22012A0714(01)

Accord entre l’Union européenne et l’Australie sur le traitement et le transfert de données des dossiers passagers (données PNR) par les transporteurs aériens au service australien des douanes et de la protection des frontières

Journal officiel n° L 186 du 14/07/2012 p. 0004 - 0016


TRADUCTION

Accord

entre l’Union européenne et l’Australie sur le traitement et le transfert de données des dossiers passagers (données PNR) par les transporteurs aériens au service australien des douanes et de la protection des frontières

L’UNION EUROPÉENNE, dénommée ci-après également "UE",

d’une part, et

L’AUSTRALIE,

d’autre part,

dénommées ci-après "les parties",

DÉSIRANT prévenir et combattre efficacement le terrorisme et les formes graves de criminalité transnationale afin de protéger leurs sociétés démocratiques respectives et les valeurs qui leur sont communes;

CHERCHANT à renforcer et à promouvoir la coopération entre les parties dans l’esprit du partenariat UE-Australie;

RECONNAISSANT que le partage des informations est un élément fondamental de la lutte contre le terrorisme et les formes graves de criminalité transnationale et que l’utilisation de données des dossiers passagers (données PNR) est un instrument essentiel dans ce cadre;

RECONNAISSANT qu’il importe de prévenir et de combattre le terrorisme et les formes graves de criminalité transnationale, tout en respectant les droits et libertés fondamentaux, et notamment le droit au respect de la vie privée et à la protection des données à caractère personnel;

AYANT À L’ESPRIT l’article 6 du traité sur l’Union européenne concernant le respect des droits fondamentaux, le droit au respect de la vie privée à l’égard du traitement des données à caractère personnel tel que prévu à l’article 16 du traité sur le fonctionnement de l’Union européenne, les principes de proportionnalité et de nécessité pour ce qui est du droit au respect de la vie privée et familiale, du respect de la vie privée et de la protection des données à caractère personnel, au titre de l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, de la convention no 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel no 181, des articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne et de l’article 17 du pacte international relatif aux droits civils et politiques se rapportant au droit au respect de la vie privée;

RECONNAISSANT qu’en 2008, l’Australie et l’Union européenne ont signé l’accord entre l’Union européenne et l’Australie sur le traitement et le transfert de données des dossiers passagers (données PNR) provenant de l’Union européenne par les transporteurs aériens au service des douanes australien, lequel est appliqué à titre provisoire depuis la date de sa signature mais n’est pas entré en vigueur;

CONSTATANT que le Parlement européen a décidé, le 5 mai 2010, d’ajourner le vote sur la demande d’approbation de cet accord et a, par sa résolution du 11 novembre 2010, accueilli favorablement la recommandation de la Commission européenne au Conseil de l’Union européenne visant à négocier un nouvel accord;

RECONNAISSANT les dispositions applicables de la loi australienne de 1901 sur les douanes (Commonwealth Customs Act), et en particulier son article 64AF qui prévoit que, sur demande, tous les exploitants de services internationaux de transport aérien de passagers à destination ou au départ de l’Australie ou via ce pays doivent fournir au service australien des douanes et de la protection des frontières, sous une modalité ou une forme particulière, un accès aux données PNR dans la mesure où ces données sont recueillies et conservées dans les systèmes de réservation et de contrôle des départs du transporteur aérien;

RECONNAISSANT que la loi australienne de 1985 sur l’administration des douanes (Commonwealth Customs Administration Act), la loi de 1958 sur les migrations (Commonwealth Migration Act), la loi de 1914 sur les infractions criminelles (Commonwealth Crimes Act), la loi de 1988 sur la protection de la vie privée (Commonwealth Privacy Act), la loi de 1982 sur la liberté de l’information (Commonwealth Freedom of Information Act), la loi de 1997 sur le vérificateur général (Commonwealth Auditor-General Act), la loi de 1976 sur le médiateur (Commonwealth Ombudsman Act) et la loi de 1999 sur le service public (Commonwealth Public Service Act) prévoient la protection des données, les droits d’accès et de recours, les droits à la rectification et à l’annotation, ainsi que les voies de recours et sanctions en cas d’utilisation abusive des données à caractère personnel;

CONSTATANT que l’Australie s’engage à ce que le service australien des douanes et de la protection des frontières traite les données PNR exclusivement à des fins de prévention et de détection d’infractions terroristes et des formes graves de criminalité transnationale, ainsi que d’enquêtes et de poursuites en la matière, dans la stricte observation des garanties relatives au respect de la vie privée et à la protection des données à caractère personnel, telles qu’énoncées dans le présent accord;

SOULIGNANT l’importance du partage des informations analytiques tirées des données PNR par l’Australie avec les services de police et les autorités judiciaires des États membres de l’Union européenne, et Europol ou Eurojust, afin de favoriser la coopération policière et judiciaire internationale;

AFFIRMANT que le présent accord ne constitue nullement un précédent pour tout arrangement futur entre l’Australie et l’Union européenne, ou entre l’une des parties et tout État, concernant le traitement et le transfert de données PNR ou de tout autre type de données et constatant que la nécessité et la faisabilité d’accords analogues pour les passagers maritimes pourraient être examinées,

SONT CONVENUES DE CE QUI SUIT:

CHAPITRE I

DISPOSITIONS GÉNÉRALES

Article 1

Objet de l’accord

Afin d’assurer la sécurité et la sûreté du public, le présent accord prévoit le transfert de données PNR provenant de l’Union européenne au service australien des douanes et de la protection des frontières. Le présent accord définit les conditions auxquelles ces données peuvent être transférées et utilisées et la manière dont elles doivent être protégées.

Article 2

Définitions

Aux fins du présent accord, on entend par:

a) "accord" : le présent accord et ses annexes, y compris leurs modifications éventuelles;

b) "données à caractère personnel" : toute information concernant une personne physique identifiée ou identifiable; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale;

c) "traitement" : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données PNR, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission ou transfert, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction;

d) "transporteurs aériens" : les transporteurs aériens qui sont dotés de systèmes de réservation et/ou dont les données PNR sont traitées sur le territoire de l’Union européenne et qui assurent un service de transport international de passagers à destination ou au départ de l’Australie ou via ce pays;

e) "systèmes de réservation" : les systèmes de réservation et de contrôle des départs du transporteur aérien ou les systèmes équivalents offrant les mêmes fonctionnalités;

f) "données des dossiers passagers" ou "données PNR" : les renseignements relatifs au voyage de chaque passager, tels qu’énumérés à l’annexe 1, traités dans l’Union européenne par les transporteurs aériens, qui contiennent les informations nécessaires pour le traitement et le contrôle des réservations par les transporteurs aériens adhérents qui assurent les réservations;

g) "passager" : tout passager ou membre d’équipage, y compris le commandant de bord;

h) "données sensibles" : toute donnée à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, l’état de santé ou la vie sexuelle.

Article 3

Champ d’application

1. L’Australie veille à ce que le service australien des douanes et de la protection des frontières traite les données PNR reçues conformément au présent accord uniquement à des fins de prévention et de détection d’infractions terroristes et des formes graves de criminalité transnationale, ainsi que d’enquêtes et de poursuites en la matière.

2. On entend notamment par "infraction terroriste":

a) les actes d’une personne qui présentent un caractère violent ou constituent un danger pour la vie humaine ou qui font peser un risque de dommage sur des biens ou des infrastructures, et qui, compte tenu de leur nature et du contexte, peuvent être raisonnablement perçus comme étant perpétrés dans le but:

i) d’intimider une population ou de faire pression sur elle;

ii) d’intimider ou de contraindre des pouvoirs publics ou une organisation internationale, ou de faire pression sur ceux-ci, pour qu’ils agissent ou s’abstiennent d’agir;

iii) de gravement déstabiliser ou de détruire les structures fondamentales politiques, constitutionnelles, économiques ou sociales d’un pays ou d’une organisation internationale;

b) le fait de faciliter ou de favoriser les actes visés au point a), ou d’y contribuer financièrement, matériellement ou techniquement, ou par des services financiers ou autres en leur faveur ou pour leur soutien;

c) le fait de fournir ou de collecter des fonds, par quelque moyen que ce soit, directement ou indirectement, en vue de les utiliser ou en sachant qu’ils seront utilisés, en partie ou dans leur intégralité, pour commettre tout acte décrit aux points a) ou b); ou

d) le fait d’aider à commettre les actes visés au point a), b), ou c), de s’en rendre complice ou de tenter de les commettre.

3. On entend par "formes graves de criminalité transnationale" toute infraction punissable en Australie d’une peine ou d’une mesure de sûreté privatives de liberté d’un maximum d’au moins quatre ans ou d’une peine plus lourde et telle que définie par le droit australien, si l’infraction est de nature transnationale. Une infraction est notamment considérée comme de nature transnationale si:

a) elle est commise dans plus d’un pays;

b) elle est commise dans un seul pays, mais une part importante de sa préparation, de sa planification, de sa conduite ou de son contrôle a lieu dans un autre pays;

c) elle est commise dans un seul pays mais implique un groupe criminel organisé qui est engagé dans des activités criminelles dans plus d’un pays; ou

d) elle est commise dans un pays mais a des répercussions importantes dans un autre pays.

4. Dans des cas exceptionnels, les données PNR peuvent être traitées par l’Australie, au besoin, pour la protection des intérêts vitaux de toute personne, comme en cas de risque de décès, de blessure grave ou de menace pour la santé.

5. En outre, aux fins du contrôle et de la responsabilité de l’administration publique et de la facilitation des recours et sanctions en cas d’utilisation abusive des données, les données PNR peuvent être traitées cas par cas lorsque ce traitement est spécifiquement requis par la législation australienne.

Article 4

Fourniture des données PNR

1. Les transporteurs aériens fournissent les données PNR figurant dans leurs systèmes de réservation au service australien des douanes et de la protection des frontières. Aucune disposition de la législation de l’une ou l’autre partie ne peut empêcher les transporteurs aériens de se conformer à la législation australienne en vigueur les contraignant à fournir lesdites données.

2. L’Australie n’exige pas des transporteurs aériens la fourniture des données PNR qui ne sont pas déjà collectées ou conservées dans leurs systèmes de réservation.

3. Si les données PNR transférées par les transporteurs aériens contiennent des données autres que celles inscrites sur la liste figurant dans l’annexe 1, le service australien des douanes et de la protection des frontières les efface.

Article 5

Caractère adéquat

Le respect du présent accord par le service australien des douanes et de la protection des frontières permet d’atteindre, au sens de la législation de l’Union européenne applicable en matière de protection des données, un niveau adéquat de protection des données PNR transférées au service australien des douanes et de la protection des frontières aux fins du présent accord.

Article 6

Coopération policière et judiciaire

1. Le service australien des douanes et de la protection des frontières veille à mettre le plus rapidement possible toute information analytique pertinente et appropriée obtenue à partir des données PNR à la disposition des services de police et des autorités judiciaires de l’État membre de l’Union européenne concerné, ou d’Europol ou d’Eurojust, dans les limites de leur mandat respectif, et conformément aux accords ou arrangements en matière répressive ou en matière d’échange d’informations conclus entre l’Australie et tout État membre de l’Union européenne, Europol ou Eurojust, le cas échéant.

2. Les services de police ou autorités judiciaires d’un État membre de l’Union européenne, Europol ou Eurojust, dans les limites de leur mandat respectif, peuvent demander l’accès aux données PNR ou aux informations analytiques pertinentes et appropriées obtenues à partir des données PNR qui sont nécessaires dans un cas particulier à la prévention et à la détection d’infractions terroristes ou de formes graves de criminalité transnationale dans l’Union européenne, ainsi qu’aux enquêtes et poursuites en la matière. Le service australien des douanes et de la protection des frontières met ces informations à disposition, conformément aux accords ou arrangements visés au paragraphe 1.

CHAPITRE II

GARANTIES APPLICABLES AU TRAITEMENT DES DONNÉES PNR

Article 7

Protection des données et non-discrimination

1. Les données PNR sont soumises aux dispositions de la loi australienne de 1988 sur la protection de la vie privée (Commonwealth Privacy Act), qui régit la collecte, l’utilisation, la conservation et la communication, la sécurité et l’accès ainsi que la modification des données à caractère personnel conservées par la plupart des services et organismes publics australiens.

2. L’Australie veille à ce que les garanties applicables au traitement des données PNR en vertu du présent accord et des législations nationales en la matière soient appliquées à tous les passagers sans aucune discrimination, fondée notamment sur la nationalité, le pays de résidence ou la présence physique en Australie.

Article 8

Données sensibles

Tout traitement de données PNR sensibles par le service australien des douanes et de la protection des frontières est interdit. Dans la mesure où les données PNR d’un passager transférées au service australien des douanes et de la protection des frontières contiennent des données sensibles, le service australien des douanes et de la protection des frontières les efface.

Article 9

Sécurité et intégrité des données

1. Afin de prévenir toute destruction fortuite ou illicite, toute perte fortuite, toute modification, toute divulgation ou tout accès non autorisés, ou toute autre forme illicite de traitement:

a) l’équipement de traitement des données PNR est conservé dans un environnement sécurisé et sur des systèmes perfectionnés dotés de mécanismes de protection physique contre les intrusions;

b) les données PNR sont stockées séparément de toutes les autres données. À des fins de rapprochement, des données peuvent être ajoutées dans le système PNR, mais les données figurant dans le système PNR ne peuvent pas être incorporées dans d’autres bases de données. L’accès au système PNR est limité à un nombre restreint d’agents du service australien des douanes et de la protection des frontières qui sont spécialement habilités par le directeur général dudit service à traiter des données PNR aux fins du présent accord. Ces agents ont accès au système PNR dans un environnement sécurisé inaccessible aux personnes non autorisées;

c) l’accès au système PNR, par les agents décrits au point b), est contrôlé par des systèmes d’accès sécurisé tels que des niveaux d’accès différents contrôlés au moyen d’un identifiant et d’un mot de passe;

d) l’accès au réseau du service australien des douanes et de la protection des frontières et à toute donnée contenue dans le système PNR est vérifié. Le rapport de vérification établi contient le nom de l’utilisateur, l’indication du poste de travail de l’utilisateur, la date et l’heure d’accès, le contenu de la requête et le nombre de dossiers trouvés;

e) toutes les données PNR sont transférées à d’autres autorités par le service australien des douanes et de la protection des frontières de façon sécurisée;

f) le système PNR garantit la détection et le signalement des défaillances;

g) les données PNR sont protégées contre toute manipulation, modification ou adjonction et contre toute altération par un dysfonctionnement du système;

h) il n’est procédé à aucune copie de la base de données PNR, si ce n’est à des fins de sauvegarde et de récupération en cas de catastrophe.

2. Toute violation de la sécurité des données, entraînant notamment la destruction fortuite ou illicite, la perte fortuite, la modification, la divulgation ou l’accès non autorisés, ou toute autre forme illicite de traitement fait l’objet de sanctions efficaces et dissuasives.

3. Le service australien des douanes et de la protection des frontières signale toute violation de la sécurité des données au service du commissaire australien à l’information et avertit la Commission européenne qu’une telle violation a été signalée.

Article 10

Surveillance et responsabilité

1. Le respect des règles en matière de protection des données par les autorités publiques australiennes qui traitent les données PNR est placé sous la surveillance du commissaire australien à l’information qui, en vertu des dispositions de la loi sur la protection de la vie privée (Privacy Act), jouit de pouvoirs efficaces afin d’enquêter sur le respect de cette loi par les autorités publiques et d’enquêter et de contrôler dans quelle mesure le service australien des douanes et de la protection des frontières se conforme à ladite loi.

2. Le service australien des douanes et de la protection des frontières a mis en place, conformément à la loi sur la protection de la vie privée, un dispositif permettant au commissaire australien à l’information de procéder régulièrement à des audits formels de tous les aspects des politiques et procédures suivies par le service australien des douanes et de la protection des frontières en matière d’utilisation et de traitement des données PNR provenant de l’Union européenne et d’accès à ces données.

3. Le commissaire australien à l’information sera, notamment, saisi par toute personne, indépendamment de sa nationalité et de son pays de résidence, d’une demande relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande. Le commissaire australien à l’information assiste également les personnes concernées dans l’exercice de leurs droits en vertu du présent accord, en particulier pour ce qui est du droit d’accès, de rectification et de recours.

4. Toute personne a également le droit de saisir le médiateur du Commonwealth au sujet du traitement dont elle a fait l’objet par le service australien des douanes et de la protection des frontières.

Article 11

Transparence

1. L’Australie demande aux transporteurs aériens de fournir aux passagers des informations claires et utiles sur la collecte et le traitement des données PNR ainsi que sur la finalité de leur utilisation. Cette information est fournie de préférence au moment de la réservation.

2. L’Australie publie, en particulier sur les sites internet des pouvoirs publics concernés, des informations relatives à la finalité de la collecte et de l’utilisation des PNR par le service australien des douanes et de la protection des frontières. Ces informations expliquent notamment la marche à suivre pour demander l’accès aux données et leur correction, ainsi que pour introduire un recours.

Article 12

Droit d’accès

1. Toute personne a le droit d’accéder à ses données PNR, après en avoir émis la demande auprès du service australien des douanes et de la protection des frontières. Cet accès est accordé sans entrave et sans retard indus. Ce droit est conféré au titre de la loi australienne de 1982 sur la liberté de l’information (Commonwealth Freedom of Information Act) et la loi sur la protection de la vie privée (Privacy Act). Le droit d’accès est étendu à la possibilité de demander et d’obtenir des documents conservés par le service australien des douanes et de la protection des frontières indiquant si les données concernant ladite personne ont été transmises à un destinataire ou mises à sa disposition, ainsi que les informations sur les destinataires ou les catégories de destinataires auxquels les données ont été communiquées.

2. La communication d’informations au titre du paragraphe 1 peut être subordonnée à des restrictions légales raisonnables qui s’appliquent en vertu de la législation australienne afin de ne pas compromettre la prévention, la détection, la recherche et la poursuite d’infractions pénales, et de protéger la sécurité publique ou la sécurité nationale, tout en tenant dûment compte de l’intérêt légitime de la personne concernée.

3. Le refus ou la limitation de l’accès sont communiqués par écrit à la personne dans un délai de trente (30) jours, sauf prorogation éventuelle du délai prévue par la loi. Dans le même temps, les raisons matérielles ou juridiques justifiant la décision lui sont également communiquées. Il est possible de ne pas procéder à cette communication pour les raisons visées au paragraphe 2. Dans tous ces cas, la personne est informée de son droit d’introduire une réclamation contre la décision du service australien des douanes et de la protection des frontières. Cette réclamation est introduite auprès du commissaire australien à l’information. La personne est également informée des voies de recours administratives et judiciaires prévues par la législation australienne.

4. Lorsqu’une réclamation est introduite auprès du commissaire australien à l’information suivant la procédure visée au paragraphe 3, son auteur est informé officiellement du résultat de l’examen de sa plainte. Il reçoit au minimum confirmation du respect de ses droits en matière de protection des données conformément au présent accord.

5. Le service australien des douanes et de la protection des frontières s’abstient de communiquer les données PNR au public, à l’exception des personnes dont les données PNR ont été traitées ou de leurs représentants.

Article 13

Droit à la rectification et à l’effacement

1. Toute personne a le droit de demander la rectification des données PNR la concernant qui ont été traitées par le service australien des douanes et de la protection des frontières lorsque ces données sont inexactes. La rectification peut nécessiter l’effacement.

2. Les demandes de rectification des données PNR conservées par le service australien des douanes et de la protection des frontières peuvent lui être adressées directement en vertu de la loi sur la liberté de l’information (Freedom of Information Act) ou de la loi sur la protection de la vie privée (Privacy Act).

3. Le service australien des douanes et de la protection des frontières procède à toutes les vérifications nécessaires au titre de la demande et fait savoir sans retard indu à la personne concernée si ses données PNR ont été rectifiées ou effacées. Cette notification est communiquée par écrit à la personne concernée dans un délai de trente (30) jours, sauf prorogation éventuelle du délai prévue par la loi et informe de la possibilité d’introduire une réclamation contre la décision du service australien des douanes et de la protection des frontières auprès du commissaire australien à l’information et, à défaut, des voies de recours administratives et judiciaires prévues par la législation australienne.

4. Lorsqu’une réclamation est introduite auprès du commissaire australien à l’information suivant la procédure visée au paragraphe 3, son auteur est informé officiellement du résultat de l’enquête.

Article 14

Droit de recours

1. Toute personne a droit à un recours administratif et judiciaire effectif en cas de violation de tout droit visé par le présent accord.

2. Toute personne ayant subi un dommage du fait d’un traitement illicite ou de toute action incompatible avec les droits visés par le présent accord a le droit de former un recours effectif, pouvant comprendre la réparation par l’Australie des dommages subis.

3. Les droits visés aux paragraphes 1 et 2 sont accordés aux personnes indépendamment de leur nationalité, de leur pays d’origine, de leur lieu de résidence ou de leur présence physique en Australie.

Article 15

Traitement automatisé des données PNR

1. Le service australien des douanes et de la protection des frontières ou les autres pouvoirs publics énumérés à l’annexe 2 s’abstiennent de prendre une décision affectant de manière significative un passager ou produisant des effets juridiques défavorables pour cette personne sur le seul fondement d’un traitement automatisé de données PNR.

2. Le service australien des douanes et de la protection des frontières ne procède pas au traitement automatisé de données lorsqu’il s’agit de données sensibles.

Article 16

Conservation des données

1. La durée de conservation des données PNR est de cinq ans et demi au maximum à compter de la date initiale de réception des données PNR par le service australien des douanes et de la protection des frontières. Pendant cette période, les données PNR sont conservées dans le système PNR uniquement à des fins de prévention et de détection d’infractions terroristes et de formes graves de criminalité transnationale, ainsi que d’enquêtes et de poursuites en la matière, et de la manière suivante:

a) pendant trois ans à compter de la réception initiale, toutes les données PNR sont accessibles à un nombre limité de fonctionnaires du service australien des douanes et de la protection des frontières expressément autorisés par le directeur général dudit service à identifier les passagers susceptibles de les intéresser;

b) entre l’expiration de ce délai de trois ans à compter de la réception initiale et l’expiration de la durée de conservation de cinq ans et demi, les données PNR sont conservées dans le système PNR, mais tous les éléments d’information qui pourraient servir à identifier le passager auquel se rapportent les données PNR sont masqués. Les données PNR ainsi dépersonnalisées ne sont accessibles qu’à un nombre limité de fonctionnaires du service australien des douanes et de la protection des frontières expressément autorisés par le directeur général dudit service à effectuer des analyses relatives aux infractions terroristes ou aux formes graves de criminalité transnationale. L’accès à l’intégralité des données PNR n’est autorisé que par un haut fonctionnaire (membre du Senior Executive Service) du service australien des douanes et de la protection des frontières si cet accès est nécessaire pour mener des enquêtes à des fins de prévention et de détection d’infractions terroristes et de formes graves de criminalité transnationale, ainsi que d’enquêtes et de poursuites en la matière.

2. Aux fins de la dépersonnalisation, les éléments des PNR devant être masqués sont les suivants:

a) le(s) nom(s);

b) les autres noms mentionnés dans le PNR, y compris le nombre de passagers figurant dans le PNR;

c) toutes les coordonnées disponibles (y compris les informations sur la source);

d) les remarques générales, y compris les données OSI (autres informations), les données SSI (concernant des services spécifiques) et les données SSR (concernant des demandes relatives à des services spécifiques), dans la mesure où elles comportent des informations permettant d’identifier une personne physique; et

e) toutes les données APP (informations passagers préfiltrées) ou les données API (informations préalables sur les passagers) qui ont été recueillies, dans la mesure où elles contiennent des informations permettant d’identifier une personne physique.

3. Nonobstant le paragraphe 1, les données PNR nécessaires à des enquêtes ou poursuites spécifiques relatives à des infractions terroristes ou à des formes graves de criminalité transnationale, ou à l’exécution de sanctions infligées en raison de telles infractions ou de telles formes graves de criminalité, peuvent faire l’objet d’un traitement aux fins de ces enquêtes ou poursuites ou de l’exécution de ces sanctions. Les données PNR peuvent être conservées jusqu’à la fin des enquêtes ou poursuites concernées ou jusqu’à l’exécution de la sanction.

4. À l’expiration de la durée de conservation définie aux paragraphes 1 et 3, les données PNR sont effacées de façon permanente.

Article 17

Journalisation et documentation des opérations concernant les données PNR

1. Toutes les opérations de traitement, y compris l’accès aux données PNR et la consultation ou le transfert de ces données, ainsi que les demandes de données PNR présentées par les autorités australiennes ou de pays tiers, même si ces demandes sont refusées, sont journalisées ou font l’objet d’une trace documentaire conservée par le service australien des douanes et de la protection des frontières à des fins de vérification de la licéité du traitement des données, d’autocontrôle et de garantie de l’intégrité des données et de la sécurité du traitement des données.

2. Les enregistrements effectués dans un journal ou les traces documentaires conservées au titre du paragraphe 1 sont utilisés uniquement à des fins de supervision et d’audit, y compris les enquêtes portant sur les questions d’accès non autorisé et le règlement de ces questions.

3. Les enregistrements effectués dans un journal ou les traces documentaires conservées au titre du paragraphe 1 sont communiqués sur demande au commissaire australien à l’information. Le commissaire australien à l’information n’utilise ces informations que pour contrôler la protection des données et garantir le traitement approprié des données ainsi que leur intégrité et leur sécurité.

Article 18

Partage des données PNR avec d’autres autorités publiques australiennes

1. Le service australien des douanes et de la protection des frontières peut partager les données PNR exclusivement avec les autorités publiques australiennes énumérées à l’annexe 2 moyennant le respect des garanties suivantes:

a) les autorités publiques recevant les données PNR appliquent à ces données les garanties énoncées dans le présent accord.

b) les données sont partagées exclusivement aux fins énoncées à l’article 3;

c) les données sont partagées uniquement cas par cas, sauf si elles ont été dépersonnalisées;

d) avant tout partage, le service australien des douanes et de la protection des frontières évalue soigneusement la pertinence des données à partager. Seuls les éléments spécifiques des données PNR dont la nécessité dans des circonstances données a été clairement démontrée sont partagés. En tout état de cause, le partage porte sur un nombre de données le plus faible possible;

e) les autorités publiques recevant les données PNR veillent à ce que celles-ci ne soient pas communiquées ultérieurement sans l’autorisation du service australien des douanes et de la protection des frontières, ce dernier n’accordant exclusivement son autorisation qu’aux fins énoncées à l’article 3 de l’accord.

2. La liste des autorités figurant à l’annexe 2 peut être modifiée par échange de notes diplomatiques entre les parties pour y faire figurer:

a) tout service ou organisme remplaçant ceux énumérés à l’annexe 2; et

b) tout nouveau service ou organisme mis en place après l’entrée en vigueur du présent accord dont les fonctions sont directement liées à la prévention ou à la détection d’infractions terroristes ou de formes graves de criminalité transnationale, ou aux enquêtes et poursuites en la matière; et

c) tout service ou organisme existant dont les fonctions deviennent directement liées à la prévention ou à la détection d’infractions terroristes ou de formes graves de criminalité transnationale, ou aux enquêtes et poursuites en la matière.

3. Lors du transfert d’informations analytiques contenant des données PNR obtenues au titre du présent accord, les garanties offertes à l’égard des données PNR conformément au présent article sont respectées.

4. Aucune disposition du présent article n’empêche la communication de données PNR lorsque cette communication est nécessaire aux fins de l’article 3, paragraphes 4 et 5, et de l’article 10.

Article 19

Transferts aux autorités de pays tiers

1. Le service australien des douanes et de la protection des frontières peut transférer les données PNR uniquement à certaines autorités de pays tiers moyennant le respect des garanties suivantes:

a) le service australien des douanes et de la protection des frontières a pu s’assurer que l’autorité du pays tiers qui reçoit les données a accepté d’offrir à l’égard des données les mêmes garanties que celles énoncées dans le présent accord;

b) seule une autorité de pays tiers dont les fonctions sont directement liées à la prévention et à la détection d’infractions terroristes ou de formes graves de criminalité transnationale, et aux enquêtes et poursuites en la matière peut recevoir des données PNR;

c) les données sont transférées exclusivement à des fins de prévention et de détection d’infractions terroristes ou de formes graves de criminalité transnationale, et d’enquêtes et de poursuites en la matière comme défini à l’article 3;

d) les données sont transférées uniquement cas par cas;

e) avant tout transfert, le service australien des douanes et de la protection des frontières évalue soigneusement la pertinence des données à transférer. Seuls les éléments spécifiques des données PNR dont la nécessité dans des circonstances données a été clairement démontrée sont transférés. En tout état de cause, le partage porte sur un nombre de données le plus faible possible;

f) lorsque le service australien des douanes et de la protection des frontières sait que les données d’un ressortissant ou d’un résident d’un État membre sont transférées, les autorités compétentes de l’État membre concerné en sont informées dès que possible;

g) le service australien des douanes et de la protection des frontières a pu s’assurer que l’autorité du pays tiers qui reçoit les données PNR a accepté de ne les conserver que jusqu’à la fin des enquêtes ou poursuites concernées, jusqu’à l’exécution de la sanction ou jusqu’à ce que les données PNR ne soient plus nécessaires à la réalisation des finalités énoncées à l’article 3, paragraphe 4, et, en tout état de cause, pas plus longtemps que nécessaire;

h) le service australien des douanes et de la protection des frontières a pu s’assurer que l’autorité du pays tiers qui reçoit les données a accepté de ne pas transférer ultérieurement les données PNR;

i) le service australien des douanes et de la protection des frontières veille, le cas échéant, à ce que le passager soit informé du transfert de ses données PNR.

2. Lors du transfert d’informations analytiques contenant des données PNR obtenues au titre du présent accord, les garanties offertes à l’égard des données PNR conformément au présent article sont respectées.

3. Aucune disposition du présent article n’empêche la communication de données PNR lorsque cela est nécessaire aux fins de l’article 3, paragraphe 4.

CHAPITRE III

MODALITÉS DES TRANSFERTS

Article 20

Méthode de transfert

Aux fins du présent accord, les parties veillent à ce que les transporteurs aériens transfèrent des données PNR au service australien des douanes et de la protection des frontières en recourant exclusivement à la méthode "push" et conformément aux procédures suivantes:

a) les transporteurs aériens transfèrent les données PNR par voie électronique conformément aux prescriptions techniques du service australien des douanes et de la protection des frontières ou, en cas de défaillance technique, par tout autre moyen approprié garantissant un niveau de sécurité des données adéquat;

b) les transporteurs aériens transfèrent les données PNR en utilisant une structure de message définie d’un commun accord;

c) les transporteurs aériens transfèrent les données PNR de manière sécurisée en utilisant les protocoles communs exigés par le service australien des douanes et de la protection des frontières.

Article 21

Fréquence des transferts

1. Les parties veillent à ce que les transporteurs aériens transfèrent au service australien des douanes et de la protection des frontières toutes les données PNR des passagers qui ont été demandées selon la procédure décrite à l’article 20 et ce, au maximum à cinq stades déterminés du vol, le premier transfert ayant lieu au maximum 72 heures avant le départ prévu. Le service australien des douanes et de la protection des frontières informe les transporteurs aériens des stades prévus pour les transferts.

2. Dans les cas particuliers où certains éléments indiquent qu’un accès précoce est nécessaire pour répondre à une menace spécifique liée à des infractions terroristes ou à des formes graves de criminalité transnationale, le service australien des douanes et de la protection des frontières peut exiger d’un transporteur aérien qu’il fournisse les données PNR avant le premier transfert prévu. Dans l’exercice de ce pouvoir discrétionnaire, le service australien des douanes et de la protection des frontières agit de façon judicieuse et proportionnée et recourt exclusivement à la méthode "push".

3. Dans les cas particuliers où certains éléments indiquent qu’un accès est nécessaire pour répondre à une menace spécifique liée à des infractions terroristes ou à des formes graves de criminalité transnationale, le service australien des douanes et de la protection des frontières peut exiger d’un transporteur aérien qu’il transfère les données PNR entre deux transferts prévus au sens du paragraphe 1 ou à l’issue de tous les transferts prévus au sens du paragraphe 1. Dans l’exercice de ce pouvoir discrétionnaire, le service australien des douanes et de la protection des frontières agit de façon judicieuse et proportionnée et recourt exclusivement à la méthode "push".

CHAPITRE IV

DISPOSITIONS DE MISE EN ŒUVRE ET DISPOSITIONS FINALES

Article 22

Non-dérogation/Rapports avec d’autres instruments

1. Le présent accord ne crée ni ne confère aucun droit ou avantage sur toute autre personne ou entité, privée ou publique. Chaque partie veille à ce que les dispositions du présent accord soient correctement mises en œuvre.

2. Aucune disposition du présent accord ne limite les droits ou garanties prévus par la législation australienne.

3. Aucune disposition du présent accord n’emporte dérogation aux obligations actuelles au titre d’instruments bilatéraux conclus dans le domaine de l’entraide judiciaire entre l’Australie et les États membres de l’Union européenne d’apporter son assistance en cas de demande visant à obtenir des données susceptibles de pouvoir servir d’élément de preuve dans une procédure pénale concernant le terrorisme ou une forme grave de criminalité transnationale.

Article 23

Règlement des différends et suspension de l’accord

1. Tout différend né de l’interprétation, de l’application ou de la mise en œuvre du présent accord et de toutes les questions y afférentes donne lieu à une consultation entre les parties afin de trouver une solution mutuellement acceptable, y compris en mettant l’une ou l’autre partie en mesure de s’exécuter dans un délai raisonnable.

2. Si les consultations n’ont pas permis de trouver une solution au différend, l’une ou l’autre partie peut suspendre l’application du présent accord par notification écrite par la voie diplomatique, toute suspension prenant effet à l’expiration d’un délai de cent vingt jours à compter de la date de ladite notification, sauf disposition contraire.

3. Toute suspension prend fin dès que le différend est résolu à la satisfaction de l’Australie et de l’Union européenne.

4. Nonobstant la suspension du présent accord, toutes les données détenues par le service australien des douanes et de la protection des frontières en vertu dudit accord continuent à être traitées en conformité avec les garanties prévues par le présent accord, y compris les dispositions relatives à la conservation et à la suppression des données.

Article 24

Concertation et examen

1. Les parties s’informent mutuellement, le cas échéant avant leur adoption, des modifications législatives ou réglementaires susceptibles d’avoir une incidence significative sur la mise en œuvre du présent accord. Les références, dans le présent accord, à la législation australienne sont réputées comprendre toute législation remplaçant celle-ci.

2. Les parties procèdent à l’examen conjoint de la mise en œuvre du présent accord et de toutes les questions y afférentes un an après l’entrée en vigueur dudit accord et, par la suite, à intervalles réguliers pendant la durée dudit accord, ainsi qu’à la demande de l’une ou l’autre partie. Les parties conviennent du fait que le réexamen doit porter, en particulier, sur le mécanisme de masquage des données conformément à l’article 16, paragraphe 1, point b), sur toute difficulté liée à l’efficacité opérationnelle ou au rapport coût-efficacité du mécanisme et sur l’expérience tirée de mécanismes analogues dans d’autres programmes PNR éprouvés, y compris le programme de l’Union européenne. Si aucun mécanisme efficace sur le plan opérationnel et présentant un bon rapport coût-efficacité n’est disponible, l’accès aux données est, à défaut, restreint grâce à un archivage, l’accès à ces archives ne se faisant que de la manière prévue à l’article 16 pour les données dépersonnalisées.

3. Les parties conviennent, avant l’examen conjoint, des modalités de celui-ci et se communiquent la composition de leur équipe respective. Aux fins de l’examen conjoint, l’Union européenne est représentée par la Commission européenne et l’Australie par le service australien des douanes et de la protection des frontières. Les équipes peuvent compter des experts en matière de protection des données et de maintien de l’ordre. Sous réserve des lois applicables, les participants à l’examen conjoint respectent la confidentialité des débats et possèdent les habilitations de sécurité appropriées. Aux fins de l’examen conjoint, le service australien des douanes et de la protection des frontières garantit l’accès aux documents et systèmes pertinents et aux membres du personnel concernés.

4. Les parties évaluent l’accord, en particulier son efficacité opérationnelle, au plus tard quatre ans après son entrée en vigueur.

5. À la suite de l’examen conjoint, la Commission européenne présente un rapport au Parlement européen et au Conseil de l’Union européenne. L’Australie a la possibilité de formuler des observations écrites, qui sont annexées au rapport.

6. La mise en place d’un système PNR de l’Union européenne étant susceptible de modifier le contexte dans lequel s’inscrit le présent accord, dans l’éventualité où un système PNR de l’Union européenne est adopté, les parties se consultent afin de déterminer si le présent accord doit être adapté en conséquence.

Article 25

Dénonciation

1. Chaque partie peut dénoncer le présent accord à tout moment en adressant une notification écrite à l’autre partie par la voie diplomatique. La dénonciation prend effet à l’expiration d’un délai de cent vingt jours à compter de la date de réception de ladite notification par l’autre partie, sauf disposition contraire.

2. Nonobstant la dénonciation du présent accord, toutes les données détenues par le service australien des douanes et de la protection des frontières en vertu du présent accord continuent à être traitées en conformité avec les garanties prévues par le présent accord, y compris les dispositions relatives à la conservation et à la suppression des données.

Article 26

Durée

1. Sous réserve de l’article 25, le présent accord est conclu pour une période initiale de sept ans à compter de son entrée en vigueur.

2. À l’expiration du délai visé au paragraphe 1, ainsi que de tout délai ultérieur de renouvellement au titre du présent paragraphe, l’accord est renouvelé pour un délai supplémentaire de sept ans, sauf si l’une des parties informe l’autre partie par notification écrite par la voie diplomatique, au moins douze mois à l’avance, de son intention de ne pas renouveler l’accord.

3. Nonobstant l’expiration du présent accord, toutes les données détenues par le service australien des douanes et de la protection des frontières en vertu dudit accord continuent à être traitées en conformité avec les garanties prévues par le présent accord, y compris les dispositions relatives à la conservation et à la suppression des données.

Article 27

Données PNR reçues avant l’entrée en vigueur du présent accord

L’Australie traite toute donnée PNR détenue par le service australien des douanes et de la protection des frontières à la date d’entrée en vigueur du présent accord conformément aux dispositions du présent accord. Toutefois, aucune donnée ne doit être masquée avant le 1er janvier 2015.

Article 28

Application territoriale

1. Sous réserve des paragraphes 2 à 4, le présent accord s’applique au territoire sur lequel s’appliquent le traité sur l’Union européenne et le traité sur le fonctionnement de l’Union européenne et au territoire de l’Australie.

2. Le présent accord ne s’applique au Danemark, au Royaume-Uni ou à l’Irlande que si la Commission européenne notifie par écrit à l’Australie que le Danemark, le Royaume-Uni ou l’Irlande ont choisi d’être liés par le présent accord.

3. Si la Commission européenne notifie à l’Australie, avant l’entrée en vigueur du présent accord, que celui-ci s’appliquera au Danemark, au Royaume-Uni ou à l’Irlande, le présent accord s’applique au territoire de cet État le même jour que celui prévu pour les autres États membres de l’Union européenne liés par le présent accord.

4. Si la Commission européenne notifie à l’Australie, après l’entrée en vigueur du présent accord, que celui-ci s’appliquera au Danemark, au Royaume-Uni ou à l’Irlande, le présent accord s’applique au territoire de cet État le jour suivant celui de la réception de ladite notification par l’Australie.

Article 29

Dispositions finales

1. Le présent accord entre en vigueur le premier jour du mois suivant la date à laquelle les parties ont échangé les notifications indiquant qu’elles ont accompli les procédures internes à cet effet.

2. Le présent accord remplace l’accord entre l’Union européenne et l’Australie sur le traitement et le transfert de données des dossiers passagers (données PNR) provenant de l’Union européenne par les transporteurs aériens au service des douanes australien conclu à Bruxelles le 30 juin 2008, qui cessera de s’appliquer à compter de l’entrée en vigueur du présent accord.

Fait à Bruxelles, le 29 septembre 2011, en deux exemplaires originaux en langue anglaise. Le présent accord est également rédigé en langues allemande, bulgare, danoise, espagnole, estonienne, finnoise, française, grecque, hongroise, italienne, lettone, lituanienne, maltaise, néerlandaise, polonaise, portugaise, roumaine, slovaque, slovène, suédoise et tchèque, toutes les versions faisant également foi. En cas de divergence entre les versions linguistiques, le texte anglais prévaut.

Pour l'Union européenne

Pour l'Australie

--------------------------------------------------

ANNEXE 1

Éléments des données PNR visés à l’article 2, point f), que les transporteurs aériens sont tenus de fournir au service australien des douanes et de la protection des frontières, mais uniquement dans la mesure où ils les recueillent déjà:

1. Code repère du PNR

2. Date de réservation/d’émission du billet

3. Date(s) prévue(s) du voyage

4. Nom(s)

5. Informations disponibles sur "les grands voyageurs" et les programmes de fidélisation (c’est-à-dire billets gratuits, surclassement, etc.)

6. Autres noms mentionnés dans le PNR, y compris le nombre de passagers figurant dans le PNR

7. Toutes les coordonnées disponibles (y compris les informations sur la source)

8. Toutes les informations disponibles relatives au paiement/à la facturation (à l’exclusion des autres détails de l’opération liés à la carte de crédit ou au compte et n’ayant pas de lien avec l’opération relative au voyage)

9. Itinéraire de voyage pour le PNR spécifique

10. Agence de voyages/Agent de voyages

11. Informations sur le partage de code

12. Informations "scindé/divisé"

13. Statut du voyageur (y compris confirmations et statut d’enregistrement)

14. Informations sur l’établissement des billets, y compris le numéro du billet, billets aller simple et données Automated Ticketing Fare Quote (prix du billet);

15. Toutes les informations relatives aux bagages

16. Informations relatives au siège, y compris numéro du siège occupé

17. Remarques générales, y compris les données OSI, SSI et SSR

18. Informations APIS éventuellement recueillies

19. Historique complet des modifications des données PNR énumérées aux points 1 à 18

--------------------------------------------------

ANNEXE 2

Liste des autres autorités publiques australiennes avec lesquelles le service australien des douanes et de la protection des frontières est autorisé à partager des données PNR:

1. Commission australienne des affaires criminelles (Australian Crime Commission);

2. Police fédérale australienne (Australian Federal Police);

3. Organisation australienne du renseignement de sécurité (Australian Security Intelligence Organisation);

4. Procureur général du Commonwealth (Commonwealth Director of Public Prosecutions);

5. Service de l’immigration et de la citoyenneté (Department of Immigration and Citizenship);

6. Bureau de la sécurité des transports, département de l’infrastructure et des transports (Office of Transport Security, Department of Infrastructure and Transport).

--------------------------------------------------

ACTE FINAL

Les représentants:

DE L’UNION EUROPÉENNE,

d’une part, et

DE L’AUSTRALIE,

d’autre part,

réunis à Bruxelles, le 29 septembre 2011, pour la signature de l’accord entre l’Union européenne et l’Australie sur le traitement et le transfert de données des dossiers passagers (données PNR) par les transporteurs aériens au service australien des douanes et de la protection des frontières, ont, au moment de signer le présent accord:

- adopté la déclaration conjointe, jointe au présent acte final.

EN FOI DE QUOI, les plénipotentiaires soussignés ont signé le présent acte final.

Fait à Bruxelles, le 29 septembre 2011.

Pour l'Union européenne

Pour l'Australie

--------------------------------------------------

DÉCLARATION CONJOINTE DE L’UNION EUROPÉENNE ET DE L’AUSTRALIE RELATIVE À L’ACCORD SUR LE TRAITEMENT ET LE TRANSFERT DE DONNÉES DES DOSSIERS PASSAGERS (DONNÉES PNR) PAR LES TRANSPORTEURS AÉRIENS AU SERVICE AUSTRALIEN DES DOUANES ET DE LA PROTECTION DES FRONTIÈRES

Lors de la mise en œuvre de l’accord sur le traitement et le transfert de données des dossiers passagers (données PNR) par les transporteurs aériens au service australien des douanes et de la protection des frontières (ci-après dénommé "accord"), l’Union européenne et l’Australie sont convenues, en ce qui concerne leurs obligations au titre des articles 19 et 24 de l’accord:

1. d’échanger, le cas échéant, dans le cadre du mécanisme de concertation et d’examen conjoint prévu à l’article 24 de l’accord, des informations concernant les transferts de données PNR de citoyens et de résidents de l’Union européenne aux autorités de pays tiers comme précisé à l’article 19 de l’accord;

2. de prévoir que, dans le cadre du mécanisme de concertation et d’examen prévu à l’article 24 de l’accord, toutes les informations appropriées seront fournies sur les conditions régissant ces transferts cas par cas, conformément aux dispositions de l’article 19 de l’accord;

3. de veiller en particulier à apporter toutes les garanties de mise en œuvre des dispositions de l’article 19, paragraphe 1, point a), afin de s’assurer que les pays tiers recevant ces données ont accepté de leur appliquer les garanties juridiques et concrètes prévues par l’accord;

4. de mettre en œuvre des mécanismes spécifiques d’information entre les autorités des États membres et de l’Australie, lorsque les données d’un citoyen ou d’un résident de l’Union européenne sont transférées en vertu de l’article 19, paragraphe 1, point f).

--------------------------------------------------