L’accord sur le transfert et le traitement des données des dossiers des passagers aériens (accord ‘PNR’) négocié entre l’Union européenne et le Canada serait contraire à la Charte des droits fondamentaux de l’UE, a constaté l’Avocat général Paolo Mengozzi, jeudi 8 septembre, dans ses conclusions présentées à la Cour de justice de l’UE (avis 1/15).
L’accord ‘PNR’ avec le Canada vise à permettre le transfert des données ‘PNR’ (identité, numéro de téléphone, adresse de courrier, etc.) aux autorités canadiennes en vue de leur utilisation, de leur conservation et, le cas échéant, de leur transfert ultérieur, dans le but de lutter contre le terrorisme et les formes graves de criminalité transnationale. Il est encore au stade de projet, car, si l’UE et le Canada ont formellement conclu les négociations en 2014, le Parlement européen doit encore l’approuver.
En saisissant la Cour, en novembre 2014 (EUROPE 11204), le Parlement - en particulier les groupes des Verts/ALE, de la GUE/NGL et des élus du S&D - avait déjà des doutes quant aux garanties inscrites dans l’accord, en se demandant surtout si l’ingérence dans le droit fondamental à la protection des données était justifiée. L’approbation du PE sera d’autant plus incertaine si la Cour suit dans son arrêt les conclusions de l’Avocat général. Il est toutefois à noter que l’arrêt ne sera pas contraignant.
M. Mengozzi a identifié aujourd’hui cinq dispositions de ce projet d’accord qui, dans leur état actuel, sont, selon lui, contraires à la Charte des droits fondamentaux. Il s’agit de : (1) la possibilité d’utiliser les données ‘PNR’ indépendamment de la finalité de l’accord (lutte contre le terrorisme et les formes graves de criminalité transnationale) ; (2) la possibilité pour le Canada de traiter, utiliser et conserver les données dites « sensibles », (3) de divulguer toute information, sans lien avec la finalité de l’accord et (4) de conserver les données pour une période maximale de cinq ans, une fois encore, sans devoir établir de lien avec l’accord ; (5) la possibilité de voir le Canada transférer les données à une autorité étrangère sans garantie que cette dernière ne va pas les transférer à une autre autorité tierce.
En soi, un tel accord est envisageable, a-t-il soutenu. Pour arriver à un accord qui respecte la Charte, les législateurs européens devraient ainsi s’assurer que les catégories des données transmises vont être libellées de manière claire et précise, que le transfert des données « sensibles » sera interdit, que le nombre de personnes « ciblées » sera limité, tout comme le nombre de fonctionnaires canadiens autorisés à accéder aux données ou, encore, qu’une autorité canadienne indépendante contrôle la divulgation des données à des autorités étrangères. L’accord devrait également prévoir la possibilité qu’une autorité indépendante puisse contrôler le respect de la vie privée et de la protection des données des passagers concernés.
Si les juges de la Cour décidaient de suivre cet avis, la Commission européenne et le Conseil de l’UE se verraient infliger un camouflet similaire à celui d’octobre 2015, lorsque la Cour avait invalidé l’accord qui encadrait le transfert des données personnelles de l’Europe vers les États-Unis (EUROPE 11404). Et c’est justement sur ce dernier arrêt que M. Mengozzi s’est appuyé, ainsi que sur celui qui avait invalidé la directive sur la rétention des données télécoms (EUROPE 11056), pour parvenir à ses conclusions.
L’enjeu de cette affaire est également institutionnel. La Cour de justice a ici l’occasion de renforcer la jurisprudence existante relative à l’équilibre délicat entre sécurité publique et protection de la vie privée, bâti sur les deux arrêts précités (affaires Digital Rights Ireland de 2014 et Schrems de 2015), et de se prononcer pour la première fois sur la compatibilité d’un projet d’accord international avec la Charte des droits fondamentaux de l’UE.
Pour l’Avocat général, il doit revenir à la Cour de surveiller qu’une telle « pondération équilibrée » soit assurée « au moment où les technologies modernes permettent aux autorités publiques, au nom de la lutte contre le terrorisme et la criminalité transnationale grave, de développer des méthodes extrêmement sophistiquées de surveillance de la vie privée des individus et d’analyse de leurs données à caractère personnel ».
Cette pondération devrait aussi se refléter dans la base juridique de l’acte de conclusion de l'accord. À la question posée par le PE, M. Mengozzi a estimé que ce sont les articles 16 (protection des données à caractère personnel) et 87 TFUE (coopération policière) qui devraient être utilisés et non les articles 87 et 82 (coopération judiciaire en matière pénale), comme envisagé par le Conseil.
Interpellée après la publication de l’avis de l’Avocat général, la Commission européenne n’a pas souhaité réagir, en indiquant vouloir attendre « le jugement de la Cour ». Pour la députée Sophie in’t Veld (ADLE, néerlandaise), rapporteur du PE sur cet accord ‘PNR’, il est aujourd’hui nécessaire que la Cour se prononce « rapidement », après « cette énième démonstration qu’une élaboration de lois bâclée est contreproductive ». L’arrêt de la Cour « pourrait avoir des implications d’une grande portée pour d’autres règles et accords sur l'utilisation généralisée des données personnelles », a-t-elle estimé. Le groupe CRE du PE a, lui, dénoncé l'avis de M. Mengozzi, en le jugeant « irresponsable » au regard du niveau de menaces actuelles. (Jan Kordys)