9.2.2012   

FR

Journal officiel de l'Union européenne

C 35/16

1.

Le 28 novembre 2011, la Commission a adopté une proposition de décision du Conseil relative à la conclusion de l’accord entre les États-Unis d’Amérique et l’Union européenne sur l’utilisation et le transfert des données des dossiers passagers (données PNR) au ministère américain de la sécurité intérieure (3), (ci-après: «l’accord»).

2.

Le 9 novembre 2011, le CEPD a été consulté de manière informelle sur le projet de proposition, dans le cadre d’une procédure accélérée. Le 11 novembre 2011, il a émis un certain nombre d’observations restreintes. L’objectif du présent avis est de compléter ces observations à la lumière de la présente proposition et de rendre ses considérations publiques. Le présent avis s’inscrit aussi dans la suite des interventions précédentes du CEPD et du groupe de travail «Article 29» sur les données PNR.

3.

L’accord vise à fournir une base juridique solide pour le transfert des données PNR de l’Union européenne aux États-Unis. Actuellement, les transferts de données PNR s’opèrent sur la base de l’accord de 2007 (4) du fait que le Parlement a décidé de reporter le vote sur la demande d’approbation jusqu’à ce que ses préoccupations concernant la protection des données soient respectées. En particulier, dans sa résolution du 5 mai 2010 (5), le Parlement a fait référence aux exigences suivantes:

4.

Le présent accord doit être considéré dans le cadre de l’approche globale des données PNR, ce qui inclut des négociations avec d’autres pays tiers (à savoir l’Australie (8) et le Canada (9)), et une proposition de système PNR au niveau de l’Union européenne (10). Il entre aussi dans le cadre des négociations actuelles visant à conclure un accord entre l’UE et les États-Unis relatif à l’échange de données à caractère personnel dans le cadre de la coopération policière et de la coopération judiciaire en matière pénale (11). Dans un cadre plus large, l’accord a été paraphé quelques semaines avant l’adoption attendue des propositions d’examen du cadre général de protection des données (12).

5.

Le CEPD se réjouit de cette approche globale visant à fournir un cadre juridique cohérent pour les accords sur les données PNR et correspondant aux exigences juridiques de l’UE. Cependant, il regrette que le calendrier choisi ne permette pas en pratique d’assurer la cohérence de ces accords avec les nouvelles règles de l’UE en matière de protection des données. Il souhaiterait aussi rappeler que l’accord général entre l’UE et les États-Unis concernant les échanges de données devrait s’appliquer à l’accord UE-États-Unis relatif aux données PNR.

6.

Selon la Charte des droits fondamentaux de l’Union européenne, toute limitation des droits fondamentaux et des libertés ne peut être apportée que si elle est nécessaire, respecte le principe de proportionnalité et est prévue par la loi. Comme le CEPD (13) et le groupe de travail «Article 29» (14) l’ont déclaré à plusieurs reprises, la nécessité et la proportionnalité des systèmes PNR et des transferts en masse de données PNR vers des pays tiers n’ont pas été démontrées jusqu’à présent. Le Comité économique et social européen et l’Agence européenne des droits fondamentaux partagent aussi ce point de vue (15). Les remarques particulières formulées ci-dessous sont sans préjudice de cette observation préliminaire fondamentale.

7.

Bien que le présent accord comporte quelques améliorations par comparaison avec l’accord de 2007 et comprenne des dispositifs de protection adéquats en termes de sécurité et de supervision des données, il apparaît qu’aucune des principales préoccupations exprimées dans les avis précités ni des conditions requises par le Parlement européen pour donner son consentement n’a été respectée (16).

8.

L’article 4, paragraphe 1, de l’accord dispose que les États-Unis traitent les dossiers passagers à des fins de prévention et de détection, ainsi que d’enquêtes et de poursuites a) des infractions terroristes et des infractions pénales qui y sont liées, et b) des infractions passibles d’une peine d’emprisonnement d’au moins trois années et de nature transnationale. Certains de ces concepts sont définis plus loin.

9.

Bien que ces définitions soient plus précises que celles de l’accord de 2007, il subsiste des concepts vagues et des exceptions qui pourraient passer outre la limitation de la finalité et miner la sécurité juridique. En particulier:

10.

L’annexe I de l’accord contient 19 types de données qui seront envoyées aux États-Unis. La plupart d’entre elles comportent aussi différentes catégories de données et sont identiques aux champs de données de l’accord de 2007 qui étaient déjà considérées disproportionnées par le CEPD et le groupe de travail «Article 29» (18).

11.

Cette considération se rapporte en particulier au champ «Remarques générales, y compris les données OSI (19), SSI (20) et SSR (21)», qui peut révéler des données liées aux convictions religieuses (par exemple des habitudes alimentaires) ou à la santé (par exemple demande de fauteuil roulant). Ces données sensibles devraient être explicitement exclues de la liste.

12.

Dans le cadre de l’évaluation de la proportionnalité de la liste, il conviendrait également de tenir compte du fait que, en raison de la transmission anticipée des données (article 15, paragraphe 3, de l’accord), ces catégories se rapporteront non seulement aux passagers effectifs mais aussi aux personnes qui, en fin de compte, ne prendront pas l’avion (par exemple en raison d’annulations).

13.

En outre, la présence de champs de données ouverts pourrait diminuer la sécurité juridique. Des catégories comme «toutes les coordonnées disponibles», «toutes les informations relatives aux bagages» et «remarques générales» devraient être mieux définies.

14.

En conséquence, la liste devrait être restreinte. Conformément à l’avis du groupe de travail «Article 29» (22), nous considérons que les données devraient être limitées aux informations suivantes: «PNR record locator code», date de réservation, date(s) prévue(s) du voyage, nom du passager, autres noms présents dans le PNR, l'itinéraire de voyage, identifiants de billets gratuits, billets aller simple, «ticketing field information», données «ATFQ (Automatic Ticket Fare Quote)», numéro de billet, date à laquelle le billet a été délivré, «no show history», nombre de bagages, numéros des étiquettes de bagages, «go show information», nombre de bagages sur chaque segment, changements de classe volontaires ou involontaires, détail des changements effectués sur les données PNR et concernant les éléments mentionnés précédemment.

15.

L’article 6 de l’accord établit que le DHS doit filtrer automatiquement et «masquer» les données sensibles. Cependant, les données sensibles seront stockées pendant au moins 30 jours et pourraient être utilisées dans des cas particuliers (article 6, paragraphe 4). Le CEPD souhaite souligner que même après avoir été «masquées», ces données demeureront «sensibles» et concerneront des personnes physiques identifiables.

16.

Comme le CEPD l’a déjà déclaré, le DHS ne devrait pas traiter les données sensibles concernant les citoyens de l’Union européenne, même si elles sont «masquées» dès leur réception. Le CEPD recommande de préciser dans le texte de l’accord que les transporteurs aériens ne devraient pas transférer au DHS les données sensibles.

17.

L’article 8 établit que les données PNR seront conservées dans une base de données active pendant une période pouvant durer cinq ans, puis transférées vers une base de données dormante pendant une période pouvant durer dix ans. Cette période maximale de conservation de 15 ans est, de toute évidence, disproportionnée, que les données soient conservées dans des bases de données «actives» ou «dormantes», comme l’ont souligné précédemment le CEPD et le groupe de travail «Article 29».

18.

L’article 8, paragraphe 1, précise que les données seront «dépersonnalisées et masquées» six mois après leur réception par le DHS. Cependant, les données des deux types, tant celles «masquées» que celles conservées dans une «base de données dormante», sont des données à caractère personnel tant qu’elles ne sont pas rendues anonymes. Ces données devraient donc être rendues anonymes (de manière irréversible) ou immédiatement effacées après analyse ou après une période maximale de 6 mois.

19.

Le CEPD accueille favorablement l’article 15, paragraphe 1, qui établit que les données seront transférées en utilisant la méthode «push». Cependant, l’article 15, paragraphe 5, exige des transporteurs de «fournir un accès» aux données PNR dans des circonstances exceptionnelles. Afin d’écarter définitivement l’utilisation du système «pull» et au vu des préoccupations encore récemment soulignées par le groupe de travail «Article 29» (23), nous conseillons fortement que l’accord exclue expressément la possibilité que les autorités américaines aient accès directement aux données par le biais d’un système «pull».

20.

Le nombre et la périodicité des transferts des transporteurs aériens au DHS devraient être définis dans l’accord. Afin d’accroître la sécurité juridique, les conditions dans lesquelles des transferts ultérieurs seraient permis devraient aussi être plus précises.

21.

Le CEPD approuve l’article 5 de l’accord sur la sécurité et l’intégrité des données et, en particulier, l’obligation d’informer les personnes concernées en cas d’incident portant atteinte au respect de la vie privée. Cependant, les éléments suivants de la notification d’atteinte à la protection des données devraient être précisés:

22.

Le CEPD est favorable à l’obligation de journaliser ou de garder une trace documentaire de tout accès et traitement des dossiers passagers car cela permettra de vérifier si le DHS a fait un usage approprié des données PNR et s’il y a eu des accès non autorisés au système.

23.

Le CEPD se félicite du fait que le respect des garanties en matière de protection de la vie privée prévues dans l’accord soit soumis à un examen et à un contrôle indépendants effectués par des fonctionnaires ministériels chargés des questions de respect de la vie privée (Department Privacy Officers), notamment le haut responsable de la protection de la vie privée (Chief Privacy Officer) au DHS, comme indiqué à l’article 14, paragraphe 1. Cependant, afin d’assurer l’exercice effectif des droits des personnes concernées, le CEPD et les autorités nationales chargées de la protection des données devraient travailler avec le DHS sur les procédures et les modalités d’exercice de ces droits (24). Le CEPD souhaiterait qu’il soit fait référence à cette coopération dans l’accord.

24.

Le CEPD soutient fortement le droit de recours de toute personne «indépendamment de sa nationalité, de son pays d’origine ou de son lieu de résidence», énoncé à l’article 14, paragraphe 1, deuxième alinéa. Il regrette cependant que l’article 21 mentionne explicitement que l’accord «ne crée ni ne confère, en vertu du droit des États-Unis, aucun droit ou avantage sur toute autre personne ou entité». Même si un droit à un «contrôle juridictionnel» est accordé aux États-Unis aux termes de l’accord, ce droit peut ne pas être équivalent au droit de recours effectif dans l’Union européenne, en particulier à la lumière de la restriction énoncée à l’article 21.

25.

L’article 16 de l’accord interdit le transfert des données aux autorités nationales qui n’appliquent pas aux dossiers passagers des garanties «équivalentes ou comparables» à celles fixées dans le présent accord. Le CEPD accueille favorablement cette disposition. La liste des autorités qui pourraient recevoir des données PNR devrait cependant être plus détaillée. Pour ce qui est des transferts internationaux, l’accord prévoit qu’ils ne devraient avoir lieu que si l’utilisation prévue par le destinataire est conforme à cet accord et présente des garanties en matière de respect de la vie privée «comparables» à celles prévues dans l’accord, en dehors des situations d’urgence.

26.

En ce qui concerne les mots «comparable» ou «équivalent» utilisés dans l’accord, le CEPD voudrait souligner que le DHS ne devrait effectuer aucun transfert ultérieur, tant national qu’international, à moins que le destinataire ne donne des garanties qui ne soient pas moins strictes que celles énoncées dans le présent accord. Il conviendrait également de préciser dans l’accord que le transfert de données PNR doit se faire au cas par cas, en s’assurant que seules les données nécessaires seront transférées aux destinataires compétents, et qu’aucune exception ne doit être permise. Le CEPD recommande en outre que les transferts de données à des pays tiers soient soumis à une autorisation judiciaire préalable.

27.

L’article 17, paragraphe 4 énonce que, lorsque les données à caractère personnel d’un résident d’un État membre de l’Union européenne sont transférées à un pays tiers, les autorités compétentes de l’État membre concerné doivent être informées dans les cas où le DHS est au courant de cette situation. Cette condition doit être supprimée car le DHS devrait toujours être informé du transfert ultérieur de données à des pays tiers.

28.

Les points suivants devraient être précisés: quelle est la forme juridique choisie par les États-Unis pour conclure cet accord et comment cet accord sera-t-il juridiquement contraignant aux États-Unis?

29.

L’article 20, paragraphe 2 traite de la cohérence avec l’éventuel système PNR de l’Union européenne. Le CEPD remarque que les consultations sur les modifications à apporter à cet accord doivent en particulier examiner «si un éventuel futur système de dossiers passagers de l’UE appliquerait des critères de protection des données moins stricts que ceux prévus dans le présent accord». Afin de garantir une cohérence, toute modification devrait aussi (et particulièrement) prendre en compte des garanties plus fortes dans un futur système PNR.

30.

L’accord devrait également faire l’objet d’un réexamen au vu du nouveau cadre de protection des données et de la conclusion possible d’un accord général entre l’Union européenne et les États-Unis sur l’échange de données à caractère personnel dans le cadre de la coopération policière et de la coopération judiciaire en matière pénale. Une nouvelle disposition similaire à l’article 20, paragraphe 2 pourrait être ajoutée, énonçant que «si et lorsque un nouveau cadre juridique de la protection des données est adopté dans l’Union européenne ou qu’un nouvel accord est conclu entre l’UE et les États-Unis sur l’échange de données, les parties se consulteront pour déterminer si l’accord actuel a besoin d’être modifié en conséquence. Ces consultations ont notamment pour but d’examiner si une modification future du cadre juridique européen de la protection des données ou un accord futur entre l’UE et les États-Unis sur la protection des données appliquerait des critères de protection des données plus stricts que ceux prévus dans le présent accord».

31.

En ce qui concerne l’examen de l’accord (article 23), le CEPD considère que les autorités nationales chargées de la protection des données devraient être explicitement incluses dans l’équipe d’examen. L’examen devrait aussi se focaliser sur l’évaluation de la nécessité et de la proportionnalité des mesures, sur l’exercice effectif des droits des personnes concernées et inclure la vérification de la manière dont les demandes de ces dernières sont traitées en pratique, particulièrement lorsqu’aucun accès direct n’est autorisé. La fréquence des examens devrait être spécifiée.

32.

Le CEPD accueille favorablement les garanties quant à la sécurité et au contrôle des données prévues dans l’accord et les améliorations par rapport à l’accord de 2007. Cependant, de nombreuses préoccupations demeurent, particulièrement en ce qui concerne la cohérence de l’approche globale de la question des données PNR, la limitation de la finalité, les catégories de données à transférer au DHS, le traitement des données sensibles, la période de conservation, les exceptions à la méthode «push», les droits des personnes concernées et les transferts ultérieurs.

33.

Les présentes observations sont faites sans préjudice des exigences en matière de nécessité et de proportionnalité pour un système et accord PNR légitime prévoyant le transfert massif de données PNR depuis l’Union européenne à destination de pays tiers. Comme le Parlement européen l’a réaffirmé dans sa résolution du 5 mai, «les principes de nécessité et de proportionnalité sont essentiels pour mener une lutte efficace contre le terrorisme».