La Cour de Justice va-t-elle interdire le transfert aux autorités US des données des passagers se rendant aux USA ? L’avocat général le suggère
Publié le 27/11/2005 par Etienne Wery
L’avocat général de la cour de justice propose d’annuler les décisions européennes permettant le transfert aux autorités américaines des données personnelles concernant les passagers aériens à destination des États-Unis. Selon lui, ni la décision du Conseil qui approuve l’accord, ni la décision de la Commission constatant la protection adéquate de ces données par les États-Unis,…
L’avocat général de la cour de justice propose d’annuler les décisions européennes permettant le transfert aux autorités américaines des données personnelles concernant les passagers aériens à destination des États-Unis. Selon lui, ni la décision du Conseil qui approuve l’accord, ni la décision de la Commission constatant la protection adéquate de ces données par les États-Unis, ne sont fondées sur une base juridique appropriée.
Rétroactes
Au lendemain des événements du 11 septembre 2001, le Congrès américain a voté une loi faisant obligation à toutes les compagnies aériennes exploitant des liaisons à destination ou au départ des États-Unis de permettre un accès électronique à leurs données passagers (PNR). Les États-unis ont accepté à plusieurs reprises de reporter l’application de ces dispositions aux compagnies aériennes basées dans l’Union européenne en raison des préoccupations exprimées par ces dernières avec le soutien de la Commission européenne, quant à la possibilité que cette loi aille à l’encontre de la législation européenne sur la protection des données. Les douanes américaines ont cependant manifesté leur intention de commencer à sanctionner les transporteurs aériens qui ne communiqueraient pas leur PNR à partir du 5 mars 2003. La Commission s’est alors engagée dans des négociations approfondies avec le ministère américain de la sécurité intérieure (US Department of Homeland Security: DHS) afin d’obtenir que les données PNR transférées aux États-Unis bénéficient d’une protection adéquate, suivant les dispositions la directive européenne sur la protection des données. Entre temps, la plupart des compagnies aériennes de l’Union européenne ont commencé à fournir les PNR aux États-Unis, comme la demande leur en était faite.
La Commission a annoncé en décembre 2003 qu’elle était parvenue à une conclusion satisfaisante de ses négociations avec les États-unis et était disposée à lancer les procédures formelles d’adoption d’une décision de la Commission déterminant que le Bureau des douanes et de la protection des frontières des États-unis (CBP) assure une protection adéquate (voir SPEECH/03/613).
Selon la Commission, les déclarations d’engagement (« undertakings ») du CBP constituent de notables améliorations pour la protection des données, si l’on compare avec la situation actuelle. En particulier, l’exécutif européen met en avant les points suivants :
-
un nombre plus réduit de données seront collectées et conservées par les autorités américaines. Une liste de 34 catégories a été convenue (les PNR de certaines compagnies aériennes contiennent plus de 60 champs) et un nombre limité de ces champs sera rempli dans la majorité des dossiers individuels
-
les données sensibles telles que les commandes de repas ou des exigences spéciales de passagers pouvant par exemple donner une indication de la race, de la religion ou de la santé personnelle ne seront pas transmises ou si elles le sont, seront filtrées et supprimées ultérieurement par l’US CBP
-
les PNR ne serviront qu’à la lutte contre ou à la prévention du terrorisme, de la criminalité liée au terrorisme et de la grande criminalité y compris la criminalité organisée de nature transnationale et non pas à une application beaucoup plus large de dispositions répressives, comme les États-Unis le souhaitaient à l’origine
-
il n’y aura pas de partage « en vrac » des PNR, afin de répondre aux préoccupations concernant l’utilisation des PNR dans des systèmes de surveillance généralisée qui seraient en cours d’élaboration aux États-Unis. Le CBP ne partagera les données tirées des PNR que sur une base limitée au cas par cas et seulement pour répondre à des objectifs convenus. Lorsque des données provenant des États-Unis sont transférées dans de telles conditions strictes à des autorités de répression d’un pays en dehors des États-Unis, une autorité désignée dans l’Union européenne sera systématiquement notifiée
-
la plupart des données PNR seront effacées après un délai de trois ans et demi (à comparer aux cinquante années maximales proposées à l’origine par les États-Unis). Les fichiers consultés seront conservés dans un fichier de données effacées pour une période supplémentaire de huit ans à des fins d’audit (alors que ces données devaient être conservées indéfiniment à l’origine)
-
les autorités chargées de la protection des données dans l’Union européenne auront la possibilité d’examiner avec le Haut responsable de la vie privée (Chief Privacy Officer) du DHS les cas de passagers dont les plaintes concernant par exemple une possible utilisation abusive de leurs données ou la non correction des inexactitudes, ne sont pas réglées de manière satisfaisante par le DHS.
Pour que ces engagements soient appliqués, le DHS et une équipe conduite par la Commission et formée de représentants des autorités chargées de la protection des données des États membres et des autorités de répression, dresseront un bilan de la situation, au moins une fois par an.
Le système convenu entre les deux parties prévoit également la réciprocité lorsque l’Union européenne ou ses États membres imposeront des exigences similaires aux PNR des vols en provenance des États-Unis. Les États-Unis s’engagent également à ne pas appliquer de discrimination illicite à l’encontre de citoyens et de résidents non américains. Le système complet s’appliquera sur une période de trois ans et demi et sera prolongé si les deux parties en prennent la décision. C’est donc un nouvel arrangement provisoire que la Commission espère voir remplacé en temps voulu par des normes internationales convenues au niveau de l’Organisation de l’aviation civile internationale (OACI). L’Union européenne a récemment décidé d’engager des discussions dans le cadre de l’OACI sur l’utilisation des PNR au titre de la sécurité aux frontières et dans les transports aériens.
L’amélioration de la protection des données et les autres avantages attendus seront réalisés par la mise en place de deux instruments juridiques:
Le premier est la décision adoptée par la Commission en vertu des pouvoirs qui lui sont conférés par l’article 25, paragraphe 6 de la directive sur la protection des données, pour déterminer que l’US CBP, bénéficiaire et « propriétaire » des données aux États-Unis assure une « protection adéquate », sur la base de ses engagements.
Conformément à la directive, le transfert de données à caractère personnel faisant l’objet d’un traitement après leur transfert vers un pays non membre de la Communauté européenne, ne peut avoir lieu que si le pays en question assure un niveau de protection adéquat.
Le caractère adéquat du niveau de protection s’apprécie au regard de toutes les circonstances relatives à un transfert de données ou à une catégorie de transferts de données. Il est notamment tenu compte de la nature des données, de la finalité et de la durée du ou des traitements envisagés, des pays d’origine et de destination finale, des règles de droit, générales et sectorielles, en vigueur dans le pays en cause, ainsi que des règles professionnelles et des mesures de sécurité qui y sont respectées. Le Groupe de travail créé par l’article 29 de la directive – plus communément appelé Groupe 29 – s’est penché sur les critères d’appréciation du caractère adéquat de la protection. Sa note de travail du 24 juillet 1998 dégage un régime général d’appréciation et propose une grille d’évaluation. La note analyse également le cas particulier des flux vers les pays signataires de la Convention 108 du Conseil de l’Europe, qui bénéficient d’un a priori favorable, sous la double condition que le pays en question dispose d’un mécanisme institutionnel approprié, propre à garantir le respect des règles et à assurer un soutien aux personnes concernées, et que ce pays soit la destination finale du transfert, sauf si le transfert ultérieur s’effectue en direction de l’Union Européenne ou vers un autre pays offrant une protection adéquate. Enfin, la synthèse du Groupe 29 propose une grille d’évaluation spécifique pour les pays qui assurent la protection de la vie privée non par le biais de textes législatifs, mais par des mécanismes d’autoréglementation.
Il reste que déterminer au cas par cas les pays qui dispose d’un niveau de protection adéquat est une entreprise périlleuse, qui risque en outre de créer des divergences d’interprétation. C’est pourquoi l’article 25, paragraphe 6 de la directive sur la protection des données, permet à la Commission de décider que tel pays satisfait aux critères. Cette décision s’impose aux Etats. C’est ce qu’elle vient de faire, non pas pour un pays mais pour le système mis en place.
Le second est un accord international bilatéral entre l’Union européenne et les États-Unis qui complète la « constatation d’un niveau de protection adéquat » et couvre des aspects tels que la non discrimination, la réciprocité et l’accès direct de l’US CBP aux bases de données des compagnies aériennes tant que l’UE n’utilisera pas de système de transfert de données de ce type ainsi que l’adoption par la législation européenne de l’exigence américaine imposée aux compagnies aériennes de fournir les données PNR. Il incombe aux ministres de l’Union européenne de conclure l’accord international conformément à l’article 300, paragraphe 3 du traité. Les engagements américains et les améliorations qui en résulteront prendront effet dès que la décision sur le niveau de protection adéquat et l’accord international entreront en vigueur.
La réaction du Parlement européen : le recours devant la Cour de Justice
Le Parlement européen avait adopté le 31 mars 2004 une résolution dans laquelle il considère que les déclarations d’engagement des États-Unis ne constituent pas une protection adéquate, et invitait instamment la Commission à revenir sur sa décision et à renégocier un accord plus important avec les États-Unis. Le Parlement s’était réservé le droit de saisir la Cour de justice si la Commission maintenait ses objectifs.
Le 21 avril, le Parlement décidait aussi de demander à la Cour de se prononcer sur la question de savoir si l’accord international n’aurait pas dû être soumis au Parlement pour accord en raison du fait qu’il modifie la directive sur la protection des données. Mais, selon la jurisprudence de la Cour de justice, cette demande d’avis devient sans objet si l’accord est conclu par le Conseil, ce qui a été le cas le 17 mai 2004 : le Conseil a fait sienne la décision de la Commission, lui donnant ainsi force légale.
Toutefois, même s’il perd le droit de solliciter l’avis de la Cour, le Parlement ne perd pas celui d’exercer son droit de recours visé à l’article 230 du traité pour obtenir l’annulation de l’accord international ou de la décision concernant le constat du niveau de protection adéquat ou des deux dossiers.
Et c’est bien ce que les eurodéputés ont fait : ils ont demandé à la
Cour de justice des Communautés européennes d’annuler la décision du Conseil (affaire C-317/04) et la décision d’adéquation (affaire C-318/04) avec la suite que l’on connait aujourd’hui : l’avocat général leur donne raison.
L’avis rendu par l’avocat général
Rappelons que l’avis rendu par l’avocat général ne lie pas les juges, même s’il est vrai que ceux-ci suivent, dans leur immense majorité, les avis rendus.
Ensuite, soulignons que dans la mesure où l’avocat général considère que ces traitements sont mis en oeuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, il renvoie en quelque sorte la balle aux Etats qui retrouvent une marge de manoeuvre non négligeable. En d’autres termes, ceux qui espéraient que la cour fonderait son refus sur la protection des données à caractère personnel, en estimant par exemple que les moyens mis en oeuvre sont disproportionnés, risquent d’en être pour leurs frais ! En effet, à suivre strictement l’avis de l’avocat général, les Etats pourraient, dans le cadre de la défense contre le terrorisme, disposer individuellement d’une marge de manoeuvre assez large dont les contours ne seraient plus dessinés par la directive mais par les textes nationaux et la convention sur les droits de l’homme.
- Sur la décision d’adéquation
L’Avocat général examine, d’abord, si la décision d’adéquation pouvait être valablement fondée sur la directive 95/463 qui a pour but l’élimination des obstacles à la libre circulation des données à caractère à personnel en rendant équivalent dans les États membres le niveau de protection des droits et libertés à l’égard de telles données. A cet égard, il relève que cette dernière ne s’applique pas aux traitements de données à caractère personnel qui sont mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire et en tout état de cause aux traitements ayant pour objet, notamment, la sécurité publique et les activités de l’État relatives à des domaines du droit pénal.
Or, l’Avocat général Léger estime que la consultation, l’utilisation par le CBP et la mise à la disposition de ce dernier de données de passagers aériens constituent des traitements de données à caractère personnel ayant pour objet la sécurité publique et qui concernent des activités étatiques relatives à des domaines du droit pénal. Ils sont donc exclus du champ d’application de la directive 95/46. En conséquence, il considère que la Commission ne disposait pas en vertu de ladite directive du pouvoir d’adopter une décision relative au niveau de protection adéquat de données à caractère personnel transférées dans le cadre et en vue d’un traitement expressément exclu du champ d’application de cette directive. L’Avocat général conclut donc que la décision d’adéquation viole l’acte de base que constitue la directive 95/46 et il propose à la Cour d’annuler cette décision.
- Sur la décision du Conseil
L’Avocat général Léger examine ensuite si l’article 95 CE, qui vise l’adoption de mesures relatives au rapprochement des dispositions législatives, réglementaires et administratives des États membres qui ont pour objet l’établissement et le fonctionnement du marché intérieur, constitue une base juridique appropriée pour fonder la décision du Conseil. Or, l’examen du but et du contenu de l’accord avec les Etats-Unis, approuvé par la décision du Conseil, conduit l’Avocat général à constater qu’il poursuit simultanément deux objectifs: la lutte contre le terrorisme et d’autres crimes graves et la protection des données à caractère personnel. Dès lors, il considère que l’article 95 CE ne constitue pas une base juridique appropriée pour la décision du Conseil et il propose à la Cour d’annuler cette dernière.
En revanche, n’examinant qu’à titre subsidiaire les autres moyens invoqués par le Parlement, il considère que ces moyens relatifs tant à la procédure de consultation du Parlement qu’à la violation du droit au respect de la vie privée, ne sont pas fondés.
Plus d’infos ?
En prenant connaissance de la décision adoptée par la Commission, en ligne sur notre site.
En prenant connaissance de l’avis de l’avocat général^(Pas disponible pour l’instant).
En faisant une recherche sur notre site, sous le mot-clef « PNR ».