Embed Size (px)
Citation preview
DEUXIÈME RAPPORT D’ACTIVITÉ DE L’AUTORITÉ DE CONTRÔLE COMMUNE D’EUROPOL
NOVEMBRE 2002 - OCTOBRE 2004
3
Europol et l’autorité de contrôle commune
Europol (Office européen de police) est une organisation créée pour aider les États membres de l’UE à prévenir et combattre les formes graves de criminalité internationale;
son activité se limite aux infractions impliquant une structure criminelle organisée et touchant au moins deux États membres. Au point de vue pratique, les principales tâches d’Europol consistent à faciliter l’échange d’informations entre les États membres et à fournir une expertise analytique.
Étant donné qu’Europol traite une quantité considérable d’informations sensibles à caractère personnel, la convention Europol inclut des dispositions exigeant qu’Europol prenne en compte les droits des personnes lorsqu’il utilise ces informations. La convention porte également création de l’autorité de contrôle commune - un organe indépendant chargé de veiller à ce qu’Europol respecte les principes de la protection des données.
Afin d’encourager la transparence, la convention Europol prévoit la publication à intervalles réguliers, par l’autorité de contrôle commune, d’un rapport d’activité. Le présent document est le deuxième de ces rapports.
4
5
Sommaire
Europol et l’autorité de contrôle commune • • • • • • • • • • • • • • • • • • • •3
Introduction • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •6
Chapitre I• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •7
Introduction • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •7
Europol et les États-Unis • • • • • • • • • • • • • • • • • • • • • • • • • • • •7
Modification de la convention Europol: périodes de conservation • • • • • • • • •9
Agir ensemble pour promouvoir la protection des données • • • • • • • • • • • •10
Chapitre II • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •12
Partie A - Activités de contrôle • • • • • • • • • • • • • • • • • • • • • • • • • • •12
1. Inspections d’Europol• • • • • • • • • • • • • • • • • • • • • • • • • • • • •12
2. Quel rôle de soutien pour Europol? • • • • • • • • • • • • • • • • • • • • • •15
3. Ouverture de fichiers à des fins d’analyse• • • • • • • • • • • • • • • • • • • •17
4. Accords avec des États/instances tiers • • • • • • • • • • • • • • • • • • • • •17
5. Droits • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •18
Partie B − Gestion de l’autorité de contrôle commune • • • • • • • • • • • • • • • •19
1. Préparation à l’élargissement • • • • • • • • • • • • • • • • • • • • • • • • •19
2. Transparence • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •20
Chapitre III • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •21
Comité des recours • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •21
1. Résumé du recours formé par M. Y • • • • • • • • • • • • • • • • • • • • • •21
2. Résumé du recours formé par M. Z • • • • • • • • • • • • • • • • • • • • • •23
Chapitre IV • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •26
Les développements des deux dernières années• • • • • • • • • • • • • • • • • •26
L’avenir • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •27
6
Introduction
En tant que président de l’autorité de contrôle commune (ACC) d’Europol, je suis très heureux de pouvoir présenter notre deuxième rapport d’activité. Ce rapport couvre la
période allant de novembre 2002 à octobre 2004 et décrit les activités de l’ACC sous la présidence de Klaus Kalk. Au nom de tous mes collègues de l’ACC, je voudrais rendre hommage à la diligence avec laquelle M. Kalk traite les tâches de l’Office et à sa ferme prise de position en faveur de la dignité humaine et du droit fondamental à la protection des données. Je suis également conscient que les réalisations de l’Office n’ont été possibles que grâce à l’engagement et à l’enthousiasme des deux présidents du comité des recours pendant cette période, Mario Varges Gomes et Giuseppe Busia, ainsi qu’aux efforts combinés de tous les membres de l’ACC et de son secrétariat.
Le rapport donne une idée précise des principaux sujets traités par l’ACC au cours d’une période fortement marquée par les mesures prises pour lutter contre le terrorisme après les tragiques événements du 11 septembre 2001 aux États-Unis et, très récemment, par les attentats à la bombe à Madrid, le 11 mars 2004. Dans tous ses avis et actions, l’ACC a montré qu’il est parfaitement possible et cohérent de soutenir le but commun de la lutte contre le terrorisme international et le crime organisé tout en sauvegardant, en même temps, les droits des personnes.
Enfin, la protection des données ayant été insérée comme droit fondamental dans la Charte des droits fondamentaux de l’Union européenne et dans le projet de traité constitutionnel, et les piliers de l’UE continuant à converger, il devient de plus en plus évident que le domaine de la coopération policière et judiciaire nécessite un corpus clair et spécifique de règles sur la protection des données, et qu’elle doit bénéficier de conseils indépendants et d’une supervision harmonisée. Diverses initiatives relatives à cette question doivent être envisagées au cours des prochains mois et l’ACC a l’intention de surveiller étroitement les développements, en offrant assistance et conseil pour veiller à ce que tout changement proposé aboutisse à un cadre pratique, tout en respectant également les droits et les valeurs relatifs à la protection des données.
Emilio Aced Félez,Président
7
Chapitre I
Introduction
Depuis que le traité d’Amsterdam a engagé les États membres à créer «un espace de liberté, de sécurité et de justice», l’un des objectifs clés de l’UE est d’améliorer la
coopération entre les autorités de police. Or une telle coopération implique très fréquemment des échanges de données à caractère personnel.
Les actes terroristes atroces commis récemment ont donné une nouvelle impulsion à cette tendance à coopérer plus étroitement. Les États membres étant convaincus de la nécessité de travailler ensemble pour s’attaquer au terrorisme, les mesures communautaires déjà en vigueur pour sauvegarder la sécurité ont été réévaluées.
Ce chapitre introductif rend compte de la manière dont l’autorité de contrôle commune d’Europol réagit à certains des changements apportés dans ce domaine. Il est centré sur deux développements en particulier: l’un qui découle d’une décision du directeur d’Europol, l’autre résultant d’une initiative de mise à jour des dispositions de la convention Europol.
Europol et les États-Unis
Peu de temps après les attaques terroristes de septembre 2001 contre le États-Unis, le directeur d’Europol a pris la décision d’autoriser l’Office à transmettre des données à caractère personnel aux États-Unis.
Les règles régissant le transfert de données à caractère personnel par Europol à des pays tiers exigent normalement qu’un accord formel soit conclu entre Europol et l’État concerné. De tels accords fixent les dispositions concernant les catégories de données à transmettre et les fins auxquelles ces données peuvent être utilisées; et aucun accord ne peut être conclu sans que l’avis favorable de l’autorité de contrôle commune (ACC) n’ait d’abord été obtenu.
Toutefois, dans des circonstances exceptionnelles, le directeur d’Europol peut passer outre cette procédure et prendre la décision de transmettre des données à caractère personnel sans qu’un accord soit conclu, s’il estime que cela est absolument nécessaire à la sauvegarde des intérêts essentiels des États membres ou pour prévenir un danger imminent.
En réponse à la décision du directeur, l’ACC a publié un avis où elle souligne que seul un accord formel constituerait une base légale satisfaisante pour une coopération à long terme
8
entre Europol et les États-Unis, et que cette décision ne devrait en aucun cas être assimilée à une autorisation à durée indéterminée de transmettre des données aux États-Unis.
Au cours des négociations visant à conclure un accord entre Europol et les États-Unis, les deux parties se sont efforcées de traiter plusieurs points importants, y compris les fins auxquelles les données pourraient être utilisées et la question de la supervision de la mise en œuvre de l’accord.
Dans son avis sur le projet d’accord, l’ACC a reconnu qu’il était «impératif» d’améliorer la coopération entre les États-Unis et Europol en matière de lutte contre les formes graves de criminalité et, prenant acte des progrès significatifs réalisés pendant les négociations, l’ACC a conclu que le Conseil pouvait autoriser le directeur d’Europol à finaliser l’accord.
Toutefois, l’ACC a souligné que «compte tenu de la législation et des règlements des États-Unis d’Amérique en matière de protection des données à caractère personnel» une supervision efficace serait nécessaire pour veiller à ce que les deux parties à l’accord en respectent les dispositions.
Comment l’ACC surveille-t-elle l’application de l’accord entre Europol et les États-Unis?
Depuis la signature de l’accord, l’ACC:
• a noué des liens avec le «Chief Privacy Officer» (directeur de la protection des données à caractère personnel) du ministère américain de la sécurité intérieure, qui est chargé de veiller à ce que le ministère de la sécurité intérieure respecte les dispositions de l’accord et autres mesures pertinentes de respect de la vie privée. En mars 2004, l’adjoint du Chief Privacy Officer a assisté à une réunion de l’ACC pour en informer les membres sur la législation américaine existante en matière de respect de la vie privée. Les membres de l’ACC en ont aussi profité pour poser diverses questions sur le rôle exact du Chief Privacy Officer. L’ACC tient beaucoup à entretenir cette relation à l’avenir, car elle lui donnera la possibilité de savoir ce qu’il advient des données transmises aux États-Unis en vertu de l’accord, et aussi d’apprendre ce que font les États-Unis pour contrôler l’exactitude des données envoyées à Europol.
• a surveillé les développements. Il est venu à la connaissance de l’ACC qu’à la suite de changements dans la législation des États-Unis, le FBI ne serait plus tenu de faire des efforts raisonnables pour garantir l’exactitude des données conservées par le «National Crime Information Center», la plus grande banque de données pénales judiciaires du pays. Ce fait suscite des préoccupations étant donné que le FBI est l’une des autorités fédérales habilitées à échanger des données à caractère personnel avec Europol au titre
9
de l’accord. L’ACC a demandé des informations supplémentaires à Europol pour déterminer si cela affecterait les données à caractère personnel transmises aux termes de l’accord. L’ACC regrette de ne pas encore avoir reçu de réponse à ce jour.
L’ACC continue à remplir son engagement de surveillance du respect de l’accord. Depuis la signature de celui-ci, il s’avère que la plupart des informations échangées entre l’UE et les autorités policières des États-Unis l’ont été en vertu d’accords bilatéraux existants entre les États-Unis et les États membres. Toutefois, comme le volume des informations échangées entre Europol et les États-Unis est en augmentation, les futures inspections d’Europol seront centrées sur l’examen des données à caractère personnel échangées aux termes de l’accord, afin de veiller à la conformité avec les dispositions pertinentes. En outre, l’ACC s’efforcera de coordonner la supervision, en travaillant avec les autorités nationales de protection des données dans les États membres et le Chief Privacy Officer du ministère de la sécurité intérieure aux États-Unis.
Modification de la convention Europol: périodes de conservation
En 2002, la présidence danoise de l’UE a lancé une initiative en vue de modifier la convention Europol. L’autorité de contrôle commune a publié un avis commentant les propositions rela-tives au traitement des données à caractère personnel. La Présidence danoise a pris en compte les préoccupations de l’ACC et de nombreuses propositions ont été modifiées en conséquence.
Le projet de protocole modifiant la convention Europol publié en décembre 2002 comportait une proposition d’extension de la période pendant laquelle des données à caractère personnel peuvent être conservées dans des fichiers d’analyse d’Europol. L’article 21 de la convention Europol stipule que, lorsque des données à caractère personnel figurent dans des fichiers d’analyse à Europol, elles doivent être effacées au bout de trois ans si aucune information supplémentaire sur la personne en question n’a été ajoutée pendant cette période. Le projet de protocole visait à porter cette période de conservation à cinq ans.
Au départ, l’ACC ne voyait pas de justification à l’extension de cette période de conservation. Toutefois, Europol a fait valoir que pour certains crimes - et le terrorisme en particulier - des périodes de conservation plus longues étaient nécessaires afin d’effectuer une analyse approfondie.
10
En février 2003, l’équipe d’inspection de l’ACC a examiné les fichiers d’analyse d’Europol en détail et elle est arrivée à la conclusion que des périodes de conservation plus longues étaient effectivement nécessaires dans certains cas, mais qu’il serait nécessaire d’appliquer un test vérifiant cette nécessité, plutôt qu’une limite temporelle stricte, pour déterminer si des données à caractère personnel doivent être conservées ou non.
Dans cet esprit, l’ACC a proposé que la convention Europol soit modifiée de manière à ce que la période de conservation soit en rapport avec le fichier lui-même plutôt qu’avec les données à caractère personnel contenues dans le fichier. Europol serait tenu de supprimer les fichiers d’analyse au bout d’une période de trois ans à moins que, à la fin de cette période de trois ans, Europol ne considère le maintien d’un fichier donné comme strictement nécessaire. Dans ce cas, le fichier pourrait être conservé pendant trois années supplémentaires.
Europol pourrait donc appliquer ce test de nécessité à la fin de chaque période de trois ans; toutefois, après avoir décidé de conserver un fichier, Europol devrait répéter la procédure de création d’un fichier d’analyse comme prévu à l’article 10 de la convention Europol. Ceci permettrait à l’ACC et au conseil d’administration d’Europol d’examiner les motifs de conservation d’un fichier donné et le processus serait ainsi maintenu sous contrôle, tout en éliminant la possibilité qu’un fichier soit conservé indéfiniment.
Pour éviter que des données à caractère personnel soient conservées inutilement, il a été proposé que la convention prévoie l’exécution par Europol d’un examen annuel de la nécessité de continuer à conserver les données à caractère personnel dans un fichier d’analyse. En outre, l’ACC pourrait charger spécifiquement l’équipe d’inspection d’examiner tous les fichiers prolongés lorsqu’elle effectue une inspection.
La modification proposée par l’ACC a été acceptée et incluse dans la version finale du protocole modifiant la convention Europol.1
Agir ensemble pour promouvoir la protection des données
De nombreuses initiatives communautaires impliquent désormais la collecte, la conser-vation ou l’échange de données à caractère personnel à des fins d’application de la loi; les mesures visant à autoriser l’échange de données sur les passagers aériens et les propositions d’exiger la conservation de données de communications en sont des exemples notables. Ces
1 Acte du conseil du 27 novembre 2003 établissant un protocole modifiant la convention Europol.
11
faits et d’autres développements, comme la suggestion de faire un jour d’Europol une organisation d’enquête, pourraient avoir des implications significatives pour les droits des personnes. En conséquence, l’autorité de contrôle commune s’est efforcée de travailler avec d’autres autorités de protection des données pour s’assurer que les préoccupations en matière de protection des données soient prises en compte par les décideurs politiques.
Depuis quelques temps, l’ACC s’aligne étroitement sur ses autorités sœurs (l’autorité de contrôle commune Schengen et l’autorité de contrôle commune des douanes), qui sont respectivement responsables de la supervision du système d’information Schengen et du système d’information des douanes. Ces trois autorités de contrôle sont servies par le même secrétariat basé à Bruxelles et, parmi les démarches faites pour coordonner leurs efforts, il faut noter la création d’un groupe de travail composé d’experts techniques des autorités nationales de protection des données. Ce groupe, qui a été formé pour fournir un soutien technique aux autorités de contrôle communes, procède actuellement à l’élaboration d’un outil de normalisation pour la conduite des inspections des systèmes d’information du troisième pilier.
En outre, une invitation récente à présenter des preuves à une commission d’enquête de la Chambre des Lords a incité les trois autorités de contrôle communes à organiser une réunion commune, rassemblant également des représentants de l’autorité de contrôle commune d’Eurojust – qui a abouti à l’adoption d’un avis commun concernant la protection des données dans le cadre du troisième pilier. D’autres réunions de cette sorte seront sans doute organisées, ce qui permettra aux autorités de contrôle communes d’examiner des questions d’intérêt commun.
Il est clair, toutefois, que de nombreuses nouvelles initiatives communautaires impliquant des données à caractère personnel ne sont pas couvertes par les mandats spécifiques des autorités de contrôle communes; en fait, toutes les initiatives ne peuvent pas être nettement regroupées sous l’un des piliers traditionnels de l’UE.
C’est pourquoi, à la conférence 2004 des autorités européennes de la protection des données à Rotterdam, il a été convenu que les représentants des autorités de protection des données opérant au niveau européen, devraient se rencontrer pour coordonner leurs efforts. La première réunion de ce groupe de «planification» a eu lieu en juin 2004 avec la participation du contrôleur européen de la protection des données, des présidents des autorités de contrôle communes, et du président du groupe de travail Article 29, qui est chargé de conseiller la Commission en matière de protection des données dans le cadre du premier pilier.
Un autre développement est intervenu en septembre 2004 à la conférence des autorités internationales de protection des données à Wrocław: en session restreinte, les autorités
12
européennes ont adopté une résolution appelant les institutions de l’UE à organiser un forum dans le cadre duquel les autorités communautaires de protection des données pourraient discuter des implications des développements en matière de protection des données dans le troisième pilier. En attendant la création d’un tel forum, les initiatives de troisième pilier qui tombent hors des compétences autorités de contrôle communes seront examinées par un groupe de travail des autorités européennes de protection des données.
13
Chapitre II
Partie A - Activités de contrôle
1. Inspections d’Europol
L’autorité de contrôle commune remplit sa mission générale en effectuant, entre autres, des inspections sur place des activités d’Europol.
Inspection de février 2003
En décembre 2002, l’ACC a mandaté son équipe d’inspection pour effectuer l’examen des fichiers d’analyse et des systèmes d’information d’Europol, ainsi que du niveau de conformité avec les accords formels entre Europol et les États tiers.
En février 2003, l’équipe d’inspection a passé trois jours à inspecter Europol. Selon le rapport final adopté en juillet 2003, Europol a amélioré le niveau de protection des données depuis la première inspection effectuée en 2000. Toutefois, il est également signalé qu’Europol a connu certains problèmes en matière de sauvegarde de la qualité des données. Ceci est dû, en grande partie, au fait qu’Europol doit se fier à la qualité des données reçues des États membres. L’ACC a donc proposé que les autorités nationales de protection des données s’efforcent de traiter ce problème au niveau national.
L’équipe d’inspection a abouti à la conclusion générale que, sur la base des vérifications effectuées au cours de l’inspection, le traitement des données à caractère personnel par Europol est réalisé conformément aux dispositions pertinentes en matière de protection des données. Il est également signalé que, dans certains domaines spécifiques, tels que l’auditing et la journalisation, Europol avait mis en œuvre des systèmes respectant des normes élevées de protection des données.
Des recommandations ont été faites en vue d’améliorer encore la conformité d’Europol et une inspection de suivi a eu lieu en novembre 2003.
Objectifs stratégiques des inspections
Il est évident que le rôle d’Europol prend rapidement de l’ampleur et qu’il traite de plus en plus de données à caractère personnel. L’ACC est décidée à ce que les inspections d’Europol suivent le rythme de ces développements et, à cet effet, l’ACC a défini en 2003 plusieurs
14
objectifs destinés à orienter les futures inspections. En résumé, ces objectifs sont les suivants:
• Europol doit être inspecté chaque année;
• l’accent doit être mis davantage sur l’inspection de la qualité des données à caractère personnel détenues par Europol;
• une plus grande marge de manœuvre devrait être accordée à l’équipe d’inspection concernant la portée de l’inspection, de manière à lui donner assez de flexibilité pour pouvoir examiner les sujets de préoccupation spécifiques lorsqu’ils se présentent.
Inspection de mars 2004
Dans l’optique de ces objectifs, l’ACC a approuvé une autre inspection d’Europol, en soulignant que cette inspection devait être centrée sur la qualité des données traitées par Europol dans les fichiers d’analyse.
Cette inspection de trois jours a débuté le 30 mars 2004. Avant l’inspection, l’équipe avait sélectionné un certain nombre de fichiers d’analyse pour les examiner. Pour chaque fichier, l’équipe a évalué la conformité avec l’instruction de création de fichier pour vérifier si les catégories de données à caractère personnel stockées et les États membres participant au travail sur le fichier correspondaient bien à ceux figurant dans l’instruction de création. Des échantillons de données ont été prélevés dans chaque fichier et la qualité a été comparée au document source.
Hormis la découverte de certaines inexactitudes, la qualité des données s’est avérée satisfaisante dans l’ensemble - du moins dans la mesure où les données contenues dans les fichiers reflétaient les données fournies par les États membres. Il a été noté, toutefois, que les États membres ont généralement échoué à évaluer les données correctement (contrôle de la source, de la fiabilité, etc.). L’ACC a souligné encore une fois que la coopération entre les États membres et Europol doit être améliorée afin de remédier à ce problème.
Il a été signalé également que dans certains cas il y avait une apparente disparité entre les détails figurant dans l’instruction de création d’un fichier donné et ce qui se passait réellement. Par exemple, les instructions de création ne contiennent pas toujours d’aperçu récent sur les parties contribuant au fichier et, dans certains cas, seules quelques-unes des catégories de données énumérées dans l’instruction de création étaient réellement traitées dans le fichier. L’équipe a recommandé que, lorsqu’un fichier d’analyse est resté ouvert pendant un certain temps (environ un an), Europol devrait réévaluer le fichier pour clarifier
15
la nature des contributions des États participants. L’instruction de création pourrait alors nécessiter une mise à jour pour refléter la véritable nature de la participation.
Le système d’information Europol
Quand Europol a été créé, l’une de ses priorités a été de développer un système d’information couvrant toute l’UE et contenant des renseignements sur les personnes suspectées d’implication dans des infractions relevant des compétences d’Europol. L’une des principales tâches de l’ACC devait être de contrôler ce système - le système d’information Europol - et d’évaluer sa conformité avec les dispositions en matière de protection des données.
Il est intéressant de fournir un bref compte rendu du développement du système, qui a connu de nombreuses difficultés.
Le processus de planification et de développement du système a commencé dès 1996. Des problèmes contractuels sont apparus très tôt, à cause d’exigences supplémentaires quant aux possibilités du système (par exemple, il a été décidé d’étendre le système afin d’y inclure des fonctionnalité relatives à la contrefaçon de l’euro). En conséquence, le système a connu de nombreuses versions au cours de son développement. Une version limitée du système, qui permet à Europol de se décharger de toute tâche à l’égard de l’euro, est devenue opérationnelle en 2001.
La version finale du système a connu récemment des problèmes décrits dans le rapport annuel 2003 Europol. Le rapport indique que la livraison du système d’information Europol (SIE) était prévue pour février 2003, mais que cette livraison n’a pas eu lieu en raison de la sous-estimation du nombre de problèmes qui surgiraient. Le nouveau délai de livraison de juin a été respecté mais, une fois livré, le produit s’est avéré non conforme à la norme attendue.
Lorsque la version finale du système sera opérationnelle dans les États membres (il est prévu que cela pourrait être le cas avant la fin de 2004), l’ACC a l’intention de travailler avec les autorités nationales de protection des données pour surveiller étroitement le système, en gardant son utilisation sous contrôle. De plus, une bonne partie des futures inspections sera consacrée à l’examen du système pour garantir qu’il est conforme aux dispositions pertinentes en matière de protection des données.
16
2. Quel rôle de soutien pour Europol?
Un débat est ouvert actuellement quant à savoir exactement quelle forme devrait prendre le soutien analytique apporté par Europol aux États membres. La question s’est posée à la suite d’une découverte faite par l’équipe d’inspection de l’ACC.
Les projets MSOPES
Au cours de la première inspection d’Europol en novembre 2000, l’équipe d’inspection a découvert qu’Europol fournissait un soutien analytique aux enquêtes menées par les États membres. Ces projets connus sous le nom de MSOPES, abréviation de l’anglais pour «Member States Operational Projects with Europol Support»(projets opérationnels initiés par un État membre et soutenus par Europol), impliquent la création par Europol de fichiers d’analyse, dont les États membres, plutôt qu’Europol, assument la responsabilité.
Bien qu’Europol ait pour tâche générale de prêter son assistance dans le cadre des enquêtes dans les États membres, l’article 10 de la convention Europol établit une procédure qui doit être respectée lors de la création d’un fichier d’analyse par Europol. En plus de déterminer les catégories de données à caractère personnel pouvant figurer dans de tels fichiers, cet article exige du directeur d’Europol qu’il donne à l’ACC la possibilité de commenter l’instruction de création de tout nouveau fichier d’analyse. Or les fichiers MSOPES n’ont pas été créés conformément à cette procédure. L’ACC a fait clairement savoir que la création et l’utilisation de fichiers d’analyse par Europol ne pouvaient avoir lieu que dans le cadre de l’article 10 de la convention Europol et que, par suite, la création de fichiers MSOPES était illégale. Le Conseil, tenant compte des préoccupations de l’ACC, a décidé de ne pas créer de base légale pour MSOPES, et les fichiers correspondants stockés à Europol ont été effacés.
Équipes communes d’enquête
L’ACC envisage à présent l’étendue du soutien analytique apporté par Europol dans le cadre d’une autre structure. Le traité d’Amsterdam prévoyait l’engagement de créer des «équipes communes d’enquête», qui pourraient apporter leur aide dans le cadre des enquêtes communes menées par deux ou plusieurs États membres.
Une décision-cadre du conseil2 a introduit des règles communes pour ces équipes et stipule qu’elles peuvent comprendre des agents d’instances créées en vertu du traité sur l’Union
2 Décision-cadre du conseil du 13 juin 2002 relative aux équipes communes d’enquête.
17
européenne, une définition qui inclut le personnel d’Europol. Par la suite, un protocole adopté par le conseil a fixé les détails spécifiques concernant la participation d’Europol à des équipes communes d’enquête3. Bien que les dispositions prévues par ce protocole établissent clairement la participation du personnel d’Europol «à titre d’appui», le personnel d’Europol participant à une équipe d’enquête commune serait intégré à la ligne hiérarchique de l’équipe, et les informations d’Europol seraient partagées directement via les membres de l’équipe Europol; en outre, les renseignements collectés par l’équipe seraient introduits dans les banques de données d’Europol.
L’ACC prend acte que, lorsque les États membres auront ratifié le protocole modifiant la convention Europol, Europol pourra participer à des équipes communes d’enquête et échanger des informations avec d’autres membres d’une équipe donnée. Ceci n’ajoute rien à la liste des autorités avec lesquelles Europol est actuellement habilité à échanger des informations. Toutefois, si la participation à une équipe d’enquête commune devait impliquer la création de fichiers d’analyse par Europol, une situation analogue à celle créée par les MSOPES risquerait bien de se rencontrer, notamment parce que le protocole n’introduit pas de base juridique autorisant la création de fichiers d’analyse en dehors du cadre de l’article 10.
L’ACC a cherché à savoir si Europol avait formulé une politique concernant le type d’appui qui serait offert aux équipes communes d’enquête. Plus précisément, l’ACC s’est informée sur la manière dont Europol a l’intention d’utiliser ses services analytiques.
Il s’avère qu’Europol se prépare à prendre une décision quant à la manière dont il pourrait précisément soutenir les équipes communes d’enquête lorsque le protocole aura été ratifié par tous les États membres. En attendant la ratification du protocole, Europol ne peut soutenir les équipes communes d’enquête qu’en se conformant aux actuelles dispositions prévues par la convention Europol. Europol a informé l’ACC que le soutien fourni aux équipes communes d’enquête pendant cette période transitoire sera limité à l’analyse d’informations et à la recherche de renseignements conformément aux dispositions de la convention; à l’identification des lacunes dans l’information; à la diffusion de rapports analytiques fournissant des évaluations sur les regroupements de renseignements; et à l’identification de nouveaux projets suite aux analyses effectuées.
L’ACC entend contrôler la situation afin de veiller au respect de la convention Europol. Il sera particulièrement intéressant de voir comment Europol interprétera son rôle au sein des équipes communes d’enquête lorsque la convention aura été modifiée.
3 Acte du Conseil du 28 novembre 2002 concernant un protocole modifiant la convention Europol.
18
3. Ouverture de fichiers à des fins d’analyse
Chaque fois qu’Europol veut créer un nouveau fichier d’analyse aux termes de l’article 10 de la convention Europol, une instruction de création de fichier doit être donnée. Cette instruction doit indiquer, entre autres, l’objet du fichier et les catégories de données à caractère personnel qui doivent y figurer. Ces instructions doivent être approuvées par le conseil d’administration d’Europol, qui est tenu d’envoyer l’instruction à l’ACC pour avis. L’ACC a pour politique de faire connaître son avis sur chaque «instruction de création» qu’elle reçoit.
Pendant la période couverte par le présent rapport, l’ACC a émis un avis sur neuf différentes instructions de création de fichiers d’analyse. Dans la plupart des cas, l’ACC n’a pas eu de commentaires à faire, sauf dans un cas où elle a demandé des éclaircissements sur divers points et émis un doute sur l’insertion de plusieurs catégories de données dans l’instruction de création. Europol a répondu en effaçant ces catégories de données de l’instruction.
Au moment de la rédaction de ces lignes, Europol traite dix-neuf différents fichiers d’analyse contenant des données à caractère personnel.
4. Accords avec des États/instances tiers
Si Europol a l’intention de transmettre des données à caractère personnel à un État tiers à l’UE, un accord formel doit tout d’abord être signé entre Europol et l’État concerné. Avant de conclure un tel accord, Europol est tenu d’obtenir l’avis de l’ACC.
Au cours des deux dernières années, Europol a signé des accords avec les États tiers suivants: la République slovaque, Chypre, la Lettonie, la Lituanie et Malte (qui sont devenus membres de l’UE depuis lors et ne sont plus des États tiers), ainsi que la Bulgarie et la Roumanie. Dans chaque cas, l’ACC a fait diverses remarques générales mais a conclu que, au point de vue de la protection des données, elle ne voyait pas d’inconvénient à ce qu’Europol finalise l’accord.
Eurojust
Europol a également signé un accord formel avec Eurojust, l’autorité chargée d’améliorer la coopération judiciaire dans toute l’UE. Dans son premier avis sur le projet d’accord entre Europol et Eurojust, l’ACC a noté que la décision du Conseil portant création d’Eurojust exigeait que le conseil consulte l’autorité de contrôle commune d’Eurojust avant d’approuver
19
l’accord. Comme la procédure, dans ce cas, impliquait deux autorités de contrôle communes, l’ACC d’Europol a précisé qu’il fallait prendre en compte l’avis de l’ACC d’Eurojust avant d’adopter une position finale. Étant donné que l’ACC d’Eurojust n’était pas encore opérationnelle lorsque l’ACC d’Europol a émis son premier avis (en mai 2003), ce premier avis devait être considéré comme un avis provisoire sur le projet d’accord.
Dans son avis provisoire, l’ACC a souligné que, même après la conclusion de l’accord, les membres nationaux du collège Eurojust ne seraient habilités à recevoir des données à caractère personnel d’Europol que dans le cadre de l’article 6 de la décision du Conseil portant création d’Eurojust: ils ne sont pas autorisés à recevoir des données à d’autres fins. L’avis suggérait également que l’accord soit modifié de telle sorte qu’Europol et Eurojust soient tenus de respecter toutes les conditions régissant l’utilisation de données transmises en vertu de l’accord.
Lorsque l’ACC d’Eurojust a été constituée, son président et M. Kalk (alors président de l’ACC d’Europol) se sont rencontrés pour discuter de l’accord. En décembre 2003, l’ACC d’Europol a émis un deuxième avis déclarant qu’il n’y avait plus d’obstacle à la finalisation de l’accord - à condition toutefois que les échanges de données ne commencent pas avant la mise en œuvre par Eurojust de mesures supplémentaires de sauvegarde de la sécurité des données.
• Les avis de l’ACC sur tous ces accords peuvent être consultés sur le site web de l’ACC à l’adresse: http://europoljsb.ue.eu.int.
5. Droits
La convention Europol garantit différents droits aux personnes. Aux termes de l’article 19 de la convention, toute personne a un droit d’accès à tout renseignement la concernant qu’Europol pourrait détenir. Si une donnée relative à une personne s’avère inexacte, cette personne peut demander à Europol de corriger ou de supprimer la donnée en question.
Les chiffres fournis par Europol montrent que l’Office a reçu dix demandes d’accès en 2002, six seulement en 2003, et pour 2004 Europol a reçu à ce jour dix demandes d’accès (jusqu’à septembre inclus).
Toute personne peut demander à l’ACC de garantir que ses données à caractère personnel ont été collectées, stockées, traitées et utilisées par Europol légalement et avec précision. À ce jour, l’ACC a reçu deux demandes de ce type et, après vérification, il s’est avéré qu’Europol avait agi conformément à la convention Europol dans les deux cas.
20
Partie B − Gestion de l’autorité de contrôle commune
L’autorité de contrôle commune s’est réunie neuf fois entre novembre 2002 et octobre 2004. L’ACC est composée de représentants de l’autorité nationale de protection des données de chaque État membre. Une liste des membres est disponible sur le site web de l’ACC.
L’un des défis auxquels a été confrontée l’ACC a été de se préparer à l’élargissement de l’UE. Parallèlement, l’ACC s’est engagée dans une réflexion pour examiner comment elle pourrait être plus transparente et plus accessible à ceux qu’elle sert. Ces développements sont résumés ci-dessous.
1. Préparation à l’élargissement
Lors de sa réunion de juin 2003, l’ACC a accueilli ses nouveaux collègues des pays en voie d’adhésion. Même si l’adhésion des dix pays à l’UE n’était prévue que pour 2004, des représentants des pays en voie d’adhésion ont été invités à assister à cette réunion et aux réunions à venir en tant qu’observateurs dans l’espoir que cela leur donnerait l’opportunité de se familiariser avec les travaux de l’ACC. Avant la réunion, un questionnaire a été distribué en vue de recueillir des informations sur la législation en matière de protection des données dans les pays en voie d’adhésion et sur l’étendue de l’application de cette législation à la police.
Il a été particulièrement encourageant d’apprendre que les autorités de protection des données des pays en voie d’adhésion ont consenti des efforts importants pour établir des relations de travail avec les forces de police. Les réponses au questionnaire ont révélé que les diverses autorités de protection des données avaient, entre autres, effectué des inspections des procédures de la police, procédé à des audits de sécurité, organisé des réunions pour discuter de politique, et fourni une formation à la police sur les questions de protection des données.
L’ACC a organisé une visite à Europol pour les observateurs, afin qu’ils aient un aperçu de la manière dont l’Office exécute ses diverses tâches. En octobre 2003, des délégations de cinq pays en voie d’adhésion ont passé deux jours au siège d’Europol à La Haye. Des représentants des autorités de la protection des données d’Islande et de Norvège, deux pays tiers habilités à échanger des données à caractère personnel avec Europol, étaient également présents.
Bien que les pays en voie d’adhésion soient devenus membres de l’UE en mai 2004, leurs délégations ne sont devenues membres à part entière de l’ACC que lorsque leurs pays respectifs ont adhéré à la convention Europol, remplissant ainsi toutes les conditions de
21
l’article 46. À compter du 1er octobre 2004, ces délégations, qui représentent les autorités de protection des données de Chypre, République tchèque, Hongrie, Lettonie, Lituanie et Slovaquie, sont devenues membres à part entière.
En tant que membres de l’ACC, ces nouveaux collègues auront un rôle crucial à jouer en matière de protection des droits fondamentaux dans l’UE élargie.
2. Transparence
L’ACC exerce ses fonctions au nom du public; il est donc important que l’ACC et son processus de prise de décision soient transparents.
Le règlement de l’ACC stipule que tous les documents produits par l’ACC sont confidentiels sauf si l’ACC en décide autrement. Le règlement est en cours de modification afin d’inverser ce principe, et tous les documents seront accessibles au public sauf s’il existe un motif primordial d’intérêt public de renoncer à sa publication; si, par exemple, la publication d’un document donné risque de porter gravement préjudice au travail d’Europol.
Les documents seront mis à la disposition du public soit directement en format électronique (sur le site web de l’ACC) ou sur demande écrite. Toute demande d’accès à un document sera évaluée pour vérifier s’il existe un motif de ne pas divulguer le document. Si une partie seulement d’un document fait l’objet d’une dérogation empêchant sa publication, le document sera rédigé et la version éditée fournie.
L’ACC se propose de publier tous les nouveaux avis, ainsi que les décisions du comité des recours, sur son site web à l’adresse: http://europoljsb.ue.eu.int.
22
Chapitre III
Comité des recours
Toute personne a un droit d’accès aux informations la concernant stockées par Europol. Toute personne a également le droit de demander que ces informations soient vérifiées,
corrigées ou supprimées. Si une personne essaie d’exercer l’un de ces droits et n’est pas satisfaite de la réponse d’Europol, elle peut former un recours auprès du comité des recours de l’ACC. Bien que ses membres soient issus de l’ACC, le comité des recours est indépendant et impartial, et il n’est pas lié par des instructions de l’ACC. Les décisions prises par le comité des recours sont définitives pour toutes les parties impliquées.
Même si le comité des recours n’a statué que sur deux affaires au cours des deux années écoulées, le nombre de recours formés a augmenté et plusieurs affaires sont actuellement traitées par le comité. Il est raisonnable de supposer que le nombre de recours va continuer à augmenter - le public connaissant de mieux en mieux Europol et ses droits - et par conséquent le comité des recours a veillé à rationaliser ses procédures de manière à garantir que les futurs recours soient traités dans les plus brefs délais.
Les deux affaires décrites ci-dessous ont donné lieu à des décisions sur d’importantes questions de principe.
• Dans le premier cas, le comité des recours a décidé qu’Europol doit considérer chaque demande d’accès au cas par cas plutôt que d’adopter une démarche générale.
• Dans le deuxième cas, le comité des recours a décidé qu’Europol doit répondre à toute demande d’accès dans la langue utilisée par le requérant, à condition que la langue utilisée soit une langue officielle de l’Union européenne.
1. Résumé du recours formé par M. Y
M. Y a contacté l’autorité néerlandaise de protection des données pour demander l’accès à toutes les informations qu’Europol pouvait avoir le concernant. La demande a été transmise à Europol.
Dans sa réponse, Europol concluait que:
23
«aux termes de l’article 19 de la convention Europol en combinaison avec la législation applicable aux Pays-Bas, j’ai l’honneur de vous informer qu’Europol n’a traité aucune donnée vous concernant habilitant la personne concernée à y accéder en vertu de l’article 19 de la convention Europol.»
En réponse à ceci, M. Y a formé un recours auprès du comité des recours, se plaignant du «voile de secret» entourant la décision d’Europol.
Le droit d’accès est établi par l’article 19, paragraphe 1, de la convention Europol et bien que l’étendue de ce droit ne soit pas spécifiquement définie, en vertu de l’article 14 de la convention il doit être considéré comme identique au droit tel que défini à l’article 8 de la convention de 1981 du Conseil de l’Europe sur la protection des données. Celui-ci permet à toute personne d’établir si des données à caractère personnel le concernant sont stockées et, dans ce cas, d’obtenir la communication de ces données. Le recours de M. Y englobait les deux aspects du droit d’accès.
Conformément à l’article 19, paragraphe 3, ce droit s’exerce dans le respect du droit de l’État membre auprès duquel elle le fait valoir, en l’occurrence les Pays-Bas. L’article 19, paragraphe 3, stipule également que si la législation de l’État membre prévoit une «communication relative aux données» (qui englobe à la fois la communication précisant si les données sont traitées et la communication des données qui sont traitées), Europol doit refuser une telle communication si cela est nécessaire pour permettre à Europol d’exécuter ses tâches correctement, pour protéger la sécurité et le maintien de l’ordre, prévenir la criminalité ou protéger les droits de tiers.
Les exceptions possibles au droit d’accès aux fichiers de la police aux termes du droit néerlandais sont très similaires à celles énumérées dans la convention Europol, et le comité des recours a décidé que les dispositions prévues par la convention Europol et le droit néerlandais exigent que, pour toute demande d’accès, il y ait une évaluation pour examiner s’il est nécessaire de faire une exception au plein exercice du droit d’accès. Les exceptions ne peuvent être autorisées que si les intérêts de la police ou de tiers l’emportent sur l’intérêt de la personne qui exerce son droit d’accès.
L’argument avancé par Europol pour justifier le fait de n’avoir ni confirmé, ni démenti que des informations concernant M. Y étaient stockées s’appuie sur l’article 19, paragraphe 4, de la convention Europol. Cet article stipule que si un État membre refuse la communication des données, Europol doit informer le requérant que des vérifications ont été faites sans fournir aucune information pouvant révéler s’il est connu ou non. Europol a prétendu qu’afin de respecter cette obligation, l’on ne pouvait jamais dire franchement à une personne qu’aucune donnée n’était stockée, étant donné qu’agir ainsi permettrait à d’autres personnes, en comparant les différentes réponses reçues d’Europol, de déduire qu’Europol détient des
24
informations les concernant. Ainsi, dire à M. Y qu’aucune donnée le concernant n’était stockée aboutirait indirectement, selon cet argument, au non-respect de l’obligation prévue à l’article 19, paragraphe 4.
Le comité des recours a souligné que, bien que l’article 19, paragraphe 4, exige qu’Europol prenne en compte les souhaits des différentes parties impliquées dans le traitement des données à caractère personnel considérées, les dispositions ne prévoient pas ce qui devrait se passer si aucune donnée n’est stockée. Par conséquent, le comité des recours a conclu que la procédure prévue à l’article 19, paragraphe 4, ne devait pas être considérée comme une obligation pour Europol de la même manière que l’article 19, paragraphe 3. Une demande d’accès si aucune donné n’est traitée doit toujours être évaluée au cas par cas et Europol n’est pas libre de statuer sur cette demande en se fondant uniquement sur une obligation qui existe pour les situations où des données à caractère personnel sont traitées.
Ayant examiné la réponse d’Europol à la demande d’accès de M. Y, le comité des recours a conclu que la décision d’Europol n’était pas fondée sur une évaluation individuelle et que, par conséquent, elle n’était pas conforme à l’article 19, paragraphe 3, de la convention Europol. Europol aurait dû au moins vérifier si les exceptions visées à l’article 19, paragraphe 3, de la convention Europol étaient applicable dans ce cas particulier. En l’absence d’une telle preuve, ou même de circonstances suggérant que cela pouvait être le cas, Europol n’aurait pas dû refuser la communication.
Il a été estimé que la décision d’Europol contrevenait au droit néerlandais applicable et à l’article 19, paragraphe 3, de la convention Europol. Après avoir évalué minutieusement les informations disponibles, le comité des recours a conclu que dans ce cas l’article 19, paragraphe 3, de la convention Europol ne pouvait pas justifier une exception au droit d’accès et, conformément à l’article 19 (7) de cette convention, le comité des recours a décidé qu’Europol aurait dû faire savoir clairement à M. Y qu’aucune donnée le concernant n’était en cours de traitement.
2. Résumé du recours formé par M. Z
À la suite d’une demande d’accès (via l’autorité belge de la protection des données), M. Z a reçu une réponse d’Europol contenant la conclusion suivante:
«Conformément à la procédure prévue par la convention Europol et la législation belge, j’ai l’honneur de vous informer que suite à votre demande de vérifications des fichiers d’Europol ont été effectuées. Aux termes de l’article 19 de la convention Europol en combinaison avec la législation belge, j’ai l’honneur de porter à votre connaissance qu’Europol n’a traité aucune
25
donnée vous concernant habilitant la personne concernée à y accéder en vertu de l’article 19 de la convention Europol.»
M. Z a formé un recours auprès du comité des recours, en informant subséquemment le comité que, puisqu’il avait «choisi le néerlandais comme langue officielle», il souhaitait une traduction de la décision d’Europol, qui ne lui avait été fournie qu’en anglais. Le recours de M. Z a été jugé recevable sur la base de sa plainte selon laquelle il n’avait pas reçu une réponse dans sa propre langue.
Le comité des recours a demandé à Europol pourquoi, étant donné que toute la correspondance adressée par M. Z à Europol était en néerlandais, celui-ci n’avait jamais reçu qu’une réponse en anglais.
Europol a répondu au comité qu’il était normal de répondre en anglais aux demandes au titre de l’article 19, à moins que le requérant n’ait déclaré son souhait de recevoir une réponse dans sa propre langue, auquel cas Europol essaierait de satisfaire cette demande, pour autant que cela n’implique pas un effort disproportionné. Europol n’avait pas été informé, autrement que par le comité des recours, de la volonté de M. Z de recevoir une traduction en néerlandais de la réponse à sa demande d’accès.
La convention Europol ne prévoit pas de régime linguistique spécifique pour Europol. Toutefois, conformément à l’article 14 de la convention, le droit d’accès aux informations stockées par Europol doit être considéré comme identique au droit tel que défini à l’article 8 de la convention de 1981 du Conseil de l’Europe sur la protection des données. En vertu de l’article 8 de la convention du Conseil de l’Europe, toute personne a le droit d’avoir la confirmation que des données à caractère personnel la concernant sont stockées dans des fichiers automatisés et, dans ce cas, de se voir communiquer ces données «sous une forme intelligible». Le comité des recours a considéré que la langue dans laquelle les informations étaient fournies était pertinente pour déterminer si une réponse pouvait être considérée comme intelligible.
Prenant en compte la position d’Europol en tant qu’organe de l’UE impliquant la participation active des autorités d’application de la loi de chaque État membre, le comité des recours a suggéré qu’Europol, lorsqu’il traite les demandes d’accès au titre de l’article 19 de la convention Europol, devrait appliquer une règle similaire à celle prévue à l’article 21 du traité instituant la Communauté européenne. L’article 21 stipule que si une personne écrit à certains organes de l’UE dans l’une des langues officielles de l’UE, il peut s’attendre à recevoir une réponse dans la même langue.
Le comité des recours a décidé qu’Europol n’avait pas respecté les principes de l’article 8 de la convention de 1981 du Conseil de l’Europe en répondant à la demande d’accès de M. Z:
26
Europol aurait dû communiquer sa décision dans la même langue que celle utilisée par M. Z même si ce dernier ne l’avait pas demandé spécifiquement. Comme le droit d’accès a été institué pour permettre aux personnes de s’assurer que des informations les concernant sont stockées conformément à la loi, Europol doit fournir aux requérants une réponse dans leur propre langue - lorsque celle-ci est une langue officielle de l’UE.
En conclusion, le comité prend acte du fait qu’Europol ayant subséquemment fourni à M. Z une traduction en néerlandais de la décision originale, aucune autre action ne sera nécessaire dans cette affaire. Le comité des recours reconnaît que, depuis, Europol a actualisé ses procédures et répond désormais aux demandes d’accès dans la langue utilisée par le requérant.
• Toutes les décisions du comité des recours, ainsi que des informations supplémentaires sur les droits garantis aux termes de la convention Europol, peuvent être consultées sur le site web de l’ACC à l’adresse: http://europoljsb.ue.eu.int
27
Chapitre IV
Les développements des deux dernières années
Le chapitre d’introduction du présent rapport rend compte de la manière dont l’ACC a appréhendé deux situations différentes survenues alors que l’UE était contrainte de
réfléchir à sa sécurité.
L’ACC a adopté une approche pragmatique pour traiter ces affaires. L’avis de l’ACC sur l’accord conclu entre Europol et les États-Unis, qui reconnaît la nécessité d’améliorer la coopération, a suscité des critiques de la part de certains. L’ACC maintient néanmoins son engagement de contrôler la mise en œuvre de l’accord pour garantir le respect des dispositions prévues par celui-ci.
L’ACC s’est montrée proactive en proposant une modification à la convention Europol, et cette proposition elle-même reflète l’avis de l’ACC selon lequel les dispositions en matière de protection des données prévues par la convention Europol n’ont pas pour but de gêner le travail d’Europol, mais plutôt de garantir qu’Europol respecte les droits des personnes lorsqu’il exécute ses tâches légales.
Bien que l’arrivée des nouveaux collègues des dix nouveaux États membres ait naturellement changé beaucoup de choses pour l’ACC en tant qu’organisation, l’élargissement a été un succès et l’ACC bénéficie désormais de l’expérience combinée de ses nouveaux membres.
L’ACC a poursuivi sa mission de supervision, en examinant tous les accords qu’Europol a conclus avec des États et instances tiers et en analysant à fond les instructions de création de fichiers d’analyse. L’ACC accorde une importance particulière aux inspections d’Europol, car celles-ci permettent à l’équipe d’inspection d’acquérir une expérience directe du travail d’Europol et de constater comment les procédures écrites visant à sauvegarder les droits fonctionnent réellement dans la pratique. L’ACC a trouvé que le personnel d’Europol s’est montré extrêmement coopératif lors de ces inspections, et les inspections de suivi semblent indiquer qu’Europol donne la priorité à la mise en œuvre des recommandations de l’ACC.
Pendant ces deux dernières années, l’ACC s’est efforcée d’adopter une démarche constructive, tout en veillant à l’application de sauvegardes visant à protéger les droits fondamentaux.
28
L’avenir
Europol a connu de nombreux développements au cours de ces deux dernières années et certains signes indiquent que le rôle d’Europol continuera à évoluer. La création d’équipes communes d’enquête, par exemple, laisse à penser que la nature des activités d’Europol prendra probablement un caractère de plus en plus opérationnel.
Parallèlement, des développements dans d’autres secteurs - en particulier les plans concernant un système d’information Schengen de deuxième génération - ont abouti à la suggestion qu’il serait intéressant que les systèmes d’information couvrant l’UE et ayant des buts connexes soient interopérables. Toute démarche en ce sens doit être entreprise avec prudence, notamment si l’on pense aux problèmes rencontrés au cours du développement du système d’information Europol. En outre, toute initiative de ce type doit être précédée par une évaluation d’impact sur la vie privée destinée à évaluer les implications potentielles pour les droits des personnes.
Les mesures de protection des données doivent suivre le rythme des développements, et il sera particulièrement important de garantir qu’il y a une supervision effective d’Europol, ainsi que des autres systèmes d’information couvrant l’UE. Pour sa part, l’ACC a pris des mesures pour améliorer la coopération avec d’autres autorités de protection des données afin d’essayer de surmonter les arrangements assez rigides de supervision de la protection des données au niveau de l’UE. L’ACC espère pouvoir contribuer à toute discussion sur la manière dont ces arrangements pourraient être améliorés.
La question plus vaste du contrôle parlementaire d’Europol reste ouverte. En 2002, la Commission est arrivée à la conclusion que les contrôles actuels mis en place pour superviser le travail d’Europol et exercés par les parlements nationaux, le Parlement européen, les autorités nationales de protection des données, l’ACC et le conseil d’administration d’Europol n’étaient pas «insuffisants». Elle a souligné, toutefois, que le caractère indirect et fragmentaire d’une bonne partie de ce contrôle incite à penser que «les contrôles devraient être plus clairs et transparents».4
De telles questions n’entrent pas dans les attributions de l’ACC, mais étant donné que les tâches d’Europol prennent un caractère de plus en plus opérationnel, il est clair que le contrôle et l’analyse du travail d’Europol devra être adapté pour en tenir compte.
4 Communication de la Commission au Parlement européen et au Conseil - Exercice d’un contrôle démocratique sur Europol, (COM (2002) 95 final) 26 février 2002.
29
Les objectifs pour les deux années à venir
Au cours des deux prochaines années, l’ACC s’efforcera d’atteindre les objectifs suivants:
• effectuer des inspections annuelles d’Europol, en portant une attention particulière à la mise en œuvre du système d’information Europol;
• améliorer son image auprès des institutions de l’UE pour garantir que les préoccupations en matière de protection des données sont prises en compte lors de la planification de nouvelles initiatives impliquant Europol. L’ACC entend en particulier proposer qu’il y ait des contacts réguliers avec la commission des libertés et des droits des citoyens, de la justice et des affaires intérieures du Parlement européen;
• travailler avec les nouveaux collègues des pays adhérents et les aider à informer les autorités nationales de police sur les dispositions en matière de protection des données de la convention Europol;
• travailler avec les autorités homologues et, plus largement, avec la communauté de la protection des données pour apporter une réponse cohérente et constructive aux nouvelles initiatives impliquant l’utilisation de données à caractère personnel à des fins d’application de la loi;
• améliorer la connaissance des droits attribués aux personnes par la convention Europol; et
• continuer à analyser à fond les instructions de création de nouveaux fichiers d’analyse et les accords d’échange de données à caractère personnel avec des pays et instances tiers.
30
31
32
