EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52011XX1105(01)

Avis du Contrôleur européen de la protection des données sur la proposition de décision du Conseil relative à la conclusion de l’accord entre l’Union européenne et l’Australie sur le traitement et le transfert de données des dossiers passagers (données PNR) par les transporteurs aériens au service australien des douanes et de la protection des frontières

OJ C 322, 5.11.2011, p. 1–6 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

5.11.2011   

FR

Journal officiel de l'Union européenne

C 322/1


Avis du Contrôleur européen de la protection des données sur la proposition de décision du Conseil relative à la conclusion de l’accord entre l’Union européenne et l’Australie sur le traitement et le transfert de données des dossiers passagers (données PNR) par les transporteurs aériens au service australien des douanes et de la protection des frontières

2011/C 322/01

LE CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16,

vu la Charte des droits fondamentaux de l’Union européenne, et notamment ses articles 7 et 8,

vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (1),

vu l’article 41 du règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (2),

A ADOPTÉ LE PRÉSENT AVIS:

1.   INTRODUCTION

1.1.   Consultation du CEPD

1.

Le 19 mai 2011, la Commission a adopté une proposition en vue de la conclusion d’un accord entre l’Union européenne et l’Australie sur le traitement et le transfert de données des dossiers passagers (données PNR) par les transporteurs aériens au service australien des douanes et de la protection des frontières (3). La proposition a été envoyée au CEPD le 23 mai.

2.

Le CEPD a été consulté de manière informelle courant mai 2011, dans le contexte d’une procédure accélérée, sur la proposition relative à un accord entre l’Union européenne et l’Australie sur le traitement et le transfert des données PNR.

3.

Étant donné que ses observations restent valides quant au fond de la proposition adoptée par la Commission et soumise au Conseil et au Parlement, le CEPD a décidé d’assurer une diffusion plus large de ses observations en adoptant un avis accessible au public. De cette manière, ses observations pourront être prises en compte lors des discussions ultérieures de la proposition.

4.

Le CEPD profite de l’occasion pour évoquer d’autres questions et invite le Conseil et le Parlement à tenir compte de ces considérations lors de l’adoption de la proposition en vertu de l’article 218 TFUE.

1.2.   Contexte de la proposition

5.

L’accord entre l’UE et l’Australie sur les données PNR constitue une nouvelle étape du programme de l’UE, qui comprend des lignes directrices globales en matière de PNR, la mise en place d’un système PNR pour l’UE et la négociation d’accords avec des pays tiers (4).

6.

Le CEPD a suivi de près les évolutions en matière de PNR et a récemment adopté deux avis sur le «paquet PNR» de la Commission et sur la proposition d’une directive relative à un système PNR européen (5). Les opinions exprimées par le CEPD sur les systèmes PNR complètent celles du groupe de travail institué par l’article 29 (6), mais aussi celles exprimées dans d’autres documents récents, notamment l’avis du Comité économique et social (7) et l’avis de l’Agence des droits fondamentaux, et sont dans une large mesure en accord avec elles (8).

7.

Comme exposé ci-dessous, l’approche cohérente du CEPD a toujours été de confronter la finalité des systèmes PNR aux exigences fondamentales de nécessité et de proportionnalité et d’analyser dans un deuxième temps les dispositions en détail afin de suggérer, au besoin, des améliorations.

1.3.   Observations préliminaires

8.

Le CEPD salue l’approche générale qui vise à harmoniser les garanties en matière de protection des données dans les divers accords PNR conclus avec des pays tiers. Certaines observations doivent cependant être formulées.

9.

Une observation constante, réitérée dans les avis du CEPD et du groupe de travail «Article 29», s’applique également à la proposition relative au système PNR australien: la nécessité et la proportionnalité des systèmes PNR doivent être démontrées.

10.

Ces deux exigences fondamentales sont des aspects essentiels de la législation relative à la protection des données, conformément aux articles 7 et 8 de la Charte des droits fondamentaux et à l’article 16 TFUE. L’UE doit veiller à ce que les exigences de la législation de l’UE en matière de protection des données soient respectées, y compris dans les cas où des données de citoyens européens sont traitées et transférées du territoire de l’UE à un pays tiers. Dans ces cas, la nécessité et la proportionnalité doivent être évaluées et établies, avant que tout accord puisse être signé. Outre les éléments à l’appui de la nécessité du système PNR, la proportionnalité impose un équilibre adéquat entre la finalité poursuivie et le traitement de volumes massifs de données se traduisant par une grave intrusion dans la vie privée des personnes.

11.

La finalité des systèmes PNR est de lutter contre le terrorisme et les formes graves de criminalité (transnationale) par la collecte de volumes massifs de données relatives à tous les passagers afin de procéder à une évaluation des risques présentés par ces passagers. Jusqu’à présent, le CEPD n’a pas trouvé d’éléments convaincants dans les justifications des systèmes PNR existants ou envisagés, comme le système PNR de l’UE, qu’il a analysé de manière détaillée dans son avis de mars 2011 (9).

12.

En outre, quand bien même la nécessité serait établie, le CEPD souligne que le critère de proportionnalité doit encore être satisfait. Il s’interroge sur l’équilibre entre le traitement de données à caractère personnel sur une grande échelle et la finalité poursuivie, notamment au regard de la grande diversité des infractions comprises dans le champ d’application du projet d’accord. Il tient compte du fait que d’autres instruments efficaces sont disponibles pour lutter contre le terrorisme et les formes graves de criminalité.

13.

Les observations spécifiques formulées ci-dessous ne préjugent pas de ces observations préliminaires fondamentales. Le CEPD se réjouit des dispositions qui prévoient des garanties spécifiques telles que la sécurité des données, l’exécution de sanctions et la supervision, ainsi que celles concernant les transferts ultérieurs. Dans le même temps, au-delà de la nécessité et de la proportionnalité du régime, il s’inquiète de la portée des définitions et des conditions de conservation des données.

2.   ANALYSE DE LA PROPOSITION

2.1.   Base juridique

14.

Le CEPD note que l’accord est basé sur l’article 82, paragraphe 1, point d), l’article 87, paragraphe 2, point a), et l’article 218, paragraphe 6, point a), du traité sur le fonctionnement de l’Union européenne. Il rappelle que les facteurs objectifs à prendre en compte pour choisir la base juridique comprennent notamment le but et le contenu de l’acte (10). Si l’examen d’un acte de l’UE démontre qu’il poursuit une double finalité ou qu’il a une double composante et si l’une de celles-ci est identifiable comme principale ou prépondérante, tandis que l’autre n’est qu’accessoire, l’acte doit être fondé sur une seule base juridique, à savoir celle exigée par la finalité ou composante principale ou prépondérante (11). À titre exceptionnel, s’il est établi que l’acte poursuit à la fois plusieurs objectifs, qui sont liés d’une façon indissociable, sans que l’un soit second et indirect par rapport à l’autre, un tel acte devra être fondé sur les différentes bases juridiques correspondantes (12).

15.

Eu égard à la jurisprudence constante, telle qu’évoquée succinctement, et abstraction faite de l’article 218, paragraphe 6, point a), le CEPD pense que l’accord ne doit pas reposer sur l’article 82, paragraphe 1, point d), ni sur l’article 87, paragraphe 2, point a), mais sur l’article 16 TFUE.

16.

En ce qui concerne la finalité, il convient de rappeler que les accords PNR négociés par l’UE trouvent tous leur origine dans la nécessité de concilier l’obligation des compagnies aériennes de fournir les données PNR aux autorités des pays tiers avec le droit fondamental à la protection des données (13). En outre, le texte de la proposition fait à maintes reprises référence à la finalité de la protection des données à caractère personnel (14).

17.

Quant au contenu, la prédominance des dispositions en matière de protection des données dans l’accord est l’évidence même. À l’exception des articles 3, 4 et 6, il semble que la protection des données imprègne la quasi-totalité des dispositions de l’accord. Cela apparaît de manière évidente à l’article premier (objet), à l’article 2 (définitions), à l’article 5 (caractère adéquat) et aux articles 7 à 19 (garanties applicables au traitement des données PNR).

18.

En ce qui concerne les dispositions relatives aux garanties (articles 7 à 19), il convient de noter qu’elles contiennent des dispositions typiques de la législation en matière de protection des données (15). Le fait qu’un acte contient des dispositions relevant typiquement d’un domaine particulier du droit a été considéré par la Cour comme un élément justifiant une base juridique particulière (16).

19.

En résumé, le CEPD considère que la finalité de l’accord est d’ordonner et d’autoriser un transfert de données à caractère personnel par des opérateurs privés à la demande d’un pays tiers plutôt que d’améliorer la coopération policière. Alors que ce transfert à un pays tiers ne serait en principe pas possible d’après les règles de l’UE, l’accord PNR vise à permettre le transfert de données à caractère personnel, conformément aux exigences de l’UE en matière de protection des données, par l’adoption de garanties spécifiques.

20.

Pour ces raisons, le CEPD pense que l’accord doit être basé sur l’article 16 TFUE — en tout cas, pour l’essentiel (17).

2.2.   Objet et définitions

21.

Le CEPD note que les finalités pour lesquelles les données PNR peuvent être traitées sont définies avec précision à l’article 3 de la proposition. Il regrette toutefois que les définitions actuelles soient plus larges que les définitions de la proposition de directive relative à un système PNR européen, qui devraient elles-mêmes être davantage restreintes, notamment en ce qui concerne les infractions mineures.

22.

Alors que dans la proposition relative à un système PNR européen, les définitions tiennent compte des conséquences des activités qualifiées de «terroristes», comme les dommages concrets occasionnés aux personnes ou aux gouvernements (décès, atteintes à l’intégrité physique, destruction d’un système de transport, d’infrastructures, etc.), la présente proposition est moins spécifique et moins axée sur les finalités lorsqu’elle évoque le fait d’intimider des personnes ou des gouvernements ou le fait de gravement déstabiliser les structures politiques ou économiques fondamentales.

23.

Le CEPD considère qu’une plus grande précision est nécessaire quant aux notions d’«intimidation», de «contrainte» et de «coercition», ainsi que de «structures fondamentales politiques, constitutionnelles, économiques ou (en particulier) sociales d’un pays ou d’une organisation internationale». Cela permettrait d’empêcher l’application du système PNR dans les situations qu’il ne doit en aucun cas viser, comme les activités légitimes (par exemple, les manifestations pacifiques) dans un contexte social, culturel ou politique (18).

24.

La possibilité de traiter des données dans d’autres cas exceptionnels soulève des questions supplémentaires, notamment dans la mesure où elle s’étend à la «menace pour la santé». Le CEPD considère qu’une telle extension de la finalité est disproportionnée, d’autant plus que d’autres procédures plus spécifiques sont disponibles pour faire face aux menaces graves pour la santé, au besoin au cas par cas. En outre, les données PNR ne constituent pas l’outil le plus approprié pour identifier des passagers: des données plus fiables existent, notamment les données API.

25.

Le CEPD note également que la liste des données PNR annexée à la proposition va au-delà de ce qui a été considéré comme proportionné par les autorités chargées de la protection des données dans les avis du groupe de travail «Article 29» (19). Cette liste doit être réduite. L’inclusion du champ «Remarques générales», susceptible de contenir des données non pertinentes — et potentiellement sensibles —, ne se justifie pas. Ce champ doit donc être supprimé.

2.3.   Données sensibles

26.

Le CEPD se réjouit que le traitement des données sensibles ait été exclu du champ d’application, ainsi que l’article 8 de la proposition l’énonce. Toutefois, le libellé de cette disposition porte encore à croire que les données sensibles peuvent être «traitées». La disposition permet que ces données soient envoyées dans un premier temps par les compagnies aériennes, puis supprimées dans un second temps par les autorités publiques. L’envoi par les compagnies aériennes constitue un acte de traitement. Le CEPD considère que les compagnies aériennes doivent être obligées de filtrer les données sensibles à la source du traitement.

2.4.   Sécurité des données

27.

La proposition comprend, à l’article 9, une disposition détaillée sur la sécurité et l’intégrité des données, considérée comme opportune. Le CEPD soutient en particulier l’obligation de signaler les violations de la sécurité au service du commissaire australien à l’information. En ce qui concerne le transfert ultérieur d’informations à la Commission européenne, des précisions supplémentaires sont nécessaires sur la procédure à suivre. En outre, le CEPD considère que les autorités chargées de la protection des données sont également des destinataires valables de ce genre d’informations et qu’elles doivent être explicitement mentionnées dans la proposition.

2.5.   Contrôle et exécution des décisions

28.

Le système de contrôle, qui comprend des mesures de supervision et d’établissement des responsabilités et insiste sur l’absence de discriminations fondées sur la nationalité ou le lieu de résidence, doit être accueilli favorablement. Le CEPD soutient aussi fortement le droit fondamental de chaque personne aux voies de recours administratives et à une protection judiciaire effective. Il considère le rôle du service du commissaire australien à l’information comme une garantie importante pour ce qui est des possibilités de recours et de l’exercice des droits des personnes concernées.

2.6.   Décisions individuelles automatisées

29.

D’après l’article 15, interprété a contrario, une décision automatisée n’affectant pas «de manière significative un passager» ou ne produisant pas «des effets juridiques défavorables pour cette personne» peut être prise sur la base du traitement automatisé de données. Les garanties ne s’appliquent que si la décision affecterait de manière significative le passager. Vu la large portée du traitement automatisé de données à caractère personnel envisagé dans le système PNR, cette restriction est sujette à caution aux yeux du CEPD. Pour éviter toute interprétation flexible de cette disposition, le CEPD recommande de supprimer les termes «de manière significative» et de veiller à n’autoriser absolument aucune décision automatisée produisant des effets défavorables pour une personne.

2.7.   Conservation des données

30.

Le CEPD considère la durée de la période de conservation des données telle que prévue à l’article 16 comme une des difficultés majeures de la proposition. Une période de conservation de cinq ans et demi, en ce compris trois années sans le moindre masquage des données, est manifestement disproportionnée, surtout si l’on compare cette période de conservation avec le système PNR australien précédent, qui ne prévoyait pas le stockage de données, si ce n’est au cas par cas (20). Une justification détaillée doit être fournie pour expliquer la raison pour laquelle une longue période de conservation, qui n’avait pas été jugée nécessaire dans le premier système PNR australien, est à présent prévue.

31.

Dans le droit fil de la position défendue dans son avis sur la proposition de directive relative à un système PNR européen, le CEPD considère que l’anonymisation complète (c’est-à-dire irréversible) de toutes les données doit être effectuée, si pas immédiatement après l’analyse, à tout le moins dans un délai maximal de 30 jours.

2.8.   Transferts ultérieurs

32.

Les garanties prévues aux articles 18 et 19 doivent être accueillies favorablement, notamment parce qu’elles prévoient une liste de destinataires des données transférées à l’intérieur de l’Australie, un transfert au cas par cas et une évaluation de la nécessité du transfert dans chaque cas. Le CEPD observe toutefois que cette disposition peut être contournée par l’exception visée à l’article 18, paragraphe 1, point c), qui autorise le partage de données dépersonnalisées même autrement qu’au cas par cas. La dépersonnalisation n’implique toutefois pas de supprimer des éléments permettant l’identification, mais uniquement de les masquer, un plein accès aux données restant possible. Aussi le CEPD recommande-t-il de n’autoriser aucune exception au principe des transferts «au cas par cas». En guise de garantie supplémentaire, le CEPD suggère de limiter les transferts aux autorités «dont la mission est de combattre le terrorisme ou la criminalité transnationale», plutôt qu’aux autorités dont les fonctions sont «directement liées à la prévention de (cette) criminalité».

33.

Le CEPD soutient le fait que les transferts aux pays tiers sont soumis à la condition qu’ils fournissent les «mêmes» garanties que l’accord original. Étant donné que les transferts ultérieurs impliquent néanmoins une perte de contrôle sur la manière dont les données peuvent être traitées, et en l’absence d’un accord international garantissant l’application effective des garanties par ces nouveaux destinataires, le CEPD suggère en outre de soumettre ces transferts à une autorisation judiciaire préalable.

34.

La proposition prévoit que lorsque les données d’un résident d’un État membre de l’UE sont transférées à un pays tiers, l’État membre concerné doit être informé si le service australien des douanes et de protection des frontières est au fait de cette situation [article 19, paragraphe 1, point f)]. Le CEPD considère qu’il y a lieu d’inclure de plus amples précisions expliquant la finalité de cette transmission à un État membre. Si cette transmission d’informations devait avoir une incidence sur la personne concernée, une justification et des garanties supplémentaires devraient être incluses.

35.

Enfin, en ce qui concerne les transferts à l’intérieur de l’Australie et vers les pays tiers, les articles 18 et 19 contiennent l’un et l’autre une disposition générale d’après laquelle rien ne doit empêcher la divulgation de données PNR lorsqu’elle est nécessaire à la finalité de l’article 3, paragraphe 4 (21), autrement dit, en cas de circonstances exceptionnelles afin de protéger les intérêts vitaux de toute personne, comme en cas de menace pour la santé. Le CEPD a déjà évoqué le risque présenté par une large interprétation de cette exception. En outre, il ne voit pas pourquoi tout transfert effectué dans des circonstances exceptionnelles ne devrait pas être soumis aux garanties prévues aux articles 18 et 19, notamment pour ce qui est de la limitation des finalités ou de la minimisation des données, ainsi que de la protection de l’identité des destinataires et du niveau de protection offert aux données à caractère personnel.

2.9.   Transferts par les compagnies aériennes

36.

En vertu de l’article 21, paragraphe 3, les transferts de données PNR aux autorités peuvent avoir lieu plus de cinq fois par vol dans des circonstances exceptionnelles, en cas de menace spécifique. Pour renforcer la sécurité juridique, les conditions de ces transferts supplémentaires doivent être explicitées davantage et inclure notamment la condition supplémentaire d’une menace immédiate.

2.10.   Examen de l’accord

37.

Le CEPD considère que les conditions d’examen doivent être davantage précisées à plusieurs égards. La fréquence des examens après l’examen initial doit être indiquée. En outre, les autorités chargées de la protection des données doivent être explicitement incluses dans l’équipe d’examen, et non simplement de manière conditionnelle.

38.

Le CEPD suggère que l’examen se concentre aussi sur l’évaluation de la nécessité et de la proportionnalité des mesures, en collectant des données statistiques sur le nombre de personnes affectées et effectivement condamnées sur la base des données PNR, et sur l’exercice effectif des droits des personnes concernées. L’évaluation doit aussi consister à vérifier la manière dont les demandes des personnes concernées sont traitées dans la pratique, en particulier lorsqu’aucun accès direct ne leur a été octroyé.

3.   CONCLUSION

39.

Le CEPD salue les garanties prévues dans les propositions, notamment en ce qui concerne la mise en œuvre concrète de l’accord. Ainsi, les dispositions relatives aux aspects liés à la sécurité des données, à la supervision et à l’exécution des décisions sont développées d’une manière satisfaisante. Le CEPD souligne que toute personne a accès à l’autorité australienne chargée de la protection des données ainsi qu’aux autorités judiciaires australiennes. Telles sont quelques-unes des garanties essentielles prévues par les propositions.

40.

Le CEPD a toutefois mis en évidence une importante marge d’amélioration, notamment en ce qui concerne le champ d’application de l’accord, la définition du terrorisme et l’inclusion de finalités exceptionnelles, ainsi que la période de conservation des données PNR. Par comparaison au système PNR australien précédent et à la proposition relative au système PNR européen, cette période de conservation est disproportionnée.

41.

La base juridique de l’accord doit être reconsidérée. Eu égard à la jurisprudence constante, et abstraction faite de l’article 218, paragraphe 6, point a), le CEPD pense que l’accord doit être basé sur l’article 16 TFUE — en tout cas, pour l’essentiel — et non sur l’article 82, paragraphe 1, point d), ou sur l’article 87, paragraphe 2, point a), TFUE. Cela est entièrement conforme à la déclaration 21 annexée au traité de Lisbonne.

42.

Ces observations doivent être lues dans le contexte plus large de la légitimité de tout système PNR, considéré comme la collecte systématique des données des passagers à des fins d’évaluation des risques. Ce n’est que si le système respecte les exigences fondamentales de nécessité et de proportionnalité visées aux articles 7 et 8 de la Charte des droits fondamentaux et à l’article 16 TFUE qu’une proposition pourra satisfaire aux autres exigences du cadre de protection des données.

43.

Le CEPD conclut dès lors aussi qu’une plus grande attention doit être accordée à ces exigences fondamentales lors des évaluations finales qui précéderont la conclusion de l’accord.

Fait à Bruxelles, le 15 juillet 2011.

Peter HUSTINX

Contrôleur européen de la protection des données


(1)  JO L 281 du 23.11.1995, p. 31.

(2)  JO L 8 du 12.1.2001, p. 1.

(3)  COM(2011) 281 final.

(4)  Voir en particulier la communication de la Commission du 21 septembre 2010 relative à la démarche globale en matière de transfert des données des dossiers passagers (PNR) aux pays tiers, COM(2010) 492 final.

(5)  Ces deux avis sont disponibles à la page suivante: http://www.edps.europa.eu/EDPSWEB/edps/cache/off/Consultation

Avis du CEPD du 25 mars 2011 sur la proposition de directive du Parlement européen et du Conseil relative à l’utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière;

Avis du CEPD du 19 octobre 2010 sur la démarche globale en matière de transfert des données des dossiers passagers (PNR) aux pays tiers.

(6)  Avis 10/2011 du groupe de travail «Article 29» du 5 avril 2011 sur la proposition de directive du Parlement européen et du Conseil relative à l’utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière:

http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/2011_fr.htm

(7)  Avis du Comité économique et social européen du 5 mai 2011 sur la proposition de directive du Parlement européen et du Conseil relative à l’utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière [COM(2011) 32 final].

(8)  Avis de l’Agence des droits fondamentaux de l’Union européenne du 14 juin 2011 sur la proposition de directive du Parlement européen et du Conseil relative à l’utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière [COM(2011) 32 final].

(9)  Avis du CEPD du 25 mars 2011 sur la proposition de directive du Parlement européen et du Conseil relative à l’utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière; voir aussi l’avis susmentionné du groupe de travail «Article 29».

(10)  Affaire C-491/01, British American Tobacco, en particulier les points 92 et 93.

(11)  Affaire C-42/97, Parlement contre Conseil, points 39 et 40.

(12)  Voir à cet égard l’affaire C-491/01, British American Tobacco, points 92 et 93, et l’affaire C-42/97, Parlement contre Conseil, point 38.

(13)  La Cour l’a reconnu dans l’exposé des faits des arrêts rendus en matière de PNR, affaires jointes C-317/04 et C-318/04, point 33.

(14)  

L’exposé des motifs reconnaît que la législation de l’UE en matière de protection des données ne permet pas aux transporteurs de transmettre les données PNR aux pays n’offrant pas un niveau adéquat de protection. Par conséquent, «il est indispensable de trouver une solution qui fournira la base juridique sur laquelle les données PNR pourront être transférées […] afin de garantir […] le respect du droit des personnes à la protection de leurs données à caractère personnel […]».

L’objectif visant à garantir le respect de la protection des données à caractère personnel se détache aussi très clairement du préambule, en l’occurrence du considérant citant l’article 6 TUE, l’article 16 TFUE, l’article 8 CEDH, la convention 108, etc.

Le préambule cite également les dispositions relatives à la protection des données de la législation australienne, en reconnaissant qu’elles prévoient la protection des données, les droits d’accès et de recours, les droits à la rectification et à l’annotation ainsi que les voies de recours et sanctions en cas d’utilisation abusive des données à caractère personnel.

L’article premier de l’accord — intitulé «Objet de l’accord» — énonce que l’accord prévoit le transfert de données PNR. Il ajoute que l’accord «définit les conditions auxquelles ces données peuvent être transférées et utilisées et la manière dont elles doivent être protégées» (italiques ajoutés).

(15)  Telles que des dispositions concernant les données sensibles, la sécurité des données, la responsabilité, la transparence, les droits d’accès, de rectification et d’effacement, le droit de recours, le traitement automatisé, etc.

(16)  Avis 2/2000, protocole de Cartagena, point 33.

(17)  À cet égard, il conviendrait également de faire référence à la déclaration 21 «sur la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière», annexée au traité de Lisbonne. Le libellé sans ambiguïté de la déclaration 21 confirme que, même dans les cas présentant certains éléments de coopération policière, un instrument de protection des données dans ce domaine doit quand même reposer sur l’article 16 TFUE (et, le cas échéant, sur d’autres dispositions). Cette analyse ne préjuge en aucune manière de la division des tâches au sein de la Commission européenne.

(18)  À cet égard, le droit fondamental à la liberté de réunion (article 12 de la Charte des droits fondamentaux), par exemple, ne devrait pas être affecté par un libellé trop large.

(19)  Avis du 23 juin 2003 sur le niveau de protection assuré aux États-Unis pour la transmission des données passagers, WP78.

(20)  Voir à cet égard l’avis positif du groupe de travail «Article 29»: avis 1/2004 du 16 janvier 2004 sur le niveau de protection assuré en Australie à la transmission de données des dossiers passagers par les compagnies aériennes, WP85. L’avis tient compte du fait que «la politique générale appliquée par les douanes consiste donc à ne pas garder ces données. Dans le cas des 0,05 % à 0,1 % de passagers signalés aux douanes pour une évaluation complémentaire, les données PNR des compagnies aériennes sont temporairement conservées — mais pas stockées — en attendant l’issue de l’évaluation à la frontière. Après celle-ci, les données PNR sont effacées du PC du fonctionnaire de la PAU concerné et ne sont pas introduites dans des bases de données australiennes».

(21)  Ainsi qu’à la finalité de l’article 10 lorsque les données sont transférées à l’intérieur de l’Australie.


Top