ISSN 1725-2431

doi:10.3000/17252431.C_2011.279.fra

Journal officiel

de l'Union européenne

C 279

European flag  

Édition de langue française

Communications et informations

54e année
23 septembre 2011


Numéro d'information

Sommaire

page

 

I   Résolutions, recommandations et avis

 

AVIS

 

Contrôleur européen de la protection des données

2011/C 279/01

Avis du Contrôleur européen de la protection des données sur le rapport d’évaluation de la Commission au Conseil et au Parlement européen concernant la directive sur la conservation des données (directive 2006/24/CE)

1

2011/C 279/02

Avis du Contrôleur européen de la protection des données concernant la proposition de règlement du Parlement européen et du Conseil modifiant le règlement (CE) no 1073/1999 relatif aux enquêtes effectuées par l’Office européen de lutte antifraude (OLAF) et abrogeant le règlement (Euratom) no 1074/1999

11

2011/C 279/03

Avis du Contrôleur européen de la protection des données sur la proposition de règlement du Parlement européen et du Conseil concernant l’intégrité et la transparence du marché de l’énergie

20

 

II   Communications

 

COMMUNICATIONS PROVENANT DES INSTITUTIONS, ORGANES ET ORGANISMES DE L'UNION EUROPÉENNE

 

Commission européenne

2011/C 279/04

Non-opposition à une concentration notifiée (Affaire COMP/M.6349 — Motherson/Cross Industries/Peguform/Wethje) ( 1 )

28

2011/C 279/05

Non-opposition à une concentration notifiée (Affaire COMP/M.6218 — Ineos/Tessenderlo Group S-PVC Assets) ( 1 )

28

 

IV   Informations

 

INFORMATIONS PROVENANT DES INSTITUTIONS, ORGANES ET ORGANISMES DE L'UNION EUROPÉENNE

 

Commission européenne

2011/C 279/06

Taux de change de l'euro

29

 

V   Avis

 

PROCÉDURES ADMINISTRATIVES

 

Commission européenne

2011/C 279/07

MEDIA 2007 — Développement, diffusion, promotion et formation — Appel à propositions — EACEA/21/11 — Soutien au développement de projets de production — Animations, documentaires de création et fictions — Projets individuels, catalogues de projets (Slate Funding et Slate Funding 2e stade)

30

2011/C 279/08

MEDIA 2007 — Développement, distribution, promotion et formation — Appels à propositions — EACEA/22/11 — Soutien au développement d’œuvres interactives en ligne et hors ligne

33

 

PROCÉDURES RELATIVES À LA MISE EN ŒUVRE DE LA POLITIQUE DE CONCURRENCE

 

Commission européenne

2011/C 279/09

Notification préalable d'une concentration (Affaire COMP/M.6348 — Arla Foods/Allgäuland) ( 1 )

36

2011/C 279/10

Notification préalable d'une concentration (Affaire COMP/M.6392 — Gores/Mexx) — Cas susceptible d'être traité selon la procédure simplifiée ( 1 )

37

 


 

(1)   Texte présentant de l'intérêt pour l'EEE

FR

 


I Résolutions, recommandations et avis

AVIS

Contrôleur européen de la protection des données

23.9.2011   

FR

Journal officiel de l'Union européenne

C 279/1


Avis du Contrôleur européen de la protection des données sur le rapport d’évaluation de la Commission au Conseil et au Parlement européen concernant la directive sur la conservation des données (directive 2006/24/CE)

2011/C 279/01

LE CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16,

vu la Charte des droits fondamentaux de l’Union européenne, et notamment ses articles 7 et 8,

vu la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (1),

vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (2),

vu le règlement (CE) no 45/2001 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (3), et notamment son article 41,

A ADOPTÉ L’AVIS SUIVANT

I.   INTRODUCTION

I.1.   Publication du rapport

1.

Le 18 avril 2011, la Commission a présenté son rapport d’évaluation concernant la directive sur la conservation des données (ci-après le «rapport d’évaluation») (4). Le rapport d’évaluation a été envoyé à titre d’information au CEPD à cette même date. Pour les raisons exposées à la section I.2 ci-dessous, le CEPD émet le présent avis de sa propre initiative, conformément à l’article 41 du règlement (CE) no 45/2001.

2.

Avant l’adoption de la communication, le CEPD a eu la possibilité de formuler des commentaires informels. Le CEPD est heureux de constater que plusieurs de ces commentaires ont été pris en compte par la Commission lors de la rédaction de la version finale du document.

3.

La Commission a préparé le rapport d’évaluation en vue de satisfaire à son obligation énoncée à l’article 14 de la directive sur la conservation des données et consistant à évaluer l’application de la directive et ses effets sur les opérateurs économiques et les consommateurs, afin de déterminer s’il y a lieu de modifier les dispositions de la directive (5). Le CEPD est heureux de constater que, bien que l’article 14 ne l’exige pas au sens strict, la Commission a également tenu compte dans le rapport des «effets de la directive sur les droits fondamentaux, compte tenu des critiques formulées, de manière générale, à l’encontre de la conservation des données» (6).

I.2.   Raisons et finalité du présent avis du CEPD

4.

La directive sur la conservation des données constituait une réponse de l’UE à des défis de sécurité urgents, après les attentats terroristes de Madrid en 2004 et de Londres en 2005. Malgré la finalité légitime de la mise en place d’un système de conservation des données, des voix se sont élevées contre l'impact considérable que la mesure pouvait avoir sur la vie privée des citoyens.

5.

L’obligation de conserver les données conformément à la directive sur la conservation des données permet aux autorités nationales compétentes de retracer le comportement téléphonique et internet de tous les individus dans l’UE utilisant le téléphone ou l’internet, et ce pendant une période de deux ans.

6.

La conservation des données de télécommunications va clairement à l’encontre du droit à la vie privée des personnes concernées tel qu’énoncé à l’article 8 de la Convention européenne des droits de l’homme (ci-après dénommée «CEDH») et à l’article 7 de la Charte des droits fondamentaux de l’Union européenne.

7.

La Cour européenne des droits de l’homme (ci-après dénommée la «Cour européenne») n’a eu cesse de rappeler que «le simple fait de mémoriser des données relatives à la vie privée d’un individu constitue une ingérence au sens de l’article 8 [CEDH]» (7). S’agissant des données téléphoniques en particulier, la Cour européenne a déclaré que la «divulgation de ces informations à la police sans le consentement de l’abonné équivaut aussi […] à une ingérence au sens de l’article 8 [CEDH]» (8).

8.

Il découle de l’article 8, paragraphe 2, de la CEDH et de l’article 52, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne qu’une ingérence peut se justifier pour autant que cette ingérence soit prévue par la loi, qu’elle serve un but légitime et qu’elle soit nécessaire dans une société démocratique pour atteindre ce but légitime.

9.

Le CEPD a reconnu que la disponibilité de certaines données de trafic et de localisation peut être cruciale pour les services répressifs dans la lutte contre le terrorisme et d’autres infractions graves. Toutefois, dans le même temps, le CEPD n’a eu de cesse d’exprimer des doutes concernant les raisons justifiant la conservation de données dans une telle mesure à la lumière des droits au respect de la vie privée et de la protection des données (9). Ces doutes ont été partagés par de nombreuses organisations de la société civile (10).

10.

Depuis 2005, le CEPD suit de près la création, la mise en œuvre et l’évaluation de la directive de différentes manières. Le CEPD a rendu un avis critique en 2005, après la publication de la proposition de directive par la Commission (11). Après l’adoption de la directive, le CEPD est devenu membre du groupe d’experts en matière de conservation des données, dont il est question au considérant 14 de la directive sur la conservation des données (12). En outre, le CEPD participe au travail du groupe de travail «Article 29», qui a publié plusieurs documents sur le sujet, le plus récent étant un rapport de juillet 2010 sur la manière dont la directive a été appliquée en pratique (13). Enfin, le CEPD a agi en tant que partie intervenante dans une affaire portée devant la Cour européenne de justice, dans laquelle la validité de la directive était contestée (14).

11.

L’importance du rapport d’évaluation et du processus d’évaluation ne peut être surestimée (15). La directive sur la conservation des données constitue un exemple frappant d’une mesure de l’UE visant à assurer la disponibilité pour des activités répressives des données générées et traitées dans le contexte des communications électroniques. Maintenant que la mesure est en place depuis plusieurs années, une évaluation de son application pratique devrait véritablement prouver la nécessité et la proportionnalité de la mesure à la lumière des droits au respect de la vie privée et de la protection des données à caractère personnel. À cet égard, le CEPD a baptisé l’évaluation «le moment de vérité» pour la directive sur la conservation des données (16).

12.

L’actuel processus d’évaluation a également une incidence sur d’autres instruments réglementant la gestion des informations, notamment le traitement de quantités importantes de données à caractère personnel, dans le domaine «liberté, sécurité et justice». Dans une communication de 2010, la Commission a conclu que les mécanismes d’évaluation des divers instruments étaient extrêmement variés (17). Le CEPD estime que la procédure d’évaluation actuelle devrait être utilisée pour guider l’évaluation d’autres instruments de l’UE et pour assurer que seules les mesures véritablement justifiées restent en place.

13.

Dans ce contexte, le CEPD souhaite partager ses réflexions sur les conclusions présentées dans le rapport d’évaluation par le biais d’un avis public. Cet avis intervient à un stade précoce du processus, afin de fournir une contribution efficace et constructive aux discussions à venir, le cas échéant dans le contexte d’une nouvelle proposition législative telle que celle mentionnée par la Commission dans le rapport d’évaluation (18).

I.3.   Structure de l’avis

14.

Le présent avis analysera et débattra du contenu du rapport d’évaluation du point de vue du respect de la vie privée et de la protection des données à caractère personnel. L’analyse tentera de déterminer si la directive sur la conservation des données satisfait aux exigences définies par ces deux droits fondamentaux. L’analyse tentera également de déterminer si la nécessité de la conservation des données telle qu’arrêtée par la directive a été suffisamment démontrée.

15.

Le présent avis est organisé comme suit. La section II présentera le contenu principal de la directive sur la conservation des données et son lien avec la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (ci-après la «directive vie privée et communications électroniques») (19). La section III exposera brièvement les changements apportés par le traité de Lisbonne, puisque ceux-ci sont particulièrement importants pour le sujet en question et qu’ils ont des conséquences directes sur la manière dont les règles de l’UE doivent être perçues, évaluées et éventuellement révisées. La section la plus longue de l’avis, la section IV, contient l’analyse de la validité de la directive sur la conservation des données, à la lumière des droits à la vie privée et à la protection des données à caractère personnel et par rapport aux conclusions présentées dans le rapport d’évaluation. La section V présentera les éventuelles pistes à suivre. L’avis s’achève par une conclusion, la section VI.

II.   LES RÈGLES DE L’UE SUR LA CONSERVATION DES DONNÉES

16.

Dans le contexte du présent avis, la conservation des données désigne l’obligation des fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications de conserver les données relatives au trafic et les données de localisation ainsi que les données connexes nécessaires à l’identification de l’abonné ou de l’utilisateur pendant une certaine période. Cette obligation est énoncée dans la directive sur la conservation des données, qui spécifie dans son article 5, paragraphe 1, les catégories de données à conserver. En vertu de l’article 6 de la directive, les États membres veillent à ce que ces données soient conservées pendant une durée minimale de six mois et maximale de deux ans à compter de la date de la communication.

17.

Les données doivent être conservées dans la mesure où elles sont générées ou traitées dans le cadre de la fourniture des services de communication concernés par des fournisseurs de services de communications électroniques (article 3). Ces données incluent également les données relatives aux appels téléphoniques infructueux. Aucune donnée révélant le contenu de la communication ne peut être conservée au titre de la directive (article 5, paragraphe 1).

18.

Les données sont conservées en vue de garantir la disponibilité de ces données à des fins de «recherche, de détection et de poursuite d'infractions graves telles qu'elles sont définies par chaque État membre dans son droit interne» (article 1, paragraphe 1).

19.

La directive sur la conservation des données ne contient aucune règle supplémentaire sur les conditions en vertu desquelles les autorités nationales compétentes peuvent accéder aux données conservées. Ceci est laissé à la discrétion des États membres et est considéré comme ne relevant pas du champ d’application de la directive. L’article 4 de la directive souligne que ces règles nationales doivent être conformes aux exigences de nécessité et de proportionnalité, telles qu’énoncées, en particulier, dans la CEDH.

20.

La directive sur la conservation des données est étroitement liée à la directive sur la vie privée et les communications électroniques. Cette directive, qui particularise et complète la directive générale sur la protection des données à caractère personnel 95/46/CE, stipule que les États membres doivent préserver la confidentialité des communications et les données relatives au trafic (20). La directive sur la vie privée et les communications électroniques dispose que ces données relatives au trafic générées par l’utilisation des services de communication électronique doivent, en principe, être effacées ou rendues anonymes lorsqu’elles ne sont plus nécessaires à la transmission d’une communication, hormis si et uniquement aussi longtemps qu’elles sont nécessaires à la facturation (21). Sous réserve du consentement des utilisateurs ou des abonnés, certaines données peuvent être traitées pour la durée nécessaire à la fourniture d’un service à valeur ajoutée.

21.

Conformément à l’article 15, paragraphe 1, de la directive sur la vie privée et les communications électroniques, il est possible pour les États membres de prendre des mesures législatives pour limiter la portée des obligations ci-dessus lorsqu’il s’agit d’une mesure «nécessaire, appropriée et proportionnée, au sein d'une société démocratique, pour des raisons spécifiques d'ordre public, à savoir pour sauvegarder la sécurité nationale (c'est-à-dire la sûreté de l'État), la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d'infractions pénales […]». La question de la conservation des données est explicitement mentionnée à l’article 15, paragraphe 1, de la directive sur la vie privée et les communications électroniques. Les États membres peuvent «adopter des mesures législatives prévoyant la conservation de données pendant une durée limitée» lorsque cela est justifié par un des motifs énoncés.

22.

La directive sur la conservation des données avait pour objet d’aligner les initiatives des États membres en vertu de l’article 15, paragraphe 1, en ce qui concerne la conservation des données pour la recherche, la détection et la poursuite d’infractions pénales. Il convient de souligner que la directive sur la conservation des données constitue une exception à l’obligation générale consacrée dans la directive sur la vie privée et les communications électroniques d’effacer les données lorsqu’elles ne sont plus nécessaires (22).

23.

Avec l’adoption de la directive sur la conservation des données, un paragraphe supplémentaire 1 a) a été inséré à l’article 15 de la directive sur la vie privée et les communications électroniques précisant que l’article 15, paragraphe 1, n’est pas applicable aux données dont la conservation est exigée par la directive sur la conservation des données aux fins précisées à l’article 1, paragraphe 1, de cette directive.

24.

Le rapport d’évaluation note, comme il sera plus amplement débattu dans la section IV.3 ci-dessous, que l’article 15, paragraphe 1, et l’article 15, paragraphe 1, point b), ont été utilisés par plusieurs États membres pour utiliser les données conservées au titre de la directive sur la conservation des données à d’autres finalités également (23). Le CEPD a qualifié cette situation de «vide juridique» dans le cadre juridique, ce qui entrave l’objectif de la directive sur la conservation des données, à savoir celui de créer des conditions égales pour les entreprises (24).

III.   LE CONTEXTE JURIDIQUE DE L’UE A CHANGÉ APRÈS LISBONNE

25.

Le contexte juridique général de l’UE pertinent pour la directive sur la conservation des données a changé considérablement avec l’entrée en vigueur du traité de Lisbonne. Un grand changement a été l’abolition de la structure en piliers, qui avait établi différentes procédures législatives et mécanismes de révision pour les différents domaines relevant de la compétence de l’UE.

26.

La structure antérieure en piliers suscitait régulièrement des discussions sur la base juridique appropriée d’un instrument de l’UE lorsqu’un sujet particulier relevait de la compétence de différents piliers. Le choix d’une base juridique était on ne peut plus important puisqu’il débouchait sur des procédures législatives différentes eu égard, par exemple, aux exigences de vote au Conseil (majorité qualifiée ou unanimité) ou l’implication du Parlement européen.

27.

Ces discussions étaient extrêmement importantes pour la conservation des données. Puisque la directive sur la conservation des données visait à harmoniser l’obligation des opérateurs, et donc à éliminer les obstacles au marché interne, la base juridique pouvait se trouver à l’article 95 de l’ancien traité instituant la CE (l’ancien premier pilier). Cependant, la question aurait pu être abordée du côté répressif, en faisant valoir que l’objectif de la conservation des données était de combattre les infractions graves, dans le cadre de la coopération policière et judiciaire en matière pénale dans l’ancien traité de l’UE (l’ancien troisième pilier) (25).

28.

À cette occasion, la directive sur la conservation des données a été adoptée sur la base de l’article 95 de l’ancien traité instituant la Communauté européenne, régissant uniquement les obligations des opérateurs. La directive ne comportait pas de règles sur l’accès et l’utilisation des données conservées par les autorités répressives.

29.

Après son adoption, la validité de la directive a été contestée devant la Cour de justice européenne. Il a été dit que la directive aurait dû être basée sur le troisième pilier plutôt que le premier pilier, puisque l’objectif pour lequel les données devaient être conservées (la recherche, la détection et la poursuite des infractions graves) relevait de la compétence de l’UE au troisième pilier (26). Toutefois, puisque les activités des autorités compétentes ont été explicitement exclues du champ d’application de la directive, la Cour de justice a conclu que la directive était basée à juste titre sur le traité instituant la Communauté européenne (27).

30.

Dès le départ, le CEPD a affirmé que si l’UE devait adopter un instrument sur la conservation des données, elle devait réglementer cette obligation des opérateurs, ainsi que l’accès et l’utilisation par les autorités répressives. Dans son avis de 2005 sur la proposition de la Commission, le CEPD a souligné que l’accès et l’utilisation ultérieure par les autorités nationales compétentes constituait une part essentielle et inséparable de cette question (28).

31.

Comme nous le développerons plus avant, les effets négatifs de la réglementation partielle de la question par l’UE ont été confirmés par le présent rapport d’évaluation. La Commission conclut que les divergences en droit national concernant l'accès et l'utilisation ultérieure par les autorités nationales compétentes ont créé des «difficultés considérables» pour les opérateurs (29).

32.

Avec l’abolition de la structure en piliers après l’entrée en vigueur du traité de Lisbonne, les deux domaines relevant de la compétence de l’UE ont été rassemblés dans le traité sur le fonctionnement de l’Union européenne, qui permet l’adoption de la législation de l’UE sous réserve de la même procédure législative. Ce nouveau contexte permettrait l’adoption d’un nouvel instrument unique sur la conservation des données réglementant les obligations pour les opérateurs ainsi que les conditions d’accès et d’utilisation ultérieure par les autorités répressives. Comme nous l’expliquerons dans la section IV.3 ci-dessous, les droits à la vie privée et à la protection des données à caractère personnel requièrent, lorsqu’une mesure révisée de l’UE sur la conservation des données est considérée, qu’elle réglemente au moins la question dans sa globalité.

33.

Le traité de Lisbonne a non seulement aboli la structure en piliers, mais il a aussi accordé à la Charte des droits fondamentaux de l’Union européenne, anciennement non-contraignante, et qui incluait les droits à la vie privée et à la protection des données dans ses articles 7 et 8, la même valeur juridique que celle des traités (30). Un droit subjectif à la protection des données a en outre été inclus à l’article 16 du traité sur le fonctionnement de l’Union européenne, créant une base juridique distincte pour les instruments de l’UE sur la protection des données à caractère personnel.

34.

La protection des droits fondamentaux est depuis longtemps une pierre angulaire de la politique de l’UE, et le traité de Lisbonne a renforcé l’engagement envers ces droits dans le contexte de l’UE. Les changements induits par le traité de Lisbonne ont poussé la Commission à annoncer en octobre 2010 la promotion d’une «culture des droits fondamentaux» à toutes les étapes du processus législatif et à déclarer que la Charte des droits fondamentaux de l’Union européenne «doit être un guide pour les politiques de l’Union» (31). Le CEPD estime que le processus d’évaluation actuel offre à la Commission une bonne occasion de prouver cet engagement.

IV.   LA DIRECTIVE SUR LA CONSERVATION DES DONNÉES EST-ELLE CONFORME AUX EXIGENCES EN MATIÈRE DE VIE PRIVÉE ET DE PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL?

35.

Le rapport d’évaluation met en évidence plusieurs faiblesses de la présente directive sur la conservation des données. Les informations fournies dans le rapport montrent que la directive n’a pas réussi à atteindre son objectif principal, à savoir harmoniser les législations nationales en matière de conservation des données. La Commission note des différences «sensibles» entre les mesures de transposition régissant la limitation des finalités, l'accès aux données, les durées de conservation, la protection et la sécurité des données, et les statistiques (32). D’après la Commission, les différences sont partiellement dues au degré de variance expressément prévu par la directive. La Commission affirme, cependant, qu’au-delà de ce degré de variance, «les divergences dans l’application nationale de la conservation des données ont créé des difficultés considérables pour les opérateurs» et que «l’insécurité juridique demeure pour le secteur» (33). Il va sans dire qu’un tel manque d’harmonisation ne peut qu’être préjudiciable à toutes les parties concernées: les citoyens, les chefs d’entreprise ainsi que les autorités répressives.

36.

Du point de vue de la vie privée et de la protection des données à caractère personnel, le rapport d’évaluation arrive également à la conclusion que la directive sur la conservation des données ne satisfait pas aux exigences imposées par les droits à la vie privée et à la protection des données à caractère personnel. Plusieurs défauts ont été relevés: la nécessité de la conservation des données telle qu’arrêtée par la directive sur la conservation des données n’a pas été suffisamment démontrée, la conservation des données aurait pu, dans tous les cas, être réglementée d’une manière moins intrusive dans la vie privée, et la directive sur la conservation des données manque de «prévisibilité». Ces trois points seront développés plus avant.

IV.1.   La nécessité de la conservation des données telle qu’arrêtée par la directive sur la conservation des données n’a pas été suffisamment démontrée

37.

Une ingérence dans le droit au respect de la vie privée et à la protection des données à caractère personnel est autorisée pour autant que la mesure soit nécessaire à la réalisation d’un but légitime. La nécessité de la conservation des données en tant que mesure répressive a toujours fait l’objet de discussions majeures (34). Dans la proposition de directive, il est dit que les limitations prévues sur les droits à la vie privée et à la protection des données à caractère personnel étaient «nécessaires pour atteindre les objectifs, généralement reconnus, de prévention de la criminalité et du terrorisme et de lutte contre ces phénomènes» (35). Toutefois, dans l’avis de 2005, le CEPD a indiqué ne pas être convaincu par cette déclaration, puisqu’elle nécessitait d’autres éléments de preuve pour déterminer si tel est réellement le cas (36). Néanmoins, sans l’apport d’éléments de preuve supplémentaires, le considérant 9 de la directive sur la conservation des données dispose que «la conservation des données s'est révélée être un outil d'investigation nécessaire et efficace pour les enquêtes menées par les services répressifs dans plusieurs États membres».

38.

En raison d’un manque d’éléments de preuve suffisants, le CEPD a affirmé que la directive sur la conservation des données reposait uniquement sur la supposition que la conservation des données telle qu’arrêtée par la directive constituait une mesure nécessaire (37). Le CEPD a dès lors appelé la Commission et les États membres à profiter du rapport d’évaluation pour fournir des éléments de preuve supplémentaires venant confirmer la nécessité de la mesure de conservation des données et que la manière dont elle était réglementée dans la directive sur la conservation des données était bel et bien correcte.

39.

Sur ce point, la Commission affirme dans le rapport d’évaluation que «les États membres estiment pour la plupart que les règles de l'Union relatives à la conservation des données demeurent nécessaires à la mission des services répressifs, à la protection des victimes et aux systèmes de justice pénale». On estime en outre que la conservation des données joue un «rôle capital» dans les enquêtes judiciaires, qu’elle est «au moins utile et, dans certains cas, indispensable», et que sans elle, certaines infractions pénales «seraient restées impunies» (38). La Commission conclut que l’UE devrait par conséquent «encourager et réglementer la conservation des données en tant que mesure de sécurité» (39).

40.

Il est très discutable, cependant, que la Commission puisse conclure que les États membres pour la plupart estiment la conservation des données comme un outil nécessaire. Il n’est nulle part indiqué quels sont les États membres composant la majorité, laquelle, dans une UE de 27 États membres, devrait être d’au moins 14 pour pouvoir parler de la plupart des États membres. Le nombre d’États membres mentionnés au chapitre 5, et sur lequel se basent les conclusions, est de neuf tout au plus (40).

41.

En outre, il semble que la Commission se base principalement sur des déclarations des États membres sur leur perception de la conservation des données comme étant un outil nécessaire aux fins de la répression. Ces déclarations, cependant, indiquent plutôt que les États membres concernés sont heureux d’avoir des règles de l’UE sur la conservation des données, mais ne peuvent en soi établir la nécessité de la conservation des données en tant que mesure répressive, encouragée et réglementée par l’UE. Ces déclarations sur la nécessité doivent être corroborées par des éléments de preuve suffisants.

42.

Certes, démontrer la nécessité d’une mesure intrusive dans la vie privée n’est pas chose aisée. Et surtout pas pour la Commission, qui dépend largement des informations fournies par les États membres.

43.

Toutefois, si une mesure est déjà en place, telle que la directive sur la conservation des données, et qu’une expérience pratique a été acquise, il devrait y avoir suffisamment d’informations qualitatives et quantitatives disponibles permettant d’évaluer si la mesure fonctionne véritablement et si des résultats comparables auraient pu être obtenus sans cet instrument ou avec un moyen alternatif moins intrusif dans la vie privée. Ces informations devraient constituer une preuve authentique et montrer la relation entre utilisation et résultat (41). En ce qui concerne la directive de l’UE, les informations doivent en outre représenter la pratique d’au moins la majorité des États membres de l’UE.

44.

Après une analyse minutieuse, le CEPD estime que, bien que la Commission ait clairement consenti bon nombre d’efforts dans la collecte d’informations auprès des gouvernements des États membres, les informations quantitatives et qualitatives fournies par les États membres ne sont pas suffisantes pour confirmer la nécessité de la conservation des données telle qu’arrêtée par la directive sur la conservation des données. Des exemples intéressants de son utilisation ont été fournis, mais il y a tout simplement trop de lacunes dans les informations présentées dans le rapport pour pouvoir tirer des conclusions générales sur la nécessité de l’instrument. De plus, une recherche plus approfondie sur des moyens alternatifs doit encore être réalisée. Ces deux points seront développés plus avant.

Les informations quantitatives et qualitatives fournies dans le rapport d’évaluation

45.

S’agissant des informations statistiques quantitatives présentées principalement au chapitre 5 et à l’annexe du rapport d’évaluation, des informations cruciales font défaut. Par exemple, les statistiques n’indiquent pas les finalités pour lesquelles les données ont été conservées. De plus, les chiffres n’indiquent pas si toutes les données auxquelles l’accès a été accordé étaient des données enregistrées du fait de l’obligation juridique de conserver les données ou dans un but commercial. Par ailleurs, aucune information n’est fournie concernant les résultats de l’utilisation des données. Il est en outre problématique, pour tirer des conclusions, que les informations des différents États membres ne soient pas toujours totalement comparables et que, dans de nombreux cas, les tableaux ne représentent que neuf États membres.

46.

Les exemples qualitatifs fournis dans le rapport offrent une meilleure illustration du rôle important joué par les données conservées dans certaines situations spécifiques et des avantages potentiels d’un système de conservation des données. Cependant, rien ne permet d’affirmer avec certitude que l’utilisation des données conservées était le seul moyen de résoudre le crime ou délit en question.

47.

Certains exemples illustrent le caractère indispensable de la mesure de conservation des données pour combattre la cybercriminalité. À cet égard, il convient de noter que le principal instrument international dans ce domaine, la convention du Conseil de l’Europe sur la cybercriminalité, n’envisage pas la conservation des données comme une mesure pour lutter contre la cybercriminalité, mais plutôt comme un moyen d’enquête (42).

48.

La Commission semble accorder un poids considérable aux exemples fournis par les États membres dans lesquels les données conservées ont été utilisées pour exclure des suspects des scènes de crime et vérifier des alibis (43). Bien qu’il s’agisse d’exemples intéressants de la manière dont les données sont utilisées par les autorités répressives, ils ne peuvent être avancés comme démontrant la nécessité de la conservation des données. Cet argument doit être utilisé avec précaution car il peut être mal interprété, comme si la conservation des données était nécessaire pour prouver l’innocence des citoyens, ce qui serait difficile de concilier avec la présomption d’innocence.

49.

Le rapport d’évaluation ne discute que très brièvement de la conservation des données en rapport avec les évolutions technologiques, et plus précisément l’utilisation des cartes SIM prépayées (44). Le CEPD souligne que davantage d’informations quantitatives et qualitatives sur l’utilisation des nouvelles technologies non couvertes par la directive (par exemple le VoIP et les réseaux sociaux) auraient été instructives pour évaluer l’efficacité de la directive.

50.

Le rapport d’évaluation est limité car il est essentiellement axé sur les informations quantitatives et qualitatives fournies par les États membres qui ont mis en œuvre la directive sur la conservation des données. Il aurait toutefois été intéressant de voir si des différences tangibles ont été constatées entre ces États membres et les États membres qui n’ont pas mis en œuvre la directive. En particulier pour les États membres dans lesquels la mise en œuvre de la législation a été annulée (Allemagne, Roumanie et République tchèque), il aurait été intéressant de voir s’il existe des preuves d’une hausse ou d’une chute du nombre d’enquêtes criminelles résolues, aussi bien avant qu’après ces annulations.

51.

La Commission reconnaît que les statistiques et les exemples fournis dans le rapport d’évaluation sont «limités à certains points», mais conclut néanmoins que les preuves n’attestent «pas moins le rôle capital que les données conservées jouent dans les enquêtes judiciaires» (45).

52.

Le CEPD estime que la Commission aurait dû être plus critique à l’égard des États membres. Comme expliqué précédemment, les déclarations politiques de certains États membres sur la nécessité d’une telle mesure ne peuvent justifier à elles seules une action de l’UE. La Commission aurait dû insister pour que les États membres produisent des éléments suffisants démontrant la nécessité de la mesure. D’après le CEPD, la Commission aurait dû au moins conditionner son soutien à la conservation des données en tant que mesure de sécurité (voir p. 35 du rapport d’évaluation) à la communication par les États membres de preuves supplémentaires durant l’étude d’impact.

Moyens alternatifs

53.

La nécessité de la conservation des données telle qu’arrêtée par la directive sur la conservation des données dépend également de l’existence de moyens alternatifs moins intrusifs dans la vie privée qui auraient pu produire des résultats comparables. Ceci a été confirmé par la Cour de justice dans son arrêt Schecke en novembre 2010, par lequel la législation de l’UE sur la publication des noms des bénéficiaires des fonds agricoles a été annulée (46). Une des raisons de l’annulation était que le Conseil et la Commission n’avaient pas considéré des modalités alternatives de publication d’informations relatives aux bénéficiaires concernés qui seraient conformes à l’objectif d’une telle publication tout en étant moins attentatoires au droit de ces bénéficiaires au respect de leur vie privée et à la protection de leurs données à caractère personnel (47).

54.

La principale alternative mise en avant dans les discussions entourant la directive sur la conservation des données est le mode de conservation a posteriori («quick freeze» ou gel immédiat et «quick freeze plus» ou gel immédiat plus) (48). Il s’agit de conserver temporairement ou de «geler» certaines données de trafic des télécommunications et de localisation portant uniquement sur des personnes déterminées soupçonnées d’activités criminelles, qui peuvent par la suite être mises à la disposition des autorités répressives avec une autorisation judiciaire.

55.

La conservation des données a posteriori est citée dans le rapport d’évaluation dans le contexte de la Convention sur la cybercriminalité susmentionnée, mais elle est considérée comme étant inappropriée puisqu’elle «ne garantit pas la possibilité de remonter en amont de l’injonction de conservation, pas plus qu’elle ne permet de recueillir des preuves sur les mouvements des victimes ou des témoins d’une infraction, par exemple» (49).

56.

Le CEPD reconnaît qu’un système de conservation des données a posteriori implique moins d’informations qu’un système général de conservation des données. Cependant, c’est précisément grâce à sa nature plus ciblée que la conservation des données a posteriori constitue un instrument moins intrusif dans la vie privée en termes de portée et de nombre de personnes concernées. L’évaluation doit non seulement s’intéresser aux données disponibles, mais également aux différents résultats obtenus avec les deux systèmes. Le CEPD estime qu’une étude plus approfondie de cette mesure s’avère justifiée et indispensable. Cela pourrait se faire dans le cadre de l’étude d’impact dans les mois à venir.

57.

À cet égard, il est regrettable que dans les conclusions du rapport, la Commission s’engage à déterminer si une approche européenne à la conservation des données a posteriori peut compléter (et non remplacer) la conservation des données (50). La possibilité de combiner un quelconque système de conservation avec les garanties procédurales entourant les divers modes de conservation des données a posteriori mérite effectivement que l’on s’y intéresse de plus près. Toutefois, le CEPD recommande à la Commission de considérer aussi lors de l’étude d’impact si un système de conservation des données a posteriori, ou tout autre moyen alternatif, peut totalement ou partiellement se substituer au système actuel de conservation des données.

IV.2.   La conservation des données, telle qu’arrêtée par la directive sur la conservation des données va, dans tous les cas, au-delà de ce qui est nécessaire

58.

D’après le CEPD, les informations présentées dans le rapport d’évaluation ne contiennent pas suffisamment d’éléments de preuve pour démontrer la nécessité de la conservation des données telle qu’arrêtée par la directive sur la conservation des données. Cependant, le rapport d’évaluation permet de conclure que la directive sur la conservation des données a réglementé la conservation des données bien au-delà de ce qui est nécessaire, ou, tout au moins, qu’elle a été incapable de garantir que la conservation des données n’a pas été appliquée de manière abusive. À cet égard, quatre éléments peuvent être soulignés.

59.

Primo, la finalité imprécise de la mesure et la notion plutôt large des «autorités nationales compétentes» a donné lieu à une utilisation des données conservées à des fins, et par des autorités, bien trop nombreuses. De plus, les garanties et conditions d’accès aux données manquent de cohérence. Par exemple, l’accès n’est pas conditionné à une approbation préalable par une autorité judiciaire ou une autre autorité indépendante dans tous les États membres.

60.

Secundo, la période de conservation maximale de deux ans semble aller au-delà de ce qui est nécessaire. Les informations statistiques de certains États membres dans le rapport d’évaluation montrent qu’une grande majorité des demandes d’accès portent sur des données d’une ancienneté de six mois maximum, à savoir 86 % (51). De plus, seize États membres ont opté pour une période de conservation d’un an ou moins dans leur législation (52). Ceci suggère fortement qu’une période de conservation maximale de deux ans va bien au-delà de ce qui est considéré comme nécessaire par la majorité des États membres.

61.

En outre, l’absence d’une période de conservation fixée pour l’ensemble des États membres a créé toute une série de législations nationales divergentes, ce qui n’est pas sans poser de problèmes, puisqu’il n’est pas toujours évident de déterminer quelle législation nationale — que ce soit en matière de conservation des données ou de protection des données à caractère personnel — est applicable lorsque les opérateurs stockent des données dans un État membre autre que celui dans lequel les données sont collectées.

62.

Tertio, le niveau de sécurité n’est pas suffisamment harmonisé. L’une des principales conclusions du groupe de travail «Article 29» dans son rapport de juillet 2010 épinglait la pléthore de mesures de sécurité mises en place dans les différents États membres. La Commission semble considérer les mesures de sécurité dans la directive actuelle comme suffisantes, puisque «aucun exemple concret d’atteintes graves à la vie privée» n’a été rapporté (53). Il semble cependant que la Commission ait uniquement demandé aux gouvernements des États membres de se prononcer sur la question. Afin d’évaluer l’adéquation des présentes règles et mesures de sécurité, une consultation plus large et un examen plus concret des cas d’abus s’avèrent nécessaires. Même si aucun exemple spécifique d’atteinte grave à la vie privée n’est mentionné dans le cadre du rapport, les atteintes à la sécurité des données et les scandales dans le domaine des données de trafic et des communications électroniques dans certains États membres constituent des signaux d’alerte clairs. La question ne peut être prise à la légère, puisque la sécurité des données conservées est d’une importance capitale pour un système de conservation des données en tant que tel, puisqu’elle garantit le respect de toutes les autres garanties (54).

63.

Quarto, le rapport ne permet pas de déterminer si toutes les catégories de données conservées se sont avérées nécessaires. Seules quelques distinctions générales sont établies entre données téléphoniques et internet. Certains États membres ont choisi d’imposer une période plus courte de conservation des données relatives à l’internet (55). Toutefois, aucune conclusion générale ne peut être tirée à partir de ces éléments.

IV.3.   La directive sur la conservation des données manque de prévisibilité

64.

Une autre lacune de la directive sur la conservation des données a trait à son manque de prévisibilité. L’exigence de prévisibilité provient de l’exigence générale contenue à l’article 8, paragraphe 2, de la CEDH et à l’article 52, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne, qui disposent qu’une ingérence dans la vie privée doit être prévue par la loi. D’après la Cour européenne des droits de l’homme, cela signifie qu’une mesure doit avoir un fondement juridique et qu’elle doit être compatible avec l’État de droit. Ceci implique que la loi soit accessible et prévisible (56). La Cour de justice a également statué, dans l’affaire Österreichischer Rundfunk, que la loi doit «[être] libellé[e] avec suffisamment de précision pour permettre aux destinataires de la loi de régler leur conduite» (57). Le droit doit indiquer de manière suffisamment claire la portée d'un tel pouvoir discrétionnaire conféré aux autorités compétentes ainsi que les modalités de son exercice (58).

65.

S’agissant de la check-list mentionnée dans la communication de la Commission sur la Charte des droits fondamentaux de l’Union européenne, une des questions qu’il convient de se poser est de savoir si la limitation des droits fondamentaux est formulée «de manière précise et prévisible» (59). Dans sa communication sur la présentation générale de la gestion de l’information dans le domaine de la liberté, de la sécurité et de la justice, la Commission a également affirmé que les citoyens «ont le droit de connaître les données à caractère personnel les concernant qui sont traitées et échangées et de savoir par qui elles le sont et à quelle fin» (60).

66.

Dans le cas d’une directive de l’UE, la responsabilité de la conformité avec les droits fondamentaux, notamment l’exigence de prévisibilité, incombe principalement aux États membres qui transposent la directive dans leur législation nationale. Il est bien connu qu’une telle transposition doit se faire dans le respect des droits fondamentaux (61).

67.

Également dans le rapport d’évaluation, la Commission souligne que la directive «ne garantit pas en soi que les données conservées seront stockées, extraites et utilisées dans le strict respect du droit à la vie privée et à la protection des données à caractère personnel». Elle rappelle que «la responsabilité de faire respecter ces droits incombe aux États membres» (62).

68.

Cependant, le CEPD estime qu’une directive de l’UE devrait dans une certaine mesure satisfaire également à l’exigence de prévisibilité. Ou, pour paraphraser la Cour de justice dans l’affaire Lindqvist, le régime arrêté par la directive ne doit pas «manquer de prévisibilité» (63). Ceci est particulièrement vrai lorsqu’il s’agit d’une mesure de l’UE qui exige que les États membres organisent une ingérence à grande échelle dans les droits à la vie privée et à la protection des données à caractère personnel des citoyens. Le CEPD estime que l’UE a la responsabilité d’assurer au moins une finalité clairement définie et une indication précise de qui peut avoir accès aux données et sous quelles conditions.

69.

Cette position est appuyée par le nouveau contexte juridique créé par le traité de Lisbonne qui, comme expliqué, a élargi la compétence de l’UE dans le domaine de la coopération policière et judiciaire en matière pénale et renforcé l’engagement de l’UE à faire respecter les droits fondamentaux.

70.

Le CEPD souhaite rappeler que l’exigence d’une finalité déterminée et l’interdiction subséquente de traiter des données d’une manière incompatible avec cette finalité («principe de limitation de la finalité») sont d’une importance capitale pour la protection des données à caractère personnel, comme le confirme l’article 8 de la Charte des droits fondamentaux de l’Union européenne (64).

71.

Le rapport d’évaluation montre que le choix de laisser la définition précise de ce que constitue une «infraction grave» ainsi que des entités devant être considérées comme des «autorités compétentes» à la discrétion des États membres a donné lieu à toute une série de finalités pour lesquelles les données ont été utilisées (65).

72.

La Commission affirme que «[l]a plupart des États membres qui ont transposé la directive autorisent, dans leur législation, l’accès aux données conservées et leur utilisation pour des finalités dépassant celles couvertes par la directive, comme la prévention et la répression de la criminalité en général et les risques pour la vie humaine» (66). Les États membres utilisent le «vide juridique» laissé par l’article 15, paragraphe 1, de la directive sur la vie privée et les communications électroniques (67). La Commission considère que cette situation pourrait ne pas répondre suffisamment à «l’exigence de prévisibilité à laquelle est soumise toute mesure législative qui restreint le droit à la vie privée» (68).

73.

Dans ces circonstances, il ne peut être dit que la directive sur la conservation des données, lue en conjonction avec la directive sur la vie privée et les communications électroniques, offre la clarté suffisante pour satisfaire au principe de prévisibilité au niveau de l’UE.

V.   LA VOIE À SUIVRE: TOUTES LES OPTIONS DOIVENT ÊTRE ENVISAGÉES

74.

L’analyse de la section précédente permet de conclure que la directive sur la conservation des données ne satisfait pas aux exigences imposées par les droits à la vie privée et à la protection des données à caractère personnel. Il est donc évident que la directive sur la conservation des données ne peut continuer à exister dans sa mouture actuelle. À cet égard, la Commission propose, à juste titre, une révision du cadre actuel régissant la conservation des données (69).

75.

Cependant, avant de proposer une version révisée de la directive:

a)

la Commission doit, durant l’étude d’impact, s’atteler à collecter des preuves pratiques supplémentaires auprès des États membres afin de démontrer la nécessité de la conservation des données en tant que mesure au titre du droit de l’UE;

b)

si une majorité des États membres considère la conservation des données comme étant nécessaire, ces États membres doivent tous fournir des preuves quantitatives et qualitatives pour le démontrer;

c)

les États membres qui s’opposent à une mesure de conservation des données doivent fournir à la Commission les informations pertinentes pour permettre une évaluation plus large de la question.

76.

Dans l’étude d’impact, il convient en outre d’examiner si des moyens alternatifs et moins intrusifs dans la vie privée auraient pu mener ou pourraient encore mener à des résultats comparables. La Commission devrait adopter une initiative en la matière, soutenue, le cas échéant, par des experts externes.

77.

Le CEPD note avec satisfaction que la Commission a annoncé la consultation de toutes les parties prenantes concernées durant l’étude d’impact (70). À cet égard, le CEPD encourage la Commission à trouver les moyens d’impliquer directement les citoyens dans cet exercice.

78.

Il convient de souligner que l’évaluation de la nécessité et l’examen des moyens alternatifs moins intrusifs dans la vie privée ne peuvent être menés équitablement que si toutes les options pour l’avenir de la directive sont laissées ouvertes. À cet égard, la Commission semble exclure la possibilité d’abroger purement et simplement la directive, de façon exclusive ou combinée avec une proposition de mesure alternative de l’UE plus ciblée. Le CEPD appelle donc la Commission à considérer sérieusement ces options dans l’étude d’impact.

79.

Une future directive sur la conservation des données ne pourra être envisagée que si tout le monde s’accorde sur la nécessité d’une réglementation de l’UE du point de vue du marché interne et de la coopération policière et judiciaire en matière pénale et si, durant l’étude d’impact, la nécessité de la conservation des données, encouragée et réglementée par l’UE, peut être suffisamment démontrée, avec un examen minutieux des mesures alternatives.

80.

Le CEPD ne nie pas la valeur des données conservées à des fins de répression ni le rôle capital qu’elles peuvent jouer dans des cas spécifiques. À l’instar du Bundesverfassungsgericht allemand, le CEPD n’exclut pas qu’une obligation bien définie de conservation des données de télécommunications puisse être justifiée sous certaines conditions très strictes (71).

81.

Tout instrument futur de l’UE sur la conservation des données devra par conséquent satisfaire aux exigences fondamentales suivantes:

il doit être global et véritablement harmoniser les règles sur l’obligation de conservation des données, ainsi que sur l’accès et l’utilisation ultérieure des données par les autorités compétentes;

il doit être exhaustif, ce qui signifie qu’il doit avoir une finalité claire et précise, et que le vide juridique existant à l’article 15, paragraphe 1, de la directive sur la vie privé et les communications électroniques doit être comblé;

il doit être proportionnel et ne pas aller au-delà de ce qui est nécessaire (voir à cet égard les commentaires formulés à la section IV.2 ci-dessus).

82.

Bien entendu, le CEPD examinera minutieusement toute proposition future sur la conservation des données à la lumière de ces conditions fondamentales.

VI.   CONCLUSION

83.

Le CEPD note avec satisfaction que, bien que l’article 14 ne l’exige pas au sens strict, la Commission a également tenu compte dans le rapport d’évaluation des effets de la directive sur les droits fondamentaux.

84.

Le rapport d’évaluation montre que la directive n’a pas réussi à atteindre son objectif principal, à savoir d’harmoniser les législations nationales en matière de conservation des données. Un tel manque d’harmonisation ne peut qu’être préjudiciable à toutes les parties concernées: les citoyens, les chefs d’entreprise ainsi que les autorités répressives.

85.

Sur la base du rapport d’évaluation, il peut être conclu que la directive sur la conservation des données ne satisfait pas aux exigences établies par les droits à la vie privée et à la protection des données à caractère personnel, pour les motifs suivants:

la nécessité de la conservation des données telle qu’arrêtée par la directive sur la conservation des données n’a pas été suffisamment démontrée;

la conservation des données aurait pu être réglementée d’une manière moins intrusive dans la vie privée;

la directive sur la conservation des données manque de prévisibilité.

86.

Le CEPD appelle la Commission à envisager sérieusement toutes les options contenues dans l’étude d’impact, notamment la possibilité d’abroger purement et simplement la directive, de façon exclusive ou combinée avec une proposition de mesure alternative de l’UE plus ciblée.

87.

Une future directive sur la conservation des données ne pourra être envisagée que si tout le monde s’accorde sur la nécessité d’une réglementation de l’UE du point de vue du marché interne et de la coopération policière et judiciaire en matière pénale et si, durant l’étude d’impact, la nécessité de la conservation des données, encouragée et réglementée par l’UE, peut être suffisamment démontrée, avec un examen minutieux des mesures alternatives. Un tel instrument devra satisfaire aux exigences fondamentales suivantes:

il doit être global et véritablement harmoniser les règles sur l’obligation de conservation des données, ainsi que sur l’accès et l’utilisation ultérieure des données par les autorités compétentes;

il doit être exhaustif, ce qui signifie qu’il doit avoir une finalité claire et précise, et que le vide juridique existant à l’article 15, paragraphe 1, de la directive sur la vie privé et les communications électroniques doit être comblé;

il doit être proportionnel et ne pas aller au-delà de ce qui est nécessaire.

Fait à Bruxelles, le 31 mai 2011.

Peter HUSTINX

Contrôleur européen de la protection des données


(1)  JO L 281 du 23.11.1995, p. 31.

(2)  JO L 201 du 31.7.2002, p. 37 tel que modifié par la directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009, JO L 337 du 18.12.2009, p. 11.

(3)  JO L 8 du 12.1.2001, p. 1.

(4)  COM(2011) 225 final.

(5)  La directive sur la conservation des données (directive 2006/24/CE) a été adoptée le 15 mars 2006 et publiée au JO L 105 du 13.4.2006, p. 54. La date limite pour l’élaboration du rapport avait été fixée au 15 septembre 2010, voir article 14, paragraphe 1, de la directive sur la conservation des données.

(6)  Voir p. 1 du rapport d’évaluation.

(7)  Voir à titre d’information Cour européenne des droits de l’homme, 4 décembre 2008, S. et Marper contre Royaume-Uni, 30562/04 et 30566/04, paragraphe 67.

(8)  Voir Cour européenne des droits de l’homme, 2 août 1984, Malone contre Royaume-Uni, A-82, paragraphe 84.

(9)  Voir l’avis du CEPD du 26 septembre 2005, JO C 298 du 29.11.2005, p. 1. Lors d’une conférence organisée par la Commission en décembre 2010, le CEPD a qualifié l’instrument comme étant «sans aucun doute l’instrument le plus préjudiciable au respect de la vie privée jamais adopté par l’Union européenne eu égard à son ampleur et au nombre de personnes qu’elle touche», voir le discours du 3 décembre 2010, consultable sur le site web du CEPD (http://www.edps.europa.eu) sous «Publications» >> «Discours & Articles» >> «2010».

(10)  Voir à ce sujet la lettre datée du 22 juin 2010 d’un groupe important d’organisations de la société civile aux commissaires Malmström, Reding et Kroes (http://www.vorratsdatenspeicherung.de/images/DRletter_Malmstroem.pdf).

(11)  Voir l’avis du CEPD cité à la note de bas de page 9.

(12)  Voir en outre la décision de la Commission du 25 mars 2008, JO L 111 du 23.4.2008, p. 11.

(13)  Voir WP 172 du 13 juillet 2010, rapport 1/2010 sur la deuxième action commune de contrôle de l’application de la législation UE.

(14)  Voir Cour de justice européenne, 10 février 2009, Irlande contre Parlement et Conseil, C-301/06. Voir également point 29 ci-dessous.

(15)  Dans son avis de 2005, le CEPD avait déjà souligné l’importance d’évaluer l’instrument (voir note de bas de page 9, points 72-73).

(16)  Voir le discours du 3 décembre 2010 cité à la note de bas de page 9.

(17)  COM(2010) 385 du 20 juillet 2010, Présentation générale de la gestion de l’information dans le domaine de la liberté, de la sécurité et de la justice, p. 24. Voir l’avis du CEPD du 30 septembre 2010 sur cette communication, consultable sur le site web du CEPD (http://www.edps.europa.eu) sous «Consultation» >> «Avis» >> «2010».

(18)  Voir p. 32 du rapport d’évaluation.

(19)  Cf. note 2.

(20)  Voir article 5 de la directive sur la vie privée.

(21)  Voir articles 6 et 9 de la directive sur la vie privée.

(22)  Voir également WP 29 dans le rapport du 13 juillet 2010, dont il est question à la note de bas de page 13, p. 1.

(23)  Voir p. 8 du rapport d’évaluation. Voir également à cet égard le considérant 12 de la directive sur la conservation des données.

(24)  Voir le discours du 3 décembre 2010 dont question à la note de bas de page 9, p. 4.

(25)  Une première proposition pour une réglementation de l’UE sur la conservation des données (une décision cadre) était basée sur l’ancien traité de l’UE, présentée par la France, l’Irlande, la Suède et le Royaume-Uni. Voir le document du Conseil 8958/04 du 28 avril 2004. Cette proposition a été suivie par une proposition de la Commission basée sur le traité instituant la Communauté européenne. Voir COM(2005) 438 du 21 septembre 2005.

(26)  Cet argument était basé sur l’arrêt rendu par la Cour de justice dans les affaires «Passenger Name Record», voir Cour européenne de justice, 30 mai 2006, Parlement européen contre Conseil de l’Union européenne et Commission des Communautés européennes, C-317/05 et C-318/04.

(27)  Voir Cour européenne de justice, 10 février 2009, Irlande contre Parlement européen et Conseil de l’Union européenne, C-301/06, points 82-83.

(28)  Voir l’avis de 2005, point 80. Voir également à ce sujet la section IV.3 du présent avis.

(29)  Voir p. 31 du rapport d’évaluation.

(30)  Voir article 6, paragraphe 1, du traité sur le fonctionnement de l’Union européenne.

(31)  COM(2010) 573 du 19 octobre 2010, Stratégie pour la mise en œuvre effective de la Charte des droits fondamentaux par l'Union européenne, p. 4.

(32)  Voir p. 36 du rapport d’évaluation.

(33)  Voir p. 36 du rapport d’évaluation.

(34)  Voir l’avis du CEPD de 2005. Voir également la lettre du 22 juin 2010 d’un groupe important d’organisations de la société civile, citée à la note de bas de page 10.

(35)  COM(2005) 438 du 21 septembre 2005, p. 3.

(36)  Voir l’avis de 2005, points 17-22.

(37)  Voir le discours du 3 décembre 2010 cité à la note de bas de page 9.

(38)  Toutes les citations sont extraites des p. 26 ou 35 du rapport d’évaluation.

(39)  Voir p. 35 du rapport d’évaluation.

(40)  République tchèque, Slovénie, Royaume-Uni, Allemagne, Pologne, Finlande, Pays-bas, Irlande et Hongrie.

(41)  Voir sur le principe de nécessité et de proportionnalité l’avis du CEPD du 25 mars 2011 sur la proposition «Passenger Name Record» de l’UE, consultable sur le site web du CEPD (http://www.edps.europa.eu) sous «Consultation» >> «Avis» >> «2011».

(42)  Voir également p. 5 du rapport d’évaluation.

(43)  Voir p. 27 du rapport d’évaluation.

(44)  Voir p. 29 du rapport d’évaluation.

(45)  Voir p. 35 du rapport d’évaluation.

(46)  Cour européenne de justice, novembre 2010, Volker und Markus Schecke, C-92/09 et C-93/09.

(47)  Cour européenne de justice, Schecke, point 81.

(48)  Le «gel immédiat» désigne le «gel» des données de trafic et de localisation portant uniquement sur des personnes déterminées soupçonnées d’une activité criminelle, à compter de la date de l’injonction judiciaire. Le «gel immédiat plus» inclut également le «gel» des données déjà détenues par les opérateurs à des fins de facturation et de transmission.

(49)  Voir p. 6 du rapport d’évaluation.

(50)  Voir p. 37 du rapport d’évaluation.

(51)  Voir p. 25 du rapport d’évaluation. Douze pour cent des demandes concernent des données entre six mois et un an et 2 % concernent des données remontant à plus d’un an.

(52)  Voir p. 16 du rapport d’évaluation.

(53)  Voir p. 35 du rapport d’évaluation.

(54)  Voir également l’avis du CEPD de 2005, points 29 à 37. Voir également le discours du Contrôleur adjoint du 4 mai 2011 consultable sur le site web du CEPD (http://www.edps.europa.eu) sous «Publications» >> «Discours & articles» >> «2011».

(55)  Voir p. 16 du rapport d’évaluation.

(56)  Voir Cour européenne des droits de l’homme, S. et Marper, cité à la note de bas de page 7, point 151.

(57)  Cour européenne de justice, 20 mai 2003, Österreichischer Rundfunk, C-465/00, point 77, et Cour européenne des droits de l’homme, S. et Marper, cité à la note de bas de page 7, point 95.

(58)  Voir Cour européenne des droits de l’homme, Malone, cité à la note de bas de page 8, points 66-68.

(59)  COM(2010) 573, citée à la note de bas de page 31, p. 5.

(60)  COM(2010) 385, citée à la note de bas de page 17, p. 3.

(61)  Voir par exemple, Cour européenne de justice, 6 novembre 2003, Lindqvist, point 87.

(62)  Voir p. 36 du rapport d’évaluation.

(63)  Cour européenne de justice, Lindqvist, point 84.

(64)  Voir également l’article 6 de la directive 95/46/CE.

(65)  Voir p. 10 du rapport d’évaluation.

(66)  Voir p. 10 du rapport d’évaluation.

(67)  Tel que discuté au point 24 ci-dessus.

(68)  Voir pages 10 et 15 du rapport d’évaluation.

(69)  Voir pages 37-38 du rapport d’évaluation.

(70)  Voir pages 37-38 du rapport d’évaluation.

(71)  Voir Bundesverfasssungsgericht, 1 BvR 256/08.


23.9.2011   

FR

Journal officiel de l'Union européenne

C 279/11


Avis du Contrôleur européen de la protection des données concernant la proposition de règlement du Parlement européen et du Conseil modifiant le règlement (CE) no 1073/1999 relatif aux enquêtes effectuées par l’Office européen de lutte antifraude (OLAF) et abrogeant le règlement (Euratom) no 1074/1999

2011/C 279/02

LE CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES,

vu le traité sur le fonctionnement de l’Union européenne et en particulier son article 16,

vu la Charte des droits fondamentaux de l’Union européenne, et notamment ses articles 7 et 8,

vu la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (1),

vu le règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (2), et notamment son article 28, paragraphe 2,

A ADOPTÉ L’AVIS SUIVANT:

1.   INTRODUCTION

1.

Le 17 mars 2011, la Commission a adopté une proposition de règlement du Parlement européen et du Conseil modifiant le règlement (CE) no 1073/1999 relatif aux enquêtes menées par l’Office européen de lutte antifraude (l’Office) et abrogeant le règlement (Euratom) no 1074/1999 (ci-après «la proposition»).

1.1.   Consultation avec le CEPD

2.

La proposition a été envoyée au CEPD par le Conseil le 8 avril 2011. Le CEPD considère cette communication comme une demande d’avis qui lui est faite par les institutions et organes communautaires, comme le prévoit l’article 22, paragraphe 2, du règlement (CE) no 45/2001 du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (ci-après le «règlement (CE) no 45/2001»). Le CEPD juge encourageante la référence explicite à cette consultation dans le préambule de la proposition.

3.

La proposition vise à modifier les articles 1 à 14 et à supprimer l’article 15 du règlement (CE) no 1073/1999. Le règlement (Euratom) du Conseil no 1074/1999 du 25 mai 1999 relatif aux enquêtes menées par l’Office européen de lutte antifraude doit être abrogé.

4.

Auparavant (3), avant l’adoption de la proposition, la Commission avait donné au CEPD la possibilité de présenter des observations informelles. Le CEPD se félicite du caractère ouvert du processus qui a, très tôt, aidé à améliorer le texte du point de vue de la protection des données. En effet, certaines de ces observations ont été prises en compte dans la proposition.

5.

Ce nouveau texte est le résultat d’un long processus de révision. En 2006, la Commission a mis en avant une proposition pour amender le règlement (CE) no 1073/1999. La proposition législative visait avant tout à «renforcer l’efficience opérationnelle et la gouvernance de l’Office».

6.

Cette précédente proposition a été discutée à la fois au Conseil et au Parlement européen selon la procédure de codécision. Le CEPD a émis son avis en avril 2007, ainsi que de nombreuses observations visant à rendre le texte de la proposition plus cohérent avec les règles de protection des données garanties par le règlement (CE) no 45/2001 (4). Le 20 novembre 2008 (5), le Parlement a adopté en première lecture une résolution comportant une centaine d’amendements à la proposition.

7.

À la demande de la présidence tchèque du Conseil (janvier-juin 2009), la Commission a présenté au Parlement européen et au Conseil en juillet 2010 un exposé actualisé sur la réforme de l’Office. En octobre 2010, le Parlement européen a accueilli cet exposé et demandé à la Commission de reprendre la procédure législative. Le 6 décembre 2010, le Conseil a adopté ses conclusions sur le document de réflexion soumis par la Commission. Le comité de surveillance de l’Office a contribué à la discussion en communiquant ses avis sur l’exposé et sur le respect des droits fondamentaux et des garanties procédurales dans les enquêtes menées par l’Office. La Commission a ensuite présenté la nouvelle proposition.

1.2.   Importance de la proposition et de l’avis du CEPD

8.

La proposition comprend des dispositions qui ont une forte incidence sur les droits des personnes. L’Office continuera à recueillir et à traiter des données sensibles liées à des allégations d’activités illégales, des infractions, des condamnations pénales ainsi qu’à des informations qui pourraient servir à exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat, dans la mesure où ces informations représentent un risque particulier pour les droits et les libertés des personnes concernées. Le droit fondamental à la protection des données personnelles vaut bien sûr en soi mais il a des liens étroits avec d’autres droits fondamentaux comme le refus de la discrimination et l’application d’une procédure équitable, ainsi que le droit de se défendre dans les enquêtes menées par l’Office. Le respect d’une procédure équitable a une influence sur la validité de la preuve et doit être considéré comme une priorité par l’Office pour renforcer son obligation de rendre compte. Il est donc essentiel de s’assurer que, lors des enquêtes, les droits fondamentaux, dont les droits à la protection des données et au respect de la vie privée, des personnes impliquées sont effectivement garantis.

1.3.   Principaux éléments de la proposition

9.

L’objectif déclaré de la proposition est d’augmenter l’effectivité, l’efficacité et l’obligation de justification de l’Office, tout en sauvegardant son indépendance en matière d’enquêtes. Cet objectif serait atteint principalement: i) en intensifiant la coopération et l’échange d’informations avec d’autres institutions, offices, organes et agences ou États membres de l’Union; ii) en affinant l’approche de minimis  (6) aux enquêtes; iii) en renforçant les garanties procédurales pour les personnes sur lesquelles l’Office enquête; iv) en incluant la possibilité que l’Office conclue des arrangements administratifs pour faciliter l’échange d’informations avec Europol, Eurojust, les autorités compétentes de pays tiers ainsi qu’avec des organisations internationales et v) en clarifiant le rôle de contrôle du comité de surveillance.

10.

Le CEPD reconnaît l’importance des objectifs visés par les amendements proposés et, à cet égard, se félicite de la proposition. Il apprécie particulièrement l’introduction du nouvel article 7 bis qui est consacré aux garanties de procédure offertes aux personnes. Du point de vue de la défense des droits de l’individu à la protection de ses données personnelles et de sa vie privée, le CEPD considère que, dans l’ensemble, la proposition représente une amélioration par rapport à la situation actuelle. Il se félicite, notamment, de la reconnaissance expresse de l’importance des droits des personnes concernées en vertu des articles 11 et 12 du règlement (CE) no 45/2001 (7).

11.

Toutefois, en dépit de cette impression globalement positive, le CEPD estime que, du point de vue de la protection des données à caractère personnel, la proposition pourrait être encore améliorée sans compromettre les objectifs qu’elle poursuit. Le CEPD craint en particulier que, en raison d’un manque de cohérence sur certains aspects, la proposition soit considérée comme une lex specialis réglementant le traitement des données à caractère personnel collectées dans le cadre des enquêtes de l’OLAF, qui primerait dès lors sur l’application du cadre général de la protection des données prévu par le règlement (CE) no 45/2001. Dès lors, il existe un risque que les normes de protection des données contenues dans la proposition soient interprétées ex contrario comme étant moins exigeantes que celles du règlement, et cela sans que rien dans la proposition elle-même ni dans l’exposé des motifs ne le justifie apparemment.

12.

Afin d’éviter d’en arriver là, le chapitre suivant contient une analyse de la proposition qui, d’une part, décrit ses insuffisances et, de l’autre, suggère des moyens précis pour les surmonter. L’objet de cette analyse se limite aux dispositions ayant une incidence directe sur la protection des données à caractère personnel, et particulièrement à l’article 1, paragraphes 8), 9), 10), 11) et 12) en vertu desquels les articles 7 bis et 7 ter, l'article 8, l'article 9, l'article 10 et l'article 10 bis sont ajoutés ou modifiés.

2.   ANALYSE DE LA PROPOSITION

2.1.   Contexte général

13.

L’OLAF a été créé en 1999 (8) pour protéger les intérêts financiers de la Communauté européenne et l’argent des contribuables contre la fraude, la corruption et toute autre activité illégale. L’Office est rattaché à la Commission mais il est indépendant de celle-ci. L’Office mène des enquêtes qui peuvent être externes (9) (en particulier des enquêtes qui peuvent être menées dans les États membres ou dans les pays tiers) et internes (10) (enquêtes menées à l’intérieur des institutions, organes, offices et agences de l’UE) dans le but de lutter contre la fraude et les activités illégales qui peuvent porter atteinte aux intérêts de l’Union européenne.

14.

En outre, l’OLAF peut aussi i) transmettre aux autorités compétentes des États membres concernés des informations obtenues au cours d’enquêtes externes; ii) transmettre aux autorités judiciaires de l’État membre concerné les informations obtenues par l’Office lors d’enquêtes internes sur des faits susceptibles de poursuites pénales et iii) transmettre à l’institution, organe, ou organisme concerné des informations obtenues au cours d’enquêtes internes (11).

15.

L’Office peut aussi coopérer étroitement avec Eurojust (12) et Europol (13) pour mener à bien sa mission de lutte contre la fraude, la corruption et toute autre activité qui pourrait affecter l'intérêt financier de la Communauté. Dans ce contexte, Europol (14) et Eurojust (15) peuvent échanger des informations de nature opérationnelle, stratégique ou technique avec l’OLAF, parmi lesquelles des données à caractère personnel.

16.

Selon le règlement (CE) no 1073/1999, l’OLAF peut aussi enquêter dans des pays tiers conformément aux différents accords de coopération en vigueur entre l’Union européenne et ces pays tiers. Des activités frauduleuses au détriment du budget communautaire peuvent aussi se dérouler en dehors du territoire de l’Union européenne, par exemple en ce qui concerne l’aide étrangère accordée par l’Union européenne aux pays en développement, aux pays candidats ou à d’autres pays qui la reçoivent, ou les violations de la législation douanière. Afin de détecter efficacement et de poursuivre ces infractions, l’Office doit effectuer dans les pays tiers également des inspections et des vérifications sur place. L’Union européenne a actuellement plus de cinquante accords d’assistance administrative mutuelle en matière de douanes, y compris avec de grands partenaires commerciaux comme la Chine, les États-Unis, le Japon, la Turquie, la Fédération de Russie et l’Inde, ce qui illustre l’importance de la coopération internationale et aussi de l’échange de données.

17.

La mise en œuvre du règlement (CE) no 45/2001 dans les activités de l’OLAF a fait l’objet de nombreuses interventions du CEPD ces dernières années. En relation avec le sujet de la proposition (les enquêtes de l’Office), il importe de considérer l’avis du 23 juin 2006 sur une notification de contrôle préalable des enquêtes internes de l’Office (16); l’avis du 4 octobre 2007 sur cinq notifications de contrôle préalable des enquêtes externes (17) et l’avis du 19 juillet 2007 sur une notification de contrôle préalable de la surveillance régulière de la mise en œuvre de la fonction d’enquête (18), qui se rapporte aux activités du comité de surveillance.

2.2.   Vie privée et analyse d’impact

18.

Ni la proposition ni l’exposé des motifs qui y est joint ne fait référence à l’impact de la proposition sur les règles de protection des données, pas plus qu’à une analyse d’impact en matière de respect de la vie privée et de protection des données. Expliquer de quelle manière a été traitée l’incidence sur la protection des données accroitrait certainement la transparence de l’ensemble de l’évaluation de la proposition. Le CEPD est surpris que l’exposé des motifs ne comporte aucun chapitre sur «les résultats des consultations avec les parties intéressées et des analyses d’impact».

2.3.   Application du règlement (CE) no 45/2001

19.

Comme cela est indiqué dans l’avis précédent sur la proposition 2006 (19), le CEPD se félicite de ce que la proposition reconnaît que le règlement (CE) no 45/2001 s’applique à toutes les activités de traitement de données de l’Office. En particulier, la nouvelle formulation de l’article 8, paragraphe 4 (20), mentionne clairement le rôle du règlement dans le contexte des différentes activités de l’Office. Cela constitue une actualisation du texte du règlement (CE) no 1073/1999, qui mentionnait seulement comme référence la directive 95/46/CE en ce qui concerne les obligations en matière de protection des données.

20.

La dernière phrase de l’article 8, paragraphe 4, introduit la mise en œuvre de la nécessité de nommer un délégué à la protection des données: «L’Office doit nommer un délégué à la protection des données conformément à l’article 24 du règlement (CE) no 45/2001». Cette mention, qui formalise la nomination effective du DPD de l’OLAF, est également bien accueillie par le CEPD.

21.

Cependant le CEPD s’inquiète du fait que la mise en œuvre des normes de protection des données dans le texte proposé n’est pas en totale conformité avec les exigences du règlement, ce qui pourrait soulever des problèmes en ce qui concerne sa cohérence. Cet aspect est analysé en détail ci-après.

3.   OBSERVATIONS SPÉCIFIQUES

3.1.   L’Office européen de lutte antifraude et le respect des droits fondamentaux, parmi lesquels les principes de protection des données

22.

Les enquêtes de l’Office peuvent avoir un impact important sur les droits fondamentaux des personnes. Comme cela est indiqué par la Cour de justice dans l’arrêt Kadi  (21), ces droits sont protégés par le droit communautaire. Plus précisément, dans l’arrêt Schecke  (22), le Tribunal, se référant à la charte des droits fondamentaux de l’Union européenne (la «Charte») (23), et en particulier à ses articles 8 et 52, souligne que des limitations du droit à la protection des données à caractère personnel ne peuvent se justifier que si elles sont prévues par le droit, si elles respectent le contenu essentiel dudit droit et si, dans le respect du principe de proportionnalité, elles respectent les objectifs d’intérêt général reconnus par l’Union. Le CEPD accorde une grande valeur au respect des droits fondamentaux dans le domaine d’activité de l’Office.

23.

Le considérant 13 de la proposition explique que le respect des droits fondamentaux des personnes concernées par des enquêtes devrait être assuré à tout moment, notamment lors de la communication d'informations sur des enquêtes en cours. Ce préambule souligne ensuite la nécessité du respect de la confidentialité des enquêtes, des droits légitimes des personnes concernées, des dispositions nationales applicables aux procédures judiciaires et, enfin, de la législation de l’Union relative à la protection des données. Il est spécifié que l’échange d’informations devrait se fonder sur les principes de proportionnalité et de besoin de connaître du dossier.

24.

Ce considérant semble introduire une restriction à l’applicabilité des droits fondamentaux à la fois ratione personae (limités aux personnes concernées par l’enquête) et ratione materiae (limités à l’échange d’informations). Ceci pourrait conduire à une interprétation incorrecte du texte selon laquelle les droits fondamentaux dans le domaine des activités de l’Office s’appliqueraient d’une manière «restrictive». (24)

25.

Le CEPD suggère donc de modifier le texte du considérant de manière à éviter toute mauvaise interprétation possible: le considérant mentionne que le respect des droits fondamentaux des «personnes concernées par des enquêtes» devrait être assuré à tout moment. Comme l’OLAF ne s’occupe pas seulement de personnes concernées par une enquête (les «suspects») mais aussi des informateurs (personnes fournissant des informations sur le fait d’une affaire éventuelle ou effective), des dénonciateurs (25) (personnes à l’intérieur des institutions communautaires qui signalent à l’Office des faits liés à une affaire éventuelle ou effective), et des témoins, la disposition doit définir de manière plus large les catégories des «personnes» qui jouissent des droits fondamentaux.

26.

En outre, le treizième considérant concerne le respect des droits fondamentaux, en particulier dans le contexte de l’«échange d’informations». Ce considérant mentionne, en plus des droits fondamentaux et de la confidentialité, que les «informations communiquées ou obtenues dans le cadre des enquêtes devraient être traitées conformément à la législation de l'Union relative à la protection des données». La position de cette phrase pourrait prêter à confusion et elle devrait figurer dans un considérant à part pour expliquer que le respect de la législation en matière de protection des données est un élément à part et indépendant et n’est pas seulement lié à l’échange d’informations.

27.

Le CEPD se félicite du fait que l’article 7 bis soit spécifiquement axé sur les garanties de procédure lors des enquêtes. Cette nouvelle disposition est en harmonie avec l’objectif déclaré de la proposition de renforcer la responsabilité de l’OLAF. Cet article fait aussi référence à la charte, qui contient des dispositions pertinentes en ce qui concerne les enquêtes de l’Office, à savoir l’article 8 («Protection des données à caractère personnel») et la totalité du chapitre VI («Justice»).

28.

L’article 7 bis, paragraphe 1, de la proposition fait obligation à l’Office de rechercher des preuves à charge et à décharge de la personne concernée et rappelle l’obligation d’effectuer des enquêtes de façon objective et impartiale. Ces principes ont un impact positif sur le principe de la «qualité des données» (26) établi à l’article 4 du règlement (CE) no 45/2001, dans la mesure où ce critère exige que les données soient exactes, conformes à une réalité objective, complètes et mises à jour. Le CEPD se félicite de l’introduction de ce paragraphe.

Droit à l’information, à l’accès et à la rectification

29.

Les paragraphes suivants de l’article 7 bis concernent les différentes étapes des enquêtes de l’Office. Ces étapes peuvent être résumées comme suit: i) entretiens avec les témoins ou les personnes concernées (article 7 bis, paragraphe 2); ii) personne concernée par les enquêtes (article 7 bis, paragraphe 3); iii) conclusions de l’enquête faisant référence au nom d’une personne (article 7 bis, paragraphe 4).

30.

Le CEPD remarque que l’obligation de fournir des informations en vertu des articles 11 et 12 du règlement (CE) no 45/2001 est mentionnée (seulement) pour l’étape iii) ci-dessus. Le CEPD se félicite de ce que la proposition comporte les recommandations qu’il a présentées dans son avis législatif de 2006 (27).

31.

Cependant, une mention si sélective des droits de la personne concernée pour une seule étape de la procédure pourrait être interprétée comme signifiant que ces informations ne doivent pas lui être accordées (témoin ou personne concernée) lorsqu’elle est invitée à un entretien ou lorsque le membre du personnel est informé qu’il peut être concerné par l’enquête. Pour des raisons de certitude juridique, le CEPD suggère donc que soit insérée une référence aux articles pertinents pour les trois situations indiquées aux points i), ii) et iii) ci-dessus. Cependant, une fois que les informations relatives aux articles 11 et 12 du règlement (CE) no 45/2001 ont été fournies à la personne concernée, il ne sera pas nécessaire de fournir les mêmes informations aux étapes suivantes.

32.

En outre, le texte n’introduit pas de spécification en ce qui concerne les droits d’accès et de rectification des données de la personne concernée en vertu des articles 13 et 14 du règlement (CE) no 45/2001. Ces droits sont protégés par l’article 8, paragraphe 2, de la charte et ont donc une importance particulière parmi les droits de la personne concernée. Le CEPD a déjà demandé (28) que soit introduite une spécification plus claire des droits d’accès et de rectification de la personne concernée de manière à éviter le risque d’une interprétation du texte qui introduirait un régime de protection des données spécial «de niveau inférieur» pour les personnes concernées par les enquêtes de l’OLAF. Le CEPD regrette que ces aspects ne soient pas évoqués dans la proposition.

33.

Le CEPD souhaite aussi souligner la possibilité de limiter les droits à l’information, l’accès et la rectification dans des cas particuliers, comme le prévoit l’article 20 du règlement (CE) no 45/2001. L’Office peut donc se conformer aux règles de protection des données tout en respectant la nécessité de préserver le caractère confidentiel de ses enquêtes. Cet aspect sera développé dans les paragraphes qui suivent.

Caractère confidentiel de l’enquête et droits des personnes concernées

34.

À titre de remarque générale, le CEPD reconnaît que le rôle d’investigation de l’Office exige la capacité de protéger le caractère confidentiel de ses enquêtes afin de s’attaquer efficacement à la fraude et aux activités illicites qu’il se doit de poursuivre. Le CEPD souligne cependant que cette capacité influe sur certains droits des personnes concernées et que le règlement (CE) no 45/2001 établit des conditions spécifiques dans lesquelles certains droits peuvent être restreints dans ce contexte (article 20).

35.

Selon l’article 20 du règlement (CE) no 45/2001, les droits prévus aux articles 4 (qualité des données) et 11 à 17 (informations à fournir, droit d’accès, de rectification, de verrouillage, d’effacement et de notification aux tiers) peuvent être restreints dans la mesure nécessaire pour sauvegarder, entre autres: «a) la prévention, la recherche, la détection et la poursuite d’infractions pénales» ou «b) un intérêt économique ou financier d’un État membre ou des Communautés européennes» et «e) une mission de contrôle, d’inspection […] liée à l’exercice de l’autorité publique dans les cas visés aux points a) et b) ci-dessus». Ce même article dispose que les principales raisons pour lesquelles une restriction est imposée doivent être communiquées à la personne concernée et que celle-ci doit être informée de la possibilité de saisir le contrôleur européen de la protection des données (article 20, paragraphe 3). En outre, l’article 20, paragraphe 5, dispose que cette information peut être reportée aussi longtemps que le fait de fournir les informations à la personne concernée prive de son effet la limitation imposée.

36.

Le texte de la proposition introduit essentiellement des exceptions aux droits des personnes concernées pour des raisons de confidentialité des enquêtes. L’article 7 bis, paragraphe 4, prévoit que «sans préjudice de l'article 4, paragraphe 6, et de l'article 6, paragraphe 5,» (29), des conclusions se rapportant nommément à une personne concernée ne peuvent être tirées «à l’issue de l’enquête sans que l’intéressé ait la possibilité de présenter ses observations sur les faits le concernant par écrit ou lors d’un entretien […] et reçoive les informations prescrites par les articles 11 et 12 du règlement (CE) no 45/2001». Le texte semble donc suggérer que, dans les cas prévus par l'article 4, paragraphe 6, et l'article 6, paragraphe 5, le droit d’être entendu et le droit à l’information de la personne concernée pourraient être limités.

37.

La proposition établit en outre que, s’il est nécessaire de préserver la confidentialité de l’enquête et dans les cas qui impliquent le recours à des procédures d’investigation relevant de la compétence d’une autorité judiciaire nationale, le directeur général de l’OLAF peut décider de différer l’exécution de l’obligation d’inviter la personne concernée à présenter ses observations. Le texte ne spécifie pas si, dans ce contexte aussi, les informations requises par les articles 11 et 12 du règlement (CE) no 45/2001 doivent être reportées.

38.

La formulation du texte n’est pas claire. En premier lieu, la relation entre les limitations éventuelles des droits de la personne faisant l’objet d’une enquête pour ce qui est des conclusions liées à son nom et le type d’informations que l’Office doit communiquer à l’entité communautaire pertinente dans l’enquête effective est loin d’être clair. En deuxième lieu, il n’est pas clairement indiqué quelles catégories des droits de la personne concernée font l’objet d’une restriction potentielle. En troisième lieu, l’article n’introduit pas la garantie nécessaire prévue à l’article 20, paragraphe 3, du règlement (CE) no 45/2001.

39.

Il pourrait s’ensuivre que des personnes pourraient, dans certains cas, se retrouver face à des conclusions d’enquête sans avoir été informées du fait qu’elles étaient soumises à une enquête et sans avoir reçu d’informations sur les raisons pour lesquelles leurs droits d’être entendues et leurs droits à l’information, en vertu des articles 11 et 12 du règlement (CE) no 45/2001, ont été restreints.

40.

Si l’article 20, paragraphes 3 et 5, du règlement (CE) no 45/2001 est respecté, un tel scénario ne serait pas, en soi, en conflit avec le règlement. Cependant, l’absence d’une référence claire aux articles du règlement dans le texte ne semble pas cohérente avec l’objet de la proposition de renforcer les garanties procédurales en faveur des personnes concernées par les enquêtes de l’Office et d’accroître la responsabilité de l’Office.

41.

Le CEPD suggère donc qu’une limitation éventuelle du droit de la personne concernée au sens de l’article 20 du règlement (CE) no 45/2001 doit être introduite de manière explicite. En outre, les garanties procédurales de l’article 20, paragraphe 3, doivent être mentionnées dans le texte, ainsi que l’éventuelle exception de l’article 20, paragraphe 5. La clarté d’une telle disposition augmenterait la certitude juridique pour la personne concernée et la responsabilité de l’Office.

42.

En conclusion, afin d’établir un ensemble précis des droits de la personne concernée et d’introduire des exceptions éventuelles en raison du caractère confidentiel des enquêtes conformes aux dispositions de l’article 20 du règlement (CE) no 45/2001, le CEPD suggère que le texte indique clairement:

les informations à fournir à la personne concernée pour se conformer à la législation en matière de protection des données [articles 11 et 12 du règlement (CE) no 45/2001] dans le cadre des différentes étapes des enquêtes de l’Office (30): i) entretiens (article 7 bis, paragraphe 2); ii) communication d’informations lorsqu’une personne peut être concernée par l’enquête (article 7 bis, paragraphe 3) et iii) à l’issue de l’enquête (article 7 bis, paragraphe 4),

le type d’informations qui pourrait être reporté par l’Office pour des raisons de confidentialité de l’enquête, en établissant clairement les conditions et les catégories de personnes concernées par le report,

les informations qui doivent être communiquées à la personne concernée pour respecter la législation en matière de protection des données dans le cas où la communication en vertu des articles 11 et 12 est reportée ou si les droits d’accès et de rectification sont limités [c’est-à-dire, les informations en vertu de l’article 20, paragraphe 3, du règlement (CE) no 45/2001], comprenant l’exception liée à la possibilité de reporter encore les informations en vertu de l’article 20, paragraphe 5, du règlement (CE) no 45/2001.

3.2.   Politique en matière d’informations

43.

Le CEPD souligne que les informations sur les enquêtes qui pourraient être rendues publiques par l’Office peuvent comprendre des données personnelles sensibles et la nécessité de les rendre publiques doit être soigneusement évaluée. Le Tribunal de première instance (aujourd’hui le Tribunal de l’Union européenne), dans son arrêt rendu dans l’affaire Nikolaou en 2007 (31), a statué que l’Office avait violé l’article 8, paragraphe 3, du règlement 1073/1999 (32) et le règlement (CE) no 45/2001 en ne respectant pas son obligation de garantir la protection des données personnelles dans le cadre d’une «fuite» (33) et de la publication d’un article de presse (34).

44.

Dès lors, le CEPD se félicite de l’introduction de l’article 8, paragraphe 5, qui prévoit expressément que le directeur général doit veiller à ce que toute information du public soit faite de façon «neutre, impartiale» et dans le respect des principes arrêtés à l’article 8 et à l’article 7 bis. À la lumière des observations faites plus haut sur l’article 7 bis en ce qui concerne son approche restrictive des règles du règlement (CE) no 45/2001, le CEPD se félicite particulièrement de la référence, dans l’article 8, paragraphe 5, à la disposition plus générale de l’article 8 qui suppose que le traitement de données personnelles dans le cadre d’informations du public doit se faire en conformité avec tous les principes du règlement (CE) no 45/2001.

3.3.   Caractère confidentiel de l’identité des dénonciateurs et des informateurs

45.

Le CEPD voudrait insister, dans le cadre de la révision actuelle, sur la nécessité d’introduire une disposition spécifique pour garantir la confidentialité de l’identité des dénonciateurs et des informateurs. Le CEPD souligne que la position des dénonciateurs est sensible. Les personnes qui fournissent ces informations doivent avoir la garantie que leur identité est gardée secrète, en particulier vis-à-vis de la personne au sujet de laquelle est signalé un acte présumé répréhensible (35). Les présentes garanties (communication de la Commission SEC/2004/151/2) ne semblent pas suffisantes du point de vue juridique. Le CEPD remarque que cette disposition serait conforme à l’avis du groupe de travail «Article 29» sur la protection des données pour les mécanismes internes de dénonciation (36).

46.

Le CEPD recommande de modifier la proposition actuelle et de garantir que l’identité des dénonciateurs et des informateurs reste confidentielle pendant les enquêtes aussi longtemps que cela ne va pas à l’encontre des règles nationales qui régissent les procédures judiciaires. En particulier, la personne qui fait l’objet d’allégations pourrait avoir le droit de connaître l’identité du dénonciateur et/ou de l’informateur pour entamer des procédures judiciaires à leur encontre s’il a été établi qu’ils ont fait intentionnellement de fausses déclarations sur elle (37).

3.4.   Transmission de données à caractère personnel par l’Office

Coopération avec Eurojust et Europol

47.

Le CEPD se félicite des spécifications apportées dans le sixième considérant et l’article 10 bis et en particulier l’introduction de l’exigence d’une base juridique claire régissant la coopération avec Eurojust et Europol, qui est totalement conforme au règlement (CE) no 45/2001. Cependant, la proposition doit être plus détaillée afin de refléter les différents régimes de protection des données pour Eurojust et Europol.

48.

À ce jour, l’Office a un accord pratique avec Eurojust (38), qui énonce les conditions dans lesquelles peut avoir lieu la transmission de données à caractère personnel. La coopération entre l’Office et Eurojust comprend en particulier l’échange de résumés d’affaires, d’informations stratégiques et de fonctionnement liées aux affaires, la participation à des réunions et l’assistance mutuelle qui peuvent contribuer à la réalisation effective et efficace de leurs tâches respectives. Cet accord pratique (39) définit principalement le modus operandi de l’échange d’informations, parmi lesquelles les données à caractère personnel, et dans certains cas, souligne ou spécifie également certains éléments du cadre juridique existant.

49.

En ce qui concerne Europol, il n’existe pas d’accord de ce type avec l’Office européen de lutte antifraude (40), mais la décision de création d’Europol lui permet de recevoir directement, d’utiliser et de transmettre des informations, dont des données à caractère personnel, communiquées, entre autres, par l’Office même avant la conclusion d’un accord formel d’échange aussi longtemps que cela est nécessaire à la réalisation des tâches d’Europol et de l’Office (41). L’échange dépend aussi de l’existence d’un accord de confidentialité entre les deux entités. L’article 24 de la décision instituant Europol spécifie quelques mesures de protection qu’Europol doit observer pour des transmissions de données qui se produisent avant la conclusion d’un accord d’échange formel: «Europol est responsable du caractère licite de la transmission des données. Europol consigne toutes les transmissions effectuées au titre du présent article ainsi que leur motif. Les données ne sont transmises que si le destinataire s’engage à les utiliser exclusivement aux fins auxquelles elles ont été transmises». L’article 29 de la même décision spécifie aussi à quel moment la responsabilité des données transmises par les tierces parties incombe à Europol.

50.

La conclusion d’un accord spécifique avec Europol sur les transmissions de données est fortement encouragée par le CEPD, et le fait qu’il n’ait pas encore été conclu renforce le besoin de garanties spécifiques dans le texte de la proposition. Au vu des différents régimes de protection des données en ce qui concerne la transmission de données à caractère personnel de l’Office à Eurojust et Europol et vice versa, le CEPD pense que la proposition doit évoquer plus clairement les garanties et les normes nécessaires qui doivent régir la coopération entre l’Office et ces organes et être prises en compte dans les arrangements de travail actuels et à venir entre eux.

51.

Afin de renforcer la nécessité de la conclusion d’un arrangement administratif, le libellé de l’article 10 bis paragraphe 2, doit être modifié comme suit: «L’Office doit conclure des arrangements administratifs […]». Cela reflèterait ainsi la disposition similaire contenue dans la décision Europol (42), qui établit qu’Europol doit conclure des accords ou des arrangements de travail avec d’autres institutions, organes et agences communautaires. En outre, la proposition pourrait clarifier dans l’article 10 bis que, et c’est un principe général, l’échange de données à caractère personnel avec Eurojust et Europol doit être limité et ne saurait outrepasser ce qui est nécessaire à l’exécution légitime des tâches confiées à l’Office, à Europol et à Eurojust. La proposition doit aussi introduire l’obligation pour l’Office de consigner toutes les transmissions de données ainsi que les raisons présidant à ces transmissions, afin de renforcer la responsabilité de l’Office en ce qui concerne la mise en œuvre des obligations imposées par le règlement (CE) no 45/2001 aux transferts de données à caractère personnel.

Coopération avec les pays tiers et les organisations internationales

52.

L’article 10 bis, paragraphe 3, mentionne que «(l)’Office peut également conclure, en fonction des besoins, des arrangements administratifs avec les services compétents des pays tiers et des organisations internationales. L’Office se coordonne avec les services concernés de la Commission et le service européen pour l’action extérieure.»

53.

Le CEPD se félicite du fait que la coopération de l’Office avec les pays tiers et les organisations internationales est liée à la conclusion d’arrangements administratifs. Cependant, les implications en matière de protection des données résultant d’un éventuel échange de données avec des pays tiers et des organisations internationales doivent être traitées de manière plus spécifique dans la proposition.

54.

La proposition doit être plus précise sur les exigences et les conditions particulières d’éventuels transferts de données en provenance et vers des pays tiers et des organisations. Le CEPD indique que le texte de l’article 10 bis, paragraphe 3, doit inclure aussi le libellé suivant: «Dans la mesure où la coopération avec les organisations internationales et les pays tiers comporte le transfert de données à caractère personnel de l’Office à d’autres entités, tout transfert de ce type doit se faire conformément aux critères de l’article 9 du règlement (CE) no 45/2001».

Accès du comité de surveillance aux données à caractère personnel

55.

Le CEPD exprime son accord pour le libellé de l’article 11 de la proposition selon lequel «(l)e comité de surveillance peut, dans des circonstances dûment justifiées, demander à l’Office un complément d’informations sur les enquêtes, sans interférer toutefois dans leur déroulement», car il exprime le principe de nécessité par rapport à un éventuel transfert de données à caractère personnel de l’Office au comité de surveillance.

56.

La question de l’accès du comité de surveillance aux données personnelles de personnes impliquées ou pouvant être impliquées dans des enquêtes doit aussi être éclaircie dans le cadre des règles de procédure qui doivent être adoptées par le comité sur la base du nouvel article 11, paragraphe 6. Le CEPD apprécierait d’intervenir dans le processus conduisant à l’adoption des règles de procédure du comité de surveillance. La consultation du CEPD peut aussi être intégrée dans le texte de la proposition comme une exigence pour l’adoption des règles de procédure.

4.   PLAN STRATÉGIQUE

57.

En dehors de tous les points particuliers mentionnés ci-dessus, le CEPD aimerait encourager la Commission à proposer à l’Office une approche plus ouverte vis-à-vis du régime de l’UE en matière de protection des données. Le moment serait bien choisi pour l’Office d’élaborer un plan stratégique concernant sa conformité en termes de protection des données en clarifiant volontairement l’approche pratique du traitement de ses nombreux fichiers contenant des données à caractère personnel. L’Office pourrait expliquer de manière proactive et publiquement comment il traite les données à caractère personnel dans ses différentes activités. Le CEPD pense qu’une approche globale et explicite de ce type se traduirait par une transparence accrue du traitement des données à caractère personnel par l’Office et une convivialité améliorée de ses processus d’enquête.

58.

Dès lors, le CEPD suggère que les dispositions de la proposition confèrent au directeur général la mission de s’assurer qu’une vue d’ensemble de toutes les différentes opérations de traitement de l’Office est réalisée et maintenue à jour ou, tout au moins, expliquée dans un considérant. Cette vue d’ensemble — dont les résultats doivent être transparents grâce, par exemple, à un rapport annuel ou par d’autres moyens — non seulement accroîtrait l’efficacité des différentes activités de l’Office et leur interaction mais aussi encouragerait celui-ci à adopter une approche plus globale sur la nécessité et la proportionnalité des opérations de traitement. Cela permettrait aussi à l’Office de mieux montrer qu’il garantit effectivement le respect de la vie privée par des principes de conception et de responsabilité.

5.   CONCLUSION

59.

En conclusion, le CEPD se félicite des modifications introduites dans le texte qui améliorent la conformité de la proposition avec le régime de l’UE en matière de protection des données.

60.

Toutefois, le CEPD voudrait aussi souligner nombre de manquements qu’il convient de traiter en modifiant le texte, et surtout:

la proposition doit clairement indiquer le droit à l’information des différentes catégories de personnes concernées, ainsi que le droit d’accès et de rectification en ce qui concerne toutes les phases des enquêtes effectuées par l’Office,

la proposition doit clarifier la relation entre la nécessité du secret des enquêtes et le régime de protection des données applicable pendant les enquêtes: le CEPD suggère que les droits des personnes concernées soient clairement définis et traités séparément ainsi que d’éventuelles exceptions dues aux exigences de confidentialité, et que les garanties prévues à l’article 20 du règlement (CE) no 45/2001 soient introduites de manière explicite,

la proposition doit clarifier la politique de l’Office en matière d’information du public en ce qui concerne la protection des données,

la proposition doit introduire des dispositions spécifiques relatives au caractère confidentiel des dénonciateurs et des informateurs,

la proposition doit clarifier les principes généraux de protection des données sur la base desquels l’Office peut échanger des informations, y compris des données à caractère personnel, avec d’autres offices et agences de l’UE, des pays tiers et des organisations internationales,

les dispositions de la proposition doivent conférer comme tâche au directeur général de s’assurer qu’une vue d’ensemble stratégique et complète des différentes opérations de traitement de l’Office est réalisée, maintenue à jour et rendue transparente, ou tout au moins que la nécessité de cette mesure est expliquée dans un considérant.

Fait à Bruxelles, le 1er juin 2011.

Giovanni BUTTARELLI

Contrôleur adjoint européen de la protection des données


(1)  JO L 281 du 23.11.1995, p. 31.

(2)  JO L 8 du 12.1.2001, p. 1.

(3)  En janvier 2011.

(4)  Avis du Contrôleur européen de la protection des données sur la proposition de règlement du Parlement européen et du Conseil modifiant le règlement (CE) no 1073/1999 relatif aux enquêtes menées par l’Office européen de lutte antifraude (OLAF), JO C 91 du 26.4.2007, p. 1.

(5)  Résolution législative du Parlement européen du 20 novembre 2008 sur la proposition d’un règlement du Parlement européen et du Conseil modifiant le règlement (CE) no 1073/1999 relatif aux enquêtes menées par l’Office européen de lutte antifraude (OLAF), P6_TA-PROV(2008) 553.

(6)  C’est-à-dire que l’OLAF doit définir et se concentrer sur ses priorités d’enquête de manière à utiliser efficacement ses ressources.

(7)  Voir la proposition, nouvel article 7 bis et nouvel article 8, paragraphe 4).

(8)  Décision de la Commission 1999/352/CE du 28 avril 1999 créant l’Office européen de lutte anti-fraude (OLAF), JO L 136 du 31.5.1999, p. 20. Voir aussi le règlement (CE) no 1073/1999 du Parlement européen et du Conseil du 25 mai 1999 concernant l’enquête menée par l’Office européen de lutte anti-fraude (OLAF), JO L 136 du 31.5.1999, p. 1.

(9)  Voir l’article 3, règlement (CE) no 1073/1999.

(10)  Voir les articles 1 et 4, règlement (CE) no 1073/1999.

(11)  Voir l’article 10, règlement (CE) no 1073/1999.

(12)  Eurojust a été créé par décision du Conseil 2002/187/JAI (modifiée ensuite par la décision du Conseil 2003/659/JAI, et la décision du Conseil 2009/426/JAI du 16 décembre 2008 sur le renforcement d’Eurojust) en tant qu’organe de l’Union européenne doté d’une personnalité juridique pour stimuler et améliorer la coordination et la coopération entre les autorités judiciaires compétentes de l’État membre. En particulier, l’article 26.4 de cette décision établit que «L’OLAF peut contribuer aux travaux d’Eurojust visant à coordonner les enquêtes et poursuites en ce qui concerne la protection des intérêts financiers de la Communauté, soit à l’initiative d’Eurojust, soit à la demande de l’OLAF, pour autant que les autorités nationales compétentes en la matière ne s’y opposent pas». En 2008, Eurojust et l’Office ont conclu un accord administratif (accord pratique sur les modalités de coopération entre Eurojust et l’OLAF du 24 septembre 2008) qui vise à intensifier la coopération entre les deux entités et comporte une disposition spécifique sur le transfert de données à caractère personnel.

(13)  Europol est l’agence européenne d’application des lois qui a pour objet d’améliorer l’efficacité et la coopération des autorités compétentes des États membres pour prévenir et combattre le terrorisme, le trafic de drogues illicites et d’autres formes graves de crime organisé. L’article 22 de la décision du Conseil du 6 avril 2009 instituant l’Office européen de police (Europol) (2009/371/JAI) prévoit que «(d)ans la mesure où cela est utile à l’exécution de ses fonctions, Europol peut établir et entretenir des relations de coopération avec […] l’OLAF». Cet article prévoit aussi qu’Europol peut, avant l’entrée en vigueur d’accords ou d’arrangements de travail avec les différentes entités communautaires avec lesquelles Europol est appelé à coopérer, «directement recevoir et utiliser les informations, y compris les données à caractère personnel, reçues des entités […] dans la mesure où cela est nécessaire à l’exécution légitime des missions lui incombant, et peut […] transmettre directement des informations, y compris des données à caractère personnel, à ces entités, dans la mesure où cela est nécessaire à l’exécution légitime des missions incombant au destinataire.»

(14)  Voir l’article 22 de la décision du Conseil du 6 avril 2009 instituant l’Office européen de police (Europol) (2009/371/JAI), JO L 121 du 15.5.2009, p. 37.

(15)  Voir l’article 1, paragraphe 26, de la décision du Conseil 2009/426/JAI du 16 décembre 2008 sur le renforcement d’Eurojust et modifiant la décision 2002/187/JAI.

(16)  Affaire 2005-418, consultable sur http://www.edps.europa.eu

(17)  Affaires 2007-47, 2007-48, 2007-49, 2007-50, 2007-72, consultables sur http://www.edps.europa.eu

(18)  Affaire 2007-73, consultable sur http://www.edps.europa.eu

(19)  Avis du CEPD concernant la proposition de règlement du Parlement européen et du Conseil modifiant le règlement (CE) no 1073/1999 relatif aux enquêtes effectuées par l’Office européen de lutte antifraude (OLAF), JO C 91 du 26.4.2007, p. 1.

(20)  «L'Office ne traite que les données à caractère personnel nécessaires à l'accomplissement de sa mission au titre du présent règlement. Ce traitement de données à caractère personnel s'effectue conformément au règlement (CE) no 45/2001, y compris la communication des informations pertinentes à la personne concernée, prescrite par les articles 11 et 12 de ce règlement. Ces informations ne peuvent être communiquées à des personnes autres que celles qui, au sein des institutions de l'Union ou des États membres, sont, par leurs fonctions, appelées à les connaître, ni être utilisées à des fins différentes de la lutte contre la fraude, contre la corruption et contre toute autre activité illégale (…)».

(21)  Jugement du 3 septembre 2008 dans les affaires jointes C-402/05 P et C-415/05 P, Kadi/Conseil de l’Union européenne et Commission des communautés européennes, point 283: «[…] les droits fondamentaux font partie intégrante des principes généraux du droit dont la Cour assure le respect. À cet effet la Cour s’inspire des traditions constitutionnelles communes aux États membres ainsi que des indications fournies par les instruments internationaux concernant la protection des droits de l’homme auxquels les États membres ont coopéré ou adhéré. La CEDH revêt, à cet égard, une signification particulière.» Voir aussi le point 304.

(22)  Arrêt du 9 novembre 2010 dans les affaires jointes C-92/09 et C-93/09, Volker und Markus Schecke, points 44 et suivants.

(23)  Après l’entrée en vigueur du traité de Lisbonne, la CEDH s’applique à tous les domaines d’activité de l’Union européenne.

(24)  Voir aussi le point 36 ci-après.

(25)  Voir l’avis sur la notification de contrôle préalable reçue du délégué à la protection des données de l’Office européen de lutte antifraude (OLAF) sur les enquêtes internes de l’Office, 23 juin 2006, affaire 2005/0418, consultable sur http://www.edps.europa.eu

(26)  Cf. note 25.

(27)  Avis du Contrôleur européen de la protection des données sur la proposition d’un règlement du Parlement européen et du Conseil modifiant le règlement (CE) no 1073/1999 concernant les enquêtes conduites par l’Office européen de lutte antifraude (OLAF), JO C 91 du 26.4.2007, p. 1, points 14 et suivants.

(28)  Dans son avis de 2006, voir la note 19 de bas de page ci-dessus.

(29)  L’article 4, paragraphe 6, — «Enquête interne» — est libellé comme suit: «Lorsque les investigations révèlent la possibilité qu’un membre ou un membre du personnel soit concerné par une enquête interne, l’institution, l’organe ou l’organisme auquel il appartient en est informé. Dans les cas exceptionnels où la confidentialité de l’enquête ne peut être assurée, l’Office recourt à d’autres moyens appropriés pour communiquer l’information». L’article 6, paragraphe 5, — «Procédure d’investigation» — est libellé comme suit: «Lorsque les investigations montrent qu’il pourrait être opportun de prendre des mesures administratives conservatoires afin de protéger les intérêts financiers de l'Union, l'Office informe dans les meilleurs délais l'institution, l'organe ou l'organisme concerné de l'enquête en cours. Les informations transmises comprennent les éléments suivants: a) l'identité de tout membre ou membre du personnel concerné ainsi qu'un résumé des faits en question; b) toute information susceptible d'aider l'institution, l'organe ou l'organisme à décider de l'opportunité de prendre des mesures administratives conservatoires afin de protéger les intérêts financiers de l'Union; c) les mesures de confidentialité particulières préconisées, notamment en cas de recours à des moyens d'investigation qui relèvent de la compétence d'une autorité judiciaire nationale ou, dans le cas d'une enquête externe, de la compétence d'une autorité nationale, conformément aux dispositions nationales applicables aux enquêtes. […]», soulignement ajouté.

(30)  Comme indiqué ci-dessus, une fois que les informations ont été communiquées à la personne concernée, il ne serait pas nécessaire de répéter les mêmes informations dans les étapes suivantes.

(31)  Affaire T-259/03, Nikolaou/Commission, 12 juillet 2007, JO C 247 du 20.10.2007, p. 23.

(32)  L’article fait spécifiquement référence au droit de la protection des données.

(33)  Nikolaou, point 213.

(34)  Nikolaou, point 232.

(35)  L’importance de la nécessité de garder secrète l’identité du dénonciateur a déjà été soulignée par le CEPD dans une lettre au Médiateur européen du 30 juillet 2010 dans l’affaire 2010-0458, que l’on peut trouver sur le site internet du CEPD (http://www.edps.europa.eu). Voir aussi les avis de contrôle préalable du CEPD du 23 juin 2006, sur les enquêtes de l’Office (affaire 2005-0418), et du 4 octobre 2007 concernant les enquêtes externes de l’Office (affaires 2007-47, 2007-48, 2007-49, 2007-50, 2007-72).

(36)  Voir l’avis 1/2006 du groupe de travail «Article 29» du 1er février 2006 sur l’application des règles de l’UE en matière de protection des données aux mécanismes internes de dénonciation des dysfonctionnements dans les domaines de la comptabilité, des contrôles comptables internes, de l’audit, de la lutte contre la corruption et la criminalité bancaire et financière, consultable sur: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm

(37)  Voir l’avis sur les règles financières applicables au budget annuel de l’Union du 15 avril 2011, consultable sur http://www.edps.europa.eu

(38)  Accord pratique sur les arrangements de coopération entre Eurojust et l’Office du 24 septembre 2008: voir la note 12 de bas de page ci-dessus.

(39)  Accord pratique Eurojust-Office, point 4.1.

(40)  L’arrangement administratif du 8 avril 2004 se limite à l’échange d’informations stratégiques et exclut expressément l’échange de données à caractère personnel, laissant cette question pour un accord ultérieur entre Europol et l’OLAF.

(41)  Décision instituant Europol, article 22, paragraphe 3, note 14 de bas de page ci-dessus.

(42)  Décision Europol, article 22, paragraphe 2, voir note 14 de bas de page ci-dessus: «Europol doit conclure des accords d’arrangements de travail avec les entités mentionnées à l’article 1» [notamment, Eurojust, l’OLAF, Frontex, le CEPOL, la BCE et l’Observatoire européen des drogues et des toxicomanies (EMCDDA)].


23.9.2011   

FR

Journal officiel de l'Union européenne

C 279/20


Avis du Contrôleur européen de la protection des données sur la proposition de règlement du Parlement européen et du Conseil concernant l’intégrité et la transparence du marché de l’énergie

2011/C 279/03

LE CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16,

vu la Charte des droits fondamentaux de l’Union européenne, et notamment ses articles 7 et 8,

vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (1),

vu le règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (2), et notamment son article 41,

A ADOPTÉ L’AVIS SUIVANT:

I.   INTRODUCTION

1.

Le 8 décembre 2010, la Commission européenne a adopté une proposition de règlement du Parlement européen et du Conseil concernant l’intégrité et la transparence du marché de l’énergie (3) (ci-après, la «proposition»).

2.

La Commission n’a pas consulté le CEPD comme l’exige l’article 28, paragraphe 2, du règlement (CE) no 45/2001. De sa propre initiative, le CEPD adopte par conséquent le présent avis sur la base de l’article 41, paragraphe 2, du même règlement. Le CEPD a conscience du fait que cet avis intervient à un stade avancé du processus législatif mais considère néanmoins qu’il est approprié et utile d’émettre cet avis dans la mesure où la proposition pourrait avoir un impact considérable sur le droit à la vie privée et la protection des données à caractère personnel. Le CEPD recommande qu’il soit fait référence au présent avis dans le préambule de la proposition.

3.

La proposition a pour objectif premier d’empêcher la manipulation de marché et les opérations d’initiés sur les marchés de gros de l’énergie (gaz et électricité). L’intégrité et la transparence des marchés de gros, dans le cadre desquels le négoce de gaz et d’électricité intervient entre les sociétés productrices d’énergie et les négociants, ont une influence considérable sur le prix finalement payé par les consommateurs.

4.

Dans cette optique, la proposition entend établir au niveau de l’UE des règles complètes visant à empêcher les négociants de tirer profit d’informations privilégiées et de manipuler le marché en amenant artificiellement les prix à un niveau plus élevé que ce qui serait justifié par la disponibilité, les coûts de production, ainsi que la capacité de stockage ou de transport de l’énergie. Les règles proposées interdisent notamment:

l’utilisation d’informations privilégiées dans le cadre de l’achat ou de la vente d’énergie au niveau des marchés de gros; les informations exclusives et susceptibles d’influer sur le prix devront être divulguées avant que le négoce puisse avoir lieu;

les transactions qui donnent des indications fausses ou trompeuses en ce qui concerne l'offre, la demande ou le prix des produits énergétiques de gros; et

la diffusion d’informations fausses ou la propagation de rumeurs qui donnent des indications trompeuses à propos de ces produits.

5.

Il appartiendra à l'agence européenne de coopération des régulateurs de l'énergie (ci-après, l’«agence») (4) de se charger de la surveillance du marché au niveau européen afin de détecter les éventuelles infractions à ces interdictions.

6.

En vertu de la proposition, l’agence aura accès, en temps utile, aux informations sur les transactions effectuées sur les marchés de gros de l’énergie, et notamment aux informations concernant le prix, la quantité d’énergie vendue et les parties concernées. Cette masse de données sera également partagée avec les autorités de régulation nationales qui seront alors chargées d’enquêter sur les abus présumés. Dans les affaires ayant une incidence transfrontière, l’agence sera habilitée à coordonner les enquêtes. Il incombera aux autorités de régulation nationales des États membres d’appliquer des sanctions.

7.

La proposition vient s’ajouter à un certain nombre de propositions législatives récentes visant à renforcer le dispositif de surveillance financière en place et à améliorer la coordination et la coopération au niveau de l’UE, y compris la directive sur les opérations d'initiés et les manipulations de marché («MAD») (5) et la directive concernant les marchés d’instruments financiers («MiFID») (6). Le CEPD a dernièrement apporté ses commentaires concernant une autre de ces propositions récentes (7).

II.   COMMENTAIRES ET RECOMMANDATIONS DU CEPD

8.

La proposition comporte plusieurs dispositions relatives à la protection des données à caractère personnel:

les articles 6 à 8 sur la surveillance du marché et la déclaration,

l’article 9 sur la «protection des données et [la] fiabilité opérationnelle»,

les articles 10 et 11 sur l’enquête et l’exécution, et

l’article 14 sur les «relations avec les pays tiers».

II.1.   Surveillance du marché et déclaration (articles 6 à 8)

Dispositions pertinentes

9.

La proposition repose sur la prémisse que pour détecter les abus de marché (i) un système de surveillance des marchés efficace et ayant accès en temps utile à des données de transaction complètes est nécessaire et que (ii) ce système doit inclure une surveillance au niveau de l'UE. Aussi, le règlement proposé prévoit-il que l'agence rassemble, réexamine et diffuse (aux autorités nationales et européennes concernées) une vaste masse de données provenant des marchés de gros de l'énergie.

10.

En particulier, le règlement proposé exige que les acteurs du marché fournissent à l'agence un «relevé de leurs transactions» relatives aux produits énergétiques de gros. Outre les relevés de transactions, les acteurs du marché doivent fournir à l'agence les informations relatives à la «capacité des installations de production, de stockage, de consommation ou de transport d'électricité ou de gaz naturel».

11.

La forme et le contenu de la communication, ainsi que le délai pour la présenter, seront précisés dans des actes délégués de la Commission.

Commentaires et recommandations du CEPD

12.

Étant donné que la proposition laisse entièrement aux actes délégués le soin de définir le contenu des informations à collecter dans le cadre de cet exercice de surveillance et de déclaration, on ne peut pas exclure la possibilité que des données à caractère personnel — à savoir toute information concernant une personne physique identifiée ou identifiable (8) — soient inclues. Aux termes de la législation de l’UE en vigueur, cela n’est permis que si cela est nécessaire et n’est pas disproportionné compte tenu des fins spécifiques recherchées (9). Le règlement proposé devrait donc indiquer clairement si, et dans quelle mesure, les relevés de transactions et les informations relatives à la capacité à collecter aux fins de la surveillance peuvent inclure des données à caractère personnel (10).

13.

Si l’on envisage le traitement de données à caractère personnel, des garanties spécifiques pourraient également être nécessaires, notamment, en termes d’usages autorisés, de durée de conservation et de nature des destinataires possibles. Compte-tenu du fait qu’elles sont essentielles, ces garanties visant à protéger les données devraient être définies directement dans le texte du règlement proposé et non pas dans des actes délégués.

14.

Par contre, si aucun traitement de données à caractère personnel n’est prévu (ou si un tel traitement ne se produirait qu’à titre exceptionnel, dans les rares cas où un négociant de gros en énergie est une personne physique plutôt que morale), cela devrait être clairement indiqué dans la proposition, tout le moins dans un considérant.

II.2.   Protection des données et fiabilité opérationnelle (article 9)

Dispositions pertinentes

15.

L’article 9, paragraphe 1, exige que l’agence «assure la confidentialité, l’intégrité et la protection» des informations reçues en vertu de l’article 7 (à savoir les relevés de transactions et les informations relatives à la capacité collectées dans le cadre de l’exercice de surveillance du marché). L’article 9 stipule également que «le cas échéant», l’agence «se conformera» au règlement (CE) no 45/2001 lorsqu’elle traite des données à caractère personnel en vertu de l’article 7.

16.

En outre, l’article 9, paragraphe 1, exige également que l’agence «détecte les sources de risques opérationnels et les [réduise] au minimum en mettant en place des systèmes, des moyens de contrôle et des procédures appropriés».

17.

Enfin, l’article 9, paragraphe 2, habilite l’agence à rendre publiques certaines des informations qu'elle détient «à condition qu’il ne soit pas divulgué d’informations commercialement sensibles sur des transactions ou des acteurs du marché déterminés».

Commentaires et recommandations du CEPD

18.

Le CEPD se félicite du fait que l’article 9 soit consacré, en partie, à la protection des données et que le règlement proposé exige spécifiquement que l’agence se conforme au règlement (CE) no 45/2001.

a)   Applicabilité du règlement (CE) no 45/2001 et de la directive 95/46/CE

19.

Cela dit, le CEPD souligne le fait que, en vertu du présent règlement, l’agence est soumise au règlement (CE) no 45/2001 dans sa totalité chaque fois qu’elle traite des données à caractère personnel. Par conséquent, la proposition devrait rappeler que le règlement (CE) no 45/2001 doit s’appliquer à l’agence non seulement lorsqu’elle traite des données aux termes de l’article 7, mais aussi dans toutes autres situations: fondamentalement, également lorsque l’agence traite des données à caractère personnel concernant des abus de marché ou des infractions présumés aux termes de l’article 11. Par ailleurs, pour être plus précis, le CEPD recommande que, pour décrire les situations dans lesquelles l’agence est contrainte de se conformer au règlement (CE) no 45/2001, la formulation «à chaque fois que des données à caractère personnel sont traitées» vienne remplacer l’expression «le cas échéant».

20.

Il faudrait mentionner la directive 95/46/CE dans la mesure où cette directive concerne le traitement des données à caractère personnel par les autorités de régulation nationales pertinentes. En effet, par souci de clarté, le CEPD recommande que le règlement proposé indique, de façon générale (tout le moins dans un considérant), que bien que l’agence soit soumise au règlement (CE) no 45/2001, la directive 95/46/CE s’applique aux autorités de régulation nationales concernées.

b)   Responsabilisation

21.

Le CEPD accueille favorablement l’exigence selon laquelle l’agence doit détecter et réduire au minimum les risques opérationnels en mettant en place des systèmes, des moyens de contrôle et des procédures appropriés. Afin de renforcer davantage le principe de responsabilisation (11), s’il est prévu que le traitement des données à caractère personnel joue un rôle structurel, le règlement proposé devrait exiger spécifiquement que l’agence définisse un cadre clair de responsabilisation afin de veiller au respect des règles relatives à la protection des données et d’en apporter la preuve. Ce cadre clair que l’agence aura la charge d’établir devra comprendre un certain nombre d’éléments, tels que:

l’adoption et l’actualisation, selon le besoin, d’une politique de protection des données sur la base d’une évaluation de l’impact (devant également inclure une évaluation des risques en matière de sécurité). Cette politique de protection des données devra également comporter un plan de sécurité;

la réalisation d’audits périodiques visant à évaluer si la politique de protection des données reste adéquate et est respectée (y compris un audit du plan de sécurité);

la publication (au moins partielle) des résultats de ces audits afin de rassurer les parties prenantes quant au respect des règles en matière de protection des données; et

la notification des violations de données et autres incidents sécuritaires au DPD de la Commission, aux personnes concernées, et, le cas échéant, aux autres parties prenantes et autorités (12).

22.

Des règles similaires devront également s’appliquer aux autorités de régulation nationales et autres autorités européennes concernées.

c)   Publication d’informations par l’agence

23.

Concernant l’exigence de l’article 9, paragraphe 2, selon laquelle l’agence doit rendre publiques certaines des informations qu’elle détient, le CEPD croit comprendre que cette disposition a pour objectif de ne pas autoriser l’agence à publier des données à des fins de «dénonciation» et à divulguer de façon publique les méfaits de sociétés ou personnes.

24.

Cela dit, la proposition n’aborde pas la question de savoir s’il y a intention de divulguer de façon publique de quelconques données à caractère personnel. Par conséquent, afin d’éviter tout malentendu, le règlement proposé devrait soit stipuler clairement que les informations publiées ne doivent contenir aucune donnée à caractère personnel, soit préciser quelles sont les éventuelles données à caractère personnel qui peuvent être divulguées.

25.

Si des données à caractère personnel doivent être publiées, la nécessité de les divulguer (par exemple pour des motifs de transparence) devra être examinée avec soin tout en tenant également compte d’autres impératifs concurrents, tels que la nécessité de protéger le droit à la vie privée et à la protection des données à caractère personnel dont jouissent les personnes concernées.

26.

Par conséquent, toute divulgation devra être précédée par une évaluation de la proportionnalité au regard des critères établis par la Cour de justice dans l’affaire Schecke  (13). Dans cette affaire, la Cour a souligné que les dérogations à la protection des données à caractère personnel et les limitations de celle-ci devaient s’opérer dans les limites du strict nécessaire. La Cour a également estimé que les institutions européennes devaient envisager diverses modalités de publication afin de trouver celles qui seraient conformes à l’objectif d’une telle publication tout en étant moins attentatoires au droit au respect de la vie privée et à la protection des données à caractère personnel dont jouissent les personnes concernées.

II.3.   Compétences d’enquête (article 10)

Dispositions pertinentes

27.

La proposition prévoit que la surveillance du marché soit suivie d’une enquête lorsqu’un abus de marché est suspecté, enquête qui pourra donner lieu à des sanctions appropriées. L’article 10, paragraphe 1, en particulier, exige que les États membres confèrent aux autorités de régulation nationales les compétences d’enquête nécessaires pour leur permettre de veiller à l’application des dispositions du règlement en matière d’opération d'initiés et de manipulation de marché (14).

Commentaires et recommandations du CEPD

28.

Le CEPD accueille favorablement les précisions prévues à l’article 10, paragraphe 1, selon lesquelles i) les compétences d’enquête servent (uniquement) à garantir l’application des dispositions du règlement relatives aux opérations d'initiés et aux manipulations de marché (articles 3 et 4) et ii) ces compétences seront exercées de manière proportionnée.

29.

Cela dit, la proposition devrait aller plus loin afin de garantir une sécurité juridique ainsi qu’un niveau approprié de protection des données à caractère personnel. Comme cela sera expliqué ci-dessous, le texte de l’article 10 tel que proposé comporte deux problèmes principaux. En premier lieu, l’article 10 ne définit pas suffisamment clairement l’étendue des compétences d’enquête; par exemple, il n’est pas indiqué suffisamment clairement si les enregistrements téléphoniques privés peuvent être demandés ni si les inspections sur place peuvent avoir lieu au domicile d’un particulier. En deuxième lieu, l’article 10 ne prévoit pas non plus les garanties procédurales nécessaires pour se prémunir contre le risque d’intrusion injustifiée dans la vie privée ou d’utilisation abusive de données à caractère personnel; par exemple, il n’exige pas de mandat délivré par une autorité judiciaire.

30.

La définition tant de l’étendue des compétences d’enquête que des garanties nécessaires est probablement laissée à la charge du droit national. En effet, l’article 10, paragraphe 1, offre aux États membres de nombreuses possibilités lorsqu’il stipule que les compétences d’enquête «peuvent être exercées a) directement, b) en collaboration avec d’autres autorités ou les entreprises de marché, ou c) par saisine des autorités judiciaires compétentes». Cela semble rendre possibles des divergences au niveau des pratiques nationales, par exemple, en ce qui concerne le fait qu’un mandat délivré par une autorité judiciaire soit exigé ou non, et dans quelles circonstances.

31.

Bien qu’il se puisse que le droit national de certains pays ait déjà prévu des garanties procédurales et relatives à la protection des données appropriées, il est, comme cela sera expliqué ci-dessous, nécessaire d’apporter dans le cadre du règlement proposé certaines clarifications et de définir des exigences minimales eu égard à ces garanties au niveau européen afin de garantir aux personnes concernées une sécurité juridique.

32.

De manière générale, le CEPD souligne que, lorsque la législation de l’Union exige des États membres qu’ils prennent, au niveau national, des mesures qui auront des répercussions sur les droits fondamentaux (tels que le droit à la vie privée et le droit à la protection des données à caractère personnel), la législation doit également exiger que des mesures efficaces soient prises simultanément aux mesures restrictives afin de veiller à la protection des droits fondamentaux en jeu. En d’autres termes, l’harmonisation de mesures susceptibles de porter atteinte à la vie privée, telles que des compétences d’enquête, devrait s’accompagner d’une harmonisation des garanties procédurales et relatives à la protection des données appropriées fondée sur les meilleures pratiques.

33.

Une telle démarche aiderait peut-être à éviter des disparités trop importantes d’un pays à l’autre et à garantir un niveau de protection des données à caractère personnel supérieur et plus uniforme dans toute l’Union européenne.

34.

Si l’harmonisation des garanties minimales n’est pas possible à ce stade, le CEPD recommande, au strict minimum, que le règlement proposé exige spécifiquement des États membres qu’ils adoptent des mesures nationales de transposition pour veiller à la mise en place des garanties procédurales et relatives à la protection des données nécessaires. Cela est d’autant plus important que le type d’acte juridique choisi est le règlement, lequel est directement applicable, et en règle générale, ne nécessite pas systématiquement de mesures de transposition supplémentaires au niveau des États membres.

II.4.   Inspections sur place [article 10, paragraphe 2, point c)]

Dispositions pertinentes

35.

La proposition exige que les compétences d’enquête qui doivent être conférées aux autorités de régulation nationales incluent spécifiquement le droit de procéder à des inspections sur place [article 10, paragraphe 2, point c)].

Commentaires et recommandations du CEPD

36.

Il est difficile de déterminer si de telles inspections seraient limitées aux propriétés commerciales (locaux, terrains et véhicules) d’un acteur du marché ou si elles pourraient également se dérouler sur des propriétés privées (locaux, terrains ou véhicules) de particuliers. On ignore également si les inspections pourraient être effectuées de manière inopinée («inspections surprise»).

37.

Premièrement, si la Commission envisage d’exiger que les États membres autorisent les autorités de réglementation à procéder à des inspections sur place des propriétés privées de particuliers, ou à des inspections surprise, cela doit être clairement précisé.

38.

Deuxièmement, le CEPD souligne également que la proportionnalité des inspections sur place portant sur des propriétés privées (telles que les domiciles privés des particuliers) est loin d’aller de soi et que, si une telle éventualité est envisagée, une justification précise est nécessaire.

39.

Troisièmement, si tel était le cas, des garanties supplémentaires seraient nécessaires, notamment eu égard aux conditions dans lesquelles des inspections peuvent être effectuées. Par exemple, la proposition devrait, de façon non limitative, préciser qu’une inspection sur place ne peut avoir lieu au domicile d’un particulier qu’en cas de soupçons raisonnables et spécifiques que des preuves se trouvent dans ce lieu précis, preuves qui sont à même de démonter l’existence d’une violation grave des articles 3 ou 4 du règlement (à savoir les dispositions ayant trait à l’interdiction d’opérations d’initiés et de manipulations de marché). Fait important, la proposition devrait également exiger un mandat judiciaire dans tous les États membres (15).

40.

Quatrièmement, afin de garantir le respect du principe de proportionnalité et empêcher une atteinte inacceptable à la vie privée, les inspections inopinées des domiciles privés devraient en outre se faire si et seulement si les preuves risquent d’être détruites ou falsifiées en cas de visite annoncée à l’avance. Cela devrait être clairement stipulé dans le règlement proposé.

II.5.   Droit de se faire remettre «des enregistrements téléphoniques et des données échangées existants» [article 10, paragraphe 2, point d)]

Dispositions pertinentes

41.

L’article 10, paragraphe 2, point d), exige que les compétences des autorités de régulation nationales incluent spécifiquement le droit «de se faire remettre des enregistrements téléphoniques et des données échangées existants».

Commentaires et recommandations du CEPD

42.

Le CEPD reconnaît l’importance que revêtent les enregistrements téléphoniques et des données échangées dans le cadre des affaires d’opérations d’initiés, notamment afin d’établir un lien entre initiés et négociants. Cela dit, la portée de ce droit reste floue, et aucune garantie procédurale et relative à la protection des données appropriée n’est prévue. Aussi, le CEPD recommande-t-il que la proposition soit clarifiée tel qu’indiqué ci-dessous. En particulier, les points suivants devront être éclaircis:

a)   Quel type d’enregistrement téléphonique et de données échangées peut-on demander?

43.

Dans un souci de sécurité juridique, la proposition devrait avant tout clarifier la nature des enregistrements que les autorités pourraient, si nécessaire, demander.

44.

La proposition devrait limiter de façon précise l’étendue des compétences d’enquête aux i) contenus d’enregistrements téléphoniques, de courriels et d’autres données échangées que les négociants collectent déjà systématiquement et licitement à des fins professionnelles pour prouver les transactions, et aux b) données relatives au trafic (par exemple, qui a passé l’appel ou envoyé les informations, à qui et quand) que l’on peut d’ores-et-déjà obtenir directement auprès des acteurs du marché (négociants) concernés.

45.

Qui plus est, le proposition devrait également préciser que les enregistrements doivent avoir été collectés à des fins licites et dans le respect des lois en vigueur en matière de protection des données, y compris la transmission d’informations adéquates aux personnes concernées aux termes des articles 10 et 11 de la directive 95/46/CE.

b)   À quoi le qualificatif «existants» se rapporte-t-il?

46.

Le CEPD se félicite que la proposition limite ce droit aux enregistrements «existants» et, par conséquent, n’envisage pas que les autorités de réglementation aient le droit de contraindre un négociant ou un tiers à intercepter, surveiller ou enregistrer un appel téléphonique ou des données échangées spécialement aux fins de l’enquête.

47.

Toutefois, pour éviter tout risque de confusion possible, cette intention devrait être clarifiée, au moins dans un considérant. Il faudrait éviter de laisser la moindre possibilité que le règlement proposé soit interprété comme une base juridique habilitant les autorités de régulation nationales à intercepter, surveiller ou enregistrer, ouvertement ou non et avec ou sans mandat, des communications téléphoniques ou de données.

c)   Est-il également possible d’exiger le contenu des conversations téléphoniques et des données échangées ou seulement les données relatives au trafic?

48.

Le texte de la proposition parle des «enregistrements téléphoniques et des données échangées existants». Il n’est pas clair s’il est possible d’exiger à la fois le contenu des données et communications téléphoniques existants et les données relatives au trafic (par exemple, qui a passé l’appel ou envoyé les informations, à qui et quand).

49.

Cela devrait être clarifié dans les dispositions du règlement proposé. Comme expliqué aux paragraphes 43 à 45, il faudrait préciser clairement le type d’enregistrements pouvant être exigés, et, en premier lieu, s’assurer que ces enregistrements ont été collectés dans le respect de la législation en vigueur en matière de protection des données.

d)   Est-il possible de demander des enregistrements aux fournisseurs d’accès à internet et entreprises de télécommunications?

50.

La proposition devrait préciser de façon univoque les entités auxquelles les autorités de régulation nationales peuvent demander des enregistrements. À cet égard, le CEPD comprend que l’article 10, paragraphe 2, point d) n’a pas pour vocation de permettre aux autorités nationales de demander aux fournisseurs de «services de communications électroniques accessibles au public» (16) (tels que les entreprises de téléphonie ou fournisseurs d’accès à internet) des données relatives au trafic.

51.

En effet, la proposition ne fait aucune allusion à de tels fournisseurs et n’utilise pas l’expression «données relatives au trafic». Fait important, elle ne fait aucunement référence, que ce soit de façon explicite ou non, à une éventuelle dérogation aux exigences stipulées par la directive vie privée et communications électroniques (17), laquelle établit le principe général selon lequel les données relatives au trafic peuvent faire l’objet d’un traitement supplémentaire uniquement aux fins de la facturation et des paiements pour interconnexion.

52.

Pour éviter tout malentendu, le CEPD recommande que le fait que la proposition ne saurait constituer une base juridique permettant de demander des données aux fournisseurs de services de communications électroniques accessibles au public soit mentionné de façon explicite dans le texte du règlement proposé, au moins dans un considérant.

e)   Est-il possible de demander des enregistrements à des tiers?

53.

Par ailleurs, la proposition devrait indiquer clairement si les autorités de régulation nationales peuvent uniquement demander des enregistrements à l’acteur du marché faisant l’objet de l’enquête ou si elles sont également habilitées à demander des enregistrements à des tiers (tels qu’à une partie à une transaction avec l’acteur du marché faisant l’objet de l’enquête, ou à un hôtel dans lequel une personne soupçonnée d’opérations d’initiés a séjourné) afin que ces derniers fournissent leurs propres enregistrements.

f)   Peut-on demander tout enregistrement privé?

54.

Enfin, la proposition devrait également indiquer clairement si les autorités sont aussi habilitées à demander des enregistrements privés appartenant à des particuliers, tels que des employés ou dirigeants de l’acteur du marché faisant l’objet de l’enquête (par exemple des SMS envoyés depuis des appareils personnels mobiles ou l’historique de navigation sur internet à domicile enregistré sur un ordinateur personnel).

55.

La proportionnalité de la réquisition d’enregistrements privés est discutable et, si une telle éventualité est envisagée, une justification spécifique est nécessaire.

56.

Tout comme pour les inspections sur place (voir les paragraphes 35 à 40 ci-dessus), la proposition devrait exiger un mandat émis par une autorité judiciaire ainsi que des garanties supplémentaires spécifiques lorsque les autorités demandent des enregistrements privés.

II.6.   Déclaration d’un abus de marché présumé (article 11): limitation de finalité et conservation des données

Dispositions pertinentes

57.

En ce qui concerne la coopération transfrontière, l’agence se voit confier le rôle important d’avertir les autorités de régulation nationales d’un éventuel abus de marché et de favoriser les échanges d'information. Afin de permettre la coopération, l’article 11, paragraphe 2, exige également spécifiquement que les autorités de régulation nationales informent l'agence «de la façon la plus précise possible» lorsqu'elles ont de bonnes raisons de suspecter une infraction au règlement proposé. Afin de garantir une approche coordonnée, l’article 11, paragraphe 3, exige également le partage des informations entre les autorités de régulation nationales, les autorités financières compétentes, l’agence ainsi que l'autorité européenne des marchés financiers (l’«AEMF») (18).

Commentaires et recommandations du CEPD

58.

Conformément au principe de limitation de la finalité (19), la proposition devrait stipuler explicitement que toute donnée à caractère personnel transmise sur la base de l’article 11 du règlement proposé (déclarations d’abus de marché présumé) ne doit être utilisée qu’aux seules fins de l’enquête sur l’abus de marché présumé qui a été signalé. En tout état de cause, les informations ne devront pas être utilisées à des fins incompatibles avec cette fin.

59.

Les données ne devraient pas non plus être conservées pendant de longues périodes. Cela est d’autant plus important dans les cas où il peut être démontré que la suspicion initiale n’était pas fondée. Dans ces cas, le maintien de la conservation des données doit répondre à une justification spécifique (20).

60.

À cet égard, la proposition devrait, dans un premier temps, fixer une durée maximale pendant laquelle l’agence et les autres destinataires ayant reçu les informations peuvent conserver les données, au regard des finalités du stockage des données. À moins qu’un abus de marché présumé ait donné lieu à une enquête spécifique et que cette dernière soit toujours en cours, toutes les données à caractère personnel concernant un abus de marché présumé qui a été signalé devraient être supprimées des dossiers de tous les destinataires au terme d’un laps de temps déterminé. À moins qu’une durée de conservation plus longue soit clairement justifiée, le CEPD estime que la suppression devra survenir au plus tard deux ans après la date de déclaration de la suspicion (21).

61.

Si une suspicion ne s’avère pas fondée et/ou si une enquête est classée sans suite, la proposition devrait contraindre l’autorité de régulation à l’origine de la déclaration, l’agence, et tout tiers ayant accès aux informations relatives à l’abus de marché présumé, à informer rapidement ces parties afin qu’elles soient en mesure d’actualiser leurs dossiers en conséquence (et/ou de supprimer de leurs dossiers les informations concernant la suspicion signalée, soit immédiatement, soit au terme d’une période de conservation adaptée, selon le cas) (22).

62.

Ces dispositions devraient contribuer à assurer que, dans les cas où la suspicion n’a pas été confirmée (voire même n’a pas fait l’objet d’une enquête plus poussée) ou dans ceux où il a été prouvé que la suspicion n’était pas fondée, des personnes innocentes ne figurent pas sur une «liste noire» et ne restent pas «suspectes» pendant un délai excessivement long [voir l’article 6, point e) de la directive 95/46/CE et l’article 4, point e) correspondant du règlement (CE) no 45/2001].

II.7.   Données transmises à des pays tiers (article 14)

Dispositions pertinentes

63.

Les articles 7, 8 et 11 du règlement proposé prévoient des échanges de données et d’informations entre l’agence, l’AEMF et les autorités des États membres. L’article 14 («Relations avec les pays tiers») stipule que l'agence «peut conclure des accords administratifs avec des organisations internationales et des administrations de pays tiers». Cela pourrait donner lieu à la transmission de données à caractère personnel depuis l’agence et, potentiellement, l’AEMF et/ou les autorités des États membres vers des organisations internationales et autorités de pays tiers.

Commentaires et recommandations du CEPD

64.

Le CEPD recommande que l’article 14 de la proposition précise clairement que les transmissions de données à caractère personnel peuvent uniquement être effectuées conformément à l’article 9 du règlement (CE) no 45/2001 et aux articles 25 et 26 de la directive 95/46/CE. En particulier, les transmissions internationales ne peuvent être autorisées que si le pays tiers en question veille à un niveau de protection adéquat, ou peuvent être destinées à des personnes physiques ou morales se trouvant dans un pays tiers qui n’offre pas une protection adéquate seulement si le contrôleur apporte des garanties satisfaisantes quant à la protection de la vie privée et des libertés et droits fondamentaux des personnes et quant à l’exercice des droits correspondants.

65.

Le CEPD souligne le fait que les dérogations [telles que celles mentionnées dans l’article 9, paragraphe 6, du règlement (CE) no 45/2001 et l’article 26, paragraphe 1, de la directive] ne devraient, en principe, pas servir à justifier des transmissions de données en masse, systématiques et/ou structurelles vers des pays tiers.

II.8.   Contrôle préalable des activités de coordination de l’agence eu égard aux enquêtes

66.

Certaines données que partagent l’agence, l’AEMF et diverses autorités d’États membres au sujet d’infractions présumées sont susceptibles de comprendre des données à caractère personnel telles que l’identité des auteurs soupçonnés de l’infraction ou d’autres personnes concernées (telles que les témoins, dénonciateurs d’abus, employés ou autres personnes agissant au nom des sociétés participant au négoce).

67.

L’article 27, paragraphe 1, du règlement (CE) no 45/2001 stipule que «les traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités sont soumis au contrôle préalable du contrôleur européen de la protection des données». L’article 27, paragraphe 2, confirme spécifiquement que les traitements de données relatives à des «suspicions» et «infractions» présentent de tels risques et nécessitent donc un contrôle préalable. Comptetenu du rôle envisagé de l’agence en termes de coordination des enquêtes, il est probable qu’elle traite des données relatives à des «suspicions», auquel cas ses activités seront soumises à un contrôle préalable (23).

68.

Dans le cadre d’une procédure de contrôle préalable, le CEPD pourrait fournir à l’agence des directives supplémentaires et des recommandations précises eu égard au respect des règles en matière de protection des données. Le contrôle préalable des activités de l’agence pourrait également être source de valeur ajoutée dans la mesure où le règlement (CE) no 713/2009, qui a institué l’agence, ne fait nullement référence à la protection des données à caractère personnel et n’a pas donné lieu à un avis législatif du CEPD.

III.   CONCLUSIONS

69.

La proposition devrait clarifier s’il est possible de traiter des données à caractère personnel dans le contexte de la surveillance du marché et de la déclaration, et quelles sont les garanties qui seront applicables. Si, au contraire, aucun traitement de données à caractère personnel n’est prévu (ou si un tel traitement ne se produirait qu’à titre exceptionnel, dans les rares cas où un négociant de gros en énergie est une personne physique plutôt que morale), cela devrait être clairement indiqué dans la proposition, tout le moins dans un considérant.

70.

Les dispositions sur la protection des données, la sécurité des données et la responsabilisation devraient être clarifiées et davantage renforcées, en particulier si le traitement de données à caractère personnel jouera un rôle davantage structurel. La Commission devrait veiller à la mise en place de contrôles appropriés pour garantir le respect des règles relatives à la protection des données et en apporter la preuve («responsabilisation»).

71.

La proposition devrait préciser clairement si les inspections sur place seraient limitées aux propriétés commerciales (locaux et véhicules) d’un acteur du marché ou si elles pourraient également se dérouler sur des propriétés privées (locaux ou véhicules) de particuliers. Dans le second cas, la nécessité et la proportionnalité de ce droit devraient être clairement démontrées, et un mandat judiciaire ainsi que des garanties supplémentaires devraient être exigés. Cela devrait être clairement stipulé dans le règlement proposé.

72.

L’étendue du droit «de se faire remettre des enregistrements téléphoniques et des données échangées existants» devrait être clarifiée. La proposition devrait préciser de façon univoque le type d’enregistrements qui peuvent être exigés et auprès de qui ils peuvent l’être. Le fait que l’on ne puisse demander aucune donnée aux fournisseurs de services de communications électroniques accessibles au public devrait être mentionné de façon explicite dans le texte du règlement proposé, au moins dans un considérant. La proposition devrait également indiquer clairement si les autorités sont également habilitées à demander des enregistrements privés appartenant à des particuliers, tels que des employés ou dirigeants de l’acteur du marché faisant l’objet de l’enquête (par exemple des SMS envoyés depuis des appareils personnels mobiles ou l’historique de navigation sur internet à domicile enregistré sur un ordinateur personnel). Si tel sera le cas, la nécessité et la proportionnalité de ce droit devraient être clairement démontrées, et la proposition devrait également exiger un mandat délivré par une autorité judiciaire.

73.

En ce qui concerne les déclarations d’abus de marché présumé, la proposition devrait stipuler explicitement que toute donnée à caractère personnel figurant dans de telles déclarations ne doit être utilisée qu’aux seules fins de l’enquête sur l’abus de marché présumé qui a été signalé. À moins qu’un abus de marché présumé ait donné lieu à une enquête spécifique et que cette dernière soit toujours en cours (ou qu’une suspicion s’avère pleinement fondée et donne lieu à une enquête fructueuse), toutes les données à caractère personnel concernant un abus de marché présumé qui a été signalé devraient être supprimées des dossiers de tous les destinataires au terme d’un laps de temps déterminé (sauf exception dûment justifiée, au plus tard deux ans après la date de signalement de la suspicion). Qui plus est, les parties à un échange d’informations devraient également se prévenir mutuellement si une suspicion ne s’avère pas fondée et/ou si une enquête est classée sans suite.

74.

En ce qui concerne les transmissions à des pays tiers de données à caractère personnel, la proposition devrait indiquer clairement que les transmissions peuvent, en principe, être destinées à des personnes physiques ou morales se trouvant dans un pays tiers qui n’offre pas une protection adéquate si et seulement si le contrôleur apporte des garanties satisfaisantes quant à la protection de la vie privée et des libertés et droits fondamentaux des personnes et quant à l’exercice des droits correspondants.

75.

L’agence devrait soumettre au CEPD ses activités de traitement de données à caractère personnel entrant dans le cadre de la coordination des enquêtes aux termes de l’article 11 du règlement proposé afin que celui-ci procède à un contrôle préalable.

Fait à Bruxelles, le 21 juin 2011.

Giovanni BUTTARELLI

Contrôleur adjoint européen de la protection des données


(1)  JO L 281 du 23.11.1995, p. 31 (ci-après, la «directive 95/46/CE»).

(2)  JO L 8 du 12.1.2001, p. 1 [ci-après, le «règlement (CE) no 45/2001»].

(3)  COM(2010) 726 final.

(4)  L'agence de coopération des régulateurs de l'énergie est un organe de l’Union européenne créé en 2010. Son objet est d’aider les autorités nationales de régulation de l’énergie à exercer, au niveau de l’UE, les tâches réglementaires effectuées dans les États membres et, si nécessaire, à coordonner leur action.

(5)  Directive 2003/6/CE du Parlement européen et du Conseil du 28 janvier 2003 sur les opérations d'initiés et les manipulations de marché (abus de marché), JO L 96 du 12.4.2003, p. 16.

(6)  Directive 2004/39/CE du Parlement européen et du Conseil du 21 avril 2004 concernant les marchés d'instruments financiers, modifiant les directives 85/611/CEE et 93/6/CEE du Conseil et la directive 2000/12/CE du Parlement européen et du Conseil et abrogeant la directive 93/22/CEE du Conseil, JO L 145 du 30.4.2004, p. 1.

(7)  Pour de plus amples détails à propos du contexte plus large de propositions législatives connexes, voir l’avis du CEPD sur la proposition de règlement du Parlement européen et du Conseil sur les produits dérivés négociés de gré à gré, les contreparties centrales et les référentiels centraux, émis le 19 avril 2011; notamment les paragraphes 4, 5 et 17 à 20.

(8)  Voir l’article 2, point a) de la directive 95/46/CE et l’article 2, point a) du règlement (CE) no 45/2001.

(9)  Voir les articles 6, paragraphe 1, point c) et 7, point c) de la directive 95/46/CE et l’article 4, paragraphe 1, point c) et l’article 5, point b) du règlement (CE) no 45/2001.

(10)  L’article 9, paragraphe 1, de la proposition — faisant référence au règlement (CE) no 45/2001 — suggère que tel pourrait être le cas, sans pour autant fournir de précision complémentaire. Pour de plus amples détails à ce sujet, voir la section II.2 du présent avis.

(11)  Voir la section 7 de l’avis du CEPD sur la Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions intitulée «Une approche globale de la protection des données à caractère personnel dans l’Union européenne», émis le 14 janvier 2011 (http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2011/11-01-14_Personal_Data_Protection_EN.pdf).

(12)  Voir la section 6.3 de l’avis du CEPD du 14 janvier 2011 mentionné ci-dessus.

(13)  Arrêt rendu par la Cour de justice le 9 novembre 2010, Affaires jointes C-92/09 et C-93/09 (Schecke et Eifert); voir notamment les paragraphes 81, 65 et 86.

(14)  Il est important de remarquer que le règlement proposé ne confère pas à l’agence de compétences d’enquête similaires. Le règlement (CE) no 713/2009 du Parlement européen et du Conseil du 13 juillet 2009 instituant une agence de coopération des régulateurs de l’énergie JO L 211 du 14.8.2009, p. 1, ne prévoit pas non plus de conférer de telles compétences à l’agence.

(15)  Voir, par exemple, le l'arrêt de la Cour européenne des droits de l’homme dans l’affaire Funke c. France (affaire no 82/1991/334/407), 25 février 1993, paragraphes 55 à 57.

(16)  Voir l’article 2, point c), de la directive 2002/21/CE du Parlement européen et du Conseil du 7 mars 2002 relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques (directive «cadre»), JO L 108 du 24.4.2002, p. 33.

(17)  Voir l’article 6, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), JO L 201 du 31.7.2002, p. 37.

(18)  L’AEMF est une autorité communautaire indépendante qui contribue au maintien de la stabilité du système financier de l’Union européenne en assurant l’intégrité, la transparence, l’efficience et le bon fonctionnement des marchés financiers, et en renforçant la protection des investisseurs.

(19)  Voir l’article 6, paragraphe 1, point b) de la directive 95/46/CE et l’article 4, paragraphe 1, point b), du règlement (CE) no 45/2001.

(20)  À titre d’illustration, le CEPD cite, dans ce contexte, l’arrêt de la Cour européenne des droits de l’homme dans l’affaire S et Marper c. Royaume-Uni (2008) (4 décembre 2008) (requêtes no 30562/04 et 30566/04), en vertu duquel la conservation à long terme des données relatives à des personnes non inculpées d’une infraction pénale constituait une violation de leur droit à la vie privée, conformément à l’article 8 de la Convention européenne des droits de l’homme.

(21)  Dans les cas où une suspicion s’avère pleinement fondée et donne lieu à une enquête fructueuse, la proposition devrait fixer une durée de conservation — nonexcessive — précise après la clôture de l’enquête.

(22)  Ces informations devraient également être fournies à la personne concernée.

(23)  Force est de noter que le traitement des données effectué par des autorités nationales peut également être soumis à un contrôle préalable d’autorités nationales ou régionales de protection des données aux termes de la législation nationale en matière de protection des données conformément à l’article 20 de la directive 95/46/CE.


II Communications

COMMUNICATIONS PROVENANT DES INSTITUTIONS, ORGANES ET ORGANISMES DE L'UNION EUROPÉENNE

Commission européenne

23.9.2011   

FR

Journal officiel de l'Union européenne

C 279/28


Non-opposition à une concentration notifiée

(Affaire COMP/M.6349 — Motherson/Cross Industries/Peguform/Wethje)

(Texte présentant de l'intérêt pour l'EEE)

2011/C 279/04

Le 16 septembre 2011, la Commission a décidé de ne pas s'opposer à la concentration notifiée susmentionnée et de la déclarer compatible avec le marché commun. Cette décision se fonde sur l'article 6, paragraphe 1, point b) du règlement (CE) no 139/2004 du Conseil. Le texte intégral de la décision n'est disponible qu'en anglais et sera rendu public après suppression des secrets d'affaires qu'il pourrait contenir. Il pourra être consulté:

dans la section consacrée aux concentrations, sur le site internet de la DG concurrence de la Commission (http://ec.europa.eu/competition/mergers/cases/). Ce site permet de rechercher des décisions concernant des opérations de concentration à partir du nom de l'entreprise, du numéro de l'affaire, de la date ou du secteur d'activité,

sur le site internet EUR-Lex (http://eur-lex.europa.eu/fr/index.htm), qui offre un accès en ligne au droit communautaire, sous le numéro de document 32011M6349.


23.9.2011   

FR

Journal officiel de l'Union européenne

C 279/28


Non-opposition à une concentration notifiée

(Affaire COMP/M.6218 — Ineos/Tessenderlo Group S-PVC Assets)

(Texte présentant de l'intérêt pour l'EEE)

2011/C 279/05

Le 26 juillet 2011, la Commission a décidé de ne pas s'opposer à la concentration notifiée susmentionnée et de la déclarer compatible avec le marché commun. Cette décision se fonde sur l'article 6, paragraphe 1, point b) du règlement (CE) no 139/2004 du Conseil. Le texte intégral de la décision n'est disponible qu'en anglais et sera rendu public après suppression des secrets d'affaires qu'il pourrait contenir. Il pourra être consulté:

dans la section consacrée aux concentrations, sur le site internet de la DG concurrence de la Commission (http://ec.europa.eu/competition/mergers/cases/). Ce site permet de rechercher des décisions concernant des opérations de concentration à partir du nom de l'entreprise, du numéro de l'affaire, de la date ou du secteur d'activité,

sur le site internet EUR-Lex (http://eur-lex.europa.eu/fr/index.htm), qui offre un accès en ligne au droit communautaire, sous le numéro de document 32011M6218.


IV Informations

INFORMATIONS PROVENANT DES INSTITUTIONS, ORGANES ET ORGANISMES DE L'UNION EUROPÉENNE

Commission européenne

23.9.2011   

FR

Journal officiel de l'Union européenne

C 279/29


Taux de change de l'euro (1)

22 septembre 2011

2011/C 279/06

1 euro =


 

Monnaie

Taux de change

USD

dollar des États-Unis

1,3448

JPY

yen japonais

102,59

DKK

couronne danoise

7,4458

GBP

livre sterling

0,87325

SEK

couronne suédoise

9,2762

CHF

franc suisse

1,2275

ISK

couronne islandaise

 

NOK

couronne norvégienne

7,8270

BGN

lev bulgare

1,9558

CZK

couronne tchèque

24,878

HUF

forint hongrois

293,06

LTL

litas lituanien

3,4528

LVL

lats letton

0,7093

PLN

zloty polonais

4,4863

RON

leu roumain

4,3055

TRY

lire turque

2,4636

AUD

dollar australien

1,3691

CAD

dollar canadien

1,3894

HKD

dollar de Hong Kong

10,4904

NZD

dollar néo-zélandais

1,7185

SGD

dollar de Singapour

1,7547

KRW

won sud-coréen

1 605,66

ZAR

rand sud-africain

11,0754

CNY

yuan ren-min-bi chinois

8,6040

HRK

kuna croate

7,4845

IDR

rupiah indonésien

12 246,50

MYR

ringgit malais

4,2744

PHP

peso philippin

58,919

RUB

rouble russe

43,2059

THB

baht thaïlandais

41,379

BRL

real brésilien

2,4887

MXN

peso mexicain

18,6738

INR

roupie indienne

66,6720


(1)  Source: taux de change de référence publié par la Banque centrale européenne.


V Avis

PROCÉDURES ADMINISTRATIVES

Commission européenne

23.9.2011   

FR

Journal officiel de l'Union européenne

C 279/30


MEDIA 2007 — DÉVELOPPEMENT, DIFFUSION, PROMOTION ET FORMATION

Appel à propositions — EACEA/21/11

Soutien au développement de projets de production — Animations, documentaires de création et fictions — Projets individuels, catalogues de projets (Slate Funding et Slate Funding 2e stade)

2011/C 279/07

1.   Objectifs et description

Le présent avis d'appel à propositions est fondé sur la décision no 1718/2006/CE du Parlement européen et du Conseil du 15 novembre 2006 portant sur la mise en œuvre d'un programme de soutien au secteur audiovisuel européen (MEDIA 2007).

L'un des objectifs du programme est de promouvoir, en apportant un soutien financier, le développement de projets de production destinés aux marchés européens et internationaux et présentés par des sociétés de production européennes indépendantes dans les catégories suivantes: fictions; documentaires de création et œuvres d’animation.

2.   Candidats éligibles

Cet avis s'adresse aux sociétés européennes dont les activités contribuent à la réalisation des objectifs ci-dessus, et en particulier à des sociétés de production indépendantes.

Les candidats doivent être établis dans un des pays suivants:

les 27 pays membres de l'Union européenne,

les pays de l'EEE, la Suisse et la Croatie.

3.   Actions éligibles

Sont éligibles les activités de développement pour les œuvres audiovisuelles suivantes (unitaires ou en série):

projets de fiction destinés à une exploitation commerciale d’une durée minimum de 50 minutes,

documentaires de création destinés à une exploitation commerciale d’une durée minimum de 25 minutes (durée par épisode dans le cas de séries),

projets d’animation destinés à une exploitation commerciale d’une durée minimum de 24 minutes.

Ne sont pas éligibles les activités de développement et de production pour les catégories d’œuvres suivantes:

captations, jeux télévisés, talk-shows, reality-shows ou programmes scolaires, didactiques et d'apprentissage;

documentaires de promotion du tourisme, «making of», reportages, documentaires animaliers, émissions d'information et «docu-soaps»;

projets visant à promouvoir directement ou indirectement des messages contraires aux politiques de l'Union européenne, par exemple, des projets pouvant aller à l’encontre des intérêts de la santé publique (alcool, tabac, drogues), du respect des droits de l'homme, de la sécurité des citoyens, de la liberté d'expression, etc.;

projets faisant l'apologie de la violence et/ou du racisme, projets à contenu pornographique;

œuvres à caractère publicitaire;

productions institutionnelles visant à promouvoir une organisation spécifique ou ses activités.

L'appel à propositions 21/11 comprend deux échéances. Pour participer à la 1ère échéance, la demande de soutien doit être envoyée à l'Agence entre la date de publication de l'appel à propositions et le 25 novembre 2011 inclus. Pour participer à la 2e échéance, la demande de soutien doit être envoyée à l'Agence entre le 26 novembre 2011 et le 13 avril 2012, date de clôture de l'appel à propositions.

La durée maximale des projets est fixée jusqu’au 30 juin 2014 pour les candidatures présentées dans la période précédant la 1ère échéance et jusqu'au 30 novembre 2014 pour les candidatures présentées dans la période précédant la 2e échéance ou jusqu'à la date d’entrée en production du projet, selon celle des dates qui sera antérieure.

4.   Critères d'attribution

Des points seront attribués sur un total de 100 selon la pondération suivante:

Pour les projets individuels

Critères relatifs à la société candidate (40 points)

Qualité de la stratégie de développement (10),

cohérence du budget de développement (10),

qualité de la stratégie de financement (10),

qualité de la stratégie de distribution (10);

Critères relatifs au projet soumis (60 points)

Qualité du projet (40),

potentiel de production et faisabilité du projet (10),

potentiel de distribution européenne et internationale (10).

Pour les projets Slate Funding et Slate Funding 2e stade

Critères relatifs à la société candidate (60 points)

Capacité de la société à développer et produire à un niveau européen (15 points pour un Slate Funding — 30 points pour un Slate Funding 2e stade),

qualité de la stratégie de développement et cohérence du budget de développement (15 points pour un Slate Funding — 10 points pour un Slate Funding 2e stade),

qualité de la stratégie de financement (15 points pour un Slate Funding — 10 points pour un Slate Funding 2e stade),

qualité de la stratégie de distribution (15 points pour un Slate Funding — 10 points pour un Slate Funding 2e stade);

Critères relatifs aux projets présentés (40 points)

qualité des projets (10),

potentiel de l'équipe de création (10),

potentiel de production et faisabilité des projets (10),

potentiel de distribution européenne et internationale (10).

5.   Budget

Le budget total disponible est de 17 millions d’EUR. La contribution financière accordée est une subvention.

La contribution financière maximale attribuable à un projet individuel varie entre 10 000 EUR et 60 000 EUR, sauf pour les longs métrages d'animation destinés aux salles de cinéma, pour lesquels le montant maximum prévu est de 80 000 EUR. La contribution financière octroyée ne pourra en aucun cas dépasser 50 % des coûts éligibles soumis par le producteur (60 % pour les projets présentant un intérêt pour la promotion de la diversité culturelle européenne).

La contribution financière maximale attribuable au titre du Slate Funding et du Slate Funding 2e stade varie entre 70 000 EUR et 190 000 EUR. La contribution financière octroyée ne pourra en aucun cas dépasser 50 % des coûts éligibles soumis par le producteur.

L’Agence se réserve le droit de ne pas attribuer la totalité des fonds disponibles.

6.   Date limite pour le dépôt des candidatures

Les candidatures doivent être soumises à l'Agence exécutive (EACEA) en utilisant le formulaire de candidature en ligne et en envoyant la candidature en version papier au plus tard le 25 novembre 2011 et le 13 avril 2012 (voir point 3) à l'adresse suivante:

Agence exécutive Éducation, audiovisuel et culture (EACEA) — MEDIA

Constantin DASKALAKIS

BOUR 3/30

Avenue du Bourget 1

1140 Bruxelles

BELGIQUE

Seules les candidatures soumises à l’aide du formulaire de candidature officiel, dûment signées par la personne habilitée à engager légalement la société candidate seront acceptées.

Les candidatures transmises par télécopie ou par courrier électronique ne seront pas acceptées.

7.   Informations complètes

Le texte complet des lignes directrices ainsi que les formulaires de candidature peuvent être obtenus à l'adresse internet suivante: http://www.ec.europa.eu/media

Les demandes doivent obligatoirement respecter toutes les dispositions spécifiées dans les lignes directrices et être soumises à l’aide des formulaires prévus.


23.9.2011   

FR

Journal officiel de l'Union européenne

C 279/33


MEDIA 2007 — DÉVELOPPEMENT, DISTRIBUTION, PROMOTION ET FORMATION

Appels à propositions — EACEA/22/11

Soutien au développement d’œuvres interactives en ligne et hors ligne

2011/C 279/08

1.   Objectifs et description

Le présent avis d’appel à propositions est fondé sur la décision no 1718/2006/CE du Parlement européen et du Conseil du 15 novembre 2006 portant sur la mise en œuvre d’un programme de soutien au secteur audiovisuel européen (MEDIA 2007).

L’un des objectifs du programme est de promouvoir, en apportant un soutien financier, le développement de projets de production destinés aux marchés européens et internationaux présentés par des sociétés de production indépendantes.

2.   Candidats éligibles

Le présent avis s’adresse aux sociétés européennes dont les activités contribuent à la réalisation des objectifs mentionnés ci-dessus, et en particulier à des sociétés de production indépendantes.

Les candidats doivent être établis dans l’un des pays suivants:

les 27 pays de l’Union européenne,

les pays de l’EEE, la Suisse et la Croatie.

3.   Actions éligibles

Sont éligibles les activités concernant les œuvres interactives suivantes:

Le développement de concepts (allant jusqu’à une première application jouable) de contenu interactif numérique, conçus spécifiquement en complément d'un projet audiovisuel (animation, documentaire de création ou fiction) pour au minimum l’une des plates-formes suivantes:

internet

PC

console

terminaux mobiles

télévision interactive

Ce contenu numérique doit présenter les caractéristiques suivantes:

interactivité marquée présentant une composante narrative

originalité, créativité et innovation par rapport aux oeuvres existantes

potentiel commercial à échelle européenne

Le contenu interactif proposé ne peut compléter qu'un projet audiovisuel destiné à une exploitation commerciale rentrant dans l'une des catégories suivantes:

fiction d’au moins 50 minutes (durée de la totalité de la série dans le cas d’une série),

documentaires de création d’au moins 25 minutes (durée par épisode dans le cas d’une série),

œuvres d’animation d’au moins 24 minutes (durée de la totalité de la série dans le cas d’une série).

Ne sont pas éligibles les activités suivantes:

Les activités de développement et de production pour les catégories d’œuvres suivantes sont inéligibles:

les ouvrages de référence (encyclopédies, atlas, catalogues, base de données …),

les programmes à vocation utilitaire (programmes éducatifs, manuels d’apprentissage …),

les outils et services logiciels,

les services d'information ou purement transactionnels,

les programmes et magazines d’information,

les projets de promotion touristique,

les œuvres d’art multimédia,

les sites web créés, ou spécifiquement dédiés, à des plate-formes sociales, des réseaux sociaux, des forums internet, des blogs ou des activités similaires,

les projets promouvant directement ou indirectement des messages contraires aux politiques de l’Union européenne. À titre d’exemple, est prohibée toute subvention pouvant aller à l’encontre de la santé publique (alcool, tabac, drogue), du respect des droits de l’homme, de la sécurité des citoyens, de la liberté d’expression etc.,

les projets faisant l'apologie de la violence et/ou du racisme, projets à contenu pornographique,

les œuvres à caractère publicitaire (notamment le contenu de marque),

les productions institutionnelles visant à la promotion d’une institution et/ou de son action.

L’appel à propositions 22/11 comprend deux échéances. Pour être incluse dans la première échéance, la demande de soutien doit être envoyée à l’Agence entre la date de publication de l’appel à propositions et le 25 novembre 2011. Pour être incluse dans la deuxième échéance, la demande de soutien doit être envoyée à l’Agence entre le 26 novembre 2011 et le 13 avril 2012, date de clôture de l’appel à propositions.

La date limite de durée du projet est fixée au 30 juin 2014 pour les demandes de soutien présentées dans la période précédant la première échéance et au 30 novembre 2014 pour les demandes présentées dans la période précédant la deuxième échéance ou à la date d’entrée en production du projet, la première de ces dates l’emportant.

4.   Critères d’attribution

Des points seront attribués sur un total de 100 selon la pondération suivante:

Critères relatifs à la société candidate (40 points)

qualité de la stratégie de développement (10),

cohérence du budget de développement (10),

capacité de la société à réaliser le projet (10),

qualité de la stratégie de financement (10);

Critères relatifs au projet présenté (60 points)

qualité du contenu et originalité du concept par rapport aux œuvres existantes (20),

innovation, pertinence dans l'utilisation des techniques mises en œuvre et qualité de l'interactivité (20),

potentiel d'exploitation à l'échelle européenne et adéquation par rapport à la cible choisie (20).

5.   Budget

Le budget disponible total est de 2,5 millions d’EUR. La contribution financière accordée est une subvention.

La contribution financière maximale attribuable à un projet est de l’ordre de 10 000 à 150 000 EUR.

La contribution financière allouée n’excédera en aucun cas 50 % des coûts éligibles pour lesquels le producteur aura soumis sa demande (60 % pour les projets présentant un intérêt pour la promotion de la diversité culturelle européenne).

L’Agence se réserve le droit de ne pas attribuer la totalité des fonds disponibles.

6.   Date limite pour le dépôt des candidatures

Les candidatures doivent être soumises à l'Agence exécutive (EACEA) en utilisant le formulaire de candidature en ligne et en envoyant la candidature en version papier au plus tard le 25 novembre 2011 et le 13 avril 2012 (voir point 3) à l'adresse suivante:

Agence exécutive Éducation, audiovisuel et culture (EACEA) — MEDIA

Constantin DASKALAKIS

BOUR 3/30

Avenue du Bourget 1

1140 Bruxelles

BELGIQUE

Seules les candidatures soumises à l’aide du formulaire de candidature officiel, dûment signées par la personne habilitée à engager légalement la société candidate seront acceptées.

Les candidatures transmises par télécopie ou par courrier électronique ne seront pas acceptées.

7.   Informations complètes

Le texte complet des lignes directrices ainsi que les formulaires de candidature peuvent être obtenus à l’adresse internet suivante:

http://ec.europa.eu/media

Les demandes doivent obligatoirement respecter toutes les dispositions spécifiées dans les lignes directrices et être soumises à l’aide des formulaires prévus.


PROCÉDURES RELATIVES À LA MISE EN ŒUVRE DE LA POLITIQUE DE CONCURRENCE

Commission européenne

23.9.2011   

FR

Journal officiel de l'Union européenne

C 279/36


Notification préalable d'une concentration

(Affaire COMP/M.6348 — Arla Foods/Allgäuland)

(Texte présentant de l'intérêt pour l'EEE)

2011/C 279/09

1.

Le 15 septembre 2011, la Commission a reçu notification, conformément à l’article 4 du règlement (CE) no 139/2004 du Conseil (1), d’un projet de concentration par lequel l’entreprise Hansa-Milch AG («Hansa», Allemagne), appartenant à Arla Foods Amba («Arla», Danemark), acquiert, au sens de l’article 3, paragraphe 1, point b), du règlement CE sur les concentrations, le contrôle de l'ensemble des entreprises Allgäuland-Käsereien GmbH et AL Dienstleistungs-GmbH (conjointement dénommées «Allgäuland», Allemagne) par achat d’actions.

2.

Les activités des entreprises considérées sont les suivantes:

Arla est une coopérative laitière appartenant à des producteurs laitiers. Elle produit et vend divers produits laitiers. En Allemagne, Arla exerce l'essentiel de ses activités par l'intermédiaire de sa filiale Hansa,

Allgäuland est une coopérative laitière qui produit divers fromages de qualité et d'autres produits laitiers, principalement en Allemagne.

3.

Après examen préliminaire et sans préjudice de sa décision définitive sur ce point, la Commission estime que l'opération notifiée pourrait entrer dans le champ d'application du règlement CE sur les concentrations.

4.

La Commission invite les tiers intéressés à lui présenter leurs observations éventuelles sur ce projet de concentration.

Ces observations devront lui parvenir au plus tard dans un délai de dix jours à compter de la date de la présente publication. Elles peuvent être envoyées par télécopie (+32 22964301), par courrier électronique à l’adresse COMP-MERGER-REGISTRY@ec.europa.eu ou par courrier, sous la référence COMP/M.6348 — Arla Foods/Allgäuland, à l'adresse suivante:

Commission européenne

Direction générale de la concurrence

Greffe des concentrations

J-70

1049 Bruxelles

BELGIQUE


(1)  JO L 24 du 29.1.2004, p. 1 (le «règlement CE sur les concentrations»).


23.9.2011   

FR

Journal officiel de l'Union européenne

C 279/37


Notification préalable d'une concentration

(Affaire COMP/M.6392 — Gores/Mexx)

Cas susceptible d'être traité selon la procédure simplifiée

(Texte présentant de l'intérêt pour l'EEE)

2011/C 279/10

1.

Le 15 septembre 2011, la Commission a reçu notification, conformément à l’article 4 du règlement (CE) no 139/2004 du Conseil (1), d'un projet de concentration par lequel Gores Group LLC («Gores», États-Unis) acquiert, au sens de l’article 3, paragraphe 1, point b), du règlement CE sur les concentrations, le contrôle exclusif de Mexx European Holding BV («Mexx», Pays-Bas) par achat d’actions.

2.

Les activités des entreprises considérées sont les suivantes:

Gores: société d’investissement privée dans les secteurs suivants: technologies, télécommunications, services aux entreprises, industrie et habillement, principalement aux États-Unis et en Europe occidentale,

Mexx: vente au détail de vêtements, de chaussures et d’accessoires et commerce de gros d’habillement et de chaussures en Europe et en Amérique du Nord.

3.

Après examen préliminaire et sans préjudice de sa décision définitive sur ce point, la Commission estime que l'opération notifiée pourrait entrer dans le champ d'application du règlement CE sur les concentrations. Conformément à la communication de la Commission relative à une procédure simplifiée de traitement de certaines opérations de concentration en application du règlement CE sur les concentrations (2), il convient de noter que ce cas est susceptible d'être traité selon la procédure définie par ladite communication.

4.

La Commission invite les tiers intéressés à lui présenter leurs observations éventuelles sur le projet de concentration.

Ces observations devront lui parvenir au plus tard dans un délai de dix jours à compter de la date de la présente publication. Elles peuvent être envoyées par télécopie (+32 22964301), par courrier électronique à l’adresse COMP-MERGER-REGISTRY@ec.europa.eu ou par courrier postal, sous la référence COMP/M.6392 — Gores/Mexx, à l'adresse suivante:

Commission européenne

Direction générale de la concurrence

Greffe des concentrations

J-70

1049 Bruxelles

BELGIQUE


(1)  JO L 24 du 29.1.2004, p. 1 (le «règlement CE sur les concentrations»).

(2)  JO C 56 du 5.3.2005, p. 32 (la «communication sur une procédure simplifiée»).