Accès en consultation au système d'information sur les visas (VIS) par les autorités désignées des États membres et par l'Office européen de police (Europol)

OBJECTIF : permettre aux autorités compétentes des États membres en matière de sécurité intérieure et à EUROPOL de consulter le VIS en vue de prévenir et lutter contre le terrorisme et les formes graves de criminalité.

ACTE LÉGISLATIF : Décision 2008/633/JAI du Conseil concernant l'accès en consultation au système d'information sur les visas (VIS) par les autorités désignées des États membres et par l'Office européen de police (Europol) aux fins de la prévention et de la détection des infractions terroristes et des autres infractions pénales graves, ainsi qu'aux fins des enquêtes en la matière

CONTEXTE : Dans le cadre de la mise en place progressive d'un Espace de liberté, de sécurité et de justice (ELSJ), l'Union européenne garantit la libre circulation des personnes mais aussi un niveau élevé de sécurité. Dans ce contexte, une priorité absolue a été accordée au développement et à l'établissement d’un système d'information sur les visas (VIS) en tant que système d'échange de données sur les visas entre les États membres (voir CNS/2004/0029). Toutefois, la poursuite du développement et de l'établissement du VIS, notamment dans le domaine de la sécurité intérieure, y compris la lutte contre le terrorisme, requiert la mise en place d'un cadre juridique global complétant le règlement en vigueur, et ce, dans le strict respect des règles relatives à la protection des données à caractère personnel. C’est pourquoi, le Conseil a adopté la présente décision destinée à permettre aux autorités des États membres compétentes en matière de sécurité intérieure d’accéder au VIS, dans des cas dûment spécifiés à la décision, en vue, notamment, de leur permettre de consulter des informations précieuses pouvant les aider à prévenir le terrorisme et les formes graves de criminalité.

Á noter que la présente décision complète le règlement (CE) n° 767/2008 du Parlement européen et du Conseil concernant le système d'information sur les visas (VIS) et l'échange de données entre les États membres sur les visas de court séjour (règlement VIS), dans la mesure où elle fournit une base juridique dans le cadre du titre VI du traité sur l'UE, autorisant les autorités désignées et EUROPOL à avoir accès au VIS (voir COD/2004/0287).

CONTENU : La décision fixe les conditions dans lesquelles les autorités des États membres compétentes en matière de sécurité intérieure et EUROPOL peuvent accéder au système d'information sur les visas (VIS), aux fins de la prévention et de la détection des infractions terroristes et des autres infractions pénales graves, ainsi qu'aux fins des enquêtes en la matière.

Autorités et points d'accès centraux désignés : les États membres devront désigner les autorités qui seront autorisées à consulter les données du VIS. Á cet effet, ils devront définir une liste d’ »autorités désignées » qui pourra être modifiée. Les États membres devront également désigner le ou les points d'accès centraux par lesquels l'accès au VIS s'effectuera. La liste des autorités désignées et des points d’accès devra être transmise à la Commission et au Secrétariat général du Conseil pour le 2 décembre 2008 et devra être publiée au Journal officiel de l'Union européenne.

Au niveau national, chaque État membre devra également tenir une liste des unités opérationnelles qui, au sein des autorités désignées, seront autorisées à avoir accès au VIS par l'intermédiaire du ou des points d'accès centraux. Seul le personnel dûment habilité des unités opérationnelles, ainsi que du ou des points d'accès seront autorisés à avoir accès au VIS.

Accès au VIS : la décision fixe toutes les conditions techniques de l’accès aux données du VIS :

• Procédure d’accès : pour accéder aux VIS, les unités opérationnelles autorisées devront présenter aux points d'accès centraux une demande écrite ou électronique d'accès au VIS, dûment motivée. Les points d’accès devront alors vérifier que toutes les conditions pour l’accès aux informations sont remplies et autoriser l’accès. Les informations du VIS sont communiquées de telle sorte que la sécurité des données n'est pas compromise. En cas d'urgence exceptionnelle, les points d'accès pourront également recevoir des demandes orales et les traiter immédiatement (en vérifiant a posteriori que les conditions nécessaires étaient remplies) ;
• Conditions d'accès aux données du VIS par les autorités désignées: l'accès au VIS ne sera accordé aux autorités requises que si un certain nombre de conditions sont réunies dont notamment le fait qu’il existe des motifs de penser que la consultation des données du VIS contribuera de manière significative à la prévention ou à la détection des infractions en question, ou aux enquêtes en la matière. En tout état de cause, la consultation du VIS sera limitée aux informations suivantes: nom, prénom, sexe; date, lieu et pays de naissance du titulaire ; nationalité ; type et numéro du document de voyage et dates de délivrance et d'expiration ; destination principale et durée du séjour prévu ; but du voyage ; empreintes digitales ; photographies… etc. ainsi que données relatives au refus, à l’annulation, au retrait ou à la prorogation du visa ;
• Conditions d’accès spécifiques pour les États membres auxquels le règlement VIS n’est pas applicable : dans les mêmes conditions que celles prévues ci-avant, les autorités des États membres qui n’ont pas normalement accès au VIS devront demander aux autorités désignées et aux points d’accès nationaux la possibilité d’accéder à certaines données du VIS dans des conditions précises et moyennant demande motivée ;
• Conditions d’accès spécifiques pour EUROPOL : dans les conditions déjà prévues par la décision mutatis mutandis et à condition que cet accès soit justifié dans le cadre des compétences d’EUROPOL, cet organe communautaire pourra accéder aux données du VIS, dans les limites de ses missions. Le traitement des informations obtenues par EUROPOL sera soumis à l'accord de l'État membre qui a introduit les données dans le VIS.

En tout état de cause, toute personne accédant aux données du VIS devra recevoir une formation appropriée sur les règles en matière de sécurité et de protection des données avant d'être autorisé à traiter des données stockées dans le VIS.

Protection des données : dans le souci d'assurer une juste protection des données à caractère personnel et, en particulier, d'exclure un accès systématique, le traitement de données du VIS ne devrait avoir lieu qu’au cas par cas, notamment lorsque l'accès en consultation est lié à :

• un événement particulier,
• un péril associé à une infraction grave,
• une ou à plusieurs personnes déterminées à l'égard desquelles il existe des raisons sérieuses de croire qu'elles commettront ou qu'elles ont commis une infraction terroriste ou une autre infraction pénale grave, ou qu'elles sont en relation avec une ou de telles personnes.

Pour s’assurer qu’un traitement adéquat des données est effectué, la décision prévoit que chaque État membre institue, conformément à son droit national, un organe compétent chargé de contrôler le traitement des données par les autorités désignées. Ces organes devront disposer de ressources suffisantes pour s'acquitter de leurs tâches et devront effectuer un audit sur le traitement des données tous les 4 ans.

Lien avec la décision-cadre sur la protection des données dans le cadre de la coopération policière : une fois qu'elle sera entrée en vigueur, la proposition de décision-cadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale devrait être applicable aux traitements de données à caractère personnel réalisés en vertu de la présente décision. Toutefois, dans l’attente et afin de compléter ces règles, la décision prévoit une série de dispositions destinées à assurer la protection des données. Il est ainsi prévu que chaque État membre garantisse dans son droit national un niveau de protection approprié des données correspondant au moins à celui résultant de la convention du Conseil de l'Europe du 28 janvier 1981 relative à la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et de la jurisprudence correspondante ainsi que d’autres textes juridiques liés.

Transfert des données à des tiers : la décision précise que les données du VIS ne doivent en aucune manière être transférées à des pays tiers ou des organisations internationales. Toutefois, en cas d'urgence exceptionnelle, ces données pourront être transférées exclusivement aux fins de la prévention et de la détection des infractions terroristes et des autres infractions pénales graves, et dans des conditions strictes prévues à la décision, sous réserve de l'accord de l'État membre qui a introduit les données dans le VIS. Des relevés de ces transferts seront dûment établis et mis à la disposition des autorités nationales chargées de la protection des données.

Sécurité des données : les États membres restent entièrement responsables de la sécurité des données pendant leur transmission aux autorités désignées. Ils devront prévoir des mesures de sécurité ad hoc pour sécuriser au maximum le stockage et le transfert des données (notamment, pour éviter toute copie ou modification des données ou tout traitement non autorisé). Des mesures très strictes de contrôle et d’autocontrôle par les autorités désignées sont notamment prévues.

Autres mesures techniques destinées à sécuriser et protéger les données : la décision prévoit également une série de mesures liées :

• à la conservation des données : les données extraites du VIS ne pourront être conservées que si cela est clairement nécessaire et dans des cas dûment prévus à la décision,
• au droit de rectification et d’effacement des données : une personne aura le droit de faire rectifier des données la concernant si elles sont inexactes, ou de les faire effacer si elles ont été stockées illégalement,
• aux relevés des informations transmises : toutes les opérations de traitement des données résultant de la consultation du VIS devront être enregistrées afin de pouvoir contrôler l'admissibilité de la consultation et la licéité du traitement des données, d'assurer un autocontrôle et le bon fonctionnement du système, ainsi que l'intégrité et la sécurité des données.

Responsabilité et sanctions : des dispositions sont prévues pour garantir que de toute personne ou que tout État membre ayant subi un dommage du fait d'un traitement illicite des données ou des dispositions de la décision, puisse obtenir réparation. Des mesures sont également prévues pour que toute utilisation non conforme aux dispositions de la décision soit passible de sanctions, y compris administratives et/ou pénales, effectives, proportionnées et dissuasives.

Coûts : les États membres et EUROPOL devront mettre en place et gérer leurs propres frais, l'infrastructure technique et les coûts liés à l'accès au VIS.

Suivi et évaluation : la décision fixe les modalités de suivi et d’évaluation du fonctionnement de la décision. Conformément au règlement 767/2008/CE, une instance gestionnaire devra être instituée en vue de contrôler le fonctionnement global du VIS. Il incombera à cette instance d’évaluer également les systèmes prévus en application de la présente décision en termes de résultats, de coût-efficacité, de sécurité et de qualité du service. Il est également prévu qu’après 2 ans d'activité du VIS (puis tous les 2 ans), l’instance gestionnaire soumette au Parlement européen, au Conseil et à la Commission un rapport sur le fonctionnement technique du VIS en application de la présente décision. Parallèlement, 3 ans après le début de l'activité du VIS et ensuite tous les 4 ans, la Commission soumettra un rapport d'évaluation global du VIS en application de la présente décision incluant des réflexions sur le fonctionnement futur du système.

Dispositions territoriales : la décision fixe les modalités de participation à la présente décision, de certains États membres ne participant normalement pas à la politique commune en matière de visas (Royaume-Uni et Irlande, qui seront associés à la mise en œuvre de la décision dans des conditions spécifiques) ou pour les pays associés à la mise en œuvre de l’acquis Schengen (Islande, Norvège et Suisse).

ENTRÉE EN VIGUEUR : la décision entre en vigueur le 02/09/2008. Elle prend effet à compter de la pleine entrée en vigueur du règlement (CE) n° 767/2008 sur le VIS.