II. TOUTES LES INTERROGATIONS SOULEVÉES PAR LA CRÉATION D'EUROPOL N'ONT PAS ÉTÉ LEVÉES
A. LES INCERTITUDES LIÉES À L'ÉQUILIBRE ENTRE CONFIDENTIALITÉ DES INFORMATIONS ET PROTECTION DES PERSONNES
L'information -la façon dont elle est fournie et dont
elle circule- apparaît ainsi au coeur du fonctionnement d'Europol. Il est
naturel que la convention lui consacre ainsi l'essentiel de ses dispositions.
Un système comme Europol soulève deux questions cruciales :
la confidentialité des informations d'une part, la protection des droits
de la personne d'autre part. Au moment des négociations, la
présidence française avait avancé un compromis
équilibré entre ces deux exigences. Si les propositions relatives
aux garanties de confidentialité ont été retenues dans la
convention, il n'en est pas de même, en revanche, de la protection des
droits de la personne où l'accord retenu s'écarte des solutions
françaises.
1. Les garanties de confidentialité
L'architecture du système informatisé d'Europol
repose sur deux éléments :
· un système d'information ;
· des fichiers créés aux fins d'analyse.
a) Un système d'information
Le système d'information, d'une part, comprend les
informations relatives aux personnes qui, au regard du droit national de l'Etat
membre concerné sont soupçonnées d'avoir commis une
infraction ou participé à une infraction relevant de la
compétence d'Europol et, d'autre part, aux personnes pour lesquelles
certains faits graves laissent présumer qu'elles commettront des
infractions relevant de la compétence d'Europol (art. 8, par. 1). Les
données qui peuvent être ainsi enregistrées sont
précisément déterminées : nom, date et lieu de
naissance, nationalité, sexe et, le cas échéant, d'autres
éléments permettant d'établir l'identité (art. 8,
par. 2). Les unités nationales auront un
accès direct
à ces données.
Mais le système d'information peut comprendre en outre des indications
complémentaires relatives à ces personnes : les infractions,
les moyens utilisés, les services traitants, la suspicion d'appartenance
à une organisation criminelle (art. 8, par. 3). Ces données se
caractérisent par un plus large degré de
confidentialité et les unités nationales ne pourront y
avoir accès que par l'intermédiaire de leurs officiers de liaison
et pour les besoins d'une enquête déterminée.
Si la procédure ouverte à l'égard de
l'intéressé est définitivement clause ou si celui-ci est
acquitté, les données concernées par cette décision
doivent être effacées (art. 8, par. 5).
Les informations sont fournies directement par les Etats par le biais des
unités nationales et des officiers de liaison ou par Europol pour les
données communiquées par des Etats ou des institutions tiers et
les données résultant d'analyses conduites par Europol
lui-même. Par ailleurs, parmi le personnel d'Europol, seuls le directeur,
les directeurs adjoints et les agents d'Europol "
dûment
habilités
" ont le droit d'introduire directement ou de
rechercher des données dans le système d'information.
Seule l'unité qui a introduit les données est autorisée
à les modifier, les rectifier ou les effacer (art. 9, par. 2).
b) Les fichiers d'analyse
La mise en place de
fichiers de travail à des fins
d'analyse
constitue toutefois
l'aspect le plus novateur
d'Europol
car il marque l'introduction de la notion d'analyse criminelle à
l'échelon européen.
Ces fichiers se distinguent du système d'information de par leur
fonction, de par leur contenu et enfin, de par leurs modalités
d'utilisation.
En premier lieu, les fichiers sont créés aux fins de l'analyse,
dans le but d'
appuyer l'enquête criminelle
(art. 10, par. 2).
En second lieu, les fichiers concernent non seulement les personnes
visées à l'article 8 mais également les personnes pouvant
être appelées à témoigner à l'occasion
d'enquête, des personnes ayant été victimes d'infractions,
des personnes servant de contacts ou d'accompagnateurs, ainsi, enfin, que des
personnes pouvant fournir des informations sur les infractions
considérées.
Les données ainsi stockées permettent l'établissement d'un
système d'index
que peuvent consulter le directeur d'Europol, les
directeurs adjoints, les agents dûment habilités et les officiers
de liaison. Ce système d'index doit permettre à l'officier de
liaison d'établir que les fichiers contiennent des informations
concernant son Etat membre d'origine.
Toutefois, les informations contenues dans ces fichiers ne sont pas
d'accès direct. Leur utilisation passe par le relais d'un groupe
d'analyse. En effet, chaque projet d'analyse entraîne la constitution
d'un groupe d'analyse qui associe d'une part les analystes et les autres agents
d'Europol désignés par la direction de cet organisme et d'autre
part, les officiers de liaison et les experts des Etats à l'origine des
informations ou concernés par l'analyse.
Les informations sont transmises par les Etats de leur propre initiative ou
à la demande d'Europol. Europol peut également s'adresser
à des organismes tiers tels qu'Interpol, selon des modalités
définies à l'unanimité par le Conseil européen,
afin d'obtenir des informations complémentaires et nécessaires
pour l'exercice de ses missions.
Le degré de confidentialité des travaux des groupes d'analyse
dépend de la nature de l'analyse conduite.
En effet, si l'analyse présente un caractère
général et de type stratégique. L'ensemble des Etats
membres, par l'intermédiaire des officiers de liaison, est pleinement,
associé aux résultats des travaux notamment par la communication
des rapports d'Europol.
Si, en revanche, l'analyse porte sur des cas particuliers et présente un
caractère directement opérationnel, seuls les Etats se trouvant
dans l'un des trois cas de figure suivants participent à l'analyse
conduite sous l'égide d'Europol :
· les Etats à l'origine des informations qui ont suscité
la création du fichier d'analyse ;
· les Etats concernés par ces informations ;
· les Etats auxquels la consultation du système d'index leur
permet de penser qu'ils sont intéressés par l'analyse en
cours ; dans ce cas, l'officier de liaison de l'Etat concerné est
associé de plein droit aux travaux du groupe après avoir
présenté une demande motivée et visée par
l'autorité hiérarchique dont il relève dans son Etat. Une
procédure de conciliation est prévue dans l'hypothèse
où une objection s'élèverait au sein du groupe d'analyse.
En dernier ressort, il appartient au conseil d'administration de se prononcer
par consensus.
L'Etat membre qui transmet une donnée à Europol juge, seul, de
son degré de sensibilité. La diffusion ou l'exploitation
opérationnelle d'une donnée d'analyse suppose, au
préalable, la concertation des participants à l'analyse. Un Etat
membre accédant à une analyse en cours ne pourrait naturellement
pas diffuser ou exploiter des données sans l'accord des Etats membres
d'abord concernés.
Ces mécanismes permettent de respecter les exigences de la
confidentialité en fonction du degré de sensibilité des
informations concernées.
La convention prévoit en outre à l'article 4 une garantie plus
générale. Une unité nationale peut refuser de communiquer
des informations à Europol pour trois motifs principaux : les
intérêts nationaux essentiels en matière de
sécurité, le bon déroulement d'une enquête et la
sécurité des personnes, enfin la protection des activités
de renseignement en matière de sécurité de l'Etat.
En outre, un règlement relatif à la protection du secret et
à la confidentialité pour l'ensemble des informations
traitées par Europol devrait être finalisé sous la
présidence luxembourgeoise du Conseil européen. Il permettra
notamment de définir, dans le cadre d'un manuel de
sécurité, les conditions de détermination des trois
niveaux de sécurité retenus : " confidentiel ",
" secret, et " top secret ". Les principes
directeurs qui
président à l'élaboration du règlement s'efforcent
de tenir compte des spécificités de chacun des Etats membres en
matière de protection de l'information et de la nécessité
de préserver une certaine souplesse opérationnelle.
Enfin, s'il est prévu qu'Europol puisse transmettre des données
à caractère personnel à des Etats ou instances tiers,
l'accord des Etats membres constitue un préalable pour toutes les
informations qu'ils ont transmises à l'Office européen de police.
2. La protection des personnes
La nécessité de veiller au principe de
confidentialité ne saurait toutefois conduire à
méconnaître les droits et libertés des personnes. Le
débat s'est cristallisé en particulier sur le régime
d'accès des particuliers aux données d'Europol.
Lors des négociations, la France avait présenté un
compromis permettant de respecter la spécificité des
régimes législatifs des pays qui, comme l'Allemagne ou les
Pays-Bas, donnent à leurs citoyens un accès direct pour le
contrôle des données de police les concernant et les autres qui,
telle la France avec la Commission nationale informatique et liberté
(CNIL), utilise le relais d'un organisme spécialisé et
indépendant.
La proposition française laissait ainsi à Europol la
possibilité de répondre directement à un ressortissant
d'un pays où l'accès direct aux informations sur les fichiers le
concernant est prévu par la loi ou la constitution. En revanche, dans
les pays où prévaut l'accès indirect, Europol
répondrait par l'intermédiaire de l'institution
indépendante nationale -la CNIL pour la France.
Or, le dispositif retenu s'est écarté de cette formulation :
d'une part, Europol répond directement au requérant, d'autre
part, toute personne désireuse d'accéder aux informations la
concernant peut formuler sa demande dans tout Etat membre de son choix : le
droit à vérification s'exerce alors dans les conditions
prévues par le droit national des pays où la demande a
été formulée. En outre, dans l'hypothèse d'un
contentieux, l'autorité de contrôle commune prend sa
décision conformément au droit national de l'Etat membre
auprès duquel la demande a été introduite.
Il est clair ainsi que le souci de placer les citoyens des Etas-membres
d'Europol dans une situation d'égalité vis-à-vis de
l'accès aux données les concernant a primé sur la prise en
compte des spécificités nationales.
Toutefois, les clauses de sauvegarde obtenues par la France devraient en
principe limiter les possibles inconvénients liés à ce
système dont votre rapporteur présentera maintenant, de
façon détaillée, les éléments.
a) Les conditions d'accès
Dans tous les cas, la personne désireuse
d'accéder aux données la concernant ou de les faire
vérifier doit s'adresser à l'autorité nationale
compétente chargée de saisir Europol. Le droit d'accès
s'organise différemment dans chaque Etat membre selon son droit
national. Certains pays permettent la communication des données,
d'autres n'autorisent qu'un droit à vérification. Toutefois la
convention reconnaît en fait au demandeur d'utiliser ces deux
possibilités car elle lui laisse
la liberté de formuler sa
requête dans tout Etat-membre de son choix.
Quand le droit de l'Etat membre saisi prévoit la communication relative
aux données, celle-ci peut être refusée pour trois
motifs : le bon fonctionnement d'Europol, la protection de la
sécurité des Etats membres et de l'ordre public, la protection
des droits et libertés des tiers.
Les Etats membres
intéressés par les données demandées ont la
faculté de faire connaître leur position qui peut aller jusqu'au
refus de communication
(art. 19, par. 4). Quand le droit de l'Etat membre
ne reconnaît pas la communication relative aux données, Europol
procède aux vérifications sans donner d'indications qui puissent
révéler au requérant s'il est ou non connu (art. 19, par.
5).
Dans tous les cas, la demande doit faire l'objet d'un traitement complet par
Europol dans les trois mois qui suivent la réception de la demande par
l'autorité nationale compétente.
b) Les conditions de contrôle
Le droit d'accès est placé sous le
contrôle des autorités de contrôle nationales et d'une
autorité de contrôle commune.
Les autorités de contrôle nationales veillent à la
régularité de la transmission ou de la consultation à
Europol de données à caractère personnel par leurs Etats
respectifs. Pour la France, la Commission nationale Informatique et
Libertés constitue l'autorité de contrôle nationale.
En outre une autorité de contrôle commune indépendante
composée au maximum de deux représentants de chacune des
autorités de contrôle nationales veille au respect, par Europol,
des droits de la personne. A cette fin Europol est notamment tenu de lui
fournir tous les renseignements ou documents qu'elle demande. L'autorité
de contrôle commune constitue l'instance de recours pour les personnes
qui se sont vu refuser une demande de communication.
Quand le recours concerne une communication relative aux données
introduites par un Etat membre, l'autorité de contrôle commune
prend sa décision conformément au droit national de l'Etat
auprès duquel la demande a été formulée, et "en
étroite coordination avec l'autorité de contrôle nationale
ou la juridiction compétente de l'Etat membre qui est à l'origine
de la donnée". La formulation retenue se rapproche des stipulations
retenues par la convention de Schengen (art. 114) tandis que l'avant-projet de
la convention Europol ne mentionnait guère que " l'information, si
nécessaire, de l'autorité de contrôle nationale ".
Quand le recours concerne la communication de données introduites par
Europol, l'autorité commune ne peut passer outre à une opposition
persistante d'Europol ou d'un Etat membre qu'à la majorité des
deux tiers de ses membres. La convention apporte des garanties
supplémentaires pour le respect des droits de la personne.
Europol et les Etats membres sont aussi tenus de rectifier ou d'effacer les
données entachées d'erreur ou contraires aux dispositions de la
convention. Par ailleurs, la nécessité de conserver les
données doit faire l'objet d'un examen trois ans au plus tard
après l'introduction de ces informations. Les données à
caractère personnel ne peuvent être conservées
au-delà d'un délai de trois ans, même si ce délai
recommence à courir chaque fois qu'une information nouvelle concerne la
personne intéressée (art. 21, par. 3). Toute
personne concernée par un dossier d'Europol peut demander la
rectification ou la suppression des données la concernant. Elle peut
saisir le cas échéant l'autorité de contrôle commune
(art. 22, par. 3).
Cette instance analyse dans un rapport d'activité qu'elle peut rendre
public, les difficultés soulevées par l'activité d'Europol
en matière de traitement et d'utilisation de données à
caractère personnel. Elle peut également formuler des
propositions (art. 24, par. 3).
Enfin la convention commande aux Etats de prendre avant la date d'entrée
en vigueur de la convention "les mesures de droit interne nécessaires
pour garantir un niveau de protection des données correspondant aux
moins à celui qui résulte de l'application de principes de la
convention du Conseil de l'Europe du 28 janvier 1981" (art. 14, par. 1).
Cette
convention porte sur la protection des personnes à l'égard du
traitement automatisé des données à caractère
personnel. L'article 6 de la convention relative à Europol se
réfère également à l'article 6 de ce texte, et
interdit de sélectionner une catégorie particulière de
personnes à partir de "données à caractère
personnel révélant l'origine raciale, les opinions publiques, les
convictions religieuses, ainsi que les données à caractère
personnel relatives à la santé ou à la vie sexuelle".
La France dispose quant à elle d'un dispositif législatif qui
assure à la protection du droit des personnes les garanties requises.