Mercredi 13 mai 2009
- Présidence de M. Jean-Jacques Hyest, président -Décision-cadre relative à l'utilisation de données des dossiers passagers à des fins répressives - Examen du rapport
La commission a tout d'abord procédé à l'examen du rapport de M. Yves Détraigne sur la proposition de résolution européenne n° 252 (2008-2009), en application de l'article 73 bis du Règlement, présentée par M. Simon Sutour au nom de la commission des affaires européennes, sur la proposition de décision-cadre relative à l'utilisation de données des dossiers passagers (Passenger Name Record) à des fins répressives (E 3697).
M. Yves Détraigne, rapporteur, a tout d'abord rappelé :
- que la proposition de décision-cadre, transmise au Sénat au titre de l'article 88-4 de la Constitution, avait pour objectif « d'harmoniser les dispositions des Etats membres relatives à l'obligation, pour les transporteurs aériens assurant des vols vers le territoire d'au moins un Etat membre ou à partir de celui-ci, de transmettre aux autorités compétentes les renseignements relatifs aux passagers aux fins de prévenir et de combattre les infractions terroristes et la criminalité organisée » ;
- que la commission des affaires européennes, réunie le 3 mars 2009, avait adopté une proposition de résolution, présentée par M. Simon Sutour, qui, tout en approuvant le principe d'un système PNR (Passenger Name Record) européen, avait considéré que la proposition de décision-cadre ne protégeait pas suffisamment la vie privée et les données à caractère personnel ;
- que les dossiers passagers, collectés et conservés par les compagnies aériennes et les agences de voyage, contenaient diverses informations telles que les renseignements sur l'agence de voyage auprès de laquelle la réservation est effectuée, l'itinéraire du déplacement, les indications des vols, le contact à terre du passager, les services demandés à bord... renseignements dont l'importance en matière de lutte contre le terrorisme avait conduit trois pays à se doter d'un système de traitement des données PNR : les Etats-Unis, le Canada et l'Australie -la Corée du Sud ayant un projet en cours. Ces systèmes, a-t-il précisé, ont donné lieu à la conclusion d'accords avec l'Union européenne pour régler les modalités de la transmission et de l'exploitation des données PNR issues de vols en provenance d'un Etat membre et à destination de l'un de ces trois pays.
Il a souligné que les expériences européennes étaient, elles, limitées, seul le Royaume-Uni ayant à ce jour décidé de se doter d'un système PNR complet, en vigueur depuis mars 2008. La France, quant à elle, n'a pas mis en oeuvre un tel traitement, alors que la loi du 23 janvier 2006 relative à la lutte contre le terrorisme l'y autorise afin d'améliorer le contrôle aux frontières, la lutte contre l'immigration clandestine et le terrorisme, sous réserve de ne pas collecter des données dites sensibles au sens de la loi du 6 janvier 1978 « informatique et libertés ». La mise en oeuvre de la loi de 2006 ne s'est en effet traduite que par la création, la même année, d'un fichier qui ne concerne que les données des passagers des vols directs en provenance et à destination de cinq pays (l'Afghanistan, le Pakistan, l'Iran, la Syrie et le Yémen).
Présentant les grandes orientations du système PNR prévu par la proposition de décision-cadre, M. Yves Détraigne, rapporteur, a expliqué que :
- seuls les vols en provenance ou à destination d'un Etat tiers seraient concernés, y compris en cas de transit sur le territoire de l'Union européenne ;
- les finalités seraient la lutte contre le terrorisme et la criminalité organisée ;
- le PNR européen serait un système décentralisé : chaque Etat membre se doterait d'une Unité d'information passagers (UIP) chargée de collecter les données PNR relatives aux vols ayant pour point de départ ou d'arrivée son territoire. Les Etats membres pourraient échanger entre eux les données PNR collectées par l'intermédiaire des UIP, mais toujours en réponse à des besoins précis ;
- les UIP seraient tenues d'effacer immédiatement les données sensibles qui pourraient figurer parmi les données PNR, c'est-à-dire celles susceptibles de révéler l'origine ethno-raciale, la religion, l'état de santé ou l'orientation sexuelle d'une personne ;
- s'agissant de l'utilisation à des fins de profilage, chaque Etat membre conserverait la maîtrise de ses critères d'évaluation du risque, la seule limite fixée par la proposition étant l'interdiction de décider d'une action coercitive sur la seule base de l'analyse des données PNR ;
- enfin, les données seraient conservées pendant treize ans mais ne seraient consultables, après cinq ans, que « dans des circonstances exceptionnelles en réponse à une menace ou à un risque spécifique et réel ».
M. Yves Détraigne, rapporteur, a ensuite souligné que la proposition de décision-cadre, critiquée par certains comme trop imprécise et contraire aux principes de finalité et de proportionnalité, avait fait l'objet d'un rapport présenté le 28 novembre 2008 sous la présidence française de l'Union européenne, dont il a exposé les grandes lignes :
- s'agissant des finalités du système, le rapport dessine un consensus autour, d'une part, de la lutte contre le terrorisme, d'autre part, de la répression d'un ensemble d'infractions graves à définir par référence à la liste d'infractions permettant la mise en oeuvre de la décision-cadre relative au mandat d'arrêt européen ;
- le rapport souligne que le PNR européen n'aurait pas pour effet d'interdire aux Etats membres de mettre en place des dispositifs nationaux complémentaires destinés, par exemple, à collecter également les données PNR des vols intracommunautaires ou à élargir son utilisation à d'autres finalités comme la lutte contre l'immigration irrégulière ;
- pour respecter le principe de proportionnalité, le rapport propose, par exemple, d'abandonner les données relatives aux mineurs non accompagnés ;
- au niveau national, le droit commun serait applicable, ce qui impliquerait notamment la compétence des autorités de protection des données, telles que la CNIL ;
- les échanges de données PNR entre Etats membres entreraient dans le champ de la décision-cadre 2008/977/JAI du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale.
M. Yves Détraigne, rapporteur, a toutefois souligné que le rapport laissait deux points majeurs en suspens.
D'une part, le rapport note, s'agissant des données sensibles, qu'il est « traditionnellement jugé légitime d'en permettre une utilisation raisonnée dans le contexte d'une enquête criminelle » alors que la proposition de décision-cadre prohibe par principe la conservation de telles données.
D'autre part, le rapport fait le constat de divergences importantes entre les Etats membres concernant la durée de conservation des données.
Le rapporteur a ensuite souligné que le système PNR, tel qu'envisagé par la proposition de décision-cadre, lui paraissait :
- nécessaire pour assurer la sécurité en Europe car susceptible, d'une part, de fournir une multitude d'informations en apparence de faible importance mais qui, croisées avec d'autres, sont autant de signaux d'alarme, d'autre part, d'aboutir à une harmonisation européenne, rendue indispensable par la libre circulation des personnes au sein de l'espace Schengen ;
- conforme au principe de proportionnalité dès lors que le texte limite strictement le champ du PNR aux vols extracommunautaires.
Examinant la proposition de résolution adoptée par la commission des affaires européennes, M. Yves Détraigne, rapporteur :
- a déclaré partager son souhait de définir précisément les finalités du système PNR, soulignant que, si la lutte contre le terrorisme était définie de manière satisfaisante par référence à la décision-cadre 2002/475/JAI du Conseil relative à la lutte contre le terrorisme, les références à des infractions graves ou à la criminalité organisée pouvaient, dans un souci de clarification, renvoyer à la liste d'infractions établie dans le cadre du mandat d'arrêt européen, comme préconisé par le rapport précité du 28 novembre 2008 ;
- a relevé que la proposition de résolution européenne avait demandé que l'utilisation des données sensibles soit en principe exclue, que leur filtrage soit assuré directement par les transporteurs aériens et que, si leur conservation était envisagée en vue de l'éventuelle utilisation dans le cadre d'une enquête, des garanties spécifiques soient apportées. Il a souligné que cette solution, outre qu'elle posait des problèmes techniques tenant aux modalités de filtrage, présentait un risque d'atteinte à la vie privée. Il a en conséquence proposé d'exclure purement et simplement de la liste des données PNR transmises la rubrique « Remarques générales », champ libre seul susceptible de recueillir les données sensibles ;
- s'est félicité que la proposition de décision-cadre exclue la collecte des données PNR des vols intracommunautaires et a souhaité que la France ne mette pas en oeuvre un système complémentaire national de collecte automatisée des données PNR des vols nationaux, voire intracommunautaires ;
- s'est réjoui que la proposition de résolution européenne ait jugé manifestement disproportionnée la durée totale de treize ans prévue par la proposition de décision-cadre pour la conservation des données, et, en conséquence, a préconisé une première phase de conservation de trois ans à laquelle succéderait une phase de préservation de trois ans des seules données présentant un intérêt particulier ;
- a partagé la volonté de la commission des affaires européennes d'attirer l'attention sur la clarification des rôles entre les UIP et les services de sécurité qui pourraient demander l'accès aux données PNR ;
- a souhaité compléter la proposition de résolution, qui juge nécessaires des précisions sur la qualité des services qui composeront les UIP et la liste des services de sécurité qui pourront utiliser les données, afin d'ajouter qu'au sein de ces services seuls des agents individuellement désignés et spécialement formés pourront requérir des données ;
- a appelé de ses voeux, comme la proposition de résolution, le renforcement des droits des personnes, soulignant que si les travaux du Conseil avaient d'ores et déjà permis des avancées indiscutables notamment en prévoyant un droit à l'information ainsi qu'à l'accès et la rectification des données, des garanties supplémentaires devraient figurer dans le texte de la décision-cadre, parmi lesquelles la compétence des autorités indépendantes sur la protection des données pour effectuer des contrôles au sein des UIP ainsi que la nécessaire clarification du dispositif de façon à ce que les responsables des traitements soient immédiatement identifiables par les personnes souhaitant exercer leur droit d'accès ou de rectification ;
- a approuvé les termes de la proposition de résolution concernant la limitation de la transmission des données à des Etats tiers. Après avoir souligné que la proposition de décision-cadre permettrait de procéder à des transferts de données PNR en masse vers des pays tiers, il a marqué sa préférence pour une transmission au cas par cas en réponse à des besoins spécifiques et motivés ;
- enfin, a jugé nécessaire que le législateur soit saisi en cas de transposition de la décision-cadre.
M. Simon Sutour a salué la qualité du travail du rapporteur et s'est réjoui en particulier que ses propositions marquent clairement la compétence du législateur pour transposer la décision-cadre et préconisent une durée totale de conservation des données de six ans au lieu des treize envisagés par la proposition de décision-cadre.
Toutefois, il a précisé que, à la différence du rapporteur qui semblait approuver le principe d'un PNR européen, la proposition de résolution se bornait à en prendre acte.
Il a souhaité que le Sénat adopte une résolution ambitieuse, conscient que le processus européen de négociation à vingt-sept conduirait nécessairement à certains compromis.
Notant que certaines commissions nommaient rapporteur un sénateur qui avait déjà rapporté le même texte, au nom de la commission des affaires européennes, alors que d'autres privilégiaient un examen par un autre sénateur, il a appelé de ses voeux une harmonisation des pratiques sur ce point.
M. Jean-Jacques Hyest, président, a souligné l'intérêt de désigner, comme le pratique la commission des lois pour les propositions de résolution européenne comme pour les propositions de loi, un rapporteur différent de l'auteur afin d'apporter un double regard à l'examen de ces textes. Toutefois, il a jugé que cette bonne pratique ne devrait pas être érigée en règle et qu'il était préférable de ménager une souplesse.
M. François Zocchetto a approuvé le projet de PNR européen, susceptible selon lui de renforcer la lutte contre le terrorisme tout en apportant des garanties pour les personnes au regard des pratiques actuelles. Il s'est également félicité que le rapporteur ait, d'une part, proposé d'exclure les données sensibles de la liste des données PNR transmises, d'autre part, affirmé la compétence du législateur en matière de transposition de la décision-cadre.
Il a demandé si la proposition de décision-cadre ne visait que la transmission des données PNR des vols internationaux.
M. Yves Détraigne, rapporteur, a confirmé que la proposition initiale proscrit l'utilisation des données PNR des vols intracommunautaires.
Approuvant les conclusions du rapport, en particulier celles concernant la compétence législative, M. Jean-René Lecerf a souhaité que les gouvernements entendent davantage la voix des parlements sur les enjeux de sécurité et de libertés publiques, regrettant, à titre d'exemple, l'absence de consultation parlementaire sur la mise en place du système PNR américain et espérant la plus grande prise en compte de la résolution du Sénat sur le PNR européen.
Toutefois, il a souligné le décalage entre les précautions prises au niveau européen et les conditions très défavorables dans lesquelles les Etats-Unis collectent et conservent pour de longues durées des données relatives aux passagers à destination de ce pays.
M. François Pillet a jugé complexe la proposition du rapporteur concernant la durée de conservation des données et a marqué sa préférence pour une durée unique de dix ans, alignée sur le délai de prescription en matière criminelle.
En réponse à M. François Zocchetto qui demandait comment s'assurer de la complète destruction des données à l'expiration du délai de leur conservation, M. Yves Détraigne, rapporteur, a noté, d'une part, que l'accès réduit à ces données limitait le risque de copie, d'autre part, qu'il appartenait aux autorités de contrôle des données, telles que la Commission nationale de l'informatique et des libertés (CNIL) en France, de contrôler leur suppression effective et irréversible, ajoutant que les contrevenants s'exposaient à de lourdes sanctions pénales.
M. Jean-Jacques Hyest, président, a mis en avant le coût de la conservation des données.
M. Jean-Pierre Vial s'est étonné que la proposition de décision-cadre encadre strictement la consultation des données passagers alors que, par ailleurs, de nombreuses informations relatives aux vols des avions particuliers sont aisément accessibles sur le site de l'aviation civile. Il a indiqué qu'en matière de renseignement économique, ces informations étaient redoutables.
Au bénéfice de l'ensemble de ces observations, la commission a adopté la proposition de résolution rédigée dans les termes proposés par le rapporteur.