(Résumé)
Les personnes dont les données à caractère personnel sont collectées, conservées ou autrement traitées dans le système d’information Schengen de deuxième génération (ci-après « SIS II ») jouissent du droit d’accès, de rectification des données inexactes et d’effacement de données stockées illégalement. Le présent guide décrit les modalités d’exercice de ces droits.
Présentation du Système d’information Schengen de deuxième génération (SIS II)
Le SIS II est un système informatique à grande échelle créé pour compenser la suppression des contrôles aux frontières intérieures, qui entend assurer un niveau élevé de sécurité dans l’espace de liberté, de sécurité et de justice de l’Union européenne, y compris la préservation de la sécurité publique et de l’ordre public et la sauvegarde de la sécurité sur les territoires des Etats membres. Le SIS II est mis en œuvre dans tous les Etats membres de l’UE, à l’exception de Chypre, de la Croatie et de l’Irlande, et dans quatre Etats associés : l’Islande, la Norvège, la Suisse et le Liechtenstein.
Le SIS II est un système d’information qui permet aux autorités répressives, judiciaires et administratives nationales d’exécuter des tâches spécifiques en partageant les données pertinentes. Les agences européennes EUROPOL et EUROJUST jouissent également de privilèges d’accès, bien que limités, à ce système.
Le SIS II permet aux gardes-frontières, ainsi qu’aux autorités chargées des visas, d’effectuer l’accès à et l’examen des signalements concernant des ressortissants de pays tiers aux fins de non-admission ou d’interdiction de séjour dans l’espace Schengen.
Le SIS soutient la coopération policière et judiciaire en permettant aux autorités compétentes de créer et de consulter des signalements concernant des personnes portées disparues, des personnes ou des objets liés à des infractions pénales.
Les autorités chargées de l’immatriculation des véhicules peuvent consulter le SIS pour vérifier le statut juridique des véhicules qui leur sont présentés pour immatriculation. Ils n’ont accès qu’aux signalements dans le SIS relatifs aux véhicules, aux certificats d’immatriculation et aux plaques d’immatriculation.
Un signalement SIS II contient non seulement des informations sur une personne ou un objet en particulier, mais aussi des instructions aux autorités sur ce qu’il faut faire lorsque la personne ou l’objet a été retrouvé. Les bureaux nationaux spécialisés SIRENE, situés dans chaque Etat membre, servent de points de contact pour l’échange d’informations supplémentaires et la coordination des activités liées aux signalements SIS.
Catégories d’informations traitées
Le SIS II centralise deux grandes catégories d’informations prenant la forme de signalements concernant, tout d’abord, des personnes, qu’elles soient recherchées en vue d’une arrestation, disparues, recherchées dans le but de rendre possible leur concours dans le cadre d’une procédure judiciaire, aux fins de contrôle discret ou de contrôle spécifique, ou des ressortissants de pays tiers faisant l’objet d’un signalement aux fins de non-admission ou d’interdiction de séjour dans l’espace Schengen, et, ensuite, des objets, tels que des véhicules, documents de voyage, cartes de crédit, aux fins d’une saisie ou de la preuve dans une procédure pénale, ou aux fins de contrôle discret ou de contrôle spécifique.
Base juridique
En fonction du type de signalement, le SIS II est régi par le règlement (CE) 1987/2006 du Parlement européen et du Conseil du 20 décembre 2006 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen de deuxième génération en ce qui concerne les procédures de signalement relevant du titre IV du traité instituant la Communauté européenne — ancien premier pilier — (ci-après le « règlement SIS II ») ou par la décision 2007/533/JAI du Conseil du 12 juin 2007 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen de deuxième génération en ce qui concerne les procédures relevant du titre VI du traité sur l’Union européenne — ancien troisième pilier — (ci-après la « décision SIS II »).
Catégories de données à caractère personnel traitées
Lorsque le signalement concerne une personne, les informations doivent toujours comprendre les nom, prénom et pseudonymes, le sexe, une référence à la décision qui est à l’origine du signalement et la mesure à prendre. Le cas échéant, le signalement peut également contenir des informations telles que les signes physiques particuliers, objectifs et inaltérables; le lieu et la date de naissance; des photographies; des empreintes digitales; la ou les nationalité(s); l’indication que la personne concernée est armée, violente ou en fuite; le motif du signalement; l’autorité signalante, les liens vers d’autres signalements introduits dans le SIS II, conformément à l’article 37 du Règlement SIS II ou à l’article 52 de la Décision SIS II.
Architecture du système
Le SIS II se compose :
1) d’un système central (le « SIS II central »),
2) d’un système national (le « N.SIS II ») dans chaque Etat membre, relié au SIS II central, et
3) d’une infrastructure de communication entre le système central et les systèmes nationaux, fournissant un réseau virtuel crypté consacré aux données du SIS II et à l’échange de données entre les instances chargées de l’échange de toutes les informations supplémentaires (les bureaux SIRENE).
Système d’information Schengen (SIS)
Le système d’information Schengen (SIS) est une base de données extrêmement sécurisée et protégée, qui n’est accessible qu’à des utilisateurs autorisés au sein des autorités compétentes comme le contrôle national aux frontières, la police, les douanes, les autorités judiciaires, les autorités d’enregistrement de visas et d’immatriculation de véhicules. Ces autorités ne peuvent avoir accès qu’aux données du SIS qui leur sont nécessaires à l’accomplissement de leurs missions. Une liste des autorités nationales compétentes ayant accès au SIS est publiée chaque année au Journal officiel de l’Union européenne.
Les agences européennes EUROPOL et EUROJUST ont des droits limités d’accès pour effectuer certains types de consultations relatives à certaines catégories d’alertes.
Depuis l’adhésion de la Bulgarie au système d’information Schengen de deuxième génération (SIS II), les droits des personnes concernées sont régis par des actes de l’Union européenne englobant le règlement (CE) 1987/2006 du Parlement européen et du Conseil du 20 décembre 2006 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen de deuxième génération (SIS II) et la décision 2007/533/JAI du Conseil du 12 juin 2007 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen de deuxième génération (SIS II) – article 58.
Une personne concernée est toute personne physique dont les données à caractère personnel sont traitées conformément à l’article 41 du règlement (CE) 1987/2006 et à l’article 58 de la décision 2007/533/JAI du Conseil : toute personne concernée a le droit d’accéder aux informations sur les données personnelles la concernant, traitées par les institutions compétentes. Le ministère de l’Intérieur, en tant que responsable du traitement dans le SIS II, est tenu de fournir à la personne concernée les informations sur les mesures prises à la suite de sa demande, dans un délai d’un mois après réception de celle-ci.
Droit d’accès
Le droit d’accès est la possibilité pour toute personne qui le demande d’avoir connaissance des informations la concernant stockées dans un fichier de données visé dans la législation nationale. Il s’agit d’un principe fondamental de la protection des données qui permet aux personnes concernées d’exercer un contrôle sur les données à caractère personnel conservées par des tiers. Ce droit est prévu expressément à l’article 41 du règlement SIS II et à l’article 58 de la décision SIS II.
Le droit d’accès est exercé conformément à la législation de l’Etat membre dans lequel la demande est présentée. Les procédures varient d’un pays à l’autre, de même que les règles sur la communication des données au demandeur. Lorsqu’un Etat membre reçoit une demande d’accès à un signalement qu’il n’a pas effectué lui-même, cet Etat doit informer l’Etat signalant de sa position quant à la possibilité de divulguer les données au demandeur. La communication des informations à la personne concernée est refusée si cette non-communication est indispensable à l’exécution d’une tâche légale en liaison avec le signalement ou à la protection des droits et libertés des tiers.
Il existe actuellement deux types de systèmes régissant le droit d’accès aux données traitées par les autorités répressives, et donc applicables également aux données du SIS. Dans certains Etats membres, le droit d’accès est direct, dans d’autres, il est indirect.
Dans le cas de l’accès direct, la personne concernée s’adresse directement aux autorités qui traitent les données (police, gendarmerie, douanes, etc.). Si la législation nationale le permet, les informations le concernant peuvent être envoyées au demandeur.
Dans le cas de l’accès indirect, la personne envoie sa demande d’accès à l’autorité nationale de protection des données de l’Etat auquel la demande est adressée. L’autorité de protection des données effectue les vérifications nécessaires pour traiter la demande et répond au demandeur.
Lorsqu’une personne exerce son droit d’accès, de rectification de données inexactes et d’effacement de données illégalement conservées, les réponses des autorités compétentes doivent être fournies dans un délai strictement déterminé. De cette manière, la personne est informée dans les meilleurs délais et en tout cas 60 jours au plus tard à compter de la date à laquelle elle a demandé l’accès, ou plus tôt, si le droit national le prévoit. La personne est également informée des mesures ultérieures, prises en vue d’exercer ses droits de rectification ou d’effacement, dans les meilleurs délais, mais au plus tard trois mois à compter de la date à laquelle elle a demandé la rectification ou l’effacement, ou plus tôt, si le droit national le prévoit.
Droit de rectification et d’effacement des données
Le droit d’accès est complété par le droit de faire rectifier des données à caractère personnel lorsqu’elles sont inexactes dans les faits ou incomplètes, et par le droit de les faire effacer lorsqu’elles ont été stockées illégalement (article 41, paragraphe 5, du règlement SIS II et article 58, paragraphe 5, de la décision SIS II).
Dans le cadre juridique des accords de Schengen, seul l’Etat membre signalant dans le SIS II est autorisé à modifier ou effacer les données qu’il a introduites (voir l’article 34, paragraphe 2, du règlement SIS II et l’article 49, paragraphe 2, de la décision SIS II). Si la demande est présentée dans un Etat membre qui n’a pas effectué le signalement, les autorités compétentes des Etats membres concernés coopèrent pour traiter l’affaire, en échangeant des informations et en effectuant les vérifications nécessaires. Le demandeur doit motiver sa demande de rectification ou d’effacement des données et rassembler toutes les informations pertinentes justificatives.
Voies de recours : le droit de déposer une réclamation auprès de l’autorité de protection des données ou d’engager des poursuites judiciaires
L’article 43 du règlement SIS II et l’article 59 de la décision SIS II prévoient les voies de recours accessibles aux personnes physiques lorsque leur demande n’a pas reçu de réponse favorable. Toute personne peut intenter une action devant les juridictions ou l’autorité compétentes en vertu du droit national de tout Etat membre, pour accéder, faire rectifier ou effacer des données ou pour obtenir des informations ou une indemnisation en raison d’un signalement la concernant.
En cas de réclamation comportant un élément transfrontalier, les autorités nationales de protection des données doivent coopérer pour garantir les droits des personnes concernées.
Toute personne a le droit d’accès à ses données personnelles, collectées à son insu et traitées dans les bases de données du ministère de l’Intérieur ou du SIS, en déposant une demande d’accès devant le bureau national SIRENE, créé comme unité auprès de la Direction de la Coopération opérationnelle internationale du ministère de l’Intérieur.
Le cadre juridique indiqué sera applicable jusqu’en décembre 2021
En novembre 2018, le règlement (UE) 2018/1861 du Parlement européen et du Conseil du 28 novembre 2018 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen (SIS) dans le domaine des vérifications aux frontières, modifiant la convention d’application de l’accord de Schengen et modifiant et abrogeant le règlement (CE) 1987/2006, et le règlement (UE) 2018/1862 du Parlement européen et du Conseil du 28 novembre 2018 concernant l’établissement, le fonctionnement et l’utilisation du système d’information Schengen (SIS) dans le domaine de la coopération policière et de la coopération judiciaire en matière pénale, modifiant et abrogeant la décision 2007/533/JAI du Conseil, et abrogeant le règlement (CE) 1986/2006 du Parlement européen et du Conseil et la décision 2010/261/UE de la Commission, ont été adoptés. Ces règlements sont en vigueur depuis le 28 décembre 2019 et deviendront pleinement applicables à partir de décembre 2021.
Dès le début d’application de la nouvelle législation du SIS II, conformément à l’article 67 du Règlement (UE) 2018/1862 et de l’article 53 du règlement (UE) 2018/1861, les personnes concernées exerceront leurs droits énoncés aux articles 15, 16 et 17 du règlement (UE) 2016/679 et aux articles 14 et 16, paragraphes 1 et 2 de la directive (UE) 2016 /680.
Usurpation d’identité
Parfois, de faux documents d’identité ou des documents d’identité appartenant à quelqu’un d’autre sont utilisés lors de la commission d’infractions pénales ou lors de tentatives d’entrée ou de séjour dans l’espace Schengen. Afin d’éviter les conséquences négatives d’une éventuelle erreur d’identification, les données relatives à la personne dont l’identité a été usurpée peuvent être ajoutées au signalement dans le SIS. Ceci n’est autorisé qu’avec le consentement explicite de cette personne. De plus, les données relatives à l’identité usurpée ne peuvent être utilisées qu’en vue d’éviter une identification erronée et doivent être supprimées en même temps que le signalement concerné ou plus tôt si la victime le demande.
Données de contact de l’autorité auprès de laquelle sont déposées les demandes d’accès
Ministère de l’Intérieur de la République de Bulgarie
Sofia 1000
19, rue Chesti Septemvri
Tél. : +359 2 982 5000 – administration centrale
Site web : http://www.mvr.bg/contactus.htm
