Le Parlement européen a adopté par 510 voix pour, 130 contre et 9 abstentions, une résolution législative sur la proposition modifiée de règlement du Parlement européen et du Conseil portant établissement dun cadre pour linteropérabilité des systèmes dinformation de lUE (coopération policière et judiciaire, asile et migration) et modifiant le règlement (UE) 2018/XX [le règlement Eurodac], le règlement (UE) 2018/XX [le règlement SIS dans le domaine répressif], le règlement (UE) 2018/XX [le règlement ECRIS-TCN] et le règlement (UE) 2018/XX [le règlement eu-LISA.
La position du Parlement européen arrêtée en première lecture suivant la procédure législative ordinaire a modifié la proposition de la Commission comme suit :
Cadre pour linteropérabilité des systèmes dinformation de lUE
Le règlement proposé, conjointement avec le règlement du Parlement européen et du Conseil portant sur les frontières et les visas, établirait un cadre visant à garantir linteropérabilité entre le système dentrée/de sortie (EES), le système dinformation sur les visas (VIS), le système européen dinformation et dautorisation concernant les voyages (ETIAS), Eurodac, le système dinformation Schengen (SIS) et le système européen dinformation sur les casiers judiciaires pour les ressortissants de pays tiers (ECRIS-TCN). Il établirait également un cadre permettant de vérifier lidentité des personnes et didentifier des personnes.
Ce cadre comprendrait: i) le portail de recherche européen (ESP); ii) le service partagé détablissement de correspondances biométriques (BMS partagé); iii) le répertoire commun de données didentité (CIR); et le iv) détecteur didentités multiples (MID).
Objectifs
Linteropérabilité devrait améliorer la gestion des frontières extérieures en établissant un accès rapide, simple et efficace aux systèmes dinformation de lUE. Selon le texte amendé, ses principaux éléments devraient également permettre :
- daméliorer lefficacité et lefficience des vérifications aux frontières extérieures;
- de contribuer à la prévention de limmigration illégale et à la lutte contre celle-ci;
- de contribuer à la prévention et à la détection des infractions terroristes et dautres infractions pénales graves, et aux enquêtes en la matière;
- de faciliter lidentification de personnes inconnues qui ne sont pas en mesure de sidentifier elles-mêmes ou de restes humains non identifiés en cas de catastrophe naturelle, daccident ou dattaque terroriste.
Non-discrimination et droits fondamentaux
Le traitement de données à caractère personnel aux fins du règlement ne devrait donner lieu à aucune discrimination à lencontre des personnes. Il devrait respecter pleinement la dignité humaine, lintégrité des personnes et les droits fondamentaux, notamment le droit au respect de la vie privée et le droit à la protection des données à caractère personnel. Une attention particulière serait accordée aux enfants, aux personnes âgées, aux personnes handicapées et aux personnes nécessitant une protection internationale. Lintérêt supérieur de lenfant devrait être une considération primordiale.
Accès au portail de recherche européen (ESP)
Lutilisation de lESP serait réservée aux autorités des États membres et aux agences de lUnion ayant accès à au moins lun des systèmes dinformation de lUE, au CIR et au MID, aux données dEuropol ou aux bases de données dInterpol conformément au droit de lUnion ou au droit national régissant cet accès. Ces autorités des États membres et ces agences de lUnion pourraient utiliser lESP et les données quil fournit uniquement pour les objectifs et finalités prévus dans les instruments juridiques régissant ces systèmes dinformation de lUE.
LESP ne devrait fournir aucune information concernant des données contenues dans des systèmes dinformation de lUE, les données dEuropol et les bases de données dInterpol auxquels lutilisateur na pas accès en vertu du droit de lUnion ou du droit national applicable. Linterrogation des bases de données dInterpol lancée via lESP devrait être effectuée de telle manière quaucune information nest révélée au propriétaire du signalement Interpol.
Accès au répertoire commun de données didentité (CIR) pour identification
En vertu du texte amendé, les interrogations du CIR seraient effectuées par un service de police uniquement :
- lorsquun service de police nest pas en mesure didentifier une personne en raison de labsence dun document de voyage ou dun autre document crédible prouvant lidentité de cette personne;
- lorsquun doute subsiste quant aux données didentité fournies par une personne, quant à lauthenticité du document de voyage fourni par une personne ou quant à lidentité du titulaire dun document de voyage ou dun autre document crédible ;
- lorsquune personne nest pas en mesure ou refuse de coopérer.
Ces interrogations ne pourraient viser des mineurs de moins de 12 ans, à moins que ce ne soit dans lintérêt supérieur de lenfant.
Infractions terroristes
Dans des cas particuliers, lorsquil existe des motifs raisonnables de croire que la consultation des systèmes dinformation de lUE contribuera à la prévention ou à la détection des infractions terroristes ou dautres infractions pénales graves, les autorités désignées et Europol pourraient consulter le CIR pour savoir si des données sur une personne en particulier figurent dans lEES, le VIS ou ETIAS .
Dans ce contexte, une réponse du CIR ne devrait pas être utilisée comme un motif de tirer des conclusions au sujet dune personne ou de prendre des mesures à légard de celle-ci, mais elle ne devrait être utilisée que pour introduire une demande daccès aux systèmes dinformation de lUE sous-jacents, sous réserve des conditions et des procédures établies dans les différents instruments juridiques régissant laccès en question.
En règle générale, lorsquun indicateur de correspondance montre que les données sont enregistrées dans lEES, le VIS, ETIAS, ou Eurodac, les autorités désignées ou Europol devraient demander un accès complet à au moins un des systèmes dinformation de lUE concernés. Si, à titre exceptionnel, cet accès complet nest pas demandé, la justification de cette absence de demande serait enregistrée par les autorités désignées de manière à pouvoir être reliée au dossier national. Europol enregistrerait la justification dans le dossier concerné.
Résultats de la détection didentités multiples
Le MID stockera les liens entre les personnes présentes dans plus dun système dinformation ainsi que la référence au système auquel appartiennent les données. Ces liens seront classés dans quatre catégories: blanc, jaune, vert et rouge.
Afin de faciliter la mise en uvre des garanties nécessaires conformément aux règles de lUnion applicables en matière de protection des données, les personnes qui sont concernées par un lien rouge ou un lien blanc à la suite dune vérification manuelle des différentes identités devraient être informées par écrit, sans préjudice des restrictions nécessaires pour protéger la sécurité et lordre public, prévenir la criminalité et garantir que les enquêtes nationales ne soient pas compromises. Ces personnes devraient recevoir un numéro didentification unique leur permettant de savoir à quelle autorité sadresser pour exercer leurs droits.
Lorsquun lien jaune est créé, lautorité chargée de la vérification manuelle des différentes identités devrait avoir accès au MID. Lorsquun lien rouge existe, les autorités des États membres et les agences de lUnion qui ont accès à au moins un système dinformation de lUE inclus dans le CIR ou au SIS devraient avoir accès au MID. Un lien rouge devrait indiquer quune personne utilise différentes identités de manière injustifiée ou quune personne utilise lidentité dune autre personne.
Portail en ligne
Étant donné que les éléments dinteropérabilité impliqueront le traitement de quantités importantes de données à caractère personnel sensibles, les personnes dont les données sont traitées au moyen de ces éléments devraient pouvoir exercer effectivement leurs droits en tant que personnes concernées. À cette fin, le texte amendé prévoit de mettre à disposition des personnes concernées un portail en ligne qui facilite lexercice par celles-ci de leurs droits daccès à leurs données à caractère personnel et de leurs droits de rectification, deffacement et de limitation du traitement de ces données. La mise en place et la gestion dudit portail devrait incomber à leu-LISA.
Le règlement prévoit également des dispositions claires concernant la responsabilité et le droit à réparation en cas de traitement illicite de données à caractère personnel ou en cas de tout autre acte incompatible avec le règlement.