Conformément au règlement (UE) 2016/794 du Parlement européen et du Conseil du 11 mai 2016 (ci-après le «règlement Europol»), le CEPD - l’autorité indépendante de l’UE chargée de la protection des données - a pour tâche, depuis le 1er mai 2017, de contrôler la licéité du traitement de données à caractère personnel par Europol.
Europol est l’organe de l’UE qui collabore activement avec les services répressifs des États membres de l’UE dans la lutte contre la grande criminalité internationale et le terrorisme. Europol travaille également avec de nombreux États tiers partenaires et des organisations internationales, en particulier dans la lutte contre le terrorisme, la criminalité informatique et le trafic d’êtres humains.
Le règlement Europol s'applique au traitement des données opérationnelles, à savoir les données traitées par Europol pour aider les États membres à prévenir et combattre la grande criminalité organisée, ainsi que le terrorisme. Depuis la modification du règlement Europol entrée en vigueur le 28 juin 2022, le chapitre IX du RPD-UE (règlement 2018/1725) est également applicable à Europol.
Le règlement Europol accorde à toute personne le droit d'obtenir l'accès à ses données détenues à Europol (article 36). Ce droit d'accès est décrit plus en détail à l'article 80 du RPD-UE.
De même, les personnes concernées peuvent demander la rectification, l'effacement et la limitation (article 37) de leurs données, comme décrit plus en détail à l'article 82 du RPD-UE.
Le CEPD, en tant qu'autorité de contrôle indépendante, veille à ce que le traitement des données à caractère personnel effectué par Europol soit conforme à la législation sur la protection des données.
Le CEPD s'engage à exercer ce rôle de contrôle, en renforçant les garanties de manière pratique et moderne, en adéquation avec les nouveaux défis en matière répressive.
Pour réaliser ce travail de contrôle, le CEPD s’acquitte de différentes tâches, en tenant également compte de la dimension transfrontalière (aux niveaux européen et international) du traitement des données:
- les inspections effectuées par le CEPD en collaboration avec les autorités de contrôle nationales sont l’un des outils définis dans la règlement Europol pour s’assurer de la conformité;
- le CEPD conseille Europol, de sa propre initiative ou en réponse à une consultation, sur toutes les questions qui concernent le traitement de données à caractère personnel, notamment lorsque l’Agence définit un règlement intérieur ou des mesures administratives liés à la protection des libertés et des droits fondamentaux et aux libertés à l’égard du traitement des données à caractère personnel ou en référence au transfert et à l’échange de données à caractère personnel;
- lorsque de nouveaux types d’opérations de traitement effectuées par Europol (notamment en raison des catégories de données concernées ou de l’utilisation de nouvelles technologies ou procédures) présentent des risques élevés pour les personnes physiques, ces opérations de traitement doivent être soumises au CEPD pour consultation préalable. En se fondant sur les faits présentés par Europol, le CEPD examinera le traitement des données à caractère personnel eu égard aux garanties relatives à la protection des données prévues dans le règlement Europol, le RPD-UE et à tous les principes et règles présentant une pertinence en la matière. Dans la plupart des cas, cet exercice débouchera sur la formulation d’un ensemble de recommandations que le responsable du traitement devra mettre en œuvre afin de s’assurer de la conformité avec les règles en matière de protection des données;
- Le CEPD reçoit et examine les réclamations des personnes physiques qui estiment que leurs données à caractère personnel ont été traitées de manière incorrecte par Europol. Si une réclamation est recevable, le CEPD mène une enquête. Dans les cas concernant des données provenant d’un ou plusieurs États membres, le CEPD consultera l’autorité de contrôle nationale ou l’État membre concerné. Il adopte ensuite une décision qui est communiquée à l’auteur de la réclamation et à Europol;
- que ce soit en tant que suivi à une réclamation ou de sa propre initiative, par exemple sur la base des informations qu’Europol doit transmettre au CEPD conformément au règlement Europol (en ce qui concerne les nouveaux projets d’analyse opérationnelle, les données conservées plus de cinq ans, certains transferts vers des pays tiers ou à des organisations internationales, etc.), le CEPD peut mener des enquêtes pour contrôler la conformité concernant un sujet spécifique.
- Europol a une obligation spécifique de signaler les violations de données opérationnelles au CEPD, ainsi qu'aux autorités compétentes des États membres, sans retard injustifié. Les données opérationnelles sont des données traitées par Europol dans le cadre de leur activité principale consistant à aider les États membres à prévenir et combattre la criminalité transfrontalière et le terrorisme. Si la violation est susceptible de présenter un risque élevé de porter atteinte aux droits et libertés des individus, Europol doit également en informer les personnes concernées sans retard inutile. Europol doit veiller à mettre en place des mécanismes de prévention et de détection des violations de données à caractère personnel, ainsi que des procédures d'enquête et de signalement internes. Ils doivent également veiller à ce que lorsqu'ils identifient une violation de données à caractère personnel, ils soient en mesure de réagir efficacement pour atténuer les effets négatifs de la violation sur les personnes dont les données ont été compromises. Europol doit documenter les violations de données opérationnelles, y compris tous les détails sur la violation, et le DPD doit tenir un registre de toutes les violations de données à caractère personnel. Pour les données administratives, Europol est soumis aux mêmes règles que les autres institutions de l'UE en vertu du règlement 2018/1725.
Comme mentionné, un aspect essentiel de ce contrôle est la coopération avec les autorités de contrôle nationales, en particulier au sein du nouveau comité de contrôle coordonné, un forum spécifique au sein du comité européen de la protection des données pour discuter de questions communes, pour élaborer des lignes directrices et des bonnes pratiques, et lancer des actions de supervision coordonnées.
Afin de contrôler le respect des dispositions fixées par le règlement Europol, le CEPD collaborera avec le délégué à la protection des données (DPD) désigné par Europol.
Dans le cadre du rapport annuel, le CEPD publiera un rapport annuel concernant les activités de contrôle portant sur Europol, y compris des informations relatives aux réclamations, aux enquêtes, aux inspections, aux transferts de données à caractère personnel vers des pays tiers et des organisations internationales, ainsi qu’aux consultations préalables.
Le CEPD rend également compte, dans le cadre de son activité de contrôle, au groupe de contrôle parlementaire conjoint, qui est composé de représentants du Parlement européen et des parlements nationaux et qui a été créé en vertu du règlement Europol.
Site archivé de l'ancien organe de contrôle conjoint d'Europol.
Le règlement 2018/1725 s'applique au traitement des données administratives par Europol, qui comprend des données sur le personnel et les visiteurs, par exemple.