Affaires jointes C-317/04 et C-318/04
Parlement européen
contre
Conseil de l'Union européenne et Commission des Communautés européennes
«Protection des personnes physiques à l'égard du traitement des données à caractère personnel — Transport aérien — Décision 2004/496/CE — Accord entre la Communauté européenne et les États-Unis d'Amérique — Dossiers des passagers aériens transférés au Bureau des douanes et de la protection des frontières des États-Unis d'Amérique — Directive 95/46/CE — Article 25 — États tiers — Décision 2004/535/CE — Niveau de protection adéquat»
Conclusions de l'avocat général M. P. Léger, présentées le 22 novembre 2005
Arrêt de la Cour (grande chambre) du 30 mai 2006
Sommaire de l'arrêt
1. Rapprochement des législations — Directive 95/46 — Champ d'application
(Directive du Parlement européen et du Conseil 95/46, art. 3, § 2; décision de la Commission 2004/535)
2. Accords internationaux — Conclusion — Accord CEE-États-Unis concernant le traitement et le transfert des dossiers des passagers aériens au Bureau des douanes et de la protection des frontières des États-Unis
(Art. 95 CE; directive du Parlement européen et du Conseil 95/46, art. 3, § 2, et 25; décision du Conseil 2004/496)
1. La décision 2004/535, relative au niveau de protection adéquat des données à caractère personnel contenues dans les dossiers des passagers aériens transférés au Bureau des douanes et de la protection des frontières des États-Unis d'Amérique, concerne un traitement de données à caractère personnel ayant pour objet la sécurité publique et les activités de l'État relatives à des domaines du droit pénal, lequel est exclu du champ d'application de la directive 95/46, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, en vertu de l'article 3, paragraphe 2, premier tiret, de ladite directive.
À cet égard, le fait que les données personnelles sont collectées par des opérateurs privés à des fins commerciales et que ce sont ces derniers qui organisent leur transfert vers un État tiers ne modifie pas une telle conclusion, dans la mesure où ce transfert s'insère dans un cadre institué par les pouvoirs publics et visant la sécurité publique et où il n'est pas nécessaire à la prestation de services desdits opérateurs.
(cf. points 56-59)
2. La décision 2004/496, concernant la conclusion d'un accord entre la Communauté européenne et les États-Unis d'Amérique sur le traitement et le transfert de données PNR (Passenger Name Records) par des transporteurs aériens au bureau des douanes et de la protection des frontières du ministère américain de la sécurité intérieure, n'a pu être valablement adoptée sur le fondement de l'article 95 CE, lu en combinaison avec l'article 25 de la directive 95/46, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
En effet, l'accord vise des traitements de données qui, dans la mesure où ils ont pour objet la sécurité publique et les activités de l'État relatives à des domaines du droit pénal, sont exclus du champ d'application de la directive 95/46 en vertu de l'article 3, paragraphe 2, premier tiret, de cette dernière.
(cf. points 67-69)
ARRÊT DE LA COUR (grande chambre)
30 mai 2006 (*)
«Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Transport aérien – Décision 2004/496/CE – Accord entre la Communauté européenne et les États-Unis d’Amérique – Dossiers des passagers aériens transférés au Bureau des douanes et de la protection des frontières des États-Unis d’Amérique – Directive 95/46/CE – Article 25 – États tiers – Décision 2004/535/CE – Niveau de protection adéquat»
Dans les affaires jointes C-317/04 et C-318/04,
ayant pour objet des recours en annulation au titre de l’article 230 CE, introduits le 27 juillet 2004,
Parlement européen, représenté par MM. R. Passos, N. Lorenz, H. Duintjer Tebbens et A. Caiola, en qualité d’agents, ayant élu domicile à Luxembourg,
partie requérante,
soutenu par:
Contrôleur européen de la protection des données (CEPD), représenté par M. H. Hijmans et Mme V. Perez Asinari, en qualité d’agents,
partie intervenante,
contre
Conseil de l’Union européenne, représenté par Mme M. C. Giorgi Fort et M. M. Bishop, en qualité d’agents,
partie défenderesse dans l’affaire C-317/04,
soutenu par:
Commission des Communautés européennes, représentée par MM. P. J. Kuijper, A. van Solinge et C. Docksey, en qualité d’agents, ayant élu domicile à Luxembourg,
Royaume-Uni de Grande-Bretagne et d’Irlande du Nord, représenté par M. M. Bethell, Mmes C. White et T. Harris, en qualité d’agents, assistés de M. T. Ward, barrister, ayant élu domicile à Luxembourg,
parties intervenantes,
et contre
Commission des Communautés européennes, représentée par MM. P. J. Kuijper, A. van Solinge, C. Docksey et F. Benyon, en qualité d’agents, ayant élu domicile à Luxembourg,
partie défenderesse dans l’affaire C-318/04,
soutenue par:
Royaume-Uni de Grande-Bretagne et d’Irlande du Nord, représenté par M. M. Bethell, Mmes C. White et T. Harris, en qualité d’agents, assistés de M. T. Ward, barrister, ayant élu domicile à Luxembourg,
partie intervenante,
LA COUR (grande chambre),
composée de M. V. Skouris, président, MM. P. Jann, C. W. A. Timmermans, A. Rosas et J. Malenovský, présidents de chambre, Mme N. Colneric (rapporteur), MM. S. von Bahr, J. N. Cunha Rodrigues, Mme R. Silva de Lapuerta, MM. G. Arestis, A. Borg Barthet, M. Ilešič et J. Klučka, juges,
avocat général: M. P. Léger,
greffier: Mme M. Ferreira, administrateur principal,
vu la procédure écrite et à la suite de l’audience du 18 octobre 2005,
ayant entendu l’avocat général en ses conclusions à l’audience du 22 novembre 2005,
rend le présent
Arrêt
1 Par sa requête dans l’affaire C-317/04, le Parlement européen demande l’annulation de la décision 2004/496/CE du Conseil, du 17 mai 2004, concernant la conclusion d’un accord entre la Communauté européenne et les États-Unis d’Amérique sur le traitement et le transfert de données PNR par des transporteurs aériens au bureau des douanes et de la protection des frontières du ministère américain de la sécurité intérieure (JO L 183, p. 83 et rectificatif JO 2005, L 255, p. 168).
2 Par sa requête dans l’affaire C-318/04, le Parlement demande l’annulation de la décision 2004/535/CE de la Commission, du 14 mai 2004, relative au niveau de protection adéquat des données à caractère personnel contenues dans les dossiers des passagers aériens transférés au Bureau des douanes et de la protection des frontières des États-Unis d’Amérique (JO L 235, p. 11, ci-après la «décision d’adéquation»).
Le cadre juridique
3 L’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950 (ci-après la «CEDH»), stipule:
«1 Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.
2 Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui.»
4 L’article 95, paragraphe 1, deuxième phrase, CE est libellé comme suit:
«Le Conseil, statuant conformément à la procédure visée à l’article 251 et après consultation du Comité économique et social, arrête les mesures relatives au rapprochement des dispositions législatives, réglementaires et administratives des États membres qui ont pour objet l’établissement et le fonctionnement du marché intérieur.»
5 La directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, p. 31), telle que modifiée par le règlement (CE) n° 1882/2003 du Parlement européen et du Conseil, du 29 septembre 2003, portant adaptation à la décision 1999/468/CE du Conseil des dispositions relatives aux comités assistant la Commission dans l’exercice de ses compétences d’exécution prévues dans des actes soumis à la procédure visée à l’article 251 du traité CE (JO L 284, p. 1) (ci-après la «directive»), a été adoptée sur le fondement de l’article 100 A du traité CE (devenu, après modification, article 95 CE).
6 Son onzième considérant énonce que «les principes de la protection des droits et des libertés des personnes, notamment du droit à la vie privée, contenus dans la présente directive précisent et amplifient ceux qui sont contenus dans la convention, du 28 janvier 1981, du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel».
7 Aux termes du treizième considérant de la directive:
«[L]es activités visées aux titres V et VI du traité sur l’Union européenne concernant la sécurité publique, la défense, la sûreté de l’État ou les activités de l’État dans le domaine pénal ne relèvent pas du champ d’application du droit communautaire, sans préjudice des obligations incombant aux États membres au titre de l’article 56 paragraphe 2 et des articles 57 et 100 A du traité [...]».
8 Le cinquante-septième considérant de la directive énonce:
«[...] lorsqu’un pays tiers n’offre pas un niveau de protection adéquat, le transfert de données à caractère personnel vers ce pays doit être interdit».
9 L’article 2 de la directive prévoit:
«Aux fins de la présente directive, on entend par:
a) ‘données à caractère personnel’: toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale;
b) ‘traitement de données à caractère personnel’ (traitement): toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction;
[…]»
10 Aux termes de l’article 3 de la directive:
«Champ d’application
1. La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
2. La présente directive ne s’applique pas au traitement de données à caractère personnel:
– mis en oeuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal,
[…]»
11 L’article 6, paragraphe 1, de la directive énonce:
«Les États membres prévoient que les données à caractère personnel doivent être:
[…]
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n’est pas réputé incompatible pour autant que les États membres prévoient des garanties appropriées;
c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement;
[…]
e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. […]»
12 L’article 7 de la directive dispose:
«Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si:
[…]
c) il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis
[…]
ou
e) il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées
ou
f) il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1.»
13 Aux termes de l’article 8, paragraphe 5, premier alinéa, de la directive:
«Le traitement de données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté ne peut être effectué que sous le contrôle de l’autorité publique ou si des garanties appropriées et spécifiques sont prévues par le droit national, sous réserve des dérogations qui peuvent être accordées par l’État membre sur la base de dispositions nationales prévoyant des garanties appropriées et spécifiques. Toutefois, un recueil exhaustif des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique.»
14 L’article 12 de la directive dispose:
«Les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement:
a) sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs:
– la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées,
– la communication, sous une forme intelligible, des données faisant l’objet des traitements, ainsi que de toute information disponible sur l’origine des données,
– la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l’article 15 paragraphe 1;
b) selon le cas, la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données;
c) la notification aux tiers auxquels les données ont été communiquées de toute rectification, tout effacement ou tout verrouillage effectué conformément au point b), si cela ne s’avère pas impossible ou ne suppose pas un effort disproportionné.»
15 L’article 13, paragraphe 1, de la directive est libellé comme suit:
«Les États membres peuvent prendre des mesures législatives visant à limiter la portée des obligations et des droits prévus à l’article 6 paragraphe 1, à l’article 10, à l’article 11 paragraphe 1 et aux articles 12 et 21, lorsqu’une telle limitation constitue une mesure nécessaire pour sauvegarder:
a) la sûreté de l’État;
b) la défense;
c) la sécurité publique;
d) la prévention, la recherche, la détection et la poursuite d’infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées;
e) un intérêt économique ou financier important d’un État membre ou de l’Union européenne, y compris dans les domaines monétaire, budgétaire et fiscal;
f) une mission de contrôle, d’inspection ou de réglementation relevant, même à titre occasionnel, de l’exercice de l’autorité publique, dans les cas visés aux points c), d) et e);
g) la protection de la personne concernée ou des droits et libertés d’autrui.»
16 L’article 22 de la directive prévoit:
«Recours
Sans préjudice du recours administratif qui peut être organisé, notamment devant l’autorité de contrôle visée à l’article 28, antérieurement à la saisine de l’autorité judiciaire, les États membres prévoient que toute personne dispose d’un recours juridictionnel en cas de violation des droits qui lui sont garantis par les dispositions nationales applicables au traitement en question».
17 Les articles 25 et 26 de la directive forment le chapitre IV concernant le transfert de données à caractère personnel vers des États tiers.
18 L’article 25 de la directive, intitulé «Principes», prévoit:
«1. Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l’objet d’un traitement, ou destinées à faire l’objet d’un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat.
2. Le caractère adéquat du niveau de protection offert par un pays tiers s’apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d’origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.
3. Les États membres et la Commission s’informent mutuellement des cas dans lesquels ils estiment qu’un pays tiers n’assure pas un niveau de protection adéquat au sens du paragraphe 2.
4. Lorsque la Commission constate, conformément à la procédure prévue à l’article 31 paragraphe 2, qu’un pays tiers n’assure pas un niveau de protection adéquat au sens du paragraphe 2 du présent article, les États membres prennent les mesures nécessaires en vue d’empêcher tout transfert de même nature vers le pays tiers en cause.
5. La Commission engage, au moment opportun, des négociations en vue de remédier à la situation résultant de la constatation faite en application du paragraphe 4.
6. La Commission peut constater, conformément à la procédure prévue à l’article 31 paragraphe 2, qu’un pays tiers assure un niveau de protection adéquat au sens du paragraphe 2 du présent article, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l’issue des négociations visées au paragraphe 5, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes.
Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.»
19 Aux termes de l’article 26, paragraphe 1, de la directive, intitulé «Dérogations»:
«Par dérogation à l’article 25 et sous réserve de dispositions contraires de leur droit national régissant des cas particuliers, les États membres prévoient qu’un transfert de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat au sens de l’article 25 paragraphe 2 peut être effectué, à condition que:
a) la personne concernée ait indubitablement donné son consentement au transfert envisagé
ou
b) le transfert soit nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à l’exécution de mesures précontractuelles prises à la demande de la personne concernée
ou
c) le transfert soit nécessaire à la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers
ou
d) le transfert soit nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d’un intérêt public important, ou pour la constatation, l’exercice ou la défense d’un droit en justice
ou
e) le transfert soit nécessaire à la sauvegarde de l’intérêt vital de la personne concernée
ou
f) le transfert intervienne au départ d’un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation du public ou de toute personne justifiant d’un intérêt légitime, dans la mesure où les conditions légales pour la consultation sont remplies dans le cas particulier.»
20 Sur la base de la directive et, notamment, de son article 25, paragraphe 6, la Commission des Communautés européennes a adopté la décision d’adéquation.
21 Le onzième considérant de cette décision énonce:
«Le traitement par le CBP [United States Bureau of Customs and Border Protection (Bureau des douanes et de la protection des frontières des États-Unis)] des données à caractère personnel contenues dans les PNR [‘Passenger Name Records’ (dossiers passagers)] des passagers aériens qui lui sont transférés est régi par les dispositions figurant dans la ‘Déclaration d’engagement du Bureau des douanes et de la protection des frontières du ministère de la sécurité intérieure du 11 mai 2004’ (ci-après dénommée ‘la déclaration d’engagement’) et par la législation américaine dans les conditions prévues par la déclaration d’engagement.»
22 Aux termes du quinzième considérant de la même décision, les données des PNR doivent être utilisées dans le but unique de prévenir et de combattre le terrorisme et les crimes liés au terrorisme, d’autres crimes graves, y compris la criminalité organisée, qui, par nature, revêtent un caractère transnational et la fuite en cas de mandat d’arrêt ou de mise en détention pour l’un des crimes susmentionnés.
23 Aux termes des articles 1er à 4 de la décision d’adéquation:
«Article premier
Aux fins de l’article 25, paragraphe 2, de la directive 95/46/CE, le Bureau des douanes et de la protection des frontières des États-Unis (ci-après le ‘CBP’) est considéré comme assurant un niveau de protection adéquat des données de dossiers passagers (ci-après dénommés les ‘PNR’) transférées depuis la Communauté en ce qui concerne les vols à destination ou au départ des États-Unis, conformément à la déclaration d’engagement figurant en annexe.
Article 2
La présente décision concerne le niveau de protection adéquat assuré par le CBP en vue de répondre aux exigences de l’article 25, paragraphe 1, de la directive 95/46/CE et n’influe en rien sur d’autres conditions ou restrictions mettant en application d’autres dispositions de la directive qui s’appliquent au traitement de données à caractère personnel dans les États membres.
Article 3
1. Sans préjudice des pouvoirs leur permettant de prendre des mesures pour assurer le respect des dispositions nationales adoptées conformément aux dispositions autres que l’article 25 de la directive 95/46/CE, les autorités compétentes des États membres peuvent exercer les pouvoirs dont elles disposent actuellement pour suspendre le transfert de données vers le CBP afin de protéger les personnes physiques à l’égard du traitement des données à caractère personnel qui les concernent dans l’un des deux cas suivants:
a) lorsqu’une autorité américaine compétente a constaté que le CBP ne respecte pas les normes applicables en matière de protection;
b) lorsqu’il est probable que les normes de protection établies en annexe ne sont pas respectées, qu’il y a tout lieu de croire que le CBP ne prend pas ou ne prendra pas, en temps voulu, les mesures qui s’imposent pour régler l’affaire en question, que la poursuite du transfert entraînerait un risque imminent de grave préjudice pour les personnes concernées et que les autorités compétentes de l’État membre se sont raisonnablement efforcées, dans ces circonstances, d’avertir le CBP et de lui donner la possibilité de répondre.
2. La suspension du transfert cesse dès que les normes de protection sont assurées et que les autorités compétentes dans les États membres concernés en sont averties.
Article 4
1. Les États membres informent sans tarder la Commission des mesures adoptées conformément à l’article 3.
2. Les États membres et la Commission s’informent aussi mutuellement de tout changement dans les normes de protection ainsi que des cas dans lesquels les mesures prises par les autorités chargées de veiller au respect par le CBP des normes de protection établies en annexe ne suffisent pas à en assurer le respect.
3. Si les informations recueillies conformément à l’article 3 et aux paragraphes 1 et 2 du présent article montrent que les principes essentiels nécessaires pour assurer un niveau de protection adéquat des personnes physiques ne sont plus respectés, ou qu’un quelconque organisme chargé de veiller au respect par le CBP des normes de protection établies en annexe ne remplit pas efficacement sa mission, le CBP sera informé et, si nécessaire, la procédure prévue à l’article 31, paragraphe 2, de la directive 95/46/CE sera applicable en vue d’annuler ou de suspendre la présente décision.»
24 La «[d]éclaration d’engagement du Bureau des douanes et de la protection des frontières du ministère de la sécurité intérieure», annexée à la décision d’adéquation, énonce:
«Afin de soutenir le projet de la Commission européenne visant à exercer les pouvoirs qui lui sont conférés par l’article 25, paragraphe 6, de la directive 95/46/CE […] et à adopter une décision reconnaissant que le [CBP] du ministère de la sécurité intérieure (Department of Homeland Security) fournit un niveau de protection adéquat aux fins du transfert, par les compagnies aériennes, de données de [PNR] susceptibles de relever du champ d’application de la directive, le CBP prend les engagements suivants [...]»
25 Ces engagements comprennent 48 points, qui sont regroupés sous les titres suivants: «Fondement juridique du droit d’obtention des PNR»; «Utilisation des données de PNR par le CBP»; «Exigences relatives aux données»; «Traitement des données ‘sensibles’»; «Méthode d’accès aux données de PNR»; «Stockage des données de PNR»; «Sécurité des systèmes informatiques du CBP»; «Traitement et protection des données de PNR par le CBP»; «Transmission de données de PNR à d’autres autorités gouvernementales»; «Information, accès aux données et voies de recours pour les personnes concernées par les PNR»; «Respect des dispositions»; «Réciprocité»; «Révision et durée de validité de la déclaration d’engagement», et «Absence de création de droits ou de précédent».
26 Parmi lesdits engagements figurent, notamment, les suivants:
«1) En vertu de la loi [titre 49, section 44909(c)(3) du code des États-Unis] et de ses règlements (provisoires) de mise en œuvre (titre 19, section 122.49 b du code des règlements fédéraux), toute compagnie aérienne assurant un service international de transport de passagers à destination ou au départ des États-Unis doit fournir au CBP un accès électronique aux données de PNR qui sont recueillies et stockées dans ses systèmes informatiques de réservation/contrôle des départs (ci-après dénommés les ‘systèmes de réservation’).
[…]
3) Le CBP utilise les données de PNR dans le but unique de prévenir et de combattre: 1) le terrorisme et les crimes liés au terrorisme; 2) d’autres crimes graves, y compris la criminalité organisée, qui, par nature, revêtent un caractère transnational, et 3) la fuite en cas de mandat d’arrêt ou de mise en détention pour l’un des crimes susmentionnés. L’utilisation de données de PNR à ces fins permet au CBP d’axer ses ressources sur des éléments à haut risque, facilitant et préservant ainsi le trafic passagers légitime.
4) Les éléments informatifs requis par le CBP sont énumérés à l’annexe A. […]
[…]
27) Dans le cadre de toute procédure administrative ou judiciaire découlant d’une demande, introduite en vertu de la loi sur la liberté de l’information, de données de PNR obtenues auprès de compagnies aériennes, le CBP soutiendra que les registres en question ne sont pas soumis à la divulgation prévue par cette loi.
[…]
29) Le CBP, à sa discrétion, ne transmettra de données de PNR à d’autres autorités gouvernementales de répression ou de lutte contre le terrorisme, qu’elles soient nationales ou étrangères, qu’au cas par cas, aux fins de prévenir ou de combattre les crimes visés au paragraphe 3. Les autorités avec lesquelles le CBP peut partager ces données sont ci-après dénommées ‘autorités désignées’.
30) Le CBP exercera avec discernement son pouvoir d’appréciation concernant le transfert de données de PNR aux fins spécifiées. Il déterminera tout d’abord si la raison invoquée pour la divulgation des données de PNR à une autre autorité désignée est conforme aux finalités prévues (voir le point 29). Dans l’affirmative, le CBP vérifiera si l’autorité désignée en question est compétente pour prévenir toute violation d’une loi ou d’un règlement lié à ces finalités ou pour mener une enquête ou engager des poursuites à cet égard ou pour mettre en œuvre ou veiller à l’application d’une telle loi ou d’un tel règlement, pour le cas où le CBP disposerait d’un indice d’une violation effective ou potentielle de la loi. Le bien-fondé de la divulgation devra être examiné à la lumière de l’ensemble des circonstances exposées.
[…]
35) Aucune disposition de la présente déclaration d’engagement ne peut empêcher l’utilisation ou la divulgation de données de PNR dans le cadre d’une procédure pénale ou au titre d’autres exigences prévues par la loi. Le CBP informera la Commission de l’adoption, par les autorités américaines, de toute législation ayant une incidence sur le fond des présents engagements.
[…]
46) La présente déclaration d’engagement est applicable durant une période de trois ans et six mois à compter de la date d’entrée en vigueur d’un accord entre les États-Unis et la Communauté européenne autorisant le traitement de données de PNR par les compagnies aériennes pour les transmettre au CBP conformément à la directive. […]
47) La présente déclaration d’engagement ne crée ni ne confère aucun droit ni aucun avantage pour toute personne ou partie, qu’elle soit privée ou publique.
[…]»
27 L’annexe «A» de la déclaration d’engagement contient les «rubriques des PNR» demandées par le CBP aux compagnies aériennes. Font notamment partie desdites rubriques, le «code repère du dossier PNR», la date de réservation, le nom, l’adresse, les modes de paiement, les numéros de téléphone, l’agence de voyage, le «statut» du voyageur («travel status of passenger»), l’adresse électronique, des observations générales, le numéro du siège occupé, l’information selon laquelle le passager est répertorié comme défaillant ainsi que les «informations APIS» éventuellement recueillies.
28 Le Conseil a adopté la décision 2004/496 notamment sur la base de l’article 95 CE, en liaison avec l’article 300, paragraphe 2, premier alinéa, première phrase, CE.
29 Aux termes des trois considérants de cette décision:
«(1) Le Conseil a autorisé la Commission, le 23 février 2004, à négocier, au nom de la Communauté, un accord avec les États-Unis d’Amérique sur le traitement et le transfert de données PNR par des transporteurs aériens au bureau des douanes et de la protection des frontières du ministère américain de la sécurité intérieure.
(2) Le Parlement européen n’a pas émis son avis dans le délai fixé, en vertu de l’article 300, paragraphe 3, premier alinéa, du traité, par le Conseil en vue de la nécessité urgente de remédier à la situation d’incertitude dans laquelle se trouvent les compagnies aériennes et les passagers et de protéger les intérêts financiers des parties concernées.
(3) Il convient d’approuver l’accord.»
30 L’article 1er de la décision 2004/496 prévoit:
«L’accord entre la Communauté européenne et les États-Unis d’Amérique sur le traitement et le transfert de données PNR par des transporteurs aériens au bureau des douanes et de la protection des frontières du ministère américain de la sécurité intérieure, est approuvé au nom de la Communauté.
Le texte de l’accord est joint à la présente décision.»
31 Ledit accord (ci-après l’«accord») est rédigé comme suit:
«La Communauté Européenne et les États-Unis d’Amérique,
Reconnaissant qu’il importe de respecter les droits et libertés fondamentaux, et notamment le droit au respect de la vie privée, et de respecter ces valeurs, tout en prévenant et en combattant le terrorisme et les délits qui y sont liés, ainsi que d’autres délits graves de nature transnationale, notamment la criminalité organisée,
Vu les lois et règlements américains exigeant de tout transporteur aérien assurant un service de transport international de passagers à destination ou au départ des États-Unis qu’il fournisse au [CBP] du ministère américain de la sécurité intérieure (ci-après dénommé ‘DHS’) un accès électronique aux données des [PNR] qui sont recueillies et stockées dans son système informatique de contrôle des réservations et des départs,
Vu la directive 95/46/CE, […] et notamment son article 7, point c),
Vu les engagements pris par le CBP le 11 mai 2004, qui seront publiés dans le registre fédéral américain (ci-après dénommés ‘les engagements’),
Vu la décision 2004/535/CE de la Commission adoptée le 14 mai 2004, conformément à l’article 25, paragraphe 6, de la directive 95/46/CE, en vertu de laquelle le CBP est censé assurer un niveau de protection adéquat des données PNR transférées de la Communauté européenne (ci-après dénommée ‘la Communauté’) et concernant les vols au départ ou à destination des États-Unis, conformément aux engagements ci-annexés (ci-après dénommée ‘la décision’),
Notant que les transporteurs aériens disposant de systèmes de contrôle des réservations et des départs et établis sur le territoire des États membres de la Communauté européenne doivent faire le nécessaire pour que les données PNR soient transmises au CBP dès que cela sera techniquement possible, mais que, d’ici là, les autorités américaines devront pouvoir accéder directement aux données, en vertu des dispositions du présent accord,
[…]
Sont convenus de ce qui suit:
1. Le CBP peut accéder, par voie électronique, aux données PNR provenant des systèmes de contrôle des réservations et des départs des transporteurs aériens (‘systèmes de réservation’) situés sur le territoire des États membres de la Communauté européenne, en application stricte de la décision et aussi longtemps que cette dernière sera applicable, c’est-à-dire jusqu’à ce qu’un système satisfaisant soit mis en place pour permettre la transmission de ces données par les transporteurs aériens.
[La version anglaise se lit comme suit: “CBP may electronically access the PNR data from air carriers reservation/departure control systems (‘reservation systems’) located within the territory of the Member State of the European Community strictly in accordance with the Decision and for so long as the Decision is applicable and only until there is a satisfactory system in place allowing for transmission of such data by the air carriers.”]
2. Les transporteurs aériens assurant un service de transport international de passagers à destination ou au départ des États-Unis traitent les données PNR stockées dans leurs systèmes informatiques de réservation comme demandé par le CBP en vertu de la législation américaine, en application stricte de la décision et aussi longtemps que cette dernière est applicable.
3. Le CBP prend note de la décision et déclare qu’il met en œuvre les engagements annexés à ladite décision.
4. Le CBP traite les données PNR reçues et les personnes concernées par ce traitement conformément aux lois et exigences constitutionnelles américaines, sans discrimination, en particulier sur la base de la nationalité et du pays de résidence.
[…]
7. Le présent accord entre en vigueur dès sa signature. Chaque partie peut dénoncer le présent accord à tout moment par notification par la voie diplomatique. L’accord cesse d’être applicable quatre-vingt-dix (90) jours après la date de la notification de la dénonciation à l’autre partie. Le présent accord peut être modifié à tout moment d’un commun accord écrit.
8. Le présent accord n’a pas pour objet de déroger à la législation des parties ni de la modifier; il ne crée ni ne confère aucun droit ou avantage sur toute autre personne ou entité, privée ou publique.»
32 Selon l’information du Conseil relative à la date de son entrée en vigueur (JO 2004, C 158, p. 1), l’accord, signé à Washington le 28 mai 2004 par un représentant de la présidence en exercice du Conseil et par le secrétaire à la sécurité intérieure des États-Unis d’Amérique, est, conformément à son point 7, entré en vigueur le jour de sa signature.
Les antécédents des litiges
33 À la suite des attaques terroristes du 11 septembre 2001, les États-Unis ont adopté en novembre de la même année une législation disposant que les transporteurs aériens assurant des liaisons à destination ou au départ des États-Unis, ou traversant le territoire de ces derniers, étaient tenus de fournir aux autorités douanières des États-Unis un accès électronique aux données contenues dans leurs systèmes automatiques de réservation et de contrôle des départs, désignées par les termes «Passenger Name Records» (ci-après les «données PNR»). Tout en reconnaissant la légitimité des intérêts de sécurité en jeu, la Commission a informé les autorités des États-Unis, dès juin 2002, que ces dispositions pouvaient entrer en conflit avec la législation communautaire et celle des États membres en matière de protection des données et avec certaines dispositions du règlement (CEE) n° 2299/89 du Conseil, du 24 juillet 1989, instaurant un code de conduite pour l’utilisation de systèmes informatisés de réservation (JO L 220, p. 1), tel que modifié par le règlement (CE) n° 323/1999 du Conseil, du 8 février 1999 (JO L 40, p. 1). Les autorités des États-Unis ont reporté l’entrée en vigueur des nouvelles dispositions, mais ont, en définitive, refusé de renoncer à infliger des sanctions aux compagnies aériennes ne se conformant pas à la législation concernant l’accès électronique aux données PNR après le 5 mars 2003. Depuis lors, plusieurs grandes compagnies aériennes de l’Union européenne ont fourni auxdites autorités un accès à leurs données PNR.
34 La Commission a entamé des négociations avec les autorités des États-Unis, lesquelles ont donné lieu à un document contenant des engagements («undertakings») pris par le CBP, en vue de l’adoption par la Commission d’une décision d’adéquation sur la base de l’article 25, paragraphe 6, de la directive.
35 Le 13 juin 2003, le groupe de protection des personnes à l’égard du traitement des données à caractère personnel, institué à l’article 29 de la directive, a rendu un avis dans lequel il a exprimé des doutes sur le niveau de protection des données garanti par lesdits engagements en ce qui concerne les traitements envisagés. Il a réitéré ces doutes dans un avis du 29 janvier 2004.
36 Le 1er mars 2004, la Commission a saisi le Parlement du projet de décision d’adéquation en vertu de l’article 25, paragraphe 6,
de la directive 95/46, assorti du projet d’engagements du CBP.
37 Le 17 mars 2004, la Commission a transmis au Parlement, dans la perspective de la consultation de celui-ci au titre de l’article 300, paragraphe 3, premier alinéa, CE, une proposition de décision du Conseil concernant la conclusion d’un accord avec les États-Unis. Par lettre du 25 mars 2004, se référant à la procédure d’urgence, le Conseil a demandé au Parlement de rendre un avis sur cette proposition pour le 22 avril 2004 au plus tard. Dans cette lettre, le Conseil a souligné que «la lutte contre le terrorisme, qui justifie les mesures proposées, est une priorité essentielle de l’Union européenne, [que,] actuellement, les transporteurs aériens et les passagers sont dans une situation d’incertitude à laquelle il convient de remédier d’urgence [et que], en plus, il est essentiel de protéger les intérêts financiers des parties concernées».
38 Le 31 mars 2004, en application de l’article 8 de la décision 1999/468/CE du Conseil, du 28 juin 1999, fixant les modalités de l’exercice des compétences d’exécution conférées à la Commission (JO L 184, p. 23), le Parlement a adopté une résolution faisant état d’un certain nombre de réserves d’ordre juridique sur la proposition qui lui avait été soumise. Dans cette résolution, il a considéré, en particulier, que le projet de décision d’adéquation excédait les compétences conférées à la Commission par l’article 25 de la directive. Il a appelé à la conclusion d’un accord international approprié respectant les droits fondamentaux sur un certain nombre de points détaillés dans ladite résolution et a demandé à la Commission de lui soumettre un nouveau projet de décision. Il s’est en outre réservé le droit de saisir la Cour aux fins de vérifier la légalité de l’accord international envisagé et, en particulier, la compatibilité de celui-ci avec la protection du droit à la vie privée.
39 Le 21 avril 2004, le Parlement a entériné, à la demande de son président, une recommandation de la commission juridique et du marché intérieur tendant à ce que, conformément à l’article 300, paragraphe 6, CE, soit recueilli l’avis de la Cour sur la compatibilité de l’accord envisagé avec les dispositions du traité. Cette procédure a été entamée le jour même.
40 Le Parlement a également décidé, le même jour, de renvoyer en commission le rapport sur la proposition de décision du Conseil, rejetant ainsi implicitement, à ce stade, la demande d’examen en urgence de ladite proposition présentée par le Conseil le 25 mars.
41 Le 28 avril suivant, le Conseil, se fondant sur l’article 300, paragraphe 3, premier alinéa, CE, a adressé une lettre au Parlement demandant à ce dernier de rendre son avis avant le 5 mai 2004 sur la proposition de décision relative à la conclusion de l’accord. Pour justifier l’urgence de cette demande, il a repris les motifs avancés dans sa lettre du 25 mars 2004.
42 Ayant pris connaissance de l’absence persistante de l’ensemble des versions linguistiques de la proposition de décision du Conseil, le Parlement a rejeté, le 4 mai 2004, la demande d’examen en urgence de cette proposition que le Conseil lui avait soumise le 28 avril.
43 Le 14 mai suivant, la Commission a adopté la décision d’adéquation, qui fait l’objet de l’affaire C-318/04. Le 17 mai 2004, le Conseil a adopté la décision 2004/496, qui fait l’objet de l’affaire C-317/04.
44 Par lettre du 4 juin 2004, la présidence en exercice du Conseil a informé le Parlement que la décision 2004/496 prenait en considération la lutte contre le terrorisme – prioritaire pour l’Union –, mais aussi le besoin de faire face à une situation d’insécurité juridique des compagnies aériennes, ainsi que leurs intérêts financiers.
45 Par lettre du 9 juillet 2004, le Parlement a informé la Cour du retrait de sa demande d’avis enregistrée sous le n° 1/04.
46 Dans l’affaire C-317/04, par ordonnances du président de la Cour des 18 novembre 2004 et 18 janvier 2005, la Commission et le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord ont été admis à intervenir à l’appui des conclusions du Conseil.
47 Dans l’affaire C-318/04, par ordonnance du président de la Cour du 17 décembre 2004, le Royaume-Uni a été admis à intervenir à l’appui des conclusions de la Commission.
48 Par ordonnances de la Cour du 17 mars 2005, le Contrôleur européen de la protection des données a été admis à intervenir à l’appui des conclusions du Parlement dans ces deux affaires.
49 Étant donné la connexité desdites affaires, confirmée lors de la procédure orale, il convient, conformément à l’article 43 du règlement de procédure, de les joindre aux fins de l’arrêt.
Sur le recours dans l’affaire C-318/04
50 Le Parlement invoque quatre moyens d’annulation, tirés respectivement d’un excès de pouvoir, d’une violation des principes essentiels de la directive, d’une violation des droits fondamentaux et d’une violation du principe de proportionnalité.
Sur la première branche du premier moyen, tirée d’une violation de l’article 3, paragraphe 2, premier tiret, de la directive
Argumentation des parties
51 Le Parlement soutient que la décision de la Commission a été adoptée ultra vires dès lors que n’ont pas été respectées les dispositions arrêtées dans la directive et en violation notamment de l’article 3, paragraphe 2, premier tiret, de celle-ci relatif à l’exclusion des activités qui ne relèvent pas du champ d’application du droit communautaire.
52 Il ne ferait pas de doute que le traitement des données PNR après le transfert à l’autorité américaine visée par la décision d’adéquation est effectué, et le sera, pour l’exercice d’activités propres aux États au sens du point 43 de l’arrêt du 6 novembre 2003, Lindqvist (C-101/01, Rec. p. I‑12971).
53 La Commission, soutenue par le Royaume-Uni, estime que les activités des transporteurs aériens entrent clairement dans le champ d’application du droit communautaire. Elle fait valoir que ces opérateurs privés traitent les données PNR au sein de la Communauté et organisent leur transfert vers un État tiers. Il s’agirait donc d’activités relevant des particuliers et non d’activités de l’État membre dans lequel opèrent les transporteurs concernés, ou de ses pouvoirs publics, ainsi que l’a défini la Cour au point 43 de l’arrêt Lindqvist, précité. Le but poursuivi par les transporteurs aériens dans le traitement des données PNR serait simplement de respecter les exigences du droit communautaire, y compris l’obligation inscrite au point 2 de l’accord. L’article 3, paragraphe 2, de la directive ferait référence aux activités d’autorités publiques qui ne relèvent pas du champ d’application du droit communautaire.
Appréciation de la Cour
54 L’article 3, paragraphe 2, premier tiret, de la directive exclut de son champ d’application le traitement de données à caractère personnel mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, les traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État et les activités de l’État relatives à des domaines du droit pénal.
55 La décision d’adéquation ne concerne que les données PNR transférées au CBP. Il ressort du sixième considérant de cette décision que les exigences de ce transfert se fondent sur une loi promulguée par les États-Unis en novembre 2001 et sur des règlements de mise en œuvre adoptés par le CBP en vertu de cette loi. Selon le septième considérant de ladite décision, la législation américaine en question concerne le renforcement de la sécurité ainsi que les conditions d’entrée aux États‑Unis et de sortie dudit pays. Aux termes du huitième considérant, la Communauté soutient entièrement les États-Unis dans leur lutte contre le terrorisme, dans les limites imposées par le droit de la Communauté. Le quinzième considérant de cette même décision énonce que les données PNR doivent être utilisées dans le but unique de prévenir et de combattre le terrorisme et les crimes liés au terrorisme, d’autres crimes graves, y compris la criminalité organisée, qui, par nature, revêtent un caractère transnational et la fuite en cas de mandat d’arrêt ou de mise en détention pour l’un des crimes susmentionnés.
56 Il en résulte que le transfert des données PNR au CBP constitue un traitement ayant pour objet la sécurité publique et les activités de l’État relatives à des domaines du droit pénal.
57 S’il est juste de considérer que les données PNR sont initialement collectées par les compagnies aériennes dans le cadre d’une activité qui relève du droit communautaire, à savoir la vente d’un billet d’avion qui donne droit à une prestation de services, toutefois, le traitement des données qui est pris en compte dans la décision d’adéquation possède une nature tout autre. En effet, cette décision, ainsi qu’il a été rappelé au point 55 du présent arrêt, ne vise pas un traitement de données nécessaire à la réalisation d’une prestation de services, mais considéré comme nécessaire pour sauvegarder la sécurité publique et à des fins répressives.
58 Au point 43 de l’arrêt Lindqvist, précité, qui a été invoqué par la Commission dans sa défense, la Cour a jugé que les activités mentionnées à titre d’exemple à l’article 3, paragraphe 2, premier tiret, de la directive sont, dans tous les cas, des activités propres aux États ou aux autorités étatiques et étrangères aux domaines d’activité des particuliers. Toutefois, il n’en découle pas que, en raison du fait que les données PNR ont été collectées par des opérateurs privés à des fins commerciales et que ce sont ces derniers qui organisent leur transfert vers un États tiers, le transfert en cause n’entre pas dans le champ d’application de cette disposition. En effet, ce transfert s’insère dans un cadre institué par les pouvoirs publics et visant la sécurité publique.
59 Il résulte des considérations qui précèdent que la décision d’adéquation concerne un traitement de données à caractère personnel au sens de l’article 3, paragraphe 2, premier tiret, de la directive. Cette décision ne relève donc pas du champ d’application de celle-ci.
60 Dès lors, la première branche du premier moyen, tirée d’une violation de l’article 3, paragraphe 2, premier tiret, de la directive, est fondée.
61 Par conséquent, sans qu’il soit nécessaire d’examiner les autres branches du premier moyen ainsi que les autres moyens invoqués par le Parlement, il y a lieu d’annuler la décision d’adéquation.
Sur le recours dans l’affaire C-317/04
62 Le Parlement avance six moyens d’annulation, tirés du choix erroné de l’article 95 CE comme base juridique de la décision 2004/496 et de la violation, respectivement, de l’article 300, paragraphe 3, deuxième alinéa, CE, de l’article 8 de la CEDH, du principe de proportionnalité, de l’exigence de motivation et du principe de coopération loyale.
Sur le premier moyen, tiré du choix erroné de l’article 95 CE comme base juridique de la décision 2004/496
Argumentation des parties
63 Le Parlement fait valoir que l’article 95 CE ne constitue pas, pour la décision 2004/496, une base juridique appropriée. Cette décision n’aurait pas pour but et pour contenu l’établissement et le fonctionnement du marché intérieur en contribuant à l’élimination d’entraves à la libre prestation des services et ne contiendrait pas de dispositions visant à la réalisation d’un tel but. En effet, elle aurait pour finalité de légaliser le traitement de données à caractère personnel prescrit par la législation des États-Unis. D’ailleurs, l’article 95 CE ne serait pas susceptible de fonder la compétence de la Communauté pour conclure l’accord, puisque celui-ci vise des traitements de données exclus du champ d’application de la directive.
64 Le Conseil soutient que la directive, valablement adoptée sur le fondement de l’article 100 A du traité, contient à son article 25 des dispositions prévoyant la possibilité d’un transfert de données à caractère personnel vers un États tiers assurant un niveau de protection adéquat, y compris la possibilité d’engager en cas de besoin des négociations conduisant à la conclusion par la Communauté d’un accord avec ce pays. L’accord concernerait la libre circulation des données PNR entre la Communauté et les États-Unis dans des conditions qui respectent les libertés et les droits fondamentaux des personnes, notamment la vie privée. Il viserait à supprimer toute distorsion de concurrence, entre les compagnies aériennes des États membres et entre celles-ci et les compagnies des États tiers, pouvant résulter des exigences imposées par les États-Unis, pour des raisons relatives à la protection des droits et libertés des personnes. Les conditions de concurrence entre les compagnies des États membres assurant un service de transport international de passagers à destination ou au départ des États-Unis auraient pu être faussées en raison du fait que seulement certaines d’entre elles auraient accordé aux autorités des États-Unis un accès à leurs bases de données. L’accord tendrait à imposer à toutes les compagnies concernées des obligations harmonisées.
65 La Commission souligne l’existence d’un «conflit de lois», au sens du droit international public, entre les lois des États-Unis et la réglementation communautaire ainsi que la nécessité de concilier celles-ci. Elle reproche au Parlement, qui conteste que l’article 95 CE puisse constituer la base juridique de la décision 2004/496, de n’avoir pas proposé de base juridique appropriée. Selon la Commission, ledit article constitue «la base juridique naturelle» de cette décision puisque l’accord concerne la dimension externe de la protection des données à caractère personnel lors de leur transfert à l’intérieur de la Communauté. Les articles 25 et 26 de la directive fonderaient une compétence exclusive externe en faveur de la Communauté.
66 En outre, la Commission fait valoir que le traitement initial de ces données par les compagnies aériennes est effectué dans des buts commerciaux. L’utilisation que font les autorités des États-Unis de ces données ne les ferait pas échapper à l’incidence de la directive.
Appréciation de la Cour
67 L’article 95 CE, lu en combinaison avec l’article 25 de la directive, n’est pas susceptible de fonder la compétence de la Communauté pour conclure l’accord.
68 En effet, l’accord vise le même transfert de données que la décision d’adéquation et donc des traitements de données qui sont, ainsi qu’il a été exposé ci-dessus, exclus du champ d’application de la directive.
69 Par conséquent, la décision 2004/496 n’a pu être valablement adoptée sur le fondement de l’article 95 CE.
70 Sans qu’il soit nécessaire d’examiner les autres moyens invoqués par le Parlement, il convient donc d’annuler cette décision.
Sur la limitation des effets de l’arrêt
71 Il ressort du point 7 de l’accord que chaque partie peut dénoncer celui-ci à tout moment et qu’il cesse d’être applicable 90 jours après la date de la notification de la dénonciation à l’autre partie.
72 Cependant, conformément aux points 1 et 2 de l’accord, le droit d’accès du CBP aux données PNR et l’obligation imposée aux transporteurs aériens de les traiter comme demandé par le CBP n’existent qu’aussi longtemps que la décision d’adéquation est applicable. Au point 3 dudit accord, le CBP a déclaré qu’il met en œuvre les engagements annexés à ladite décision.
73 Eu égard, d’une part, au fait que la Communauté ne peut invoquer son propre droit comme justifiant la non-exécution de l’accord qui reste applicable pendant le délai de 90 jours à compter de sa dénonciation et, d’autre part, au lien étroit existant entre l’accord et la décision d’adéquation, il paraît justifié, pour des raisons de sécurité juridique et afin de protéger les personnes concernées, de maintenir les effets de la décision d’adéquation pendant cette même période. En outre, il convient de tenir compte du délai nécessaire à l’adoption des mesures que comporte l’exécution du présent arrêt.
74 Il y a donc lieu de maintenir les effets de la décision d’adéquation jusqu’au 30 septembre 2006, sans toutefois que ces effets soient maintenus au-delà de la date d’extinction de l’accord.
Sur les dépens
75 Aux termes de l’article 69, paragraphe 2, du règlement de procédure, toute partie qui succombe est condamnée aux dépens, s’il est conclu en ce sens. Le Parlement ayant conclu à la condamnation du Conseil et de la Commission et ceux-ci ayant succombé en leurs moyens, il y a lieu de les condamner aux dépens. En application du paragraphe 4, premier alinéa, du même article, les intervenants aux présents litiges supportent leurs propres dépens.
Par ces motifs, la Cour (grande chambre) déclare et arrête:
1) La décision 2004/496/CE du Conseil, du 17 mai 2004, concernant la conclusion d’un accord entre la Communauté européenne et les États-Unis d’Amérique sur le traitement et le transfert de données PNR par des transporteurs aériens au bureau des douanes et de la protection des frontières du ministère américain de la sécurité intérieure, et la décision 2004/535/CE de la Commission, du 14 mai 2004, relative au niveau de protection adéquat des données à caractère personnel contenues dans les dossiers des passagers aériens transférés au Bureau des douanes et de la protection des frontières des États-Unis d’Amérique, sont annulées.
2) Les effets de la décision 2004/535 sont maintenus jusqu’au 30 septembre 2006, sans toutefois que ces effets soient maintenus au-delà de la date d’extinction dudit accord.
3) Le Conseil de l’Union européenne est condamné aux dépens dans l’affaire C-317/04.
4) La Commission des Communautés européennes est condamnée aux dépens dans l’affaire C-318/04.
5) La Commission des Communautés européennes supporte ses propres dépens dans l’affaire C-317/04.
6) Le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord ainsi que le Contrôleur européen de la protection des données supportent leurs propres dépens.
Signatures
* Langue de procédure: le français.