AVIS du Contrôleur européen de la protection des données sur la proposition de règlement relatif à eu-LISA.
Pour rappel, la proposition relative à eu-LISA sinscrit dans un processus plus large visant à améliorer la gestion des frontières extérieures et à renforcer la sécurité interne dans lUnion européenne en vue de répondre à des défis précis en termes de sécurité. Cette proposition a pour objectif de confier à eu-LISA:
- la gestion opérationnelle des systèmes dinformation à grande échelle actuels et futurs au sein de lespace de liberté, de sécurité et de justice;
- le développement de certains aspects de linteropérabilité entre ces systèmes;
- la conduite dactivités de recherche et de projets pilotes;
- et le développement, la gestion et lhébergement dun système dinformation commun pour un groupe dÉtats membres optant volontairement pour une solution centralisée qui les aide à mettre en uvre les aspects techniques de la législation de lUnion sur les systèmes décentralisés au sein de lespace de liberté, de sécurité et de justice.
Le CEPD a été consulté de façon informelle avant la publication de la proposition eu-LISA. Elle a transmis des commentaires informels à la Commission, qui nont été que partiellement pris en compte.
En sa qualité dautorité de contrôle deu-LISA, le CEPD:
- recommande que la proposition relative à lAgence soit accompagnée dune analyse dimpact approfondie du droit au respect de la vie privée et du droit à la protection des données, qui sont consacrés par la charte des droits fondamentaux de lUnion européenne;
- rappelle quil nexiste pas de cadre juridique relatif à linteropérabilité des systèmes européens dinformation à grande échelle. eu-LISA ne pourra donc élaborer les modalités dexécution que si un tel cadre juridique est adopté. Le CEPD recommande supprimer les références actuelles à linteropérabilité dans la proposition eu-LISA;
- sinquiète de la possibilité queu-LISA puisse développer et héberger une solution centralisée commune pour des systèmes dinformation à grande échelle qui sont, en principe, décentralisés. Il estime que tout changement ne peut être apporté à larchitecture dun système quen modifiant la base législative correspondante, à lissue dune analyse dimpact et détudes de faisabilité. Le CEPD propose de supprimer la disposition permettant de modifier larchitecture du système par le biais dune convention de délégation entre eu-LISA et un groupe dÉtats membres.
Outre ces préoccupations, les recommandations émises par le CEPD concernent les aspects suivants de la proposition: i) les statistiques générées par le système ; ii) le contrôle interne; iii) la gestion des risques en matière de sécurité de linformation; iv) le rôle du CEPD et du délégué à la protection des données.