Conclusion d’un accord UE – Nouvelle-Zélande, en cours de négociation, sur l’échange de données à caractère personnel pour lutter contre les formes graves de criminalité et le terrorisme
Résolution du Parlement européen du 10 juillet 2020 sur la recommandation du Parlement européen au Conseil et à la Commission concernant la conclusion d’un accord, en cours de négociation, entre l’Union européenne et la Nouvelle-Zélande sur l’échange de données à caractère personnel entre l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et les autorités néo-zélandaises compétentes pour lutter contre les formes graves de criminalité et le terrorisme (COM(2019)0551 – 2020/2048(INI))
Le Parlement européen,
– vu la recommandation de la Commission en vue d’une décision du Conseil autorisant l’ouverture de négociations en vue d’un accord entre l’Union européenne et la Nouvelle-Zélande sur l’échange de données à caractère personnel entre l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et les autorités néo-zélandaises compétentes pour lutter contre les formes graves de criminalité et le terrorisme (COM(2019)0551),
– vu la décision du Conseil du 13 mai 2020 autorisant l’ouverture de négociations avec la Nouvelle-Zélande en vue d’un accord entre l’Union européenne et la Nouvelle-Zélande sur l’échange de données à caractère personnel entre l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et les autorités néo-zélandaises compétentes pour lutter contre les formes graves de criminalité et le terrorisme,
– vu la charte des droits fondamentaux de l’Union européenne (ci-après dénommée «charte»), et notamment ses articles 2, 6, 7, 8 et 47,
– vu le traité sur l’Union européenne, notamment son article 6, et le traité sur le fonctionnement de l’Union européenne (traité FUE), notamment ses articles 16 et 218,
– vu le règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 relatif à l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI(1),
– vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) nº 45/2001 et la décision 1247/2002/CE(2),
– vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE(3),
– vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques(4),
– vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil(5),
– vu la convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE nº 108) du 28 janvier 1981 et le protocole additionnel du 8 novembre 2001 à la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, concernant les autorités de contrôle et les flux transfrontières de données (STE nº 181),
– vu l’avis 1/2020 du Contrôleur européen de la protection des données (CEPD) sur le mandat de négociation en vue de la conclusion d’un accord international sur l’échange de données à caractère personnel entre Europol et les services répressifs néo-zélandais,
– vu le rapport 2019 d’Europol sur la situation et les tendances du terrorisme en Europe,
– vu l’appel à l’action de Christchurch lancé par la Nouvelle-Zélande, la France, la Commission, les entreprises du secteur de la technologie et d’autres acteurs en vue d’éliminer les contenus terroristes et extrémistes violents en ligne,
– vu l’article 114, paragraphe 4, de son règlement intérieur,
– vu le rapport de la commission des libertés civiles, de la justice et des affaires intérieures (A9‑0131/2020),
A. considérant que le règlement (UE) 2016/794 autorise le transfert de données à caractère personnel à l’autorité compétente d’un pays tiers ou à une organisation internationale, dans la mesure où ce transfert est nécessaire à l’exécution des tâches d’Europol, sur la base d’une décision d’adéquation prise par la Commission en application de la directive (UE) 2016/680, d’un accord international en vertu de l’article 218 du traité FUE offrant des garanties suffisantes au regard de la protection de la vie privée et des libertés et des droits fondamentaux des personnes, ou d’accords de coopération permettant l’échange de données à caractère personnel, conclus avant le 1er mai 2017 et, au cas par cas, à titre exceptionnel, dans les conditions strictes énoncées à l’article 25, paragraphe 5, du règlement (UE) 2016/794 et moyennant l’existence de garanties adéquates; souligne que l’accord doit respecter pleinement les droits fondamentaux et les principes reconnus par la charte;
B. considérant que les accords internationaux permettant à Europol et aux pays tiers de coopérer et d’échanger des données à caractère personnel devraient respecter les droits fondamentaux reconnus par la charte, notamment ses articles 2, 6, 78 et 47, et par l’article 16 du traité FUE, et donc respecter le principe de limitation de la finalité et les droits d’accès et de rectification; que ces accords devraient faire l’objet d’un contrôle par une autorité indépendante, ainsi que le prévoit expressément la charte, et être nécessaires et proportionnés à l’accomplissement des missions d’Europol;
C. que le document de programmation d’Europol pour 2020-2022(6) souligne que la mise en œuvre intégrale et efficace des activités de la plateforme pluridisciplinaire européenne contre les menaces criminelles (EMPACT), en particulier au niveau opérationnel, ne peut être assurée sans un partenariat étroit avec des pays et des organisations tiers; que l’Union européenne et la Nouvelle-Zélande portent un regard comparable sur les questions de sécurité mondiale et suivent des approches similaires à cet égard;
D. considérant qu’Europol et les forces de police néo-zélandaises ont déjà établi un cadre de coopération renforcée au moyen d’un arrangement de travail et d’un mémorandum d’accord, tous deux signés en 2019, permettant aux forces de police néo-zélandaises d’utiliser l’application de réseau d’échange sécurisé d’informations (SIENA) et de déployer de manière permanente un officier de liaison au siège d’Europol à La Haye;
E. considérant qu’Europol a conclu par le passé plusieurs accords opérationnels avec des pays tiers sur l’échange de données à caractère personnel; qu’en 2018, l’Union a engagé des négociations sur ce point avec huit pays du Moyen-Orient et d’Afrique du Nord (la Turquie, Israël, la Tunisie, le Maroc, le Liban, l’Égypte, l’Algérie et la Jordanie); et que le Parlement a adopté des résolutions sur les mandats de négociation concernant ces accords(7);
F. considérant qu’Europol a estimé que la menace émanant des terroristes djihadistes était élevée, et qu’en 2018, le terrorisme a continué de représenter une menace considérable pour la sécurité dans les États membres; que si le nombre d’arrestations de terroristes d’extrême-droite est resté relativement faible, il a augmenté pour la troisième année consécutive; que les États membres ont indiqué à Europol que les autorités répressives avaient eu recours à des outils d’échange de données pour déjouer ou perturber 129 attentats djihadistes, ou pour enquêter à leur sujet en 2018;
G. considérant que le Contrôleur européen de la protection des données (CEPD) surveille Europol depuis le 1er mai 2017 et conseille également les institutions de l’Union sur les politiques et la législation en matière de protection des données, y compris lors de la négociation d’accords en matière répressive;
H. considérant que, eu égard à l’attaque terroriste de droite perpétrée en 2019 contre deux mosquées à Christchurch, la formalisation d’une coopération opérationnelle entre Europol et la Nouvelle-Zélande au titre de l’accord, en permettant l’échange de données à caractère personnel, pourrait jouer un rôle essentiel dans la prévention et la répression d’autres infractions graves susceptibles d’être préparées ou commises dans l’Union ou dans le monde;
I. considérant que les transferts de données à caractère personnel collectées dans le cadre d’enquêtes pénales et traitées ultérieurement par Europol au titre de l’accord sont susceptibles d’avoir une incidence significative sur la vie des personnes concernées;
1. estime que la coopération avec la Nouvelle-Zélande en matière répressive aidera l’Union européenne à améliorer la protection de ses intérêts en matière de sécurité, notamment dans les domaines de la prévention du terrorisme et de la lutte contre celui-ci, de l’enrayement de la criminalité organisée et de la lutte contre la cybercriminalité; encourage la Commission à entamer rapidement des négociations avec la Nouvelle-Zélande sur l’échange de données à caractère personnel entre Europol et les autorités néo-zélandaises compétentes pour lutter contre les formes graves de criminalité et le terrorisme dans le plein respect des directives de négociation adoptées par le Conseil; invite la Commission à suivre les recommandations supplémentaires établies dans la présente résolution;
2. insiste pour que le niveau de protection des données prévu dans l’accord soit substantiellement équivalent au niveau de protection garanti par le droit de l’Union, à la fois en droit et dans la pratique; insiste également sur le fait que, si ce niveau de protection n’est pas garanti, l’accord ne pourra être conclu; souligne à cet égard qu’en 2012, la Commission a formellement reconnu que la Nouvelle-Zélande offrait un niveau de protection adéquat des données à caractère personnel; que cette décision ne s’applique toutefois qu’aux questions entrant dans le champ du règlement (UE) 2016/679 et ne s’applique donc pas aux questions relevant du domaine répressif;
3. estime qu’il convient de privilégier les échanges d’informations transfrontières entre l’ensemble des autorités répressives compétentes, au sein de l’Union et avec des partenaires mondiaux, en vue de lutter plus efficacement contre les infractions graves et contre le terrorisme;
4. exige que l’accord prévoie l’ensemble des garanties et contrôles nécessaires en matière de protection des données à caractère personnel établis dans les directives de négociation; relève que le transfert de données à caractère personnel sensibles ne devrait être autorisé que dans des cas exceptionnels, lorsque de tels transferts sont absolument nécessaires et proportionnés, pour prévenir et lutter contre les infractions pénales visées par l’accord; souligne que des garanties claires devraient être définies pour les personnes concernées, les individus ayant un lien avec les personnes concernées et les individus ayant un lien avec les infractions pénales, tels que les témoins et les victimes, en vue de garantir le respect des droits fondamentaux;
5. est d’avis que, conformément au principe de limitation de la finalité, le futur accord devrait établir explicitement une liste d’infractions pénales justifiant l’échange de données à caractère personnel, conforme aux définitions des infractions pénales de l’Union européenne, lorsqu’elles sont disponibles; note que cette liste doit préciser les activités couvertes par ces infractions ainsi que les effets éventuels liés au transfert de données à caractère personnel;
6. souligne que les données à caractère personnel transférées devraient être liées à des affaires pénales particulières; souligne que l’accord devrait comporter une définition claire de la notion d’affaires pénales particulières, car cette notion est nécessaire à l’évaluation de la nécessité et de la proportionnalité des transferts de données;
7. insiste pour que l’accord contienne une disposition claire et précise fixant la durée de conservation des données à caractère personnel transférées à la Nouvelle-Zélande et imposant l’effacement des données à la fin de cette période; demande que des mesures procédurales soient prévues dans l’accord afin d’en garantir le respect; demande, à cet égard, que l’accord prévoie en particulier une évaluation périodique des périodes de conservation et de tout nouveau besoin de conserver les données à caractère personnel transférées ainsi que d’autres mesures appropriées visant à garantir le respect des délais; insiste pour que, dans des cas exceptionnels, lorsqu’il existe des raisons dûment justifiées de conserver les données pendant une période prolongée, au-delà de la fin de la période de conservation des données, ces raisons et les documents d’accompagnement soient communiqués à Europol et au CEPD;
8. exhorte le Conseil et la Commission à déterminer conjointement avec le gouvernement de la Nouvelle-Zélande, conformément à la jurisprudence de la Cour de justice et au sens de l’article 8, paragraphe 3, de la charte, quelle sera l’autorité de contrôle indépendante dotée de pouvoirs d’investigation et d’intervention effectifs chargée de surveiller la mise en œuvre de l’accord international; demande qu’un accord soit trouvé à propos de cette autorité et que celle-ci soit mise en place avant l’entrée en vigueur de l’accord international; insiste sur le fait que cette autorité doit être expressément nommée dans l’accord;
9. estime que l’accord international devrait comprendre une disposition permettant à l’Union européenne de le suspendre ou de le révoquer en cas de violation; estime que l’autorité de contrôle indépendante doit également être habilitée à suspendre ou à mettre fin aux transferts de données à caractère personnel en cas de violation; estime qu’en vertu de l’accord, les autorités devraient être autorisées à poursuivre le traitement de toutes les données à caractère personnel relevant du champ d’application de l’accord transférées avant la suspension ou la résiliation de celui-ci; estime qu’il conviendrait de mettre en place un mécanisme de suivi et d’évaluation périodique de l’accord afin d’évaluer le respect par les partenaires dudit accord et de son fonctionnement par rapport aux besoins opérationnels d’Europol, ainsi que de la législation en matière de protection des données à caractère personnel;
10. estime que les transferts ultérieurs d’informations d’Europol par les autorités compétentes de la Nouvelle-Zélande à d’autres autorités en Nouvelle-Zélande, notamment pour leur utilisation dans une procédure judiciaire, ne devraient être autorisés qu’aux fins initiales du transfert par Europol et devraient être soumis à une autorisation préalable d’Europol; fait observer que les transferts ultérieurs d’informations d’Europol par les autorités compétentes de la Nouvelle-Zélande à des autorités se trouvant dans un pays tiers ne devraient pas être autorisés;
11. invite le Conseil et la Commission à consulter le CEPD au sujet des dispositions du projet d’accord avant sa finalisation et tout au long des négociations;
12. estime que le droit des personnes concernées à l’information et à la rectification et à l’effacement de leurs données doit figurer dans l’accord international avec la Nouvelle-Zélande, conformément aux autres dispositions législatives de l’Union en matière de protection des données; demande, à cet égard, que l’accord contienne des règles claires et détaillées concernant les informations à fournir aux personnes concernées;
13. souligne que le consentement du Parlement à la conclusion de l’accord sera subordonné à sa participation satisfaisante à toutes les étapes de la procédure; demande à être tenu pleinement et activement informé de l’avancée des négociations conformément à l’article 218 du traité FUE et à recevoir les documents en même temps que le Conseil, de sorte à pouvoir exercer son rôle de contrôle;
14. souligne qu’il ne donnera son accord à la conclusion de l’accord que si un tel accord ne présente aucun risque relatif aux droits à la vie privée et à la protection des données, ni à d’autres libertés et droits fondamentaux protégés par la charte; indique, à cet égard, qu’en vertu de l’article 218, paragraphe 11, du traité FUE, il peut obtenir l’avis de la Cour de justice sur la compatibilité d’un accord envisagé avec les traités;
15. charge son Président de transmettre la présente résolution au Conseil et à la Commission ainsi qu’au gouvernement de la Nouvelle-Zélande.