Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Espace Schengen: migration du système d'information Schengen (SIS 1+) vers le système d'information Schengen de deuxième génération (SIS II) - y compris la participation du Royaume-Uni et de l'Irlande. Refonte

2012/0033A(NLE)

Avis du Contrôleur européen de la protection des données sur la proposition de règlement du Conseil relatif à la migration du système d’information Schengen (SIS) vers le système d’information Schengen de deuxième génération (SIS II) (refonte)

Consultation du CEPD : le CEPD a déjà émis un avis sur les trois propositions du 19 octobre 2005 concernant l’établissement du SIS II. Dans cet avis, le CEPD a axé son analyse sur la nécessité de limiter les droits d’accès et les périodes de conservation des données, et de fournir des informations aux personnes concernées. Il a également attiré l’attention sur la nécessité de veiller à ce que la nouvelle fonctionnalité permettant d’établir des liens entre les enregistrements ne conduise pas à une extension des droits d’accès. En ce qui concerne la conception technique du SIS II, le CEPD a recommandé d’améliorer les mesures de sécurité et mis en garde contre les risques liés à l’utilisation de copies nationales.

Le CEPD a également pris note des conclusions du Conseil «Justice et affaires intérieures» du 13 décembre 2011, dans lesquelles le Conseil invite, entre autres, les États membres:

  • à mettre en œuvre dès que possible les mécanismes correctifs et préventifs (applicables respectivement aux signalements SIS 1+ actuels et aux nouveaux signalements SIS 1+), en vue d’adapter les signalements aux exigences en matière de qualité des données définies pour les signalements du SIS II;
  • préalablement au lancement de la migration des données, à vérifier une fois encore la conformité des signalements existants aux dictionnaires SIS II, pour s’assurer qu’ils sont conformes à la version finale desdits dictionnaires;
  • par l’intermédiaire des autorités nationales compétentes responsables de la qualité des données du SIS, à surveiller systématiquement l’exactitude des signalements introduits dans le système national du SIS 1+, ce qui est essentiel pour garantir une utilisation sans accrocs du mécanisme de cartographie/cartographie des dictionnaires (conformité des dictionnaires nationaux aux dictionnaires du SIS II).

Avant l’adoption de la présente proposition de la Commission, le CEPD avait été invité à formuler des observations informelles et avait fait part de ses préoccupations concernant divers aspects de la migration qui, de son point de vue, nécessitaient quelques éclaircissements. Malheureusement, les observations formulées lors de la phase informelle n’ont pas été prises en considération dans le texte adopté, lequel ne fournit donc pas les précisions demandées. En conséquence, le CEPD exprime un nouvel son avis qui peut se résume comme suit :

Coordination de la supervision du mécanisme : la migration des données contenues dans le SIS vers le SIS II est une opération susceptible de comporter des risques spécifiques du point de vue de la protection des données.  Si le CEPD salue le fait que, aux termes des nouvelles dispositions, le cadre juridique du SIS II entrera en vigueur dès que le 1er État membre aura mené à bien le processus de basculement vers le SIS II, il considère que le texte doit également être apprécié sous l’angle de la supervision. De l’avis du CEPD, les nouvelles dispositions entraîneront un transfert des responsabilités de supervision au cours de la migration, qui pourrait avoir des effets négatifs et porter atteinte aux garanties fournies par la supervision au moment où le besoin s’en fera le plus sentir. Le CEPD recommande, dès lors, que le mécanisme de contrôle coordonné s’applique dès le début de la migration et que la refonte tienne compte de cette approche.

Autres clarifications : le CEPD estime qu’il y a lieu d’apporter des précisions complémentaires concernant les aspects essentiels de la migration dans le libellé même du règlement et non par le biais d’autres instruments juridiques, tels que le plan de migration par exemple. Les éclaircissements requis concernent notamment:

  • la portée de la migration : le CEDP estime qu’il y a lieu de définir très clairement quelles sont les catégories de données concernées par la migration et celles qui ne le sont pas, et, d’autre part, de préciser si la migration modifie d’une quelconque manière les données et, dans l’affirmative, quelles sont les modifications induites ;
  • la nécessité d’une évaluation des risques en procédant à une évaluation et en intégrant les résultats recueillis dans un plan de sécurité spécifique ;
  • l’enregistrement des données : celui-ci traite principalement des activités de traitement courantes du SIS II et non des activités de traitement des données qui sont spécifiques à la migration; de plus, cette disposition de la proposition est similaire à celle figurant dans le principal règlement SIS II. De l’avis du CEPD, le règlement devrait disposer d’une clause spécifique, centrée sur les activités de la migration et déterminant quelles sont les données qui seront enregistrées, durant combien de temps et à quelle fin.

Renforcer les obligations afférentes aux tests: le CEPD estime que le règlement devrait renforcer les obligations afférentes aux tests de la manière suivante :

- tests pré-migration : ceux-ci devraient inclure :

  • les aspects fonctionnels liés au processus de migration ainsi que d’autres aspects tels que la qualité des données à transférer ;
  • les éléments non fonctionnels, tels que la sécurité ;
  • toutes les mesures et tous les contrôles spécifiques décidés en vue de réduire les risques associés à la migration.

- tests d’ensemble : le CEPD recommande que la proposition définisse des critères plus précis pour déterminer si ces tests démontrent la réussite ou l’échec de la migration.

- validation des résultats : après que le basculement d’un État membre a eu lieu, les résultats devraient pouvoir être validés. En outre, le règlement devrait exiger l’obtention de résultats concluants aux tests de validation pour que le basculement d’un État membre vers le SIS II puisse être considéré comme réussi. Par conséquent, ces tests devraient constituer une condition préalable à l’utilisation de toutes les fonctionnalités du SIS II par l’État membre concerné.

- utilisation des données du test : l’utilisation des données de test durant la migration doivent se baser sur des données réelles «brouillées» extraites du SIS, de sorte à prendre toutes les mesures nécessaires pour garantir l’impossibilité de reconstituer les données réelles à partir de ces données de test.

Sécurité : le CEPD est particulièrement favorable à des mesures de sécurité préventives et recommande d’introduire, dans le texte de la refonte, une disposition spécifique exigeant que la Commission et les États membres mettent en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adéquat au regard des risques présentés par la migration et de la nature particulière des données à caractère personnel devant être traitées, sur la base des exigences définies par l’article 22 du règlement (CE) n° 45/2001.

- Il demande notamment que l’on renforce les aspects de sécurité suivants :

  • reconnaître la nature spécifique des activités de traitement des données liées à la migration;
  • définir des orientations générales concernant les mesures à prendre (prévoyant, par exemple, que le transfert de données entre les deux systèmes ne peut avoir lieu que si les données concernées ont été adéquatement cryptées) ;
  • établir que la Commission, agissant en collaboration avec les États membres et, en particulier, avec la France, est tenue d’élaborer un plan de sécurité spécifique, après avoir procédé, en temps utile avant la migration, à l’évaluation des risques éventuels qui y sont associés.

- Il demande également que l’on renforce le volet protection de l’intégrité des données en incluant, soit dans le règlement soit dans une décision spécifique de la Commission :

  • une annexe contenant les règles de cartographie et de validation applicables au processus de conversion, permettant de vérifier aisément si l’assouplissement des règles SIS II est ou non conforme au règlement SIS II ;
  • une disposition définissant les responsabilités des divers acteurs dans la détermination et la correction des données aberrantes ;
  • une obligation de contrôle intégral, avant la migration, de la conformité des données à transférer avec les règles d’intégrité du SIS II.

Ancien système : enfin le CEPD estime qu’il y a lieu de pourvoir à l’élimination de l’ancien système. Lorsque la migration sera achevée, la question de savoir ce qu’il adviendra de l’équipement technique du SIS 1+ devra être traitée sans délai. En conséquence, le CEPD recommande que la proposition ou une décision spécifique de la Commission établisse un délai précis pour la conservation des données, de même que l’obligation de prendre des mesures techniques appropriées, afin de garantir que les données seront effacées de manière sûre au terme de la migration et de la période de contrôle intensif.