COM (2004) 190 final
du 17/03/2004
Date d'adoption du texte par les instances européennes : 17/05/2004
Examen dans le cadre de l'article 88-4 de la Constitution
Texte déposé au Sénat le 22/03/2004Examen : 07/05/2004 (délégation pour l'Union européenne)
Justice et affaires intérieures
Projet d'accord entre la
Communauté européenne et les États-Unis sur le traitement
et le transfert des données des dossiers passagers
Texte E 2543 -
COM (2004) 190 final
(Procédure écrite du 7 mai 2004)
La réponse européenne aux exigences américaines d'avoir accès aux données sur les passagers contenues dans les systèmes de réservation des compagnies aériennes situées sur le territoire des États membres avait déjà fait l'objet d'une communication de la Commission européenne en date du 16 décembre 2003 (texte E 2487, examiné par la délégation le 11 février 2004). La Commission européenne préconisait dans ce document de matérialiser l'accord auquel elle était parvenue avec les autorités américaines sur ce dossier en recourant à deux instruments complémentaires : une décision qui constaterait que les États-Unis assurent un niveau adéquat de protection des données, sur le fondement de la directive du 24 octobre 1995 relative à la protection des données personnelles, et un accord bilatéral de « nature légère » entre la Communauté et les États-Unis, afin de conférer une valeur juridique contraignante aux engagements pris par les autorités américaines. C'est sur ce deuxième instrument que la délégation est appelée à se prononcer.
Si, comme le mentionnaient les conclusions adoptées par la délégation le 11 février dernier, il faut souhaiter la conclusion rapide d'un accord international avec les autorités américaines sur ce sujet, le projet d'accord soumis à notre examen soulève d'importantes interrogations, tant sur la procédure, que sur le fond.
I. LE CONTENU DE L'ACCORD
L'article 1er de l'accord prévoit que « le bureau des douanes et de la protection des frontières du ministère américain de la sécurité intérieure peut accéder, par voie électronique, aux données PNR provenant des systèmes de contrôle des réservations et des départs des transporteurs aériens (« systèmes de réservation ») situés sur le territoire des États membres de la Communauté européenne, en application stricte de la décision et aussi longtemps que cette dernière sera applicable, c'est-à-dire jusqu'à ce qu'un système satisfaisant soit mis en place pour permettre la transmission de ces données par les transporteurs aériens ».
Cet accord précise que le bureau américain des douanes et de la protection des frontières traitera les données PNR reçues et les personnes concernées par ce traitement « conformément aux lois et exigences constitutionnelles américaines, sans discrimination, en particulier sur la base de la nationalité et du pays de résidence ». Un considérant mentionne la nécessité de respecter les droits et libertés fondamentaux, et notamment le droit au respect de la vie privée, tout en prévenant et en combattant le terrorisme et les autres formes graves de criminalité transnationale.
Si le projet reste assez ambigu sur la réciprocité, il énonce que, en cas de mise en oeuvre dans l'Union européenne d'un système similaire d'identification des passagers, « le bureau des douanes et de la protection des frontières encouragera activement, autant que possible et dans le respect du principe de réciprocité, les compagnies aériennes relevant de sa compétence à coopérer ».
Le texte prévoit, par ailleurs, une évaluation régulière et conjointe de la mise en oeuvre de l'accord, qui peut être dénoncé par l'une ou l'autre partie ou modifié d'un commun accord. En cas de divergence d'interprétation, seule la version anglaise serait déterminante, d'après le texte.
Enfin, il est précisé que cet accord « n'a pas pour objet de déroger à la législation des parties ni de la modifier ; il ne crée ni ne confère aucun droit ou avantage sur tout autre personne ou entité, privée ou publique ».
II. LES INTERROGATIONS SOULEVÉES PAR CE PROJET
Ce texte soulève d'importantes interrogations, tant sur la procédure, que sur le fond.
a) Les difficultés d'ordre procédural
On peut s'interroger sur la base juridique retenue par la Commission pour l'accord international, ainsi que sur les conséquences de la juxtaposition de la décision constatant que les États-Unis assurent un niveau adéquat de protection des données et de cet accord international.
La question de la base juridique
Bien qu'il n'existe pas dans les traités d'articles conférant une compétence à la Communauté en matière de protection des données personnelles, tant sur le plan interne, que sur le plan externe, la Commission propose de conclure un accord international traitant du transfert de ces données à un État tiers sur le fondement des articles 95 et 300 du traité instituant la Communauté européenne. Étant donné que l'article 300 est un article de procédure qui ne traite pas de la compétence, la Communauté disposerait donc, d'après la Commission, d'une compétence en vertu de l'article 95 du traité. Or, cet article est relatif au rapprochement des dispositions législatives, réglementaires et administratives des États membres, qui ont pour objet uniquement l'établissement et le fonctionnement du marché intérieur. Il n'a pas pour fonction de conférer une compétence externe à la Communauté pour négocier et signer des accords internationaux avec des pays tiers en matière de transfert de données personnelles. La Commission européenne considère néanmoins que la Communauté dispose d'une compétence externe, en application de la jurisprudence dite AETR, étant donné que la directive de 1995 sur la protection des données personnelles a été adoptée sur le fondement de l'article 95.
Toutefois, comme le souligne le rapport du 7 avril 2004 adopté par la commission des libertés et des droits des citoyens, de la justice et des affaires intérieures du Parlement européen, on peut s'interroger sur le fait de savoir si cette référence est suffisante pour organiser un tel transfert de compétences des États membres à la Communauté. L'obligation faite aux compagnies aériennes de transmettre leurs données semble, en effet, relever davantage de la compétence des États membres. A tout le moins, on aurait pu penser que la Communauté ne dispose pas d'une compétence exclusive, mais d'une compétence partagée avec les États membres, ce qui nécessiterait de conclure un accord « mixte ». Considérant qu'un tel transfert de compétence ne va pas de soi, la résolution adoptée par cette commission invite le Président du Parlement européen à saisir la Cour de justice des Communautés européennes afin qu'elle se prononce sur la base légale de cet accord. Après un vote du Parlement européen en séance plénière, le Président du Parlement européen a saisi la Cour de Justice d'une demande d'avis sur la base juridique de cet accord. Dans l'attente de la décision de la Cour de justice, le Parlement européen a décidé de ne pas rendre son propre avis.
Sans préjuger de l'avis que pourrait rendre la Cour de Justice à ce sujet, on peut souligner que le recours à un « accord mixte » aurait pour avantage d'associer les parlements nationaux à la procédure de conclusion de cet accord. Une autorisation de ratification de cet accord par le Parlement apparaît d'autant plus souhaitable en France que les dispositions contenues dans cet accord pourraient nécessiter une modification du cadre législatif, tel qu'il sera issu du projet de loi transposant la directive du 29 octobre 1995, qui est actuellement soumis au Parlement.
La combinaison d'une décision d'adéquation et d'un accord international
La question de l'articulation entre la décision d'adéquation et l'accord bilatéral soulève des difficultés d'une grande complexité. L'intérêt de conclure un accord international réside dans le fait qu'il permet de formaliser les engagements pris par les États-Unis lors des négociations et qu'il permet de traiter certaines questions qui ne trouvent pas leur place dans une décision d'adéquation, comme la réciprocité par exemple. Il serait donc logique que ce soit la décision d'adéquation qui soit de nature « légère » et non l'accord international. Or, actuellement c'est l'inverse qui a été retenu. En effet, les engagements pris par les autorités américaines sont annexés non pas au projet d'accord, mais à la décision d'adéquation. Ce partage apparaît d'autant moins satisfaisant que la décision d'adéquation présente l'inconvénient majeur de ne pas être un acte disposant d'une force contraignante à l'égard des États-Unis. Il serait donc préférable que l'accord international reprenne l'ensemble des engagements pris par les autorités américaines au cours des négociations.
b) Les difficultés de fond
Les conclusions adoptées par la délégation le 11 février dernier faisaient état, outre ces questions de procédures, de sérieuses préoccupations concernant la protection des données personnelles. En effet, nous avions estimé que « les garanties prévues pour la protection des données personnelles nécessitent d'être clarifiées ou renforcées, notamment en ce qui concerne la limitation de la durée de stockage de ces données et la destruction de données sensibles ». Le groupe « article 29 », qui regroupe les représentants des différentes autorités nationales chargées de la protection des données, comme la CNIL pour la France, a d'ailleurs rendu un avis, le 29 janvier 2004, d'après lequel « les progrès limités qui ont été enregistrés ne permettent pas de juger qu'un niveau adéquat de protection des données est atteint ». Cet organe consultatif et indépendant a notamment considéré qu'il y avait lieu de « clarifier le champ d'application, la base juridique et la valeur d'un éventuel accord international allégé », et il a posé un certain nombre de conditions relatives notamment à la nature des données susceptibles d'être transmises, en excluant les données sensibles, à la durée de conservation de ces données, qui devrait être courte et proportionnelle, ainsi qu'aux droits des personnes concernées.
Malgré ces recommandations, le comité de l'article 31, qui regroupe les représentants des États membres, a donné un avis favorable, le 17 février dernier, à la décision d'adéquation soumise par la Commission. À cet égard, on peut regretter que, malgré les positions exprimées par les délégations pour l'Union européenne du Sénat, le 11 février, puis de l'Assemblée nationale, le 3 mars dernier, le Gouvernement n'ait pas tenu compte de certaines réserves exprimées par les deux assemblées en matière de protection des données. Ainsi, la durée de stockage des données apparaît encore disproportionnée, puisque celles-ci pourront être consultables pendant une période initiale de trois ans et demi, puis conservées pendant une période supplémentaire de huit ans, voire même au delà dans certains cas. De la même manière, il aurait été préférable d'exclure explicitement toute utilisation de ces données par le système CAPPS II (« Computer Assisted Passenger Prescreening System »), y compris aux fins de « tests ». En revanche, l'engagement pris par les autorités américaines de ne pas utiliser ou conserver des données « sensibles », au sens de la directive de 1995, va dans la bonne direction. On peut également se féliciter du fait que le projet d'accord prévoit de remplacer l'accès direct par les autorités américaines aux données concernées par un système de transmission et de filtrage de ces données par les compagnies aériennes, sans pour autant mentionner la création d'un organisme communautaire centralisé, conformément aux souhaits exprimés par notre délégation. La mise en place d'un tel système s'avère donc urgente.
M. Bernard Frimat ayant fait connaître, au nom du groupe socialiste, sa préoccupation sur ce texte, et demandé des éclaircissements complémentaires, le Gouvernement a communiqué à la délégation les éléments suivants :
- En ce qui concerne les aspects juridiques, la Commission européenne considère que la consultation du Parlement européen sur un accord international, qui s'effectue toujours selon elle sur la base de l'article 300 § 6 du traité, ainsi que la saisine de la Cour de justice, ne sont pas suspensives et qu'elle peut donc poursuivre la procédure de conclusion de l'accord international avec les États-Unis. Elle estime en conséquence que le Conseil pourrait approuver la conclusion de cet accord lors de sa réunion du 17 mai prochain, après que le Parlement européen eut à nouveau été invité à rendre son avis au plus tard le 5 mai, mais sans attendre l'avis de la Cour de justice. Une fois l'accord et la décision d'adéquation adoptés et mis en oeuvre, le Parlement européen conserverait la possibilité d'intenter un recours en annulation au titre de l'article 230 du traité ;
- Concernant les difficultés de fond, les États-Unis ont confirmé qu'ils souhaitaient obtenir le plus rapidement possible les données passagers pour éviter les situations extrêmes récentes, telles que les annulation de vol ou la présence de policiers armés à bord des avions (« sky marshalls »).
- Le Gouvernement indique par ailleurs qu'il avait demandé des clarifications sur les moyens techniques à mettre en oeuvre pour transmettre les données passagers requises afin de prendre en compte la dissociation des systèmes de réservation et des systèmes d'embarquement existants chez Air France.
Compte tenu de ces éléments, la délégation a décidé de ne pas intervenir plus avant dans l'examen de ce texte, tout en rappelant les conclusions qu'elle avait adoptées à ce sujet le 11 février 2004. Elle a toutefois demandé au Gouvernement d'être tenue informée de la mise en oeuvre concrète de cet accord et des éventuelles difficultés qui pourraient en résulter.