Le 5 août dernier, le Gouvernement a publié le dernier décret d’application de la loi du 11 mars 2014 renforçant la lutte contre la contrefaçon.
Partant du constat que les produits contrefaisants sont de plus en plus souvent acheminés en petites quantités par voie postale ou fret express, l’article 67 sexies du code des douanes – inséré par l’article 13 de la loi du 11 mars 2014 – prévoit que les entreprises de fret express et les prestataires de services postaux transmettent à la direction générale des douanes et droits indirects (DGDDI) les données dont ils disposent relatives à l’identification des marchandises et objets acheminés ainsi que de leurs moyens de transport, à destination et en provenance des États membres de l’UE, au départ ou à destination de la France. Afin de permettre l’exploitation de ces données et faciliter la détection des produits contrefaisants, la DGDDI est autorisée à mettre en place des traitements automatisés, auxquels auront accès les seuls agents individuellement désignés et spécialement habilités par le ministre chargé des douanes.
Pris après avis de la Commission nationale de l’informatique et des libertés (CNIL), le décret n°2016-1064 fixe les contours d’un traitement automatisé dénommé « Analyse de risque du fret express » (AREX), qui vise à permettre à la DGDDI :
- d’établir une cartographie de la fraude douanière réalisée par le vecteur du fret express ;
- d’évaluer et de suivre l’évolution des tendances de la fraude douanière ;
- d’identifier les flux des marchandises illégaux aux fins d’améliorer la connaissance des services sur les schémas de fraude et d’orienter, a posteriori, les contrôles.
Le décret précise également la nature des données qui devront être communiquées à la DGDDI dans les dix jours maximum suivant la livraison ou l’expédition des envois (numéro de suivi et date d’envoi de la lettre de transport aérien; pays de provenance et de destination; désignation des marchandises; poids; adresse du destinataire et de l’expéditeur; etc.). À l’issue d’un délai maximum de deux ans à compter de leur enregistrement, les données seront automatiquement supprimées.
Enfin, le décret autorise l’exercice des droits d’accès et de rectification prévus par la loi du 6 janvier 1978 dite « informatique et libertés ». En revanche, le droit d’opposition ne s’appliquera pas au traitement AREX.