Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Règles relatives à la confidentialité des informations d’Europol

2009/0807(CNS)

OBJECTIF : fixer les règles d'application relatives à la confidentialité des informations d'EUROPOL.

ACTE LÉGISLATIF : Décision 2009/968/JAI du Conseil portant adoption des règles relatives à la confidentialité des informations d’EUROPOL.

CONTEXTE : conformément à la décision 2009/371/JAI du Conseil faisant d’EUROPOL une agence communautaire, il revient au Conseil, statuant à la majorité qualifiée après consultation du Parlement européen, d'arrêter les dispositions d'exécution relatives à la confidentialité des informations obtenues par EUROPOL ou échangées avec l'Office.

C’est l’objectif de la présente décision.

CONTENU : les règles fixées par la présente décision établissent les mesures de sécurité à appliquer à toutes les informations qui sont traitées par EUROPOL ou par son intermédiaire. Ces règles visent en particulier à fixer les responsabilités en matière de sécurité des données et à prévoir des mesures techniques applicables à la classification des données. Ces règles sont complétées par une annexe qui donne un aperçu des niveaux de classification des informations et de leurs équivalents appliqués à l’heure actuelle par les États membres.

Ces différentes règles peuvent se résumer comme suit :

1) Responsabilités en matière de sécurité : la décision définit les responsabilités de toutes les parties intervenant dans le processus de protection des données :

  • responsabilités des États membres : ceux-ci doivent veiller à ce que, sur leur territoire, les informations EUROPOL bénéficient d'un niveau de protection au moins équivalent à celui assuré par les règles établies par la décision ;
  • responsabilités du coordinateur de la sécurité : ce dernier fait partie de la structure interne d’EUROPOL (il est le directeur adjoint de l’Office) et est globalement responsable de toutes les questions touchant à la sécurité et aux respect des règles établies dans la présente décision ou contenues dans le manuel de sécurité applicable à la protection des données EUROPOL ;
  • responsabilités du comité de sécurité : ce dernier se compose de représentants des États membres et de membres d’EUROPOL et est chargé de conseiller le conseil d'administration et le directeur d'EUROPOL pour les questions relatives à la politique de sécurité de l’Office ;
  • responsabilités du directeur d’EUROPOL : il est chargé de faire respecter, au même titre que les bureaux de liaison d’EUROPOL et ses unités nationales, les règles définies dans la présente décision et dans le manuel de sécurité.

L’ensemble des mesures de sécurité établies dans la décision devront être respectées par toute personne au sein d'EUROPOL ou toute autre personne associée à ses activités. Ces personnes sont notamment soumises à une obligation de réserve ou de confidentialité.

Manuel de sécurité : le manuel de sécurité fournit des orientations et un soutien pour la sécurité, en fonction des besoins opérationnels d’EUROPOL et contient des règles de sécurité précises pour assurer le niveau de protection minimum à accorder au traitement des données et à leur niveau de classification.

Tâches des responsables de la sécurité : l’ensemble des responsables de la sécurité assistent le directeur dans l'application des mesures de sécurité à mettre en œuvre et dans l’application du manuel de sécurité. Ils répondent directement de leurs actes devant le coordinateur de la sécurité et ont globalement pour tâche de veiller à l'application des règles prévues à la présente décision. Ils ont également pour tâche d’enquêter en cas d’infraction.

2) Principes généraux applicables à confidentialité des données : cet ensemble de dispositions fixe en particulier le niveau de protection minimum et les niveaux de classification à appliquer aux données en fonction de leur degré d’importance. Les États membres devront veiller à l'application de ces niveaux de protection en imposant aux personnes requises une obligation de réserve et de confidentialité, la restriction de l'accès à l'information aux seules personnes autorisées, des exigences en matière de protection des données pour les données à caractère personnel et des mesures techniques et de procédure pour préserver la sécurité des informations.

Par principe, toutes les informations traitées par EUROPOL (à l'exception des informations expressément marquées comme étant accessibles au public) sont assorties d'un niveau de protection minimum au sein d'EUROPOL ainsi que dans les États membres. Les informations qui requièrent des mesures de sécurité supplémentaires sont assorties d'un niveau de classification EUROPOL, qui est indiqué par un marquage spécifique. Les informations ne sont assorties d'un tel niveau de classification qu'en cas de stricte nécessité et pour une durée déterminée.

Quatre niveaux de classification sont ainsi fixés :

  1. «RESTREINT UE/EU RESTRICTED»: pour les informations dont la divulgation non autorisée pourrait être défavorable aux intérêts d'EUROPOL, de l’Union européenne ou d'un ou plusieurs États membres;
  2. «CONFIDENTIEL UE/EU CONFIDENTIAL» : pour les informations dont la divulgation pourrait nuire aux intérêts essentiels d'EUROPOL, de l’Union européenne ou des États membres;
  3. «SECRET UE/EU SECRET» : pour les informations dont la divulgation pourrait nuire gravement aux intérêts essentiels d'EUROPOL, de l’Union européenne ou des États membres;
  4. «TRÈS SECRET UE/EU TOP SECRET» : pour les informations dont la divulgation causerait un préjudice exceptionnellement grave aux intérêts essentiels d'EUROPOL, de l’Union européenne ou des États membres.

Ces informations et matériels classifiés portent un marquage supplémentaire («EUROPOL») sous le marquage indiquant le niveau de classification, afin de signaler qu’ils proviennent d’EUROPOL.

Á chaque niveau de classification correspond un ensemble de mesures de sécurité spécifiques à appliquer au sein d'EUROPOL, différentes selon le contenu de l'information et des conséquences négatives que pourrait avoir leur divulgation. Les mesures de sécurité consistent en diverses mesures à caractère physique, technique, organisationnel ou administratif et sont prévues au manuel de sécurité.

Choix du niveau de classification : il revient aux États membres qui fournissent les informations à EUROPOL de fixer le niveau de classification des données fournies à partir de critères établis au plan national et de la nécessité pour EUROPOL de les traiter avec la souplesse requise. Le cas échéant, EUROPOL pourra modifier ce niveau de classification (par exemple, en abaissant ou en augmentant le niveau de classification d'un document), moyennant accord préalable de l'État membre concerné. Pour permettre de concevoir de manière cohérente le niveau de classification requis, la décision présente à son annexe, un tableau d'équivalence entre les classifications nationales et les classifications EUROPOL correspondantes Ce tableau reste toutefois indicatif.

Á noter que si les informations n’émanent pas d’un État membre et sont dépourvues de classification, il reviendra à EUROPOL de déterminer lui-même leur niveau de classification.

Une procédure est en outre prévue pour modifier un niveau de classification (que ce soit sur base d’une décision d’un État membre ou d’EUROPOL).

Traitement, accès et habilitation de sécurité : des dispositions sont enfin prévues pour règlementer l'accès aux informations au sein d’EUROPOL. L’accès et la détention des informations sont ainsi limités aux seules personnes qui, en raison de leurs tâches ou obligations, doivent en prendre connaissance ou les manipuler. Ces personnes doivent au préalable obtenir une habilitation de sécurité et, recevoir une formation spéciale. Cette habilitation ne leur est accordée que par le coordinateur de la sécurité. S’il existe un risque pour la sécurité des informations, le coordinateur peut, à tout moment, retirer cette habilitation. En principe, nul n'a accès à des informations s'il ne possède pas l'habilitation de sécurité du niveau approprié. Des dérogations sont toutefois prévues, laissées à la discrétion du coordinateur de la sécurité et uniquement, à titre exceptionnel. Il sera ainsi possible et sous certaines conditions, d’accorder une autorisation spéciale et limitée d’accès aux personnes possédant l'habilitation du niveau «CONFIDENTIEL UE/EU CONFIDENTIAL» d’accéder à des informations du niveau «SECRET UE/EU SECRET» ou d’accorder une autorisation temporaire d’accès à des informations classifiées d’un niveau supérieur pour une période maximale de 6 mois.

Tierces parties : conformément à la décision EUROPOL, l’Office peut conclure des accords de coopération avec des États tiers ou des tiers. Dans ce cas, EUROPOL devra prévoir des dispositions spécifiques sur la confidentialité des données qui seront échangées, conformément aux  règles prévues par la présente décision et par le manuel de sécurité.

ENTRÉE EN VIGUEUR : 1er janvier 2010.