(1)

La directive (UE) 2016/680 du Parlement européen et du Conseil (2) prévoit des règles harmonisées pour la protection et la libre circulation des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Ladite directive impose à la Commission de réexaminer d’autres actes pertinents adoptés par l’Union afin d’évaluer la nécessité de les mettre en conformité avec ladite directive et de formuler, le cas échéant, les propositions nécessaires de modification de ces actes afin de garantir une approche cohérente de la protection des données à caractère personnel relevant du champ d’application de ladite directive.

(2)

La décision 2009/917/JAI du Conseil (3) institue le système d’information des douanes, dont la finalité est d’aider à prévenir, rechercher et poursuivre les infractions graves aux lois nationales en rendant les données plus rapidement disponibles et de renforcer ainsi l’efficacité des administrations douanières des États membres. Le système d’information des douanes consiste en une base de données centrale qui conserve des données à caractère personnel, telles que les noms et prénoms, les adresses, les numéros de documents d’identité, relatives aux marchandises, aux moyens de transport, aux entreprises ou aux personnes, ainsi qu’aux retenues, saisies ou confiscations d’articles et d’argent liquide. La base de données centrale est gérée par la Commission, qui n’a pas accès aux données à caractère personnel qui y sont conservées. Les autorités désignées par les États membres ont le droit d’accéder à la base de données centrale et peuvent introduire et consulter les informations qui y sont conservées. L’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et l’Agence de l’Union européenne pour la coopération judiciaire en matière pénale (Eurojust) ont, dans le cadre de leurs mandats respectifs et pour l’accomplissement de leurs tâches, le droit d’accéder aux données introduites dans la base de données centrale par les autorités désignées par les États membres et de les consulter.

(3)

Afin de garantir une approche cohérente de la protection des données à caractère personnel dans l’Union, il convient de modifier la décision 2009/917/JAI afin de la mettre en conformité avec la directive (UE) 2016/680. En particulier, les règles en matière de protection des données à caractère personnel établies dans ladite décision devraient respecter le principe de la limitation des finalités, être limitées à certaines catégories de personnes concernées et de données à caractère personnel, respecter les exigences en matière de sécurité des données, inclure une protection supplémentaire pour des catégories particulières de données à caractère personnel et respecter les conditions applicables au traitement ultérieur. En outre, il convient de prévoir un contrôle coordonné du fonctionnement du système d’information des douanes par le Contrôleur européen de la protection des données et les autorités de contrôle nationales conformément au règlement (UE) 2018/1725 du Parlement européen et du Conseil (4).

(4)

Afin d’assurer une approche claire et cohérente garantissant la protection adéquate des données à caractère personnel, il y a lieu de remplacer le terme «infractions graves» utilisé dans la décision 2009/917/JAI par le terme «infractions pénales» au sens de la directive (UE) 2016/680. En effet, le fait qu’un comportement particulier soit interdit en vertu du droit pénal d’un État membre entraîne en soi un certain degré de gravité de l’infraction. En outre, la finalité du système d’information des douanes devrait rester limitée à la prévention ou la détection, des infractions pénales prévues par les lois nationales telles qu’elles sont définies dans la décision 2009/917/JAI, c’est-à-dire des lois nationales pour lesquelles les administrations douanières nationales des États membres sont compétentes et qui sont donc particulièrement pertinentes dans le contexte des douanes, et aux enquêtes ou poursuites en la matière. Par conséquent, bien que la qualification d’infraction pénale soit une condition nécessaire, toutes les infractions pénales prévues par les lois nationales ne sont pas concernées par la décision 2009/917/JAI. Par exemple, les infractions pénales de trafic illicite de drogues, de trafic illicite d’armes et de blanchiment de capitaux sont concernées par la décision 2009/917/JAI. En outre, le remplacement du terme «infractions graves» par le terme «infractions pénales» ne devrait pas être interprété comme ayant une incidence sur les exigences spécifiques fixées dans la décision 2009/917/JAI en ce qui concerne l’établissement et l’envoi par chaque État membre d’une liste des infractions pénales prévues par ses lois nationales remplissant certaines conditions aux fins du fichier d’identification des dossiers d’enquêtes douanières.

(5)

Lorsqu’ils traitent des données à caractère personnel au titre de la décision 2009/917/JAI, sans préjudice des règles spécifiques contenues dans ladite décision, les États membres sont soumis à leurs dispositions nationales adoptées en application de la directive (UE) 2016/680, la Commission est soumise aux règles établies dans le règlement (UE) 2018/1725, Europol est soumis aux règles établies dans le règlement (UE) 2016/794 du Parlement européen et du Conseil (5) et Eurojust est soumise aux règles établies dans le règlement (UE) 2018/1727 du Parlement européen et du Conseil (6). Ces actes régissent, entre autres, les obligations et les responsabilités des responsables du traitement, des responsables conjoints du traitement et des sous-traitants, ainsi que les relations entre eux en ce qui concerne la protection des données à caractère personnel. Les autorités de contrôle nationales chargées de surveiller et d’assurer l’application de la directive (UE) 2016/680 dans chaque État membre devraient être compétentes pour surveiller et assurer l’application des dispositions relatives à la protection des données à caractère personnel établies dans la décision 2009/917/JAI par les autorités compétentes de chaque État membre. Le Contrôleur européen de la protection des données devrait être chargé de surveiller et d’assurer l’application des dispositions relatives à la protection des données à caractère personnel établies dans la décision 2009/917/JAI par la Commission, Europol et Eurojust.

(6)

Afin d’assurer une conservation optimale des données dans le système d’information des douanes, tout en réduisant la charge administrative pesant sur les autorités compétentes, et conformément au règlement (CE) no 515/97 du Conseil (7), la procédure régissant la conservation des données à caractère personnel dans le système d’information des douanes devrait être simplifiée en supprimant l’obligation d’examiner chaque année la nécessité de conserver les données à caractère personnel et en fixant une durée de conservation maximale de cinq ans, qui peut être augmentée par une période supplémentaire de deux ans pour autant que cette augmentation soit justifiée. Cette durée de conservation est nécessaire et proportionnée compte tenu de la durée habituelle des procédures pénales et de la nécessité de disposer des données pour l’exécution d’opérations douanières conjointes et d’enquêtes.

(7)

Le traitement des données à caractère personnel au titre de la décision 2009/917/JAI comprend le traitement, l’échange et l’utilisation ultérieure d’informations pertinentes aux fins énoncées à l’article 87 du traité sur le fonctionnement de l’Union européenne. Dans un souci de cohérence et de protection effective des données à caractère personnel, le traitement des données à caractère personnel au titre de la décision 2009/917/JAI devrait respecter le droit de l’Union et le droit national relatifs à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes, effectué à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris de protection contre les menaces pour la sécurité publique et de prévention de telles menaces.

(8)

Conformément à l’article 6 bis du protocole no 21 sur la position du Royaume-Uni et de l’Irlande à l’égard de l’espace de liberté, de sécurité et de justice, annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, l’Irlande est liée par la décision 2009/917/JAI et participe donc à l’adoption du présent règlement.

(9)

Conformément aux articles 1er, 2 et 2 bis du protocole no 22 sur la position du Danemark annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, le Danemark est lié par la décision 2009/917/JAI et participe donc à l’adoption du présent règlement.

(10)

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 et a rendu un avis le 4 juillet 2023.

(11)

Il convient dès lors de modifier la décision 2009/917/JAI en conséquence,

1)

À l’article 1er, le paragraphe 2 est remplacé par le texte suivant:

2)

L’article 2 est modifié comme suit:

3)

À l’article 3, paragraphe 1, la partie introductive est remplacée par le texte suivant:

«Le système d’information des douanes se compose d’une base de données centrale accessible à partir de terminaux placés dans chacun des États membres. Il comprend exclusivement les données, y compris les données à caractère personnel, nécessaires à l’accomplissement de sa finalité, telle que visée à l’article 1er, paragraphe 2, regroupées dans les catégories suivantes:».

4)

L’article 4 est modifié comme suit:

5)

À l’article 5, le paragraphe 2 est remplacé par le texte suivant:

6)

L’article 7 est modifié comme suit:

7)

L’article 8 est modifié comme suit:

8)

À l’article 13, le paragraphe 5 est remplacé par le texte suivant:

9)

L’article 14 est remplacé par le texte suivant:

10)

L’article 15 est modifié comme suit:

11)

L’article 20 est remplacé par le texte suivant:

(*2)  Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39)."

(*3)  Règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI (JO L 135 du 24.5.2016, p. 53)."

(*4)  Règlement (UE) 2018/1727 du Parlement européen et du Conseil du 14 novembre 2018 relatif à l’Agence de l’Union européenne pour la coopération judiciaire en matière pénale (Eurojust) et remplaçant et abrogeant la décision 2002/187/JAI du Conseil (JO L 295 du 21.11.2018, p. 138).»."

12)

Les articles 22, 23, 24 et 25 sont supprimés.

13)

L’article 26 est remplacé par le texte suivant:

14)

À l’article 27, paragraphe 2, le point a) est remplacé par le texte suivant:

15)

L’article 28 est modifié comme suit:

16)

L’article 29 est remplacé par le texte suivant:

17)

À l’article 30, le paragraphe 1 est supprimé.