Bruxelles, 20/05/2011 (Agence Europe) - La Commission vient de finaliser, le 16 mai dernier, son projet d'accord PNR avec les États-Unis et, sur la base de ce projet, certaines questions pourraient bientôt se poser quant à la proportionnalité de l'accord et des mesures de transfert au département américain de la sécurité intérieure (DHS- Department of homeland security) des données des passagers européens. Et cela en dépit des offensives de charme réalisées ces derniers jours par les États-Unis (plusieurs officiels et des représentants du Sénat américain étaient à Bruxelles cette semaine). En vertu du nouveau projet de texte, les objectifs du PNR pourraient ainsi être plus larges qu'auparavant, englobant non seulement la lutte contre le terrorisme et la criminalité grave mais évoquant de manière plus large la nécessité d'assurer la sécurité du public. Pour les crimes graves, par exemple, l'accord s'applique à tous les crimes de nature transfrontalière pouvant faire l'objet de procédures d'extradition tels que définis par les accords d'extradition entre l'UE et les États-Unis, c'est-à-dire des crimes punis d'au moins un an de prison et englobant des crimes 'fiscaux', par exemple.
Sur l'accès des citoyens à leurs données PNR auprès du DHS, comme sur les modes de recours en cas d'utilisation de ces données à mauvais escient, ce projet d'accord évoque la non-discrimination des citoyens par rapport à leur nationalité, par conséquent une certaine 'égalité' des citoyens européens avec les citoyens américains, mais certaines dispositions apparaissent floues.
Ainsi pour le droit d'accès comme pour le refus de la part des autorités américaines d'accéder à la requête de l'individu concerné, le projet n'évoque-t-il aucune obligation de délai, seulement « en temps opportun ». L'on n'y précise pas non plus les raisons de ce refus mais indique néanmoins que devra être donnée la base juridique en vertu de laquelle cette information a été retenue ainsi que des informations quant aux modes de recours.
Sur les mécanismes de recours, le projet affirme que tout individu pourra demander une réparation effective, administrative et judiciaire, en vertu des lois américaines pertinentes et que tout individu sera en droit de contester 'administrativement' les décisions du DHS sur l'utilisation des données PNR. L'accord détaille ensuite les instruments américains sur lesquels les individus européens pourront se baser pour obtenir un recours judiciaire, notamment le Freedom of Information Act ou le Privacy Act. Un article sur les recours plus détaillé que ce qui est prévu dans l'accord Swift-TFPT mais qui pourrait ne constituer qu'un habillage destiné à séduire l'UE, cela du fait que cet accord n'oblige pas les États-Unis à modifier leurs lois et « l'on sait par exemple que le Privacy Act ne s'applique pas aux non-américains », remarque une source.
Autre aspect sensible: la durée de rétention des données par les autorités américaines demeure fixée pour une période pouvant aller jusqu'à 15 ans (une rétention 'active' de 5 ans puis une rétention dans une base de données 'dormante' sur une période de 10 ans). Des améliorations ont été apportées sur ce point par rapport à l'accord précédent: ainsi, au bout d'une période six mois, les données PNR devront être dépersonnalisées (seront masqués le nom, les informations de contact, les remarques générales, par exemple) et l'accès à cette base active devra être restreint à un nombre limité d'officiels habilités à le faire. Pour la base dormante, l'accès des 'officiels' sera encore plus restreint et les données ne pourront être repersonnalisées que dans le cadre d'investigations et pour les besoins des autorités répressives, en cas spécifié de menace ou de risque. Après cette période de 10 ans, toutes les données, dont celles éventuellement repersonnalisées, devront être à nouveau pleinement rendues anonymes, en effaçant tous les éléments d'identification personnelle. Pour les données sensibles (appartenance politique, croyance religieuse, orientation sexuelle...), elles seront filtrées et masquées automatiquement (systèmes automatisés et pas d'intervention humaine). L'accès à des données sensibles pourra être autorisé au cas par cas et dans des circonstances exceptionnelles, dit le projet. Autant de points que doivent désormais étudier le Conseil et le PE mais qui pourraient s'avérer plus problématiques que ceux concernant l'accord PNR entre l'UE et l'Australie, déjà en discussion au Conseil. (S.P.)