30.12.2010   

FR

Journal officiel de l'Union européenne

C 357/7

1.

Le 21 septembre 2010, la Commission a adopté une communication relative à la démarche globale en matière de transferts des données des dossiers passagers (PNR) aux pays tiers (3). La communication a été transmise au CEPD le même jour en vue d’une consultation.

2.

Le CEPD se réjouit d’avoir été consulté par la Commission. Avant même l’adoption de la communication, le CEPD a eu l’occasion de formuler des observations informelles. Certaines d’entre elles ont été prises en compte dans la version finale du document, tandis que d’autres points continuent à poser problème au regard de la protection des données.

3.

L’approche globale des questions relatives au PNR présentée par la Commission dans sa communication vise à fournir un cadre cohérent pour le transfert des données PNR aux pays tiers. Outre la nécessité de sécurité juridique exposée dans la communication, cette approche harmonisée a aussi reçu un important soutien du Parlement européen, qui est investi, dans le nouveau cadre institutionnel, du pouvoir de ratifier les accords PNR avec les pays tiers (4).

4.

La communication est assortie de recommandations en vue de la négociation d’accords PNR avec certains pays tiers. L’accès à ces recommandations étant limité, elles ne sont pas analysées dans le présent avis. La relation entre la communication générale et les recommandations est toutefois commentée au chapitre II.

5.

En plus de l’approche globale en matière de transferts de données PNR aux pays tiers, la Commission établit également une approche révisée en matière de PNR pour l’UE. Une proposition de cadre pour l’UE a déjà fait l’objet d’intenses discussions au sein du Conseil au titre de l’ancien troisième pilier avant l’entrée en vigueur du traité de Lisbonne (5). Ces discussions n’ont pas donné lieu à un consensus sur un certain nombre d’éléments essentiels du système PNR, comme l’utilisation de la base de données créée dans le cadre de ce système. Le programme de Stockholm a alors appelé la Commission à présenter une nouvelle proposition, sans toutefois aborder ses éléments essentiels. Un projet de directive relative à un régime PNR de l’UE est attendu pour le début de l’année 2011.

6.

Le présent avis porte sur la communication de la Commission. La première partie analyse la communication à la lumière des évolutions actuelles dans le domaine de la protection des données, la deuxième partie aborde la légitimité du régime PNR et la troisième se concentre sur des questions plus spécifiques de protection des données soulevées dans la communication.

7.

Le CEPD salue l’approche horizontale de la communication, qui est conforme aux demandes récentes du Parlement européen en faveur d’une analyse détaillée et d’une vision cohérente des régimes PNR existants et envisagés. Un niveau élevé et harmonisé de protection applicable à tous ces régimes constitue un objectif qui devrait être fermement soutenu.

8.

Le CEPD s’interroge néanmoins sur le calendrier général des différentes initiatives liées directement ou indirectement au traitement des données PNR.

9.

Alors que la communication mentionne les accords internationaux relatifs aux régimes PNR et l’initiative en vue d’un régime PNR pour l’UE, les normes proposées dans la communication ont trait uniquement aux accords internationaux. Le cadre pour l’UE sera examiné et élaboré à un stade ultérieur.

10.

D’après le CEPD, il serait plus logique et opportun de prévoir une réflexion approfondie sur un régime éventuel pour l’UE qui comprendrait des garanties en matière de protection des données conformes au cadre juridique de l’UE et qui, sur cette base, établirait une approche en vue de la conclusion d’accords avec les pays tiers.

11.

Le CEPD souligne aussi les travaux en cours concernant un accord général entre l’UE et les États-Unis sur le partage de données à des fins répressives (6), qui vise à établir une série de principes garantissant un niveau élevé de protection des données à caractère personnel auquel l’échange de telles données avec les États-Unis est conditionné. L’issue des négociations entre l’UE et les États-Unis devrait servir de référence pour de futurs accords bilatéraux conclus par l’UE et par ses États membres, notamment l’accord PNR entre l’UE et les États-Unis.

12.

Autre élément à prendre en compte dans ce contexte: la réflexion générale sur le cadre de protection des données menée actuellement par la Commission en vue d’une communication avant la fin 2010, qui devrait être suivie d’une proposition de nouveau cadre réglementaire courant 2011 (7). Ce processus de révision a lieu dans le cadre de l’«après Lisbonne», qui a une incidence directe sur l’application horizontale des principes de protection des données aux anciens piliers de l’UE, y compris la coopération policière et judiciaire en matière pénale.

13.

Dans un souci de cohérence, l’UE devrait convenir de ses instruments internes et, sur la base de ceux-ci, négocier des accords avec les pays tiers. Dès lors, l’agenda global devrait d’abord être axé sur le cadre général de l’UE pour la protection des données, puis sur l’éventuelle nécessité d’un régime PNR pour l’UE, et enfin sur les conditions applicables aux échanges avec les pays tiers, basées sur le cadre actualisé de l’UE. À ce stade, les garanties prévues dans un futur accord UE-États-Unis devraient également être prises en compte lors de la fixation des conditions en vue des transferts de données PNR aux pays tiers.

14.

Le CEPD est conscient du fait que, pour différentes raisons procédurales et politiques, cet ordre idéal n’est pas suivi dans la pratique. Il considère néanmoins que la logique qui sous-tend ces différentes étapes ne devrait pas être perdue de vue par les différents acteurs concernés au sein de la Commission, du Conseil et du Parlement. Étant donné que certains développements, notamment sur le cadre de l’UE et les négociations UE-États-Unis, évoluent de manière concomitante, il convient de tenir dûment compte de la nécessité de cohérence et d’harmonisation sur la question des garanties en matière de protection des données dans l’UE et dans le contexte des transferts. Plus concrètement, cela impliquerait notamment:

15.

Enfin, le CEPD soulève la question du lien entre la communication et les lignes directrices rédigées par la Commission. Cette question porte sur la mesure dans laquelle des garanties et des conditions précises devraient être détaillées dans les normes exposées dans la communication ou dans les lignes directrices établies pour chaque pays: si l’objectif global est d’harmoniser les conditions de traitement et d’échanger des données PNR, le CEPD considère que la marge de manœuvre pour chaque accord international devrait être aussi étroite que possible et que les normes devraient définir un cadre précis. Les normes devraient avoir une incidence effective sur le contenu des accords. Plusieurs observations formulées ci-dessous soulignent la nécessité d’une plus grande précision à cet égard.

16.

Le CEPD ainsi que le groupe de travail «Article 29» ont déjà insisté, dans plusieurs avis (8), sur la nécessité de motiver clairement l’élaboration de régimes PNR, que ce soit dans l’UE ou en vue de l’échange de données avec des pays tiers. La nécessité des mesures doit être établie et étayée par des preuves concrètes, et elle devrait être ensuite évaluée et mise en balance avec le degré d’intrusion dans la vie privée des individus afin de garantir un résultat proportionné et le moins envahissant possible. Le fait que les récents progrès technologiques permettent une consultation et une analyse sur une large échelle, comme la communication l’affirme au point 2.2, ne justifie pas en soi le développement d’un système visant à examiner tous les voyageurs. En d’autres termes, la disponibilité des moyens ne justifie pas la fin.

17.

Comme exposé ci-dessous, le CEPD considère que le transfert massif de données relatives à des personnes innocentes à des fins d’évaluation des risques soulève de sérieuses questions de proportionnalité. Le CEPD s’interroge en particulier sur l’utilisation proactive de données PNR. Alors que l’utilisation «réactive» de données ne pose pas de problèmes sérieux, pour autant qu’elle s’inscrive dans une enquête sur une infraction déjà commise, une utilisation proactive et en temps réel doit donner lieu à une évaluation plus critique.

18.

D’après le libellé de la communication, même dans le «contexte d’une utilisation en temps réel», les données PNR seront utilisées «dans le cadre de la prévention de la criminalité, d’enquêtes ou de l’arrestation de personnes avant qu’une infraction soit commise», en fonction «d’indicateurs de risque factuels prédéterminés» (9). L’idée principale consistant à prendre des mesures à l’encontre de certaines personnes sur la base d’indicateurs de risque avant qu’une infraction soit commise est, de l’avis du CEPD, une mesure proactive, dont la mise en œuvre dans un contexte répressif fait habituellement l’objet d’une définition et d’une limitation strictes.

19.

Par ailleurs, ni la notion d’indicateurs de risque, ni celle d’«évaluation des risques» ne sont suffisamment développées, et cette dernière notion pourrait facilement être confondue avec celle de «profilage». Cette similarité est même renforcée par l’objectif allégué, qui est de créer «(des) schémas de déplacement et (des) modèles comportementaux généraux basés sur les faits». Le CEPD s’interroge sur le lien entre les faits originaux et les schémas ou modèles dérivés de ces faits. Le processus vise à imposer à un individu une évaluation des risques — et éventuellement des mesures coercitives — en fonction de faits qui lui sont étrangers. Comme cela a déjà été affirmé dans l’avis précédent sur le projet de régime PNR pour l’UE, la préoccupation majeure du CEPD est liée au fait que «des décisions concernant des personnes seront prises à partir de modèles et de critères établis en faisant appel aux données relatives à l’ensemble des passagers. Il est donc possible que des décisions concernant une personne soient prises (au moins en partie) sur la base de modèles établis à partir des données relatives à d’autres personnes. Par conséquent, c’est en faisant référence à un contexte abstrait que seront prises des décisions qui pourraient avoir des répercussions importantes pour les personnes concernées. Or, il est extrêmement difficile, pour des particuliers, de se défendre contre de telles décisions» (10).

20.

Le recours à de telles techniques sur une grande échelle impliquant l’examen de tous les passagers soulève dès lors de sérieuses questions de conformité avec les principes fondamentaux du respect de la vie privée et de la protection des données, et notamment ceux visés à l’article 8 de la CEDH, aux articles 7 et 8 de la Charte et à l’article 16 TFUE.

21.

Toute décision finale sur la légitimité des régimes PNR devrait tenir compte de ces éléments, qui devraient être analysés et développés dans l’analyse d’impact menée dans le cadre du projet de PNR pour l’UE. L’ordre du jour devrait être fixé de manière à permettre un examen minutieux des résultats de cette analyse d’impact lors de l’élaboration des exigences globales applicables aux régimes PNR.

22.

Sans préjudice des observations fondamentales ci-dessus sur la légitimité des régimes PNR, le CEPD se réjouit de la liste exhaustive de normes, qui s’inspire visiblement des principes de l’UE en matière de protection des données et qui devrait à maints égards renforcer la protection prévue dans les accords spécifiques. La valeur ajoutée et les lacunes identifiées dans ces normes sont examinées ci-dessous.

23.

Le CEPD déduit du texte de la communication que l’appréciation du caractère adéquat peut reposer sur le cadre général de la protection des données du pays destinataire ou être contextuelle, selon les engagements juridiquement contraignants contenus dans un accord international régissant le traitement des données à caractère personnel. Vu le rôle décisif que jouent les accords internationaux dans les appréciations du caractère adéquat, le CEPD souligne la nécessité d’établir clairement le caractère contraignant des accords pour toutes les parties concernées. Il estime que cela devrait être réalisé par une indication explicite selon laquelle les accords garantissent des droits directement applicables aux personnes concernées. Le CEPD considère que ces éléments constituent un aspect essentiel de l’appréciation du caractère adéquat.

24.

Les deux premiers points dans la liste de principes ont trait à la limitation des finalités. Sous le sous-titre «utilisation des données», le premier point mentionne des fins de répression et de sécurité et fait également référence au terrorisme et à d’autres formes graves de criminalité transnationale, sur la base «de l'approche» des définitions figurant dans les instruments européens. Le CEPD s’interroge sur ce libellé, qui pourrait amener à considérer que les futurs accords ne seraient pas basés de façon précise sur ces définitions mais s’en inspireraient. Pour des raisons de sécurité juridique, il est essentiel que le terrorisme et les formes graves de criminalité transnationale soient définis avec précision et que les instruments de l’UE évoqués dans la communication soient énoncés. Le CEPD rappelle en outre qu’avant d’être incluses dans le régime PNR, les différentes formes de criminalité doivent d’abord satisfaire aux critères de nécessité et de proportionnalité.

25.

Le second point semble se rapporter davantage au champ d'application (la nature des données collectées) qu’au principe de finalité. Le CEPD remarque que la communication ne comprend pas la liste des données susceptibles de faire l’objet de transferts, puisqu’elle laisse à chaque accord particulier le soin de déterminer les catégories de données à échanger. Afin d’éviter des divergences et l’inclusion de catégories disproportionnées de données dans certains accords avec des pays tiers, le CEPD considère qu’une liste commune et exhaustive de catégories de données devrait être ajoutée aux normes, conformément à la finalité de l’échange de données. Il renvoie à cet égard aux avis du groupe de travail «Article 29», qui indiquent les catégories de données recevables et celles considérées comme excessives au regard des droits fondamentaux des personnes concernées (11). Les catégories de données à exclure sont notamment celles qui peuvent être considérées comme sensibles — et qui sont protégées par l’article 8 de la directive 95/46/CE —, les données SSR/SSI (informations concernant des services spécifiques et informations concernant des demandes relatives à des services spécifiques), les données OSI (autres informations relatives à des services), champs ouverts ou à contenu libre (comme les «remarques générales» où des données de nature sensible peuvent apparaître) et les informations concernant les grands voyageurs et les «données relatives au comportement».

26.

La communication indique que les données sensibles ne seront pas utilisées, sauf dans des circonstances exceptionnelles. Le CEPD déplore cette exception. Il considère que ses conditions sont trop larges et qu’elles n’apportent aucune garantie: l’utilisation au cas par cas des données n’est présentée que comme un exemple; en outre, la limitation des finalités devrait être un principe général applicable à tout traitement de données PNR, et pas seulement une garantie s’appliquant aux données sensibles. Le CEPD considère que le fait d’autoriser le traitement de données sensibles, même dans des cas limités, alignerait le niveau de protection de tous les régimes PNR sur le régime de protection des données le moins exigeant plutôt que sur le régime le plus exigeant. Il appelle dès lors à exclure complètement le traitement des données sensibles, par principe.

27.

L’obligation générale en matière de sécurité exposée dans la communication est jugée satisfaisante. Le CEPD considère néanmoins qu’elle pourrait être complétée par une obligation d’information mutuelle en cas de brèche de sécurité: les destinataires seraient tenus d’informer leurs homologues au cas où les données qu’ils ont reçues ont fait l’objet d’une divulgation illégale. Cela contribuera à renforcer la responsabilité dans le sens d’un traitement sûr des données.

28.

Le CEPD soutient le système de supervision prévu dans la communication, qui comprend des mesures de surveillance et de responsabilité. Le droit de chaque individu à un recours administratif et judiciaire est également soutenu avec force. Pour ce qui est des droits d’accès, le CEPD constate qu’aucune limitation ne peut être prévue, ce dont il se félicite. Si une limitation devait s’avérer nécessaire dans des cas exceptionnels, son champ d’application précis et les garanties nécessaires, notamment un droit d’accès indirect, devraient être clairement mentionnés dans les normes.

29.

Le CEPD est satisfait de la restriction des transferts ultérieurs au cas par cas, qu’ils soient effectués vers d’autres autorités publiques ou vers des pays tiers. Il considère qu’outre ce principe, la limitation des finalités applicable aux transferts à des pays tiers devrait également s’appliquer aux transferts effectués vers d’autres autorités publiques à l’intérieur du pays tiers. Cela devrait empêcher toute utilisation ultérieure ou recoupement des données PNR avec des informations traitées à d’autres fins. Le CEPD s’inquiète en particulier des risques de recoupement avec des informations provenant d’autres bases de données telles qu’ESTA pour ce qui est des États-Unis. Il relève que la décision récente des États-Unis d’exiger un droit pour ESTA se traduit par la collecte des données de carte de crédit des voyageurs. Le CEPD plaide en faveur d’une limitation claire pour empêcher un appariement inapproprié d’informations qui dépasserait le cadre de l’accord PNR.

30.

La période de conservation des données n’est pas soumise à une harmonisation effective. Le CEPD considère que les données PNR devraient par principe être supprimées si les contrôles effectués à l’occasion de la transmission des données n’ont donné lieu à aucune mesure répressive. Si le contexte national devait justifier la nécessité d’une période limitée de conservation, le CEPD considérerait qu’une période maximale de conservation devrait être fixée dans les normes. Le principe de la limitation dans le temps des droits d’accès des fonctionnaires devrait être renforcé et l’anonymisation progressive des données considérée comme une obligation et non comme un exemple.

31.

Le CEPD soutient l’utilisation exclusive du système «push» pour transmettre les données PNR. Il plaide en faveur de garanties concrètes assurant que le système «push» soit effectivement le seul à être utilisé dans la pratique. L’expérience et les inspections menées par les autorités chargées de la protection des données ont en effet montré que, malgré les obligations découlant d’accords déjà en vigueur, notamment en ce qui concerne le PNR américain, un système «pull» résiduel est toujours effectif et que parallèlement au système «push», les autorités américaines ont un large accès aux données PNR à travers les systèmes informatisés de réservation. Des mesures juridiques et techniques devraient être prises pour empêcher tout contournement du système «push».

32.

La fréquence des transmissions par des compagnies aériennes («raisonnable») devrait être définie, et un nombre maximal de transmissions fixé. À cette fin, les régimes existants dont les dispositions sont les plus exigeantes en matière de respect de la vie privée devraient être pris comme points de repère.

33.

Le CEPD demande aussi une plus grande précision en ce qui concerne certains éléments essentiels de la mise en œuvre des accords PNR. La durée des accords («déterminée», «opportune») et leur réexamen («régulier») devraient être mieux définis dans une perspective horizontale. La périodicité des réexamens conjoints pourrait notamment être précisée, de même que l’obligation de réaliser un premier réexamen dans un délai spécifique après l’entrée en vigueur des accords: une période maximale de trois ans pourrait être mentionnée.

34.

Le CEPD salue l’approche horizontale présentée par la Commission dans sa communication. Elle constitue une étape essentielle vers l’établissement d’un cadre global pour l’échange des données PNR. Certains problèmes importants amènent toutefois à nuancer cette appréciation générale.

35.

Les régimes PNR présentés dans la communication ne satisfont pas en soi aux critères de la nécessité et de la proportionnalité, ainsi que le présent avis et des avis antérieurs du CEPD et du groupe de travail «Article 29» l’ont expliqué. Pour être recevables, les conditions de collecte et de traitement des données à caractère personnel devraient être considérablement restreintes. Le CEPD juge préoccupante l’utilisation de régimes PNR à des fins d’évaluation des risques ou de profilage.

36.

L’élaboration de normes PNR devrait tenir compte du cadre général de la protection des données et des évolutions juridiques qui lui sont liées dans l’UE, ainsi que de la négociation d’accords relatifs aux échanges de données à un niveau plus général, en particulier avec les États-Unis. Il convient de veiller à ce qu’un accord futur sur les PNR avec les États-Unis respecte l’accord général sur la protection des données conclu avec ce pays. Les accords sur les PNR conclus avec d’autres pays tiers devraient également être conformes à cette approche.

37.

Il est essentiel que tout accord avec des pays tiers tienne compte des nouvelles exigences en matière de protection des données, étant donné que celles-ci sont définies dans le cadre institutionnel de l’après-Lisbonne.

38.

Le CEPD appelle aussi à une plus grande précision dans l’approche globale concernant les garanties minimales applicables à tous les accords: des conditions plus strictes devraient s’appliquer, en particulier pour ce qui est du traitement de données sensibles, du principe de la limitation des finalités, des conditions des transferts ultérieurs et de la conservation des données.

39.

Enfin, le CEPD insiste sur le fait que tout accord devrait reconnaître des droits directement applicables aux personnes concernées. L’efficacité des procédures d’exécution, qu’elles soient engagées par les personnes concernées ou par les autorités de contrôle, est une condition essentielle pour apprécier le caractère adéquat de tout accord.

—

les États-Unis: accord entre l’Union européenne et les États-Unis d’Amérique sur le traitement et le transfert de données des dossiers passagers (données PNR) par les transporteurs aériens au ministère américain de la sécurité intérieure (DHS) (accord PNR 2007) (JO L 204 du 4.8.2007, p. 18).

—

Canada: accord entre la Communauté européenne et le gouvernement du Canada sur le traitement des données relatives aux informations préalables sur les voyageurs et aux dossiers passagers (JO L 82 du 21.3.2006, p. 15).

—

Australie: accord entre l’Union européenne et l’Australie sur le traitement et le transfert de données des dossiers passagers (données PNR) provenant de l’Union européenne par les transporteurs aériens au service des douanes australien (JO L 213 du 8.8.2008, pp. 49-57).