Avis 1/15

Avis rendu en vertu de l’article 218, paragraphe 11, TFUE

« Avis rendu en vertu de l’article 218, paragraphe 11, TFUE – Projet d’accord entre le Canada et l’Union européenne – Transfert des données des dossiers passagers aériens depuis l’Union vers le Canada – Bases juridiques appropriées – Article 16, paragraphe 2, article 82, paragraphe 1, second alinéa, sous d), et article 87, paragraphe 2, sous a), TFUE – Compatibilité avec les articles 7 et 8 ainsi qu’avec l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne »

Sommaire – Avis de la Cour (grande chambre) du 26 juillet 2017

1. Accords internationaux–Conclusion–Avis préalable de la Cour–Objet–Questions sur la validité matérielle ou formelle d’un accord au regard du traité–Compatibilité de l’accord avec la charte des droits fondamentaux de l’Union européenne

   (Art. 6, § 1, TUE, 217 TFUE et 218 TFUE)

2. Actes des institutions–Choix de la base juridique–Critères–Acte de l’Union poursuivant une double finalité ou ayant une double composante–Référence à la finalité ou à la composante principale ou prépondérante–Finalités ou composantes indissociables–Cumul de bases juridiques–Limites–Incompatibilité des procédures

3. Accords internationaux–Accords de l’Union–Conclusion–Accord UE-Canada sur le transfert et le traitement de données des dossiers passagers–Base juridique–Incidence des protocoles no 21 et no 22 sur la position du Royaume-Uni, de l’Irlande et du Danemark annexés aux traités UE et FUE–Inapplicabilité de l’accord au Danemark

   [Art. 16, § 2, TFUE et 87, § 2, a), TFUE ; protocoles no 21 et no 22 annexés aux traités UE et FUE]

4. Accords internationaux–Accords de l’Union–Conclusion–Accord UE-Canada sur le transfert et le traitement de données des dossiers passagers–Accord visant à assurer la sécurité publique ainsi qu’à protéger les données des passagers aériens–Base juridique–Article 16, paragraphe 2, TFUE en liaison avec l’article 87, paragraphe 2, sous a), TFUE

   [Art. 39 TUE, 16, § 2, TFUE et 87, § 2, a), TFUE ; protocoles no 21 et no 22 annexés aux traités UE et FUE ; déclaration no 21 annexée aux traités UE et FUE]

5. Droits fondamentaux–Respect de la vie privée–Protection des données à caractère personnel–Champ d’application–Traitements de données des dossiers passagers aériens réalisés en vertu d’un accord international conclu entre l’Union et un pays tiers–Inclusion–Nécessité d’assurer un niveau de protection des libertés et droits fondamentaux équivalent à celui garanti au sein de l’Union–Portée

   (Charte des droits fondamentaux de l’Union européenne, art. 7 et 8 ; directive du Parlement européen et du Conseil 95/46, art. 25, § 6)

6. Accords internationaux–Accords de l’Union–Conclusion–Accord avec un État tiers sur le transfert et le traitement de données des dossiers passagers–Ingérence dans les droits au respect de la vie privée et de la protection des données à caractère personnel–Obligation de limiter l’ingérence au strict nécessaire–Portée

   (Charte des droits fondamentaux de l’Union européenne, art. 7 et 8)

7. Droits fondamentaux–Charte des droits fondamentaux de l’Union européenne–Limitation de l’exercice des droits et libertés consacrés par la charte–Conditions–Exigence tenant à l’inscription de la limitation dans une loi–Portée

   (Charte des droits fondamentaux de l’Union européenne, art. 52, § 1)

8. Droits fondamentaux–Protection des données à caractère personnel–Traitement sur la base du consentement de la personne concernée ou d’un autre fondement légitime prévu par la loi–Notion de loi–Accord avec un pays tiers sur le transfert et le traitement de données des dossiers passagers aériens–Inclusion

   [Art. 218, § 6, a), v), TFUE et 294 TFUE ; charte des droits fondamentaux de l’Union européenne, art. 8, § 2, et 52, § 1]

9. Droits fondamentaux–Respect de la vie privée–Protection des données à caractère personnel–Conclusion par l’Union d’un accord avec un pays tiers sur le transfert et le traitement de données des dossiers passagers aériens–Ingérence–Justification–Protection de la sécurité publique contre le terrorisme et la criminalité transnationale grave–Admissibilité

   (Charte des droits fondamentaux de l’Union européenne, art. 7 et 8 ; directive du Parlement européen et du Conseil 2016/681, art. 6, § 4, 7, § 6, et 13, § 4)

10. Droits fondamentaux–Respect de la vie privée–Protection des données à caractère personnel–Conclusion par l’Union d’un accord avec un pays tiers sur le transfert et le traitement de données des dossiers passagers aériens–Données sensibles–Nécessité d’une justification précise et solide fondée sur des motifs autres que la protection de la sécurité publique contre le terrorisme et la criminalité transnationale grave

    (Charte des droits fondamentaux de l’Union européenne, art. 7, 8, 21 et 52, § 1)

11. Droits fondamentaux–Respect de la vie privée–Protection des données à caractère personnel–Conclusion par l’Union d’un accord avec un pays tiers sur le transfert et le traitement de données des dossiers passagers aériens–Respect du principe de proportionnalité–Traitement automatisé des données–Appréciation par rapport aux modèles, aux critères et aux bases de données utilisés pour réaliser ce traitement

    (Charte des droits fondamentaux de l’Union européenne, art. 7 et 8)

12. Droits fondamentaux–Respect de la vie privée–Protection des données à caractère personnel–Conclusion par l’Union d’un accord avec un pays tiers sur le transfert et le traitement de données des dossiers passagers aériens–Respect du principe de proportionnalité–Traitement conforme aux objectifs de la convention de Chicago–Admissibilité

13. Droits fondamentaux–Respect de la vie privée–Protection des données à caractère personnel–Conclusion par l’Union d’un accord avec un pays tiers sur le transfert et le traitement de données des dossiers passagers aériens–Respect du principe de proportionnalité–Nécessité de prévoir des règles claires et précises régissant l’accès et l’utilisation des données–Portée

    (Charte des droits fondamentaux de l’Union européenne, art. 7 et 8)

14. Droits fondamentaux–Respect de la vie privée–Protection des données à caractère personnel–Conclusion par l’Union d’un accord avec un pays tiers sur le transfert et le traitement de données des dossiers passagers aériens–Respect du principe de proportionnalité–Conservation et utilisation des données pendant le séjour des passagers dans le pays tiers–Exigences minimales

    (Charte des droits fondamentaux de l’Union européenne, art. 7 et 8)

15. Droits fondamentaux–Respect de la vie privée–Protection des données à caractère personnel–Conclusion par l’Union d’un accord avec un pays tiers sur le transfert et le traitement de données des dossiers passagers aériens–Respect du principe de proportionnalité–Conservation des données après le départ des passagers du pays tiers–Inadmissibilité–Exception–Passagers présentant un risque en matière de terrorisme ou de criminalité transnationale grave

    (Charte des droits fondamentaux de l’Union européenne, art. 7 et 8)

16. Droits fondamentaux–Respect de la vie privée–Respect dans le cadre du traitement des données à caractère personnel–Obligation de permettre à la personne concernée un accès aux données la concernant afin de vérifier leur exactitude et leur légalité–Portée–Conclusion par l’Union d’un accord avec un pays tiers sur le transfert et le traitement de données des dossiers passagers aériens–Nécessité de prévoir l’information des passagers du transfert et de l’utilisation de leurs données

    (Charte des droits fondamentaux de l’Union européenne, art. 7 et 47, al. 1)

17. Droits fondamentaux–Protection des données à caractère personnel–Autorités de contrôle–Exigence d’indépendance–Objet

    (Art. 16, § 2, TFUE ; charte des droits fondamentaux de l’Union européenne, art. 8, § 3)

1.  Les dispositions d’un accord international conclu par l’Union, conformément aux articles 217 et 218 TFUE, forment partie intégrante, à partir de l’entrée en vigueur de celui-ci, de l’ordre juridique de l’Union. Les dispositions d’un tel accord doivent donc être pleinement compatibles avec les traités ainsi qu’avec les principes constitutionnels qui en découlent. À cet égard, l’article 218, paragraphe 11, TFUE vise à prévenir les complications qui résulteraient de contestations en justice relatives à la compatibilité avec les traités d’accords internationaux engageant l’Union. En effet, une décision judiciaire constatant éventuellement, après la conclusion d’un accord international engageant l’Union, que celui-ci est, au vu soit de son contenu, soit de la procédure adoptée pour sa conclusion, incompatible avec les dispositions des traités ne manquerait pas de créer, sur le plan non seulement interne de l’Union, mais également des relations internationales, des difficultés sérieuses et risquerait de porter préjudice à toutes les parties intéressées, y compris les États tiers. Eu égard à la fonction de la procédure prévue à l’article 218, paragraphe 11, TFUE, le seul risque de l’invalidation d’un acte de conclusion d’un accord international suffit pour admettre la saisine de la Cour.

   Doivent ainsi pouvoir être examinées dans le cadre de la procédure prévue à l’article 218, paragraphe 11, TFUE toutes les questions susceptibles de soulever des doutes quant à la validité matérielle ou formelle de l’accord au regard des traités. Le jugement sur la compatibilité d’un accord avec les traités peut, à cet égard, notamment dépendre non seulement de dispositions qui concernent la compétence, la procédure ou l’organisation institutionnelle de l’Union, mais également de dispositions du droit matériel. Il en va ainsi d’une question relative à la compatibilité d’un accord international avec l’article 6, paragraphe 1, TUE et, par conséquent, avec les garanties consacrées par la charte des droits fondamentaux de l’Union européenne, celle-ci ayant la même valeur juridique que les traités.

   (voir points 67, 69, 70, 74)

2.  Voir le texte de la décision.

   (voir points 76-78)

3.  Le recours à une double base juridique est exclu lorsque les procédures prévues pour l’une et l’autre de ces bases sont incompatibles. À cet égard, une différence des règles de vote au sein du Conseil est susceptible d’entraîner l’incompatibilité des bases juridiques en cause.

   S’agissant d’une décision du Conseil relative à la conclusion d’un accord international envisagé, fondée sur l’article 16, paragraphe 2, TFUE et l’article 87, paragraphe 2, sous a), TFUE, une telle incompatibilité ne résulte pas des protocoles no 21, sur la position du Royaume-Uni et de l’Irlande à l’égard de l’espace de liberté, de sécurité et de justice, et no 22, sur la position du Danemark, annexés aux traités UE et FUE. En effet, en ce qui concerne le protocole no 21, étant donné que l’Irlande et le Royaume-Uni ont notifié leur souhait de participer à l’adoption de ladite décision, les dispositions de ce protocole seront dépourvues d’incidence sur les règles de vote au sein du Conseil en cas de recours conjoint, pour fonder ladite décision, à l’article 16, paragraphe 2, TFUE et à l’article 87, paragraphe 2, sous a), TFUE.

   S’agissant du protocole no 22, celui-ci vise à établir un cadre juridique permettant aux États membres de poursuivre le développement de leur coopération dans le domaine de l’espace de liberté, de sécurité et de justice par l’adoption, sans participation du Royaume de Danemark, de mesures qui ne lient pas cet État membre, tout en offrant à ce dernier la possibilité de participer à l’adoption de mesures en ce domaine et d’être lié par celles-ci dans les conditions prévues à l’article 8 dudit protocole. À cet égard, dès lors que la décision relative à la conclusion dudit accord envisagé doit être fondée à la fois sur l’article 16 TFUE et sur l’article 87 TFUE et relève, donc, de la troisième partie, titre V, chapitre 5, du traité FUE en ce qu’elle doit être fondée sur ledit article 87 TFUE, le Royaume de Danemark ne sera lié, en vertu des articles 2 et 2 bis du protocole no 22, ni par les dispositions de cette décision ni, ainsi, par l’accord envisagé. En outre, le Royaume de Danemark ne participera pas, conformément à l’article 1er de ce protocole, à l’adoption de cette décision. Le protocole no 22 ne saurait donc, en l’occurrence, entraîner des règles de vote différentes au sein du Conseil en cas de recours conjoint à l’article 16, paragraphe 2, TFUE et à l’article 87, paragraphe 2, sous a), TFUE.

   (voir points 78, 107, 109-111, 113, 117)

4.  Compte tenu à la fois de ses finalités et de son contenu, l’accord envisagé entre le Canada et l’Union européenne sur le transfert et le traitement de données des dossiers passagers possède une double composante, l’une concernant la nécessité d’assurer la sécurité publique et l’autre concernant la protection des données des dossiers passagers. Ces deux composantes sont liées de façon indissociable et doivent donc être considérées toutes les deux comme présentant un caractère essentiel. En effet, le contenu de l’accord envisagé est constitué, dans une large mesure, de règles détaillées assurant que le transfert des données des passagers aériens à un État tiers en vue de leur utilisation à des fins de protection de la sécurité et de la sûreté publiques se fasse dans des conditions conformes à la protection des données à caractère personnel.

   Dans ces conditions, la décision relative à la conclusion de l’accord envisagé se rattache, en premier lieu, directement à l’objectif poursuivi par l’article 16, paragraphe 2, TFUE. En effet, cette disposition constitue, sans préjudice de l’article 39 TUE, une base juridique appropriée lorsque la protection des données à caractère personnel est l’une des finalités ou des composantes essentielles des règles adoptées par le législateur de l’Union, y compris de celles s’insérant dans le cadre de l’adoption de mesures relevant des dispositions du traité FUE relatives à la coopération judiciaire en matière pénale et à la coopération policière, ainsi que le confirment l’article 6 bis du protocole no 21 et l’article 2 bis du protocole no 22, de même que la déclaration sur la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, annexée à l’acte final de la conférence intergouvernementale qui a adopté le traité de Lisbonne.

   En second lieu, ladite décision doit également être fondée sur l’article 87, paragraphe 2, sous a), TFUE qui prévoit que, aux fins de l’article 87, paragraphe 1, TFUE, selon lequel l’Union développe une coopération policière qui associe toutes les autorités compétentes des États membres, le Parlement et le Conseil peuvent établir des mesures portant sur la collecte, le stockage, le traitement, l’analyse et l’échange d’informations pertinentes. Or, d’une part, les informations pertinentes, au sens de l’article 87, paragraphe 2, sous a), TFUE, dans les domaines de la prévention ou de la détection des infractions pénales et des enquêtes en la matière, peuvent inclure des données à caractère personnel et, d’autre part, les termes « traitement » et « échange » de telles données couvrent à la fois leur transfert vers des autorités des États membres compétentes en la matière et leur utilisation par ces autorités. À cet égard, le fait que les données des dossiers passagers sont initialement collectées par des transporteurs aériens à des fins commerciales, et non par une autorité compétente dans le domaine de la prévention ou de la détection des infractions pénales et des enquêtes en la matière, ne saurait faire obstacle à ce que cette disposition constitue également une base juridique appropriée de la décision du Conseil relative à la conclusion de l’accord envisagé.

   (voir points 90, 92, 94-96, 98, 99, 101)

5.  Les différents traitements dont, selon un accord international envisagé entre l’Union et un pays tiers, peuvent faire l’objet des données des passagers aériens empruntant des vols entre l’Union et ce pays tiers, à savoir leur transfert depuis l’Union vers ledit pays tiers, l’accès à celles-ci en vue de leur utilisation ou encore leur conservation, affectent le droit fondamental au respect de la vie privée, garanti à l’article 7 de la charte des droits fondamentaux de l’Union européenne. En effet, ce droit se rapporte à toute information concernant une personne physique identifiée ou identifiable. En outre, les traitements des données des dossiers passagers relèvent également de l’article 8 de la charte en raison du fait qu’ils constituent des traitements des données à caractère personnel au sens de cet article et doivent, par suite, nécessairement satisfaire aux exigences de protection des données prévues audit article.

   À cet égard, le droit à la protection des données à caractère personnel exige, notamment, que la continuité du niveau élevé de protection des libertés et des droits fondamentaux conféré par le droit de l’Union soit assurée en cas de transfert de données à caractère personnel depuis l’Union vers un pays tiers. Même si les moyens visant à garantir un tel niveau de protection peuvent être différents de ceux mis en œuvre au sein de l’Union afin de garantir le respect des exigences découlant du droit de l’Union, ces moyens doivent néanmoins s’avérer, en pratique, effectifs afin d’assurer une protection substantiellement équivalente à celle garantie au sein de l’Union.

   Cette exigence relative à un niveau de protection des libertés et des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union vaut, de même, dans le cas de la communication des données des dossiers passagers depuis le pays tiers vers d’autres pays tiers afin d’éviter que le niveau de protection prévu par l’accord de transfert puisse être contourné par des transferts de données à caractère personnel vers d’autres pays tiers et de garantir la continuité du niveau de protection offert par le droit de l’Union. Dans ces conditions, une telle communication nécessite l’existence soit d’un accord entre l’Union et le pays tiers concerné équivalent audit accord, soit d’une décision de la Commission, au titre de l’article 25, paragraphe 6, de la directive 95/46, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, constatant que ledit pays tiers assure un niveau de protection adéquat au sens du droit de l’Union et couvrant les autorités vers lesquelles le transfert des données des dossiers passagers est envisagé.

   (voir points 122, 123, 134, 214)

6.  La communication de données à caractère personnel à un tiers, telle qu’une autorité publique, constitue une ingérence dans le droit fondamental consacré à l’article 7 de la charte des droits fondamentaux de l’Union européenne, quelle que soit l’utilisation ultérieure des informations communiquées. Il en va de même de la conservation des données à caractère personnel ainsi que de l’accès auxdites données en vue de leur utilisation par les autorités publiques. À cet égard, il importe peu que les informations relatives à la vie privée concernées présentent ou non un caractère sensible ou que les intéressés aient ou non subi d’éventuels inconvénients en raison de cette ingérence.

   Ainsi, s’agissant d’un accord international portant sur le transfert des données des dossiers passagers à un pays tiers dont la conclusion est envisagée par l’Union, tant le transfert desdites données depuis l’Union vers l’autorité compétente dans ce pays tiers que l’encadrement négocié par l’Union avec ledit pays tiers des conditions tenant à la conservation de ces données, à leur utilisation ainsi qu’à leurs éventuels transferts ultérieurs à d’autres autorités du même pays, à Europol, à Eurojust, aux autorités judiciaires ou de police des États membres ou encore à des autorités d’autres pays tiers, constituent des ingérences dans le droit garanti à l’article 7 de la charte. Ces opérations sont également constitutives d’une ingérence dans le droit fondamental à la protection des données à caractère personnel garanti à l’article 8 de la charte, puisqu’elles constituent des traitements des données à caractère personnel.

   Cela étant, les droits consacrés aux articles 7 et 8 de la charte n’apparaissent pas comme étant des prérogatives absolues, mais doivent être pris en considération par rapport à leur fonction dans la société. À cet égard, la protection du droit fondamental au respect de la vie privée au niveau de l’Union exige que les dérogations à la protection des données à caractère personnel et les limitations de celle-ci s’opèrent dans les limites du strict nécessaire. Pour satisfaire à cette exigence, la réglementation en cause comportant l’ingérence doit prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant des exigences minimales, de telle sorte que les personnes dont les données ont été transférées disposent de garanties suffisantes permettant de protéger contre les risques d’abus. Elle doit en particulier indiquer en quelles circonstances et sous quelles conditions une mesure prévoyant le traitement de telles données peut être prise, garantissant ainsi que l’ingérence soit limitée au strict nécessaire. La nécessité de disposer de telles garanties est d’autant plus importante lorsque les données à caractère personnel sont soumises à un traitement automatisé. Ces considérations valent en particulier lorsqu’est en jeu la protection de cette catégorie particulière des données à caractère personnel que sont les données sensibles.

   (voir points 124-126, 136, 140, 141)

7.  L’exigence prévue à l’article 52, paragraphe 1, première phrase, de la charte des droits fondamentaux de l’Union européenne selon laquelle toute limitation de l’exercice des droits fondamentaux doit être prévue par la loi implique que la base légale qui permet l’ingérence dans ces droits doit définir elle-même la portée de la limitation de l’exercice du droit concerné.

   (voir point 139)

8.  Un accord international portant sur le transfert des données des dossiers passagers à un pays tiers dont la conclusion est envisagée par l’Union relève de la notion de loi, au sens de l’article 8, paragraphe 2, de la charte des droits fondamentaux de l’Union européenne, et, partant, de l’article 52, paragraphe 1, de celle-ci.

   En effet, l’article 218, paragraphe 6, TFUE reflète, sur le plan extérieur, la répartition des pouvoirs entre les institutions applicable sur le plan intérieur et établit une symétrie entre la procédure d’adoption des mesures de l’Union sur le plan intérieur et la procédure d’adoption des accords internationaux, afin de garantir que, en rapport avec un domaine donné, le Parlement et le Conseil disposent des mêmes pouvoirs, dans le respect de l’équilibre institutionnel prévu par les traités. Ainsi, la conclusion des accords internationaux couvrant des domaines auxquels, sur le plan intérieur, s’applique la procédure législative ordinaire, prévue à l’article 294 TFUE, nécessite, en vertu de l’article 218, paragraphe 6, sous a), v), TFUE, l’approbation du Parlement, de telle sorte qu’un tel accord peut être considéré comme étant, sur le plan extérieur, l’équivalent de ce qu’est un acte législatif sur le plan intérieur.

   Il en résulte que le transfert des données des dossiers passagers vers un pays tiers, tel qu’envisagé par l’accord international en question, est fondé sur un autre fondement qui est prévu par la loi, au sens de l’article 8, paragraphe 2, de la charte.

   (voir points 145-147)

9.  Les ingérences dans les droits fondamentaux consacrés aux articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne que comporte un accord international portant sur le transfert des données des dossiers passagers à un pays tiers dont la conclusion est envisagée par l’Union sont susceptibles d’être justifiées par un objectif d’intérêt général de l’Union et ne sont pas de nature à porter atteinte au contenu essentiel desdits droits fondamentaux, dès lors que l’accord envisagé vise, notamment, à garantir la sécurité publique au moyen d’un transfert des données des dossiers passagers et de l’utilisation de celles-ci dans le cadre de la lutte contre des infractions terroristes et la criminalité transnationale grave. En effet, cet objectif constitue un objectif d’intérêt général de l’Union susceptible de justifier des ingérences, même graves, dans les droits fondamentaux consacrés aux articles 7 et 8 de la charte. Au demeurant, la protection de la sécurité publique contribue également à la protection des droits et des libertés d’autrui. Dans la mesure où l’évaluation des risques que présentent les passagers aériens au moyen de l’analyse de ces données avant leur arrivée facilite et accélère grandement les contrôles de sécurité et les contrôles aux frontières, le transfert des données de passagers aériens vers un pays tiers et les traitements ultérieurs de celles-ci peuvent être considérés comme étant aptes à garantir la réalisation de l’objectif tenant à la protection de la sécurité et de la sûreté publiques, poursuivi par l’accord envisagé.

   (voir points 148, 149, 151-153)

10.  S’agissant d’un accord international portant sur le transfert des données sensibles des dossiers passagers à un pays tiers, dont la conclusion est envisagée par l’Union, toute mesure fondée sur le postulat selon lequel une ou plusieurs des caractéristiques figurant dans l’accord envisagé, telles que l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, l’état de santé ou la vie sexuelle d’une personne, pourraient, par elles-mêmes et indépendamment du comportement individuel du voyageur concerné, être pertinentes au regard de la finalité des traitements des données des dossiers passagers méconnaîtrait les droits garantis aux articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, lus en combinaison avec l’article 21 de celle-ci. Eu égard au risque d’un traitement de données contraire à l’article 21 de la charte, un transfert de telles données vers le pays tiers concerné nécessiterait une justification précise et particulièrement solide, tirée de motifs autres que la protection de la sécurité publique contre le terrorisme et la criminalité transnationale grave. En l’absence d’une telle justification, les articles 7, 8 et 21 ainsi que l’article 52, paragraphe 1, de la charte s’opposent tant au transfert des données sensibles vers un État tiers qu’à l’encadrement négocié par l’Union avec celui-ci des conditions tenant à l’utilisation et à la conservation de telles données par les autorités de cet État tiers.

    (voir points 164-167)

11.  Dans le cas d’un accord international dont la conclusion est envisagée par l’Union qui porte sur le transfert des données des dossiers passagers à un pays tiers et qui prévoit un traitement automatisé de ces données dans un objectif de protection de la sécurité publique contre le terrorisme et la criminalité transnationale grave, l’étendue de l’ingérence que comportent les analyses automatisées des données des dossiers passagers dans les droits consacrés aux articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne dépend essentiellement des modèles et des critères préétablis ainsi que des bases de données sur lesquels se fonde ce type de traitement de données. Ainsi, les modèles et les critères préétablis doivent être, d’une part, spécifiques et fiables, permettant d’aboutir à des résultats ciblant les individus à l’égard desquels pourrait peser un soupçon raisonnable de participation à des infractions terroristes ou de criminalité transnationale grave et, d’autre part, non discriminatoires. De même, les bases de données avec lesquelles les données des dossiers passagers sont recoupées doivent être fiables, actuelles et limitées à des bases de données exploitées par le pays tiers concerné en rapport avec la lutte contre le terrorisme et la criminalité transnationale grave.

    (voir points 168, 172)

12.  Un accord international portant sur le transfert des données des dossiers passagers à un pays tiers ne dépasse pas les limites du strict nécessaire en ce qu’il permet le transfert desdites données de l’ensemble des passagers aériens vers ce pays tiers, dans la mesure où ces données permettent, notamment, de faciliter les contrôles de sécurité aux frontières auxquels, conformément à l’article 13 de la convention de Chicago, relative à l’aviation civile internationale, l’ensemble des passagers est soumis selon les les lois et règlements du pays tiers.

    (voir points 187-189)

13.  Dans le cas d’un accord international portant sur le transfert des données des dossiers passagers à un pays tiers, dont la conclusion est envisagée par l’Union, afin de garantir que la conservation des données transférées, l’accès à ces données par les autorités nationales visées par l’accord envisagé ainsi que l’utilisation desdites données par celles-ci soient limités au strict nécessaire, cet accord doit prévoir des règles claires et précises indiquant dans quelles circonstances et sous quelles conditions ces autorités peuvent les conserver, y avoir accès et les utiliser.

    En ce qui concerne la conservation des données à caractère personnel, l’acte doit, notamment, toujours répondre à des critères objectifs, établissant un rapport entre les données à caractère personnel à conserver et l’objectif poursuivi. S’agissant de l’utilisation, par une autorité, de données à caractère personnel légitimement conservées, la mesure ne saurait se limiter à exiger que l’accès auxdites données réponde à l’une des finalités de celle-ci, mais doit également prévoir les conditions matérielles et procédurales régissant cette utilisation.

    (voir points 190-192)

14.  Dans le cas d’un accord international prévoyant la conservation des données des dossiers passagers et leur utilisation jusqu’à la sortie de ces passagers du pays tiers concerné, aux fins, notamment, de faciliter les contrôles de sécurité ainsi que les contrôles aux frontières, leur conservation et leur utilisation à ces fins ne peuvent pas, du fait même de leur nature, être limitées à un cercle déterminé de passagers aériens ni faire l’objet d’une autorisation préalable d’une juridiction ou d’une entité administrative indépendante. Ainsi, aussi longtemps que les passagers aériens se trouvent dans le pays tiers concerné ou en partance de celui-ci, le rapport nécessaire entre ces données et l’objectif poursuivi par cet accord existe, de telle sorte que celui-ci ne dépasse pas les limites du strict nécessaire du seul fait qu’il permet la conservation et l’utilisation systématiques des données des dossiers passagers de l’ensemble de ces passagers. De même, l’utilisation systématique desdites données dans le but de vérifier la fiabilité et l’actualité des modèles et des critères préétablis sur lesquels sont fondés les traitements automatisés de ces données ou de définir de nouveaux modèles et critères pour ces traitements, est directement liée à la mise en œuvre des contrôles de sécurité et des contrôles aux frontières et doit donc être également considérée comme ne dépassant pas les limites du strict nécessaire.

    Quant à l’utilisation des données des dossiers passagers pendant le séjour des passagers aériens dans le pays tiers concerné, celle-ci doit se fonder sur des circonstances nouvelles, dès lors que les passagers aériens ont, après vérification de leurs données des dossiers passagers, été admis à entrer sur le territoire du pays tiers concerné. Ladite utilisation nécessite des règles prévoyant les conditions matérielles et procédurales régissant cette même utilisation, afin, notamment, de protéger lesdites données contre les risques d’abus. De telles règles doivent se fonder sur des critères objectifs pour définir les circonstances et les conditions dans lesquelles les autorités du pays tiers concerné visées par l’accord envisagé sont autorisées à les utiliser.

    À cet égard, lorsqu’il existe des éléments objectifs permettant de considérer que les données des dossiers passagers d’un ou de plusieurs passagers aériens pourraient apporter une contribution effective à l’objectif de lutte contre les infractions terroristes et la criminalité transnationale grave, l’utilisation de ces données n’apparaît pas dépasser les limites du strict nécessaire. Afin de garantir, en pratique, le plein respect de ces conditions, il est essentiel que l’utilisation, pendant le séjour des passagers aériens dans le pays tiers concerné, des données des dossiers passagers conservées soit, en principe, sauf cas d’urgence dûment justifiés, subordonnée à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante, et que la décision de cette juridiction ou de cette entité intervienne à la suite d’une demande motivée des autorités compétentes, présentée, notamment, dans le cadre de procédures de prévention, de détection ou de poursuites pénales.

    (voir points 197-202)

15.  Dans le cas d’un accord international dont la conclusion est envisagée par l’Union, qui porte sur le transfert des données des dossiers passagers à un pays tiers et qui prévoit la conservation desdites données après le départ des passagers aériens de ce pays tiers dans un objectif de protection de la sécurité publique contre le terrorisme et la criminalité transnationale grave, s’agissant des passagers aériens pour lesquels un risque en matière de terrorisme ou de criminalité transnationale grave n’a pas été identifié à leur arrivée dans ledit pays tiers et jusqu’à leur départ de celui-ci, il n’apparaît pas exister, une fois qu’ils sont repartis, de rapport, ne serait-ce qu’indirect, entre leurs données des dossiers passagers et l’objectif poursuivi par l’accord envisagé, qui justifierait la conservation de ces données. Le stockage continu des données des dossiers passagers de l’ensemble des passagers aériens après leur départ du pays tiers concerné n’apparaît donc pas limité au strict nécessaire. Dans la mesure où, toutefois, sont identifiés, dans des cas particuliers, des éléments objectifs permettant de considérer que certains passagers aériens pourraient, même après leur départ dudit pays tiers, présenter un risque en termes de lutte contre le terrorisme et la criminalité transnationale grave, un stockage des données des dossiers passagers les concernant paraît admissible au-delà de leur séjour dans ledit pays tiers. L’utilisation des données des dossiers passagers ainsi stockées devrait être fondée sur des critères objectifs pour définir les circonstances et les conditions dans lesquelles les autorités du pays tiers visées par l’accord envisagé peuvent avoir accès à ces données. De même, cette utilisation devrait, sauf cas d’urgence dûment justifiés, être subordonnée à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante, dont la décision autorisant l’utilisation intervient à la suite d’une demande motivée de ces autorités présentée, notamment, dans le cadre de procédures de prévention, de détection ou de poursuites pénales. En ce qui concerne la durée de conservation de ces données, une durée de cinq ans n’apparaît pas excéder les limites de ce qui est strictement nécessaire à des fins de lutte contre le terrorisme et la criminalité transnationale grave.

    (voir points 205-209)

16.  Le droit fondamental au respect de la vie privée, consacré à l’article 7 de la charte des droits fondamentaux de l’Union européenne, implique que la personne concernée puisse s’assurer que ses données à caractère personnel sont traitées de manière exacte et licite. Afin de pouvoir effectuer les vérifications nécessaires, cette personne doit disposer d’un droit d’accès aux données la concernant qui font l’objet d’un traitement.

    À cet égard, dans le cas d’un accord international portant sur le transfert des données des dossiers passagers à un pays tiers dont la conclusion est envisagée par l’Union, il importe que les passagers aériens soient informés du transfert de leurs données des dossiers passagers vers le pays tiers concerné et de l’utilisation de ces données dès le moment où cette communication n’est pas susceptible de compromettre les enquêtes conduites par les autorités publiques visées par l’accord envisagé. En effet, une telle information s’avère, de fait, nécessaire pour permettre aux passagers aériens d’exercer leurs droits de demander l’accès aux données des dossiers passagers les concernant et, le cas échéant, la rectification de celles-ci ainsi que d’introduire, conformément à l’article 47, premier alinéa, de la charte, un recours effectif devant un tribunal.

    Ainsi, dans les hypothèses dans lesquelles se présentent des éléments objectifs justifiant l’utilisation des données des dossiers passagers afin de lutter contre le terrorisme et la criminalité transnationale grave et nécessitant une autorisation préalable d’une autorité judiciaire ou d’une entité administrative indépendante, une information individuelle des passagers aériens s’avère nécessaire. Il en va de même dans les cas où les données des dossiers des passagers aériens sont communiquées à d’autres autorités publiques ou à des particuliers. Cependant, une telle information ne doit intervenir qu’à partir du moment où elle n’est pas susceptible de compromettre les enquêtes conduites par les autorités publiques visées par l’accord envisagé.

    (voir points 219, 220, 223, 224)

17.  Aux termes de l’article 8, paragraphe 3, de la charte des droits fondamentaux de l’Union européenne, le respect des exigences en matière de traitement des données à caractère personnel découlant de l’article 8, paragraphes 1 et 2, de celle-ci est soumis au contrôle d’une autorité indépendante. La garantie d’indépendance d’une telle autorité de contrôle, dont l’institution est également prévue à l’article 16, paragraphe 2, TFUE, vise à assurer l’efficacité et la fiabilité du contrôle du respect des règles en matière de protection des personnes physiques à l’égard du traitement des données à caractère personnel et doit être interprétée à la lumière de cet objectif. L’institution d’une autorité de contrôle indépendante constitue donc un élément essentiel du respect de la protection des personnes à l’égard du traitement des données à caractère personnel.

    (voir points 228, 229)