Avis du Contrôleur européen des données (CEPD) sur la proposition de règlement modifiant le règlement (CE) n° 273/2004 relatif aux précurseurs de drogues et sur la proposition de règlement modifiant le règlement (CE) n° 111/2005 du Conseil fixant des règles pour la surveillance du commerce des précurseurs des drogues entre la Communauté et les pays tiers.
Le 27 septembre 2012, la Commission a adopté une proposition de règlement modifiant le règlement (CE) n° 273/2004 relatif aux précurseurs de drogues et la présente proposition de règlement modifiant le règlement (CE) n° 111/2005 du Conseil fixant des règles pour la surveillance du commerce des précurseurs des drogues entre la Communauté et les pays tiers.
Le CEPD a été consulté le jour même.
Les propositions visent principalement à mettre en œuvre la convention des Nations unies de 1988 contre le trafic illicite de stupéfiants et de substances psychotropes. Celle-ci (et les règlements susmentionnés) visent à reconnaître et à protéger le commerce licite des précurseurs de drogues tout en évitant leur détournement à des fins illicites.
À l’heure actuelle, les mesures visant à contrôler le commerce intracommunautaire impliquent le traitement de données d’opérateurs, puisqu’elles instaurent l’obligation pour certains opérateurs économiques de nommer une personne responsable du traitement et de notifier ses coordonnées aux autorités compétentes, d’obtenir un agrément ou un enregistrement, de demander aux clients de déclarer les usages des précurseurs de drogues qui leur sont fournis, et d’informer immédiatement les autorités compétentes s’ils soupçonnent qu’une commande ou une transaction pourrait avoir pour but de détourner des précurseurs de drogues à des fins illicites.
En ce qui concerne le contrôle du commerce extérieur, le traitement des données des opérateurs est également nécessaire, ceux-ci étant tenus, entre autres, de demander une autorisation aux autorités compétentes avant de procéder à l’importation ou à l’exportation de précurseurs de drogues. Les obligations des opérateurs à l’égard des autorités compétentes de l’Union européenne comprennent notamment l’obligation d’informer certains pays tiers préalablement à l’exportation de précurseurs de drogues et de notifier à la Commission le résultat des mesures de surveillance mises en place.
À la suite de critiques de l’Organe international de contrôle des stupéfiants de l’ONU (OICS), les nouvelles propositions envisagent notamment d’apporter les modifications suivantes aux règlements :
- constitution d’une base de données européenne sur les précurseurs de drogues ;
- renforcement des dispositions harmonisées en matière d’enregistrement;
- extension de l’exigence d’enregistrement aux utilisateurs d’anhydride acétique.
Position du Contrôleur européen des données : le CEPD se réjouit des références générales à l’applicabilité de la législation de l’Union européenne en matière de protection des données, du fait qu’un grand nombre des catégories de données à traiter soient définies et du fait que le principe de limitation de la finalité soit mentionné dans la proposition relative au commerce extérieur.
Il recommande cependant de définir, dans les principaux textes législatifs, les éléments essentiels des opérations de traitement, comme l’exclusion du traitement des données sensibles.
Toutes les catégories de données à traiter devraient également être précisées, de préférence dans les propositions et au moins par des actes délégués.
Il recommande également:
- de prévoir des durées maximales de conservation dans les propositions pour toutes les opérations de traitement, et de préciser dans les propositions que les données relatives aux transactions suspectes doivent être supprimées dès qu’elles ne sont plus nécessaires ;
- d’insérer un nouvel article dans les propositions, définissant les modalités de fourniture des informations relatives aux opérations de traitement aux personnes concernées ;
- en ce qui concerne les transferts internationaux de données à caractère personnel, d’intégrer des garanties de protection des données dans le texte du règlement relatif au commerce extérieur et dans un texte contraignant international, ou dans des accords contraignants conclus avec les pays tiers destinataires ;
- de garantir le contrôle de la base de données européenne par un mécanisme de contrôle coordonné entre le CEPD et les autorités nationales de protection des données, similaire à ce qui est prévu au regard du système d’information du marché intérieur ;
- en ce qui concerne le registre des opérateurs européens et le traitement des résumés de transactions par l’intermédiaire de la base de données européenne, il conviendrait d’intégrer des garanties de sécurité et de protection des données, de préférence dans les propositions et au moins par des actes délégués ou d’exécution.
Eu égard au principe de limitation de la finalité, le CEPD rappelle également que l’interconnexion, l’échange ou la corrélation des données de la base de données européenne avec d’autres bases de données gérées par la Commission ou par d’autres organismes à d’autres fins est, en principe, interdit.