L'accès d'Europol aux données détenues par le secteur privé en projet

... et le secteur privé pourrait avoir accès aux données d'Europol. La Commission a présenté un document concernant la prochaine révision du mandat d'Europol. Cette révision, qui devrait entériner la création d'un Centre européen de la lutte contre cybercriminalité (voir billet de securiteinterieure.fr à ce sujet), est l'occasion de moderniser la décision Europol. Pour rappel, la convention Europol de 1995 a déjà fait l'objet de toilettages et autres  révisions à de multiples reprises. Les principes réformes ont eu lieu en 2002 et en 2009). Le texte en vigueur est actuellement la décision du 6 avril 2009 (à consulter aussi le billet de securiteinterieure.fr sur le rapport d'activité pour l'année de 2010).

Pour une présentation générale d'Europol, son organisation et son évolution avec les différentes réformes, vous pouvez consulter le Paysage européen de la sécurité intérieure (p.351 et s., p. 408 et s., p. 426 et s., et p. 482 et s.).

Voici ce que le papier de la Commission suggère. Les propositions sont accompagnées des explications de securiteinterieure.fr :

• Etablir une évaluation périodique du travail et de l'organisation des Unités nationales Europol (c'est-à-dire les unités situées dans les Etats membres et qui font le lien entre Europol et les services opérationnels. En France, c'est la SCOPPOL). Cette évaluation peut avoir lieu, le cas échéant, sous forme d'évaluation mutuelle (des Unités évaluent une autre Unité et ceci par roulement);
• Etendre aux services opérationnels l'obligation de transmettre dans un délai donné les informations requises par Europol. Établir également une évaluation périodique du travail des services opérationnels sur le mode des évaluations des Unités nationales Europol);
• Consacrer et étendre le principe du contact direct entre les services opérationnels et Europol (c'est-à-dire sans passer par les Unités nationales Europol;
• Faciliter l'échange de données entre Europol et le secteur privé;
• Renforcer la capacité d'Europol d'initier des enquêtes dans les Etats membres. Il s'agit notamment qu'un service opérationnel qui refuse une demande d'Europol à ce sujet, soit en mesure de justifier son opposition (c'est ce qui se passe d'ailleurs pour Eurojust vis-à-vis des magistrats);
• Dans la perspective de la création du futur procureur européen, conférer à Europol la possibilité de fournir à Eurojust des notitia criminis (c'est-à-dire des notices prévenant qu'un crime a eu lieu). L'idée est d'assurer une dissémination rapide de l'information aux autorités judiciaires des Etats membres pouvant être concernées;
• Revoir l'architecture de la gestion de l'information. Le système de protection des données, tel qu'il existe à l'heure actuelle, est trop rigide;
• Faire qu'Europol fournisse un soutien technique à la Commission dans la négociation d'accords avec les pays tiers ayant un volet coopération policière;
• Permettre à Europol de conclure des arrangements administratifs et des accords ad hoc (accords stratégiques, c'est-à-dire sans échange de données à caractère personnel);
• Permettre aussi dans des cas exceptionnels, sur la base d'une autorisation de l'Autorité de contrôle commune, de un échange de données à caractère personnel lorsqu'il n'existe pas d'accord juridique préalable à ce sujet. Le directeur d'Europol pourrait autoriser lui-même cet échange en cas de menace imminente.

securiteinterieure.fr vous reproduit le document n°8261/12 du Conseil (qui reprend les propositions de la Commission). Pour l'heure, il s'agit seulement d'idées, la proposition devant intervenir subséquemment.
Le texte est en anglais mais les principales propositions viennent d'être énoncées ci-dessus. 

Le document est un peu technique, alors securiteinterieure.fr vous met un petit siglier :

• MB : Etat membre
• ENU : Unité nationale Europol
• ECD : décision instituant Europol
• COM : Commission européen
• TFUE : traité sur le fonctionnement de l'Union européenne
• JSB : Autorité de contrôle commune (la "CNIL" d'Europol")
• EDPS : Contrôleur européen chargé de la protection des données (la "CNIL de l'UE").

Voici donc le texte avec les propositions reproduites in extenso :

• Improving Europol's intelligence picture by enhancing the provision of information to
  Europol by MSs, in quality and quantity
  • Introducing incentives to investigations to crime areas other than Euro counterfeiting.
  • Checks and balances: to ensure MSs comply with their obligations vis-à-vis Europol, to establish the obligation of a periodic evaluation of the ENUs work/organisation and of that of national competent authorities (with a component of peer review). The details of the mechanism would have to be defined elsewhere, because the future Regulation will not contain a breakdown of the rules on which the evaluation criteria will be based.
  • The obligation for MSs to provide Europol with relevant information in a timely fashion could also be extended from the ENUs to the national competent authorities.
  • The obligation could also be strengthened by insisting on the need to contribute, in particular, in certain crime areas.
   
• Ensuring that Europol has more effective contacts with MSs: reviewing the role of ENUs in order to give more space to national competent authorities to liaise with Europol
• The possibility of direct contacts with national competent authorities could be enshrined in the future Regulation, in order to streamline exchanges, especially on ongoing investigations. The ENUs would in any case need to be kept informed. Direct contacts with national competent authorities are already possible for Europol but are dependent on the will and decision of the individual MSs (Art. 8(2) of the ECD).
• The future Regulation could also prescribe that ENUs must have access to relevant national law enforcement data bases.Facilitating access by Europol to private-sector held information

• Facilitating access by Europol to private-sector held information
• To introduce provisions on information exchange with the private sector. Where relevant (need to know) the ENU would be informed. This could notably facilitate the work of the Cybercrime Centre.

• Triggering investigative action at MS level: from Europol's analysis to national action: improving the follow-up given to Europol's finding 
• To strengthen the provision that empowers Europol to request of MSs the initiation of a criminal investigation (Art. 7(1) ECD), by obliging them to supply a reasoned justification if they decide not to go ahead with the investigation within a given deadline. 
• To strengthen Europol's obligation to inform Eurojust of a notitia criminis, in line with Art. 85 TFEU. Ideally the two means should be cumulated: whilst Europol can address its request to ENUs or law enforcement competent authorities, Eurojust, based on the information supplied by Europol, should address the prosecution authorities. This construction is in line with the TFEU. This approach better articulates Europol and Eurojust's roles.

• More flexibility in information management for better effectiveness: redesigning Europol's data management concept
• The future regulation could improve the information management system of Europol which currently defines in a prescriptive manner the data systems that Europol can use. This system has been identified as decreasing operational effectiveness of Europol. The Regulation would spell out strong data protection and data security rules. These rules would not possibly concern systems or data-bases, but instead they could apply to the specific type of information (information processed for cross-checking purposes, for strategic or general analysis purposes or for specific operational analysis purposes) leaving flexibility as to the most suitable IT architecture.

• Rationalising Europol's means to exchange information with 3rd partners. Combining the legal requirement to align the legal basis with the Lisbon Treaty with the possibility to obtain and transmit data according to operational needs
• The system would have the following components:
• The COM negotiates, on behalf of the EU an agreement with a 3rd state. It will require the technical support of Europol on aspects relating to law enforcement. This should be enshrined in the future Regulation
• The future Regulation should give Europol the mandate to conclude working arrangements with competent law enforcement authorities of 3rd states on the basis of an EU agreement, with the purpose of exchanging information other than personal data.
• In the absence of an agreement, and in duly justified situations, Europol shall be entitled to exchange information on an ad hoc basis with law enforcement agencies in 3rd states for a limited duration and specific purpose, based on a prior authorisation of a data protection authority (ex.: JSB in cooperation with EDPS).
• In the absence of an agreement, and in cases of urgency (imminent threat), on an exceptional basis, the Europol Director, having consulted the Chairman of the Management Board, can authorise the exchange of data (or only transmission or receipt) without prior authorisation but must inform the data protection authority mentioned above.

• Strengthening the external data protection supervisory authority

retour au sommaire de securiteinterieure.fr

securiteinterieure.fr
LE site de référence sur la sécurité intérieure

page principale :

http://www.securiteinterieure.fr/