Données personnelles des passagers aériens voyageant vers les USA : la Commission impose l’accord qu’elle a négocié
Publié le 01/06/2004 par Etienne Wery
Cette foi, c’est fait ! La Commission européenne a tranché dans l’épineux dossier des données personnelles des passagers aériens sur les vols vers les Etats-Unis. Elle a choisi de satisfaire son partenaire américain, plutôt que le Parlement européen qui l’invitait à attendre l’avis de la Cour de justice ; laquelle Cour pourrait, si le Parlement…
Cette foi, c’est fait ! La Commission européenne a tranché dans l’épineux dossier des données personnelles des passagers aériens sur les vols vers les Etats-Unis. Elle a choisi de satisfaire son partenaire américain, plutôt que le Parlement européen qui l’invitait à attendre l’avis de la Cour de justice ; laquelle Cour pourrait, si le Parlement met en œuvre sa menace, être saisie d’un recours.
La Commission européenne a donc adopté une décision formelle par laquelle elle estime que les données des passagers communiquées aux autorités américaines bénéficient de la « protection adéquate » requise par la directive sur la protection des données en ce qui concerne les données envoyées aux pays n’appartenant pas à l’Union européenne.
Preuve de la tension qui règne dans ce dossier, le commissaire chargé du marché intérieur, Frits Bolkestein qui a conduit les négociations pour le compte de la Commission a déclaré:
« Une solution négociée n’est jamais parfaite, notamment lorsque vous êtes en présence d’une loi adoptée par le Congrès des États-unis dans la conviction bien compréhensible que la protection des États-unis contre le terrorisme est d’une importance vitale. Le secrétaire d’État pour la sécurité intérieure, Tom Ridge, a adopté une approche très constructive et nous sommes parvenus à une solution équilibrée qui a reçu l’assentiment des États membres. Le Parlement européen voit les choses différemment mais la Commission estime que la solution négociée améliorera la situation des citoyens et des compagnies aériennes de l’Union européenne en obtenant que les États-unis garantissent largement le respect de leurs droits en matière de protection des données et le renforcement de la certitude juridique. Nous ne recherchons pas une confrontation avec le Parlement qui nous a aidé à obtenir des améliorations de la part des États-unis grâce à la forte pression politique qu’il exerce depuis mars 2003. Nous agissons de la manière qui nous paraît la plus à même de garantir les objectifs que nous poursuivons depuis l’an passé, à savoir une meilleure protection des données et une protection juridique renforcée pour les compagnies aériennes auxquelles la législation américaine fait obligation de communiquer ces données, tout en prenant les mesures indispensables afin que les passagers ne souffrent pas de retards qui pourraient être évités.
L’autre cas de figure aurait été l’absence de nouvelles concessions de la part des États-Unis, l’incertitude juridique et l’annulation éventuelle des engagements des États-unis de protéger les données transférées – en d’autres termes, le chaos pour les compagnies aériennes de l’Union européenne. »
Rétroactes
Au lendemain des événements du 11 septembre 2001, le Congrès américain a voté une loi faisant obligation à toutes les compagnies aériennes exploitant des liaisons à destination ou au départ des États-Unis de permettre un accès électronique à leurs données passagers (PNR). Les États-unis ont accepté à plusieurs reprises de reporter l’application de ces dispositions aux compagnies aériennes basées dans l’Union européenne en raison des préoccupations exprimées par ces dernières avec le soutien de la Commission européenne, quant à la possibilité que cette loi aille à l’encontre de la législation européenne sur la protection des données. Les douanes américaines ont cependant manifesté leur intention de commencer à sanctionner les transporteurs aériens qui ne communiqueraient pas leur PNR à partir du 5 mars 2003. La Commission s’est alors engagée dans des négociations approfondies avec le ministère américain de la sécurité intérieure (US Department of Homeland Security: DHS) afin d’obtenir que les données PNR transférées aux États-Unis bénéficient d’une protection adéquate, suivant les dispositions la directive européenne sur la protection des données. Entre temps, la plupart des compagnies aériennes de l’Union européenne ont commencé à fournir les PNR aux États-Unis, comme la demande leur en était faite.
La Commission a annoncé en décembre 2003 qu’elle était parvenue à une conclusion satisfaisante de ses négociations avec les États-unis et était disposée à lancer les procédures formelles d’adoption d’une décision de la Commission déterminant que le Bureau des douanes et de la protection des frontières des États-unis (CBP) assure une protection adéquate (voir SPEECH/03/613).
Selon la Commission, les déclarations d’engagement (« undertakings ») du CBP constituent de notables améliorations pour la protection des données, si l’on compare avec la situation actuelle. En particulier, l’exécutif européen met en avant les points suivants :
-
un nombre plus réduit de données seront collectées et conservées par les autorités américaines. Une liste de 34 catégories a été convenue (les PNR de certaines compagnies aériennes contiennent plus de 60 champs) et un nombre limité de ces champs sera rempli dans la majorité des dossiers individuels
-
les données sensibles telles que les commandes de repas ou des exigences spéciales de passagers pouvant par exemple donner une indication de la race, de la religion ou de la santé personnelle ne seront pas transmises ou si elles le sont, seront filtrées et supprimées ultérieurement par l’US CBP
-
les PNR ne serviront qu’à la lutte contre ou à la prévention du terrorisme, de la criminalité liée au terrorisme et de la grande criminalité y compris la criminalité organisée de nature transnationale et non pas à une application beaucoup plus large de dispositions répressives, comme les États-Unis le souhaitaient à l’origine
-
il n’y aura pas de partage « en vrac » des PNR, afin de répondre aux préoccupations concernant l’utilisation des PNR dans des systèmes de surveillance généralisée qui seraient en cours d’élaboration aux États-Unis. Le CBP ne partagera les données tirées des PNR que sur une base limitée au cas par cas et seulement pour répondre à des objectifs convenus. Lorsque des données provenant des États-Unis sont transférées dans de telles conditions strictes à des autorités de répression d’un pays en dehors des États-Unis, une autorité désignée dans l’Union européenne sera systématiquement notifiée
-
la plupart des données PNR seront effacées après un délai de trois ans et demi (à comparer aux cinquante années maximales proposées à l’origine par les États-Unis). Les fichiers consultés seront conservés dans un fichier de données effacées pour une période supplémentaire de huit ans à des fins d’audit (alors que ces données devaient être conservées indéfiniment à l’origine)
-
les autorités chargées de la protection des données dans l’Union européenne auront la possibilité d’examiner avec le Haut responsable de la vie privée (Chief Privacy Officer) du DHS les cas de passagers dont les plaintes concernant par exemple une possible utilisation abusive de leurs données ou la non correction des inexactitudes, ne sont pas réglées de manière satisfaisante par le DHS.
Pour que ces engagements soient appliqués, le DHS et une équipe conduite par la Commission et formée de représentants des autorités chargées de la protection des données des États membres et des autorités de répression, dresseront un bilan de la situation, au moins une fois par an.
Le système convenu entre les deux parties prévoit également la réciprocité lorsque l’Union européenne ou ses États membres imposeront des exigences similaires aux PNR des vols en provenance des États-Unis. Les États-Unis s’engagent également à ne pas appliquer de discrimination illicite à l’encontre de citoyens et de résidents non américains. Le système complet s’appliquera sur une période de trois ans et demi et sera prolongé si les deux parties en prennent la décision. C’est donc un nouvel arrangement provisoire que la Commission espère voir remplacé en temps voulu par des normes internationales convenues au niveau de l’Organisation de l’aviation civile internationale (OACI). L’Union européenne a récemment décidé d’engager des discussions dans le cadre de l’OACI sur l’utilisation des PNR au titre de la sécurité aux frontières et dans les transports aériens.
L’amélioration de la protection des données et les autres avantages attendus seront réalisés par la mise en place de deux instruments juridiques:
Le premier est la décision adoptée par la Commission en vertu des pouvoirs qui lui sont conférés par l’article 25, paragraphe 6 de la directive sur la protection des données, pour déterminer que l’US CBP, bénéficiaire et « propriétaire » des données aux États-Unis assure une « protection adéquate », sur la base de ses engagements.
Conformément à la directive, le transfert de données à caractère personnel faisant l’objet d’un traitement après leur transfert vers un pays non membre de la Communauté européenne, ne peut avoir lieu que si le pays en question assure un niveau de protection adéquat.
Le caractère adéquat du niveau de protection s’apprécie au regard de toutes les circonstances relatives à un transfert de données ou à une catégorie de transferts de données. Il est notamment tenu compte de la nature des données, de la finalité et de la durée du ou des traitements envisagés, des pays d’origine et de destination finale, des règles de droit, générales et sectorielles, en vigueur dans le pays en cause, ainsi que des règles professionnelles et des mesures de sécurité qui y sont respectées. Le Groupe de travail créé par l’article 29 de la directive – plus communément appelé Groupe 29 – s’est penché sur les critères d’appréciation du caractère adéquat de la protection. Sa note de travail du 24 juillet 1998 dégage un régime général d’appréciation et propose une grille d’évaluation. La note analyse également le cas particulier des flux vers les pays signataires de la Convention 108 du Conseil de l’Europe, qui bénéficient d’un a priori favorable, sous la double condition que le pays en question dispose d’un mécanisme institutionnel approprié, propre à garantir le respect des règles et à assurer un soutien aux personnes concernées, et que ce pays soit la destination finale du transfert, sauf si le transfert ultérieur s’effectue en direction de l’Union Européenne ou vers un autre pays offrant une protection adéquate. Enfin, la synthèse du Groupe 29 propose une grille d’évaluation spécifique pour les pays qui assurent la protection de la vie privée non par le biais de textes législatifs, mais par des mécanismes d’autoréglementation.
Il reste que déterminer au cas par cas les pays qui dispose d’un niveau de protection adéquat est une entreprise périlleuse, qui risque en outre de créer des divergences d’interprétation. C’est pourquoi l’article 25, paragraphe 6 de la directive sur la protection des données, permet à la Commission de décider que tel pays satisfait aux critères. Cette décision s’impose aux Etats. C’est ce qu’elle vient de faire, non pas pour un pays mais pour le système mis en place.
Le second est un accord international bilatéral entre l’Union européenne et les États-Unis qui complète la « constatation d’un niveau de protection adéquat » et couvre des aspects tels que la non discrimination, la réciprocité et l’accès direct de l’US CBP aux bases de données des compagnies aériennes tant que l’UE n’utilisera pas de système de transfert de données de ce type ainsi que l’adoption par la législation européenne de l’exigence américaine imposée aux compagnies aériennes de fournir les données PNR. Il incombe aux ministres de l’Union européenne de conclure l’accord international conformément à l’article 300, paragraphe 3 du traité. Les engagements américains et les améliorations qui en résulteront prendront effet dès que la décision sur le niveau de protection adéquat et l’accord international entreront en vigueur.
Que fera le Parlement ?
On sait que le Parlement européen a adopté le 31 mars 2004 une résolution dans laquelle il considère que les déclarations d’engagement des États-Unis ne constituent pas une protection adéquate et invite instamment la Commission à revenir sur sa décision et à renégocier un accord plus important avec les États-Unis. Le Parlement se réserve le droit de saisir la Cour de justice si la Commission maintient ses objectifs. Le 21 avril, le Parlement a également décidé de demander à la Cour à se prononcer sur la question de savoir si l’accord international n’aurait pas dû être soumis au Parlement pour accord en raison du fait qu’il modifie la directive sur la protection des données.
Selon la jurisprudence de la Cour de justice, la demande d’avis de la part du Parlement européen sera sans objet si l’accord est conclu par le Conseil. Toutefois, le Parlement aurait alors la possibilité d’exercer son droit de recours visé à l’article 230 du traité pour obtenir l’annulation de l’accord international ou de la décision concernant le constat du niveau de protection adéquat ou des deux dossiers.
Plus d’infos ?
En prenant connaissance de la décision adoptée par la Commission, en ligne sur notre site.
En faisant une recherche sur notre site, sous le mot-clef « PNR ».