E. LA RÉFORME D'EUROPOL
1. Les objectifs de la réforme
Les grands objectifs affichés par la proposition de la Commission sont les suivants :
- mettre Europol en conformité avec les exigences du traité de Lisbonne en définissant son cadre législatif dans un règlement et en instaurant un mécanisme de contrôle de ses activités par le Parlement européen, en association avec les parlements nationaux, sur la base de l'article 88 du TFUE. Selon la Commission : « Afin qu'Europol soit une organisation interne pleinement transparente et responsable, il y a lieu, eu égard à l'article 88 du traité sur le fonctionnement de l'Union européenne, de définir les modalités du contrôle des activités d'Europol par le Parlement européen en association avec les parlements nationaux, en tenant dûment compte de la nécessité de garantir la confidentialité des informations opérationnelles ». Dans la même proposition, la Commission a noté : « Le contrôle parlementaire des activités d'Europol par le Parlement européen, en association avec les parlements nationaux, est exercé conformément au présent règlement » ;
- améliorer la gouvernance d'Europol, en recherchant des gains d'efficience et en rationalisant les procédures ;
- doter Europol d'une architecture plus robuste en matière de protection des données, en confiant au contrôleur européen de la protection des données la supervision en toute indépendance du traitement des données à caractère personnel d'Europol ;
- intensifier l'échange d'informations entre Europol et les États membres ;
- assurer la fusion d'Europol et du Collège européen de police (CEPOL), en s'appuyant sur la déclaration commune du Parlement européen, du Conseil et de la Commission de juin 2012 préconisant « la fusion d'agences lorsque les missions des agences se recoupent et que des synergies peuvent être créées ».
2. Le contrôle parlementaire
Le règlement prévoit que les activités d'Europol sont soumises à un contrôle exercé par des représentants élus démocratiquement des citoyens de l'Union.
Le contrôle des activités d'Europol par le Parlement européen s'effectuerait par l'intermédiaire d'une cellule de contrôle parlementaire . Celle-ci serait dotée d'une structure spécialisée, constituée par la commission compétente du Parlement européen (LIBE) et un représentant de la commission des affaires intérieures ou son équivalent au sein des parlements nationaux des États membres. La cellule de contrôle se réunirait au siège du Parlement européen. Elle serait convoquée par le président de la commission compétente du Parlement européen (LIBE) et serait coprésidée par le président de la commission LIBE et le représentant du parlement national de l'État membre qui assure la présidence tournante du Conseil.
Les éléments suivants seront présentés et débattus devant cette cellule de contrôle parlementaire :
- le rapport d'activité annuel consolidé sur les activités d'Europol ;
- les programmes de travail annuel et pluriannuel ;
- le rapport annuel du contrôleur européen de la protection des données sur les activités de contrôle d'Europol.
Cette cellule pourra par ailleurs inviter le candidat retenu au poste de directeur exécutif d'Europol à faire une déclaration et à faire rapport sur l'exécution de ses tâches.
L'article 53 précise que le président du conseil d'administration et le directeur exécutif se présenteront devant la cellule de contrôle parlementaire, à sa demande, pour examiner des questions relatives à Europol. Par ailleurs, le Parlement européen et les parlements nationaux recevront à titre d'information des évaluations des menaces, des analyses stratégiques et des rapports sur la situation générale en ce qui concerne les objectifs d'Europol, ainsi que les résultats des études et des évaluations commandées par Europol.
Les réflexions sur les modalités de contrôle parlementaire d'Europol sont déjà anciennes.
La Commission européenne a publié le 17 décembre 2010 une communication sur les modalités de contrôle des activités d'Europol par le Parlement européen en association avec les parlements nationaux.
À l'origine, la surveillance parlementaire d'Europol se limitait à la transmission au Parlement européen d'un rapport annuel spécial sur les activités d'Europol et à son rôle consultatif lors des modifications de la convention initiale instituant Europol.
La nouvelle décision institutive de 2009 a prévu :
1) que le Parlement européen votera le budget d'Europol et donnera décharge au directeur sur l'exécution du budget ;
2) que le Parlement européen pourra demander que la présidence du Conseil, le président du conseil d'administration et le directeur d'Europol soient auditionnés.
Le Parlement européen s'est à de nombreuses reprises exprimé sur le contrôle d'Europol et a toujours soutenu l'idée de la création d'une commission mixte composée de représentants des parlements nationaux et du Parlement européen.
Il a également approuvé, lors de la discussion du projet de décision portant création d'Europol en 2009, l'idée d'examiner, « le cas échéant avec les parlements nationaux », les projets de documents de planification annuelle (budget, programme de travail).
Dans sa résolution législative du 25 février 2014, le Parlement européen a précisé : « Le contrôle des activités d'Europol par le Parlement européen, associé aux parlements nationaux, se fait par l'intermédiaire du groupe de contrôle parlementaire conjoint, issu de la commission compétente du Parlement européen, constitué par des membres titulaires de ladite commission ainsi que par un représentant de la commission compétente du parlement national de chaque État membre et un suppléant. Les États membres dont le système parlementaire est bicaméral peuvent être représentés par un représentant de chaque chambre. »
L'Assemblée nationale s'est prononcée en 2011 et a adopté la résolution européenne sur le contrôle parlementaire d'Europol du 25 avril 2011, selon laquelle elle :
- souligne la nécessité du renforcement du contrôle démocratique d'Europol par les parlements nationaux ;
- estime que la création d'un nouvel organe de coopération interparlementaire dédié au contrôle politique d'Europol n'est pas souhaitable ;
- soutient l'idée d'une commission mixte composée de représentants du Parlement européen et des parlements nationaux.
Le Sénat s'est, quant à lui, déclaré favorable à la création d'une commission mixte composée de parlementaires européens et nationaux dans une résolution du 25 novembre 2003 ainsi que dans une résolution en date du 27 février 2007 portant sur le projet de décision modifiant la base juridique d'Europol.
Dans sa résolution européenne du 29 juin 2011, il a rappelé son soutien à l'idée d'une commission mixte, estimant qu'il n'est pas utile de créer un nouvel organe de coopération interparlementaire, et souligné que les parlements nationaux devaient être destinataires des mêmes documents que le Parlement européen.
Dans une résolution européenne du 12 novembre 2013, l'Assemblée nationale s'est déclarée favorable : « à la création d'une commission mixte composée de représentants du Parlement européen et des parlements nationaux. Cette commission mixte devrait réunir au Parlement européen les membres de la commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen et deux membres de la commission compétente en matière de sécurité de chaque chambre nationale, aux fins d'assurer un contrôle véritablement démocratique en permettant la représentation de la majorité et de l'opposition de chaque chambre nationale. Cette commission mixte serait coprésidée par le président de la commission des libertés civiles, de la justice et des affaires intérieures du parlement européen et un membre d'un parlement national. Elle serait convoquée par ses deux coprésidents. »
Les parlements nationaux ont eu l'occasion de débattre sur la question à l'invitation de la commission LIBE du Parlement européen, les 14 novembre 2013 et 19 mars 2014. Un consensus semble se dégager sur le « groupe de contrôle parlementaire conjoint », avec un représentant pour la deuxième chambre dans les États bicaméraux , préconisé par la résolution législative précitée du parlement européen du 25 février 2014.
3. Gouvernance d'Europol
Afin d'améliorer la gouvernance d'Europol, la proposition de la Commission complète le dispositif existant. Actuellement régie par un conseil d'administration (se composant d'un représentant de chaque État membre et d'un représentant de la Commission), sa structure se verrait ajouter un Comité Exécutif ( Management Board ), composé du Président du Conseil d'Administration (CdA), du représentant de la Commission et de trois autres membres du CdA élus en son sein. Jugée comme trop restreinte, la nouvelle enceinte a provoqué la ferme opposition des députés européens.
Les États membres continueront d'être représentés au conseil d'administration par leurs chefs de police ou par des personnes nommées par chaque État membre sur la base de leur expérience de la gestion d'unités répressives et de leur connaissance de la coopération policière, avec la possibilité pour eux de désigner un suppléant qui agira en qualité de membre titulaire en leur absence. Le conseil d'administration adoptera chaque année le programme de travail pour l'année suivante, le programme de travail pluriannuel, le budget annuel d'Europol, le rapport d'activité annuel consolidé sur les activités d'Europol et la réglementation financière applicable à Europol. Il sera par ailleurs chargé de nommer le directeur exécutif sur la base d'une liste d'au moins trois candidats proposée par un comité composé du représentant de la Commission au conseil d'administration et de deux autres membres de ce conseil.
Par ailleurs, le conseil d'administration pourrait adopter ses décisions à la majorité simple, sauf exceptions.
La proposition précise que l'unité nationale d'Europol joue le rôle de garant et de défenseur des intérêts nationaux au sein d'Europol. Elle est par conséquent maintenue dans sa fonction de point de contact entre Europol et les autorités compétentes, de façon à garantir un rôle coordinateur en matière de coopération aux États membres avec et par l'intermédiaire d'Europol.
4. Protection des données personnelles
En matière de protection des données, la proposition de règlement renforce le régime de protection des données applicable aux activités d'Europol.
Un « contrôleur européen de la protection des données », indépendant se verra octroyer des compétences importantes, telles que recevoir et examiner les réclamations, contrôler et garantir l'application des dispositions du présent règlement, conseiller Europol sur toutes les questions concernant le traitement de données à caractère personnel, tenir un registre des traitements et effectuer un contrôle préalable des traitements qui lui ont été notifiés.
Le traitement de données à caractère personnel concernant des victimes, des témoins, des personnes autres que des suspects, ainsi que des mineurs sera interdit, à moins qu'il ne soit absolument nécessaire. Cette limitation s'appliquera également aux données qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l'appartenance syndicale, ainsi qu'aux données relatives à la santé ou à la vie sexuelle (données personnelles sensibles). En outre, les données personnelles sensibles ne pourront être traitées que si elles complètent d'autres données à caractère personnel déjà traitées par Europol.
L'accès des États membres aux données à caractère personnel détenues par Europol et relatives à des analyses opérationnelles sera ainsi rendu indirect, sur la base d'un système de concordance/non-concordance (« hit/no hit ») : une comparaison automatisée produit un « hit » anonyme si la donnée détenue par l'État membre demandeur correspond à une donnée détenue par Europol. Les données concernées, qu'il s'agisse de données à caractère personnel ou relatives à une affaire, ne seront communiquées qu'en réponse à une demande de suivi distincte.
Le droit d'accès des particuliers aux données à caractère personnel les concernant détenues par Europol sera renforcé. Les informations que l'agence est tenue de communiquer à un particulier demandant l'accès aux données le concernant sont énumérées.
Europol sera tenu d'examiner régulièrement la nécessité de conserver les données à caractère personnel.
L'obligation de tenir un journal des connexions et une documentation sera élargie pour couvrir non seulement le simple accès mais aussi un plus large éventail d'activités de traitement : la collecte, la modification, l'accès, la divulgation, la combinaison et l'effacement. Pour mieux contrôler l'utilisation des données et connaître précisément l'identité de la personne qui les a traitées, le règlement interdira la modification des journaux de connexion.
Europol pourra traiter des données à caractère personnel émanant de parties privées. Europol pourra en outre recevoir directement ces données de particuliers si la législation nationale applicable à la partie privée autorise le transfert direct de ce type de données aux services répressifs. Dans ce cas, Europol transmettra directement toutes les informations, en particulier les données à caractère personnel, aux unités nationales concernées.
Toute personne pourra saisir Europol d'une demande d'indemnisation pour traitement illicite de données ou acte incompatible avec les dispositions du règlement. En pareil cas, Europol et l'État membre dans lequel le préjudice s'est produit seront solidairement responsables.
Les autorités nationales de protection des données resteront néanmoins compétentes pour le contrôle de l'introduction et de l'extraction de données à caractère personnel par l'État membre concerné, ainsi que de toute communication de telles données par l'État membre concerné à Europol. Elles restent en outre chargées d'examiner si l'introduction, l'extraction ou la communication de données enfreint les droits de la personne concernée.
Le système d'échange d'informations mis en place par le règlement devrait permettre d'intensifier la fourniture d'informations à Europol tout en assurant un niveau élevé de protection des données au moyen de garanties procédurales applicables à tout type particulier d'informations. Le règlement expose en détail les objectifs des activités de traitement de données (contrôles croisés, analyses stratégiques ou de nature générale, analyses opérationnelles dans des cas spécifiques), les sources d'information et les personnes autorisées à accéder aux données. Il énumère en outre, pour chaque activité spécifique de traitement de données, des catégories de données personnelles et de personnes concernées dont les données peuvent être collectées.
Il n'est pas inutile de souligner que, selon ses responsables, Europol a d'ores et déjà l'un des régimes de protection des données personnelles parmi les plus contraignants dans le monde des agences de coopération policière. Il s'agit d'un régime spécialement conçu pour tenir compte des spécificités du mandat d'Europol, agence de police qui, par définition, traite des données personnelles sensibles.
Plusieurs exigences doivent être satisfaites :
- la nécessité de garantir la sécurité et la confidentialité des données sensibles qui appartiennent aux États membres ;
- l'existence d'un régime suffisamment flexible pour servir le travail des analystes d'Europol : par exemple, la rétention des données pour le besoin des enquêtes ;
- la nécessité d'un régime spécifique en ce qui concerne la divulgation des informations qu'Europol détient sur des criminels connus ou des suspects.
Il existe deux types de contrôle :
- le contrôle interne : l'Officier de protection des données s'assure d'une manière indépendante qu'Europol traite ces données en accord avec le cadre juridique applicable. Il peut saisir l'Autorité de contrôle commune (ACC) et faire rapport directement au Conseil d'administration en cas de problème ;
- le contrôle externe : l'ACC composée d'un représentant de chaque autorité de protection des données nationales (pour la France : CNIL).
La base juridique d'Europol (décision du Conseil 2009/371/JAI) prévoit des audits réguliers par l'ACC ainsi que des règles strictes sur les conditions d'accès aux données personnelles traitées dans les systèmes d'Europol.
Relevons que la proposition de règlement de la Commission prévoit de remplacer l'ACC par un contrôleur européen de la protection des données (CEPD) qui travaillerait en étroite relation avec les autorités nationales compétentes. Le nouveau régime de protection des données devra être assez souple pour trouver le juste équilibre entre le respect des droits fondamentaux et le besoin d'adapter l'outil qu'est Europol aux défis que posent l'évolution de la grande criminalité organisée à l'ère du numérique.
5. La fusion Europol-CEPOL
Sur la question de la fusion entre Europol et le Collège européen de police (CEPOL), on a vu que la Commission s'appuyait sur une déclaration commune du Parlement européen, du Conseil et de la Commission de 2012 sur les fusions d'agences européennes dont les missions semblaient se recouper.
La plupart des groupes politiques du Parlement européen (à l'exception de l'ADLE) ont rejeté l'idée d'une fusion Europol-CEPOL. L'opposition est aussi très ferme au Conseil des ministres. L'Assemblée nationale dans sa résolution européenne précitée du 12 novembre 2013 a quant à elle : « jugé inopportun le projet de fusion entre le CEPOL et Europol, qui ne permettrait pas de réelles synergies ». Elle a fait observer que « les deux agences avaient des champs de compétence et des modes de fonctionnement différents. Les formations du CEPOL sont, en très grande majorité, hors du champ de compétence d'Europol, dont il convient d'éviter la dispersion. Enfin, le montant annoncé des économies est très discutable ».