Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Règles relatives à la confidentialité des informations d’Europol

2009/0807(CNS)

OBJECTIF : fixer les règles d'application relatives à la confidentialité des informations d'EUROPOL.

ACTE PROPOSÉ: Décision du Conseil

CONTEXTE : conformément à la décision 2009/371/JAI du Conseil faisant d’EUROPOL une agence communautaire, il revient au Conseil, statuant à la majorité qualifiée après consultation du Parlement européen, d'arrêter les dispositions d'exécution relatives à la confidentialité des informations obtenues par EUROPOL ou échangées avec l'Office.

L’objectif de la présente proposition est de fixer ces règles.

CONTENU : les règles fixées par le présent texte établissent les mesures de sécurité à appliquer à toutes les informations qui sont traitées par EUROPOL ou par son intermédiaire. Ces règles visent en particulier à fixer les responsabilités en matière de sécurité des données et à prévoir des mesures techniques applicables à la classification des données. Ces règles sont complétées par une annexe qui donne un aperçu des niveaux de classification EUROPOL et des marquages équivalents actuellement appliqués par les États membres aux informations auxquelles ces niveaux de classification sont attribués.

Ces différentes règles peuvent se résumer comme suit :

1) Responsabilités en matière de sécurité : la proposition définit les responsabilités de toutes les parties intervenant dans le processus de protection des données :

  • responsabilités des États membres : ceux-ci doivent veiller à ce que, sur leur territoire, les informations EUROPOL bénéficient d'un niveau de protection au moins équivalent à celui assuré par les règles établies par la proposition ;
  • responsabilités du coordinateur de la sécurité : ce dernier fait partie de la structure interne d’EUROPOL (il est le directeur adjoint de l’Office) et est globalement responsable de toutes les questions touchant à la sécurité et aux respect des règles établies dans la présente proposition ou contenues dans le manuel de sécurité applicable à la protection des données EUROPOL ;
  • responsabilités du comité de sécurité : ce dernier se compose de représentants des États membres et de membres d’EUROPOL et est chargé de conseiller le conseil d'administration et le directeur d'EUROPOL pour les questions relatives à la politique de sécurité de l’Office ;
  • responsabilités du directeur d’EUROPOL : faire respecter, au même titre que les bureaux de liaison d’EUROPOL et ses unités nationales, les règles définies dans la présente décision et dans le manuel de sécurité.

L’ensemble des mesures de sécurité établies dans la proposition devront être respectées par toute personne au sein d'EUROPOL ou toute autre personne associée à ses activités. Celles-ci sont notamment soumises à une obligation de réserve ou de confidentialité.

Manuel de sécurité : le manuel de sécurité fournit des orientations et un soutien pour la sécurité, en fonction des besoins opérationnels d’EUROPOL et contient des règles de sécurité précises pour assurer le niveau de protection minimum à accorder au traitement des données et à leur niveau de classification.

Tâches des responsables de la sécurité : l’ensemble des responsables de la sécurité assistent le directeur dans l'application des mesures de sécurité à mettre en œuvre et du manuel de sécurité. Ils répondent directement de leurs actes devant le coordinateur de la sécurité et ont globalement pour tâche de veiller à l'application des règles prévues à la proposition. Ils ont également pour tâche d’enquêter en cas d’infraction.

2) Principes généraux applicables à confidentialité des données : cet ensemble de dispositions fixe en particulier le niveau de protection minimum et les niveaux de classification à appliquer aux données en fonction de leur degré d’importance. Les États membres devront veiller à l'application de ces niveaux de protection en imposant aux personnes requises une obligation de réserve et de confidentialité, la restriction de l'accès à l'information aux seules personnes autorisées, des exigences en matière de protection des données pour les données à caractère personnel et des mesures techniques et de procédure pour préserver la sécurité des informations.

Par principe, toutes les informations traitées par EUROPOL (à l'exception des informations expressément marquées comme étant accessibles au public) sont assorties d'un niveau de protection minimum au sein d'EUROPOL ainsi que dans les États membres. Les informations qui requièrent des mesures de sécurité supplémentaires sont assorties d'un niveau de classification EUROPOL, qui est indiqué par un marquage spécifique. Les informations ne sont assorties d'un tel niveau de classification qu'en cas de stricte nécessité et pour une durée déterminée.

Quatre niveaux de classification sont ainsi fixés :

1)      "EUROPOL Restricted" pour les informations dont la divulgation non autorisée pourrait être défavorable aux intérêts d'EUROPOL ou d'un ou plusieurs États membres;

2)      "EUROPOL Confidential" pour les informations dont la divulgation pourrait nuire aux intérêts essentiels d'EUROPOL ou des États membres;

3)      "EUROPOL Secret" pour les informations dont la divulgation pourrait nuire gravement aux intérêts essentiels d'EUROPOL ou des États membres; et

4)      "EUROPOL Top secret" pour les informations dont la divulgation causerait un préjudice exceptionnellement grave aux intérêts essentiels d'EUROPOL ou des États membres.

Á chaque niveau de classification EUROPOL correspond un ensemble de mesures de sécurité spécifiques à appliquer au sein d'EUROPOL, différentes selon le contenu de l'information et des conséquences négatives que pourrait avoir leur divulgation. Les mesures de sécurité consistent en diverses mesures de caractère physique, technique, organisationnel ou administratif et sont prévues au manuel de sécurité.

Choix du niveau de classification : il revient aux États membres qui fournissent les informations à EUROPOL de fixer le niveau de classification des données fournies à partir de critères établis au plan national et de la nécessité pour EUROPOL de les traiter avec la souplesse requise. Le cas échant, EUROPOL pourra modifier ce niveau de classification (par exemple, en abaissant ou en augmentant le niveau de classification d'un document), moyennant accord préalable de l'État membre concerné. Pour permettre de concevoir de manière cohérente le niveau de classification requis, la proposition présente à son annexe, un tableau d'équivalence entre les classifications nationales et les classifications EUROPOL correspondantes Ce tableau reste toutefois indicatif.

Á noter que si les informations n’émanent pas d’un État membre et sont dépourvues de classification, il reviendra à EUROPOL de déterminer lui-même leur niveau de classification.

Une procédure est en outre prévue pour modifier un niveau de classification (que ce soit sur base d’une décision d’un État membre ou d’EUROPOL).

Traitement, accès et habilitation de sécurité : des dispositions sont enfin prévues pour règlementer l'accès aux informations au sein d’EUROPOL. L’accès et la détention des informations sont ainsi limités aux seules personnes qui, en raison de leurs tâches ou obligations, doivent en prendre connaissance ou les manipuler. Ces personnes doivent au préalable obtenir une habilitation de sécurité et, recevoir une formation spéciale. Cette habilitation ne leur est accordée que par le coordinateur de la sécurité. S’il existe un risque pour la sécurité des informations, le coordinateur peut, à tout moment, retirer cette habilitation. En principe, nul n'a accès à des informations s'il ne possède pas l'habilitation de sécurité du niveau approprié. Des dérogations sont toutefois prévues, laissées à la discrétion du coordinateur de la sécurité et uniquement, à titre exceptionnel. Ces dérogations permettent notamment à une personne de se voir accorder une autorisation spéciale d’accès à des informations classifiées comme plus secrètes et/ou pour une période déterminée.

Tierces parties : conformément à la décision EUROPOL, l’Office peut conclure des accords de coopération avec des entités ou des États tiers. Dans ce cas, EUROPOL devra prévoir des dispositions spécifiques sur la confidentialité des données qui seront échangées, conformément aux  règles prévues par la présente proposition et par le manuel de sécurité.

ANALYSE D’IMPACT : non applicable.

INCIDENCE FINANCIÈRE : la proposition n’a aucune incidence sur le budget de l’Union européenne.