Les autorités douanières des Etats membres ont créé un système d’information automatisé commun répondant aux besoins des douanes (système d’information des douanes - SID). Le SID comprend deux volets régis par deux instruments différents : la coopération dans les domaines douaniers et agricoles dans le cadre du premier pilier et la coopération douanière dans le troisième pilier. L’acte du Conseil du 26 juillet 1995 (95/C 316/02) a établi la convention sur l’emploi de l’informatique dans le domaine des douanes pour le troisième pilier. La Commission européenne, par l’intermédiaire de l’Office de lutte antifraude, gère l’infrastructure du SID.

Fruit d’une initiative française, ce projet de décision tend à remplacer la convention de 1995 et a pour principaux objectifs de :

- renforcer la coopération entre les administrations douanières par l’échange de données, notamment à caractère personnel, liées à des trafics illicites ;

- développer la coopération avec Europol et Eurojust qui se verraient ouvrir l’accès aux données du SID.

I. Le projet de décision modifie la convention SID en plusieurs points

Le projet de décision procède à plusieurs modifications de la convention SID.

Le règlement 766/2008 du 9 juillet 2008 a modifié le règlement 515/97 applicable au SID dans le premier pilier pour étendre son objet à l’analyse stratégique et opérationnelle. Par ailleurs, de nouveaux types de données personnelles pouvant être introduites dans le SID ont été ajoutés. Il convient donc ici notamment d’harmoniser les premier et troisième piliers qui relèvent de deux instruments juridiques différents pour un même système d’information.

Il est également nécessaire de modifier la convention SID afin de la mettre en conformité avec la décision cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale.

Le projet intègre en son sein les dispositions relatives au fichier d’identification des enquêtes douanières (FIDE) telles qu’elles sont prévues dans l’acte du Conseil du 8 mai 2003 portant création du FIDE, protocole à la convention SID. Une introduction similaire a été faite par le règlement 766/2008 pour le premier pilier. L'objectif du fichier d'identification des dossiers d'enquêtes douanières est de permettre aux autorités d'un Etat membre compétentes en matière d'enquêtes douanières d'identifier les autorités compétentes des autres Etats membres qui enquêtent ou ont enquêté sur des personnes ou entreprises. Il permet aux services douaniers européens de s'assurer une information réciproque sur l’existence de dossiers de fraude. Le fichier d'identification des dossiers d'enquêtes douanières constitue une base de données spéciale au sein du système d'information des douanes. La diffusion plus rapide des informations sur l'existence préalable ou concomitante d'enquêtes douanières sur une même personne ou entreprise dans différents Etats membres vise à renforcer l'efficacité des procédures de coopération et de contrôle des administrations douanières des Etats membres. Les données du FIDE peuvent être conservées pendant une durée maximale allant de trois ans à dix ans selon qu’une infraction ait été constatée ou non et qu’une condamnation ait été prononcée ou non. Le protocole du 8 mai 2003 à la convention SID portant création du FIDE n’est pas encore entré en vigueur, faute d’un nombre de ratifications suffisant. L’intégration de ses dispositions dans un projet de décision permettrait de le rendre effectif plus rapidement.

Par ailleurs, il est proposé d’ouvrir l’accès aux données du SID à Europol et Eurojust.

II. Une évolution positive malgré le maintien de certaines faiblesses du droit actuel

Le contrôleur européen de la protection des données a rendu un avis le 20 avril 2009 soutenant l’initiative mais demandant plusieurs modifications en matière de protection des données et l’autorité de contrôle commune du SID a également rendu un avis requérant certaines améliorations le 24 mars 2009. Il a été tenu compte de plusieurs de leurs observations dans la réécriture du texte.

La commission LIBE du Parlement européen, saisie de la version initiale du texte pour consultation, avait présenté un projet de rapport concluant au rejet du texte le 10 mars 2009 avant que ce rapport ne soit retiré suite aux modifications importantes intervenues en cours de négociations. Le Parlement européen ne s’est donc pas encore prononcé sur ce texte qui devrait pourtant être adopté au Conseil JAI informel le 15 juillet prochain.

L’expérience acquise depuis la mise en œuvre concrète du SID en 2003 a démontré que l’utilisation du système aux seules fins d’observation et de compte-rendu, de surveillance discrète ou de contrôle spécifique (convention actuelle) ne permet pas d’atteindre l’objectif du système qui est d’aider à prévenir, rechercher et poursuivre les infractions graves aux lois nationales dont l’application relève des douanes.

Concrètement, il apparaît que le SID est très peu consulté et encore plus rarement complété.

1. Une extension des objectifs et des données pouvant être introduites dans le système

Les Etats membres ne peuvent utiliser les données provenant du système d'information des douanes que pour atteindre les objectifs de la convention. Ils peuvent, toutefois, s'en servir à des fins administratives ou autres avec une autorisation préalable et sous réserve des conditions imposées par l'Etat membre qui a introduit les données dans le système. Cette disposition de la convention actuelle, qui a été critiquée pour son caractère trop vague (les fins administratives ou autres ne sont pas suffisamment définies) par le contrôleur européen de la protection des données, ne devrait pas être modifiée. Il convient de souligner que l’ambition du présent projet n’est pas la réécriture totale de la convention et que les négociations, relativement longues, n’ont porté que sur les novations.

Compte tenu de la faible utilisation du SID et de la réforme intervenue dans le premier pilier, il est proposé d’étendre les objectifs du SID à l’analyse stratégique pour aider les responsables à définir les projets, les objectifs et les politiques de lutte contre la fraude ainsi qu’à planifier les activités et déployer les ressources adéquates. L’analyse stratégique serait définie comme la recherche et la mise en évidence des tendances générales des infractions par une évaluation de la menace, de l'ampleur et de l'impact de certaines formes d'opérations contraires aux lois nationales. Seules les données rendues anonymes pourraient être utilisées pour l'analyse stratégique.

Il est également proposé d’étendre les objectifs à l’analyse opérationnelle sur les activités, les moyens et les intentions de certaines personnes ou entreprises qui ne respectent pas ou ne paraissent pas respecter les lois nationales. L’analyse opérationnelle serait définie comme l'analyse des opérations qui constituent ou paraissent constituer des infractions, par le recueil d'informations, y compris de données à caractère personnel, l'évaluation de la fiabilité de la source, la mise en évidence méthodique et l'interprétation de relations entre ces informations.

Les données contenues dans le SID sont regroupées dans six catégories (marchandises, moyens de transport, entreprises…). Une septième relative aux retenues, saisies ou confiscations serait ajoutée. Pour chaque catégorie, la convention limite les données à caractère personnel qui peuvent être insérées dans le système. Les données ne peuvent être intégrées dans le SID que si, principalement sur la base d’activités illégales antérieures, des indices concrets ou de bonnes raisons portent à croire que la personne en question a commis, est en train de commettre ou commettra des violations graves des lois nationales.

Les informations à caractère personnel se limitent aux suivantes: les nom, nom de jeune fille, prénom et nom d'emprunt, les date et lieu de naissance, la nationalité, le sexe, tous les signes particuliers effectifs et permanents, le motif d'introduction des données, l'action suggérée, le code d'alerte avertissant que la personne a déjà porté une arme, fait usage de violence ou échappé aux autorités et le numéro d’immatriculation du véhicule. Il est proposé d’ajouter, en conformité avec le règlement régissant le premier pilier, les noms de famille antérieurs, le numéro, le lieu et la date d’émission des documents d’identité et l’adresse.

L'accès direct aux données du système d'information des douanes est réservé exclusivement aux autorités nationales désignées par chaque Etat membre. Ces autorités nationales sont des administrations douanières mais peuvent inclure aussi d'autres autorités habilitées.

Seul l'Etat membre fournisseur des données a le droit de modifier, compléter, corriger ou effacer les données qu'il a introduites dans le système.

Les données introduites dans le SID ne sont conservées que le temps nécessaire pour atteindre l'objectif qui a motivé leur insertion et au maximum pendant dix ans, ce qui constitue une durée très longue. La nécessité de les conserver est examinée, au moins une fois par an, par l'Etat membre fournisseur.

Les données peuvent être transférées à des pays tiers avec l’accord du pays émetteur et sous réserve des conditions qu’il aurait imposées. Chaque Etat membre prend des mesures spéciales pour s’assurer de la sécurité des données transférées à des services situés hors de son territoire. Ces mesures sont transmises à l’autorité de contrôle commune. Le contrôleur européen à la protection des données estime que cette protection est insuffisante. Un régime d’adéquation des mesures prises aurait dû être institué à l’occasion de la révision de la convention. Le simple maintien du droit actuel est regrettable sur ce point précis.

2. L’accès aux données ouvert à Europol et Eurojust

Le projet de décision étend l’accès aux données à Europol et Eurojust. Le contrôleur européen à la protection des données avait sévèrement critiqué le fait que les arguments en faveur d’une telle extension étaient insuffisants. Un effort a été fait pour expliquer en quoi cet accès est nécessaire à Europol et Eurojust.

La lecture des données du SID permettra à Europol de faire des recoupements avec des informations dont elle dispose et de renforcer son travail d’analyse. La lecture des données du FIDE donnera à Europol la possibilité de faire des connections avec des investigations criminelles dont elle n’a pas connaissance aujourd’hui. Par ailleurs, ces accès seront importants dans le cadre de la participation d’Europol aux équipes communes d’enquête.

Pour Eurojust, la lecture des données du SID permettra, dans les activités d’assistance aux Etats en matière de conflits de compétence et de création d’équipes communes d’enquête, une accélération des travaux. Eurojust est amené à travailler régulièrement avec les douanes en matière de trafic de drogue au sein des équipes communes d’enquête. L’accès aux données du FIDE serait une source fiable et rapide pour les enquêtes en cours et faciliterait le travail d’Eurojust.

Europol aurait droit, dans les limites de son mandat et aux fins de l’accomplissement de ses tâches, d’accéder aux données du SID et de les consulter. L’utilisation des données est soumise à l’accord de l’Etat qui les a introduites. Europol ne pourrait transférer ou télécharger une quelconque partie des données du SID.

Le membres nationaux d’Eurojust et le personnel autorisé auraient un accès aux données et un droit de consultation, dans les limites de leur mandat. Les informations contenues dans le SID ne pourraient être transférées ou téléchargées.

Europol et Eurojust ne pourraient transférer les données à des Etats ou instances tiers qu’avec l’accord de l’Etat qui a introduit les données. L’autorité de contrôle commune ainsi que le contrôleur européen de la protection des données ont jugé que cette garantie n’est pas suffisante. Elle est calquée sur celle actuellement applicable aux transferts de données des Etats membres vers des Etats tiers.

3. La protection des données et la supervision

La protection des données sur le SID devrait être conforme à la décision cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale. Les droits d’accès, de rectification ou d’effacement des données par les personnes concernées seraient traités conformément aux législations nationales mettant en application la décision cadre. A cet égard, il convient de noter une dernière évolution importante du texte selon laquelle le présent projet de décision n’entrerait en vigueur que concomitamment à la décision cadre relative à la protection des données. C’est un point très positif.

Le modèle de supervision prévu par la convention SID pour le troisième pilier consiste en une autorité de contrôle commune. Dans le premier pilier, l’autorité compétente en matière de protection des données est le contrôleur européen. Ce dernier a plaidé pour une harmonisation des modalités de contrôle. Il semble que l’autorité de contrôle commune existant dans le troisième pilier soit maintenue au regard des dernières négociations. Cette autorité est composée de deux représentants par Etat membre issus des autorités de contrôle nationales (de type CNIL). L’autorité garantit la bonne application du présent projet et de la décision cadre relative à la protection des données dans le SID.

Enfin, la présente décision remplacerait la convention portant création du SID ainsi que le protocole portant création du FIDE. Ceci n’est pas neutre du point de vue du Parlement français puisque les conventions sont soumises à ratification en application de l’article 53 de la Constitution alors que le présent projet de décision ne le sera pas. Il convient de souligner que la procédure de ratification nécessite l’accord du Parlement sur le texte adopté, à la différence de la procédure prévue par l’article 88-4 de la Constitution selon laquelle le présent projet est examiné en amont de son adoption. Ceci constitue l’occasion de rappeler la nécessité d’organiser dans le futur le contrôle des parlements nationaux sur la mise en œuvre des politiques relatives à l’espace de liberté, de sécurité et de justice, le contrôle d’Europol et l’évaluation d’Eurojust, tels qu’ils sont prévus dans le traité de Lisbonne.

*

* *

En conclusion, le présent projet est positif et devrait permettre de développer un outil très peu utilisé. La Commission l’a approuvé , en l’état des informations dont elle dispose, au cours de sa réunion du 7 juillet 2009.