8.2.2014

Journal officiel de l'Union européenne

C 38/3

Résumé de l'avis du Contrôleur européen de la protection des données sur la proposition de règlement du Parlement européen et du Conseil relatif à l’Agence de l’Union européenne pour la coopération et la formation des services répressifs (Europol) et abrogeant les décisions 2009/371/JAI et 2005/681/JAI

(Le texte complet de l'avis en anglais, français et allemand est disponible sur le site internet du CEPD http://www.edps.europa.eu)

(2014/C 38/03)

I. Introduction

I.1. Contexte de l’avis

Le 27 mars 2013, la Commission a adopté la proposition de règlement du Parlement européen et du Conseil relatif à l’Agence de l’Union européenne pour la coopération et la formation des services répressifs (Europol) et abrogeant les décisions 2009/371/JAI et 2005/681/JAI (ci-après la «proposition»). Le même jour, la Commission a transmis cette proposition pour consultation au CEPD, qui l’a reçue le 4 avril 2013.

Avant l’adoption de la proposition, le CEPD a eu l’occasion de soumettre des observations informelles. Le CEPD se félicite du fait que nombre de ces observations ont été prises en considération.

Le CEPD se réjouit du fait qu’il ait été consulté par la Commission et qu’une référence à cette consultation soit mentionnée dans le préambule de la proposition.

Le CEPD a également été consulté sur la communication de la Commission au Parlement européen, au Conseil, au Comité économique et social et au Comité des régions sur la création d’un programme européen de formation des services répressifs, adoptée en même temps que la proposition (1). Il s’abstiendra cependant d’émettre une réaction séparée sur cette communication, étant donné que ses observations à cet égard sont très limitées et qu’elles sont mentionnées dans la partie IV du présent avis.

I.2. Objectif de la proposition

La proposition est fondée sur l’article 88 et sur l’article 87, paragraphe 2, point b), du traité sur le fonctionnement de l’Union européenne (TFUE) et vise à (2):

—	mettre Europol en conformité avec les exigences du traité de Lisbonne, en définissant son cadre juridique en vertu de la procédure législative ordinaire;

—

atteindre les objectifs du programme de Stockholm en faisant d’Europol le centre névralgique d’échange d’informations entre les services répressifs des États membres et en créant des programmes européens de formation et d’échange à l’intention de tous les professionnels concernés des services répressifs;

—	conférer à Europol de nouvelles responsabilités, en reprenant les fonctions du CEPOL et en octroyant une base juridique au Centre européen de lutte contre la cybercriminalité;

—	assurer un régime solide de protection des données, en particulier en renforçant la structure de contrôle;

—	améliorer la gouvernance d’Europol en recherchant une efficience accrue et en l’alignant sur les principes définis dans l’approche commune concernant les agences décentralisées de l’Union européenne.

Le CEPD souligne que la proposition est essentielle du point de vue du traitement des données à caractère personnel. Le traitement d’informations, comprenant des données à caractère personnel, est une des raisons principales de l’existence d’Europol. En l’état actuel du développement de l’Union européenne, le travail policier opérationnel reste une compétence des États membres. Cependant, cette tâche revêt une nature transfrontalière croissante, et le niveau de l’Union européenne procure un appui en fournissant, échangeant et examinant des informations.

I.3. Objectif de l’avis

Le présent avis sera axé sur les modifications les plus significatives du cadre juridique d’Europol du point de vue de la protection des données. Il analysera en premier lieu le contexte juridique, son évolution et ses conséquences pour Europol. Il détaillera ensuite les principales modifications, qui sont les suivantes:

—	la nouvelle structure d’information d’Europol, qui engendre une fusion des différentes bases de données et ses conséquences pour le principe de limitation;

—	le renforcement du contrôle de la protection des données;

—	le transfert et l’échange de données à caractère personnel et d’autres informations, en accordant une attention particulière à l’échange de données à caractère personnel avec les pays tiers.

Cet avis abordera ensuite un certain nombre de dispositions spécifiques de la proposition, en particulier son chapitre VII (articles 34 à 48) sur les garanties en matière de protection des données.

V. Conclusions

Généralités

167.

Le CEPD souligne que la proposition est essentielle du point de vue du traitement des données à caractère personnel. Le traitement d’informations, comprenant des données à caractère personnel, est une des principales raisons d’être d’Europol et la proposition prévoit déjà une protection solide des données. Le présent avis détaillé a dès lors été adopté en vue de consolider la proposition.

168.

Le CEPD note que la décision du Conseil relative à Europol en vigueur fournit un régime solide de protection des données et considère que ce niveau ne devrait pas être abaissé, indépendamment des discussions sur la proposition de directive relative à la protection des données. Il convient de préciser ces points dans le préambule.

169.

Le CEPD salue le fait que la proposition met Europol en conformité avec les exigences de l’article 88, paragraphe 2, du TFUE, ce qui garantira que les activités d’Europol bénéficieront de la pleine participation de toutes les institutions de l’Union européenne concernées.

170.

Le CEPD salue l’article 48 de la proposition qui prévoit que le règlement (CE) no 45/2001, y compris les dispositions sur le contrôle, s’applique entièrement aux données administratives et concernant le personnel. Le CEPD regrette cependant le fait que la Commission n’ait pas choisi d’appliquer le règlement (CE) no 45/2001 aux activités principales d’Europol, et de limiter la proposition à des règles spécifiques et des dérogations supplémentaires, qui tiennent dûment compte des spécificités du secteur des services répressifs. Il note toutefois que le considérant 32 de la proposition mentionne expressément le fait que les règles relatives à la protection des données au niveau d’Europol devraient être renforcées et se fonder sur les principes du règlement (CE) no 45/2001. Ces principes constituent aussi un important point de référence pour le présent avis.

171.

Le CEPD recommande de préciser dans les considérants de la proposition que le nouveau cadre de la protection des données des institutions et des organes de l’Union européenne s’appliquera à Europol dès son adoption. En outre, l’application à Europol du régime de protection des données des institutions et organes de l’Union européenne devrait être précisée dans l’instrument remplaçant le règlement (CE) no 45/2001, comme annoncé pour la première fois en 2010, dans le cadre de la révision du paquet de mesures sur la protection des données. Au plus tard dès l’adoption du nouveau cadre général, les principaux nouveaux éléments de la réforme de la protection des données (à savoir le principe de responsabilité, l’analyse d’impact relative à la protection des données, la prise en compte du respect de la vie privée dès la conception et la protection de la vie privée par défaut ainsi que la notification de violations de données à caractère personnel) devraient aussi s’appliquer à Europol. Il convient de mentionner également ce point dans le préambule.

Europol: une nouvelle structure des informations

172.

Le CEPD comprend la nécessité de flexibilité en raison de l’évolution du contexte, ainsi qu’à la lumière des rôles croissants d’Europol. L’architecture existante des informations ne constitue pas nécessairement la référence pour l’avenir. C’est au législateur européen qu’il revient de définir la structure des informations d’Europol. Dans son rôle en tant que conseiller auprès du législateur européen, le CEPD se concentre sur la question de savoir dans quelle mesure le choix des législateurs est limité par les principes de la protection des données.

173.

En ce qui concerne l’article 24 de la proposition, il:

—	recommande de définir dans la proposition les notions d’analyse stratégique, thématique et opérationnelle et de supprimer la possibilité de traiter les données à caractère personnel aux fins de l’analyse stratégique ou thématique, à moins qu’une justification solide ne soit donnée;

—	en ce qui concerne l’article 24, paragraphe 1, point c, il recommande de définir clairement une finalité spécifique pour chaque cas d’analyse opérationnelle et d’exiger que seules les données à caractère personnel pertinentes soient traitées conformément à la finalité spécifique définie;

—

recommande d’ajouter dans la proposition les éléments suivants: i) toutes les opérations de vérification croisée par les analystes d’Europol sont expressément motivées, ii) l’extraction de données à la suite d’une consultation est limitée au strict minimum requis et est expressément motivée, iii) la traçabilité de toutes les opérations liées aux vérifications croisées est garantie, et iv) seul le personnel autorisé responsable de la finalité pour laquelle les données ont initialement été collectées peut modifier ces données.

Renforcement du contrôle de la protection des données

174.

L’article 45 de la proposition reconnaît que le contrôle du traitement prévu dans la proposition est une tâche qui nécessite aussi la participation active des autorités nationales chargées de la protection des données (3). La coopération entre le CEPD et les autorités nationales de contrôle est essentielle en vue du contrôle efficace dans ce domaine.

175.

Le CEPD salue l’article 45 de la proposition. Cet article indique que le traitement de données par les autorités nationales est soumis à un contrôle au niveau national, ce qui reflète dès lors le rôle clé des autorités nationales de contrôle. Il salue également l’exigence selon laquelle les autorités nationales de contrôle devraient tenir le CEPD informé de toute action prise à l’égard d’Europol.

176.

Le CEPD salue:

—

les dispositions sur le contrôle qui prévoient une architecture solide en matière de contrôle sur le traitement des données. Ces dispositions prennent en considération les responsabilités au niveau national et au niveau de l’Union européenne et établissent un système en vue de coordonner toutes les autorités participant à la protection des données;

—	la reconnaissance, dans la proposition, de son rôle en tant qu’autorité créée pour contrôler toutes les institutions et tous les organes de l’Union européenne;

—

l’article 47 sur la coopération et la coordination avec les autorités nationales de contrôle, mais propose de préciser que la coopération envisagée inclut la coopération tant bilatérale que collective. Un considérant devrait souligner l’importance de la coopération entre les différentes autorités de contrôle et fournir des exemples de la manière dont cette coopération pourrait être améliorée.

Transfert

177.

Le CEPD propose d’insérer à l’article 26, paragraphe 1, de la proposition une phrase indiquant que les autorités compétentes des États membres ont accès aux informations et recherchent des informations sur la base du besoin d’en connaître et dans la mesure où ces informations sont nécessaires en vue de l’accomplissement légitime de leurs tâches. Il convient de modifier l’article 26, paragraphe 2, et de le mettre en conformité avec l’article 27, paragraphe 2.

178.

Le CEPD salue le fait qu’en principe, le transfert vers des pays tiers et des organisations internationales ne peut avoir lieu que si ce transfert est adéquat ou si un accord contraignant fournit des garanties appropriées. Un accord contraignant garantira la sécurité juridique ainsi que la responsabilité d’Europol en ce qui concerne le transfert. Un accord contraignant doit toujours être nécessaire pour les transferts massifs, structurels et fréquents. Le CEPD comprend cependant qu’il existe des situations dans lesquelles un accord contraignant ne peut être requis. Ces situations devraient être exceptionnelles et fondées sur une réelle nécessité, uniquement dans des cas limités. Elles devraient également être fondées sur des garanties solides, aussi bien au niveau du fond qu’au niveau de la procédure.

179.

Le CEPD recommande fortement de supprimer la possibilité pour Europol de supposer l’autorisation des États membres. Le CEPD conseille également d’ajouter que l’autorisation devrait être accordée «avant le transfert», à la deuxième phrase de l’article 29, paragraphe 4. Le CEPD recommande également d’ajouter à l’article 29 un paragraphe exigeant qu’Europol consigne de manière détaillée les transferts de données à caractère personnel.

180.

Le CEPD recommande d’ajouter à la proposition une disposition transitoire relative aux accords de coopération existants et régissant les transferts de données à caractère personnel par Europol. Cette disposition devrait réviser ces accords dans un délai raisonnable afin de les aligner sur les exigences de la proposition. Elle devrait être insérée dans les principales dispositions de la proposition et contenir une échéance de maximum deux ans après l’entrée en vigueur de la proposition.

181.

Pour des raisons de transparence, le CEPD recommande aussi d’ajouter, à la fin de l’article 31, paragraphe 1, qu’Europol publie sur son site internet la liste, régulièrement mise à jour, de ses accords de coopération internationaux avec les pays tiers et les organisations internationales.

182.

Le CEPD recommande d’ajouter expressément, à l’article 31, paragraphe 2, que les dérogations ne peuvent s’appliquer aux transferts fréquents, massifs ou structurels, en d’autres termes aux ensembles de transferts (par opposition aux transferts occasionnels).

183.

Le CEPD recommande de prévoir un paragraphe spécifique consacré aux transferts effectués avec l’autorisation du CEPD. Ce paragraphe, qui devrait logiquement précéder celui sur les dérogations, prévoira que le CEPD peut autoriser un transfert ou un ensemble de transferts lorsqu’Europol apporte des garanties suffisantes quant à la protection de la vie privée, des libertés et droits fondamentaux des personnes et quant à l’exercice des droits correspondants. En outre, cette autorisation sera accordée avant le transfert/l’ensemble de transferts, pour une période ne dépassant pas un an, renouvelable.

Autres

184.

Le présent avis comprend de nombreuses autres recommandations, visant à améliorer encore la proposition. Quelques recommandations plus significatives sont énumérées ci-dessous:

a)	supprimer la possibilité pour Europol d’accéder directement aux bases de données nationales (article 23);

lorsque l’accès concerne des systèmes d’information européens, n’accorder l’accès que sur la base du système de «hit/no hit» (à savoir une réponse positive ou négative). Toute information relative au «hit» doit être communiquée à Europol après l’approbation et l’autorisation explicites du transfert par l’État membre (si l’accès concerne des données fournies par un État membre), l’organe de l’Union européenne ou l’organisation internationale et doit être soumise à une évaluation, tel que mentionné à l’article 35 de la proposition. Le CEPD recommande de mentionner ces conditions à l’article 23 de la proposition;

consolider l’article 35 de la proposition en faisant en sorte que l’évaluation par l’État membre qui fournit les informations soit obligatoire. Le CEPD propose de supprimer, à l’article 35, paragraphes 1 et 2, la formulation «autant que possible» et de modifier l’article 36, paragraphe 4, en conséquence;

remplacer l’aperçu de toutes les données à caractère personnel mentionné à l’article 36, paragraphe 2, par les statistiques sur ces données pour chaque finalité. Étant donné que les catégories particulières de personnes concernées mentionnées à l’article 36, paragraphe 1, méritent aussi une attention spécifique, le CEPD propose d’inclure les statistiques relatives à ces données.

inclure dans la proposition une disposition selon laquelle Europol doit adopter une politique transparente et facilement accessible expliquant son traitement des données à caractère personnel et aux fins de l’exercice des droits des personnes concernées. Cette politique devrait prendre une forme intelligible et utiliser un langage clair et simple. Cette disposition devrait aussi indiquer que cette politique doit être facilement accessible sur le site internet d’Europol ainsi que les sites internet des autorités nationales de contrôle;

étant donné que l’article 41 ne définit pas clairement la responsabilité de tous les acteurs concernés, il convient, en ce qui concerne l’article 41, paragraphe 4, de préciser que la responsabilité en matière de respect de tous les principes applicables en matière de protection des données (et pas uniquement la «légalité du transfert») appartient à l’expéditeur des données. Le CEPD recommande de modifier l’article 41 en conséquence;

ajouter dans les dispositions principales de la proposition que: i) une évaluation d’impact similaire à celle décrite dans la proposition de règlement sur la protection des données est menée pour tous les traitements relatifs aux données à caractère personnel, ii) les principes de protection des données dès la conception et de protection des données par défaut sont appliqués à la création ou à l’amélioration des systèmes de traitement des données à caractère personnel, iii) le responsable adopte des politiques et prend des mesures appropriées pour veiller au respect des règles relatives à la protection des données, et être en mesure de prouver ce respect, et pour assurer le contrôle de l’efficacité des mesures, et iv) le DPD d’Europol et, si nécessaire, les autorités de contrôle participent aux discussions sur le traitement des données à caractère personnel.

Il a également formulé quelques suggestions concernant la communication adoptée parallèlement à la proposition.

Fait à Bruxelles, le 31 mai 2013.

Peter HUSTINX

Contrôleur européen de la protection des données

(1) COM(2013) 172 final.

(2) Exposé des motifs, partie 3.

(3) Voir aussi la résolution no 4 de la conférence de printemps des autorités européennes de protection des données (Lisbonne, 16 et 17 mai 2013).