Avis du contrôleur européen de la protection des données
Le présent avis examine d'abord le contexte de la proposition. Dans une Union européenne sans frontières internes, l'efficacité de la lutte contre la criminalité nécessite, au minimum, une étroite coopération entre les autorités des États membres. Deuxièmement, le CEPD tient compte du fait qu'un cadre pour l'échange d'informations peut être établi selon plusieurs modèles dont les effets sur la protection des données sont différents. L’avis examine également de manière approfondie des questions qui suivent: les grandes options qui sous-tendent la proposition ; les garanties en matière de protection des données ; la répartition des responsabilités.
Le CEPD est d'accord avec les grandes options qui sous-tendent la proposition. D'une manière générale, la proposition tient compte des obstacles à des échanges d'informations extraites du casier judiciaire véritablement efficaces entre les États membres, qui sont la conséquence des différences linguistiques et des disparités entre les cadres techniques et juridiques des États membres.
Le CEPD note que la proposition de décision-cadre du Conseil relative à la protection des données à caractère personnel est toujours en cours d'examen au Parlement européen et au Conseil et que des questions fondamentales - notamment le champ d'application du texte et les garanties concernant les transferts aux pays tiers - sont loin d'être réglées. Le CEPD recommande ce qui suit:
- la décision-cadre du Conseil à l'examen ne devrait pas entrer en vigueur avant la date d'entrée en vigueur de la décision-cadre du Conseil relative à la protection des données à caractère personnel;
- le Conseil devrait lier étroitement les négociations relatives à la proposition à l'examen aux négociations sur la décision-cadre du Conseil relative à la protection des données à caractère personnel. Dans le cas où les négociations sur cette décision-cadre déboucheraient sur l'exclusion de son champ d'application des règles concernant les transferts des données à caractère personnel aux pays tiers, des règles plus précises sur cette même question devraient figurer dans la proposition à l'examen.
Le CEPD recommande de simplifier la procédure et de prévoir une définition limitée et plus précise des fins, autres qu'une procédure pénale, auxquelles des informations peuvent être demandées, ainsi qu'une limitation du groupe de personnes habilitées à demander de telles informations. Le CEPD estime que les personnes autres que l'intéressé devraient être autorisées à demander ces informations uniquement dans des circonstances exceptionnelles. Il conviendrait d'inclure dans la proposition une disposition autorisant les autorités chargées de la protection des données à contrôler une telle utilisation exceptionnelle.
Le CEPD recommande que la notion de «propriété» soit précisée dans le dispositif ou les considérants de la proposition et qu'il soit fait obligation à l'autorité centrale de l'État membre de nationalité de la personne condamnée de notifier aux autorités centrales des autres États membres ou des pays tiers qui les ont demandées les mises à jour ou suppressions d'informations avant qu'il y soit procédé.
Le CEPD demande au législateur communautaire d'expliquer pourquoi le champ d'application de la proposition à l'examen ne pouvait pas être limité aux infractions pénales plus graves, compte tenu notamment des limites fixées par le principe de proportionnalité.
Le CEPD est d'accord avec les dispositions complémentaires énoncées à l'article 10 et à l'article 11 (langues et format), à condition que: i) l'article 10 soit formulé de telle manière qu'il garantisse effectivement le fonctionnement du régime linguistique; ii) l'article 11 soit modifié de telle sorte que la mise en place du format soit incluse dans le dispositif même de la décision-cadre, que les spécifications techniques soient définies selon une procédure de comitologie et dans un délai clairement établi et que la période de transition prévue pour la mise en œuvre du format commun par les États membres soit supprimée ou, si cela n'est pas techniquement faisable, que cette période soit limitée à un an.
Le CEPD formule également des recommandations sur les points suivants: i) à l'article 3, paragraphe 2, (autorité centrale) il conviendrait de préciser pourquoi le Secrétariat général du Conseil devrait informer Eurojust de la désignation des autorités; ii) à l'article 6, paragraphe 2, (demandes d'informations sur les condamnations) il conviendrait de modifier le libellé comme suit: l'autorité centrale du lieu de résidence «adresse» - et non «peut adresser» -la demande à l'autorité centrale de l'autre État membre; iii) à l'article 9, (conditions d'utilisation des données à caractère personnel) il conviendrait d'introduire une disposition encourageant les autorités chargées de la protection des données à coopérer activement entre elles.