Protection des données à Europol et Eurojust

7. PROTECTION DES DONNÉES DANS LE CONTEXTE DE LA POLICE ET DE LA

7.2. Droit de l’UE en matière de protection des données dans le domaine

7.2.3. Protection des données à Europol et Eurojust

Europol

Europol, l’Office européen de police, est situé à la Haye et dispose d’unités natio-nales Europol (UNE) dans chaque État membre. Europol a été créé en 1998 ; son sta-tut légal actuel d’instista-tution communautaire repose sur la décision du Conseil portant création de l’Office européen de police (décision Europol)²⁶⁶. L’objectif d’Europol est de contribuer à la prévention du crime organisé, du terrorisme et d’autres formes de criminalité grave, ainsi qu’aux enquêtes en la matière - selon la liste figurant en annexe à la décision Europol - affectant au moins deux États membres.

Pour atteindre ses objectifs, Europol a créé le système d’information Europol qui fournit une base de données aux États membres leur permettant d’échanger des renseignements et informations en matière criminelle par l’intermédiaire de leurs UNE. Le système d’information Europol peut être utilisé pour fournir des données portant sur : des personnes suspectées ou condamnées pour une infraction pénale relevant de la compétence d’Europol ou des personnes à l’égard desquelles il existe des éléments de fait indiquant qu’elles s’apprêtent à commettre de telles infractions.

Europol et les UNE peuvent saisir et récupérer des données directement dans le sys-tème d’information Europol. Seule la partie ayant saisi les données dans le syssys-tème peut les modifier, les corriger ou les supprimer.

Si nécessaire pour l’exécution de ses missions, Europol peut sauvegarder, modifier et utiliser des données concernant des infractions pénales dans des fichiers de travail à des fins d’analyse. Les fichiers de travail à des fins d’analyse sont créés dans le but d’assembler, de traiter ou d’utiliser des données afin de contribuer à des enquêtes pénales concrètes menées par Europol conjointement avec des États membres de l’UE.

Suite à de récents développements, le Centre européen de lutte contre la cyber-criminalité a été créé à Europol le 1^er janvier 2013²⁶⁷. Le Centre sert de plate-forme

266 Conseil de l’Union européenne (2009), décision du Conseil du 6 avril 2009 portant création de l’Office européen de police, (Europol), JO 2009 L 121.Voir également proposition de règlement de la Constitution qui institue donc le cadre juridique nécessaire à la création d’un nouvel Europol, qui succédera à l’agence Europol créée par la décision 2009/371/JAI du Conseil du 6 avril 2009 portant création de l’Office européen de police (Europol) et au CEPOL institué par la décision 2005/681/JAI du Conseil du 20 septembre 2005 instituant le Collège européen de police (CEPOL), COM(2013) 173 final.

267 Voir également CEPD (2012), Avis du Contrôleur européen de la protection des données relatif à la communication de la Commission européenne au Conseil et au Parlement européen concernant l’établissement d’un Centre européen de lutte contre la cybercriminalité, Bruxelles, 29 juin 2012.

communautaire d’information sur la cybercriminalité, contribuant à accélérer les réactions en cas de criminalité en ligne, développant et déployant des capacités numériques en matière de criminalistique et fournissant des bonnes pratiques en matière d’enquêtes pénales. Le Centre se concentre sur :

• les cybercrimes commis par des groupes organisés dans le but de générer d’im-portants bénéfices, telle que la fraude en ligne ;

• les cybercrimes lourds de conséquences pour leurs victimes, tels que l’exploita-tion sexuelle des enfants en ligne ;

• les cybercrimes perturbant les systèmes critiques de l’UE en matière d’infras-tructure et d’information.

Le système de protection des données régissant les activités d’Europol est amé-lioré. La décision Europol dispose en son article 27 que les principes énoncés dans la Convention 108 et la recommandation sur les données de police concernant le traitement de données automatisées et non automatisées trouvent application. La transmission de données entre Europol et les États membres doit également satis-faire aux règles prévues par la décision cadre relative à la protection des données.

Pour garantir la conformité à la législation applicable en matière de protection des données et, en particulier, pour garantir que le traitement de données à caractère personnel ne viole pas les droits de l’individu, l’Autorité de contrôle commune (ACC) indépendante d’Europol examine et contrôle les activités d’Europol²⁶⁸. Chaque indi-vidu a un droit d’accès à toutes données à caractère personnel qu’Europol peut déte-nir à son sujet, en plus d’un droit de demander que ces données à caractère person-nel soient vérifiées, rectifiées ou supprimées. Toute personne qui n’est pas satisfaite d’une décision d’Europol concernant l’exercice de ces droits peut former un recours devant le comité des recours de l’ACC.

Si un préjudice est survenu en raison d’erreurs de droit ou de fait dans les don-nées enregistrées ou traitées à Europol, la partie lésée peut uniquement former un recours devant le tribunal compétent de l’État membre dans lequel le préjudice est survenu²⁶⁹. Europol remboursera l’État membre si le préjudice résulte d’un manque-ment d’Europol à se conformer à ses obligations légales.

268 Décision Europol, art. 34.

269 Ibid., art. 52.

Eurojust

Eurojust, constitué en 2002, est un organe communautaire basé à La Haye chargé de promouvoir la coopération judiciaire dans les enquêtes et poursuites relatives à la criminalité grave touchant au moins deux États membres²⁷⁰. Eurojust est compétent pour :

• stimuler et améliorer la coordination des enquêtes et poursuites entre les autori-tés compétentes des divers États membres ;

• faciliter l’exécution des demandes et décisions en relation avec la coopération judiciaire.

Les fonctions d’Eurojust sont exercées par des membres nationaux. Chaque État membre délègue un juge ou un membre du ministère public à Eurojust, dont le sta-tut est soumis au droit national et qui se voit confier les compétences nécessaires pour remplir les missions requises pour favoriser et améliorer la coopération judi-ciaire. En outre, les membres nationaux agissent conjointement sous forme de col-lège pour exercer des missions spéciales d’Eurojust.

Eurojust peut traiter des données à caractère personnel pour autant que cela soit nécessaire à la réalisation de ses objectifs. Un tel traitement est toutefois limité à des informations spécifiques relatives aux personnes qui sont suspectées d’avoir commis une infraction pénale relevant de la compétence d’Eurojust, d’y avoir par-ticipé ou d’avoir été condamné à ce titre. Eurojust peut également traiter certaines informations relatives à des témoins ou victimes d’infractions pénales relevant de sa compétence²⁷¹. Dans des circonstances exceptionnelles, Eurojust peut, pendant une durée limitée, traiter des données à caractère personnel plus vastes en lien avec les circonstances d’une infraction dès lors que ces données sont immédiatement per-tinentes pour une enquête en cours. Dans les limites de ses compétences, Eurojust

270 Conseil de l’Union européenne (2002), décision 2002/187/JAI Conseil du 28 février 2002 instituant Eurojust afin de renforcer la lutte contre les formes graves de criminalité, JO 2002 L 63 ; Conseil de l’Union européenne (2003), décision 2003/659/JAI du Conseil du 18 juin 2003 modifiant la décision 2002/187/JAI instituant Eurojust afin de renforcer la lutte contre les formes graves de criminalité, JO 2003 L 44 ; Conseil de l’Union européenne (2009), décision 2009/426/JAI du Conseil du 16 décembre 2008 sur le renforcement d’Eurojust et modifiant la décision 2002/187/JAI instituant Eurojust afin de renforcer la lutte contre les formes graves de criminalité, JO 2009 L 138 (décisions Eurojust).

271 Version consolidée de la décision 2002/187/JAI du Conseil, telle que modifiée par la décision 2003/659/JAI du Conseil et par la décision 2009/426/JAI du Conseil, art. 15, para. 2.

peut coopérer avec d’autres institutions, organes et agences communautaires et échanger des données à caractère personnel avec ceux-ci. Eurojust peut également coopérer et échanger des données à caractère personnel avec des pays et organi-sations tiers.

S’agissant de la protection des données, Eurojust doit garantir un niveau de protec-tion au moins équivalent aux principes de la Convenprotec-tion 108 du Conseil de l’Europe et à ses amendements ultérieurs. Des règles et limitations particulières doivent être respectées en cas d’échange de données ; elles sont mises en place dans des accords de coopération ou des arrangements de travail conformément aux décisions Eurojust du Conseil et aux règles Eurojust relatives à la protection des données²⁷². Une ACC indépendante a été établie à Eurojust, ayant pour mission de contrôler le traitement des données à caractère personnel par Eurojust. Des individus peuvent former un recours devant l’ACC s’ils ne sont pas satisfaits de la réponse d’Eurojust à une demande d’accès, de rectification, de verrouillage ou d’effacement de don-nées à caractère personnel. Quand Eurojust traite des dondon-nées à caractère person-nel de façon illicite, Eurojust répond de tout préjudice causé à la personne concernée conformément à la législation nationale de l’État membre dans lequel son siège est situé, les Pays-Bas.

7.2.4. Protection des données dans les systèmes

Dans le document Manuel de droit européen en matière de protection des données - Agence des droits fondamentaux de l'Union européenne et Conseil de l'Europe - Juin 2014 - APHP DAJDP (Page 168-171)