L’avocat général considère que l’accord « PNR » entre l’UE et le Canada est contraire au droit de l’Union.
À compter de 2010, l’Union européenne et le Canada ont négocié un accord sur le transfert et le traitement des données des dossiers passagers (accord « PNR »).
L’accord envisagé vise à permettre le transfert des données « PNR » aux autorités canadiennes. Ceci en vue de leur utilisation et de leur conservation. Mais aussi, le cas échéant, de leur transfert ultérieur dans le but de lutter contre le terrorisme et les formes graves de criminalité transnationale.
Le projet d’accord prévoit également des exigences en matière de sécurité et d’intégrité des données PNR, un masquage immédiat des données sensibles, des droits d’accès aux données, de rectification et d’effacement, la possibilité d’introduire des recours administratifs ou judiciaires et une durée de stockage des données limitée à cinq ans.
L’enjeu : l’équilibre entre « le souci légitime de préserver la sécurité publique et celui, non moins fondamental, à ce que toute personne puisse jouir d’un niveau élevé de protection de sa vie privée et de ses propres données ». En d’autres termes, entre lutte contre le terrorisme et garantie de la vie privée.
L’accord ayant été signé en 2014, le Conseil de l’Union européenne a demandé au Parlement européen de l’approuver.
Ce dernier a alors décidé de saisir la Cour de Luxembourg. Au centre des débats : l’accord envisagé est-il conforme au droit de l’Union. D’une part, en ce qu’il prévoit le respect de la vie privée et familiale. D’autre part, en ce qu’il prévoit la protection des données à caractère personnel.
Le Parlement européen s’interroge notamment si, malgré les garanties inscrites dans l’accord, l’ingérence dans le droit fondamental à la protection des données est justifiée.
C’est la première fois que la Cour doit se prononcer sur la compatibilité d’un projet d’accord international avec la Charte des droits fondamentaux de l’Union européenne.
Dans ses conclusions (1) prononcées le 8 septembre 2016, l’avocat général Paolo Mengozzi considère tout d’abord que l’accord envisagé est compatible avec la charte des droits fondamentaux de l’Union européenne.
C’est le cas, notamment, de ses dispositions relatives au droit au respect de la vie privée et familiale et au droit à la protection des données à caractère personnel.
Le magistrat pose toutefois plusieurs conditions.
- premièrement, il convient que les catégories de données « PNR » des passagers aériens soient libellées de manière claire et précise et que les données sensibles soient exclues du champ d’application de l’accord ;
- deuxièmement, les infractions relevant de la définition des formes graves de criminalité transnationale doivent être énumérées de manière exhaustive dans l’accord ;
- troisièmement, il convient que l’accord identifie de manière suffisamment claire et précise l’autorité chargée du traitement des données « PNR ». Ceci, de manière à assurer la protection et la sécurité de ces données ;
- quatrièmement, le nombre de personnes « ciblées » doit pouvoir être délimité dans une large mesure et de manière non discriminatoire. De sorte qu’il ne concerne que les personnes sur lesquelles pèse un soupçon raisonnable de participation à une infraction terroriste ou de criminalité transnationale grave ;
- cinquièmement, l’accord doit spécifier que seuls les fonctionnaires de l’autorité canadienne compétente sont habilités à accéder aux données « PNR » et prévoit des critères objectifs permettant d’en préciser le nombre ;
- sixièmement, il doit indiquer les raisons objectives justifiant la nécessité de conserver toutes les données « PNR » des passagers pour une période maximale de cinq ans, étant entendu que, dans le cas où les données « PNR » devraient être conservées pendant cinq ans, celles permettant d’identifier directement un passager aérien doivent être dépersonnalisées par masquage ;
- septièmement, l’accord doit prévoir qu’une autorité indépendante ou une juridiction du Canada soit habilitée à contrôler, au préalable, si l’autorité canadienne compétente peut, au cas par cas, divulguer les données « PNR » à d’autres autorités publiques canadiennes ou étrangères ;
- huitièmement, le texte doit garantir, de manière systématique, par une règle claire et précise, qu’une autorité indépendante puisse contrôler le respect de la vie privée et de la protection des données à caractère personnel des passagers dont les données « PNR » sont traitées ;
- neuvièmement, l’accord doit préciser clairement que les demandes d’accès, de rectification et d’annotation effectuées par des passagers non présents sur le territoire canadien puissent être portées devant une autorité publique indépendante.
En revanche, l’avocat général considère que certaines dispositions de l’accord envisagé sont, en leur état actuel, contraires à la charte des droits fondamentaux de l’Union européenne.
Il s’agit, en premier lieu, des dispositions qui permettent, au-delà de ce qui est strictement nécessaire, d’élargir les possibilités de traitement de données « PNR ». Ceci, indépendamment de la finalité de sécurité publique poursuivie par l’accord, à savoir la prévention et la détection des infractions terroristes et des formes graves de criminalité transnationale.
En second lieu, il s’agit de celles prévoyant le traitement, l’utilisation et la conservation par le Canada de données « PNR » contenant des données sensibles.
En troisième lieu, celles qui accordent au Canada, au-delà de ce qui est strictement nécessaire, le droit de divulguer toute information, sans que ne soit requis un lien quelconque avec la finalité de sécurité publique poursuivie par l’accord.
Il en va de même de celles qui autorisent le Canada à conserver des données « PNR » pour une période maximale de cinq ans pour, notamment, toute action, vérification, enquête ou procédure juridictionnelle, sans que ne soit requis un lien quelconque avec la finalité de sécurité publique poursuivie par l’accord.
Enfin, sont visées par le magistrat celles qui admettent que le transfert de données « PNR » à une autorité publique étrangère puisse être réalisé sans que l’autorité canadienne compétente, sous le contrôle d’une autorité indépendante, se soit préalablement assurée que l’autorité étrangère en question ne puisse pas elle-même ultérieurement communiquer les données à une autre entité étrangère.
L’avocat général a tenu à préciser qu’il est indéniable que les parties contractantes ont « tenté, parfois de façon insuffisante, d’effectuer une mise en balance des deux objectifs indissociablement poursuivis par l’accord envisagé ». Et d’ajouter : « Cet effort doit, me semble-t-il, être salué. Toutefois, sans remettre en cause ni l’objet, ni la nécessité de l’accord envisagé, je considère, comme les présentes conclusions le démontreront, que, pour être compatible avec les articles 7, 8 et l’article 52, paragraphe 1, de la Charte, l’accord envisagé devra être mis au point et/ou expurgé de certaines de ses stipulations actuelles, de sorte à ce qu’il n’excède pas ce qui est strictement nécessaire à la réalisation de son objectif sécuritaire ».
La Cour de justice de l’union européenne rendra son jugement dans quelques semaines.
Eric Bonnet
Directeur du département Communication juridique
(1) CJUE, Communiqué 89/16 du 8-9-2016 ; Conclusions de l’Avocat général, M. Paolo Mengozzi, du 8-9-2016.