Ouverture des négociations sur un accord UE-Jordanie relatif à l’échange de données à caractère personnel pour lutter contre les formes graves de criminalité et le terrorisme
Résolution du Parlement européen du 4 juillet 2018 sur la recommandation de la Commission pour une décision du Conseil autorisant l’ouverture de négociations en vue d’un accord entre l’Union européenne et le Royaume hachémite de Jordanie sur l’échange de données à caractère personnel entre l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et les autorités jordaniennes compétentes pour lutter contre les formes graves de criminalité et le terrorisme (COM(2017)0798 – 2018/2060(INI))
Le Parlement européen,
– vu la recommandation de la Commission, pour une décision du Conseil autorisant l’ouverture de négociations en vue d’un accord entre l’Union européenne et le Royaume hachémite de Jordanie sur l’échange de données à caractère personnel entre l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et les autorités jordaniennes compétentes pour lutter contre les formes graves de criminalité et le terrorisme (COM(2017)0798),
– vu la charte des droits fondamentaux de l’Union européenne, et notamment ses articles 7 et 8,
– vu le traité sur l’Union européenne, notamment son article 6, et le traité sur le fonctionnement de l’Union européenne (traité FUE), notamment ses articles 16 et 218,
– vu le règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI(1),
– vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)(2),
– vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)(3),
– vu la décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale(4),
– vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil(5),
– vu la convention du Conseil de l’Europe pour la protection des données (STE nº 108) et le protocole additionnel du 8 novembre 2001 à la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, concernant les autorités de contrôle et les flux transfrontières de données (STE nº 181),
– vu l’avis nº 2/2018 du Contrôleur européen de la protection des données (CEPD) sur huit mandats de négociation en vue de la conclusion d’accords internationaux autorisant l’échange de données entre Europol et des pays tiers,
– vu sa résolution du 3 octobre 2017 sur la lutte contre la cybercriminalité(6),
– vu l’accord conclu par le Parlement européen et le Conseil concernant l’adoption d’une proposition de règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) nº 45/2001 et la décision no 1247/2002/CE (COM(2017)0008), et en particulier le chapitre consacré au traitement des données opérationnelles à caractère personnel applicable aux institutions, organes et organismes de l’Union menant des activités relevant des chapitres 4 et 5 du titre V de la troisième partie du traité FUE,
– vu l’article 108, paragraphe 1, de son règlement intérieur,
– vu le rapport de la commission des libertés civiles, de la justice et des affaires intérieures (A8-0232/2018),
A. considérant que le règlement (UE) 2016/794 relatif à l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) permet de transférer des données à caractère personnel à une autorité d’un pays tiers ou à une organisation internationale, dans la mesure où ce transfert est nécessaire à l’exécution des tâches d’Europol, sur la base d’une décision d’adéquation prise par la Commission en application de la directive (UE) 2016/680, d’un accord international en vertu de l’article 218 du traité FUE offrant des garanties suffisantes, ou d’accords de coopération permettant l’échange de données à caractère personnel, conclus avant le 1er mai 2017 et, dans des situations exceptionnelles, au cas par cas, dans les conditions strictes énoncées à l’article 25, paragraphe 5, du règlement (UE) 2016/794 et moyennant l’existence de garanties adéquates;
B. considérant que les accords internationaux autorisant Europol et les pays tiers à coopérer et à échanger des données à caractère personnel doivent respecter les articles 7 et 8 de la charte des droits fondamentaux, ainsi que l’article 16 du traité FUE, et, par conséquent, respecter le principe de limitation de la finalité et les droits d’accès et de rectification et être contrôlés par une autorité indépendante, comme le prévoit expressément la charte, et s’avérer nécessaires et proportionnés pour l’accomplissement des tâches d’Europol;
C. considérant qu’un tel transfert doit s’appuyer sur un accord international conclu entre l’Union et le pays tiers concerné, en vertu de l’article 218 du traité sur le fonctionnement de l’Union européenne, offrant des garanties suffisantes au regard de la protection de la vie privée et des libertés et des droits fondamentaux des personnes;
D. considérant que le document de programmation d’Europol pour 2018-2020(7) souligne l’importance croissante d’une approche multidisciplinaire renforcée, y compris la mise en commun des compétences et des informations nécessaires détenues par un large éventail de partenaires, afin de mener à bien la mission d’Europol;
E. considérant que, dans sa résolution du 3 octobre 2017 sur la lutte contre la cybercriminalité, il souligne que les accords de coopération stratégique et opérationnelle entre Europol et les pays tiers facilitent les échanges d’information et la coopération pratique dans le domaine de la lutte contre la cybercriminalité;
F. considérant qu’Europol a déjà mis en place de multiples accords sur l’échange de données avec des pays tiers dans le passé, par exemple avec l’Albanie, l’Australie, la Bosnie-Herzégovine, le Canada, la Colombie, l’ancienne République yougoslave de Macédoine, la Géorgie, l’Islande, le Liechtenstein, la Moldavie, Monaco, le Monténégro, la Norvège, la Serbie, la Suisse, l’Ukraine et les États-Unis;
G. considérant que le CEPD est l’autorité de surveillance d’Europol depuis le 1er mai 2017, et qu’il est également le conseiller des institutions de l’Union européenne sur les politiques et la législation en matière de protection des données;
1. estime qu’il est nécessaire d’évaluer de manière appropriée la nécessité ainsi que la proportionnalité de la coopération avec le Royaume hachémite de Jordanie en matière répressive pour les intérêts de l’Union européenne en matière de sécurité; demande à la Commission, à cet égard, de procéder à une analyse d’impact approfondie; souligne qu’il convient de rester prudent lors de la définition du mandat de négociation de l’accord entre l’Union européenne et le Royaume hachémite de Jordanie sur l’échange de données à caractère personnel entre l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et les autorités jordaniennes compétentes pour lutter contre les formes graves de criminalité et le terrorisme;
2. estime que la cohérence avec les articles 7 et 8 de la charte et avec les autres libertés et droits fondamentaux consacrés par la charte doit être pleinement assurée dans le pays tiers destinataire; invite, à cet égard, le Conseil à compléter les orientations de négociation proposées par la Commission avec les conditions énoncées dans la présente résolution;
3. prend acte du fait qu’à ce jour, aucune évaluation d’impact appropriée n’a été effectuée afin d’évaluer, en profondeur, les risques que posent les transferts de données à caractère personnel au Royaume hachémite de Jordanie eu égard aux droits des personnes au respect de la vie privée et à la protection des données, mais aussi pour d’autres droits et libertés fondamentaux consacrés par la charte; demande à la Commission d’effectuer une évaluation d’impact appropriée en vue de définir les garanties qu’il convient d’intégrer dans l’accord;
4. insiste pour que le niveau de protection résultant de l’accord soit substantiellement équivalent au niveau de protection offert par la législation de l’Union; souligne que s’il n’est pas possible de garantir un tel niveau de protection, aussi bien dans la législation que dans la pratique, l’accord ne peut être conclu;
5. demande que, afin de respecter pleinement l’article 8 de la charte et l’article 16 du traité FUE, et d’éviter toute éventuelle responsabilité d’Europol eu égard à une violation de la législation de l’Union en matière de protection des données résultant d’un transfert de données à caractère personnel sans les garanties nécessaires et appropriées, l’accord contienne des dispositions strictes et spécifiques imposant le respect du principe de limitation de la finalité avec des conditions claires pour le traitement des données à caractère personnel transmises;
6. demande que la ligne directrice B soit complétée de manière à indiquer expressément qu’Europol, conformément à l’article 19 du règlement relatif à Europol, est tenue de respecter toute restriction imposée sur les données à caractère personnel transmises à Europol par les États membres ou par d’autres fournisseurs concernant l’utilisation des données et l’accès aux données destinées à être transférées au Royaume hachémite de Jordanie;
7. demande qu’il soit clairement précisé dans l’accord que tout autre traitement de ces données requiert l’autorisation préalable et écrite d’Europol; souligne que ces autorisations doivent être documentées par Europol et mises à la disposition du CEPD s’il en fait la demande; demande également de prévoir dans l’accord une disposition obligeant les autorités compétentes du Royaume hachémite de Jordanie à respecter lesdites restrictions et à préciser de quelle manière elles entendent assurer le respect de ces restrictions;
8. insiste pour que l’accord contienne une disposition claire et précise fixant la durée de conservation des données à caractère personnel qui ont été transférées et exigeant l’effacement des données à caractère personnel transférées à la fin de la période de conservation des données; demande que des mesures procédurales soient prévues dans l’accord afin d’assurer la conformité; insiste pour que, dans des cas exceptionnels, lorsqu’il existe des raisons dûment justifiées de conserver les données pendant une période prolongée, au-delà de l’expiration de la période de conservation des données, ces raisons et les documents d’accompagnement soient communiqués à Europol et au CEPD;
9. s’attend à l’application des critères énoncés au considérant 71 de la directive (UE) 2016/680, qui disposent que les transferts de données à caractère personnel doivent être soumis à des obligations de confidentialité par les autorités jordaniennes compétentes qui reçoivent ces données à caractère personnel d’Europol ainsi qu’au principe de spécificité, et que les données à caractère personnel ne seront utilisées en aucun cas pour demander, prononcer ou mettre à exécution une condamnation à la peine de mort ou toute forme de traitement cruel et inhumain;
10. estime que les catégories d’infractions pour lesquelles les données à caractère personnel seront échangées doivent être clairement définies et énumérées dans l’accord international proprement dit, conformément aux définitions des infractions fixées par l’Union, le cas échéant; souligne que cette liste doit définir de manière claire et précise les activités couvertes par ces infractions ainsi que les personnes, groupes et organisations susceptibles d’être concernés par le transfert;
11. invite instamment le Conseil et la Commission à définir, avec le gouvernement du Royaume hachémite de Jordanie, conformément à la jurisprudence de la Cour de justice de l’Union européenne (CJUE) et au sens de l’article 8, paragraphe 3, de la charte, l’autorité de contrôle indépendante qui sera chargée de superviser la mise en œuvre de l’accord international; exhorte à s’accorder sur cette autorité et à procéder à sa mise en place avant l’entrée en vigueur de l’accord international; insiste sur le fait que le nom de cette autorité doit expressément figurer dans une annexe à l’accord;
12. estime que les deux parties contractantes devraient avoir la possibilité de suspendre ou de révoquer l’accord international en cas de violation de ce dernier, et que l’autorité de contrôle indépendante devrait également être habilitée à proposer de suspendre ou de résilier l’accord en cas de violation de ce dernier; estime que toutes les données à caractère personnel relevant du champ d’application de l’accord transférées avant sa suspension ou sa résiliation peuvent continuer à être traitées en vertu de l’accord; estime qu’il convient de mettre en place une évaluation périodique de l’accord afin d’examiner le respect de ce dernier par les partenaires;
13. est d’avis qu’une définition claire de la notion de cas individuels est nécessaire, étant donné que ce concept sert à évaluer la nécessité et la proportionnalité des transferts de données; souligne que cette définition doit se référer à de véritables enquêtes pénales;
14. est d’avis que la notion de «motifs raisonnables» doit être définie afin d’évaluer la nécessité et la proportionnalité des transferts de données; souligne que cette définition doit se référer à de véritables enquêtes pénales;
15. souligne que les données transférées à une autorité destinataire ne peuvent jamais être traitées ultérieurement par d’autres autorités et que, à cette fin, il convient d’établir une liste exhaustive des autorités compétentes du Royaume hachémite de Jordanie auxquelles Europol peut transférer des données, y compris une description des compétences des autorités; estime que toute modification de cette liste qui viendrait remplacer une autorité compétente ou en ajouter une nouvelle exigerait une révision de l’accord international;
16. insiste sur la nécessité d’indiquer expressément que les transferts ultérieurs d’informations des autorités compétentes du Royaume hachémite de Jordanie vers d’autres autorités du Royaume hachémite de Jordanie ne peuvent être autorisés que pour atteindre l’objectif initial du transfert par Europol et doivent toujours être communiqués à l’autorité indépendante, au CEPD et à Europol;
17. souligne la nécessité d’indiquer expressément que les transferts ultérieurs d’informations des autorités compétentes du Royaume hachémite de Jordanie vers d’autres pays sont interdits et qu’ils auraient pour conséquence la résiliation immédiate de l’accord international;
18. estime que le droit à l’information, à la rectification et à l’effacement des personnes concernées par les données doit figurer dans l’accord international avec le Royaume hachémite de Jordanie, conformément aux autres dispositions législatives de l’Union en matière de protection des données;
19. souligne que le transfert de données à caractère personnel révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques ou les données relatives à la santé et à la vie sexuelle des personnes est extrêmement sensible et suscite de profondes préoccupations compte tenu du cadre juridique, des caractéristiques sociétales et du contexte culturel différents du Royaume hachémite de Jordanie par rapport à l’Union européenne; souligne que les actes criminels sont définis différemment dans l’Union et dans le Royaume hachémite de Jordanie; est d’avis qu’un tel transfert de données ne doit donc avoir lieu que dans des cas très exceptionnels et être assorti des garanties claires pour la personne concernée et les personnes liées à cette dernière; estime qu’il est nécessaire de définir des garanties spécifiques que le Royaume hachémite de Jordanie devrait respecter en ce qui concerne les libertés et droits fondamentaux, y compris le respect de la liberté d’expression, de la liberté de religion et de la dignité humaine;
20. estime qu’un mécanisme de suivi devrait être intégré à l’accord et que ce dernier devrait faire l’objet d’évaluations périodiques afin d’en évaluer le fonctionnement par rapport aux besoins opérationnels d’Europol ainsi que le respect des droits et principes européens en matière de protection des données;
21. invite la Commission à demander conseil au CEPD avant la finalisation de l’accord international, conformément au règlement (UE) 2016/794 et au règlement (CE) nº 45/2001;
22. souligne que l’approbation du Parlement en vue de la conclusion de l’accord dépend de sa participation satisfaisante à toutes les étapes de la procédure, conformément à l’article 218 du traité FUE;
23. charge son Président de transmettre la présente résolution au Conseil et à la Commission ainsi qu’au gouvernement du Royaume hachémite de Jordanie.