Bombe sur les données PNR EU-Canada : avis 1/15 Conclusions de l’avocat général CJUE

Avis 1/15 : dans ses conclusions présentées le 8 septembre 2016, l’avocat général de la CJUE, M. PAOLO MENGOZZI, décide que l’accord sur le transfert des données des dossiers passagers (données PNR), prévu entre l’Union européenne et le Canada, ne peut pas être conclu sous sa forme actuelle.

 L’accord ayant été signé en 2014 et le Conseil de l’Union européenne a demandé au Parlement européen de l’approuver. Ce dernier a alors décidé de saisir la Cour de justice pour savoir si l’accord envisagé était conforme au droit de l’Union garantissant le respect de la vie privée et familiale ainsi que la protection des données à caractère personnel. Le Parlement européen se demande notamment si, malgré les garanties inscrites dans l’accord, l’ingérence dans le droit fondamental à la protection des données est justifiée. On notera que c’est la première fois que la Cour doit se prononcer sur la compatibilité d’un projet d’accord international avec la Charte des droits fondamentaux de l’UE.

1) D’abord, le Parlement souhaite savoir si l’accord envisagé doit se fonder juridiquement sur les articles 82 et 87 TFUE (coopération judiciaire en matière pénale et coopération policière) ou bien sur l’article 16 TFUE (protection des données à caractère personnel).

À cet égard, l’avocat général répond que l’accord doit être conclu à la fois sur la base des articles 16 et 87 TFUE. En effet, l’accord envisagé poursuit deux objectifs indissociables et d’importance égale (à savoir d’une part la lutte contre le terrorisme et la criminalité transnationale grave – qui ressort de l’article 87 TFUE – et d’autre part la protection des données à caractère personnel – qui ressort de l’article 16 TFUE)

L’avocat général propose à la CJUE de rendre la décision suivante : 

“L’acte du Conseil portant conclusion de l’accord envisagé entre le Canada et l’Union européenne sur le transfert et le traitement de données des dossiers passagers (PNR), signé le 25 juin 2014, doit être fondé sur l’article 16, paragraphe 2, premier alinéa, et l’article 87, paragraphe 2, sous a), TFUE, lus en combinaison avec l’article 218, paragraphe 6, sous a), v), TFUE”.

Ensuite,

2) Ensuite, l’avocat général considère que l’accord envisagé est compatible avec l’article 16 TFUE et les articles 7, 8, et l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, sous certaines réserves. Il pose les condition suivantes :

–        les catégories de données des dossiers passagers (PNR) des passagers aériens, énumérées à l’annexe de l’accord envisagé, soient libellées de manière claire et précise et que les données sensibles, au sens de l’accord envisagé, soient exclues du champ d’application de ce dernier ;

–        les infractions relevant de la définition des formes graves de criminalité transnationale , prévue à l’article 3, paragraphe 3, de l’accord envisagé soient énumérées exhaustivement dans celui-ci ou dans une annexe à ce dernier ;

–        l’accord envisagé identifie de manière suffisamment claire et précise l’autorité chargée du traitement des données des dossiers passagers, de manière à assurer la protection et la sécurité desdites données ;

–        l’accord envisagé précise explicitement les principes et les règles applicables tant aux scenarii ou aux critères d’évaluation préétablis qu’aux bases de données à l’égard desquels les données des dossiers passagers sont confrontées dans le cadre du traitement automatisé de ces données, permettant de délimiter, dans une large mesure et de manière non discriminatoire, le nombre de personnes « ciblées » à celles sur lesquelles pèsent un soupçon raisonnable de participation à une infraction terroriste ou un acte grave de criminalité transnationale  ;

–        l’accord envisagé spécifie que seuls les fonctionnaires de l’autorité canadienne compétente sont habilités à accéder aux données des dossiers passagers et prévoit des critères objectifs permettant de préciser le nombre de ces fonctionnaires ;

–        l’accord envisagé indique, de manière motivée, les raisons objectives justifiant la nécessité de conserver toutes les données des dossiers passagers pour une période maximale de cinq ans ;

–        dans l’hypothèse où la durée de conservation maximale de cinq ans des données des dossiers passagers est considérée comme étant nécessaire, l’accord envisagé assure une « dépersonnalisation » par masquage de toutes les données PNR permettant d’identifier directement un passager aérien ;

–        l’accord envisagé subordonne l’examen effectué par l’autorité canadienne compétente relatif au niveau de protection assuré par d’autres autorités publiques canadiennes et par celles de pays tiers, ainsi que la décision éventuelle de divulguer, au cas par cas, des données des dossiers passagers auxdites autorités, à un contrôle ex ante par une autorité indépendante ou par une juridiction ;

–        l’intention de transférer des données des dossiers passagers d’un ressortissant d’un État membre de l’Union européenne à une autre autorité publique canadienne ou à une autorité publique d’un pays tiers fasse l’objet d’une information préalable aux autorités compétentes de l’État membre en question et/ou à la Commission européenne avant toute communication effective ;

–        l’accord envisagé garantisse de manière systématique, par une règle claire et précise, un contrôle par une autorité indépendante, au sens de l’article 8, paragraphe 3, de la charte des droits fondamentaux de l’Union européenne, du respect de la vie privée et de la protection des données à caractère personnel des passagers dont les données des dossiers passagers sont traitées, et

–        l’accord envisagé précise clairement que les demandes d’accès, de correction et d’annotation effectuées par des passagers n’étant pas présents sur le territoire canadien peuvent être portées, soit directement, soit par la voie d’un recours administratif, devant une autorité publique indépendante.

3) Enfin, l’avocat général considère en revanche que l’accord envisagé est incompatible avec les articles 7, 8 et l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne dans la mesure où :

–        l’article 3, paragraphe 5, de l’accord envisagé permet, au-delà de ce qui est strictement nécessaire, d’élargir les possibilités de traitement de données des dossiers passagers, indépendamment de la finalité, indiquée à l’article 3 dudit accord, de prévention et de détection des infractions terroristes et des actes graves de criminalité transnationale ;

–        l’article 8 de l’accord envisagé prévoit le traitement, l’utilisation et la conservation par le Canada de données des dossiers passagers contenant des données sensibles ;

–        l’article 12, paragraphe 3, de l’accord envisagé accorde au Canada, au-delà de ce qui est strictement nécessaire, le droit de divulguer toute information pour autant qu’il se conforme à des exigences et à des limites juridiques raisonnables ;

–        l’article 16, paragraphe 5, de l’accord envisagé autorise le Canada à conserver des données des dossiers passagers pour une période maximale de cinq ans pour, notamment, toute action spécifique, vérification, enquête ou procédure juridictionnelle , sans que soit requis un lien quelconque avec la finalité, indiquée à l’article 3 dudit accord, de prévention et de détection des infractions terroristes et des actes graves de criminalité transnationale , et

–        l’article 19 de l’accord envisagé admet que le transfert de données des dossiers passagers à une autorité publique d’un pays tiers puisse être réalisé sans que l’autorité canadienne compétente, sous le contrôle d’une autorité indépendante, se soit préalablement assurée que l’autorité publique destinatrice du pays tiers en question ne puisse pas elle-même ultérieurement communiquer lesdites données à une autre entité, le cas échéant, d’un autre pays tiers.

Ces conclusions sont clairement dans la lignée des précédents arrêts de la Cour de justice concernant la protection des données personnelles, en particulier les arrêts Digital Rights Ireland (CJUE, 8 avril 2014, aff. C-293/12 et C-594/12) qui invalida la directive 2006/24/CE) et l’arrêt Schrems (CJUE, 6 octobre 2015, aff. C-362/14 qui invalida l’accord Safe Harbor avec les Etats-Unis).

Selon le communiqué de presse de la Cour de justice, la position de l’avocat général indique qu’ “il y a lieu de suivre la voie tracée par ces arrêts et de soumettre l’accord envisagé à un contrôle strict au regard du droit au respect de la vie privée et familiale et du droit à la protection des données à caractère personnel. Il est en effet nécessaire que, au moment où les technologies modernes permettent aux autorités publiques, au nom de la lutte contre le terrorisme et la criminalité transnationale grave, de développer des méthodes extrêmement sophistiquées de surveillance de la vie privée des individus et d’analyse de leurs données à caractère personnel, la Cour s’assure que les mesures projetées, fussent-elles sous la forme d’accords internationaux envisagés, reflètent une pondération équilibrée entre le souci légitime de préserver la sécurité publique et celui, non moins fondamental, à ce que toute personne puisse jouir d’un niveau élevé de protection de sa vie privée et de ses propres données“.

Nous ne saurions mieux dire !

Sur la question de la confrontation entre la sécurité et la vie privée, voir l’analyse du professeur Daniel J. Solove qui dénonce les arguments fallacieux du “All or nothing argument”, in “Nothing to hide : the false trade-off between Privacy and Security”, Yale University Press 2011.

Voir en libre accès son article : http://papers.ssrn.com/sol3/papers.cfm?abstract_id=998565.

Ce contenu a été mis à jour le 14 October 2016 à 8 h 58 min.

Commentaires

Laisser un commentaire