3. Préciser les destinataires des données
La proposition de résolution attire l'attention sur la clarification des rôles entre les UIP et les services de sécurité qui pourront demander des données PNR.
Votre commission partage ce souci. Il ne devrait pas être possible aux services de sécurité d'accéder aux données PNR brutes, l'UIP devant demeurer un sas entre les données et les services utilisateurs.
De même, alors que la proposition de résolution juge nécessaire des précisions sur la qualité des services qui composeront les UIP et la liste des services de sécurité qui pourront utiliser les données, votre commission propose d'ajouter qu'au sein de ces services, seuls des agents individuellement désignés et spécialement formés pourront utiliser ces données.
En effet, le renvoi à une simple liste des services autorisés n'apparaît pas suffisant. Votre rapporteur observe que la loi du 23 janvier 2006 relative à la lutte contre le terrorisme dispose déjà que l'accès aux données PNR lorsqu'elles sont traitées aux fins de prévenir et de réprimer le terrorisme est limité aux « agents individuellement désignés et dûment habilités » des services compétents.
4. Renforcer le droit des personnes concernées
Les droits des personnes concernées étaient particulièrement incertains et flous dans la proposition de décision-cadre initiale.
Les travaux du Conseil ont permis des avancées indiscutables et la dernière version du texte apporte des réponses satisfaisantes à propos du droit à l'information, du droit d'accès aux données et de l'exercice des droits de rectification et d'effacement
Le régime légal applicable a été clarifié à chaque étape de la transmission et de l'utilisation des données PNR (voir le I.C.2)).
En outre, des garanties supplémentaires devraient figurer dans le texte de la décision-cadre qui définirait elle-même ses propres règles en matière de protection des données lors de la phase de traitement des données par les UIP.
Comme le relève le rapport d'information de la commission chargée des affaires européennes de l'Assemblée nationale sur la proposition de décision-cadre 19 ( * ) , il convient de noter que « cet ensemble de droits applicable aux données traitées par les UIP, c'est-à-dire par des autorités publiques nationales, est inspiré des droits de la décision-cadre [2008/977/JAI du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale] dont les Etats membres n'avaient pas voulu qu'elle s'applique aux données traitées sur le plan interne mais uniquement aux données échangées entre Etats membres. La proposition de décision-cadre constituerait donc un pas en avant dans l'extension du champ de la protection des données réglementée au niveau européen dans le troisième pilier » 20 ( * ) .
Ces avancées notables méritent d'être soulignées.
Mais elles ne conduisent pas votre commission à revenir sur les termes de la proposition de résolution. Sur ces questions essentielles, la vigilance doit demeurer en réaffirmant :
- la compétence des autorités indépendantes sur la protection des données -la CNIL en France- pour effectuer des contrôles au sein des UIP ;
- la nécessité de clarifier le dispositif, de façon à ce que les responsables des traitements soient immédiatement identifiables par les personnes souhaitant exercer leur droit d'accès ou de rectification ;
- l'intérêt de fixer dans le corps même de la proposition de décision-cadre les garanties nécessaires, en l'absence d'instrument juridique européen fixant des règles générales de protection de données en matière de police.
* 19 Rapport d'information n° 1447-XIIIème législature de M. Guy Geoffroy.
* 20 Rappelons en effet que la directive n° 95-46 du 24 octobre 1995 relative à la protection des données à caractère personnel ne s'applique qu'aux matières relevant du premier pilier. Les questions de police en sont exclues.