Le CEPD reconnait les avantages d'une nouvelle agence pour les systèmes d'information à grande échelle, mais demande aux législateurs de mieux définir son champ d'activité

Le Contrôleur européen de la de protection des données (CEPD) a adopté aujourd'hui un avis sur le paquet législatif proposé par la Commission européenne proposant la création d'une agence pour la gestion opérationnelle des systèmes d'information à grande échelle dans le domaine de la liberté, de la sécurité et de la justice. L'agence serait responsable de la gestion opérationnelle du système d'information Schengen (SIS II), du système d’information sur les visas (VIS), Eurodac et d'éventuels autres systèmes d’information à grande échelle.

Étant donné que ces bases de données contiennent de grandes quantités de données personnelles sensibles (données sur les passeports, visas et empreintes digitales, par exemple), le CEPD a analysé la proposition du point de vue de la protection des données, en vue d'assurer que les risques éventuels, pouvant avoir un impact important sur la vie privée des individus, soit suffisamment pris en compte dans l'acte législatif.

Le CEPD reconnaît les avantages de la mise en place d'une agence pour la gestion opérationnelle de certains systèmes d'information à grande échelle car cela clarifie les questions de responsabilité et de droit applicable. Il souligne cependant qu'une telle agence ne devrait être mise en place qu'à la condition que le champ de ses activités et ses responsabilités soient clairement définis. Ceci est essentiel pour éviter le risque de "détournement d'usage" (i.e. élargissement des fonctions de l'agence, données recueillies pour un but précis et utilisées à d'autres desseins) ou de mauvaise utilisation des données personnelles.

Selon Peter Hustinx, CEPD: "La création d'une agence pour la gestion de ces bases de données à grande échelle doit être fondée sur une législation qui est sans ambiguïté sur les compétences et la portée des activités de l'agence. Cette absence d'ambigüité permettrait d'empêcher tout futur malentendu concernant les activités de l'agence et d'éviter les risques de "détournement d'usage". Dans leur rédaction actuelle, les propositions ne répondent pas à ces conditions."

Le CEPD encourage le législateur à adopter une approche prudente et restrictive. Le point de départ ne devrait pas consister à mettre autant de systèmes d'information à grande échelle que possible sous la gestion d'une seule agence. Seulement après avoir acquis de l'expérience et suite à une évaluation positive de son fonctionnement, d'autres systèmes pourraient se voir placés sous la responsabilité de l'agence.

Afin d'améliorer la proposition, le CEPD recommande aux législateurs européens de:

• clarifier si le champ d'activités de l'agence est limité aux politiques relatives aux contrôles aux frontières, d'asile et d'immigration, ou s'il devrait potentiellement couvrir tous les systèmes d'information à grande échelle développés dans le domaine de la liberté, de la sécurité et de la justice;
• clarifier la notion de systèmes d'information à grande échelle dans ce cadre, et faire savoir clairement si elle est limitée aux systèmes qui stockent les données dans une base de données centralisée pour laquelle la Commission ou l'agence est responsable.