du 16/05/2008
Date d'adoption du texte par les instances européennes : 30/06/2008

Examen dans le cadre de l'article 88-4 de la Constitution

Texte déposé au Sénat le 28/05/2008
Examen : 13/06/2008 (délégation pour l'Union européenne)


Justice et affaires intérieures

Accord avec l'Australie sur le traitement et le transfert des données PNR des passagers provenant de l'Union européenne

Textes E 3872 et E 3873

(Procédure écrite du 13 juin 2008)

Ce projet d'accord vise à autoriser le transfert, par les compagnies aériennes européennes, aux autorités australiennes, des données sur les passagers contenues dans les systèmes de réservation (PNR). Il a été négocié par la présidence, assistée par la Commission, sur la base des directives qui ont été fixées par le Conseil, le 28 février 2008.

Ce texte fait suite à d'autres accords ayant le même objet qui ont déjà été passés par l'Union européenne avec le Canada (en 2005) et avec les États-Unis (en 2004, 2006 et 2007). La délégation avait exprimé de fortes réserves sur l'accord conclu avec les États-Unis (textes E 2487 et E 2543 examinés respectivement par la délégation le 11 février et le 7 mai 2004). Dans la perspective de sa renégociation, la délégation avait demandé, dans ses conclusions d'octobre 2006 (texte E 3257 examiné par la délégation le 10 octobre 2006), que cet accord « contienne des garanties accrues en matière de protection des données, notamment une liste de données ne comprenant que celles qui sont strictement nécessaires aux finalités de l'accord et excluant les informations sensibles, une période de conservation des données collectées courte et proportionnée au terme de laquelle ces données seront détruites, ainsi que la mise en place d'un système de transfert de ces données se substituant à l'actuel accès direct des autorités américaines à ces données. » 

La délégation avait à nouveau formulé des réserves sur le nouvel accord avec les États-Unis conclu en 2007 (texte E 3575 examiné par la délégation le 11 juillet 2007). A cette occasion, elle s'était en particulier inquiétée de l'utilisation rendue possible, dans certains cas, de données sensibles et des risques attachés au partage des données recueillies avec d'autres autorités gouvernementales américaines ainsi qu'avec des pays tiers . Elle avait, en conséquence, exprimé une vive préoccupation, dans ses conclusions, sur la réunion de toutes les garanties nécessaires pour la protection des données en cause  et sur les mécanismes de surveillance de ce dispositif . La délégation avait, en outre, déploré la durée excessive de conservation des données collectées (pouvant aller jusqu'à quinze ans).

Au regard de ces préoccupations, le projet d'accord avec l'Australie présente certaines améliorations notables. D'abord, sur la forme, les engagements des autorités australiennes figurent soit dans le texte même de l'accord soit dans une partie qui lui est annexée et non pas, comme ce fut le cas pour l'accord avec les États-Unis, dans une simple lettre d'engagement. Une fois approuvées, les différentes versions linguistiques, dont le français, feront foi, ce qui répond à l'une des objections que nous avions soulevées lors de l'examen du nouvel accord conclu avec les États-Unis en 2007.

En outre, les autorités australiennes ont accepté l'exigence de l'Union européenne d'un mode de transmission qui passe par le système d'exportation par les transporteurs aériens (système dit « push »). Elles n'utiliseront donc pas l'accès en « lecture seule » (« read only ») aux données PNR dont elle dispose actuellement. Une période de transition de deux ans a néanmoins été prévue. En donnant la responsabilité du transfert des données aux compagnies aériennes, le système « push » se distingue du système permettant un accès direct des autorités aux bases de données des compagnies aériennes afin d'en extraire elles-mêmes les informations (système dit « pull »). Il offre donc plus de garanties en matière de protection des données.

L'accord sera appliqué à titre provisoire et sa mise en oeuvre fera l'objet à intervalles réguliers d'un examen conjoint, notamment pour ce qui est de la protection et de la sécurité des données. Des représentants des autorités chargées de la protection des données participeront à cet examen, comme l'ont prévu l'accord signé avec le Canada et le premier accord conclu avec les États-Unis.

Par ailleurs, plusieurs autres précisions contenues dans l'accord méritent d'être relevées :

- d'abord, la finalité du traitement de données PNR est indiquée de manière limitative : prévenir et combattre le terrorisme ainsi que les infractions graves, y compris la criminalité organisée, qui sont de nature transnationale ; empêcher que des personnes se soustraient aux mandats et aux mesures de détention provisoire émis à leur encontre pour ces infractions ;

- outre un système global de sécurité physique et électronique des données PNR, l'accès à ces données sera limité à un nombre restreint d'agents des douanes spécialement habilités ;

- les douanes ne pourront communiquer ces données sur le territoire australien que pour ces mêmes finalités et seulement à des services organismes inscrits sur une liste figurant en annexe de l'accord, dont les missions sont en relation directe avec ces finalités, sous réserve d'avoir établi au préalable la pertinence de la demande au regard des finalités de l'accord ; elles devront tenir un registre de ces communications ;

- si, à l'instar de l'accord avec les États-Unis, le projet d'accord prévoit une liste de dix neuf données PNR susceptibles d'être recueillies, il précise néanmoins que toutes les données sensibles provenant de l'Union européenne seront filtrées par les douanes australiennes qui les supprimeront sans autre traitement ; un filtrage avant même l'envoi des données offrirait toutefois plus de garanties ;

- le délai de conservation des données PNR ne pourra pas dépasser trois ans et demi à compter de la date de leur réception, après quoi les données pourront être archivées pendant encore deux ans (soit une durée totale de cinq ans et demi contre quinze ans dans l'accord avec les États-Unis) ; à l'issue de cette période, les données PNR seront supprimées ;

- les douanes australiennes sont soumises à la loi de 1988 sur la protection de la vie privée (Commonwealth Privacy Act) et seront tenues de traiter les données PNR de l'Union européenne conformément à cette loi ;

- les garanties accordées aux données PNR provenant de l'Union européenne conservées par les organismes publics australiens en vertu du Privacy Act s'appliqueront quelle que soit la nationalité ou le pays de résidence de la personne physique concernée ;

- le traitement de ces données et des personnes physiques concernées devra se faire en stricte conformité avec les normes en matière de protection des données prévues par l'accord et par les lois australiennes, sans discrimination, en particulier sur la base de la nationalité ou du pays de résidence ;

- outre la faculté qu'elles auront de dénoncer l'accord à tout moment, les autorités de l'Union européenne pourront aussi décider de suspendre le transfert de données en cas de non respect des normes de protection ;

- des plaintes quant au traitement des données PNR pourront être déposées directement par les personnes physiques auprès des douanes puis, conformément à la loi sur la protection de la vie privée, auprès du Commissaire à la protection de la vie privée, lequel pourra par ailleurs procéder à des enquêtes ou à des audits formels sur les politiques et procédures mises en oeuvre par les douanes pour l'utilisation et le traitement des données PNR provenant de l'Union européenne et l'accès à ces données ;

- conformément à une loi de 1982 sur la liberté de l'information (Commonwealth Freedom of Information Act), un droit d'accès et de rectification des données PNR pourra s'exercer ; en outre, les passagers concernés pourront déposer une plainte auprès du médiateur du Commonwealth (Commonwealth Ombudsman Act) ; on notera toutefois que le groupe dit « de l'article 29 » sur la protection des données, qui regroupe les autorités de contrôle des différents États membres, avait préconisé, dans un avis adopté le 16 janvier 2004, certaines modifications de la loi australienne afin qu'elle puisse être considérée comme adéquate, notamment sur la possibilité pour le commissaire à la protection des données d'instruire des plaintes en matière de rectification de citoyens ou résidents non australiens ;

- des voies de droit de nature administrative, civile et pénale, y compris le droit de toute personne concernée à un recours administratif ou judiciaire, sont prévues par la législation australienne en cas de violation des règles relatives à la protection de la vie privée et de communication non autorisée d'informations.

Les données PNR en provenance de l'Union européenne pourront être transférées à des pays tiers, mais seulement à certaines autorités publiques dont les fonctions sont directement liées aux finalités de l'accord. Cette communication s'effectuera au cas par cas lorsque cela s'avérera nécessaire afin de combattre le terrorisme ou d'autres infractions graves comme la criminalité organisée. Un registre de ces communications sera tenu. Les règles relatives à la protection des données s'appliqueront à cette communication des données PNR et le pays tiers destinataire devra appliquer des normes de protection des données équivalentes à celles prévues par l'accord. En outre, l'autorité destinataire ne pourra pas opérer un nouveau transfert sans l'autorisation des douanes australiennes.

Un mécanisme de coopération est par ailleurs prévu avec les services des États membres ainsi que, le cas échéant, Europol et Eurojust par le transfert d'informations analytiques provenant des données PNR par les autorités australiennes compétentes.

Enfin, on relèvera que cette question devrait être inscrite à l'ordre du jour de la réunion des 24 et 25 juin prochains du groupe dit « de l'article 29 » sur la protection des données

Sous le bénéfice de ces observations, la délégation a décidé de ne pas intervenir plus avant sur ce texte qui doit être adopté au Conseil « Affaires générales » du 16 juin.