Avis du Contrôleur européen de la protection des données sur la communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions sur la migration

Mercredi 8 février 2012, par webmaster // Union européenne

Journal officiel n° C 034 du 08/02/2012 p. 0018 - 0026

Avis du Contrôleur européen de la protection des données sur la communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions sur la migration

2012/C 34/02

LE CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16,

vu la Charte des droits fondamentaux de l’Union européenne, et notamment ses articles 7 et 8,

vu la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données [1],

vu le règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données, et notamment son article 41 [2],

A ADOPTÉ L’AVIS SUIVANT

I. INTRODUCTION

1. Le 4 mai 2011, la Commission a publié une communication sur la migration [3] ("la communication"). Conformément à l’article 41 du règlement (CE) no 45/2001, le CEPD adopte le présent avis de sa propre initiative.

2. Le CEPD n’a pas été consulté avant l’adoption de la communication, ce qui est regrettable dans la mesure où des observations formulées à un stade antérieur auraient permis d’aborder certains des points exposés dans le présent avis.

Objectifs et portée de la communication

3. La communication a pour objet de replacer les propositions politiques présentées récemment ou qui le seront à l’avenir dans un cadre qui tienne compte de tous les aspects de la migration à prendre en considération et d’éviter "une approche à court terme portant uniquement sur les contrôles aux frontières, sans tenir compte des questions se posant à long terme" [4]. Elle est rédigée essentiellement en réaction aux événements qui se déroulent actuellement en Afrique du Nord, notamment le conflit en Lybie.

4. En ce sens, la communication porte sur des aspects tels que l’aide humanitaire, la gestion des frontières, les visas, l’asile, la nécessité économique de l’immigration et l’intégration. Elle renvoie à un certain nombre de propositions législatives, certaines étant nouvelles, alors que d’autres ont déjà été déposées. Bon nombre de ces propositions concernent la gestion des frontières qui forme une partie importante de la communication. Certaines d’entre elles entraîneraient un traitement important de données à caractère personnel.

5. La communication n’est que la première d’une série de communications et de propositions qui seront publiées prochainement, chacune développant des aspects particuliers mentionnés dans la communication en question. Dans ce contexte, les conclusions du Conseil européen des 23 et 24 juin 2011 [5] indiquent que "ces efforts seront également intensifiés en faisant progresser rapidement les travaux concernant les "frontières intelligentes", l’objectif étant que les nouvelles technologies soient mises à profit pour relever les défis liés au contrôle des frontières. En particulier, un système d’entrée/de sortie ainsi qu’un programme d’enregistrement des voyageurs devraient être mis en place. Le Conseil européen salue l’accord intervenu en ce qui concerne l’agence pour la gestion opérationnelle des systèmes d’information à grande échelle dans l’espace de liberté, de sécurité et de justice".

Objectif de l’avis du CEPD

6. Même si les questions de protection des données ne sont pas au centre de la communication, elle mentionne néanmoins plusieurs initiatives et propositions dans le domaine de la gestion des frontières, comme le régime d’entrée/sortie et le programme d’enregistrement des voyageurs, qui auront un impact considérable sur le droit fondamental à la protection des données. Dans ce contexte, la communication souligne que les contrôles aux frontières constituent un élément essentiel de la lutte contre la criminalité et renvoie à la stratégie de sécurité intérieure présentée par la Commission en 2010 [6].

7. Bon nombre des propositions et initiatives mentionnées seront élaborées plus en détail ultérieurement ; la présente communication permet donc au CEPD de soumettre des observations sur ces initiatives de façon anticipée. Pour les initiatives qui ont déjà été déposées, comme la proposition de règlement modifiant le règlement Frontex [7], c’est l’occasion de réitérer certaines des observations les plus essentielles formulées précédemment, dans l’attente de l’adoption finale par le Conseil et le Parlement européen.

8. Le présent avis n’a pas pour objet d’analyser l’ensemble des domaines d’action couverts et des propositions mentionnées dans la communication, mais :

- d’aborder plusieurs principes et notions de la protection des données tels que la limitation des finalités, la nécessité, la proportionnalité et le "respect de la vie privée dès la conception" qui devraient être pris en considération lors de la mise en pratique de l’approche présentée dans la communication ;

- d’examiner les mesures spécifiques proposées dans la communication du point de vue de la protection des données et dispenser des conseils déjà à ce stade sur la façon de garantir le respect des droits fondamentaux, notamment le droit à la protection des données à caractère personnel.

9. À cette fin, l’avis est divisé en deux parties principales. La première partie formule des observations sur l’approche générale adoptée dans la communication et contient des considérations horizontales sur la communication telles que la nécessité d’une évaluation et les implications des droits fondamentaux pour la conception des systèmes d’information. La seconde partie contient des observations ciblées sur des propositions et des initiatives particulières [8].

II. OBSERVATIONS GÉNÉRALES

L’approche de la communication

10. Le CEPD accueille favorablement l’objectif de la communication visant à éviter "une approche à court terme portant uniquement sur les contrôles aux frontières, sans tenir compte des questions se posant à long terme" [9]. Une approche globale et efficace de la migration ne peut se résumer aux contrôles aux frontières mais doit également intégrer d’autres aspects.

11. Cette approche globale doit respecter les droits fondamentaux des migrants et des réfugiés, y compris leur droit à la protection des données. Cet aspect est d’autant plus important que ces groupes se trouvent souvent en position de vulnérabilité.

12. Dans ce contexte, la communication mentionne que l’Union poursuit un double objectif qui consiste à maintenir des niveaux élevés de sécurité tout en simplifiant les procédures de franchissement des frontières pour "les personnes qu’il convient de laisser entrer, dans le plein respect de leurs droits fondamentaux" [10]. Cette formulation pourrait donner l’impression qu’il n’est pas nécessaire de respecter les droits fondamentaux des personnes qu’il convient, pour différentes raisons, de ne pas laisser entrer. Selon le CEPD, il est manifeste que leurs droits n’incluent pas nécessairement le droit de s’installer sur le territoire de l’Union, auquel cas des réactions appropriées telles que des opérations de retour devraient être adoptées, néanmoins toujours dans le respect des droits fondamentaux.

13. Il est à noter qu’eu égard à la gestion des frontières, la communication préconise une approche solidement fondée sur l’utilisation des technologies. Elle est notamment favorable à une surveillance accrue aux frontières (voir la proposition de système européen de surveillance des frontières Eurosur) [11]. Elle envisage également d’examiner la possible mise en place de nouveaux systèmes d’information à grande échelle sur les voyageurs (un régime d’entrée/sortie et un programme d’enregistrement des voyageurs) [12]. Enfin, elle prône l’expansion des systèmes existants aux nouveaux utilisateurs (pour Eurodac) [13]. Cet accent sur les technologies met en évidence une tendance générale qui s’est confirmée ces dernières années.

Évaluation des instruments existants avant d’en proposer de nouveaux, et critère de nécessité

14. Le CEPD a maintes fois insisté sur le fait que les instruments existants devraient être évalués avant d’en proposer de nouveaux [14]. Dans ce contexte, à la lumière de la jurisprudence de la Cour européenne des droits de l’homme [15] et de la Cour de justice de l’Union européenne [16], le CEPD rappelle que les atteintes au droit au respect de la vie privée doivent être "nécessaires dans une société démocratique" et respecter le principe de la proportionnalité. La notion de nécessité implique une charge de la preuve plus stricte et ne se résume pas simplement à être "utile" [17]. Toutes les propositions pertinentes doivent donc être accompagnées d’une preuve claire de leur nécessité et de leur proportionnalité.

15. Une telle preuve doit être apportée par une analyse d’impact sur la vie privée [18], basée sur des éléments de preuve suffisants [19]. Une utilisation sélective de statistiques et d’estimations ne suffit pas. Le CEPD est conscient du fait qu’il est difficile de recueillir des informations fiables sur des phénomènes tels que la migration irrégulière ; cependant, ces analyses d’impact devraient également envisager d’autres solutions aux problèmes rencontrés afin de limiter autant que possible l’impact sur les droits fondamentaux [20]. Le simple fait que des solutions technologiques soient réalisables ne signifie pas qu’elles sont nécessaires et proportionnées.

16. Si une analyse conclut que de nouveaux systèmes d’information à grande échelle sont nécessaires, le concept de "respect de la vie privée dès la conception" devrait être pris en considération lors de leur conception. Les responsables du traitement devraient être en mesure de démontrer que des mesures appropriées ont été prises pour garantir le respect des exigences relatives au respect de la vie privée lors de la conception de leurs systèmes. Ainsi, l’impact négatif de nouvelles mesures sur le respect de la vie privée pourrait être limité (ou l’impact positif augmenté). Cette approche a été approuvée par la Commission [21]. La mise en œuvre du concept de "respect de la vie privée dès la conception" dans le contexte de systèmes tels que le régime d’entrée/sortie mentionné dans la communication, se traduirait par une limitation de la collecte de données à caractère personnel au minimum nécessaire, des durées de conservation et permettrait un traitement respectueux de la vie privée et transparent pour les personnes concernées.

17. En outre, le principe de limitation de la finalité doit également être respecté. Le "détournement de fonction" doit être évité. Par exemple, la communication prévoit la réintroduction de l’initiative visant à donner aux autorités répressives un accès à Eurodac [22], qui semble confirmer une tendance à accorder un accès aux systèmes européens à grande échelle à des fins de répression et soulève la question de l’extension de la finalité originale du système. Le fait d’accorder à d’autres autorités un accès aux bases de données est une question qui pourrait avoir un impact considérable : une base de données considérée comme proportionnée lorsqu’elle est utilisée pour une finalité particulière peut devenir disproportionnée lorsque l’utilisation est étendue à d’autres finalités par la suite [23].

18. Par conséquent, le CEPD demande que toute proposition (actuelle et nouvelle) comprenant des limitations du droit fondamental à la protection des données soit accompagnée d’une preuve claire de leur nécessité [24]. En outre, lorsque des systèmes d’information à grande échelle sont réputés nécessaires, ils devraient être conçus en tenant dûment compte du principe de "respect de la vie privée dès la conception". De surcroît, les mesures mises en œuvre devraient être régulièrement évaluées pour établir si elles sont toujours nécessaires.

III. OBSERVATIONS PARTICULIÈRES

Eurodac

19. La communication mentionne l’accès par les autorités répressives à Eurodac, en affirmant que ce dernier, tout en continuant à soutenir l’efficacité du règlement de Dublin, devrait "répondre également aux autres besoins des autorités répressives" [25].

20. La proposition de réforme du règlement Eurodac [26] présentée en décembre 2008 ne contenait aucune disposition autorisant l’accès des autorités répressives. Ces dispositions étaient incluses dans une proposition présentée par la Commission en septembre 2009 [27]. En octobre 2010, la Commission a adopté une proposition modifiée [28], similaire à la proposition initiale, mais qui n’incluait plus de dispositions prévoyant l’accès à des fins répressives.

21. Dans son avis du 15 décembre 2010 sur Eurodac, le CEPD s’est félicité que l’accès à des fins répressives ne soit pas mentionné [29], rappelant qu’une telle utilisation pour une finalité différente doit être basée sur des éléments de preuve substantiels d’un lien entre les demandeurs d’asile et le terrorisme et/ou un crime grave. En outre, la situation précaire des demandeurs d’asile doit être prise en considération lorsqu’il s’agit d’analyser la nécessité et la proportionnalité d’un tel accès.

22. La réforme du règlement Eurodac fait partie de la création d’un système d’asile européen qui, selon le programme de Stockholm, devrait être mis en place d’ici à 2012 [30]. Dans sa proposition présentée en octobre 2010, la Commission a estimé qu’il convenait de retirer les dispositions controversées faisant référence à l’accès à des fins répressives notamment afin de permettre l’adoption plus rapide du paquet asile [31]. Ceci est également lié à la création de l’agence pour la gestion opérationnelle des systèmes d’information à grande échelle dans le domaine de la liberté, de la sécurité et de la justice [32].

23. Dans ce contexte et à la lumière des observations précédentes, le CEPD est d’avis que jusqu’à présent des éléments de preuves suffisamment clairs et fiables de la nécessité de la réintroduction de l’accès à Eurodac à des fins répressives n’ont pas été produits. Ce n’est qu’après une nouvelle analyse d’impact tenant compte des préoccupations en matière de respect de la vie privée qu’une telle réintroduction pourrait être envisagée. En outre, le fait d’inclure l’accès des autorités répressives nécessiterait d’apporter des modifications considérables à la base de données Eurodac afin d’intégrer cet accès en toute sécurité. Les implications techniques et financières de cette réintroduction devraient également être examinées dans une nouvelle analyse d’impact [33].

24. De plus, la réintroduction de la proposition pourrait avoir un impact considérable sur le calendrier d’adoption du paquet asile dans l’ensemble. La Commission ne mentionne aucune date à laquelle une éventuelle nouvelle proposition devrait être présentée ; elle n’indique pas non plus si une telle proposition serait accompagnée d’une nouvelle analyse d’impact.

Régime d’entrée/sortie

25. La Commission annonce également qu’elle publiera une communication sur les frontières intelligentes en septembre 2011. Cette communication est censée développer des initiatives pour un régime d’entrée/sortie et un programme d’enregistrement des voyageurs. La Commission admet que ces projets nécessiteraient des "investissements importants" pour assurer "un degré élevé de protection des données à caractère personnel" [34].

26. En ce qui concerne le régime d’entrée/sortie, la Commission justifie cette initiative en affirmant que "le dépassement de la durée de séjour autorisée" constitue "la principale source d’immigration irrégulière dans l’UE" [35]. Ce point mis à part, la communication ne donne aucune explication quant à la finalité de ce système.

27. La réduction du nombre de "personnes dépassant la durée de séjour autorisée" peut certainement avoir des effets positifs. Le CEPD comprend qu’un régime d’entrée/sortie pourrait dissuader les ressortissants de pays tiers de dépasser la durée de séjour autorisée s’ils savent qu’ils risquent d’être identifiés automatiquement une fois leur visa expiré. Cependant, plusieurs questions demeurent.

28. Pour l’instant, il n’existe aucune politique cohérente concernant le phénomène du dépassement de la durée de séjour autorisée dans les États membres. Le concept de "dépassement de la durée de séjour autorisée" en général n’est pas bien défini ; pour bien comprendre la question [36], une définition commune du terme serait une première étape nécessaire.

29. De surcroît, tous les chiffres jusqu’à présent disponibles sont des estimations [37]. Il conviendrait en premier lieu de préciser l’ampleur du problème pour procéder à une évaluation motivée de la nécessité.

30. Les alertes visées à l’article 96 de la convention d’application de l’accord de Schengen sont une mesure existante pour empêcher certaines personnes d’entrer sur le territoire de Schengen. Ces alertes peuvent être utilisées pour empêcher les "personnes ayant dépassé la durée de séjour autorisée" d’entrer à nouveau sur le territoire [38]. Dans une communication récente, la Commission a demandé aux États membres d’utiliser cette possibilité dans toute la mesure du possible [39]. Cela sous-entend que la mesure n’est actuellement pas utilisée dans toute sa mesure.

31. Le régime d’entrée/sortie aurait également probablement recours à la biométrie. Alors que le CEPD reconnaît que l’utilisation de la biométrie peut présenter des avantages potentiels, il est également tenu de dénoncer ses faiblesses. Tout recours à la biométrie doit être accompagné de garanties strictes et devrait tenir compte du risque d’erreur [40]. Dans ce contexte, le CEPD encourage la mise en place d’un ensemble de critères minimaux concernant l’utilisation de la biométrie comme la fiabilité de la biométrie, une analyse d’impact ciblée sur la biométrie, l’exactitude et une procédure de secours [41]. En outre, les empreintes digitales d’une certaine partie de la population concernée ne pourraient pas être lues par un tel système [42]. Si le régime d’entrée/sortie doit comprendre l’utilisation de la biométrie, il devra prévoir des procédures de secours pour ces voyageurs [43].

32. Le CEPD tient également à attirer l’attention sur les expériences qui ont été réalisées avec US-VISIT (United States Visitor and Immigrant Status Indicator Technology), un système similaire aux États-Unis. En vertu de ce système, la plupart des ressortissants de pays tiers sont tenus de fournir des données biométriques dès leur entrée sur le territoire américain. La partie "sortie" de ce système est toujours en cours de développement. En 2009, deux essais pilotes sur la collecte de données biométriques pour cette partie du système ont été menés [44]. Le ministère de la sécurité intérieure a reconnu que les résultats de ces essais étaient "surévalués en raison des limitations du système concernant des cas où les enregistrements ADIS ne faisaient pas apparaître un statut voyageur à jour en raison de changements récents ou d’extensions de statut" [45]. Les essais permettaient également de contrôler les passagers et de procéder à un recoupement avec les listes de personnes à contrôler ; cependant, "aucun des […] résultats n’aurait empêché un départ" [46]. Au total, le ministère de la sécurité intérieure a dépensé environ 1,3 milliard de USD pour développer la composante entrée d’US-VISIT [47]. Ce système soulève la question de savoir si un système entrée-sortie est une mesure rentable pour réduire le "dépassement de la durée de séjour autorisée".

33. En bref, ni la finalité d’un tel système ni la façon dont il serait interprété et mis en œuvre ne sont suffisamment claires. En ce qui concerne la nécessité d’agir, le terme central de "dépassement de la durée de séjour autorisée" n’est pas clairement défini ; en outre, il n’existe aucune statistique fiable sur l’ampleur du problème. Quant aux mesures à prendre, les instruments actuellement en place pour empêcher les "personnes ayant dépassé la durée de séjour autorisée" d’entrer à nouveau sur le territoire ne sont probablement pas utilisés dans une mesure suffisante ; par ailleurs, la composante biométrie du régime d’entrée/sortie soulève des questions. S’agissant de la faisabilité et du coût de ce système, l’expérience des États-Unis laisse à penser qu’un régime d’entrée/sortie sera coûteux à mettre en œuvre. Ces points jettent des doutes sur la nécessité et la rentabilité d’un régime d’entrée/sortie.

Programme d’enregistrement des voyageurs

34. La communication mentionne également l’introduction d’un programme d’enregistrement des voyageurs. On ne sait pas précisément quelle serait la valeur ajoutée de ce système, comparé par exemple à l’utilisation de visas à entrées multiples de longue durée. Les groupes visés seraient les mêmes (voyageurs fréquents). Le fait qu’il existe toujours des "réticences" [48] à délivrer ces visas ne peut être une raison en soi pour proposer de nouvelles mesures à la place, lorsque celles qui sont actuellement en place, si elles sont pleinement utilisées, permettraient d’atteindre les mêmes objectifs. Compte tenu de ce qui précède, le CEPD n’est pas totalement convaincu que le système est réellement nécessaire.

35. En outre, la communication mentionne le concept de voyageurs "de bonne foi" (page 11), se rapportant essentiellement au programme d’enregistrement des voyageurs. Implicitement, ce libellé pourrait être interprété comme créant une catégorie de voyageurs "de mauvaise foi". Seuls les voyageurs prenant des mesures supplémentaires, s’inscrivant au programme d’enregistrement des voyageurs et fournissant des informations personnelles supplémentaires, seraient considérés comme étant "de bonne foi". Le postulat de départ ne serait plus que les voyageurs en général doivent être considérés comme entrant dans l’Union en toute bonne foi, à moins que des éléments de preuve spécifiques n’entraînent une suspicion, mais qu’il appartiendrait aux voyageurs de se disculper en fournissant des informations supplémentaires les concernant, même en l’absence de tout élément de preuve. Ainsi, en ne déclarant que certains voyageurs "de bonne foi", ceux qui refusent de fournir des informations supplémentaires seront de facto considérés comme étant "de mauvaise foi" même si un tel refus de fournir ces informations supplémentaires peut être fondé sur des raisons légitimes, par ex. ne pas être un voyageur fréquent [49].

Frontex et coopération entre les agences

36. La communication recommande une "coopération étroite entre les agences" (Europol, Frontex, autorités douanières et policières nationales), qui est réputée "essentielle", tout particulièrement entre les autorités de surveillance des frontières et les autorités douanières [50]. Cette coopération sera soutenue par des propositions suggérant des bonnes pratiques qui seront présentées en 2012. La Commission annonce également qu’elle présentera une proposition législative dans le courant de l’année 2011 afin de permettre aux autorités des États membres effectuant des opérations de surveillance aux frontières de "partager les informations opérationnelles et de collaborer les unes avec les autres ainsi qu’avec Frontex" [51]. Enfin, la proposition de mise à jour du cadre juridique de Frontex de manière à "renforcer la capacité opérationnelle de cette dernière" est actuellement négociée au Conseil et au Parlement européen [52].

37. En vue de garantir une harmonie et de créer une valeur ajoutée du point de vue de la protection des données, les dispositions respectives des bases juridiques pour conclure d’éventuels accords de coopération et échanger des données à caractère personnel entre Frontex et les agences avec lesquelles elle coopère devraient être cohérentes et harmonisées pour garantir une totale coopération entre les organes s’agissant des règles de protection des données.

38. Le CEPD rappelle en outre les points soulevés dans son avis sur la proposition de réforme du règlement Frontex [53], plus particulièrement la nécessité d’une base juridique claire pour le traitement de données à caractère personnel. Si Frontex reçoit un mandat pour échanger des données à caractère personnel, celui-ci devrait inclure des dispositions claires sur les droits des personnes concernées, ainsi que d’autres garanties. Toute disposition autorisant Frontex à traiter et/ou échanger des données à caractère personnel devrait être précise et clairement délimitée.

Eurosur

39. La Commission annonce également qu’elle présentera en décembre 2011 une proposition législative définissant l’objectif, le champ d’application et le cadre technique et opérationnel du système européen de surveillance des frontières (Eurosur) [54]. Cette proposition est censée garantir "un usage plus large des technologies modernes aux frontières terrestres et maritimes" [55] ainsi que l’échange d’informations opérationnelles se rapportant à des incidents [56]. Elle est également liée à Frontex, étant donné que la Commission prévoit de présenter une autre proposition afin de permettre aux autorités des États membres effectuant des opérations de surveillance aux frontières de partager les informations opérationnelles entre elles et avec Frontex [57].

40. On ne sait pas exactement si elle comprendrait le traitement de données à caractère personnel et dans quelle mesure [58]. Le CEPD encourage la Commission à préciser ces points dans les futures propositions.

Système européen de garde-frontières

41. Selon la communication, il convient d’envisager la faisabilité de créer un système européen de garde-frontières. Le texte n’indique pas clairement à quoi ce système pourrait ressembler. Selon le texte, ce système ne supposerait pas "nécessairement" [59] la mise en place d’une administration centralisée, ce qui laisse toujours la possibilité qu’une telle administration soit créée. Faute d’administration centralisée, la Commission suggère notamment la création de "capacités partagées" avec l’appui d’une "coopération pratique" [60].

42. On ne sait pas exactement si ce système est censé aspirer à une meilleure mise en œuvre des mesures existantes ou s’il fait allusion à de nouvelles propositions qui n’ont pas encore été annoncées. Étant donné que la "coopération pratique" inclurait vraisemblablement l’échange de données à caractère personnel, qui devrait nécessairement reposer sur une base juridique, ce point devrait être précisé dans de futures propositions si le projet devait se poursuivre.

IV. CONCLUSION ET RECOMMANDATIONS

43. Conformément à la jurisprudence constante de la Cour de justice de l’Union européenne et de la Cour européenne des droits de l’homme, le CEPD rappelle l’obligation de nécessité et de proportionnalité pour toutes les propositions (actuelles et nouvelles) qui portent atteinte aux droits fondamentaux, au respect de la vie privée et à la protection des données. Pour chaque proposition, la nécessité devrait être démontrée par une analyse d’impact sur le respect de la vie privée.

44. Le principe de "respect de la vie privée dès la conception" et le principe de limitation de la finalité doivent être respectés lors de la proposition et de la conception de nouveaux systèmes d’information à grande échelle.

45. Le CEPD demande que toute utilisation de la biométrie soit accompagnée de garanties strictes et de procédures de secours pour les personnes qui ne peuvent pas s’inscrire. En des termes plus généraux, des conditions minimales pour l’utilisation de données biométriques devraient être établies.

46. En outre, le CEPD recommande vivement à la Commission de préciser le champ d’application et le contenu des propositions mentionnées dans le présent avis. Cette recommandation s’applique aux propositions législatives annoncées concernant le régime d’entrée/sortie, le programme d’enregistrement des voyageurs, Eurosur, Frontex et la coopération entre les agences, ainsi qu’à la communication sur les frontières intelligentes et à l’étude sur un système européen de garde-frontières.

47. Il invite également la Commission à ne pas réintroduire la proposition sur l’accès à Eurodac à des fins répressives, à moins qu’une nouvelle analyse d’impact ne démontre clairement la nécessité de la proposition, y compris les implications techniques et financières pour le système.

48. Le CEPD suivra de près ces développements et soumettra des observations supplémentaires le cas échéant. Il se tient à disposition pour d’autres consultations, dans un esprit de bonne coopération.

Fait à Bruxelles, le 7 juillet 2011.

Peter Hustinx

Contrôleur européen de la protection des données

[1] JO L 281 du 23.11.1995, p. 31.

[2] JO L 8 du 12.1.2001, p. 1.

[3] COM(2011) 248 final.

[4] Communication, p. 3.

[5] Conclusions du Conseil européen des 23 et 24 juin 2011, EUCO 23/11.

[6] Communication de la Commission sur la stratégie de sécurité intérieure de l’UE en action : cinq étapes vers une Europe plus sûre, COM(2010) 673.

[7] Proposition de règlement modifiant le règlement (CE) no 2007/2004 du Conseil portant création d’une Agence européenne pour la gestion de la coopération opérationnelle aux frontières extérieures des États membres de l’Union européenne (Frontex), COM(2010) 61.

[8] Le présent avis reprendra et complètera surtout l’avis du CEPD du 17 décembre 2010 sur la communication "Stratégie de sécurité intérieure en action" ("avis du CEPD du 17 décembre 2010") (JO C 101 du 1.4.2011, p. 6) ; l’avis du CEPD du 15 décembre 2010 sur la proposition modifiée de règlement du Parlement européen et du Conseil relatif à la création du système "Eurodac" ("avis du CEPD du 15 décembre 2010") (JO C 101 du 1.4.2011, p. 14) ; l’avis du CEPD du 30 septembre 2010 sur la communication "Présentation générale de la gestion de l’information dans l’espace de liberté, de sécurité et de justice" ("avis du CEPD du 30 septembre 2010") (JO C 355 du 29.12.2010, p. 16) ; et les observations préliminaires du CEPD du 3 mars 2008 sur le paquet frontières ("observations préliminaires du CEPD du 3 mars 2008"), disponibles sur le site web du CEPD.

[9] Communication, p. 3.

[10] Communication, p. 7.

[11] Communication, p. 7 et 8. Voir également les points 42 à 44 du présent avis.

[12] Communication, p. 10.

[13] Communication, p. 14.

[14] Voir l’avis du CEPD du 30 septembre 2010, précité ; voir également les observations préliminaires du CEPD sur le paquet frontières, précitées. À cet égard, le CEPD salue les travaux réalisés par l’équipe de cartographie du projet d’information dans le cadre des travaux sur le modèle européen d’échange d’informations. Cependant, le champ d’application de cet exercice devrait être étendu et les futurs travaux dans ce domaine doivent être placés dans une perspective plus large.

[15] Voir par exemple les arrêts de la Cour européenne des droits de l’homme, S. et Marper/Royaume-Uni, requêtes no 30562/04 et 30566/04, publiés au Recueil des arrêts et décisions.

[16] Par exemple arrêts de la Cour de justice de l’Union du 9 novembre 2010 dans les affaires jointes C-92/09 et C-93/09, Volker und Markus Schecke et Hartmut Eifert/Land Hessen, non encore publiés au Recueil ("Schecke").

[17] Nombreux arrêts depuis la jurisprudence de la Cour européenne des droits de l’homme, Handyside/Royaume-Uni, requête no 5493/72, série A, numéro 24, point 48.

[18] Soit sous la forme d’une analyse d’impact distincte sur la vie privée et la protection des données, soit à intégrer dans l’analyse d’impact générale. Les orientations actuelles sur les analyses d’impact [Lignes directrices de la Commission européenne concernant l’analyse d’impact, SEC(2009) 92] ne prévoient pas d’analyse d’impact distincte pour mesurer l’impact sur les droits fondamentaux tels que la protection des données ; ces aspects doivent être intégrés dans l’analyse d’impact générale. Dans l’intervalle, suite à la communication de la Commission sur la stratégie pour la mise en œuvre effective de la Charte des droits fondamentaux par l’Union européenne [COM(2010) 573], des orientations supplémentaires ont été préparées sous la forme d’un document de travail des services de la Commission concernant des orientations opérationnelles sur la prise en compte des droits fondamentaux dans les analyses d’impact de la Commission [SEC(2011) 567].

[19] Voir à cet égard également l’avis du CEPD du 25 mars 2011 sur la proposition de directive du Parlement européen et du Conseil relative à l’utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière ("avis du CEPD du 25 mars 2011"), non encore publié au JO, plus particulièrement le point 25.

[20] Sur la nécessité d’envisager d’autres solutions, voir également l’arrêt de la Cour de justice dans Schecke, précité.

[21] Communication de la Commission sur une approche globale de la protection des données à caractère personnel dans l’Union européenne, COM(2010) 609, p. 12. Voir également l’avis du CEPD du 14 janvier 2011 sur la communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions — "Une approche globale de la protection des données à caractère personnel dans l’Union européenne" (JO C 181 du 22.6.2011, p. 1), points 108 à 115.

[22] Communication, p. 14.

[23] Voir les observations préliminaires du CEPD sur le paquet frontières, précitées, p. 3.

[24] Voir également l’avis du CEPD du 31 mai 2011 sur le rapport d’évaluation de la Commission au Conseil et au Parlement européen concernant la directive sur la conservation des données (directive 2006/24/CE), non encore publié au JO, ainsi que l’avis du CEPD du 25 mars 2011.

[25] Communication, p. 14.

[26] Proposition de règlement concernant la création du système "Eurodac" pour la comparaison des empreintes digitales aux fins de l’application efficace du règlement (CE) no (…/…) (établissant les critères et mécanismes de détermination de l’État membre responsable de l’examen d’une demande de protection internationale présentée dans l’un des États membres par un ressortissant de pays tiers ou un apatride) (refonte), COM(2008) 825.

[27] Proposition modifiée de règlement du Parlement européen et du Conseil concernant la création du système "Eurodac" pour la comparaison des empreintes digitales aux fins de l’application efficace du règlement (CE) no (…/…) (établissant les critères et mécanismes de détermination de l’État membre responsable de l’examen d’une demande de protection internationale présentée dans l’un des États membres par un ressortissant de pays tiers ou un apatride) (refonte), COM(2009) 342. Le CEPD a publié un avis sur cette proposition, voir l’avis du CEPD du 7 octobre 2009 sur la proposition modifiée de règlement du Parlement européen et du Conseil concernant la création du système "Eurodac" pour la comparaison des empreintes digitales aux fins de l’application efficace du règlement (CE) no (…/…) (établissant les critères et mécanismes de détermination de l’État membre responsable de l’examen d’une demande de protection internationale présentée dans l’un des États membres par un ressortissant de pays tiers ou un apatride), et sur la proposition de décision du Conseil relative aux demandes de comparaison avec les données Eurodac présentées par les services répressifs des États membres et Europol à des fins répressives ("Avis du CEPD du 7 octobre 2009") (JO C 92 du 10.4.2010, p. 1).

[28] Proposition modifiée de règlement concernant la création du système "Eurodac" pour la comparaison des empreintes digitales aux fins de l’application efficace du règlement (CE) no (…/…) (établissant les critères et mécanismes de détermination de l’État membre responsable de l’examen d’une demande de protection internationale présentée dans l’un des États membres par un ressortissant de pays tiers ou un apatride) (refonte), COM(2010) 555 ["COM(2010) 555"]. Le CEPD a publié un avis sur cette proposition, voir l’avis du CEPD du 15 décembre 2010, précité, plus particulièrement les points 18 à 22, 28 à 33 et 51 à 57.

[29] Avis du CEPD du 15 décembre 2010, notamment les points 12 à 17.

[30] Conseil européen : le programme de Stockholm — une Europe ouverte et sûre qui sert et protège les citoyens, p. 5, (JO C 115 du 4.5.2010, p. 1).

[31] COM(2010) 555, précitée, p. 3.

[32] ibid.

[33] La proposition d’octobre 2010 n’était accompagnée d’aucune analyse d’impact. La Commission s’est contentée de renvoyer à l’analyse d’impact réalisée pour la proposition de 2009, voir le document de travail des services de la Commission accompagnant la proposition modifiée de règlement du Parlement européen et du Conseil concernant la création du système Eurodac pour la comparaison des empreintes digitales aux fins de l’application efficace du règlement (CE) no (…/…) (établissant les critères et mécanismes de détermination de l’État membre responsable de l’examen d’une demande de protection internationale présentée dans l’un des États membres par un ressortissant de pays tiers ou un apatride) (refonte) et la proposition de décision du Conseil relative aux demandes de comparaison avec les données Eurodac présentées par les services répressifs des États membres et Europol à des fins répressives — Résumé de l’analyse d’impact, SEC(2009) 936. Voir également COM(2010) 555, précitée, p. 3.

[34] Communication, p. 10.

[35] Communication, p. 10.

[36] Il conviendrait également de préciser quelles exceptions — par exemple pour des raisons médicales ou humanitaires — s’appliqueraient.

[37] Voir l’avis du CEPD du 30 septembre 2010, précité, points 52 à 56.

[38] Voir les observations préliminaires du CEPD du 3 mars 2008, précitées, p. 4.

[39] Communication de la Commission : rapport annuel sur l’immigration et asile, COM(2011) 291, p. 9.

[40] Voir par ex. l’avis du CEPD du 16 octobre 2006 sur la proposition modifiée de règlement du Conseil modifiant le règlement (CE) no 1030/2002, établissant un modèle uniforme de titre de séjour pour les ressortissants de pays tiers (JO C 320 du 28.12.2006, p. 21) ; voir également l’avis no 3/2007 du groupe de travail "Article 29" sur la protection des données sur la proposition de règlement du Parlement européen et du Conseil modifiant les instructions consulaires communes adressées aux représentations diplomatiques et consulaires de carrière, en liaison avec l’introduction d’éléments d’identification biométriques et de dispositions relatives à l’organisation de la réception et du traitement des demandes de visa [COM(2006) 269 final], WP134 du 1er mars 2007.

[41] Voir par ex. l’avis du CEPD du 19 octobre 2005 sur la proposition de décision du Conseil sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen de deuxième génération (SIS II), la proposition de règlement du Parlement européen et du Conseil sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen de deuxième génération (…) (JO C 91 du 19.4.2006, p. 38) ; et "Vers une protection des données plus complète en Europe intégrant la biométrie — La perspective européenne", 12e conférence — Biometrics Institute Australie, Sydney, 26 mai 2011 :http://www.edps.europa.eu/EDPSWEB/w...

[42] Notamment en raison de maladies, de handicaps, de blessures et de brûlures. Il est également possible que les empreintes digitales des personnes travaillant dans l’agriculture et le bâtiment soient, dans un nombre de cas non négligeable, endommagées au point qu’elles deviennent illisibles. Voir également l’avis du CEPD du 15 décembre 2010, précité, point 19.

[43] Pour des observations similaires dans le contexte d’Eurodac, voir l’avis du CEPD du 15 décembre 2010, points 18 à 25.

[44] Dans un des aéroports choisis pour mener les essais, des dépenses de personnel de 393410 USD ont été engagées pour 35 jours d’essais, conduisant à 90 cas de suspicion de "dépassement de la durée de séjour autorisée". Lors d’un second essai réalisé en parallèle, 44 suspicions ont été établies, pour un coût de 77501 USD. Ces chiffres ne tiennent pas compte des coûts de développement. Pour une analyse de ces essais, voir : United States Government Accountability Office : US-VISIT Pilot Evaluations Offer Limited Understanding of Air Exit Options, août 2010, GAO-10-860, disponible à l’adresse : http://www.gao.gov/new.items/d10860.pdf ("GAO des États-Unis : évaluations pilotes du système US-VISIT").

[45] Reproduit dans "GAO des États-Unis : évaluations pilotes de US-VISIT", p. 72.

[46] GAO des États-Unis : évaluations pilotes de US-VISIT, p. 72.

[47] Voir les observations préliminaires du CEPD du 3 mars 2008, précitées, p. 4.

[48] Communication, p. 11.

[49] Voir également les observations préliminaires du CEPD du 3 mars 2008, précitées.

[50] Communication, p. 10.

[51] Communication, p. 8.

[52] Communication, p. 8.

[53] Avis du CEPD du 17 mai 2010 sur la proposition de règlement du Parlement européen et du Conseil modifiant le règlement (CE) no 2007/2004 du Conseil portant création d’une Agence européenne pour la gestion de la coopération opérationnelle aux frontières extérieures des États membres de l’Union européenne (Frontex), non encore publié au JO ; voir également l’avis du CEPD du 17 décembre 2010, précité, points 48 à 51.

[54] Communication, p. 18.

[55] Communication, p. 7.

[56] Communication, p. 8.

[57] Communication, p. 8.

[58] Voir également l’avis du CEPD du 17 décembre 2010, précité, points 46 et 47, dans lequel il a déjà abordé ce point. Cet avis aborde également la question jusqu’à présent non résolue de la nature des liens envisagés entre Frontex et Eurosur.

[59] Communication, p. 7.

[60] Communication, p. 7.


P.-S.

© Union européenne, http://eur-lex.europa.eu

Seule fait foi la version imprimée de la législation européenne telle que publiée dans les éditions papier du Journal officiel de l’Union européenne.