Print

Contrôle d'Europol

Conformément au règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 (ci-après le «règlement Europol»), le CEPD - l’autorité indépendante de l’UE chargée de la protection des données - a pour tâche, depuis le 1er mai 2017, de contrôler la licéité du traitement de données à caractère personnel par Europol.

Europol est l’organe de l’UE qui collabore activement avec les services répressifs des États membres de l’UE dans la lutte contre la grande criminalité internationale et le terrorisme. Europol travaille également avec de nombreux États tiers partenaires et des organisations internationales, en particulier dans la lutte contre le terrorisme, la criminalité informatique et le trafic d’êtres humains.

Le règlement Europol s'applique au traitement des données opérationnelles, à savoir des données traitées par Europol, afin d'aider les États membres à prévenir et à combattre la criminalité et le terrorisme.

Le règlement Europol confère à toute personne physique le droit d’être informée du fait que des données à caractère personnel la concernant sont traitées ou non par Europol, de demander la rectification, l’effacement ou la limitation de ces données et, de manière plus générale, le droit à ce que ses données soient traitées conformément aux principes en matière de protection des données, notamment de façon loyale et licite.

Parallèlement, le règlement Europol renforce encore la coopération policière en matière pénale dans l’espace de liberté, de sécurité et de justice (ELSJ).

Désormais chargé du contrôle de la protection des données d’Europol, le CEPD - en totale synergie et en collaboration avec les autorités de contrôle nationales - veillera à ce que le bon équilibre soit trouvé entre les droits en matière de protection des données et l’intérêt public essentiel en matière de sécurité.

Le CEPD s’engage à exercer son rôle de contrôleur, en renforçant les garanties d’une manière pratique et moderne conformément aux nouveaux défis en matière répressive.

Pour réaliser ce travail de contrôle, le CEPD s’acquitte de différentes tâches, en tenant également compte de la dimension transfrontalière (aux niveaux européen et international) du traitement des données:

- les inspections effectuées par le CEPD en collaboration avec les autorités de contrôle nationales sont l’un des outils définis dans la règlement Europol pour s’assurer de la conformité;

- le CEPD conseille Europol, de sa propre initiative ou en réponse à une consultation, sur toutes les questions qui concernent le traitement de données à caractère personnel, notamment lorsque l’Agence définit un règlement intérieur ou des mesures administratives liés à la protection des libertés et des droits fondamentaux et aux libertés à l’égard du traitement des données à caractère personnel ou en référence au transfert et à l’échange de données à caractère personnel;

- lorsque de nouveaux types d’opérations de traitement effectuées par Europol (notamment en raison des catégories de données concernées ou de l’utilisation de nouvelles technologies ou procédures) présentent des risques spécifiques pour les personnes physiques, ces opérations de traitement doivent être soumises au CEPD pour consultation préalable. En se fondant sur les faits présentés par Europol, le CEPD examinera le traitement des données à caractère personnel eu égard aux garanties relatives à la protection des données prévues dans le règlement Europol et à tous les principes et règles présentant une pertinence en la matière. Dans la plupart des cas, cet exercice débouchera sur la formulation d’un ensemble de recommandations que le responsable du traitement devra mettre en œuvre afin de s’assurer de la conformité avec les règles en matière de protection des données;

- Le CEPD reçoit et examine les réclamations des personnes physiques qui estiment que leurs données à caractère personnel ont été traitées de manière incorrecte par Europol. Si une réclamation est recevable, le CEPD mène une enquête. Dans les cas concernant des données provenant d’un ou plusieurs États membres, le CEPD consultera l’autorité de contrôle nationale ou l’État membre concerné. Il adopte ensuite une décision qui est communiquée à l’auteur de la réclamation;

- que ce soit en tant que suivi à une réclamation ou de sa propre initiative, par exemple sur la base des informations qu’Europol doit transmettre au CEPD conformément au règlement Europol (en ce qui concerne les nouveaux projets d’analyse opérationnelle, les données conservées plus de cinq ans, certains transferts vers des pays tiers ou à des organisations internationales, etc.), le CEPD peut mener des enquêtes pour contrôler la conformité concernant un sujet spécifique.

- Europol a une obligation spécifique de signaler les violations de données opérationnelles au CEPD, ainsi qu'aux autorités compétentes des États membres, sans retard injustifié. Les données opérationnelles sont des données traitées par Europol dans le cadre de leur activité principale consistant à aider les États membres à prévenir et combattre la criminalité transfrontalière et le terrorisme. Si la violation est susceptible de présenter un risque élevé de porter atteinte aux droits et libertés des individus, Europol doit également en informer les personnes concernées sans retard inutile. Europol doit veiller à mettre en place des mécanismes de prévention et de détection des violations de données à caractère personnel, ainsi que des procédures d'enquête et de signalement internes. Ils doivent également veiller à ce que lorsqu'ils identifient une violation de données à caractère personnel, ils soient en mesure de réagir efficacement pour atténuer les effets négatifs de la violation sur les personnes dont les données ont été compromises. Europol doit documenter les violations de données opérationnelles, y compris tous les détails sur la violation, et le DPD doit tenir un registre de toutes les violations de données à caractère personnel. Pour les données administratives, Europol est soumis aux mêmes règles que les autres institutions de l'UE en vertu du règlement 2018/1725

Comme cela a été mentionné, l’un des aspects essentiel de ce contrôle réside dans la collaboration avec les autorités de contrôle nationales, notamment au sein du comité de coopération d’Europol récemment créé. Il s’agit d’un forum ayant une fonction consultative et permettant de discuter de questions courantes tout en travaillant ensemble à l’élaboration, par exemple, de lignes directrices et de bonnes pratiques.

Afin de contrôler le respect des dispositions fixées par le règlement Europol, le CEPD collaborera avec le délégué à la protection des données (DPD) désigné par Europol.

Dans le cadre du rapport annuel, le CEPD publiera un rapport annuel concernant les activités de contrôle portant sur Europol, y compris des informations relatives aux réclamations, aux enquêtes, aux inspections, aux transferts de données à caractère personnel vers des pays tiers et des organisations internationales, ainsi qu’aux consultations préalables.

Le CEPD rend également compte, dans le cadre de son activité de contrôle, au groupe de contrôle parlementaire conjoint, qui est composé de représentants du Parlement européen et des parlements nationaux et qui a été créé en vertu du règlement Europol.

Site archivé de l'ancien organe de contrôle conjoint d'Europol.

Le règlement 2018/1725 s'applique au traitement des données administratives par Europol, qui comprend des données sur le personnel et les visiteurs, par exemple.

 

 

 

10
Jan
2022

EDPS orders Europol to erase data concerning individuals with no established link to a criminal activity

On 3 January 2022, the EDPS notified Europol of an order to delete data concerning individuals with no established link to a criminal activity (Data Subject Categorisation). This Decision concludes the EDPS’ inquiry launched in 2019.

Decision
Langues disponibles: anglais
FAQs
Langues disponibles: anglais

 

16
Jun
2021

Remarks at the LIBE meeting on the follow-up to the EDPS admonishment of Europol

Remarks by the European Data Protection Supervisor, Wojciech Wiewiórowski, at the Committee on Civil Liberties, Justice and Home Affairs (LIBE) meeting on the follow-up to the EDPS admonishment of Europol in Brussels, Belgium.

Langues disponibles: anglais
Topics