Données de dossiers passagers : la CJUE bloque l‘accord UE-Canada

Données de dossiers passagersL’accord sur le transfert des données de dossiers passagers ne peut être conclu sous sa forme actuelle selon la CJUE. 

L’accord des données de dossiers passagers (PNR) UE-Canada n’est pas conforme au droit de l’UE

Le projet d‘accord entre l’Union européenne et le Canada sur le transfert et le traitement des données de dossiers passagers (accord PNR) signé en 2014 n’est pas conforme au droit de l’Union européenne : c’est ce qu’a déclaré la Cour de justice de l’Union européenne (CJUE) dans un avis rendu le 26 juillet 2017 (1).

La CJUE estime que si le transfert, la conservation et l’utilisation systématiques de l’ensemble des données de dossiers passagers que prévoit l’accord sont pour l’essentiel admissibles, plusieurs dispositions du projet ne répondent pas aux exigences découlant des droits fondamentaux de l’Union.

Incompatibilité d’un accord international avec la Charte des droits fondamentaux de l’UE

Rappelons que l’Union européenne et le Canada ont négocié un accord sur le transfert et le traitement des données de dossiers passagers (accord PNR) qui a été signé en 2014.

Cet accord permet le transfert systématique et continu des données de dossiers passagers de l’ensemble des passagers aériens de l’UE aux autorités canadiennes, ainsi que de leur éventuel transfert ultérieur à d’autres autorités et d’autres pays tiers.

Le Conseil de l’Union européenne ayant demandé au Parlement européen de l’approuver, ce dernier avait décidé de saisir la CJUE pour savoir si l’accord envisagé était conforme au droit de l’Union et, en particulier, aux dispositions relatives au respect de la vie privée ainsi qu’à la protection des données à caractère personnel.

On notera que c’est la première fois que la Cour doit se prononcer sur la compatibilité d’un projet d’accord international avec la Charte des droits fondamentaux de l’UE.

Ingérence dans le droit fondamental à la protection des données personnelles et absence de règles claires et précises

Pour la Cour, si les ingérences dans les droits fondamentaux des citoyens européens sont justifiées car elles visent à garantir la réalisation d’un objectif visant à garantir la sécurité publique contre le terrorisme et la criminalité transnationale grave, « plusieurs dispositions de l’accord ne sont pas limitées au strict nécessaire et ne prévoient pas des règles claires et précises ».

En particulier, le transfert des données dites « sensibles », c’est à dire les données révélant « l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale » ou concernant « l’état de santé ou la vie sexuelle d’une personne » et dont le transfert vers le Canada devrait être justifié par d’autres motifs que ceux visant la protection de la sécurité publique, est incompatible avec les droits fondamentaux du fait d’un risque de traitement contraire au principe de non-discrimination.

Traitement des données pendant le séjour des passagers au Canada : nécessité de justifier de circonstances nouvelles

Par ailleurs, si le traitement de données de dossiers passagers qui se trouvent au Canada ou sont en partance de pays « ne dépasse pas les limites du strict nécessaire du fait de la conservation ou de l’utilisation systématique » des données de dossiers passagers, la CJUE estime que l’utilisation de ces données pendant leur séjour au Canada « doit se fonder sur des circonstances nouvelles justifiant cette utilisation » afin de « protéger les données contre les risque d’abus ».

Elle rappelle ici que si le traitement des données de dossiers passagers, dicté par un objectif de sécurité publique contre les menaces terroristes, doit faciliter et accélérer les contrôles de sécurité notamment aux frontières, il ne doit pas pour autant entrainer une ingérence dans la vie privée des passagers.

Alain Bensoussan
Audrey Cuenca
Lexing Economie numérique

(1) CJUE, Communiqué de presse n°84/17 du 26-7-2017, Avis 1/15, Curia.Europa.eu.




Données de dossiers passagers : la CJUE bloque l‘accord UE-Canada

Données de dossiers passagers : la CJUE bloque l‘accord UE-CanadaLa Cour estime que l’accord sur le transfert de données de dossiers passagers ne peut pas être conclu sous sa forme actuelle.

Le projet d‘accord entre l’Union européenne et le Canada sur le transfert et le traitement des données de dossiers passagers (accord PNR) signé en 2014 n’est pas conforme au droit de l’Union européenne : c’est ce qu’a déclaré la Cour de justice de l’Union européenne (CJUE) dans un avis rendu le 26 juillet 2017 .

La Cour de Luxembourg estime que si le transfert, la conservation et l’utilisation systématiques de l’ensemble des données de dossiers passagers que prévoit l’accord sont pour l’essentiel admissibles, plusieurs dispositions du projet ne répondent pas aux exigences découlant des droits fondamentaux de l’Union.

Incompatibilité d’un accord international avec la Charte des droits fondamentaux de l’UE

Rappelons que l’Union européenne et le Canada ont négocié un accord sur le transfert et le traitement des données de dossiers passagers (accord PNR) qui a été signé en 2014.

Cet accord permet le transfert systématique et continu des données de dossiers passagers de l’ensemble des passagers aériens de l’UE aux autorités canadiennes, ainsi que de leur éventuel transfert ultérieur à d’autres autorités et d’autres pays tiers.

Le Conseil de l’Union européenne ayant demandé au Parlement européen de l’approuver, ce dernier avait décidé de saisir la CJUE pour savoir si l’accord envisagé était conforme au droit de l’Union et, en particulier, aux dispositions relatives au respect de la vie privée ainsi qu’à la protection des données à caractère personnel.

On notera que c’est la première fois que la Cour doit se prononcer sur la compatibilité d’un projet d’accord international avec la Charte des droits fondamentaux de l’UE.

Ingérence dans le droit fondamental à la protection des données personnelles et absence de règles claires et précises

Pour la Cour, si les ingérences dans les droits fondamentaux des citoyens européens sont justifiées car elles visent à garantir la réalisation d’un objectif visant à garantir la sécurité publique contre le terrorisme et la criminalité transnationale grave, « plusieurs dispositions de l’accord ne sont pas limitées au strict nécessaire et ne prévoient pas des règles claires et précises ».

En particulier, le transfert des données dites « sensibles », c’est à dire les données révélant « l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale » ou concernant « l’état de santé ou la vie sexuelle d’une personne » et dont le transfert vers le Canada devrait être justifié par d’autres motifs que ceux visant la protection de la sécurité publique précitée, est incompatible avec les droits fondamentaux du fait d’un risque de traitement contraire au principe de non-discrimination.

Traitement des données pendant le séjour des passagers au Canada : nécessité de justifier de circonstances nouvelles

Par ailleurs, si le traitement de données de dossiers passagers qui se trouvent au Canada ou sont en partance de pays « ne dépasse pas les limites du strict nécessaire du fait de la conservation ou de l’utilisation systématique » des données de dossiers passagers, les juges de Luxembourg estiment que l’utilisation de ces données pendant leur séjour au Canada « doit se fonder sur des circonstances nouvelles justifiant cette utilisation » afin de « protéger les données contre les risque d’abus ».

Elle rappelle ici que si le traitement des données de dossiers passagers, dicté par un objectif de sécurité publique contre les menaces terroristes, doit faciliter et accélérer les contrôles de sécurité notamment aux frontières, il ne doit pas pour autant entraîner une ingérence dans la vie privée des passagers.

Alain Bensoussan
Audrey Cuenca
Lexing Activité Tourisme numérique




Passagers aériens: l’accord UE-Canada « PNR » devant la CJUE

Passagers aériens: l’accord UE-Canada « PNR » devant la CJUEL’avocat général considère que l’accord « PNR » entre l’UE et le Canada est contraire au droit de l’Union.

À compter de 2010, l’Union européenne et le Canada ont négocié un accord sur le transfert et le traitement des données des dossiers passagers (accord « PNR »).

L’accord envisagé vise à permettre le transfert des données « PNR » aux autorités canadiennes. Ceci en vue de leur utilisation et de leur conservation. Mais aussi, le cas échéant, de leur transfert ultérieur dans le but de lutter contre le terrorisme et les formes graves de criminalité transnationale.

Le projet d’accord prévoit également des exigences en matière de sécurité et d’intégrité des données PNR, un masquage immédiat des données sensibles, des droits d’accès aux données, de rectification et d’effacement, la possibilité d’introduire des recours administratifs ou judiciaires et une durée de stockage des données limitée à cinq ans.

L’enjeu : l’équilibre entre « le souci légitime de préserver la sécurité publique et celui, non moins fondamental, à ce que toute personne puisse jouir d’un niveau élevé de protection de sa vie privée et de ses propres données ». En d’autres termes, entre lutte contre le terrorisme et garantie de la vie privée.

L’accord ayant été signé en 2014, le Conseil de l’Union européenne a demandé au Parlement européen de l’approuver.

Ce dernier a alors décidé de saisir la Cour de Luxembourg. Au centre des débats : l’accord envisagé est-il conforme au droit de l’Union. D’une part, en ce qu’il prévoit le respect de la vie privée et familiale. D’autre part, en ce qu’il prévoit la protection des données à caractère personnel.

Le Parlement européen s’interroge notamment si, malgré les garanties inscrites dans l’accord, l’ingérence dans le droit fondamental à la protection des données est justifiée.

C’est la première fois que la Cour doit se prononcer sur la compatibilité d’un projet d’accord international avec la Charte des droits fondamentaux de l’Union européenne.

Dans ses conclusions (1) prononcées le 8 septembre 2016, l’avocat général Paolo Mengozzi considère tout d’abord que l’accord envisagé est compatible avec la charte des droits fondamentaux de l’Union européenne.

C’est le cas, notamment, de ses dispositions relatives au droit au respect de la vie privée et familiale et au droit à la protection des données à caractère personnel.

Le magistrat pose toutefois plusieurs conditions.

  • premièrement, il convient que les catégories de données « PNR » des passagers aériens soient libellées de manière claire et précise et que les données sensibles soient exclues du champ d’application de l’accord ;
  • deuxièmement, les infractions relevant de la définition des formes graves de criminalité transnationale doivent être énumérées de manière exhaustive dans l’accord ;
  • troisièmement, il convient que l’accord identifie de manière suffisamment claire et précise l’autorité chargée du traitement des données « PNR ». Ceci, de manière à assurer la protection et la sécurité de ces données ;
  • quatrièmement, le nombre de personnes « ciblées » doit pouvoir être délimité dans une large mesure et de manière non discriminatoire. De sorte qu’il ne concerne que les personnes sur lesquelles pèse un soupçon raisonnable de participation à une infraction terroriste ou de criminalité transnationale grave ;
  • cinquièmement, l’accord doit spécifier que seuls les fonctionnaires de l’autorité canadienne compétente sont habilités à accéder aux données « PNR » et prévoit des critères objectifs permettant d’en préciser le nombre ;
  • sixièmement, il doit indiquer les raisons objectives justifiant la nécessité de conserver toutes les données « PNR » des passagers pour une période maximale de cinq ans, étant entendu que, dans le cas où les données « PNR » devraient être conservées pendant cinq ans, celles permettant d’identifier directement un passager aérien doivent être dépersonnalisées par masquage ;
  • septièmement, l’accord doit prévoir qu’une autorité indépendante ou une juridiction du Canada soit habilitée à contrôler, au préalable, si l’autorité canadienne compétente peut, au cas par cas, divulguer les données « PNR » à d’autres autorités publiques canadiennes ou étrangères ;
  • huitièmement, le texte doit garantir, de manière systématique, par une règle claire et précise, qu’une autorité indépendante puisse contrôler le respect de la vie privée et de la protection des données à caractère personnel des passagers dont les données « PNR » sont traitées ;
  • neuvièmement, l’accord doit préciser clairement que les demandes d’accès, de rectification et d’annotation effectuées par des passagers non présents sur le territoire canadien puissent être portées devant une autorité publique indépendante.

En revanche, l’avocat général considère que certaines dispositions de l’accord envisagé sont, en leur état actuel, contraires à la charte des droits fondamentaux de l’Union européenne.

Il s’agit, en premier lieu, des dispositions qui permettent, au-delà de ce qui est strictement nécessaire, d’élargir les possibilités de traitement de données « PNR ». Ceci, indépendamment de la finalité de sécurité publique poursuivie par l’accord, à savoir la prévention et la détection des infractions terroristes et des formes graves de criminalité transnationale.

En second lieu, il s’agit de celles prévoyant le traitement, l’utilisation et la conservation par le Canada de données « PNR » contenant des données sensibles.

En troisième lieu, celles qui accordent au Canada, au-delà de ce qui est strictement nécessaire, le droit de divulguer toute information, sans que ne soit requis un lien quelconque avec la finalité de sécurité publique poursuivie par l’accord.

Il en va de même de celles qui autorisent le Canada à conserver des données « PNR » pour une période maximale de cinq ans pour, notamment, toute action, vérification, enquête ou procédure juridictionnelle, sans que ne soit requis un lien quelconque avec la finalité de sécurité publique poursuivie par l’accord.

Enfin, sont visées par le magistrat celles qui admettent que le transfert de données « PNR » à une autorité publique étrangère puisse être réalisé sans que l’autorité canadienne compétente, sous le contrôle d’une autorité indépendante, se soit préalablement assurée que l’autorité étrangère en question ne puisse pas elle-même ultérieurement communiquer les données à une autre entité étrangère.

L’avocat général a tenu à préciser qu’il est indéniable que les parties contractantes ont « tenté, parfois de façon insuffisante, d’effectuer une mise en balance des deux objectifs indissociablement poursuivis par l’accord envisagé ». Et d’ajouter : « Cet effort doit, me semble-t-il, être salué. Toutefois, sans remettre en cause ni l’objet, ni la nécessité de l’accord envisagé, je considère, comme les présentes conclusions le démontreront, que, pour être compatible avec les articles 7, 8 et l’article 52, paragraphe 1, de la Charte, l’accord envisagé devra être mis au point et/ou expurgé de certaines de ses stipulations actuelles, de sorte à ce qu’il n’excède pas ce qui est strictement nécessaire à la réalisation de son objectif sécuritaire ».

La Cour de justice de l’union européenne rendra son jugement dans quelques semaines.

Eric Bonnet
Directeur du département Communication juridique

(1) CJUE, Communiqué 89/16 du 8-9-2016 ; Conclusions de l’Avocat général, M. Paolo Mengozzi, du 8-9-2016.




Directive PNR : un transfert de données sous contrôle

Directive PNRLa directive PNR sur l’échange des données personnelles des passagers aériens a été adoptée par le Parlement européen.

Alors que cette directive PNR faisait débat depuis cinq ans, les attentats survenus en Europe en 2015 et début 2016 ont précipité son vote par le Parlement européen. Cette directive doit encore faire l’objet d’un vote formel des Etats membres au sein du Conseil de l’Union Européenne.

L’objectif de la présente directive PNR est de prévenir et de détecter des infractions terroristes et des formes graves de criminalité (1) ainsi que d’identifier des personnes qui n’étaient pas soupçonnées de participation à des infractions terroristes ou à des formes graves de criminalité (2).

A cette fin, la directive PNR prévoit la collecte et le transfert par les transporteurs aériens, des données des passagers (Passenger Name Record) de vols extra-UE aux Etats membres (3), c’est-à-dire des vols en provenance d’un pays tiers et devant atterrir sur le territoire d’un État membre ou en provenance du territoire d’un État membre et devant atterrir dans un pays tiers, y compris, dans les deux cas, les vols comportant d’éventuelles escales sur le territoire d’États membres ou de pays tiers (4).

Les données des passagers aériens seront centralisées, non pas sur un fichier unique à l’échelle européenne, mais sur une unité d’information des passagers (UIP) au sein de chaque Etat membre. Les Etats membres seront cependant libres de mettre en place conjointement une seule unité d’information des passagers aériens. Tous les pays de l’UE sont concernés par la présente directive, à l’exception du Danemark (5).

L’unité d’information des passagers sera chargée, dans chaque Etat membre, de collecter et d’analyser les données transmises par les transporteurs aériens et de les transmettre dans certains cas à d’autres Etats membres ou à des Etats tiers.

Cette obligation ne concerne que les vols extra-européens mais la directive laisse la possibilité aux Etats membres de faire rentrer dans son champ d’application les vols intra-européens et les vols charters. Dans ce cas, l’Etat membre devra le notifier à la Commission par écrit (6).

Les données collectées ne pourront en aucun cas porter sur l’origine raciale ou ethnique, la religion ou les convictions, les opinions politiques ou toute autre opinion, l’appartenance à un syndicat, la santé, la vie sexuelle ou l’orientation sexuelle d’un passager (7).

Elles ne pourront être utilisées que pour empêcher ou détecter des infractions terroristes et un nombre limité d’autres infractions graves, comme la pédopornographie et la traite d’êtres humain.

Par ailleurs, aucune décision ne pourra être prise concernant un passager aérien sur le simple traitement automatique de ces données PNR. Les évaluations effectuées à partir des données devront être « réexaminées individuellement par des moyens non automatisés » (8). Plus généralement, les autorités compétentes ne pourront prendre aucune décision produisant des effets juridiques préjudiciables à un passager ou l’affectant de manière significative sur la seule base du traitement automatisé de données PNR (9).

La durée maximale de conservation des données est fixée à 5 ans. Cependant les informations relatives à un passager aérien doivent être dépersonnalisées au bout de 6 mois, par le masquage des données permettant de l’identifier directement, telles que son nom, prénom, son adresse postale (10).

Enfin, pour s’assurer que les transporteurs aériens respectent leurs obligations de collecte et de transfert des données PNR, les États membres pourront prévoir des sanctions effectives, proportionnées et dissuasives, y compris des sanctions financières.

Par conséquent, et afin d’éviter de telles sanctions, il est nécessaire que les transporteurs aériens mettent en place une organisation interne leur permettant de répondre à leurs obligations en matière de collecte et de transfert des données des passagers aériens tout en veillant au respect des exigences en matière de protection des données personnelles, notamment des futures obligations du Règlement européen relatif à la protection des données (11), adopté le même jour que la présente directive PNR.

Lexing Alain Bensoussan Selas
Lexing Informatique et libertés

(1) Directive PNR (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l’utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière (JOUE L 119 du 4.5.2016, p. 132–149) considérant 6.
(2) Ibid. considérant 7
(3) Ibid. art. 1
(4) Ibid. art. 3, 2
(5) Ibid. considérant 40
(6) Ibid. art. 2, 1°
(7) Ibid. considérant 15
(8) Ibid. art. 6, 5°
(9) Ibid. art. 7, 6°
(10) Ibid. art. 12, 2°
(11) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JOUE L 119 du 4.5.2016, p. 1–88)