Le respect des droits fondamentaux exige une limitation au strict nécessaire des pouvoirs prévus par la directive 'Passenger Name Record' (2016/681) encadrant l'utilisation des données des passagers aériens (EUROPE 11532/2), a estimé la Cour de justice de l'Union européenne dans un arrêt rendu mardi 21 juin (affaire C-817/19).
En Belgique, faisant valoir une atteinte au respect de la vie privée et à la protection des données personnelles, la Ligue des droits humains a saisi la Cour constitutionnelle belge contre les mesures nationales transposant : - la directive 'PNR' ; - la directive 'API' (2004/82) obligeant les transporteurs de communiquer les données relatives aux passagers ; - la directive (2010/65) concernant les formalités déclaratives applicables aux navires à l’entrée et/ou à la sortie des ports des États membres.
Dans son arrêt, s'appuyant sur les conclusions de l'avocat général (EUROPE 12878/22), la Cour valide la conformité de la directive 'PNR' à la lumière des droits garantis par la Charte des droits fondamentaux de l'UE.
Néanmoins, elle reconnaît que cette directive comporte des ingérences d'une gravité certaine dans ces droits, dans la mesure où elle vise à instaurer une surveillance continue, non ciblée et systématique des personnes entrant ou sortant de l'UE par avion. Une telle situation est justifiée si elle est limitée au strict nécessaire et uniquement aux fins de la lutte contre le terrorisme et les formes graves de criminalité (article 1(2)).
Le juge européen fixe les limites suivantes à l'application du droit de l'UE : - le système établi par la directive 'PNR' ne doit couvrir que les dix-neuf données clairement identifiables figurant à l’annexe I ; - l’application du système établi par la directive 'PNR' doit être limitée aux infractions terroristes et aux seules formes graves de criminalité présentant un lien objectif, à tout le moins indirect, avec le transport aérien des passagers ; - l’éventuelle extension de l’application de la directive 'PNR' à tout ou partie des vols intra-UE doit être limitée au strict nécessaire et faire l'objet d'un contrôle juridictionnel indépendant.
Sur ce dernier élément, la Cour précise que l'application du droit de l'UE à tous les vols intra-UE en provenance ou à destination d'un État membre n'est possible que lorsque ce pays fait face à une menace terroriste réelle, actuelle ou prévisible. En l'absence d'une telle menace terroriste, l'application de la directive sera limitée à certaines liaisons aériennes intra-UE, à des schémas de voyage ou à certains aéroports pour lesquels la situation justifie cette application. Par ailleurs, le caractère strictement nécessaire de cette application doit régulièrement être réexaminé.
La Cour détaille ensuite la façon dont les données 'PNR' doivent être traitées et évaluées. Notamment, l'unité chargée de cette mission peut uniquement confronter ces données avec les bases de données de personnes ou d'objets recherchés ou faisant l'objet d'un signalement. Les technologies d'intelligence artificielle dans le cadre de systèmes d'auto-apprentissage ('machine learning') sont proscrites, souligne la Cour, afin de ne pas modifier les critères d'évaluation.
En outre, constatant le taux d'erreur inhérent au traitement automatisé des données 'PNR' (résultats 'faux positifs') observé en 2018 et 2019, elle ajoute que les États membres doivent prévoir des règles claires et précises pour guider et encadrer la vérification des résultats positifs par des moyens non automatisés, conformément aux droits fondamentaux. Une personne concernée par une concordance positive ('hit') devra comprendre les critères d'évaluation préétablis de façon à pouvoir exercer un éventuel recours juridictionnel.
S'agissant du délai de conservation des données 'PNR', la Cour juge que le droit de l'UE s'oppose à une législation nationale qui prévoit une durée générale de conservation des données de cinq ans, applicable indifféremment à tous les passagers aériens. En effet, au-delà d'une période initiale de six mois au cours de laquelle la conservation de toutes données 'PNR' est autorisée, conserver les données 'PNR' de personnes n'étant pas liées au terrorisme ni à une forme grave de criminalité va au-delà de ce qui est strictement nécessaire.
Voir l'arrêt : https://aeur.eu/f/27z (Mathieu Bion)