-dessus, il y a lieu tout d’abord de démontrer que l’accès à Eurodac à des fins répressives est véritablement nécessaire et proportionné. Il conviendrait alors de tenir compte des observations qui suivent.

92.

Le CEPD recommande de:

—	préciser que le transfert des données d’Eurodac vers des pays tiers est interdit y compris en cas d’utilisation de ces données à des fins répressives (voir les points 43-44);

—	ajouter les finalités répressives aux informations communiquées aux personnes concernées (voir le point 45);

—	garantir sans équivoque que l’accès des autorités désignées aux données d’Eurodac est limité aux finalités répressives (voir le point 49);

—

conditionner l’accès aux données d’Eurodac à des fins répressives à une autorisation judiciaire préalable ou, à tout le moins, prévoir que l’autorité chargée de la vérification remplit ses fonctions et ses tâches en toute indépendance et qu’elle ne reçoit pas d’instructions sur l’exercice de la vérification (voir les points 50-51);

—

ajouter le critère de la «nécessité d’empêcher un danger imminent lié à une infraction terroriste ou à une autre infraction pénale grave» à la définition du cas exceptionnel justifiant la consultation des données d’Eurodac sans la vérification préalable de l’autorité chargée de la vérification et introduire un délai concret pour la vérification a posteriori (voir les points 53-54);

—

en ce qui concerne les conditions d’accès, ajouter comme conditions i) une consultation préalable du système d’information sur les visas, ii) l’existence de «bonnes raisons de croire que l’auteur d’une infraction terroriste ou d’une autre infraction pénale grave a demandé l’asile», et iii) une contribution «considérable» à des finalités répressives, et clarifier ce qu’il y a lieu d’entendre par «motifs raisonnables» (voir les points 56-57);

—	décrire, dans un considérant, le type de situations justifiant un accès direct d’Europol à la base de données centrales d’Eurodac et prévoir que les conditions strictes d’accès applicables aux autorités nationales désignées s’appliquent également à Europol (voir les points 58-59);

—	faire en sorte que la comparaison d’empreintes digitales à des fins répressives soit soumise, dans tous les cas, au minimum à des garanties identiques à celles prévues pour les finalités liées au règlement de Dublin (voir le point 62);

—	préciser plus clairement les règles relatives à la conservation et à la suppression des données (voir le point 64);

—	clarifier les informations complétant le résultat positif («hit») qui seront communiquées, le cas échéant, à Europol (voir les points 65-66);

—

spécifier la ou les finalité(s) précise(s) de la demande de comparaison avec les données d’Eurodac adressée par le conseil d’administration de l’Agence IT aux services répressifs des États membres ainsi que l’anonymisation des données par les services répressifs avant leur transmission au conseil d’administration et rétablir les règles relatives au secret professionnel (voir les points 67-68);

—	prévoir l’accès du CEPD et de l’autorité de contrôle d’Europol aux enregistrements conservés par l’Agence IT et Europol, respectivement, ainsi que l’obligation de conserver également des enregistrements aux fins de la réalisation d’autocontrôles réguliers d’Eurodac (voir les points 79 et 85);

—	clarifier le contrôle des activités de traitement de données d’Europol (voir le point 81).

Autres dispositions

93.

Le CEPD recommande de:

—	remplacer le système de maintien des activités par la nécessité d’un plan de maintien des activités et prévoir une base juridique pour les mesures de mise en œuvre contenant les modalités de ce plan (voir le point 72);

—

veiller à ce qu’une impossibilité temporaire ou permanente de fournir des empreintes digitales exploitables ne porte pas atteinte à la situation légale de l’individu et que, dans tous les cas, elle ne constitue pas un motif suffisant pour refuser d’examiner ou rejeter une demande d’asile (voir le point 73);

—	garantir la cohérence entre les obligations faites à l’Agence IT, aux États membres et à Europol de conserver des enregistrements et la documentation des activités de traitement de données (voir le point 77);

—	améliorer les dispositions concernant la sécurité des données (voir le point 82);

—	inclure le CEPD parmi les destinataires du rapport annuel de l’Agence IT (voir le point 83);

—

ajouter à l’article 43 l’obligation, pour les États membres et Europol, d’actualiser en permanence les informations qu’ils ont fournies à la Commission et imposer que la Commission mette ces informations à la disposition des États membres, d’Europol et du public «grâce à une publication électronique actualisée en permanence» (voir le point 86).

Fait à Bruxelles, le 5 septembre 2012.

Peter HUSTINX

Contrôleur européen de la protection des données

(1) COM(2012) 254 final.

(2) Le CEPD a été consulté de manière informelle par la Commission sur une modification du règlement Eurodac pour la dernière fois en 2008.