Bruxelles, le 27.9.2019

COM(2019) 420 final

Recommandation de

DÉCISION DU CONSEIL

autorisant l'ouverture de négociations en vue d'un accord entre l'Union européenne et le Japon aux fins du transfert et de l'utilisation de données des dossiers passagers (PNR) afin de prévenir et de combattre le terrorisme et d'autres formes graves de criminalité transnationale


EXPOSÉ DES MOTIFS

1.OBJET

L’UE devrait engager des négociations avec le Japon en vue de la signature d’un accord bilatéral définissant le cadre et les conditions dans lesquels les transporteurs aériens seront autorisés à transférer au Japon, dans le respect des exigences du droit de l’Union, les données des dossiers des passagers (PNR) des vols reliant l’UE et le Japon.

2. CONTEXTE DE LA PROPOSITION

Le dossier passager (PNR) est un dossier relatif aux conditions de voyage de chaque passager, qui contient les informations nécessaires pour permettre le traitement des réservations par les transporteurs aériens. En ce qui concerne la présente recommandation, les données PNR recouvrent les données recueillies et stockées dans les systèmes informatiques de réservation et de contrôle des départs du transporteur aérien.

Au sein de l’UE, le traitement des données PNR constitue un instrument essentiel de la réponse commune au terrorisme et aux formes graves de criminalité et un élément fondamental de l’union de la sécurité. L’identification et le traçage des schémas de déplacement suspects au moyen du traitement des données PNR afin de recueillir des éléments de preuve et, le cas échéant, de trouver les auteurs d’infractions graves et leurs complices et de démanteler les réseaux criminels s’avèrent essentiels pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière.

Le 27 avril 2016, le Parlement européen et le Conseil ont adopté la directive (UE) 2016/681 relative à l’utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière (ci-après la «directive PNR») 1 . Cette directive permet aux autorités nationales d’accéder directement aux informations cruciales détenues par les compagnies aériennes, dans le plein respect des droits en matière de protection des données. Elle fournit à tous les États membres un outil important pour prévenir et détecter les infractions terroristes et les formes graves de criminalité, notamment le trafic de drogue, la traite des êtres humains et l’exploitation sexuelle des enfants, et procéder aux enquêtes en la matière. Les États membres avaient jusqu’au 25 mai 2018 pour transposer la directive PNR en droit interne 2 .

Au niveau mondial, la résolution 2396 du Conseil de sécurité des Nations unies, adoptée le 21 décembre 2017, impose aux États membres des Nations unies de renforcer «leur capacité de collecter, de traiter et d’analyser, dans le cadre des normes et pratiques recommandées de l’OACI, les données des dossiers passagers (PNR) et de veiller à ce que ces données soient communiquées à toutes les autorités nationales compétentes et utilisées par celles-ci, dans le plein respect des droits de l’homme et des libertés fondamentales». La résolution exhorte également l’OACI «à travailler avec ses États membres en vue d’établir une norme pour la collecte, l’utilisation, le traitement et la protection des données PNR» 3 . En mars 2019, le comité des transports aériens de l’OACI a mis en place un groupe de travail sur la facilitation du transport aérien chargé d’examiner les propositions concernant les normes et les pratiques recommandées (les «SARP») pour la collecte, l’utilisation, le traitement et la protection des données PNR, conformément à la résolution 2396 (2017) du Conseil de sécurité des Nations unies. Ce groupe de travail est chargé: a) de réexaminer les SARP existantes relatives aux données PNR figurant au chapitre 9 de l’annexe 9 de la convention de Chicago; b) de déterminer si elles doivent être complétées par des SARP et/ou des documents d’orientation supplémentaires, compte tenu de la décision et des considérations du Conseil de sécurité; et c) de mettre au point, le cas échéant, de nouvelles dispositions (normes, pratiques recommandées et/ou documents d’orientation) pour la collecte, l’utilisation, le traitement et la protection des données PNR.

Le transfert de données à caractère personnel pertinentes de l’UE vers un pays tiers ne peut avoir lieu que dans le respect des dispositions relatives aux transferts internationaux énoncées au chapitre V du règlement (UE) 2016/679 (le «RGPD»)  4 . 

Il existe actuellement deux accords internationaux en vigueur entre l’UE et des pays tiers (à savoir l’Australie 5 et les États-Unis 6 ) sur le traitement et le transfert des données PNR. Le 26 juillet 2017, la Cour de justice de l’Union européenne a adopté un avis sur l’accord envisagé entre l’UE et le Canada, signé le 25 juin 2014 7 . La Cour a décidé que l’accord ne pouvait pas être conclu sous sa forme prévue parce que certaines de ses dispositions étaient incompatibles avec le droit au respect de la vie privée et le droit à la protection des données à caractère personnel, qui sont des droits fondamentaux reconnus par l’UE. En particulier, la Cour a établi d’autres exigences juridiques en ce qui concerne la surveillance par une autorité indépendante, les données sensibles, le traitement automatisé des données PNR, les finalités pour lesquelles les données PNR peuvent être traitées, ainsi que la conservation, l’utilisation, la divulgation et le transfert ultérieur des données PNR. À la suite de l’autorisation accordée par le Conseil à la Commission en décembre 2017, de nouvelles négociations sur les données PNR avec le Canada ont été lancées en juin 2018. Lors du 17e sommet UE-Canada qui s’est tenu à Montréal les 17 et 18 juillet 2019, l’UE et le Canada se sont félicités de la conclusion de ces négociations. Le Canada a fait observer qu’il devait encore soumettre l’accord à un examen juridique, mais les parties se sont engagées, sous réserve de cet examen, à finaliser l’accord dès que possible, reconnaissant que celui-ci jouerait un rôle essentiel pour renforcer la sécurité tout en garantissant le respect de la vie privée et la protection des données à caractère personnel.

3.OBJECTIFS DE LA PROPOSITION

Le Japon est un proche partenaire stratégique de l’Union européenne dans la lutte contre le terrorisme et d’autres formes graves de criminalité transnationale. Au sein des Nations unies, du G20, du G7 et d’autres enceintes multilatérales, l’Union européenne et le Japon collaborent étroitement en vue d’améliorer les cadres de sécurité mondiaux et de renforcer la sécurité de leurs citoyens.

L’accord de partenariat stratégique UE-Japon signé en juillet 2018, qui renforce leur partenariat global, dispose que «les parties s’efforcent, dans la mesure compatible avec leur législation et leur réglementation respectives, d’utiliser les outils à leur disposition, tels que les dossiers passagers, afin de prévenir et de combattre les actes de terrorisme et les crimes graves, tout en respectant le droit à la protection de la vie privée et la protection des données à caractère personnel». Un accord entre l’UE et le Japon sur les données PNR contribuerait à renforcer le partenariat proposé entre l’Union européenne et le Japon pour une connectivité durable et des infrastructures de qualité, notamment en améliorant la sécurité du transport aérien.

Le 23 janvier 2019, la Commission européenne a adopté une décision d’adéquation relative au transfert, entre opérateurs commerciaux, de données à caractère personnel de l’UE vers le Japon 8 . Dans ce contexte, la Commission européenne a également évalué les conditions et garanties attachées à l’accès des pouvoirs publics japonais, y compris les services répressifs, aux données détenues par ces opérateurs.

Le Japon a clairement exprimé à la Commission européenne sa volonté d’engager des négociations en vue de la conclusion d’un accord PNR avec l’Union européenne. En particulier, le Japon a plus récemment fait part d’un besoin urgent, dans la perspective des Jeux olympiques qui se dérouleront dans le pays en 2020, d’obtenir des transporteurs de l’UE des données PNR pour pouvoir faire face à la hausse attendue des risques en matière de sécurité.

Conformément à la législation japonaise (loi sur les douanes et loi sur le contrôle de l’immigration et la reconnaissance des réfugiés), les compagnies aériennes sont tenues de transmettre les données des dossiers passagers (PNR) aux autorités japonaises chargées des douanes et tarifs ainsi que de l’immigration. Cette législation vise à renforcer la sécurité du Japon par l’obtention de données PNR avant l’arrivée ou le départ d’un passager et améliore donc de manière significative la capacité à mener une évaluation préalable efficiente et efficace des risques présentés par les passagers.

Les transporteurs aériens et leurs associations ont également demandé à plusieurs reprises à la Commission européenne de garantir la sécurité juridique pour les transporteurs aériens qui assurent des vols entre l’UE et le Japon, compte tenu de leur obligation de fournir au Japon les données PNR, dans la mesure où elles sont collectées et figurent dans leurs systèmes automatisés de réservation et de contrôle des départs.

Il est nécessaire de trouver une solution qui fournisse une base juridique au niveau de l’UE pour le transfert de données PNR de l’UE vers le Japon, en reconnaissant ainsi la nécessité de disposer de données PNR dans le cadre de la lutte contre le terrorisme et d’autres formes graves de criminalité transnationale. Cependant, tout accord futur devrait prévoir, en matière de protection des données, des garanties appropriées au sens de l’article 46, paragraphe 2, point a), du règlement général sur la protection des données, y compris un système de contrôle indépendant. L’accord futur devrait respecter les droits fondamentaux et observer les principes reconnus par la Charte des droits fondamentaux de l’Union européenne, notamment le droit au respect de la vie privée et familiale, le droit à la protection des données à caractère personnel et le droit à un recours effectif et à accéder à un tribunal impartial, reconnus respectivement à l’article 7, à l’article 8 et à l’article 47 de la charte.

Le transfert de données PNR vers le Japon serait un moyen de renforcer encore la coopération internationale avec l’Union européenne en matière répressive, notamment grâce aux informations analytiques tirées des données PNR que le Japon fournirait aux autorités compétentes des États membres ainsi qu’à Europol et/ou à Eurojust dans le cadre de leurs mandats respectifs.

4.ASPECTS JURIDIQUES DE LA PROPOSITION

La recommandation d’ouvrir des négociations avec le Japon en vue d’un accord PNR prend en considération le cadre juridique de l’Union applicable en matière de protection des données et de PNR, à savoir le règlement (UE) 2016/679, la directive (UE) 2016/680 9 et la directive (UE) 2016/681, ainsi que le traité et la charte des droits fondamentaux tels qu’ils sont interprétés dans la jurisprudence pertinente de la Cour de justice de l’Union européenne, en particulier dans l’avis 1/15 de la Cour.

La recommandation tient également compte de l’autorisation, donnée à la Commission européenne par le Conseil en décembre 2017, d’ouvrir des négociations en vue de la conclusion d’un accord entre l’UE et le Canada sur les transferts et l’utilisation des données PNR.

La recommandation est conforme aux exigences juridiques énoncées dans l’avis 1/15 de la Cour. Elle est fondée sur l’article 218 du traité sur le fonctionnement de l’Union européenne, en vertu duquel la Commission européenne est désignée comme négociateur de l’Union.

Recommandation de

DÉCISION DU CONSEIL

autorisant l’ouverture de négociations en vue d’un accord entre l’Union européenne et le Japon aux fins du transfert et de l’utilisation de données des dossiers passagers (PNR) afin de prévenir et de combattre le terrorisme et d’autres formes graves de criminalité transnationale

LE CONSEIL DE L’UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 218, paragraphes 3 et 4,

vu la recommandation de la Commission européenne,

considérant ce qui suit:

(1)Il convient d’engager des négociations en vue de la conclusion d’un accord entre l’Union européenne et le Japon aux fins du transfert et de l’utilisation de données des dossiers passagers (PNR) afin de prévenir et de combattre le terrorisme et d’autres formes graves de criminalité transnationale

(2)L’accord devrait respecter les droits fondamentaux et observer les principes reconnus par la Charte des droits fondamentaux de l’Union européenne, notamment le droit au respect de la vie privée et familiale, le droit à la protection des données à caractère personnel et le droit à un recours effectif et à accéder à un tribunal impartial, reconnus respectivement à l’article 7, à l’article 8 et à l’article 47 de la charte. Il convient que l’accord soit appliqué conformément à ces droits et principes,

A ADOPTÉ LA PRÉSENTE DÉCISION:

Article premier

La Commission européenne est autorisée à négocier, au nom de l’Union, un accord entre l’Union et le Japon aux fins du transfert et de l’utilisation de données des dossiers passagers (PNR) afin de prévenir et de combattre le terrorisme et d’autres formes graves de criminalité transnationale.

Article 2

Les directives de négociation figurent en annexe.

Article 3

Les négociations sont conduites en concertation avec un comité spécial devant être désigné par le Conseil.

Article 4

La Commission européenne est destinataire de la présente décision.

Fait à Bruxelles, le

   Par le Conseil

   Le président

(1)    Directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l’utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière (JO L 119 du 4.5.2016, p. 132).
(2)    Voir le dix-neuvième rapport sur les progrès accomplis dans la mise en place d’une Union de la sécurité réelle et effective [COM(2019) 353 final du 24.7.2019], qui porte sur l’état d’avancement de la mise en œuvre de la directive PNR.
(3)    Résolution 2396 (2017) du Conseil de sécurité sur les menaces que font peser sur la paix et la sécurité internationales les combattants terroristes étrangers qui reviennent dans leur pays.
(4)    Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
(5)    JO L 186 du 14.7.2012, p. 4.
(6)    JO L 215 du 11.8.2012, p. 5.
(7)    Avis 1/15 de la Cour (grande chambre) du 26 juillet 2017, ECLI:EU:C:2017:592.
(8)    Décision d’exécution (UE) 2019/419 de la Commission du 23 janvier 2019 constatant, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par le Japon en vertu de la loi sur la protection des informations à caractère personnel [notifiée sous le numéro C(2019) 304] (JO L 76 du 19.3.2019, p. 1).
(9)    Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).

Bruxelles, le 27.9.2019

COM(2019) 420 final

ANNEXE

de la

recommandation
de
DÉCISION DU CONSEIL

autorisant l'ouverture de négociations en vue d'un accord entre l'Union européenne et le Japon aux fins du transfert et de l'utilisation de données des dossiers passagers (PNR) afin de prévenir et de combattre le terrorisme et d'autres formes graves de criminalité transnationale




ANNEXE

Directives de négociation d’un accord entre l’Union européenne et le Japon aux fins du transfert et de l’utilisation de données des dossiers passagers (PNR) afin de prévenir et de combattre le terrorisme et d’autres formes graves de criminalité transnationale

Au cours des négociations, la Commission européenne devrait s’efforcer d’atteindre les objectifs détaillés ci-après.

(1)L’objectif de l’accord devrait être d’établir la base juridique, les conditions et les garanties relatives au transfert des données PNR vers le Japon.

(2)L’accord devrait tenir dûment compte de la nécessité et de l’importance de l’utilisation des données PNR dans la prévention et la lutte contre le terrorisme et d’autres formes graves de criminalité transnationale.

(3)À cette fin, l’objectif de cet accord devrait être de réglementer le transfert et l’utilisation des données PNR ayant pour seule finalité de prévenir et de combattre le terrorisme et d’autres formes graves de criminalité transnationale, dans le plein respect de la protection de la vie privée, des données à caractère personnel et des libertés et droits fondamentaux des personnes, conformément aux conditions fixées dans l’accord.

(4)L’accord devrait également reconnaître le transfert de données PNR vers le Japon comme bénéfique à la coopération policière et judiciaire grâce au transfert des informations analytiques tirées des données PNR. Par conséquent, l’accord devrait garantir le transfert des informations analytiques provenant des autorités compétentes du Japon aux autorités policières et judiciaires des États membres, ainsi qu’à Europol et Eurojust dans le cadre de leurs compétences respectives.

(5)Afin de garantir le respect du principe de limitation de la finalité, l’accord devrait prévoir que le traitement des données PNR est exclusivement limité à la prévention et à la détection du terrorisme et d’autres formes graves de criminalité transnationale, ainsi qu’aux enquêtes ou aux poursuites en la matière, sur la base des définitions établies dans les instruments pertinents de l’UE.

(6)L’accord devrait garantir le plein respect des libertés et droits fondamentaux consacrés par l’article 6 du traité sur l’Union européenne, notamment le droit à la protection des données à caractère personnel reconnu par l’article 16 du traité sur le fonctionnement de l’UE et l’article 8 de la charte des droits fondamentaux de l’UE. Il devrait également garantir le plein respect des principes de nécessité et de proportionnalité en ce qui concerne le droit au respect de la vie privée et familiale et à la protection des données à caractère personnel, consacrés par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne, tels qu’interprétés par la Cour de justice dans son avis 1/15 sur le projet d’accord PNR entre l’UE et le Canada.

(7)L’accord devrait offrir une sécurité juridique, notamment aux transporteurs aériens, en leur fournissant une base juridique sur laquelle s’appuyer pour le transfert des données PNR contenues dans leurs systèmes automatisés de réservation et de contrôle des départs.

(8)L’accord devrait énoncer clairement et précisément les garanties et contrôles nécessaires en ce qui concerne la protection des données à caractère personnel et des libertés et droits fondamentaux des personnes, indépendamment de la nationalité et du lieu de résidence, dans le cadre du transfert de données PNR vers le Japon. Ces garanties devraient inclure les points suivants:

(a)Les catégories de données PNR à transférer devraient être définies de façon exhaustive et de manière claire et précise, conformément aux normes internationales. Les transferts de données devraient être limités au minimum nécessaire et être proportionnés à la finalité spécifique de l’accord.

(b)Les données sensibles au sens du droit de l’UE, notamment les données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne, ou qui concernent sa santé ou sa vie ou son orientation sexuelle, ne devraient pas être traitées.

(c)L’accord devrait comprendre des dispositions relatives à la sécurité des données, qui prévoient en particulier que l’accès aux données PNR soit réservé à un nombre limité d’individus munis d’une autorisation spéciale à cet effet, qui imposent l’obligation d’avertir sans délai les autorités européennes de contrôle de la protection des données en cas de failles dans la sécurité des données touchant les données PNR, à moins que ces failles ne soient pas susceptibles d’engendrer un risque pour les droits et libertés des personnes physiques, et qui fassent référence à des sanctions efficaces et dissuasives.

(d)L’accord devrait contenir des dispositions relatives à l’information adéquate et transparente des passagers au sujet du traitement de leurs données PNR, et prévoir un droit des passagers à être individuellement avertis en cas d’utilisation des données après l’arrivée, ainsi qu’un droit à l’accès aux données et, le cas échéant, à leur rectification ou leur suppression.

(e)L’accord devrait garantir, à toute personne dont les données sont traitées en vertu de ses dispositions, le droit à un recours administratif ou juridictionnel effectif sur une base non discriminatoire, indépendamment de sa nationalité ou de son lieu de résidence, conformément à l’article 47 de la charte des droits fondamentaux de l’Union européenne.

(f)L’accord devrait garantir que le traitement automatisé soit fondé sur des critères préétablis spécifiques, objectifs, non discriminatoires et fiables, et ne puisse constituer le seul fondement d’une décision produisant des effets juridiques défavorables pour une personne ou affectant celle-ci de manière significative. Il convient que les bases de données auxquelles les données PNR sont comparées soient uniquement celles pertinentes pour les finalités couvertes par l’accord et qu’elles soient fiables et actualisées.

(g)L’utilisation de données PNR par l’autorité compétente japonaise au-delà des contrôles de sécurité et des contrôles aux frontières devrait se fonder sur de nouvelles circonstances et être soumise à des conditions matérielles et procédurales reposant sur des critères objectifs. En particulier, cette utilisation devrait être subordonnée à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante, sauf en cas d’urgence dûment justifié.

(h)La période de conservation des données PNR devrait être limitée et ne pas dépasser la durée nécessaire pour atteindre l’objectif initialement poursuivi. La conservation des données PNR après que les passagers aériens ont quitté le Japon devrait être conforme aux exigences définies dans la jurisprudence de la Cour de justice. L’accord devrait exiger que les données soient effacées à l’issue de la période de conservation ou rendues anonymes de telle sorte que la personne concernée ne soit plus identifiable.

(i)L’accord devrait garantir que la communication ultérieure des données PNR à d’autres autorités publiques japonaises ou à d’autres pays ne soit possible qu’au cas par cas et sous réserve de certaines conditions et garanties. En particulier, cette communication ne devrait être possible que si l’autorité destinataire exerce des fonctions liées à la lutte contre le terrorisme ou les formes graves de criminalité transnationale et garantit les mêmes protections que celles énoncées dans l’accord. Les transferts ultérieurs aux autorités compétentes d’autres pays tiers devraient être limités aux pays avec lesquels l’UE a conclu un accord PNR équivalent ou pour lesquels l’UE a adopté, en vertu de la législation de l’UE en matière de protection des données, une décision d’adéquation couvrant les autorités auxquelles les données PNR sont destinées à être transférées.

(9)L’accord devrait prévoir un dispositif de surveillance par une autorité publique indépendante chargée de la protection des données, investie de pouvoirs effectifs d’enquête, d’intervention et de répression, pour surveiller les autorités publiques qui utilisent des données PNR. Cette autorité devrait être habilitée à recevoir les plaintes des particuliers, notamment en ce qui concerne le traitement de leurs données PNR. Les autorités publiques qui utilisent des données PNR devraient être responsables du respect des règles relatives à la protection des données à caractère personnel prévues par l’accord.

(10)L’accord devrait exiger que les données soient transférées exclusivement sur la base d’un système «push».

(11)L’accord devrait garantir que la fréquence et la répartition dans le temps des transmissions de données PNR ne créent pas une charge déraisonnable pour les transporteurs et soient limitées à ce qui est strictement nécessaire.

(12)L’accord devrait garantir que les transporteurs aériens ne soient pas tenus de collecter davantage de données qu’ils ne le font déjà ou de collecter certains types de données, mais seulement de transmettre les données qu’ils collectent déjà dans le cadre de leur activité.

(13)L’accord devrait comporter des dispositions prévoyant un réexamen conjoint régulier de tous les aspects de la mise en œuvre de l’accord, y compris la fiabilité et l’actualité des modèles préétablis ainsi que les critères et les bases de données, comprenant une évaluation de la proportionnalité des données conservées en fonction de leur valeur pour la prévention et la lutte contre le terrorisme et d’autres formes graves de criminalité transnationale.

(14)L’accord devrait prévoir un mécanisme de règlement des différends quant à son interprétation, à son application et à sa mise en œuvre.

(15)L’accord devrait être conclu pour une période de 7 ans et contenir une disposition prévoyant que l’accord peut être reconduit pour une période similaire, à moins qu’une partie ne le dénonce.

(16)L’accord devrait comporter une clause relative à son application territoriale.

(17)L’accord devrait faire foi en langues allemande, anglaise, bulgare, croate, danoise, espagnole, estonienne, finnoise, française, grecque, hongroise, italienne, lettone, lituanienne, maltaise, néerlandaise, polonaise, portugaise, roumaine, slovaque, slovène, suédoise et tchèque, et comporter une clause linguistique à cet effet.