Coopération administrative par l'intermédiaire du système d'information du marché intérieur (IMI)

2011/0226(COD)

AVIS du Contrôleur européen de la protection des données sur la proposition de la Commission de règlement du Parlement européen et du Conseil concernant la coopération administrative par l’intermédiaire du système d’information du marché intérieur («IMI»).

Le CEPD se félicite que la Commission l’ait formellement consulté et qu’une référence à cet avis soit incluse dans les considérants de la proposition.

Le CEPD a une opinion globalement positive sur l’IMI. Il soutient l’objectif poursuivi par la Commission dans l’établissement d’un système électronique pour l’échange d’informations et la réglementation de ses aspects qui concernent la protection des données. Le CEPD se réjouit également du fait que la Commission a proposé un instrument juridique horizontal pour l’IMI sous la forme d’un règlement du Conseil et du Parlement. Il se félicite que la proposition souligne de façon globale les questions les plus pertinentes en matière de protection des données de l’IMI.

Toutefois, le CEPD met aussi en garde contre les risques liés à l'établissement d'un système électronique unique centralisé pour de multiples domaines de coopération administrative. Ces risques comprennent, en particulier, i) le fait que davantage de données soient échangées d’une façon plus large qu’il n’est strictement indispensable aux fins d’une coopération efficace, et ii) que des informations restent plus longtemps que nécessaire dans le système électronique, y compris des données pouvant être obsolètes et inexactes.

La sécurité d’un système d’information accessible dans 27 États membres est également une question délicate, le système n’offrant que le niveau de sécurité de son maillon le plus faible dans le réseau.

Le CEPD formule les recommandations suivantes :

Cadre légal pour l’IMI : sur cette question le CEPD attire l’attention sur deux défis majeurs: i) la nécessité d’assurer la cohérence du cadre légal tout en respectant la diversité, et ii) la nécessité de trouver un équilibre entre flexibilité et sécurité juridique :

  • les fonctionnalités de l’IMI qui sont déjà prévisibles doivent être clarifiées et traitées de façon plus spécifique ;
  • des garanties procédurales adéquates doivent être appliquées pour s’assurer que la protection des données sera soigneusement prise en considération durant le futur développement de l’IMI. Cela inclut une évaluation de l’impact ainsi que la consultation du CEPD et des autorités nationales de protection des données avant chaque élargissement du cadre de l’IMI à un nouveau domaine politique et/ou à de nouvelles fonctionnalités ;
  • les droits d’accès par des acteurs externes et le droit d’accès aux alertes doivent également être spécifiés davantage.

Délais de conservation:

  • le règlement doit prévoir des garanties selon lesquelles les dossiers seront clôturés en temps opportun et les dossiers dormants (dossiers sans activité récente) seront supprimés de la base de données;
  • il convient de reconsidérer s’il existe une justification adéquate pour l’extension du délai actuel de six mois à 18 mois après la clôture d’un dossier;
  • la Commission n’a pas fourni de justification suffisante de la nécessité et de la proportionnalité de la conservation de «données verrouillées» pendant une période allant jusqu’à cinq ans et, dès lors, cette proposition doit être reconsidérée;
  • une distinction plus claire doit être établie entre les alertes et les répertoires d’informations: le règlement doit disposer, en tant que règle par défaut, que i) sauf spécification contraire dans la législation verticale, et sous réserve des garanties supplémentaires adéquates, un délai de conservation de six mois doit s’appliquer aux alertes et, élément important, que ii) ce délai doit être comptabilisé à partir de l’envoi de l’alerte.

Évaluation des risques : le règlement doit requérir une évaluation des risques et un examen du plan de sécurité avant chaque élargissement de l’IMI à un nouveau domaine politique ou avant l’ajout d’une nouvelle fonctionnalité exerçant un impact sur les données à caractère personnel.

Informations et droit d’accès : les dispositions sur les informations aux personnes concernées et les droits d’accès doivent être renforcées et doivent encourager une approche plus cohérente.

Surveillance : le CEPD souhaiterait un renforcement des dispositions relatives à la surveillance coordonnée sur certains points et soutiendrait, à cet effet, des dispositions similaires à celles qui sont en place par exemple dans le contexte du système d’information sur les visas, Schengen II et envisagées pour Eurodac. En ce qui concerne la fréquence des réunions et des audits, le CEPD soutient la proposition dans son approche souple visant à garantir que le règlement fournisse les règles minimales nécessaires pour garantir une coopération efficace sans pour autant créer de charges administratives inutiles.

Pays tiers : le règlement doit veiller à ce que les autorités compétentes ou d’autres acteurs externes d’un pays tiers qui n’accorde pas une protection adéquate ne puissent avoir directement accès à l’IMI sauf si des clauses contractuelles appropriées sont en place. Ces clauses doivent être négociées au niveau de l’UE.

Contrôle interne : le règlement doit établir un cadre clair pour des mécanismes adéquats de contrôle interne, garantissant le respect de la protection des données et fournissant des éléments de preuve à cet égard (y compris une analyse des risques en matière de sécurité), une politique de protection des données (y compris un plan de sécurité) adoptée sur la base des résultats de ces derniers ainsi que des examens et des audits périodiques.

Enfin, le règlement doit également introduire des garanties spécifiques de respect de la vie privée dès la conception