23.9.2009   

FR

Journal officiel de l'Union européenne

C 229/1

1.

La proposition de règlement du Parlement européen et du Conseil établissant les critères et mécanismes de détermination de l'État membre responsable de l'examen d'une demande de protection internationale présentée dans l'un des États membres par un ressortissant de pays tiers ou un apatride (ci-après dénommée la «proposition ou la proposition de la Commission») a été envoyée par la Commission au CEPD pour consultation le 3 décembre 2008, conformément à l'article 28, paragraphe 2, du règlement (CE) no 45/2001. Cette consultation devrait être explicitement mentionnée dans le préambule du règlement.

2.

Le CEPD a contribué à la proposition à un stade antérieur et bon nombre des points qu'il a soulevés de manière informelle au cours du processus préparatoire ont été pris en considération par la Commission dans le texte final de sa proposition.

3.

La proposition est une refonte du règlement (CE) no 343/2003 du Conseil du 18 février 2003 établissant les critères et mécanismes de détermination de l'État membre responsable de l'examen d'une demande d'asile présentée dans l'un des États membres par un ressortissant d'un pays tiers (3) (ci-après dénommé le «règlement de Dublin»). Elle a été présentée par la Commission dans le cadre du premier paquet de propositions destinées à harmoniser davantage et à améliorer les normes de protection en vue du régime d'asile européen commun, comme le demandait le programme de La Haye des 4 et 5 novembre 2004 et comme annoncé dans le plan d'action de la Commission en matière d'asile, du 17 juin 2008. Le programme de La Haye invitait la Commission à achever l'évaluation des instruments juridiques de la première phase et à présenter au Conseil et au Parlement européen les instruments et les mesures de la seconde phase de façon à permettre leur adoption avant 2010.

4.

La proposition a fait l'objet d'un travail approfondi d'évaluation et de consultation. Elle tient notamment compte des résultats du rapport de la Commission sur l'évaluation du système de Dublin, publié le 6 juin 2007 (4), qui a mis en évidence plusieurs lacunes du système actuel sur les plans juridique et pratique, ainsi que des contributions transmises à la Commission par différents acteurs en réponse au livre vert sur le futur régime d'asile européen commun (5).

5.

La proposition a pour principal objectif d'accroître l'efficacité du système de Dublin et de garantir des normes de protection plus élevées en faveur des demandeurs d'une protection internationale soumis à la «procédure de Dublin». Elle vise par ailleurs à renforcer la solidarité à l'égard des États membres qui sont confrontés à des pressions migratoires particulières (6).

6.

La proposition étend le champ d'application du règlement de Dublin aux demandeurs (et aux bénéficiaires) de la protection subsidiaire. Cette modification est nécessaire pour garantir la cohérence avec l'acquis de l'UE, à savoir la directive 2004/83/CE du Conseil du 29 avril 2004 concernant les normes minimales relatives aux conditions que doivent remplir les ressortissants des pays tiers ou les apatrides pour pouvoir prétendre au statut de réfugié ou les personnes qui, pour d'autres raisons, ont besoin d'une protection internationale, et relatives au contenu de ces statuts, (7) qui a introduit la notion de protection subsidiaire. La proposition aligne également les définitions et la terminologie employées dans le règlement de Dublin sur celles des autres instruments existant en matière d'asile.

7.

Afin de renforcer l'efficacité du système, la proposition fixe en particulier le délai de dépôt des requêtes aux fins de prise en charge et raccourcit le délai de réponse aux demandes d'information. Elle clarifie également les clauses de cessation de la responsabilité ainsi que les conditions et les procédures d'application des clauses discrétionnaires (clauses humanitaire et de souveraineté). Elle ajoute des dispositions relatives aux transferts et élargit le mécanisme existant de règlement des différends. La proposition contient également une disposition prévoyant l'organisation d'un entretien obligatoire.

8.

Par ailleurs, et toujours en vue de renforcer le niveau de protection accordé aux demandeurs, la proposition de la Commission prévoit un droit de recours contre les décisions de transfert et elle oblige les autorités compétentes à décider si l'exécution doit être suspendue ou non. Elle règle le droit à l'aide judiciaire et/ou celui de se faire représenter et l'assistance linguistique. La proposition se réfère également au principe selon lequel nul ne doit être placé en détention au seul motif qu'il demande une protection internationale. Elle étend le droit le droit au regroupement familial et traite des besoins des mineurs non accompagnés et autres groupes vulnérables.

9.

Le présent avis s'intéresse essentiellement aux modifications du texte qui sont les plus importantes du point de vue de la protection des données à caractère personnel:

10.

Le CEPD soutient les objectifs de la proposition de la Commission, qui sont en particulier d'accroître l'efficacité du système de Dublin et de garantir des normes de protection plus élevées aux demandeurs d'une protection internationale soumis à la procédure de Dublin. Il approuve également les raisons qui ont amené la Commission à entreprendre la révision du système de Dublin.

11.

Un niveau de protection adéquat des données à caractère personnel est une condition sine qua non pour que les autres droits fondamentaux puissent également être effectivement mis en œuvre et bénéficier d'un niveau de protection élevé. Le CEPD formule le présent avis en étant pleinement conscient de la place importante qu'occupent les droits fondamentaux dans la proposition, qui concerne non seulement le traitement de données à caractère personnel mais aussi beaucoup d'autres droits des ressortissants de pays tiers et/ou des apatrides, comme le droit à l'asile, le droit à l'information au sens large, le droit au regroupement familial, le droit de recours effectif, le droit à la liberté et à la liberté de circulation, les droits de l'enfant ou les droits des mineurs non accompagnés.

12.

Le considérant 34 de la proposition et l'exposé des motifs soulignent les efforts déployés par le législateur pour que la proposition soit compatible avec la charte des droits fondamentaux. Dans ce contexte, l'exposé des motifs mentionne explicitement la protection des données à caractère personnel et le droit d'asile. L'exposé des motifs souligne également que la proposition a fait l'objet d'un examen approfondi afin d'assurer la totale compatibilité de ses dispositions avec les droits fondamentaux qui sous-tendent les principes généraux du droit communautaire et du droit international. Toutefois, compte tenu du mandat du CEPD, le présent avis se concentre sur les aspects de la proposition liés à la protection des données. À cet égard, le CEPD se félicite de l'attention considérable accordée à ce droit fondamental dans la proposition, ce qu'il estime essentiel pour garantir l'efficacité de la procédure de Dublin dans le respect absolu des droits fondamentaux.

13.

Le CEPD note également que la proposition de la Commission recherche la cohérence avec les autres instruments juridiques régissant la mise en place et/ou l'utilisation d'autres systèmes informatiques à grande échelle. Il tient en particulier à souligner que le partage des responsabilités par rapport à la base de données et la façon dont le modèle de contrôle est envisagé dans la proposition sont conformes au cadre du système d'information Schengen II (SIS II) et au système d'information sur les visas.

14.

Le CEPD note avec satisfaction que son rôle en matière de contrôle est clairement établi, ce qui n'était pas le cas, pour des raisons évidentes, dans le texte précédent.

15.

L'article 4, paragraphe 1, points f) et g) de la proposition dispose:

«Dès qu'une demande de protection internationale est présentée, les autorités compétentes de l'État membre informent le demandeur d'asile de l'application du présent règlement, et notamment:

L'article 4, paragraphe 2, décrit la manière dont les informations mentionnées au paragraphe 1 doivent être communiquées au demandeur.

16.

Il est indispensable, pour que la procédure de Dublin fonctionne bien, que le droit à l'information soit correctement mis en œuvre. En particulier, il est essentiel de veiller à ce que les informations soient communiquées d'une manière qui permette au demandeur d'asile de comprendre parfaitement sa situation ainsi que l'étendue de ses droits, y compris les démarches qu'il peut effectuer pour donner suite aux décisions administratives prises à son sujet.

17.

En ce qui concerne les aspects pratiques de la mise en œuvre de ce droit, le CEPD souhaite rappeler que, conformément à l'article 4, paragraphe 1, point g), et paragraphe 2 de la proposition, les États membres devraient utiliser une brochure commune pour les demandeurs, contenant entre autres, «les coordonnées des autorités nationales de la protection des données qui peuvent être saisies des réclamations relatives à la protection des données à caractère personnel». Le CEPD souligne à ce propos que si les autorités nationales de protection des données visées à l'article 4, paragraphe 2, de la proposition, sont compétentes pour instruire les réclamations relatives à la protection des données à caractère personnel, le libellé de la proposition ne devrait pas empêcher le demandeur (personne concernée) d'adresser d'abord une réclamation au responsable du traitement (en l'espèce, les autorités nationales compétentes chargées de la coopération de Dublin. Sous sa forme actuelle, l'article 4, paragraphe 2, semble indiquer que le demandeur devrait introduire sa demande — directement et dans chaque cas — auprès de l'autorité nationale de protection des données, alors que, selon la procédure habituelle et les pratiques en vigueur dans les États membres, le demandeur introduit d'abord sa réclamation auprès du responsable du traitement.

18.

Le CEPD suggère également que l'article 4, paragraphe 1, point g) soit reformulé afin de clarifier les droits dont le demandeur doit bénéficier. La formulation proposée n'est pas claire, car on pourrait comprendre que «le droit d'obtenir des informations sur les procédures à suivre pour exercer ces droits […]» fait partie du droit d'accès aux données et/ou du droit de demander que des données inexactes soient rectifiées […] Par ailleurs, selon la formulation actuelle de cette disposition, les États membres doivent informer le demandeur non pas du contenu des droits mais de leur «existence». Comme il semble qu'il s'agisse d'un point d'ordre stylistique, le CEPD suggère de reformuler l'article 4, paragraphe 1, point g), comme suit:

«Dès qu'une demande de protection internationale est présentée, les autorités compétentes de l'État membre informent le demandeur d'asile […]:

19.

En ce qui concerne les méthodes utilisées pour communiquer les informations aux demandeurs, le CEPD renvoie aux travaux du Groupe de coordination de contrôle d'Eurodac (8) (composé de représentants de l'autorité de protection des données de chacun des États participants et du CEPD). Ce groupe examine actuellement cette question dans le cadre d'Eurodac en vue de proposer des orientations pertinentes dès que les résultats des enquêtes nationales seront disponibles et auront été analysés. Bien que cette étude coordonnée concerne plus particulièrement Eurodac, ses résultats seront sans doute intéressants aussi dans le cadre de Dublin puisqu'ils traiteront de questions telles que les langues et traductions et l'évaluation du degré réel de compréhension de l'information par le demandeur d'asile, etc.

20.

En ce qui concerne les autorités visées à l'article 33 de la proposition, le CEPD se félicite de ce que la Commission publie au Journal officiel de l'Union européenne une liste consolidée des autorités visées à son paragraphe 1. Lorsque des modifications y sont apportées, la Commission publie une mise à jour annuelle de cette liste. La publication de cette liste consolidée permettra de garantir la transparence et facilitera le contrôle par les autorités nationales de la protection des données.

21.

Le CEPD prend note de l'introduction du nouveau mécanisme d'échange des informations pertinentes entre les États membres avant l'exécution des transferts (visé à l'article 30 de la proposition). Il estime que la finalité de cet échange d'informations est légitime.

22.

Le CEPD note également que la proposition contient des garanties spécifiques en matière de protection des données, conformément à l'article 8, paragraphes 1 à 3, de la directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et notamment: a) le consentement explicite du demandeur et/ou de son représentant, b) la suppression immédiate des données par l'État ayant procédé au transfert une fois ce dernier effectué et c) le «traitement des données à caractère personnel concernant la santé n'est effectué que par un praticien de la santé soumis au secret professionnel en vertu du droit national ou de règles arrêtées par les organismes nationaux compétents, ou par une autre personne soumise à une obligation de secret équivalente» (ayant reçu une formation médicale appropriée). Il approuve également le fait que l'échange s'effectuera uniquement au moyen du réseau DubliNet et par les autorités préalablement notifiées.

23.

La manière dont ce mécanisme sera structuré revêt une importance primordiale pour sa conformité au régime de protection des données, compte tenu en particulier du fait que l'échange d'informations portera également sur des données à caractère personnel extrêmement sensibles, comme par exemple des informations relatives aux «besoins particuliers du demandeur à transférer, qui peuvent dans certains cas porter sur son état de santé physique et mentale». Dans ce contexte, le CEPD soutient pleinement l'inclusion dans la proposition de l'article 36, qui impose aux États membres de prendre les mesures nécessaires pour que des sanctions, y compris des sanctions administratives et/ou pénales, […] conformes au droit national, soient infligées en cas d'utilisation abusive des données […].

24.

L'article 32 de la proposition de la Commission régit l'échange d'informations. Le CEPD a contribué à un stade antérieur à l'élaboration de cette disposition et soutient la formulation proposée par la Commission.

25.

Le CEPD souligne qu'il est important que les autorités des États membres utilisent le réseau DubliNet pour échanger des informations sur les personnes physiques. Cela permet non seulement d'assurer davantage de sécurité mais aussi une meilleure traçabilité des échanges. À cet égard, le CEPD renvoie au document de travail des services de la Commission du 6 juin 2007 intitulé «Document d'accompagnement du rapport de la Commission au Parlement européen et au Conseil sur l'évaluation du système de Dublin» (9), dans lequel la Commission rappelle que «l'utilisation de DubliNet est toujours obligatoire, sauf dans les cas visés à l'article 15, paragraphe 1, deuxième alinéa» du règlement (CE) no 1560/2003 de la Commission du 2 septembre 2003 portant modalités d'application du règlement (CE) no 343/2003 du Conseil établissant les critères et mécanismes de détermination de l'État membre responsable de l'examen d'une demande d'asile présentée dans l'un des États membres par un ressortissant d'un pays tiers (10) (ci-après dénommé le «règlement d'application de Dublin»). Le CEPD insiste sur le fait que la possibilité de déroger à l'utilisation de DubliNet prévue à l'article 15, paragraphe 1, susmentionné doit être interprétée de manière restrictive.

26.

Certaines dispositions ont été ajoutées ou reformulées dans la proposition à cette fin, et le CEPD s'en félicite. Par exemple, le nouvel article 33, paragraphe 4, de la proposition a été reformulé afin de préciser que non seulement les demandes mais aussi les réponses et toutes les correspondances écrites sont soumises aux règles relatives à la mise en place de moyens de transmission électroniques sécurisés (conformément à l'article 15, paragraphe 1, du règlement d'application de Dublin). Par ailleurs, la suppression du paragraphe 2 dans le nouvel article 38, qui, dans le texte précédent (article 25) imposait aux États membres de transmettre les réponses et les demandes «par tout moyen fournissant une preuve de la réception», vise à clarifier le fait que les États membres devraient également utiliser DubliNet dans ce cas.

27.

Le CEPD observe que relativement peu de dispositions sont prévues dans le cadre du système de Dublin pour régir l'échange d'informations à caractère personnel. Bien que certains aspects de l'échange d'informations soient déjà traités dans le règlement d'application de Dublin, le règlement actuel ne semble pas couvrir tous les aspects de l'échange d'informations à caractère personnel, ce qui est regrettable (11).

28.

Dans ce contexte, il convient de préciser que la question de l'échange d'informations relatives aux demandeurs d'asile a également été examinée au sein du Groupe de coordination de contrôle d'Eurodac. Sans préjuger des résultats des travaux de ce groupe, le CEPD souhaite mentionner dès à présent que l'une des recommandations possibles pourrait concerner l'adoption d'un ensemble de règles semblables aux règles qui ont été arrêtées dans le manuel SIRENE de Schengen.

29.

Le CEPD soutient la proposition de règlement établissant les critères et mécanismes de détermination de l'État membre responsable de l'examen d'une demande de protection internationale présentée dans l'un des États membres par un ressortissant de pays tiers ou un apatride, présentée par la Commission. Il souscrit aux arguments qui justifient la révision du système existant.

30.

Le CEPD se félicite de la cohérence de la proposition de la Commission avec les autres instruments juridiques régissant le cadre juridique complexe de cette question.

31.

Le CEPD se félicite de l'attention considérable qui a été accordée aux droits fondamentaux dans la proposition, en particulier à la protection des données à caractère personnel. Il considère qu'il s'agit d'un préalable indispensable à l'amélioration de la procédure de Dublin. Il attire particulièrement l'attention des législateurs sur les nouveaux mécanismes d'échange de données, qui porteront, entre autres, sur les données à caractère personnel extrêmement sensibles concernant les demandeurs d'asile.

32.

Le CEPD souhaite également mentionner les travaux importants effectués dans ce domaine par le Groupe de coordination de contrôle d'Eurodac et il est convaincu que les résultats des travaux de ce groupe pourront contribuer utilement à améliorer la formulation des caractéristiques du système.

33.

Le CEPD pense que certaines des remarques formulées dans le présent avis pourront être développées lorsque viendra l'application pratique du système révisé. Il compte notamment contribuer à la définition des mesures d'exécution de l'échange d'informations par le réseau DubliNet, dont il est question aux points 24 à 27 du présent avis.

23.9.2009   

FR

Journal officiel de l'Union européenne

C 229/6

1.

Le 3 décembre 2008, la Commission a soumis au CEPD, pour avis, la proposition de règlement du Parlement européen et du Conseil concernant la création du système «Eurodac» pour la comparaison des empreintes digitales aux fins de l'application efficace du règlement (CE) no […/…] [établissant les critères et mécanismes de détermination de l'État membre responsable de l'examen d'une demande de protection internationale présentée dans l'un des États membres par un ressortissant de pays tiers ou un apatride] (ci-après dénommée «la proposition» ou «la proposition de la Commission») conformément à l'article 28, paragraphe 2, du règlement (CE) no45/2001. Cette consultation devrait être explicitement mentionnée dans le préambule du règlement.

2.

Comme il est indiqué dans l'exposé des motifs de la proposition, le CEPD a contribué à l'élaboration de cette proposition à un stade antérieur et nombre des points qu'il a soulevés de manière informelle ont été pris en compte dans le texte final de la proposition de la Commission.

3.

Le règlement (CE) no 2725/2000 (3) du Conseil du 11 décembre 2000 concernant la création du système «Eurodac» (ci-après dénommé «le règlement Eurodac») est entré en vigueur le 15 décembre 2000. Le système informatique Eurodac, créé à l'échelle de la Communauté, a pour objectif de faciliter l'application de la convention de Dublin qui visait à mettre en place un mécanisme clair et efficace permettant de déterminer l'État membre responsable de l'examen d'une demande d'asile présentée dans l'un des États membres de l'UE. La Convention de Dublin a par la suite été remplacée par un instrument de droit communautaire, le règlement (CE) no 343/2003 du Conseil du 18 février 2003 établissant les critères et mécanismes de détermination de l'État membre responsable de l'examen d'une demande d'asile présentée dans l'un des États membres par un ressortissant d'un pays tiers (4) (ci-après dénommé le «règlement de Dublin») (5). Eurodac a commencé à fonctionner le 15 janvier 2003.

4.

La proposition est une révision du règlement Eurodac et de son règlement d'application, le règlement (CE) no 407/2002 du Conseil, et vise notamment à:

5.

Il convient également de souligner que l'un des principaux objectifs de la proposition est de mieux garantir le respect des droits fondamentaux, en particulier la protection des données à caractère personnel. Le présent avis examinera si les dispositions de cette proposition satisfont comme il convient à cet objectif.

6.

La proposition tient compte des conclusions du rapport d'évaluation du système de Dublin, établi par la Commission en juin 2007 (ci-après dénommé «le rapport d'évaluation»), qui couvre les trois premières années de la mise en œuvre d'Eurodac (2003-2005).

7.

Tout en notant que le système mis au point dans le règlement a été appliqué de manière globalement satisfaisante dans les États membres, le rapport d'évaluation de la Commission met en évidence certains problèmes liés à l'efficacité des dispositions actuelles, en particulier ceux sur lesquels il est nécessaire de se pencher afin d'améliorer le système Eurodac et de faciliter l'application du règlement de Dublin. Il ressort en particulier du rapport d'évaluation que certains États membres continuent à transmettre les empreintes digitales avec retard. Le règlement Eurodac ne prévoit à l'heure actuelle qu'un délai très vague pour la transmission de ces empreintes, ce qui, en pratique, peut être à l'origine de retards importants. Il s'agit là d'un point essentiel pour l'efficacité du système, car tout retard dans la transmission peut aboutir à des résultats contraires aux principes de responsabilité énoncés dans le règlement de Dublin.

8.

Le rapport d'évaluation souligne également que l'absence d'une méthode efficace permettant aux États membres de s'informer mutuellement du statut d'un demandeur d'asile a conduit dans de nombreux cas à une mauvaise gestion de la suppression de données. Les États membres qui saisissent des données concernant une personne précise ignorent souvent qu'un autre État membre d'origine a supprimé des données et, par conséquent, ne savent pas qu'ils devraient eux aussi effacer les données qu'ils détiennent sur cette même personne. De ce fait, il n'est pas possible de garantir convenablement le respect du principe selon lequel «aucune donnée ne peut être conservée sous une forme permettant l'identification de la personne concernée pendant plus longtemps que ne l'exigent les finalités de la collecte».

9.

En outre, selon l'analyse présentée dans le rapport d'évaluation, l'imprécision qui caractérise la désignation des autorités nationales ayant accès à Eurodac gêne la Commission et le contrôleur européen de la protection des données dans leur mission de contrôle.

10.

Compte tenu du rôle d'autorité de contrôle qu'il joue actuellement à l'égard d'Eurodac, le CEPD porte un intérêt particulier à la proposition de la Commission et à ce que la révision du système Eurodac dans son ensemble connaisse une issue positive.

11.

Le CEPD note que la proposition comporte divers éléments ayant trait aux droits fondamentaux des demandeurs d'asile, tels que le droit à l'asile, le droit à l'information au sens large, le droit à la protection des données à caractère personnel. Toutefois, compte tenu de la mission du CEPD, le présent avis portera essentiellement sur les questions relatives à la protection des données abordées dans la version révisée du règlement. À cet égard, le CEPD se félicite de la place importante accordée dans la proposition au respect et à la protection des données à caractère personnel. Le CEPD saisit cette occasion pour souligner que la garantie d'un niveau élevé de protection des données à caractère personnel et d'une mise en œuvre plus efficace de cette protection dans les faits devrait être considérée comme un préalable essentiel à l'amélioration du fonctionnement d'Eurodac.

12.

Le présent avis aborde essentiellement les modifications du texte ci-après car elles sont les plus pertinentes du point de vue de la protection des données à caractère personnel:

13.

Le CEPD approuve le fait que l'on veille à ce que cette proposition soit cohérente avec d'autres instruments juridiques régissant l'établissement et/ou l'utilisation d'autres systèmes informatiques à grande échelle. Le partage des responsabilités à l'égard de la base de données ainsi que la manière dont le modèle de contrôle a été conçu dans la proposition, en particulier, sont conformes aux instruments juridiques créant le système d'information Schengen de deuxième génération (SIS II ) et le système d'information sur les visas (VIS).

14.

Le CEPD constate que la proposition est compatible avec la directive 95/46/CE et le règlement (CE) no 45/2001. À cet égard, le CEPD accueille favorablement en particulier les nouveaux considérants 17, 18 et 19, qui prévoient que la directive 95/46/CE et le règlement (CE) no 45/2001 s'appliquent au traitement des données à caractère personnel effectué, en application de la proposition de règlement, respectivement par les États membres et par les institutions et organes communautaires concernés.

15.

Enfin, le CEPD attire l'attention sur la nécessité de veiller également à la cohérence entre le règlement Eurodac et celui de Dublin et il saisit l'occasion qui lui est donnée dans le présent avis pour mieux préciser ce que recouvre cette cohérence. Il observe toutefois qu'à certains égards la question a déjà été abordée dans la proposition, notamment dans l'exposé des motifs, où il est indiqué que «la cohérence avec le règlement de Dublin (ainsi que la prise en compte des préoccupations en matière de protection des données, et notamment le respect du principe de proportionnalité) sera assurée grâce à un alignement du délai de conservation des données relatives aux ressortissants de pays tiers ou aux apatrides ayant fait l'objet d'un relevé d'empreintes digitales, à la suite du franchissement illégal d'une frontière extérieure, sur le délai pendant lequel l'article 14, paragraphe 1, du règlement de Dublin attribue la responsabilité sur la base de ces informations (c'est-à-dire un an)».

16.

Le CEPD accueille favorablement le modèle de contrôle établi dans la proposition ainsi que les tâches spécifiques qui lui sont confiées en vertu des articles 25 et 26. Aux termes de l'article 25, deux tâches de contrôle sont confiées au CEPD qui:

L'article 26 porte sur la question de la coopération entre les autorités de contrôle nationales et le contrôleur européen de la protection des données.

17.

Le CEPD note en outre qu'une approche similaire à celle qui est utilisée dans le cadre du SIS II et du VIS est envisagée dans la proposition: il s'agit d'un système de contrôle à plusieurs niveaux, dans le cadre duquel les autorités nationales chargées de la protection des données et le CEPD exercent leur fonctions de contrôle respectivement aux niveaux national et européen, un mécanisme de coopération étant établi entre les deux niveaux. La manière dont le modèle de coopération est envisagé dans la proposition reflète aussi la pratique actuelle qui s'est avérée efficace et qui a favorisé une étroite collaboration entre le CEPD et les autorités chargées de la protection des données. En conséquence, le CEPD se félicite de ce que la proposition entérine ce système et de ce que, parallèlement aux dispositions qu'il a prises à cet effet, le législateur ait veillé à la cohérence avec les mécanismes de contrôle appliqués dans d'autres systèmes informatiques à grande échelle.

18.

Le CEPD constate que la proposition n'aborde pas la question de la sous-traitance d'une partie des tâches de la Commission à une autre organisation ou entité (telle qu'une entreprise privée). Néanmoins, la Commission a fréquemment recours à la sous-traitance dans la gestion et le développement tant du système que des infrastructures de communication. Si la sous-traitance en tant que telle ne va pas à l'encontre des exigences de protection des données, il convient de mettre en place d'importantes dispositions de sauvegarde afin de veiller à ce que la sous-traitance d'activités n'affecte en rien l'applicabilité du règlement (CE) no 45/2001, y compris le contrôle de la protection des données par le CEPD. En outre, il conviendrait d'adopter d'autres dispositions de sauvegarde de nature plus technique.

19.

À cet égard, le CEPD suggère que l'on prévoie dans le cadre de la révision du règlement Eurodac des garanties juridiques analogues à celles qui sont envisagées dans les instruments juridiques relatifs au SIS II, et qu'il soit précisé que, même si la Commission confie la gestion du système à une autre autorité, cela ne «porte pas préjudice à tout mécanisme permettant un contrôle effectif exercé, en vertu du droit communautaire, par la Cour de justice, la Cour des comptes ou le contrôleur européen de la protection des données» (article 15, paragraphe 7, de la décision et du règlement SIS II).

20.

Les dispositions sont encore plus précises dans le règlement SIS II, qui stipule à l'article 47: «Au cas où (…) la Commission délègue ses responsabilités à une autre instance ou à d'autres instances, (…) elle veille à ce que le contrôleur européen de la protection des données ait le droit et la possibilité de s'acquitter pleinement de sa mission, y compris de procéder à des vérifications sur place ou d'exercer tout autre pouvoir dont il est investi en vertu de l'article 47 du règlement (CE) no 45/2001».

21.

Les dispositions susmentionnées apportent toutes les précisions nécessaires sur les conséquences de la sous-traitance d'une partie des tâches de la Commission à d'autres autorités. Le CEPD suggère donc que les dispositions poursuivant le même objectif soient ajoutées au texte de la proposition de la Commission.

22.

L'article 3, paragraphe 5, de la proposition porte sur la procédure de relevé des empreintes digitales. Selon cette disposition, «la procédure de relevé des empreintes digitales est déterminée et appliquée conformément à la pratique nationale de l'État membre concerné et dans le respect des dispositions de sauvegarde établies dans la charte des droits fondamentaux de l'Union européenne, la convention de sauvegarde des droits de l'homme et des libertés fondamentales et la convention des Nations unies relative aux droits de l'enfant». Selon les dispositions de l'article 6 de la proposition, le relevé des empreintes digitales ne peut être effectué qu'auprès de demandeurs âgés de 14 ans au moins et ce, au plus tard dans les 48 heures suivant le dépôt de la demande.

23.

En ce qui concerne tout d'abord la limite d'âge, le CEPD souligne la nécessité de veiller à la cohérence de la proposition avec le règlement de Dublin. Le système Eurodac a été créé afin de garantir l'application effective dudit règlement. En d'autres termes, si, à l'issue de la révision du règlement de Dublin qui est en cours, son application pour les demandeurs d'asile mineurs s'en trouve modifiée, il conviendra d'en tenir compte dans le règlement Eurodac (6).

24.

En second lieu, pour ce qui est de fixer des limites d'âge pour le relevé d'empreintes digitales en général, le CEPD souhaite faire observer que la plupart des documents actuellement disponibles semblent indiquer que la possibilité d'identifier avec exactitude des empreintes digitales diminue avec l'âge. À cet égard, il est conseillé de suivre de près l'étude sur le relevé des empreintes digitales menée dans le cadre de la mise en œuvre du VIS. Sans préjuger des résultats de l'étude, le CEPD tient déjà à souligner à ce stade que, dans tous les cas où le relevé d'empreintes digitales s'avère impossible ou donnerait lieu à des résultats non fiables, il importe d'indiquer des procédures de remplacement qui respectent pleinement la dignité de la personne.

25.

En troisième lieu, le CEPD prend acte des efforts du législateur pour que les dispositions relatives au relevé d'empreintes digitales respectent les exigences internationales et européennes en matière de droits de l'homme. Néanmoins, il attire l'attention sur les difficultés rencontrées dans plusieurs États membres pour déterminer l'âge de jeunes demandeurs d'asile. Très souvent, les demandeurs d'asile ou les immigrés clandestins n'ont pas de document d'identification alors qu'il est nécessaire de connaître leur âge pour déterminer s'il convient de relever leurs empreintes digitales. Les méthodes utilisées pour ce faire suscitent bien des débats dans différents États membres.

26.

À cet égard, le CEPD attire l'attention sur le fait que le groupe de coordination du contrôle d'Eurodac (7) a lancé sur cette question une étude coordonnée, dont les résultats, attendus durant le premier semestre de 2009, devraient contribuer à définir des procédures communes en la matière.

27.

Pour conclure sur ce point, le CEPD estime nécessaire, dans toute la mesure du possible, de mieux coordonner et d'harmoniser au niveau de l'UE les procédures de relevé des empreintes digitales.

28.

À l'article 4, paragraphe 1, de la proposition, il est prévu que: «Après une période de transition, une instance gestionnaire, financée sur le budget général de l'Union européenne, est chargée de la gestion opérationnelle d'EURODAC. L'instance gestionnaire veille, en coopération avec les États membres, à ce que le système central bénéficie à tout moment de la meilleure technologie disponible, moyennant une analyse coût-bénéfice». Si le CEPD approuve l'obligation prévue à l'article 4, paragraphe 1, il souhaite faire observer qu'il faudrait, dans cette disposition, remplacer l'expression «la meilleure technologie disponible» par «les meilleures techniques disponibles», qui couvre à la fois la technologie employée et la manière dont l'installation est conçue, construite, entretenue et exploitée.

29.

L'article 9, paragraphe 1, de la proposition porte sur la question de l'effacement anticipé des données. En vertu de cette disposition, l'État membre d'origine est tenu d'effacer du système central «les données concernant une personne qui a acquis la nationalité d'un État membre, quel qu'il soit, avant l'expiration de la période visée à l'article 8», dès que l'État membre d'origine apprend que l'intéressé a acquis ladite nationalité. Le CEPD approuve l'obligation qui est faite d'effacer les données, laquelle correspond bien au principe de la qualité des données. En outre, le CEPD estime que la révision de cette disposition offre l'occasion d'encourager les États membres à mettre en place des procédures garantissant que, lorsqu'une personne obtient la nationalité d'un des États membres, l'effacement des données intervient de manière certaine et rapide (et, si possible, automatique).

30.

Le CEPD souhaite également signaler qu'il conviendrait de reformuler l'article 9, paragraphe 2, qui traite de la suppression anticipée de données, car l'énoncé proposé n'est pas clair. D'un point de vue rédactionnel, le CEPD suggère de remplacer dans la proposition le pronom «il» par «ils».

31.

L'article 12 de la proposition traite de la conservation des données. Le CEPD souhaite faire observer que le fait de fixer la durée de conservation des données à un an (au lieu de 2 ans dans la version actuelle du règlement) constitue une bonne application du principe relatif à la qualité des données en vertu duquel les données doivent être conservées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées. Il s'agit là d'une heureuse amélioration du texte.

32.

Il y a lieu de se féliciter de la disposition qui prévoit la publication par l'instance gestionnaire de la liste des autorités ayant accès aux données enregistrées dans Eurodac. Cette mesure contribuera à améliorer la transparence et à créer un instrument pratique permettant, notamment aux autorités chargées de la protection des données, de mieux contrôler le système.

33.

L'article 21 de la proposition porte sur la conservation des enregistrements de l'ensemble des opérations de traitement de données effectuées au sein du système central. À l'article 21, paragraphe 2, il est précisé que ces relevés ne peuvent être utilisés que pour le contrôle de la licéité du traitement des données (…). À cet égard, il convient d'ajouter que cela inclut également des mesures d'auto-contrôle.

34.

L'article 23, paragraphe 1, point e), est ainsi libellé:

«Toute personne visée par le présent règlement est informée par l'État membre d'origine (…):

35.

Le CEPD note qu'il est indispensable au bon fonctionnement d'Eurodac que le droit à l'information soit effectivement mis en œuvre. Il est, en particulier, essentiel de veiller à ce que les informations soient fournies de telle manière que le demandeur d'asile puisse pleinement comprendre sa situation ainsi que l'étendue de ses droits, y compris les démarches qu'il peut entreprendre à la suite des décisions administratives prises à son encontre.

36.

En ce qui concerne les aspects pratiques de la mise en œuvre de ce droit, le CEPD tient à souligner que, si les autorités chargées de la protection des données peuvent être saisies des réclamations relatives à la protection des données à caractère personnel, le libellé de la proposition ne devrait pas empêcher le demandeur (la personne concernée) de présenter d'abord une réclamation au responsable du traitement. Sous sa forme actuelle, l'article 23, paragraphe 1, point e), semble indiquer que le demandeur devrait introduire sa demande - directement et dans chaque cas - auprès de l'autorité chargée de la protection des données, alors que, selon la procédure habituelle et la pratique en vigueur dans les États membres, le demandeur présente d'abord sa réclamation au responsable du traitement.

37.

Le CEPD suggère également que cette disposition soit reformulée afin de clarifier les droits dont le demandeur doit bénéficier. La formulation proposée n'est pas claire, car on pourrait comprendre que «le droit d'obtenir des informations sur les procédures à suivre pour exercer ces droits (…)» fait partie du droit d'accès aux données et/ou du droit de demander que des données inexactes soient rectifiées (…). Par ailleurs, selon la formulation actuelle de cette disposition, les États membres doivent informer la personne visée par le règlement non pas du contenu des droits mais de leur «existence». Comme il semble qu'il s'agisse d'un point d'ordre stylistique, le CEPD suggère de reformuler l'article 23, paragraphe 1, point e), comme suit:

«Toute personne visée par le présent règlement est informée par l'État membre d'origine (…):

38.

Selon la même logique, il convient de modifier l'article 23, paragraphe 10, comme suit: «Dans chaque État membre, l'autorité de contrôle nationale assiste la personne concernée dans l'exercice de ses droits, s'il y a lieu (ou: à la demande de celle-ci), conformément à l'article 28, paragraphe 4, de la directive 95/46/CE». Le CEPD tient à souligner une nouvelle fois que l'intervention de l'autorité chargée de la protection des données ne devrait pas, en principe, être nécessaire; le responsable du traitement devrait, au contraire, être encouragé à répondre de manière appropriée aux réclamations des personnes concernées. Il en va de même lorsque les autorités de différents États membres doivent coopérer. Les responsables du traitement devraient être en premier ressort chargés du traitement des demandes et devraient coopérer à cette fin.

39.

En ce qui concerne l'article 23, paragraphe 9, le CEPD se félicite non seulement de l'objectif même de cette disposition (qui envisage le contrôle du recours à des «recherches spéciales», recommandé par les autorités chargées de la protection des données dans leur premier rapport sur des inspections coordonnées), mais il note également avec satisfaction la procédure proposée pour y parvenir.

40.

S'agissant des méthodes destinées à fournir des informations aux demandeurs, le CEPD renvoie aux travaux entrepris par le groupe de coordination du contrôle d'Eurodac. Ce groupe examine actuellement cette question dans le cadre d'Eurodac afin de proposer des conseils pertinents dès que les résultats des enquêtes nationales auront été communiqués et rassemblés.

41.

Le CEPD souscrit à la proposition de règlement du Parlement européen et du Conseil concernant la création du système «Eurodac» pour la comparaison des empreintes digitales aux fins de l'application efficace du règlement (CE) no […/…] établissant les critères et mécanismes de détermination de l'État membre responsable de l'examen d'une demande de protection internationale présentée dans l'un des États membres par un ressortissant de pays tiers ou un apatride.

42.

Le CEPD accueille favorablement le modèle de contrôle suggéré dans la proposition ainsi que du rôle et des tâches qui lui ont été confiés dans le nouveau système. Le modèle envisagé reflète la pratique actuelle qui a fait la preuve de son efficacité.

43.

Le CEPD constate que l'on veille dans cette proposition à la cohérence avec d'autres instruments juridiques régissant la mise en place et/ou l'utilisation d'autres systèmes informatiques à grande échelle.

44.

Le CEPD se félicite de la place importante accordée dans la proposition au respect des droits fondamentaux et, en particulier, à la protection des données à caractère personnel. Comme il l'a en outre indiqué dans son avis sur la révision du règlement de Dublin, le CEPD estime que cette approche est une condition préalable indispensable à l'amélioration des procédures d'asile dans l'Union européenne.

45.

Le CEPD attire l'attention sur la nécessité de garantir pleinement la cohérence entre le règlement Eurodac et le règlement de Dublin.

46.

Le CEPD estime nécessaire d'améliorer au niveau de l'UE la coordination et l'harmonisation des procédures de relevé d'empreintes, qu'elles concernent les demandeurs d'asile ou toute autre personne faisant l'objet de la procédure Eurodac. Il attire plus particulièrement l'attention sur la question des limites d'âge pour le relevé d'empreintes, notamment sur les difficultés que rencontrent plusieurs États membres pour déterminer l'âge de jeunes demandeurs d'asile.

47.

Le CEPD insiste pour que soient clarifiées les dispositions relatives aux droits des personnes concernées et souligne en particulier que les responsables du traitement sont responsables au premier chef de la mise en œuvre de ces droits.

23.9.2009   

FR

Journal officiel de l'Union européenne

C 229/12

1.

L'initiative de la République française en vue de l'adoption d'une décision du Conseil sur l'emploi de l'informatique dans le domaine des douanes (ci-après dénommée «la proposition de décision») a été publiée au Journal officiel le 5 février 2009 (4). Le CEPD n'a pas été invité à formuler d'avis sur cette proposition de décision, ni par l'État membre qui l'a présentée, ni par le Conseil. Néanmoins, la commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen a demandé au CEPD de présenter ses observations sur la proposition de décision de la France, conformément à l'article 41 du règlement (CE) no 45/2001, dans le cadre de l'avis que le Parlement européen doit rendre sur cette proposition. Alors que, dans des cas similaires (5), le CEPD a rendu un avis de sa propre initiative, le présent avis doit également être considéré comme une réponse à cette demande du Parlement européen.

2.

Le CEPD estime que le présent avis devrait être mentionné dans le préambule de la décision du Conseil, comme c'est le cas pour un certain nombre d'instruments juridiques adoptés, eux, sur la base d'une proposition de la Commission, dans lesquels l'avis du CEPD est mentionné.

3.

Bien que l'État membre qui prend l'initiative d'une mesure législative dans le cadre du titre VI du traité UE ne soit pas légalement tenu de demander l'avis du CEPD, les règles applicables n'excluent cependant pas cette possibilité. Le CEPD regrette que ni la République française, ni le Conseil n'aient sollicité son avis en l'espèce.

4.

Le CEPD souligne que, compte tenu de l'examen dont fait actuellement l'objet la proposition de décision au sein du Conseil, les observations présentées dans le présent avis se fondent sur la version de la proposition de décision en date du 24 février 2009 (doc. 5903/2/09 REV 2), qui est publiée sur le site Internet du Parlement européen (6).

5.

Le CEPD estime que la justification de la proposition de décision elle-même ainsi que certains articles spécifiques de cette proposition et certains mécanismes qui y sont prévus requièrent de plus amples explications. Il regrette que la proposition de décision ne soit pas accompagnée d'une analyse d'impact ou d'un exposé des motifs. Ce type d'analyse constitue en effet un élément indispensable pour améliorer la transparence et, de manière plus générale, la qualité du processus législatif. Le fait de disposer d'éléments explicatifs permettrait également d'évaluer plus aisément un certain nombre de suggestions figurant dans la proposition de décision, en ce qui concerne par exemple la nécessité d'accorder le droit d'accès au SID à Europol et Eurojust et sa justification.

6.

Le CEPD a tenu compte de l'avis 9/03 que l'Autorité de contrôle commune des douanes a rendu le 24 mars 2009 concernant le projet de décision du Conseil sur l'emploi de l'informatique dans le domaine des douanes.

7.

Le cadre juridique qui régit le système d'information des douanes (ci-après dénommé «le SID») est actuellement constitué d'instruments relevant à la fois du premier et du troisième piliers. Le cadre juridique relevant du troisième pilier qui régit le SID comprend essentiellement la Convention du 26 juillet 1995 établie sur la base de l'article K.3 du traité sur l'Union européenne, sur l'emploi de l'informatique dans le domaine des douanes (ci-après dénommée «la convention SID» (7), ainsi que les protocoles du 12 mars 1999 et du 8 mars 2003.

8.

Les dispositions actuelles en matière de protection des données sont subordonnées à l'application de la Convention du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (ci-après dénommée «la convention no 108 du Conseil de l'Europe»). Par ailleurs, la décisioncadre 2008/977/JAI du Conseil s'applique au SID en vertu de la proposition de décision.

9.

La partie du SID qui relève du premier pilier est régie par le règlement (CE) no 515/97 du 13 mars 1997 du Conseil relatif à l'assistance mutuelle entre les autorités administratives des États membres et à la collaboration entre celles-ci et la Commission en vue d'assurer la bonne application des réglementations douanière et agricole, (8)

10.

L'objectif de la convention SID, conformément à son article 2, paragraphe 2, était d'aider à prévenir, rechercher et poursuivre les infractions graves aux lois nationales en renforçant, par une diffusion plus rapide des informations, l'efficacité des procédures de coopération et de contrôle des administrations douanières des États membres.

11.

Aux termes de la convention SID, le SID se compose d'une base de données centrale accessible à partir de terminaux placés dans chacun des États membres. Ses autres caractéristiques principales sont les suivantes :

12.

La proposition de décision présentée par la France, sur la base de l'article 30, paragraphe 1, point a), et de l'article 34, paragraphe 2, du traité sur l'Union européenne, vise à remplacer la convention SID, ainsi que les protocoles du 12 mars 1999 et du 8 mars 2003, afin d'aligner la partie du SID qui relève du troisième pilier sur les instruments relevant du premier pilier.

13.

Néanmoins, la proposition de décision ne se contente pas de remplacer le texte de la convention SID par une décision du Conseil. Elle modifie un certain nombre de dispositions de la convention CID et élargit les possibilités actuelles d'accès au SID en octroyant le droit d'accès au SID à Europol et Eurojust. En outre, la proposition de décision contient des dispositions relatives au fonctionnement du SID qui sont similaires à celles prévues par le règlement (CE) no 766/2008 susmentionné, par exemple en ce qui concerne la création d'un fichier d'identification des dossiers d'enquêtes douanières (chapitre VI).

14.

La proposition de décision tient également compte de nouveaux instruments juridiques tels que la décisioncadre 2008/977/JAI et la décision-cadre 2006/960/JAI du 13 décembre 2006 relative à la simplification de l'échange d'informations et de renseignements entre les services répressifs des États membres de l'Union européenne (10).

15.

La proposition de décision vise entre autres à:

16.

Dans ce contexte, l'objectif du SID, conformément à l'article 1er de la proposition de décision, est d'aider à prévenir, rechercher et poursuivre les infractions graves aux lois nationales en rendant les données plus rapidement disponibles et en renforçant ainsi l'efficacité des procédures de coopération et de contrôle des administrations douanières des États membres. Cette disposition reprend largement l'article 2, paragraphe 2, de la convention SID.

17.

Pour atteindre ces objectifs, la proposition de décision élargit les possibilités d'utilisation des données du SID et comprend l'interrogation de systèmes et la possibilité d'analyse stratégique ou opérationnelle. Le CEPD prend note de l'élargissement de l'objectif du SID et de la liste des catégories de données à caractère personnel à collecter et à traiter, ainsi que de la liste des personnes concernées qui ont directement accès au SID.

18.

Compte tenu du rôle d'autorité de contrôle qu'il joue actuellement pour le volet central de la partie du SID relevant du premier pilier, le CEPD s'intéresse tout particulièrement à la proposition de décision examinée ainsi qu'aux travaux récents menés au sein du Conseil concernant son contenu. Le CEPD insiste sur la nécessité de garantir une approche cohérente et globale afin d'aligner entre elles les parties du SID relevant du premier et du troisième piliers.

19.

Le CEPD observe que la proposition de décision aborde différents aspects liés aux droits fondamentaux, en particulier la protection des données à caractère personnel ainsi que le droit à l'information et d'autres droits des personnes concernées.

20.

En ce qui concerne le régime actuel de protection des données prévu par la convention SID, le CEPD tient à indiquer qu'il était nécessaire de modifier et d'actualiser un certain nombre des dispositions actuelles de la convention, étant donné qu'elles ne satisfont plus aux exigences et normes actuelles en matière de protection des données. Le CEPD saisit cette occasion pour souligner que la garantie d'un niveau élevé de protection des données à caractère personnel et d'une mise en œuvre plus efficace de cette protection dans les faits devrait être considérée comme un préalable essentiel à l'amélioration du fonctionnement du SID.

21.

Après quelques observations générales, le présent avis abordera essentiellement les questions pertinentes du point de vue de la protection des données à caractère personnel qui sont énumérées ciaprès:

22.

Ainsi qu'il l'a indiqué dans ses observations préliminaires, le CEPD s'intéresse tout particulièrement aux travaux récemment menés sur la partie du SID relevant du troisième pilier, étant donné qu'il exerce déjà un contrôle sur le volet central de la partie du SID relevant du premier pilier, conformément au nouveau règlement (CE) no 766/2008 du Parlement européen et du Conseil (11) en vue d'assurer la bonne application des réglementations douanière et agricole.

23.

À cet égard, le CEPD souhaite attirer l'attention du législateur sur le fait qu'il a déjà formulé des observations sur des questions relatives au contrôle de la partie du SID relevant du premier pilier dans plusieurs avis, en particulier dans son avis du 22 février 2007 (12).

24.

Dans ce dernier avis, le CEPD a souligné que «la création et le perfectionnement des divers instruments visant à renforcer la coopération communautaire, tels que le SID, entraînent un accroissement de la part d'informations à caractère personnel qui seront initialement collectées par les autorités administratives des États membres, puis échangées entre elles et, dans certains cas, également échangées avec des pays tiers. Les données à caractère personnel traitées par les autorités administratives des États membres et échangées entre elles peuvent comprendre des informations relatives à la participation présumée ou confirmée de personnes physiques à des actes illicites dans le cadre d'opérations effectuées en matière douanière ou agricole. (…) Son importance est d'ailleurs encore plus nette si l'on tient compte du type de données collectées et échangées, notamment celles relatives à des personnes soupçonnées d'être impliquées dans des actes illicites, et de la finalité et du résultat d'ensemble du traitement des données.»

25.

Le CEPD souligne que, contrairement aux modifications que le règlement (CE) no 766/2008 a apportées à l'instrument relevant du premier pilier qui régit le SID, la proposition de décision prévoit une révision complète de la convention SID, offrant ainsi au législateur la possibilité d'avoir une vision plus générale du système dans son ensemble, fondée sur une approche cohérente et globale.

26.

De l'avis du CEPD, cette approche doit également être axée sur l'avenir. D'autres évolutions, telles que l'adoption de la décision-cadre 2008/977/JAI et la (possible) future entrée en vigueur du traité de Lisbonne, devraient être dûment examinées et prises en compte au moment de décider du contenu de la proposition de décision.

27.

En ce qui concerne l'entrée en vigueur du traité de Lisbonne, le CEPD attire l'attention du législateur sur la nécessité de procéder à une analyse approfondie des effets que la suppression de la structure en piliers de l'UE pourrait avoir sur le SID lorsque ledit traité entrera en vigueur, étant donné que le SID est actuellement fondé sur une combinaison d'instruments relevant des premier et troisième piliers. Le CEPD regrette le manque d'explications concernant cette importante évolution future, qui aurait des répercussions importantes sur le cadre juridique qui régira le SID à l'avenir. D'une manière plus générale, le CEPD soulève la question de savoir s'il ne serait pas plus opportun que le législateur attende l'entrée en vigueur du traité de Lisbonne pour procéder à cette révision, de manière à éviter toute insécurité juridique.

28.

De l'avis du CEPD, le fait de remplacer l'intégralité de la convention SID offre également une bonne occasion de garantir la cohérence du SID avec d'autres systèmes et mécanismes mis en place depuis l'adoption de la convention SID. À cet égard, le CEPD appelle à veiller à la cohérence, également en ce qui concerne le modèle de contrôle, avec d'autres instruments juridiques, en particulier ceux qui établissent le système d'information Schengen de deuxième génération (SIS II) et le Système d'information sur les visas.

29.

Le CEPD se félicite que la proposition de décision tienne compte de la décision-cadre relative à la protection des données à caractère personnel, compte tenu des échanges de données qui ont lieu entre États membres dans le cadre du SID. L'article 20 du projet de décision indique clairement que la décision-cadre 2008/977/JAI s'applique aux fins de la protection des données échangées conformément à la présente décision, dans la mesure où celle-ci n'en dispose pas autrement. Le CEPD observe par ailleurs que la proposition de décision fait également référence à la décisioncadre dans d'autres dispositions, par exemple à l'article 4, paragraphe 5, qui prévoit que les données visées à l'article 6 de la décision-cadre 2008/977/JAI ne sont pas incluses dans le SID, à l'article 8 relatif à l'utilisation des données provenant du SID pour atteindre l'objectif visé à l'article 1er, paragraphe 2, à l'article 22 relatif aux droits des personnes pour ce qui est des données à caractère personnel figurant dans le SID et à l'article 29 relatif à la responsabilité et aux obligations.

30.

Le CEPD estime que les notions et principes établis dans cette décisioncadre sont valables dans le contexte du SID et qu'ils devraient donc s'appliquer au SID, dans un souci à la fois de sécurité juridique et de cohérence entre les régimes juridiques.

31.

Cela dit, le CEPD insiste sur le fait que le législateur devrait prévoir les garanties nécessaires pour que, en attendant la pleine application des dispositions de la décisioncadre 2008/977/JAI, conformément à ses dispositions finales, il n'y ait pas de faille dans le système de protection des données. En d'autres termes, le CEPD souhaite souligner qu'il est favorable à l'approche consistant à mettre en place les garanties nécessaires et adéquates avant que de nouveaux échanges de données n'aient lieu.

32.

Le CEPD estime que l'application effective du droit à la protection des données et du droit à l'information est un élément fondamental du bon fonctionnement du SID. Des garanties en matière de protection des données sont non seulement nécessaires pour assurer une protection efficace des personnes dont les données figurent dans le SID, mais elles devraient également permettre de contribuer à un fonctionnement harmonieux et plus efficace du système.

33.

Le CEPD attire l'attention du législateur sur le fait que des garanties solides et efficaces en matière de protection des données sont d'autant plus nécessaires que le SID est une base de données fondée davantage sur des «soupçons» que sur des condamnations ou d'autres décisions judiciaires ou administratives, ce qui ressort de l'article 5 de la proposition de décision, qui prévoit que: «les données relatives aux catégories visées à l'article 3 sont introduites dans le système d'information des douanes uniquement à des fins d'observation et de compte rendu, de surveillance discrète, de contrôles spécifiques et d'analyse stratégique ou opérationnelle. Aux fins des actions suggérées (…), les données à caractère personnel (…) ne peuvent être introduites dans le système d'information des douanes que si, principalement sur la base d'activités illégales préalables, des indices réels portent à croire que la personne en question a commis ou est en train de commettre ou commettra des violations graves des lois nationales.» Compte tenu de cette caractéristique du SID, la proposition de décision requiert des garanties équilibrées, efficaces et perfectionnées en termes de protection des données à caractère personnel et des mécanismes de contrôle.

34.

En ce qui concerne les dispositions de la proposition de décision spécifiquement consacrées à la protection des données à caractère personnel, le CEPD prend note des efforts déployés par le législateur pour prévoir davantage de garanties que n'en offre la convention SID. Néanmoins, le CEPD tient à exprimer un certain nombre de préoccupations importantes concernant les dispositions relatives à la protection des données à caractère personnel et, en particulier, s'agissant de l'application du principe de limitation de la finalité.

35.

Il convient également de mentionner à cet égard que les observations formulées dans le présent avis sur les garanties en matière de protection des données ne concernent pas uniquement les dispositions qui modifient ou élargissent le champ d'application de la convention SID, mais portent également sur les parties reprises de la version actuelle de la convention SID. La raison en est que, comme indiqué dans les observations générales, le CEPD estime que certaines dispositions de la convention SID semblent ne plus satisfaire aux exigences actuelles en matière de protection des données et que la proposition de décision présentée par la France offre une bonne occasion de revoir l'ensemble du SID et de garantir un niveau adéquat de protection de données, équivalent à celui qui prévaut dans la partie du SID relevant du premier pilier.

36.

Le CEPD note avec satisfaction que seules les données à caractère personnel figurant sur une liste fermée et exhaustive peuvent être introduites dans le SID. Il se félicite également que la proposition de décision prévoie une définition des termes «données à caractère personnel» plus large que celle qui figure dans la convention SID. En effet, aux termes de l'article 2, point 2, de la proposition de décision, on entend par «données à caractère personnel» toute information concernant une personne physique identifiée ou identifiable («personne concernée»);«est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale.»

37.

Au nombre des dispositions qui suscitent d'importantes préoccupations en matière de protection des données figure notamment l'article 8 de la proposition de décision, qui prévoit que les États membres ne peuvent utiliser les données provenant du système d'information des douanes que pour atteindre l'objectif visé à l'article 1er, paragraphe 2. Ils peuvent, toutefois, s'en servir à des fins administratives ou autres avec une autorisation préalable de l'État membre qui les a introduites dans le système et sous réserve des conditions qu'il a imposées. Un tel autre usage doit être conforme aux lois, réglementations et procédures de l'État membre cherchant à s'en servir conformément à l'article 3, paragraphe 2, de la décision-cadre 2008/977/JAI. Cette disposition relative à l'utilisation des données provenant du SID est essentielle pour la structure du système et doit donc faire l'objet d'une attention particulière.

38.

L'article 8 de la proposition de décision fait référence à l'article 3, paragraphe 2, de la décisioncadre 2008/977/JAI, qui concerne les «principes de licéité, de proportionnalité et de finalité». L'article 3 de la décision-cadre prévoit ce qui suit:

«1.   Les données à caractère personnel peuvent être collectées par les autorités compétentes uniquement pour des finalités déterminées, explicites et licites dans le cadre de leurs tâches et traitées uniquement pour les finalités pour lesquelles elles ont été collectées. Le traitement des données est licite et adéquat, pertinent et non excessif au regard des finalités pour lesquelles elles sont collectées.

2.   Le traitement ultérieur des données pour une autre finalité est permis, dans la mesure où:

39.

Nonobstant l'application de l'article 3, paragraphe 2, de la décisioncadre 2008/977/JAI, qui fixe des conditions générales dans lesquelles le traitement pour une autre finalité est permis, le CEPD attire l'attention sur le fait que l'article 8 de la proposition de décision, en autorisant l'utilisation des données provenant du SID à des fins administratives ou autres, quelles qu'elles soient, non définies dans ledit projet, suscite des inquiétudes quant au respect des exigences en matière de protection des données, en particulier en ce qui concerne le principe de limitation de la finalité. D'ailleurs, l'instrument relevant du premier pilier n'autorise pas une telle utilisation générale. En conséquence, le CEPD demande que les fins auxquelles les données peuvent être utilisées soient précisées. Cet aspect est essentiel du point de vue de la protection des données, puisqu'il est lié aux principes fondamentaux qui régissent l'utilisation des données dans les systèmes à grande échelle: les données ne devraient être utilisées qu'à des fins bien définies et clairement délimitées, régies par le cadre juridique.

40.

L'article 8, paragraphe 4, de la proposition de décision concerne les données transférées à des pays tiers ou à des organisations internationales. Aux termes de cette disposition: «les données provenant du système d'information des douanes peuvent, avec l'autorisation préalable de l'État membre qui les a introduites dans le système et sous réserve des conditions qu'il a imposées, être transférées à (…) des pays tiers ainsi qu'à des organisations internationales ou régionales désirant s'en servir. Chaque État membre prend des mesures spéciales pour s'assurer de la sécurité de ces données lorsqu'elles sont transférées à des services situés hors de son propre territoire. Les détails de ces mesures doivent être transmis à l'autorité de contrôle commune visée à l'article 25.»

41.

Le CEPD note que l'article 11 de la décision-cadre relative à la protection des données à caractère personnel s'applique en l'occurrence. Il convient cependant de souligner que, compte tenu du champ d'application très général de l'article 8, paragraphe 4, de la proposition de décision, qui permet en principe aux États membres de transférer des données provenant du SID à des pays tiers ainsi qu'à des organisations internationales ou régionales désirant s'en servir, les garanties envisagées dans cette disposition sont loin d'être suffisantes du point de vue de la protection des données à caractère personnel. Le CEPD demande donc que l'article 8, paragraphe 4, soit réexaminé afin de prévoir un système uniforme d'évaluation du caractère adéquat des mesures adoptées à travers un mécanisme approprié, en prévoyant par exemple que le comité visé à l'article 26 de la proposition de décision soit associé à cette évaluation.

42.

Le CEPD accueille avec satisfaction les dispositions relatives à la modification des données (chapitre IV, article 13), qui contribuent dans une large mesure au respect du principe de la qualité des données. Le CEPD salue en particulier l'élargissement et la modification, par rapport à la convention SID, de la portée de cette disposition, qui prévoit désormais également la rectification et l'effacement des données. Ainsi, l'article 13, paragraphe 2, de la proposition de décision prévoit que si un État membre fournisseur ou Europol s'aperçoit ou apprend que les données qu'il a introduites sont de fait inexactes ou qu'elles ont été introduites ou qu'elles sont conservées contrairement à ladite décision, il modifie, complète, rectifie ou efface ces données comme il convient, et en avise les autres États membres et Europol.

43.

Le CEPD prend note des dispositions du chapitre V concernant la conservation des données, qui se fonde pour l'essentiel sur la convention SID et prévoit notamment des délais de conservation des données copiées à partir du SID.

44.

Le chapitre IX (Protection des données à caractère personnel) reprend de nombreuses dispositions de la convention SID. Il introduit néanmoins une modification importante par rapport à cette dernière, à savoir que la décisioncadre relative à la protection des données à caractère personnel s'applique au SID, et il prévoit, à l'article 22 de la proposition de décision, que «les droits des personnes, pour ce qui est des données à caractère personnel figurant dans le système d'information des douanes, et notamment leur droit d'accès, de rectification, d'effacement ou de verrouillage s'exercent conformément aux lois, réglementations et procédures de l'État membre mettant en œuvre la décision-cadre 2008/977/JAI dans lequel elles font valoir ces droits». Dans ce contexte, le CEPD souhaite notamment mettre l'accent sur l'importance d'un maintien de la procédure permettant aux personnes concernées de faire valoir leurs droits et d'être en mesure de demander l'accès aux données dans tout État membre. Le CEPD examinera de près la mise en œuvre concrète de ce droit important des personnes concernées.

45.

La proposition de décision élargit également le champ d'application de la convention SID en ce qui concerne l'interdiction de copier des données provenant du SID dans d'autres fichiers de données nationaux L'article 14, paragraphe 2, de la convention SID prévoit explicitement que «les données à caractère personnel introduites par d'autres États membres ne peuvent pas être copiées du système d'information des douanes dans d'autres fichiers de données nationaux». La proposition de décision, quant à elle, autorise à copier ces données «en cas de copies dans des systèmes de gestion des risques chargés d'orienter les contrôles douaniers au niveau national ou de copies dans un système d'analyse opérationnelle permettant de coordonner les actions» (article 21, paragraphe 3). À cet égard, le CEPD s'associe aux observations formulées par l'Autorité de contrôle commune des douanes dans son avis 9/03, en particulier en ce qui concerne les termes «systèmes de gestion des risques» et la nécessité de préciser davantage dans quels cas et dans quelles circonstances il serait possible de procéder aux copies autorisées en vertu de l'article 21, paragraphe 3.

46.

Le CEPD accueille avec satisfaction les dispositions prévues en matière de sécurité, qui sont essentielles en vue d'un fonctionnement efficace du SID (chapitre XII).

47.

La proposition de décision ajoute des dispositions relatives au fichier d'identification des dossiers d'enquêtes douanières (articles 16 à 19), compte tenu de l'établissement de ce fichier dans le cadre de l'instrument relevant du premier pilier. Bien que le CEPD ne remette pas en question la nécessité de disposer de bases de données nouvelles de ce type dans le cadre du SID, il souligne qu'il est nécessaire de mettre en place des garanties appropriées en matière de protection des données. À cet égard, le CEPD se réjouit que l'exception prévue à l'article 21, paragraphe 3, ne s'applique pas aux fichiers d'identification des dossiers d'enquêtes douanières.

48.

La proposition de décision accorde à l'Office européen de police (Europol) et à l'Unité européenne de coopération judiciaire (Eurojust) le droit d'accéder au SID.

49.

Tout d'abord, le CEPD indique qu'il est nécessaire de définir clairement la finalité de cet accès et d'évaluer la proportionnalité et la nécessité de l'élargissement de l'accès au SID. Or aucune information justifiant la nécessité d'accorder le droit d'accès au SID à Europol et Eurojust n'est fournie. Le CEPD souligne par ailleurs que lorsque l'on propose de donner accès à des bases de données, à des fonctionnalités et au traitement d'informations à caractère personnel, il est manifestement nécessaire d'évaluer à l'avance non seulement l'utilité d'un tel accès, mais également la nécessité réelle et avérée d'une telle proposition. Le CEPD insiste sur le fait qu'aucune justification n'a été fournie.

50.

Le CEPD demande en outre que le texte définisse clairement les missions exactes au titre desquelles Europol et Eurojust peuvent se voir accorder l'accès aux données concernées.

51.

Conformément à l'article 11 de la proposition de décision, Europol a le droit, dans les limites de son mandat et aux fins de l'accomplissement de ses tâches, d'accéder aux données introduites dans le SID, de les consulter directement et d'introduire des données dans ledit système.

52.

Le CEPD salue les limitations que prévoit la proposition de décision, à savoir notamment:

53.

Le CEPD souhaiterait également faire observer que, à chaque fois que la proposition de décision fait référence à la convention Europol, il convient de tenir compte de la décision du Conseil en vertu de laquelle Europol va devenir, à compter du 1er janvier 2010, une agence de l'UE.

54.

L'article 12 de la proposition de décision porte sur l'accès d'Eurojust au SID. Il prévoit que «sous réserve du chapitre IX, les membres nationaux de l'Unité européenne de coopération judiciaire (Eurojust), ainsi que leurs assistants, ont le droit, dans les limites de leur mandat et aux fins de l'accomplissement des tâches d'Eurojust, d'accéder aux données introduites dans le système d'information des douanes conformément aux articles 1er, 3, 4, 5 et 6, et de les consulter». La proposition de décision prévoit des dispositions similaires à celles envisagées pour Europol s'agissant du consentement de l'État membre qui a introduit les données. Les observations ci-dessus selon lesquelles il est nécessaire de justifier la nécessité d'accorder le droit d'accès au SID et de prévoir des limitations adéquates et nécessaires si cet accès est octroyé s'appliquent également à Eurojust.

55.

Le CEPD se félicite que l'accès au SID soit accordé uniquement aux membres nationaux d'Eurojust, à leurs adjoints et à leurs assistants. Il constate cependant que l'article 12, paragraphe 1, de la proposition de décision ne mentionne que les membres nationaux et leur assistants, alors que les autres paragraphes de cet article mentionnent également les adjoints des membres nationaux. Le législateur devrait veiller à la clarté et à la cohérence du texte à cet égard.

56.

En ce qui concerne le contrôle envisagé de la partie du SID relevant du troisième pilier, le CEPD attire l'attention du législateur sur la nécessité de garantir un contrôle cohérent et global de l'ensemble du système. Il convient de tenir compte du cadre juridique complexe qui régit le SID, fondé sur deux bases juridiques, et d'éviter la coexistence de deux modèles de contrôle différents dans un souci de clarté juridique et pour des raisons pratiques.

57.

Ainsi qu'il a été indiqué cidessus, le CEPD agit à ce jour en tant que contrôleur du volet central de la partie du SID relevant du premier pilier, conformément à l'article 37 du règlement (CE) no 515/97 du Conseil, tel que modifié par le règlement (CE) no 766/2008, qui prévoit que le contrôleur européen de la protection des données contrôle la conformité du SID avec les dispositions du règlement (CE) no 45/2001. Le CEPD constate que le modèle de contrôle envisagé dans la proposition de décision présentée par la France ne tient pas compte de ce rôle du CEPD , étant donné qu'il est fondé sur le rôle joué par l'autorité de contrôle commune du SID.

58.

Bien que le CEPD apprécie à sa juste valeur le travail effectué par l'autorité de contrôle commune du SID, il avance deux raisons pour lesquelles un modèle de contrôle coordonné, conforme aux tâches de contrôle qu'il exerce actuellement dans le cadre d'autres systèmes à grande échelle, devrait être appliqué. Premièrement, un tel modèle garantirait une cohérence interne entre les parties du SID relevant du premier et du troisième piliers. Deuxièmement, il assurerait dans le même temps une cohérence avec les modèles mis en place pour d'autres systèmes à grande échelle. En conséquence, le CEPD conseille d'appliquer à l'ensemble du SID un modèle semblable à celui qui est utilisé dans le cadre du SIS II («contrôle coordonné» ou «modèle à plusieurs niveaux»). Comme indiqué dans l'avis du CEPD relatif à la partie du SID relevant du premier pilier, «en ce qui concerne le SIS II, le législateur européen a opté pour une rationalisation du modèle de contrôle, en appliquant le même modèle à plusieurs niveaux décrit plus haut, tant dans le cadre du premier pilier que du troisième pilier».

59.

Le CEPD estime que la meilleure solution en l'espèce consiste à instaurer un système de contrôle plus uniforme, à savoir le modèle, déjà éprouvé, fondé sur une structure à trois niveaux: autorités chargées de la protection des données au niveau national, CEPD au niveau central et coordination entre ces deux niveaux. Le CEPD est convaincu que le remplacement de la convention SID par une décision du Conseil offre une occasion unique de simplifier le système de contrôle et de le rendre plus cohérent, en conformité totale avec d'autres systèmes à grande échelle (VIS, SIS II, Eurodac).

60.

Enfin, ce modèle de contrôle coordonné prend également mieux en compte les modifications qui découleront de l'entrée en vigueur du traité de Lisbonne et de la suppression de la structure en piliers de l'UE.

61.

Le CEPD ne se prononce pas sur la question de savoir si l'instauration de ce modèle de contrôle coordonné nécessiterait des modifications de l'instrument relevant du premier pilier qui régit le SID, à savoir le règlement (CE) no 766/2008 modifiant le règlement (CE) no 515/97 du Conseil, mais il attire l'attention du législateur sur la nécessité d'examiner également cet aspect du point de vue de la cohérence juridique.

62.

L'article 8, paragraphe 3, de la proposition de décision prévoit que chaque État membre est tenu d'envoyer à chacun des autres États membres ainsi qu'au comité visé à l'article 26 une liste des autorités compétentes qu'il a désignées comme ayant accès au SID, en précisant, pour chaque autorité, à quelles données celle-ci peut avoir accès et à quelles fins.

63.

Le CEPD souligne que la proposition de décision se contente de prévoir que les États membres devraient échanger des informations sur les autorités ayant accès au SID et en informer le comité visé à l'article 26, mais qu'elle n'envisage pas la publication de cette liste d'autorités, ce qui est regrettable étant donné qu'une telle publication contribuerait à une transparence accrue et créerait un outil concret de contrôle effectif du système, exercé par exemple par les autorités compétentes chargées de la protection des données.

64.

Le CEPD est favorable à la proposition de décision du Conseil sur l'emploi de l'informatique dans le domaine des douanes. Il souligne que, en raison des travaux législatifs en cours au sein du Conseil, ses observations ne se fondent pas sur le texte définitif de la proposition de décision.

65.

Il regrette l'absence de documents explicatifs susceptibles de fournir quelques éclaircissements et informations nécessaires sur les objectifs et la spécificité de certaines dispositions de la proposition de décision.

66.

Le CEPD demande que la proposition de décision mette davantage l'accent sur la nécessité de disposer de garanties particulières en matière de protection des données. Il dénombre plusieurs domaines dans lesquels la mise en œuvre concrète de garanties en matière de protection des données devrait être mieux assurée, en particulier en ce qui concerne l'application de la limitation de la finalité s'agissant de l'utilisation des données introduites dans le SID. Le CEPD estime qu'il s'agit là d'un préalable indispensable à l'amélioration du fonctionnement du SID.

67.

Le CEPD demande par ailleurs qu'un modèle de contrôle coordonné soit intégré dans la proposition de décision. Il convient de noter que le CEPD exerce actuellement un contrôle sur la partie du SID relevant du premier pilier. Le CEPD souligne que, dans un souci de cohérence, la meilleure solution consiste à appliquer également ce modèle de contrôle coordonné à la partie du SID relevant du troisième pilier. L'application de ce modèle garantirait aussi, en tant que de besoin, la cohérence avec d'autres instruments juridiques régissant l'établissement et/ou l'utilisation d'autres systèmes informatiques à grande échelle.

68.

Le CEPD demande en outre que davantage d'explications soient fournies quant à la nécessité et à la proportionnalité d'accorder le droit d'accès à Eurojust et Europol. Il souligne que la proposition de décision manque d'éléments explicatifs à cet égard.

69.

Le CEPD insiste également sur l'importance de renforcer l'article 8, paragraphe 4, de la proposition de décision relatif au transfert de données à des pays tiers ou des organisations internationales, en ce qui concerne notamment la nécessité de prévoir un système uniforme d'évaluation du caractère adéquat des mesures adoptées.

70.

Enfin, le CEPD demande que soit ajoutée une disposition prévoyant la publication de la liste des autorités ayant accès au SID de manière à renforcer la transparence et à faciliter le contrôle du SID.

23.9.2009   

FR

Journal officiel de l'Union européenne

C 229/19

1.

Le 10 décembre 2008, la Commission a adopté deux propositions modifiant respectivement le règlement (CE) no 726/2004 et la directive 2001/83/CE. (3) Le règlement (CE) no 726/2004 établit des procédures communautaires pour l'autorisation et la surveillance des médicaments à usage humain et à usage vétérinaire et institue une Agence européenne pour l'évaluation des médicaments (ci-après dénommée «l'EMEA») (4). La directive 2001/83/CE contient des règles sur le code communautaire relatif aux médicaments à usage humain, qui concernent des procédés spécifiques au niveau des États membres. (5) Les modifications proposées concernent les parties qui, dans les deux instruments, portent sur la pharmacovigilance des médicaments à usage humain.

2.

La pharmacovigilance peut se définir comme étant la science et les activités relatives à la détection, à l'évaluation, à la compréhension et à la prévention des effets indésirables des médicaments. (6) Le système de pharmacovigilance actuellement en vigueur en Europe permet aux patients et aux professionnels de la santé de notifier les effets indésirables aux organismes publics et privés compétents qui interviennent au niveau national et au niveau européen. L'EMEA gère une base de données européenne (la base de données EudraVigilance) qui permet de centraliser la gestion et la notification des effets indésirables présumés.

3.

La pharmacovigilance est considérée comme un complément nécessaire du système communautaire d'autorisation des médicaments qui date de 1965, année de l'adoption de la directive 65/65/CEE. (7)

4.

Ainsi qu'il ressort de l'exposé des motifs et de l'évaluation de l'impact annexée aux propositions, le système actuel de pharmacovigilance présente un certain nombre de faiblesses, notamment un manque de clarté en ce qui concerne les rôles et les responsabilités des différents acteurs concernés, des procédures complexes de notification des effets indésirables, la nécessité de renforcer la transparence et la communication en matière de sécurité des médicaments et la nécessité de rationaliser la planification de la gestion des risques liés aux médicaments.

5.

Les deux propositions entendent, d'une manière générale, remédier à ces faiblesses ainsi qu'améliorer et renforcer le système de pharmacovigilance communautaire, l'objectif global étant de mieux protéger la santé publique, d'assurer le bon fonctionnement du marché intérieur et de simplifier les règles et les procédures en vigueur. (8)

6.

Le fonctionnement global du système de pharmacovigilance actuel repose sur le traitement de données à caractère personnel. Ces données, qui figurent dans les notifications des effets indésirables, peuvent être considérées comme des données relatives à la santé des personnes concernées (ci-après«données relatives à la santé») dans la mesure où elles donnent des informations sur l'utilisation de médicaments et sur les problèmes de santé qui y sont associés. Le traitement de ces données fait l'objet de règles strictes en matière de protection des données, qui sont énoncées à l'article 10 du règlement (CE) no 45/2001 et à l'article 8 de la directive 95/46/CE. (9) Récemment, la Cour européenne des droits de l'homme a souligné à plusieurs reprises qu'il est important de protéger ces données conformément à l'article 8 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales. Elle a jugé que «la protection des données à caractère personnel, en particulier les données médicales, revêt une importance fondamentale pour l'exercice du droit au respect à la vie privée et à la vie de famille, tel qu'il est garanti par l'article 8 de la convention» (arrêt rendu en anglais, traduction du Conseil) (10).

7.

Toutefois, le texte actuel du règlement (CE) no 726/2004 et celui de la directive 2001/83/CE ne contiennent aucune référence à la protection des données, si ce n'est une seule référence spécifique dans le règlement qui sera examinée aux points 21 et suivants.

8.

Le contrôleur européen de la protection des données ci-après (ci-après «le CEPD») regrette que les aspects concernant la protection des données ne soient pas pris en compte dans les modifications proposées et déplore de ne pas avoir été officiellement consulté sur les deux propositions de modifications, ainsi que le prévoit l'article 28, paragraphe 2, du règlement (CE) no 45/2001. Par conséquent, le présent avis se fonde sur l'article 41, paragraphe 2, de ce même règlement. Le CEPD recommande qu'il soit fait référence au présent avis dans l'exposé des motifs des deux propositions.

9.

Le CEPD note que, même si le cadre juridique actuel en matière de pharmacovigilance et les deux propositions n'accordent pas une place suffisante à la protection des données, l'application concrète du système communautaire central EudraVigilance soulève incontestablement des questions sur la protection des données. À cet égard, l'EMEA a notifié l'actuel système EudraVigilance au CEPD en juin 2008 en vue d'un contrôle préalable sur la base de l'article 27 du règlement (CE) no 45/2001.

10.

Le présent avis et les conclusions du CEPD sur le contrôle préalable (dont la publication est attendue plus tard dans l'année) contiendront nécessairement des redites. Toutefois, la portée des deux instruments est différente: si le présent avis porte tout particulièrement sur le cadre juridique général sur lequel repose le système, ainsi qu'il ressort du règlement (CE) no 726/2004 et de la directive 2001/83/CE et des modifications qu'il est proposé d'y apporter, le contrôle préalable constitue une analyse détaillée de la protection des données axée, d'une part, sur la manière dont les règles actuelles ont été développées dans les instruments ultérieurs (par exemple, décisions et lignes directrices) qui ont été établis par l'EMEA ou conjointement par la Commission et l'EMEA et, d'autre part, sur le mode de fonctionnement du système EudraVigilance dans la pratique.

11.

Le présent avis commence par une explication simplifiée du système de pharmacovigilance au sein de l'UE tel qu'il ressort du règlement (CE) no 726/2004 et de la directive 2001/83/CE sous leur forme actuelle. Il se poursuit par une analyse de la nécessité de traiter les données à caractère personnel dans le cadre de la pharmacovigilance, et se termine par un examen des propositions de la Commission visant à améliorer le cadre juridique actuel et celui qui est envisagé et par la formulation de recommandations en vue de garantir et d'améliorer les normes en matière de protection des données.

12.

Différents acteurs participent à la collecte et à la diffusion d'informations sur les effets indésirables des médicaments dans l'Union européenne. Sur le plan national, les deux principaux acteurs sont les titulaires d'une autorisation de mise sur le marché (entreprises autorisées à mettre des médicaments sur le marché) et les autorités nationales compétentes (autorités compétentes en matière d'autorisation de mise sur le marché). Les autorités nationales compétentes autorisent la mise sur le marché de produits via les procédures nationales, parmi lesquelles figurent la«procédure de reconnaissance mutuelle» et la «procédure décentralisée». (11) Pour les produits qui sont autorisés à être mis sur le marché via la procédure dite centralisée, la Commission européenne peut également faire office d'autorité compétente. L'EMEA est un autre acteur important au niveau européen. L'une des missions de cette agence est de veiller à ce que les informations sur les effets indésirables des médicaments autorisés dans la Communauté soient diffusées au moyen d'une base de données, à savoir la base de données EudraVigilance susmentionnée.

13.

La directive 2001/83/CE parle en termes généraux de la responsabilité des États membres à gérer un système de pharmacovigilance dans lequel sont collectées des informations «utiles pour la surveillance des médicaments» (article 102). Conformément aux articles 103 et 104 de la directive 2001/83/CE (voir également articles 23 et 24 du règlement (CE) no 726/2004), les titulaires d'une autorisation de mise sur le marché doivent disposer de leur propre système de pharmacovigilance pour pouvoir assumer la responsabilité de leurs produits sur le marché et veiller à ce que les mesures adéquates puissent être prises en cas de besoin. Les informations sont recueillies auprès des professionnels de la santé ou directement auprès des patients. Le titulaire d'une autorisation de mise sur le marché doit communiquer par voie électronique à l'autorité compétente toutes les informations présentant un intérêt pour le rapport bénéfices/risques d'un médicament.

14.

La directive 2001/83/CE n'est pas en soi très précise sur la nature des informations qui devraient être collectées au niveau national sur les effets indésirables, leur mode de conservation ou les modalités de leur communication. Les articles 104 et 106 évoquent uniquement les «apports» qui doivent être établis. Des règles plus détaillées concernant ces rapports figurent dans les lignes directrices qui sont établies par la Commission, après consultation de l'EMEA, des États membres et des parties intéressées, conformément à l'article 106. Dans ces lignes directrices sur la pharmacovigilance des médicaments à usage humain (ci-après les «lignes directrices»), il est fait référence aux «rapports de sécurité concernant des cas particuliers»(ci-après les «rapports de sécurité»), qui sont des rapports sur les effets indésirables de médicaments concernant un patient spécifique. (12) Il ressort desdites lignes directrices que parmi les informations minimales requises dans les rapports de sécurité figurent des informations sur un «patient identifiable» (13) D'après ces lignes directrices, le patient peut être identifié par ses initiales, son numéro de patient, sa date de naissance, son poids, sa taille et son sexe, son numéro de dossier dans un hôpital, des informations sur ses antécédents médicaux, des informations sur ses parents. (14)

15.

L'accent étant mis sur l'identifiabilité du patient, il est évident que le traitement de ces informations relève des règles sur la protection des données telles qu'elles sont énoncées dans la directive 95/46/CE. En effet, bien que le nom du patient ne soit pas mentionné, il est possible d'identifier ce dernier en rassemblant les différentes informations disponibles (par exemple, hôpital, date de naissance, initiales) et sous certaines conditions particulières (par exemple, dans le cas de communautés fermées ou de petites localités). Il convient donc en principe de considérer les informations traitées dans le cadre de la pharmacovigilance comme se rapportant à une personne physique identifiable au sens de l'article 2, point a), de la directive 95/46/CE. (15) Si ce point n'est pas clairement précisé dans le règlement ni dans la directive, il est établi dans les lignes directrices, qui indiquent que «les informations devraient être aussi complètes que possible et tenir compte de la législation de l'UE en matière de protection des données» (16).

16.

Il convient de souligner que, en dépit de ces lignes directrices, la notification des effets indésirables au niveau national est loin d'être uniforme. Cette question fera l'objet d'un examen plus approfondi aux points 24 et 25 ci-dessous.

17.

La base de données EudraVigilance, qui est gérée par l'EMEA, joue un rôle primordial dans le système de pharmacovigilance de l'UE. Ainsi que nous l'avons indiqué précédemment, EudraVigilance est un réseau centralisé de traitement des données et un système de gestion pour la notification et l'évaluation des effets indésirables présumés durant la phase de développement des médicaments et après leur autorisation de mise sur le marché dans la Communauté européenne et les pays qui font partie de l'Espace économique européen. La base juridique sur laquelle repose la base de données EudraVigilance est l'article 57, paragraphe 1, point d), du règlement (CE) no 726/2004.

18.

L'actuelle base de données EudraVigilance comporte deux volets: premièrement, les informations qui résultent d'essais cliniques (effectués avant la mise sur le marché du médicament au cours d'une période dite de «pré-autorisation») et, deuxièmement, les informations qui ressortent des rapports sur les effets indésirables (rassemblées par la suite, période dite de «post-autorisation»). Le présent avis porte essentiellement sur cette période de «post-autorisation» étant donné que les modifications proposées concernent surtout cette partie.

19.

La base de données EudraVigilance contient des données sur les patients qui proviennent des rapports de sécurité. L'EMEA reçoit ces rapports des autorités nationales compétentes (voir l'article 102 de la directive 2001/83/CE et l'article 22 du règlement (CE) no 726/2004) et, dans certains cas, directement des titulaires d'une autorisation de mise sur le marché (voir l'article 104 de la directive 2001/83/CE et l'article 24 du règlement (CE) no 726/2004).

20.

Le présent avis porte essentiellement sur le traitement des informations à caractère personnel concernant les patients. Il convient néanmoins de noter que la base de données EudraVigilance contient également des informations à caractère personnel concernant des personnes qui travaillent pour l'autorité nationale compétente ou les titulaires d'une autorisation de mise sur le marché lorsque ces derniers fournissent des informations à la base de données. Le nom complet, l'adresse, les coordonnées, les données figurant sur le document d'identification de ces personnes sont conservés dans le système. Une autre catégorie d'informations à caractère personnel concerne les données relatives aux personnes possédant les qualifications appropriées, responsables en matière de pharmacovigilance, qui sont désignées par les titulaires d'une autorisation de mise sur le marché conformément aux dispositions de l'article 103 de la directive 2001/83/CE. Il est évident que les droits et les obligations qui découlent du règlement (CE) no 45/2001 s'appliquent entièrement au traitement de ces informations.

21.

L'article 57, paragraphe 1, point d), du règlement (CE) no 726/2004 dispose que la banque de données devraient être consultable en permanence par tous les États membres; les professionnels de la santé, les titulaires d'une autorisation de mise sur le marché et le public doivent en outre disposer de niveaux d'accès appropriés à cette banque de données, la protection des données à caractère personnel étant garantie. Ainsi que nous l'avons indiqué au point 7 ci-dessus, il s'agit là de la seule disposition du règlement et de la directive 2001/83/CE qui fait référence à la protection des données.

22.

L'article 57, paragraphe 1, point d), a conduit à la mise en place des modalités d'accès suivantes. Dès que l'EMEA reçoit un rapport de sécurité concernant un cas particulier, celui-ci est directement placé dans la passerelle d'EudraVigilance, à laquelle l'EMEA, les autorités nationales compétentes et la Commission ont entièrement accès. Après validation du rapport par l'EMEA (vérification de son authenticité et de sa spécificité), les informations qui y figurent sont transférées dans la base de données proprement dite. L'EMEA, les autorités nationales compétentes et la Commission ont entièrement accès à la base de données, tandis que les titulaires d'une autorisation de mise sur le marché n'ont accès à la base de données que dans certaines conditions, c'est-à-dire qu'ils n'ont accès qu'aux données qu'ils ont eux-mêmes communiquées à l'EMEA. Enfin, l'ensemble des informations relatives aux rapports de sécurité sont introduites sur le site web d'EudraVigilance qui est accessible au public, et notamment aux professionnels de la santé.

23.

Le 19 décembre 2008, l'EMEA a publié, sur son site web, un projet d'orientations en matière d'accès à des fins de consultation publique. (17) Le document montre la manière dont l'EMEA envisage de mettre en œuvre l'article 57, paragraphe 1, point d), du règlement (CE) no 726/2004. Le CEPD reviendra brièvement sur la question à partir du point 48 ci-dessous.

24.

L'évaluation d'impact de la Commission révèle certaines faiblesses du système actuel de pharmacovigilance de l'UE, qui est considéré comme complexe et imprécis. La complexité du système de collecte, de conservation et de transmission de données par différents acteurs au niveau national et au niveau européen est présentée comme un des principaux défauts. Cette situation est encore compliquée par le fait que les modalités d'application de la directive 2001/83/CE diffèrent d'un État membre à l'autre. (18) Il s'ensuit que les autorités nationales compétentes ainsi que l'EMEA sont souvent confrontées à des notifications d'effets indésirables incomplètes ou redondantes. (19)

25.

Cela est dû au fait que, bien qu'une description du contenu du rapport de sécurité soit fournie dans les lignes directrices susmentionnées, c'est aux États membres qu'il appartient de décider des modalités de mise en œuvre de ces rapports au niveau national. Cela concerne tant les moyens de communication utilisés par les titulaires d'une autorisation de mise sur le marché pour effectuer une notification auprès des autorités nationales compétentes que les informations concrètes figurant dans les rapports (aucun formulaire normalisé n'est utilisé pour les notifications à l'intérieur de l'Europe). De plus, certaines autorités nationales compétentes peuvent appliquer des critères de qualité spécifiques pour la recevabilité des rapports (en fonction de leur contenu, de leur caractère exhaustif, etc.), et d'autres non. Il est évident que la méthode utilisée au niveau national pour la notification et l'évaluation de la qualité des rapports de sécurité a une incidence directe sur la manière dont cette notification est effectuée auprès de l'EMEA, c'est-à-dire dans la base de données EudraVigilance.

26.

Le CEPD tient à souligner que les faiblesses susmentionnées n'entraînent pas uniquement des inconvénients d'ordre pratique, mais constituent également une menace considérable pour la protection des données relatives à la santé des citoyens. Bien que, comme nous l'avons vu dans les points précédents, les données relatives à la santé soient traitées à différents stades du processus de fonctionnement du système de pharmacovigilance, la protection de ces données ne fait actuellement l'objet d'aucune disposition. La seule exception est la référence générale à la protection des données figurant à l'article 57, paragraphe 1, point d), du règlement (CE) no 726/2004, qui concerne uniquement la dernière étape du traitement des données, à savoir l'accessibilité des données figurant dans la base de données EudraVigilance. Par ailleurs, le manque de clarté quant aux rôles et aux responsabilités des différents acteurs participant au processus, ainsi que l'absence de normes spécifiques pour le traitement proprement dit constituent une menace pour la confidentialité, mais aussi pour l'intégrité des données à caractère personnel qui sont traitées, ainsi que pour la responsabilité à l'égard de ce traitement.

27.

Le CEPD tient dès lors à souligner qu'il faut également considérer comme une faiblesse du système actuel l'absence d'analyse approfondie de la protection des données, qui transparaît dans le cadre juridique sur lequel repose le système de pharmacovigilance de l'UE. Il faudrait y remédier en modifiant la législation en vigueur.

28.

Premièrement et d'une manière générale, le CEPD tient à soulever la question de savoir s'il est nécessaire de traiter des données relatives à la santé de personnes physiques identifiables à tous les stades du système de pharmacovigilance (au niveau national comme au niveau européen).

29.

Comme nous l'avons expliqué précédemment, le patient n'est pas nommément désigné dans les rapports de sécurité et n'est donc pas identifié comme tel. Il pourrait néanmoins l'être dans certains cas si l'on associe différentes informations figurant dans les rapports de sécurité. Ainsi qu'il ressort des lignes directrices dans certains cas, le patient se voit attribuer un numéro spécifique, ce qui implique que le système dans son ensemble permet la traçabilité de la personne concernée. Toutefois, ni la directive ni le règlement n'indiquent que la traçabilité des personnes s'inscrit dans l'objectif du système de pharmacovigilance.

30.

Le CEPD engage dès lors le législateur à préciser s'il est réellement prévu que la traçabilité constitue un objectif de la pharmacovigilance aux différents niveaux du traitement et plus précisément dans le cadre de la base de données EudraVigilance.

31.

À cet égard, il est instructif d'établir une comparaison avec le régime envisagé pour le don et la transplantation d'organes. (20) Dans le cadre de la transplantation d'un organe, il est extrêmement important de pouvoir remonter jusqu'au donneur et au receveur, notamment dans les cas d'incidents ou de réactions indésirables graves.

32.

Toutefois, dans le cadre de la pharmacovigilance, le CEPD ne dispose pas de suffisamment d'éléments pour conclure que la traçabilité est réellement toujours nécessaire. La pharmacovigilance concerne la notification des effets indésirables de médicaments qui sont et seront utilisés par un nombre (presque toujours) inconnu de personnes. Dès lors, le lien entre les informations sur les effets indésirables et la personne concernée est — en tout état de cause durant la période de «post-autorisation» — moins systématique et particulier, comme dans le cas des informations relatives aux organes et aux personnes intervenant dans la transplantation d'un organe spécifique. Il est évident que les patients qui ont utilisé un médicament donné et ont notifié des effets indésirables ont un intérêt à connaître l'issue de toute évaluation ultérieure. Toutefois, cela n'implique pas que les informations notifiées doivent dans tous les cas être liées à cette personne spécifique tout au long du processus de pharmacovigilance. Dans de nombreux cas, établir un lien entre les informations relatives aux effets indésirables et le médicament lui-même devrait suffire, ce qui permettrait aux acteurs concernés, éventuellement par l'intermédiaire de professionnels de la santé, d'informer les patients en général sur les conséquences qu'entraîne la prise d'un médicament donné.

33.

Si la traçabilité est envisagée malgré tout, le CEPD tient à rappeler l'analyse qu'il a faite dans son avis sur la proposition de la Commission de directive relative aux normes de qualité et de sécurité des organes humains destinés à la transplantation. Dans cet avis, il expliquait la relation entre traçabilité, identifiabilité, anonymat et confidentialité des données. L'identifiabilité est un terme qui revêt une importance primordiale dans la législation en matière de protection des données. (21) Les règles en matière de protection des données s'appliquent aux données relatives aux personnes qui sont identifiées ou identifiables. (22) La traçabilité des données jusqu'à une personne donnée peut être mise sur le même pied que l'identifiabilité de ces données. Dans la législation en matière de protection des données, l'anonymat est l'inverse de l'identifiabilité et, donc, de la traçabilité. Ce n'est que s'il est impossible d'identifier (ou de retrouver) la personne à laquelle correspondent les données que celles-ci sont considérées comme anonymes. Dès lors, la notion d'«anonymat» diffère de ce qu'on entend habituellement par ce terme dans la vie de tous les jours, à savoir qu'une personne ne peut être identifiée à partir de données en tant que telles, par exemple, parce que son nom a été supprimé. Dans ces cas, il s'agirait plutôt de confidentialité des données, c'est-à-dire que seules les personnes autorisées ont (pleinement) accès aux informations. La traçabilité et l'anonymat ne peuvent coexister, contrairement à la traçabilité et à la confidentialité.

34.

Outre la traçabilité, le bon fonctionnement du système pourrait expliquer pourquoi les patients doivent pouvoir être identifiés tout au long du processus de pharmacovigilance. Le CEPD croit comprendre que lorsque les informations concernent une personne identifiable et donc unique, il est plus aisé pour les autorités compétentes (à savoir les autorités nationales compétentes et l'EMEA) de surveiller et de contrôler le contenu d'un rapport de sécurité (par exemple, pour rechercher les répétitions inutiles). Même si le CEPD comprend qu'un tel mécanisme de contrôle puisse être nécessaire, il n'est pas convaincu que cela suffit à justifier la conservation de données identifiables à tous les stades du processus de pharmacovigilance et, notamment, dans la base de données EudraVigilance. En structurant et en coordonnant mieux le système de notification, par exemple au moyen d'un système décentralisé que nous évoquerons plus loin, points 42 et suivants, les répétitions inutiles pourraient déjà être évitées au niveau national.

35.

Le CEPD reconnaît que, dans certaines circonstances particulières, il est impossible de rendre les données anonymes. Tel est, par exemple, le cas si certains médicaments sont utilisés par un groupe très limité de personnes. Pour ces cas particuliers, il convient de prévoir des garanties afin de respecter les obligations découlant de la législation en matière de protection des données.

36.

Pour conclure, le CEPD exprime de sérieuses réserves quant à la nécessité de la traçabilité ou de l'utilisation, à tous les stades du processus de pharmacovigilance, de données relatives à des patients identifiables. Le CEPD n'ignore pas qu'il peut s'avérer impossible d'empêcher le traitement de données identifiables à tous les stades, en particulier au niveau national, là où les informations sur les effets indésirables sont effectivement collectées. Toutefois, selon les règles en matière de protection des données, les données relatives à la santé ne sont traitées qu'en cas de stricte nécessité. L'utilisation de données identifiables devrait dès lors être réduite autant que faire se peut et évitée ou interrompue le plus rapidement possible dans les cas où elle n'est pas jugée nécessaire. Le CEPD engage dès lors le législateur à réévaluer la nécessité d'utiliser ces informations au niveau européen, ainsi qu'au niveau national.

37.

Il est à noter que dans les cas où il est vraiment nécessaire de traiter des données identifiables ou lorsqu'il est impossible de rendre les données anonymes (voir point 35 ci-dessus), il y a lieu d'étudier les possibilités techniques d'identification indirecte des personnes concernées, par exemple au moyen de mécanismes de pseudonymisation. (23)

38.

Le CEPD recommande dès lors d'insérer dans le règlement (CE) no 726/2004 et dans la directive 2001/83/CE un nouvel article stipulant que les dispositions du règlement (CE) no 726/2004 et de la directive 2001/83/CE sont sans préjudice des droits et des obligations découlant respectivement des dispositions du règlement (CE) no 45/2001 et de la directive 95/46/CE, avec une référence particulière à l'article 10 du règlement (CE) no 45/2001 et à l'article 8 de la directive 95/46/CE respectivement. À cela il convient d'ajouter que les données identifiables relatives à la santé ne doivent être traitées qu'en cas de stricte nécessité et que les parties concernées devraient évaluer cette nécessité à tous les stades du processus de pharmacovigilance.

39.

Bien que la protection des données ne soit pratiquement pas prise en compte dans les modifications proposées, une analyse plus détaillée des propositions demeure instructive car elle montre que certaines des modifications envisagées augmentent l'incidence du système et les risques qui en résultent pour la protection des données.

40.

L'objectif général des deux propositions est d'améliorer la cohérence des règles, de préciser les responsabilités, de simplifier le système de notification et de renforcer la base de données EudraVigilance. (24)

41.

La Commission s'est manifestement efforcée de préciser les responsabilités en proposant de modifier les dispositions en vigueur de manière à ce que la législation proprement dite indique d'une manière plus explicite «qui devrait faire quoi». Il est évident que le fait de préciser quels acteurs interviennent et quelles sont leurs obligations respectives en ce qui concerne la notification d'effets indésirables améliore la transparence du système et représente donc aussi une évolution positive en ce qui concerne la protection des données. D'une manière générale, les patients devraient être en mesure de comprendre, en lisant les textes législatifs, la manière dont sont traitées leurs données à caractère personnel, quand et par qui. Toutefois, les obligations et les responsabilités que l'on propose de préciser devrait explicitement être mises en relation avec celles qui découlent de la législation en matière de protection des données.

42.

Il convient de simplifier le système de notification en utilisant les portails web nationaux sur la sécurité des médicaments, qui sont reliés au portail web européen en la matière (voir le nouvel article 106 de la proposition de directive, ainsi que le nouvel article 26 de la proposition de règlement). Les portails web nationaux contiendront des formulaires accessibles au public permettant aux professionnels de la santé et aux patients de notifier des effets indésirables présumés (voir l'article 106, paragraphe 3, de la proposition de directive, ainsi que l'article 25 de la proposition de règlement). Le portail web européen contiendra également des informations sur les modalités de notification, y compris les formulaires standard pour la notification en ligne par les patients et les professionnels de la santé.

43.

Le CEPD tient à souligner que, si l'utilisation de ces portails web et des formulaires normalisés renforce l'efficacité du système de notification, elle accroît aussi les risques que présente le système pour la protection des données. Le CEPD invite le législateur à subordonner le développement de ce système de notification aux exigences de la législation en matière de protection des données. Cela implique, comme nous l'avons souligné, qu'il y a lieu d'évaluer comme il se doit la nécessité de traiter des données à caractère personnel à chaque étape du processus. Cela devrait transparaître dans la manière dont la notification est organisée au niveau national, ainsi que dans la communication d'informations à l'EMEA et à la base de données EudraVigilance. D'une manière plus générale, le CEPD recommande vivement l'élaboration de formulaires uniformes au niveau national pour éviter que des pratiques divergentes n'aboutissent à différents niveaux de protection des données.

44.

Le système envisagé semble impliquer que les patients peuvent effectuer des notifications directement auprès de l'EMEA, et peut-être même auprès de la base de données EudraVigilance. Cela signifie que, dans le cadre de l'application actuelle de cette base de données, les informations seront placées dans la passerelle de l'EMEA qui est pleinement accessible à la Commission et aux autorités nationales compétentes, ainsi que cela a été expliqué aux points 21 et 22 ci-dessus.

45.

D'une manière générale, le CEPD préconise vivement un système de notification décentralisé. Il convient de coordonner les communications vers le portail web européen en utilisant des portails web nationaux qui relèvent de la responsabilité des autorités nationales compétentes. Il serait par ailleurs préférable de recourir à la notification indirecte par les patients, à savoir par l'intermédiaire des professionnels de la santé (en utilisant ou non les portails web), plutôt qu'à la notification directe par les patients, en particulier à la base de données EudraVigilance.

46.

Un système de notification via des portails web passe en tout état de cause par des règles strictes de sécurité. À cet égard, le CEPD tient à rappeler l'avis susmentionné qu'il a rendu sur la proposition de directive relative à l'application des droits des patients en matière de soins de santé transfrontaliers, en particulier la partie concernant la sécurité des données dans les États membres et le respect de la vie privée dans les applications «santé en ligne». (25) Dans cet avis, le CEPD avait déjà souligné que le respect de la vie privée et la sécurité devraient être pris en compte dans la conception et la mise en œuvre de toute application «santé en ligne» («prise en compte du respect de la vie privée dès la conception»). (26) Cette observation vaut aussi pour les portails web qui sont prévus.

47.

Le CEPD tient par conséquent à recommander l'inclusion dans les nouveaux articles 25 et 26 de la proposition de règlement et dans le nouvel article 106 de la proposition de directive, qui portent sur la mise au point d'un système de notification des effets indésirables au moyen de portails web, de l'obligation de prévoir des mesures appropriées en matière de respect de la vie privée et de sécurité. Les principes de confidentialité, d'intégrité, de responsabilité et de disponibilité pourraient également être mentionnés en tant qu'objectifs essentiels en matière de sécurité, qui devraient être garantis de manière homogène dans l'ensemble des États membres. Le recours à des normes et à des moyens techniques appropriés, tels que le cryptage et l'authentification de signatures numériques, pourrait également être inclus.

48.

Le nouvel article 24 de la proposition de règlement porte sur la base de données EudraVigilance. Il précise que le renforcement de la base de données implique une utilisation accrue de cette dernière par les différentes parties concernées en termes de fourniture d'informations à la base de données et à partir de celle-ci et d'accès à ces informations. Deux paragraphes de l'article 24 présentent un intérêt particulier.

49.

L'article 24, paragraphe 2, porte sur l'accessibilité de la base de données. Il remplace l'actuel article 57, paragraphe 1, point d), du règlement (CE) no 726/2004, qui a été examiné précédemment, s'agissant de la seule disposition qui fait actuellement référence à la protection des données. La référence à la protection des données est maintenue, mais le nombre d'acteurs qui en font l'objet est réduit. Alors que le texte actuel indique qu'il convient d'offrir aux professionnels de la santé, aux titulaires d'une autorisation de mise sur le marché et au public des niveaux d'accès appropriés à la base de données, la protection des données à caractère personnel étant garantie, la Commission propose à présent de supprimer de cette liste les titulaires d'une autorisation de mise sur le marché et de leur donner l'accès «dans la mesure nécessaire pour leur permettre de s'acquitter de leurs obligations en matière de pharmacovigilance», sans faire aucune référence à la protection des données. Les raisons en sont peu claires.

50.

L'article 24, paragraphe 3, définit en outre les règles sur l'accès aux rapports de sécurité. L'accès peut être demandé par le public et est accordé dans un délai de 90 jours, «sauf si leur divulgation compromettrait l'anonymat des sujets des notifications». Le CEPD est favorable à l'idée qui sous-tend cette disposition, à savoir que seule les données anonymes peuvent être divulguées. Il tient néanmoins à souligner que, ainsi qu'il a expliqué précédemment, l'anonymat doit être entendu comme étant l'impossibilité complète d'identifier la personne qui a notifié l'effet indésirable (voir également point 33).

51.

D'une manière générale, il convient de réévaluer l'accessibilité du système EudraVigilance à la lumière des règles en matière de protection des données, ce qui a également des conséquences directes pour le projet d'orientations en matière d'accès, publié par l'EMEA en décembre 2008 et mentionné au point 23 ci-dessus. (27) Dans la mesure où les informations figurant dans la base de données EudraVigilance concernent nécessairement des personnes physiques identifiables, l'accès aux données devrait être aussi restrictif que possible.

52.

Le CEPD recommande dès lors d'inclure dans le nouvel article 24, paragraphe 2, de la proposition de règlement une phrase indiquant que l'accessibilité de la base de données EudraVigilance est régie conformément aux droits et aux obligations découlant de la législation communautaire en matière de protection des données.

53.

Le CEPD tient à souligner qu'une fois que les données identifiables ont été traitées, il convient que le responsable de ce traitement se conforme à toutes les exigences de la législation communautaire en matière de protection des données. Cela implique notamment que la personne concernée soit bien informée sur l'utilisation des données la concernant et sur le responsable du traitement et qu'elle dispose de toutes les informations supplémentaires requises conformément à l'article 11 du règlement (CE) no 45/2001 et/ou à l'article 10 de la directive 95/46/CE. La personne concernée devrait en outre être autorisée à invoquer ses droits tant au niveau national qu'au niveau européen, tels que le droit d'accès (article 12 de la directive 95/46/CE et article 13 du règlement (CE) no 45/2001), le droit d'opposition (article 18 du règlement (CE) no 45/2001 et article 14 de la directive 95/46/CE), etc.

54.

Le CEPD recommande dès lors d'ajouter dans le nouvel article 101 de la proposition de directive un paragraphe qui dispose qu'en cas de traitement de données à caractère personnel, la personne est dûment informée conformément à l'article 10 de la directive 95/46/CE.

55.

La question de l'accès par une personne aux informations la concernant qui figurent dans la base de données EudraVigilance ne fait l'objet ni de la législation actuelle ni de la législation proposée. Il y a lieu de souligner que, dans les cas où on estime nécessaire de conserver des données à caractère personnel dans la base de données, ainsi que cela vient d'être mentionné, il convient d'autoriser le patient concerné à invoquer son droit d'accès aux données le concernant conformément à l'article 13 du règlement (CE) no 45/2001. Le CEPD recommande dès lors d'ajouter dans le nouvel article 24 un paragraphe disposant que des mesures sont prises pour faire en sorte que la personne concernée puisse exercer son droit d'accès aux données la concernant, ainsi que le prévoit l'article 13 du règlement (CE) no 45/2001.

56.

Le CEPD estime que l'absence d'évaluation appropriée des implications de la pharmacovigilance pour la protection des données constitue une des faiblesses de l'actuel cadre juridique prévu par le règlement (CE) no 726/2004 et la directive 2001/83/CE. Il convient de considérer que les modifications proposées du règlement (CE) no 726/2004 et de la directive 2001/83/CE offrent l'occasion d'instituer la protection des données comme un aspect important et à part entière de la pharmacovigilance.

57.

Il y a lieu à cet égard de se poser une question générale, à savoir la nécessité réelle de traiter des données à caractère personnel relatives à la santé à tous les stades du processus de pharmacovigilance. Ainsi qu'il l'a expliqué dans le présent avis, le CEPD exprime de sérieuses réserves quant à cette nécessité et engage le législateur à la réévaluer aux différents niveaux du processus. Il est évident que l'objectif de la pharmacovigilance peut, dans de nombreux cas, être atteint en partageant des informations sur les effets indésirables, qui sont anonymes au sens de la législation en matière de protection des données. La répétition inutile des notifications peut être évitée par l'application de procédures bien structurées de notification des données au niveau national.

58.

Les modifications proposées prévoient un système de notification simplifié et un renforcement de la base de données EudraVigilance. Le CEPD a expliqué que ces modifications entraînent une augmentation des risques pour la protection des données, en particulier lorsqu'il s'agit de la notification directe par des patients à l'EMEA ou à la base de données EudraVigilance. À cet égard, le CEPD préconise vivement un système de notification décentralisé et indirect permettant de coordonner les communications vers le portail web européen au moyen des portails web nationaux. Le CEPD souligne en outre que le respect de la vie privée et la sécurité devraient être pris en compte dans la conception et la mise en œuvre d'un système de notification au moyen de portails web («prise en compte du respect de la vie privée dès la conception»).

59.

Le CEPD souligne également qu'une fois que les données relatives à la santé de personnes physiques identifiées ou identifiables sont traitées, il convient que le responsable du traitement se conforme à toutes les exigences de la législation communautaire en matière de protection des données.

60.

Plus particulièrement, le CEPD recommande:

23.9.2009   

FR

Journal officiel de l'Union européenne

C 229/27

23.9.2009   

FR

Journal officiel de l'Union européenne

C 229/28

1.

Barcs–Terezino Polje

2.

Beremend–Baranjsko Petrovo Selo

3.

Berzence–Gola

4.

Drávaszabolcs–Donji Miholjac

5.

Drávaszabolcs (fleuve, sur demande) (1)

6.

Gyékényes–Koprivnica (chemin de fer)

7.

Letenye–Goričan I

8.

Letenye–Goričan II (route nationale)

9.

Magyarboly–Beli Manastir (chemin de fer)

10.

Mohács (fleuve)

11.

Murakeresztúr–Kotoriba (chemin de fer)

12.

Udvar–Dubosevica

1.

Bácsalmás–Bajmok (2)

2.

Hercegszántó–Bački Breg

3.

Kelebia–Subotica (chemin de fer)

4.

Mohács (fleuve)

5.

Röszke–Horgoš (route nationale)

6.

Röszke–Horgoš (chemin de fer)

7.

Szeged (fleuve) (2)

8.

Tiszasziget–Đjala (Gyála) (2)

9.

Tompa–Kelebija

1.

Ágerdőmajor (Tiborszállás)–Carei (chemin de fer)

2.

Ártánd–Borș

3.

Battonya–Turnu

4.

Biharkeresztes–Episcopia Bihorului (chemin de fer)

5.

Csengersima–Petea

6.

Gyula–Vărșand

7.

Kiszombor–Cenad

8.

Kötegyán–Salonta (chemin de fer)

9.

Létavértes–Săcuieni (3)

10.

Lőkösháza–Curtici (chemin de fer)

11.

Méhkerék–Salonta

12.

Nagylak–Nădlac

13.

Nyírábrány–Valea Lui Mihai (chemin de fer)

14.

Nyírábrány–Valea Lui Mihai

15.

Vállaj–Urziceni

1.

Barabás–Kosino (4)

2.

Beregsurány–Luzhanka

3.

Eperjeske–Salovka (chemin de fer)

4.

Lónya–Dzvinkove (5)

5.

Tiszabecs–Vylok

6.

Záhony–Čop (chemin de fer)

7.

Záhony–Čop

1.

Budapest Nemzetközi Repülőtér

2.

Debrecen Repülőtér

3.

Sármellék

1.

Békéscsaba

2.

Budaörs

3.

Fertőszentmiklós

4.

Győr–Pér

5.

Kecskemét

6.

Nyíregyháza

7.

Pápa

8.

Pécs–Pogány

9.

Siófok–Balatonkiliti

10.

Szeged

11.

Szolnok

23.9.2009   

FR

Journal officiel de l'Union européenne

C 229/30