Examen dans le cadre de l'article 88-4 de la Constitution

Texte déposé au Sénat le 09/06/2010
Examen : 24/11/2010 (commission des affaires européennes)


Justice et affaires intérieures

Communication de M. Hugues Portelli sur le transfert, traitement et utilisation de données à caractère personnel afin de lutter contre le terrorisme et autres infractions pénales : mandat de négociation avec les États-Unis relatif à la protection des données (E 5397) et mandats de négociation avec les États-Unis, le Canada et l'Australie pour le transfert et l'utilisation de données des dossiers passagers (PNR) (E 5656, E 5657 et E 5658)
(Réunion du mercredi 24 novembre 2010)

I/ QUEL EST LE CONTEXTE ?

Après les attentats terroristes du 11 septembre 2001 et ceux commis par la suite en Europe, l'Union européenne a conclu plusieurs accords avec les États-Unis destinés à renforcer la coopération en matière répressive, dans lesquels ont figuré des clauses relatives à la protection des données (accord Europol, accord Eurojust, accord PNR, accord en matière d'entraide judiciaire).

Les différences d'approche sur ce sujet ont rendu les négociations particulièrement difficiles. En novembre 2006, les deux parties ont mis en place un groupe d'experts conjoint (« groupe de contact à haut niveau ») sur la protection et le partage des données. Ce groupe a produit un rapport final en mai 2008 qui a recensé des principes communs en matière de protection des données et de respect de la vie privée.

Le Conseil européen a ensuite, dans le cadre du « programme de Stockholm », invité la Commission européenne à proposer une recommandation en vue de la négociation d'un accord avec les États-Unis sur la protection et, s'il y a lieu, le partage des données à des fins répressives, en se fondant sur les travaux du « groupe de contact à haut niveau ». Le Parlement européen, en mars 2009, a également appelé à la conclusion d'un tel accord.

L'Union européenne a par ailleurs conclu jusqu'à présent trois accords avec des États tiers (États-Unis, Canada, Australie) en vue de définir un cadre pour le transfert des données PNR (Passenger Name Record) par les transporteurs aériens aux autorités compétentes de ces pays. Ces données PNR sont des informations fournies par les passagers et recueillies par les transporteurs aériens aux fins de la réservation et de la procédure d'enregistrement (dates de voyage, itinéraire, informations relatives au billet, coordonnées telles que l'adresse et le numéro de téléphone, agence de voyage, informations relatives au paiement et aux bagages, numéro de siège). Elles sont principalement utilisées pour évaluer les risques associés aux passagers et identifier les personnes susceptibles d'intéresser les services répressifs. Elles se distinguent des renseignements préalables concernant les passagers (API - Advanced Passenger Information) qui sont des informations biographiques extraites du passeport (nom, lieu de résidence, lieu de naissance, nationalité).

Après l'annulation par la Cour de justice d'un premier accord conclu en 2005 avec les États-Unis en raison de la base juridique choisie (premier au lieu du troisième pilier), un nouvel accord a été signé en juillet 2007. Intégrant une clause d'entrée en vigueur anticipée, cet accord n'a cependant pas été formellement conclu avant l'entrée en vigueur du traité de Lisbonne. Il en a été de même pour l'accord passé avec l'Australie en 2005. L'accord avec le Canada, entré en vigueur en 2006, a quant à lui cessé d'être valide, le 22 septembre 2009, faute de renouvellement de la décision de la Commission européenne examinant les engagements des autorités canadiennes sur la protection des données (« décision relative à l'adéquation de la protection »).

Saisi en mai 2010 sur la base de l'article 218 TFUE qui lui reconnaît désormais un pouvoir d'approbation, le Parlement européen a décidé de suspendre et de reporter son vote sur les accords avec les États-Unis et l'Australie. Il a invité la Commission européenne à présenter au plus tard à la mi-juillet 2010 une proposition de modèle unique et un projet de mandat de négociation avec les pays tiers, sur la base desquels les accords avec les États-Unis et avec l'Australie devraient être reformulés. Le parlement européen mentionne, dans sa résolution, les conditions minimales qui devraient être remplies dans ce modèle unique.

En septembre 2010, la Commission européenne s'est engagée dans cette voie en présentant une communication proposant une démarche globale en matière de transfert de données PNR aux pays tiers. Elle a par ailleurs lancé les travaux de refonte de la directive du 24 octobre 1995 relative à la protection des données, le traité de Lisbonne offrant désormais une base juridique unique (article 16 TFUE) pour traiter toutes les questions de données, y compris les données relatives à la coopération policière et judiciaire en matière pénale qui, jusque là, faisait l'objet d'un instrument du troisième pilier (décision-cadre).

Le Conseil « Justice-Affaires intérieures » du 8 octobre 2010, a réservé un accueil favorable à la stratégie proposée par la Commission européenne. Il a décidé que les trois projets de mandat de négociation avec l'Australie, les États-Unis et le Canada devraient avoir un contenu identique et être adoptés en même temps, avant la fin de la présidence belge (fin 2010). Une fois les mandats adoptés, les négociations devraient commencer simultanément. Le Conseil a par ailleurs pris acte de l'engagement de la Commission européenne de présenter, en janvier 2011, une nouvelle proposition de système PNR européen, conformément au souhait de plusieurs États membres dont la France.

II/ MANDAT DE NÉGOCIATION POUR LA CONCLUSION D'UN ACCORD CADRE AVEC LES ÉTATS-UNIS SUR LA PROTECTION DES DONNÉES

1/ Quels sont les objectifs ?

Dans sa recommandation, la Commission européenne préconise la conclusion d'un accord international juridiquement contraignant. Cet accord engloberait les institutions de l'Union européenne, les États membres et les autorités publiques américaines. Il serait le cadre de référence unique pour le transfert transatlantique de données aux fins de la coopération policière et judiciaire en matière pénale. Mais il ne concernerait pas les échanges sur les intérêts essentiels en matière de sécurité nationale.

L'accord cadre aurait quatre objectifs : garantir un niveau élevé de protection des libertés et droits fondamentaux ; prévoir un cadre clair et juridiquement contraignant ; prévoir un degré élevé de protection des données transférées ; ne pas supprimer l'exigence d'une base juridique spéciale pour procéder aux transferts de données à caractère personnel entre l'Union européenne et les États-Unis.

Il devrait s'appliquer à tous les futurs accords relatifs au transfert et au traitement de données et, après une période transitoire de trois ans, à tous les accords existants conclus par l'Union européenne et les États membres avec les États-Unis.

2/ Quelles sont les difficultés ?

Dans les directives de négociation, on peut relever la prise en compte de plusieurs exigences dont le Sénat avait souligné l'importance lors de l'examen de précédents accords, en particulier : une protection des données qui s'applique sans condition de nationalité ou de lieu de résidence, la définition de finalités déterminées, explicites et légitimes, un principe de limitation des données (« adéquates, pertinentes et non excessives »), un droit d'accès direct, de verrouillage, de rectification, de contestation et d'effacement des données, la mise en oeuvre d'un contrôle par des autorités publiques indépendantes.

En revanche, d'autres aspects sont formulés en des termes assez généraux : l'accord-cadre devra prévoir une obligation de « fixer des délais appropriés pour effacer les données et vérifier régulièrement s'il est nécessaire de les conserver » ; il comprendra des « droits effectifs et opposables de recours administratif et juridictionnel » (mais cela suppose de surmonter les discriminations fondées sur la nationalité qui résultent de la loi américaine). De même, l'impossibilité de transférer des données « en vrac » (et l'option en faveur d'un transfert seulement au « cas par cas ») n'est pas mentionnée.

La question des données sensibles - pour lesquelles le Sénat a souhaité écarter toute possibilité de transfert lors de l'examen du projet de PNR européen - n'est pas abordée dans les directives de négociation qui nous ont été transmises. Il m'a néanmoins été indiqué que cette question serait bien traitée mais sous une forme qui me semble très générale : leur transfert serait possible s'il est « strictement nécessaire » et sous réserve de « garanties appropriées prévues par la loi nationale. »

La supervision de l'accord mériterait aussi des développements plus importants. La qualité du contrôle apparaît, en effet, au moins aussi important, voire plus, que les règles de fond posées pour le transfert de données. A cet égard, les négociations sur l'accord SWIFT ont permis d'aboutir à la mise en place d'un superviseur européen avec des prérogatives importantes pour accéder aux données et un pouvoir de blocage en cas de difficulté. Il serait important de prévoir un dispositif de ce type dans l'accord cadre.

En outre, les conditions d'encadrement des transferts ultérieurs des données recueillies à des pays tiers demeurent assez floues. Il est seulement dit qu'ils devront être conformes aux conditions de l'accord et que la limitation de la finalité du transfert initial devra être respectée. Mais il serait possible de déroger à cette finalité « dans des circonstances très particulières » et par d'autres accords spécifiques. Paradoxalement, l'accord cadre offrirait ainsi moins de garanties dans ce domaine que les futurs accords PNR !

Enfin, les conditions dans lesquelles ce futur accord cadre s'articulera concrètement avec les accords existants et le futur accord PNR avec les États-Unis mériteraient d'être clarifiées.

Il y aurait plus de 200 accords existants susceptibles d'être concernés. Il est surprenant et même déplorable que la Commission européenne propose de leur rendre applicable l'accord cadre après une période transitoire de trois ans, sans avoir procéder au préalable à leur recensement exhaustif et avoir réalisé une étude d'impact.

Pour l'articulation avec le futur accord PNR, rien n'est prévu expressément. C'est le mandat de négociation de cet accord qui indique simplement que lorsque l'accord cadre aura été conclu, « les parties devraient étudier attentivement ses effets sur l'accord relatif aux données PNR ».

Tout cela témoigne d'une certaine incohérence dans la démarche. On va négocier en même temps un accord PNR et un accord cadre qui devrait le chapeauter. Cet accord cadre devrait être conclu beaucoup plus tard que l'accord PNR, si l'on en juge au regard des priorités américaines. En outre, la Commission a mis en chantier la révision de la directive du 24 octobre 1995 sur la protection des données. Le nouveau texte aura vocation à couvrir les transferts de données dans le cadre de la coopération policière et judiciaire en matière pénale. Les principes qui seront dégagés auront nécessairement un impact sur l'accord cadre et sur les autres accords comme les accords PNR. Quelles conséquences seront tirées de ces réflexions sur les négociations de l'accord cadre et des accords PNR?

III/ MANDATS DE NÉGOCIATION POUR LA CONCLUSION D'ACCORDS PNR AVEC L'AUSTRALIE, LES ÉTATS-UNIS ET LE CANADA

1/ Quelle est la méthode proposée ?

Les trois recommandations reprennent les critères généraux énoncés par la communication de la Commission européenne (septembre 2010). Cette démarche répond au souhait exprimé par le Parlement européen (résolution de mai 2010) d'avoir un modèle unique. Cela me paraît de bonne méthode.

Plusieurs critères sont de nature à répondre aux préoccupations exprimées par le Sénat : limitation des finalités ; sécurité des données ; transparence et information ; droit d'accès, de rectification et de suppression ; droit à un recours administratif et juridictionnel sans discrimination fondée sur la nationalité ou le lieu de résidence ; prohibition d'un transfert « en vrac » des données ; restrictions à des transferts ultérieurs à des pays tiers qui seront soumis à des garanties appropriées (même niveau de protection des données, limitation stricte aux seules finalités du transfert initial de données, pas de transfert « en vrac ») ; utilisation du système dit « push » pour la transmission des données ; limitation de la durée de l'accord (7 ans) et réexamens conjoints réguliers (après 4 ans d'application).

2/ Quelles sont les difficultés ?

Cependant, contrairement à la demande du Sénat pour le projet de PNR européen, la Commission européenne n'exclut pas totalement l'utilisation de données sensibles dans des circonstances exceptionnelles (menace imminente de pertes de vies humaines) et avec des garanties appropriées (notamment utilisation au cas par cas avec autorisation d'un haut fonctionnaire pour les seules finalités prévus pour le transfert initial).

A ce stade, les mandats de négociation restent peu explicites sur la durée de conservation des données (« durée proportionnée et limitée »). Pour le projet de PNR européen, le Sénat avait suggéré une durée de trois ans à laquelle aurait pu succéder une nouvelle durée de trois ans pour les seules données PNR ayant montré un intérêt particulier au cours de la même période.

Enfin, j'ai déjà évoqué la question de l'articulation entre l'accord PNR avec les États-Unis et l'accord cadre sur la protection des données. Tout cela n'est pas clair !

Compte rendu sommaire du débat

M. Simon Sutour :

J'avais été rapporteur de la proposition tendant à créer un PNR européen. Nous avions adopté une proposition de résolution qui a ensuite été enrichie par la commission des lois avant de devenir la résolution du Sénat.

Les conclusions qui nous sont proposées aujourd'hui vont dans le sens des priorités qui ont été retenues précédemment par le Sénat dans ce domaine. Je les approuve pleinement.

Certes, les décisions finales relèvent des représentants des vingt-sept États membres, mais il est souhaitable d'inciter notre Gouvernement à défendre dans les discussions au Conseil les libertés fondamentales et les droits des citoyens.

M. Michel Billout :

Les conclusions proposées vont dans le sens des résolutions qui ont été votées par le Parlement européen en mai et en novembre. Le transfert et l'utilisation des données à caractère personnel justifient que toutes les garanties exigées par le projet de conclusions soient réunies.

M. Hugues Portelli :

La difficulté tient au fait que les États-Unis négocient avec l'Union européenne, mais aussi avec chacun des États membres pris individuellement. C'est pourquoi il me semble important de s'appuyer sur le Parlement européen pour obtenir le maximum de garanties pour la protection des données personnelles et le respect de la vie privée dans les futurs accords.

M. Simon Sutour :

Une autre difficulté tient aux prérogatives des États avec lesquels l'Union européenne va négocier. Ils peuvent en effet toujours bloquer l'accès à leur territoire des compagnies aériennes qui ne leur transmettraient pas les données qu'ils demandent.

*

À l'issue de ce débat, la commission a adopté à l'unanimité les conclusions suivantes :

Conclusions

La Commission des affaires européennes,

Vu la recommandation de la Commission au Conseil d'autoriser l'ouverture de négociations en vue d'un accord entre l'Union européenne et les États-Unis d'Amérique relatif à la protection des données à caractère personnel lors de leur transfert et de leur traitement aux fins de prévenir les infractions pénales, dont les actes terroristes, d'enquêter en la matière, et les détecter ou de les poursuivre dans le cadre de la coopération policière et de la coopération judiciaire en matière pénale (texte E 5397) ;

Vu la recommandation de la Commission au Conseil afin d'autoriser l'ouverture de négociations en vue d'un accord entre l'Union européenne et les États-Unis d'Amérique pour le transfert et l'utilisation de données des dossiers passagers (Passenger Name Record - PNR) afin de prévenir et de combattre le terrorisme et les autres formes graves de criminalité transnationale (texte E 5656) ;

Vu la recommandation de la Commission au Conseil d'autoriser l'ouverture de négociations en vue d'un accord entre l'Union européenne et le Canada pour le transfert et l'utilisation de données des dossiers passagers (Passenger Name Record - PNR) afin de prévenir et de combattre le terrorisme et les autres formes graves de criminalité transnationale (texte E 5657) ;

Vu la recommandation de la Commission au Conseil d'autoriser l'ouverture de négociations en vue d'un accord entre l'Union européenne et l'Australie pour le transfert et l'utilisation de données des dossiers passagers (Passenger Name Record - PNR) afin de prévenir et de combattre le terrorisme et les autres formes graves de criminalité transnationale (texte E 5658) ;

- relevant que, selon la Commission européenne, la négociation d'un accord cadre avec les États-Unis relatif à la protection des données à caractère personnel devra viser à garantir un niveau de protection élevé des libertés et droits fondamentaux des personnes lorsque des données à caractère personnel sont transférées entre les autorités publiques compétentes afin de prévenir la criminalité, qui inclut le terrorisme, d'enquêter en la matière, de détecter les actes criminels ou de les poursuivre dans le cadre de la coopération policière et de la coopération judiciaire en matière pénale ;

- prenant acte que la négociation d'accords sur le transfert et l'utilisation de données des dossiers passagers (Passenger Name Record - PNR) avec les États-Unis, le Canada et l'Australie, a pour objet de régir le transfert et l'utilisation de ces données aux seules fins de prévenir et de combattre le terrorisme et les autres formes graves de criminalité transnationale dans le plein respect de la protection des données à caractère personnel ;

- juge nécessaire de clarifier les conditions dans lesquelles le futur accord cadre avec les États-Unis sur la protection des données s'articulera concrètement avec les accords existants et avec le futur accord sur le transfert et l'utilisation de données des dossiers passagers (Passenger Name Record - PNR) ; déplore, en conséquence, que la Commission européenne n'ait pas présenté une étude d'impact permettant de recenser précisément les accords existants et d'évaluer les effets qu'auraient sur ces accords l'application de l'accord cadre à l'issue d'une période transitoire et souhaite que le Gouvernement exige une telle recension avant l'adoption finale du projet ; s'interroge sur le calendrier qui sera retenu pour la négociation de ces accords et sur la prise en compte dans la négociation des réflexions en cours en vue de la refonte de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

- considère que plusieurs précisions essentielles au regard du respect effectif des droits fondamentaux devront être apportées tant dans les négociations avec les États-Unis d'un accord cadre sur la protection des données que dans les négociations avec les États-Unis, le Canada et l'Australie en vue d'accords sur le transfert et l'utilisation de données des dossiers passagers (Passenger Name Record - PNR) ; qu'en particulier ces accords devront fixer des délais de conservation des données fournies qui soient proportionnés aux finalités poursuivies et retenir un délai raisonnable, établir des garanties sur les droits des personnes concernées pour leur permettre d'exercer un recours administratif et juridictionnel effectif tant dans un État membre de l'Union européenne qu'aux États-Unis, exclure le transfert « en vrac » des données et le transfert de données sensibles ;

- souligne que les conditions dans lesquelles les données seraient susceptibles d'être transmises à des États tiers doivent offrir des garanties suffisantes ; demande, en conséquence, qu'un tel transfert ne soit possible qu'au cas par cas et sous réserve que l'État tiers assure un niveau de protection adéquat des données et que des garanties soient prévues dans la mise en oeuvre du principe de réciprocité ;

- demande que les conditions de contrôle, de supervision et de l'évaluation de ces accords soient définies précisément ; qu'en particulier un dispositif efficace et permanent de contrôle et de supervision soit mis en place et que le rôle des autorités indépendantes sur la protection des données soit affirmé clairement ;

- demande que les parlements nationaux aient accès aux résultats de la supervision et à l'évaluation qui sera faite des accords.