22.1.2010

FR

Journal officiel de l’Union européenne

CE 16/44

---

Union européenne et données PNR

P6_TA(2008)0561

Résolution du Parlement européen du 20 novembre 2008 sur la décision-cadre du Conseil relative à l'utilisation des données des dossiers passagers (Passenger Name Record — PNR) à des fins répressives

(2010/C 16 E/08)

Le Parlement européen,

—	vu les déclarations de la Commission, pendant les débats du 21 octobre 2008, en réponse à la question orale B6-0476/2008 sur la proposition de décision-cadre du Conseil relative à l'utilisation des données des dossiers passagers (Passenger Name Record — PNR) à des fins répressives (COM(2007)0654),

—	vu les débats en cours au Conseil au niveau ministériel et au niveau des groupes de travail sur la proposition mentionnée ci-dessus,

—	vu les avis rendus par l'Agence européenne des droits fondamentaux, par le contrôleur européen de la protection des données et par le groupe de travail «article 29», ainsi que par le groupe de travail sur la police et la justice,

—	vu ses précédentes résolutions (1) sur l'accord PNR UE — États-Unis (2), sur l'accord PNR UE-Canada (3) et sur l'accord PNR UE-Australie (4),

—	vu l'article 108, paragraphe 5, de son règlement,

A.

considérant que les principes de protection des données auxquels doivent se conformer les institutions et les États membres de l'Union européenne sont inscrits à l'article 8 de la Convention européenne de sauvegarde des Droits de l'homme et des libertés fondamentales (CEDH), aux articles 7 et 52 de la charte des droits fondamentaux de l'Union européenne (charte des droits fondamentaux), à l'article 286 du traité CE et à l'article 5 de la convention no 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (Convention 108) et qu'au niveau du droit dérivé, ils figurent dans la directive 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (5) et dans le projet de décision-cadre du Conseil relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale,

B.	considérant que toute nouvelle législation de l'Union devrait se conformer aux principes de proportionnalité et de subsidiarité décrits à l'article 5 du traité CE et dans son protocole no 30.

En ce qui concerne les aspects de procédure

1.   reconnaît la nécessité d'une coopération plus forte, au niveau européen comme international, dans la lutte contre le terrorisme et la grande criminalité; admet que la collecte et le traitement de données puissent être un outil apprécié à des fins répressives;

2.   est d'avis que les autorités chargées de faire appliquer la loi devraient disposer de tous les outils qui leur sont nécessaires pour mener à bien leurs missions, y compris l'accès aux données; souligne toutefois, puisque de telles mesures ont des effets considérables dans le domaine de la vie privée des citoyens de l'Union, qu'il faut que leur justification en termes de nécessité, de proportionnalité et d'utilité en vue de la réalisation de leurs objectifs déclarés soit fournie de manière convaincante et insiste sur la nécessité de mettre en place des garanties efficaces de protection juridique et de respect de la vie privée; estime que c'est là une condition préalable pour conférer la nécessaire légitimité politique à une mesure que les citoyens peuvent considérer comme une intrusion injustifiable dans leur vie privée;

3.   regrette que la formulation et la justification de la proposition de la Commission laissent subsister tant d'incertitudes juridiques quant à sa compatibilité avec la CEDH et la Charte des droits fondamentaux, mais aussi quant à sa base juridique, ce qui n'a pas manqué de poser des questions quant au rôle dévolu au Parlement européen dans la procédure législative; observe que les mêmes inquiétudes concernant l'absence de sécurité juridique de la proposition:

—	sont évoquées dans les avis rendus par l'Agence des droits fondamentaux de l'Union européenne (l'Agence des droits fondamentaux), par le contrôleur européen de la protection des données (CEPD) et par le groupe de travail «article 29», ainsi que par le groupe de travail sur la police et la justice,

—	requièrent du Conseil qu'il procède à un examen approfondi du champ éventuellement couvert par une future initiative de l'Union en la matière et de son possible impact, et qu'il y incorpore d'importantes quantités d'information supplémentaire, notamment les avis cités;

4.   estime, dans ces conditions, devoir réserver son avis officiel, qui lui est officiellement demandé selon la procédure de consultation, tant que les inquiétudes évoquées dans la présente résolution n'auront pas été proprement levées et que le minimum d'information nécessaire ne lui aura pas été fourni;

5.   maintient ses fortes réserves quant à la nécessité et à la valeur ajoutée de la proposition de création d'un système PNR de l'Union et quant aux garanties qui y sont associées, nonobstant les explications et les précisions apportées jusqu'à présent par la Commission et le Conseil, soit par oral, soit par écrit; observe en outre que nombre des questions posées par lui-même, ainsi que par le groupe de travail «article 29», par le groupe de travail sur la police et la justice, par le contrôleur européen de la protection des données et par l'Agence des droits fondamentaux, n'ont pas reçu de réponse satisfaisante;

6.   estime, à l'instar de l'Agence des droits fondamentaux, que le simple fait que des bases de données commerciales soient disponibles ne justifie pas automatiquement leur utilisation à des fins répressives; estime en outre que des résultats identiques voire meilleurs pourraient être obtenus en améliorant l'assistance juridique mutuelle entre autorités répressives;

7.   invite le Conseil, s'il entend poursuivre l'examen du texte de la Commission, à tenir compte des recommandations de la présente résolution et à justifier dûment les conditions de besoin social pressant qui pourraient rendre cette nouvelle intervention de l'Union européenne «nécessaire», ainsi que l'exige l'article 8 de la CEDH; estime qu'il s'agit là des conditions minimales pour que la création d'un système PNR de l'Union puisse recevoir son soutien; est prêt à contribuer à cette œuvre et à y participer à tous les niveaux;

8.   appelle à nouveau à une clarification de la relation entre l'utilisation des données PNR et d'autres mesures telles que la directive 2004/82/CE du Conseil du 29 avril 2004 concernant l'obligation pour les transporteurs de communiquer les données relatives aux passager (6), le système proposé d'informations d'entrée et de sortie, le système électronique d'autorisation de voyage, les données biométriques dans les passeports et les visas, le Système d'information Schengen (SIS), le système d'information sur les visas (VIS), le règlement (CE) no 2320/2002 du Parlement européen et du Conseil du 16 décembre 2002 relatif à l'instauration de règles communes dans le domaine de la sûreté de l'aviation civile (7), ainsi que les dispositifs de protection aux frontières nationales; observe, avec regret, que la mise en œuvre de certaines de ces mesures a pris un retard considérable et pense qu'une évaluation complète et systématique des mécanismes et instruments de coopération en matière de sécurité dont disposent actuellement l'Union européenne et l'espace Schengen pour assurer la sécurité aérienne, protéger les frontières extérieures et lutter contre le terrorisme pourrait aider à apprécier la valeur ajoutée par le système PNR de l'Union qui est proposé;

9.   rappelle que le débat sur la base juridique convenant à cette proposition est en cours et réaffirme qu'en vertu de l'article 47 du traité sur l'Union européenne, une mesure législative dans le cadre de la coopération judiciaire et policière devrait être assortie des nécessaires mesures communautaires d'accompagnement, à adopter en codécision avec le Parlement européen, portant sur tous les aspects relevant du premier pilier, notamment ceux définissant le champ d'application des obligations auxquelles seront soumis les acteurs économiques (8);

10.   rappelle que la Cour de justice des Communautés européennes a déjà remis en cause l'accord PNR UE — États-Unis au motif d'une base juridique inappropriée; invite dès lors la Commission à examiner avec soin si la base juridique convient;

11.   estime qu'à l'occasion de la présentation de la nouvelle législation, les parlements nationaux doivent être pleinement associés à la procédure législative, compte tenu de l'impact de la proposition tant pour les citoyens que sur l'ordre juridique national des États membres;

12.   souligne qu'une éventuelle législation créant à l'avenir un système PNR de l'Union, comme une nouveau cadre de la coopération policière dans l'Union européenne, devrait inclure des dispositions prévoyant une évaluation périodique de sa mise en œuvre, de son application, de son utilité et des atteintes aux garanties; considère que les parlements nationaux, le contrôleur européen de la protection des données, le groupe de travail «article 29» et l'Agence des droits fondamentaux doivent être invités à jouer un rôle tant dans la révision que dans l'évaluation; estime dès lors que la nouvelle législation devrait inclure une clause impérative de révision;

13.   souligne, dans ce contexte, que chaque État membre assume la responsabilité initiale de collecter les données PNR de son ressort et d'assurer leur protection; insiste sur le fait que des garanties sont obligatoires dès lors que ces données PNR sont transmises, échangées ou transférées vers d'autres États membres; est donc d'avis que l'accès aux données PNR échangées entre États membres devrait être strictement limité aux seules autorités qui s'occupent de la lutte contre le terrorisme et la criminalité organisée; admet que d'autres agences de répression puissent se voir accorder l'accès par autorisation judiciaire.

Subsidiarité

14.   observe avec préoccupation que la nécessité d'une action communautaire n'a pas encore été suffisamment démontrée; s'interroge, sous ce rapport, sur l'affirmation de la Commission selon laquelle l'objectif de la proposition est l'harmonisation des systèmes nationaux, dès lors que seuls quelques États membres disposent d'un système d'utilisation des données des dossiers passagers, à des fins répressives et autres, ou envisagent de mettre en place un tel système; estime donc que la proposition de la Commission n'harmonise pas les systèmes nationaux (puisqu'ils n'existent pas) mais qu'elle crée simplement l'obligation pour tous les États membres de mettre en place un tel système;

15.   observe que la Commission propose un système «décentralisé», ce qui signifie que la valeur ajoutée européenne est encore moins évidente.

Proportionnalité

16.   rappelle que l'article 8 de la CEDH et l'article 52 de la Charte des droits fondamentaux de l'Union européenne exigent qu'une ingérence aussi massive dans le droit à la protection des données à caractère personnel soit légitime et justifiée par une nécessité sociale pressante, prévue par la loi et proportionnée à l'objectif poursuivi, qui doit être nécessaire et légitime dans une une société démocratique; déplore, à ce propos, que l'usage de cette mesure éventuelle de coopération policière ne soit pas limité à des questions telles que la lutte contre le terrorisme ou la criminalité organisée;

17.   s'inquiète du fait que la proposition, fondamentalement, permette aux autorités répressives d'accéder sans mandat à toutes les données; fait remarquer que la Commission ne démontre pas la nécessité de nouvelles compétences des autorités répressives, ni qu'il est impossible d'atteindre cet objectif au moyen de mesures d'une moins grande portée; critique le fait que la proposition n'indique pas en quoi les compétences des autorités répressives ne sont pas à la hauteur des besoins, ni où et quand les autorités ont à l'évidence été dépourvues des compétences dont elles avaient besoin pour l'objectif fixé; demande qu'une révision des mesures existantes, déjà mentionnées, ait lieu avant que soit développé un système européen d'utilisation des données des dossiers passagers;

18.   observe que, selon la Commission, «l'Union européenne a été en mesure d'apprécier la valeur des données des dossiers passagers et de prendre la mesure de leur potentiel à des fins répressives» mais souligne qu'à ce jour, rien n'étaie cette affirmation:

—	en effet, toutes les informations fournies jusqu'à présent par les États-Unis sont empiriques et les États-Unis n'ont jamais démontré de manière concluante que l'utilisation massive et systématique des données PNR est nécessaire dans la lutte contre le terrorisme et la grande criminalité;

—	il n'y a eu qu'une seule révision en commun de l'accord PNR UE — États-Unis, qui n'a évalué que la mise en œuvre de l'accord, non ses résultats;

—

les conclusions préliminaires du système britannique d'utilisation des données PNR font référence aux utilisations à des fins répressives autres que la lutte contre le terrorisme, qui ne relèvent pas du champ d'application de la proposition de la Commission, ainsi qu'à l'utilisation des données PNR au cas par cas, dans le contexte d'investigations en cours et sur la base d'un mandat, dûment justifié; à ce jour, elles ne prouvent pas l'utilité de la collecte et de l'utilisation massives des données PNR pour la lutte contre le terrorisme.

Limitation de l'usage

19.   souligne que le principe de limitation de l'usage est l'un des principes de base de la protection des données; observe, en particulier, que la Convention 108 dispose que les données à caractère personnel sont «enregistrées pour des finalités déterminées et légitimes et ne sont pas utilisées de manière incompatible avec ces finalités» (article 5, point b)); note également que des dérogations à ce principe ne sont autorisées que dans la mesure où elles sont prévues par la loi et constituent une mesure nécessaire dans une société démocratique dans l'intérêt, entre autres, de la «répression des infractions pénales» (article 9); signale qu'il ressort de la jurisprudence de la Cour européenne des Droits de l'homme que ces dérogations doivent être proportionnées, précises et prévisibles, conformément à l'article 8, paragraphe 2, de la CEDH;

20.   déplore l'absence de limitation précise de l'usage, qui est une garantie essentielle lorsque sont imposées des mesures restrictives; observe qu'une telle protection est plus importante encore pour ce qui concerne des mesures de surveillance secrètes, en raison des risques accrus d'arbitraire dans de telles circonstances; estime, alors que les usages déclarés et les définitions sont imprécis et indéterminés, qu'ils devraient au contraire être strictement spécifiés afin d'éviter que le système PNR européen ne soit contesté devant la justice;

21.   réaffirme que les données des dossiers passagers peuvent être très utiles comme éléments de preuve accessoires, supplémentaires, dans une enquête donnée sur des suspects de terrorisme et leurs complices connus; remarque cependant qu'il n'est pas prouvé qu'elles aient un quelconque intérêt pour des recherches automatisées sur une très grande échelle et pour une analyse sur la base de schémas ou de critères de risques (par exemple, établissement de profils ou extraction de connaissances à partir de données) en vue de détecter des terroristes potentiels (9);

22.   souligne, en outre, que les règles de l'Union en matière de protection des données prévoient des restrictions à l'établissement de profils sur la base de données à caractère personnel (article 8 de la Charte européenne des droits fondamentaux et de la CEDH); s'associe donc à l'avis de l'Agence européenne des droits fondamentaux, selon lequel l'établissement de profils à partir des données des dossiers passagers ne devrait être qu'à finalité de renseignement, en fonction de cas individuels et de paramètres factuels;

23.   réaffirme son inquiétude face aux mesures esquissant un usage indiscriminé des données PNR pour l'établissement de profils ou la définition de paramètres d'évaluation des risques; rappelle que toute espèce de dépistage fondé sur l'ethnie, la nationalité, la religion, l'orientation sexuelle, le sexe, l'âge ou l'état médical doit être expressément interdit parce que contraire à l'interdiction de toute discrimination en ce sens, prévue par les traités et la Charte des droits fondamentaux;

24.   rappelle qu'en cas d'extension du champ d'application de la proposition, la Commission et le Conseil doivent préciser dans le détail, pour chaque usage déclaré, l'utilisation qu'ils feront des données PNR et les raisons pour lesquelles les compétences répressives existantes ne sont pas suffisantes; constate que, pour chaque usage spécifique, il y a lieu d'établir la base juridique appropriée.

Protection des données à caractère personnel

25.   souligne que l'adoption d'un cadre adéquat de protection des données au titre du troisième pilier est une condition préalable absolument nécessaire pour tout système européen d'utilisation des données des dossiers passagers, de même que des règles spécifiques pour le transfert et l'utilisation de données PNR qui n'entrent pas dans le cadre européen de la protection des données reposant sur les premier et troisième piliers; insiste sur la nécessité de préciser quelles règles de protection des données s'imposent aux unités de renseignements passagers et d'assurer la traçabilité de tout accès, transfert ou usage de données PNR;

26.   souligne que les données sensibles ne peuvent qu'être utilisées au cas par cas, dans le cadre d'une enquête ou d'une instruction régulièrement diligentées, et obtenues par un mandat; prend acte du fait que les compagnies aériennes craignent de ne pouvoir séparer les données sensibles des commentaires généraux; plaide dès lors pour la définition de conditions strictes pour le traitement de ces données par les unités de renseignements passagers, ainsi que l'a fait l'Agence des droits fondamentaux dans son avis.

Modalités d'application

27.   souligne, en ce qui concerne les périodes de conservation des données, que la Commission ne donne pas de justification à la période de rétention qu'elle propose; estime néanmoins, quand il s'agit de permettre l'élaboration d'indicateurs de risques et l'esquisse de schémas de déplacement et de comportement, que des données rendues anonymes devraient suffire; considère qu'il y a lieu, en cas d'extension du champ d'application du système PNR, de justifier les périodes de conservation des données pour chaque usage séparé;

28.   réaffirme que le transfert des données ne devrait s'appuyer que sur la méthode réactive (dite «push») et que les pays tiers ne devraient pas avoir d'accès direct aux données des dossiers passagers dans les systèmes de réservation de l'Union;

29.   se félicite, en ce qui concerne l'accès aux données PNR, que la proposition retienne que toutes les entités ayant accès à de telles données doivent figurer sur une liste exhaustive;

30.   souligne que les transferts ultérieurs de données vers des pays tiers ne sont autorisés que si un niveau suffisant de protection (précisé dans la directive 95/46/CE et dans les instruments juridiques instituant Europol et Eurojust) ou des garanties suffisantes sont assurés par les pays tiers concernés (conformément à la Convention 108) et qu'ils ne devraient avoir lieu qu'au cas par cas;

31.   répète que les passagers doivent être pleinement informés, d'une manière accessible, sur les modalités du système et sur leurs droits et que les autorités des États membres sont chargées de fournir ces informations; suggère de suivre l'exemple dans les aéroports de l'information pour «refus d'embarquement»; estime essentiel de définir un droit d'accès, de rectification et de recours pour les passagers;

32.   demande que soient établies des règles détaillées et harmonisées concernant la sécurité des données PNR, tant en termes de solutions informatiques que de règles d'autorisation et d'accès.

Conséquences pour les transporteurs

33.   observe que les transporteurs aériens collectent certaines données PNR à des fins commerciales et que ces données ne sont pas systématiquement réunies dans le but de remplir tous les champs des dossiers passagers; insiste sur le fait que les compagnies aériennes ne devraient pas être tenues de collecter de données supplémentaires par rapport à celles qu'elles collectent déjà à des fins commerciales; estime que les transporteurs aériens ne doivent pas être chargés de vérifier si les dossiers sont complets et exacts, ni aucunes sanctions appliquées en cas de données incomplètes ou incorrectes; demande une claire évaluation des coûts induits par l'établissement d'un système PNR de l'Union; estime que tous les coûts additionnels doivent être supportés par les parties demanderesses.

Intermédiaires/unités de renseignements passagers

34.   demande que soient clairement définis le rôle et les compétences des unités de renseignements passagers, en particulier en termes de transparence et de responsabilité démocratique, afin d'établir des règles appropriées de protection des données; demande instamment que leur rôle se limite au transfert de données aux autorités compétentes, afin d'assurer que les évaluations des risques ne soient effectuées que par des autorités compétente et dans le cadre d'une enquête; demande de préciser la loi qui régira l'évaluation des risques menée par l'unité de renseignements passagers ainsi que les compétences des autorités de protection des données lorsque les États membres coopèrent pour instituer une unité commune de renseignements passagers;

*

* *

35.   charge son Président de transmettre la présente résolution au Conseil, à la Commission, aux gouvernements et parlements des États membres, ainsi qu'au contrôleur européen de la protection des données, à l'Agence européenne des droits fondamentaux, au groupe de travail «article 29» et au groupe de travail sur la police et la justice.

---

(1)  JO C 61 E du 10.3.2004, p. 381; JO C 81 E du 31.3.2004, p. 105; JO C 103 E du 29.4.2004, p. 665; JO C 157 E du 6.7.2006, p. 464; JO C 305 E du 14.12.2006, p. 250; JO C 287 E du 29.11.2007, p. 349; JO C 175 E du 10.7.2008, p. 564; textes adoptés du 22.10.2008, P6_TA(2008)0512.

(2)  JO L 204 du 4.8.2007, p. 18.

(3)  JO L 82 du 21.3.2006, p. 15.

(4)  JO L 213 du 8.8.2008, p. 49.

(5)  JO L 281 du 23.11.1995, p. 31.

(6)  JO L 261 du 6.8.2004, p. 24.

(7)  JO L 355 du 30.12.2002, p. 1.

(8)  Voir notamment l'avis du service juridique du Conseil sur la question et les conclusions récentes de l'avocat général, rendues le 14 octobre 2008, dans l'affaire C-301/06 Irlande contre Parlement européen et Conseil de l'Union européenne sur la directive 2006/24/CE relative à la conservation de données.

(9)  Rapport CRS pour le Congrès américain: «Data Mining and Homeland Security: An Overview» par Jeffrey Seifert; «Effective Counter-terrorism and the Limited Role of Predicative Data Mining» par le CATO Institute; «Protecting Individual Privacy in the Struggle Against Terrorists: A Framework for Program Assessment»; «No dream ticket to security» par Frank Kuipers, institut Clingendael, août 2008.

---