Avis du Contrôleur européen de la protection des données sur la proposition de règlement du Parlement européen et du Conseil modifiant le règlement (CE) n° 2007/2004 du Conseil portant création de l’Agence FRONTEX
Le CEPD indique qu’il se félicite d’avoir été consulté de manière informelle par la Commission avant l’adoption de la proposition. Il a publié ses observations informelles le 8 février 2010, lesquelles ont permis d’apporter un certain nombre de modifications à la version finale de la proposition adoptée par la Commission. Puis, le 2 mars 2010, la proposition telle qu’adoptée par la Commission a été envoyée au CEPD pour consultation formelle, conformément au règlement n° 45/2001. Le CEPD indique également qu’il a publié un avis sur une notification en vue d’un contrôle préalable reçue du délégué à la protection des données de l’Agence FRONTEX concernant «la collecte de noms et de certaines autres informations utiles au sujet de rapatriés pour des opérations de retour conjointes». Les conclusions de cet avis ont été utilisées comme base pour formuler certaines des observations et conclusions présentées dans le présent avis.
Relevant que l’objectif de la proposition était de permettre à FRONTEX de s’acquitter plus efficacement de ses tâches et responsabilités actuelles, le CEPD indique qu’il est frappant de constater que la proposition n’évoque le traitement de données à caractère personnel par FRONTEX qu’à la dernière phrase de l’article 11 de la proposition. Il est donc d’avis que la proposition examine clairement -dans la mesure où cela est nécessaire et approprié- la question de la portée des activités qui pourraient donner lieu au traitement de données à caractère personnel par FRONTEX.
Pour le Contrôleur européen des données, une base juridique spécifique examinant la question du traitement des données à caractère personnel par FRONTEX et permettant de clarifier les circonstances dans lesquelles le traitement par FRONTEX pourrait avoir lieu, sous réserve de garanties solides de protection des données et conformément aux principes de proportionnalité et de nécessité, s’impose. Ce n’est que lorsqu’il est jugé nécessaire à des fins clairement établies et licites (notamment les opérations de retour conjointes) qu’un tel traitement doit être autorisé.
La base juridique devrait en outre préciser les garanties, limitations et conditions nécessaires et appropriées dans lesquelles un tel traitement de données à caractère personnel aurait lieu, conformément à l’article 8 de la convention européenne des droits de l’homme et à l’article 8 de la Charte des droits fondamentaux de l’Union européenne, y compris des garanties concernant les droits de la personne concernée comme étant un des éléments les plus importants.
La réticence de la Commission à préciser ce point dans la proposition de règlement ou à indiquer clairement la date à laquelle elle en a l’intention, préférant remettre la question à plus tard en attendant de nouvelles circonstances juridiques et politiques, suscite de vives préoccupations. Le CEPD est d'avis que cette approche pourrait entraîner une insécurité juridique peu souhaitable et un risque considérable de non-respect des règles et des garanties de protection des données.
Afin d’améliorer un peu plus la proposition, le CEPD demande également au législateur de préciser dans la proposition de règlement que l’arrangement de travail qui pourrait être conclu avec Europol sur la base de l’article 13 envisagé dans le règlement FRONTEX, exclurait l’échange de données à caractère personnel.
Il demande également que l’on apporte des précisions à l’article 11ter de la proposition (afin de renforcer les règles de sécurité en matière de protection des informations classifiées et des informations sensibles non classifiées).