ANNEXE II - DÉLIBÉRATION DE LA CNIL EN DATE DU 28 SEPTEMBRE 2006

CNIL .

Délibération n°2006-220 du 28 septembre 2006 portant avis sur un projet de loi autorisant la ratification du Traité signé le 27 mai 2005, à Prum, entre le Royaume de Belgique, la République Fédérale d'Allemagne, le Royaume d'Espagne, la République française, le Grand-Duché du Luxembourg, le Royaume des Pays-Bas et la République d'Autriche, relatif à l'approfondissement de la coopération transfrontalière, notamment en vue de lutter contre le terrorisme, la criminalité transfrontalière et la migration illégale

La Commission nationale de l'informatique et des libertés, saisie pour avis, le 27 juillet 2006, par le ministère des affaires étrangères, du projet de loi autorisant la ratification du Traité signé le 27 mai 2005, à Prum, entre le Royaume de Belgique, la République Fédérale d'Allemagne, le Royaume d'Espagne, la République française, le Grand-Duché du Luxembourg, le Royaume des Pays-Bas et la République d'Autriche, relatif à l'approfondissement de la coopération transfrontalière, notamment en vue de lutter contre le terrorisme, la criminalité transfrontalière et la migration illégale ;

Vu l'article 53 de la Constitution,

Vu la Convention n" 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive n° 95/46/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et notamment l'article 11 4° d;

Après avoir entendu M. Georges de la Loyère, commissaire, en son rapport, et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations ;

Emet l'avis suivant :

Le ministère des affaires étrangères a saisi la CNIL du projet de loi autorisant la ratification du Traité signé le 27 mai 2005, à Prum, entre le Royaume de Belgique, la République Fédérale d'Allemagne, le Royaume d'Espagne, la République française, le Grand-Duché du Luxembourg, le Royaume des Pays-Bas et la République d'Autriche, relatif à l'approfondissement de la coopération transfrontalière, notamment en vue de lutter contre le terrorisme, la criminalité transfrontalière et la migration illégale.

Aux termes du courrier de saisine, la CNIL est invitée à faire savoir au ministère des affaires étrangères si elle n'a pas d'objection à ce que les procédures de ratification soient engagées et si le projet de loi, le projet d'exposé des motifs et le projet de fiche d'évaluation juridique recueillent son agrément. Par ailleurs, il est également demandé à la Commission d'indiquer si elle souhaite que soient jointes des réserves ou déclarations au moment du dépôt de l'instrument français, ainsi que leur libellé.

Ce traité vise notamment à améliorer, dans les trois domaines de la lutte contre le terrorisme, la criminalité transfrontalière et la migration illégale, l'échange de données, qu'il s'agisse de la mise en place de consultations automatisées réciproques entre les fichiers d'empreintes génétiques constitués en matière pénale, de la mise à disposition de données dactyloscopiques (empreintes digitales et palmaires), de la consultation des registres d'immatriculation des véhicules ou encore des échanges de données visant à prévenir les infractions pénales et maintenir l'ordre et la sécurité publics lors de manifestations publiques de grande envergure à dimension transfrontalière, notamment dans le domaine sportif ou en rapport avec le Conseil européen. Des échanges d'informations sont également envisagés afin de prévenir des attaques terroristes.

La Commission relève que le traité comporte (articles 33 à 41) des dispositions relatives à la protection des données à caractère personnel. Ainsi, ces dispositions rappellent les principes fondamentaux de finalité du traitement des données, d'exactitude et de mise à jour des données. Elles prévoient, par ailleurs, une durée de conservation des données proportionnée à la finalité du traitement, ainsi que la mise en place de sécurités informatiques et une traçabilité des consultations. Par ailleurs, est reconnu à toute personne le droit d'accéder au traitement pour obtenir, le cas échéant, une mise à jour des données la concernant lorsque les données sont erronées. Il est, enfin, prévu que les autorités indépendantes de contrôle nationales (la CNIL, dans le cas de la France) pourront contrôler les modalités de transmission et de réception des données.

Toutefois, la Commission estime que l'examen des dispositions du traité appelle les garanties et précisions suivantes qui pourraient figurer dans les accords d'exécution prévus à l'article 44 du traité.

Elle recommande en conséquence que le texte de l'accord d'exécution fasse l'objet d'une consultation préalable de la CNIL, au titre de l'article 11 4°d) de la loi du 6 janvier 1978.

Sur les finalités

La Commission observe que les échanges ou consultations de données à caractère personnel prévus au titre des articles 12, 13 et 14 auraient notamment pour objet le «maintien de l'ordre et de la sécurité publics ».

La Commission rappelle que, conformément aux principes généraux de la protection des données à caractère personnel et à l'article 5 de la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 susvisée, un traitement automatisé de données ne peut être mis en oeuvre que pour "des finalités déterminées et légitimes", les données enregistrées devant être adéquates, pertinentes et non excessives par rapport à ces finalités.