La protection des données à caractère personnel, les droits fondamentaux et les enquêtes de l OLAF

Transcription

1 8 e conférence des procureurs chargés de la lutte contre la fraude organisée par l OLAF, Paris, le 18 novembre 2010 Peter Hustinx Contrôleur européen de la protection des données (CEPD) La protection des données à caractère personnel, les droits fondamentaux et les enquêtes de l OLAF Points à évoquer Introduction: protection des données à caractère personnel C est un plaisir pour moi de prendre la parole à l occasion de cette conférence sur la protection des données à caractère personnel, les droits fondamentaux et les enquêtes de l OLAF. J ai écouté jusqu ici vos points de vue avec la plus grande attention. J espère que mes remarques aujourd hui contribueront à mieux faire comprendre un sujet qui présente un intérêt de plus en plus grand pour votre travail. Le droit fondamental à la protection des données à caractère personnel présente un intérêt en soi, mais aussi de par ses liens étroits avec d autres droits fondamentaux, bien à part du droit au respect de la vie privée, tels que la non-discrimination et le respect du droit ainsi que le droit à la défense dans le cadre des enquêtes de l OLAF. Les principales caractéristiques du droit fondamental à la protection des données à caractère personnel ont été définies dans la Convention 108 du Conseil de l Europe, adoptée en 1981, puis ratifiée par 41 États membres, dont l ensemble des États membres de l Union européenne. La convention a été définie de manière plus précise par la directive 95/46/CE et divers autres instruments communautaires, prévoyant les conditions essentielles du traitement des données, des obligations légales des responsables du traitement des données, des droits des personnes concernées et de la surveillance des autorités indépendantes. La protection des données revêt un rôle encore plus important dans une société dépendante des technologies de l information et des communications (TIC). L attention des politiques va également croissant. La Commission procède 1

2 actuellement à une révision approfondie du cadre communautaire actuel pour la protection des données. Les tribunaux doivent également statuer sur un nombre croissant de questions liées à la protection des données. Cette situation a des conséquences sur les enquêtes antifraude. Les enquêtes de l OLAF doivent être conformes au règlement (CE) 45/2001, dont le champ d application couvre la collecte et l utilisation ultérieure des données à caractère personnel dans le cadre des enquêtes, généralement aussi lorsque l OLAF interagit avec d autres acteurs importants du domaine. Le non-respect des règles en matière de protection des données à caractère personnel peut avoir des conséquences néfastes: irrecevabilité de preuves en raison d une collecte de données contraire aux droits fondamentaux; données imprécises/dépassées entravant le bon déroulement d une enquête; ou interventions éventuelles des autorités chargées de la protection des données. Avec l adoption et l entrée en vigueur du traité de Lisbonne, la protection des données a été renforcée, tant dans la charte des droits fondamentaux que dans le traité lui-même tous deux ayant une incidence sur le traitement des données à caractère personnel des institutions communautaires, particulièrement dans les domaines sensibles relevant du champ d action de l OLAF. Les rôles du CEPD Le CEPD a été établi en tant qu autorité indépendante au niveau de l Union européenne sur la base de l article 286 du traité CE et du règlement (CE) 45/2001. Trois rôles principaux lui ont été confiés: o surveillance (et suivi) du respect de la protection des données par les institutions et organes communautaires; o conseil aux institutions communautaires sur la nouvelle législation et les nouvelles politiques ayant une incidence sur la protection des données; o coopération avec les autorités nationales chargées de la protection des données en vue de renforcer la cohérence dans l Union européenne. Le CEPD a également participé à plusieurs litiges soumis aux tribunaux en tant que partie intervenante. Le CEPD a suivi les activités de traitement menées par l OLAF, à la lumière de sa fonction de surveillance et de son rôle consultatif (dans le dernier cas, principalement dans le cadre de la révision du règlement de l OLAF, où nous avons fourni des conseils sur le projet de proposition). Le délégué à la protection des données de l OLAF joue un rôle clé dans le renforcement de la conformité interne. En ce qui concerne son rôle consultatif, le CEPD a procédé à de nombreux contrôles préalables. Après ces contrôles, un avis consultatif 1 a été adopté, 1 Voir article 27 du règlement 45/2001. Les avis comportent une description des faits et une analyse des aspects pertinents, tels que la licéité du traitement, les données sensibles, la qualité des données, la 2

3 c est-à-dire un avis sur la question de savoir si certains traitements notifiés au CEPD peuvent entraîner la violation d une disposition du règlement 45/2011, et le cas échéant, quelles mesures doivent être prises par le responsable du traitement pour éviter ces violations. Le non-respect de ces recommandations par le responsable du traitement peut entraîner des actions répressives. De nombreux domaines d activité de l OLAF ont fait l objet d un contrôle préalable. Aux fins de la conférence d aujourd hui, j évoquerai principalement les recommandations formulées dans le domaine des enquêtes internes et externes. Comme vous le constaterez, nous avons surtout examiné certains aspects de la protection des données liés au respect du droit et au droit de la défense, tels que l obligation d information, le droit d accès et d autres questions pouvant toucher aux droits fondamentaux, comme la confidentialité des communications. Nous avons également abordé les consultations présentées par l OLAF sur l application de certaines dispositions juridiques à des cas pouvant poser des problèmes pratiques, comme dans le cas du droit d accès. En outre, nous avons traité un certain nombre de plaintes contre l OLAF, dont certaines ont débouché sur des recommandations, qui ont été respectées. En 2008, nous avons effectué un contrôle sur place pour vérifier l application des obligations en matière de protection des données dans des cas déterminés. Davantage de contrôles de ce type et d autres vérifications sont susceptibles d être réalisés à l avenir. Chaque année, une réunion de haut niveau est organisée entre le CEPD et l OLAF. Cette réunion est une occasion importante de faire le point sur les résultats obtenus et fixer des objectifs en termes de mise en conformité. Certains aspects importants et recommandations formulées Licéité du traitement La licéité du traitement est analysée lors de tous les contrôles préalables. Cependant, la conformité avec le règlement 1073/1999 (dit règlement OLAF ) et la décision 1999/352 de la Commission n est pas décisive. La nécessité et la proportionnalité du traitement des données doivent être évaluées au cas par cas. La même approche s applique aux principes de qualité des données: les données à caractère personnel doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement. Ces principes ne peuvent être examinés qu au cas par cas. conservation des données, les transferts, l accès et la rectification, l information des personnes concernées, la confidentialité des communications et la sécurité. 3

4 En ce qui concerne la conservation des données, nous avons accepté qu une période de conservation de vingt ans soit fixée à titre de solution provisoire, laquelle doit être évaluée en temps opportun. Nous avons toutefois considéré que cette durée serait excessive pour les cas qui ont été clôturés sans suivi. Information des personnes concernées Un des aspects fondamentaux du contrôle préalable est l obligation d informer les personnes concernées sur le responsable du traitement, la finalité du traitement, l existence du droit d accès, la possibilité de saisir le CEPD d une plainte, etc. Cet aspect est essentiel en matière de répression parce que les personnes concernées doivent être informées des garanties auxquelles elles ont droit. Dans la pratique toutefois, le moment de fournir ces informations peut parfois varier, par exemple dans les cas où l information peut nuire à l enquête. L article 20 du règlement 45/2001 prévoit des exceptions pertinentes, dont la possibilité de reporter l information, mais seulement pour autant qu une telle mesure soit nécessaire à un cas concret. Cette situation doit dès lors également être examinée au cas par cas. Certaines de nos recommandations ont porté sur cette question. Leur application a été suivie de près, non seulement en ce qui concerne les nouveaux cas, mais aussi les "anciens" cas en suspens dont le traitement a débuté avant l entrée en vigueur du règlement 45/2001. De récentes statistiques révèlent un accroissement encourageant du respect de cette obligation et nous espérons que cette tendance se confirmera dans un avenir proche. Droit d accès Il faut clairement distinguer le droit d accès du public au titre du règlement 1049/2001 et le droit d accès dont bénéficient les personnes concernées à leurs propres données personnelles au titre du règlement 45/2001. Les demandes relatives aux données personnelles des personnes concernées doivent toujours être traitées dans le cadre de cette seconde catégorie. Le droit d'accès est le droit de la personne concernée d'être informée de tout renseignement la concernant traité par le responsable du traitement. Par principe, ce droit doit être interprété en liaison avec le concept de données à caractère personnel, définies comme toute information concernant une personne physique identifiée ou identifiable. Le respect du droit d'accès et de rectification est directement lié au principe de la qualité des données et, dans le cadre des enquêtes, il se superpose en grande partie au droit de défense. En outre, le droit d'accès est également applicable lorsqu'une personne concernée demande l'accès aux dossiers d'autres personnes, si ceux-ci contiennent des informations la concernant. Tel est le cas lorsque des 4

5 dénonciateurs, des informateurs ou des témoins demandent l'accès à des données les concernant dans le cadre d'une enquête menée à l'égard d'une autre personne (ou vice versa). Les informations peuvent être obtenues directement par la personne concernée ("accès direct") ou, dans certaines circonstances, par une autorité publique ("accès indirect", normalement exercé par une autorité chargée de la protection des données, le CEPD en l'occurrence). Lors des contrôles préalables, nous reconnaissons que dans certains cas, il peut être nécessaire de ne pas fournir d accès direct à la personne concernée pour éviter de nuire au bon déroulement de l enquête, et de procéder à un report de l information (en application des exceptions prévues à l article 20 du règlement 45/2001). Dans la pratique, l application de ce droit peut poser des difficultés. Nous avons pu fournir des orientations à l OLAF dans le cadre d une consultation basée sur un cas hypothétique. Une des questions posées portait sur le niveau de détail assuré dans la réponse apportée à cette demande. Nous avons indiqué que le niveau de détail dépend de la mesure dans laquelle la personne concernée peut évaluer la précision des données et la licéité du traitement et de la charge que représente cette tâche pour le responsable du traitement. En outre, il faut tenir compte du risque potentiel que représentent les différentes activités relatives aux données et à leur traitement pour la protection des droits fondamentaux et des libertés de la personne concernée, et particulièrement pour le droit au respect de sa vie privée. Il convient d adopter une approche prudente dans les cas où l intéressé est la "personne concernée" du dossier, eu égard à l obligation d assurer le respect du droit de défense. Nous avons également reçu une consultation du Médiateur européen concernant ce droit, dans le cadre d une plainte qui lui avait été adressée au sujet d une demande d accès à l identité d un informateur. Dans ce cas, nous avons estimé qu en règle générale, l identité des dénonciateurs ou des informateurs ne devait pas être dévoilée, sauf si cela est contraire aux règles nationales relatives aux procédures judiciaires et/ou en cas de fausses déclarations dans l intention de nuire. Ces données à caractère personnel ne devraient dans ces cas être dévoilées qu aux autorités judiciaires. Services de recherches en matière de criminalité informatique Nous avons également évalué les traitements utilisant la procédure d analyse criminalistique d'ordinateurs, dans le cadre d enquêtes internes et externes, à la lumière du principe de qualité des données et de confidentialité des communications. En ce qui concerne le principe de qualité des données, une des règles principales est que les données à caractère personnel doivent être "adéquates, 5

6 pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement". Cette règle est importante dans le cadre de la procédure d analyse criminalistique des ordinateurs. Il y a lieu de prendre des précautions concernant l'accès au contenu d'un ordinateur appartenant à une institution ou à un organe communautaire, car il peut également comporter des fichiers utilisés par la personne concernée à des fins privées (par exemple, dans le dossier "Mes documents" ou les messages électroniques marqués comme étant "privés") ou des fichiers non pertinents ou excessifs au regard des fins de l'enquête. Le CEPD se félicite que la réalisation de telles analyses criminalistiques d'ordinateurs soit soumise à des mécanismes d'autorisation particuliers. Nous recommandons, en outre, que lorsque l'accès à des dossiers qui sont manifestement de nature privée apparaît nécessaire aux fins de l'enquête, cet accès soit effectué en respectant des garanties appropriées et en tenant compte de tout risque potentiel d'irrecevabilité des preuves, au cours d'une procédure pénale ultérieure, que pourrait entraîner le non-respect des droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel lors de la collecte de preuves. En outre, nous avons recommandé l'adoption d'un protocole officiel de "procédures opératoires normalisées" pour la réalisation d'analyses criminalistiques d'ordinateurs par l'olaf. Ce protocole a été adopté par l OLAF lors de la phase de mise en œuvre. Confidentialité des communications L'article 36 du règlement dispose que "Les institutions et organes communautaires garantissent la confidentialité des communications réalisées au moyen de réseaux de télécommunications et des équipements de terminaux dans le respect des principes généraux du droit communautaire". Le concept de "principes généraux du droit communautaire" se réfère également à la notion de droits fondamentaux de la personne, tels qu'établis notamment par la Convention européenne des Droits de l'homme. Depuis l entrée en vigueur du traité de Lisbonne, les articles 7 et 8 de la Charte des droits fondamentaux de l Union européenne sont bien entendu également directement d application. Toute limitation de la confidentialité des communications doit être conforme à l'article 8, paragraphe 2, de la Convention européenne des Droits de l'homme: "Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui" (voir également l article 52 de la Charte des droits fondamentaux de l Union européenne). 6

7 Cette disposition doit être respectée lorsque des analyses criminalistiques d'ordinateurs sont réalisées, notamment lors de l'inspection de messages électroniques. Il convient également d analyser dans ce cadre la nécessité et la proportionnalité de l examen. Lors de l'analyse criminalistique d'un ordinateur, l'olaf peut saisir l'ordinateur proprement dit ou réaliser une "image disque" de son contenu. Dans les deux cas, l'olaf aura en sa possession toutes les données stockées sur le disque dur de l'ordinateur. La nécessité et la proportionnalité de l'accès à toute donnée contenue sur ce disque (les messages électroniques, par exemple) doivent être évaluées au cas par cas, en tenant compte des orientations fournies dans les avis relatifs au contrôle préalable. Nous avons également insisté sur le fait qu une méthodologie devait être développée de façon systématique et formelle, ce qui a donné lieu à l'adoption du protocole susmentionné. Transferts des données Le transfert de données à caractère personnel à d autres institutions ou organes est couvert par le règlement de l OLAF et le règlement 45/2001. Il est essentiel d attirer à nouveau l attention sur le fait que ces transferts ne doivent être effectués que dans la mesure où ils sont nécessaires à l étape de la procédure, ce qui fait également l objet d une évaluation au cas par cas. Si des données à caractère personnel sont transférées aux autorités judiciaires des États membres, à Europol ou à Eurojust, d autres règles sont également d application. C est également le cas lorsque l OLAF reçoit des informations d autorités issues des États membres. Les différents éléments de cette coopération s influencent mutuellement et sont interdépendants. Il convient dès lors d examiner ces questions dans une perspective plus large et plus globale, en conformité avec l approche "horizontale" du traité de Lisbonne. Les transferts de données à caractère personnel à des pays tiers et/ou des organisations internationales méritent également une attention particulière en ce qui concerne le respect du règlement. Le principe de protection adéquate est la règle générale et vise principalement à assurer la protection des données lorsqu elles sont transférées dans une juridiction en dehors de l Union européenne. Des exceptions à ce principe, prévues dans le règlement, pourraient s appliquer aux activités de l OLAF. Il ne serait toutefois pas satisfaisant d utiliser systématiquement des dérogations. Nous recommandons, par conséquent, de fournir des garanties supplémentaires dans la mesure du possible. Observations finales Dans le cadre des enquêtes de l OLAF, le règlement 45/2001 est appliqué dans le domaine répressif. Des exceptions pertinentes sont également d application, non pas en règle générale, mais lorsque cela est nécessaire et autorisé par le règlement (par exemple, reports de l obligation d informer ou 7

8 de donner accès aux données). Cette constatation révèle qu établir un programme de protection complet, portant sur tous les domaines politiques de l Union européenne, est une solution possible. Il n en faut pas moins accorder suffisamment d attention aux spécificités du domaine répressif! Changement de culture. L OLAF a dû introduire des modifications procédurales pour mettre en œuvre les obligations en matière de protection des données. Ces mesures n ont pas toujours été aisées et ont impliqué une expérience d "apprentissage par la pratique". Nous avons vivement encouragé l OLAF à suivre cette voie et apprécions les efforts qu il a déployés. Les modifications procédurales ont été intégrées dans le système de gestion des cas, sous forme de "module de protection des données". Il s agit d un outil intéressant conçu spécifiquement au sein de l OLAF en vue de respecter les obligations en matière de protection des données. Cet outil peut être considéré comme un exemple de "prise en compte du respect de la vie privée dès la conception" dans le domaine de la conformité. Il s agit en outre d un outil de surveillance interne et destiné aux missions de surveillance externe du CEPD. Le "module de protection des données" est un instrument important permettant de mettre en œuvre le principe de responsabilité. Nous saluons dès lors sa création et espérons qu il sera utilisé activement. 8