Accord PNR UE-Canada : validation par la CJUE du système PNR, des modalités à revoir ! ( réflexions sur l’avis 1/15 de la CJUE, 26 juillet 2017)

La messe est dite ! Le très attendu avis 1/15 de la Cour de Justice de l’Union européenne relatif à l’accord PNR UE-Canada conclut enfin la très longue polémique suscitée par les accords PNR et la directive éponyme 2016/681 de l’UE du 27 avril 2016.

Après plusieurs arrêts historiques mettant au premier plan le droit fondamental à la protection des données (arrêts Digital Rights Ireland Ltd, C-293/12 & C-594/12, 8 avril 2014 et Schrems, C-362/14, 6 octobre 2015), la Cour de Justice, dans un contexte européen marqué par le terrorisme, a choisi la voie du juste milieu et valide ainsi le très controversé système PNR dans son principe – ce qui n’allait pas de soi – tout en censurant un certain nombre de ses modalités de mise en œuvre. C’est ainsi une décision équilibrée qu’elle rend aujourd’hui, dans la logique des conclusions de l’Avocat général Mengozzi (conclusions du 8 septembre 2016, commentées ici-même). Dans la mesure où l’articulation de l’argumentation de la Cour ainsi que son contenu sont pour l’essentiel le reflet de ces conclusions, nous nous arrêterons ici sur quelques réflexions spécifiques sans souci d’exhaustivité, à savoir la validation du système PNR (I) et son encadrement par le juge (II).

1. La validation du système PNR

Comme déjà noté ici à propos des conclusions de l’avocat général Mengozzi, tant certaines franges politiques du Parlement européen que le Contrôleur européen de la protection des données (CEPD) ou le G29 (Organe européen composé de représentants des autorités nationales chargées de la protection des données) ont remis en question depuis des années l’existence même du PNR, à cause de la surveillance de masse qu’il semble organiser par définition. Il permet en effet aux autorités compétentes de recueillir et de traiter les données des dossiers des passagers aériens, à des fins de lutte contre le terrorisme et la criminalité grave, et ce dans une démarche proactive visant à détecter des profils à risque parmi les millions de passagers au moyen d’algorithmes élaborés, faisant ainsi de tous les voyageurs des « suspects potentiels », comme le notait l’Avocat général (§ 176 des conclusions).

L’arrêt Digital Rights Ireland pouvait laisser espérer une invalidation du système PNR, de par la condamnation que la Cour y prononce de tout stockage de données de masse, et ce de façon indifférenciée, condamnation réitérée dans son arrêt Schrems ou encore dans l’arrêt Tele2 Sverige (C-203/15, 21 juillet 2016, commenté ici).

L’Avocat général avait estimé dans ses conclusions que « la nature des données PNR faisant l’objet de l’accord envisagé ne permet pas de tirer des conclusions précises sur le contenu essentiel de la vie privée des personnes concernées » (§ 186 de l’avis). Une telle position était alors à rebours de l’arrêt Digital Rights Ireland, où la CJUE avait invalidé la directive 2006/24/CE relative à la rétention des données de communication électroniques, dans la mesure où la quantité et la qualité des données (métadonnées de communication) recueillies et traitées permettaient de dresser une « cartographie aussi fidèle qu’exhaustive (…) des comportements d’une personne relevant strictement de sa vie privée, voire d’un portrait complet et précis de son identité privée », comme le notait l’avocat général Cruz Villalón dans ses conclusions. Dans son avis 1/15, le juge apparaît moins radical que l’Avocat général qui soulignait ainsi que « l’ingérence que comporte l’accord envisagé est moins vaste que celle prévue par la directive 2006/24 tout en étant également moins intrusive dans la vie quotidienne de chaque personne » (§ 240 conclusions). La Cour en effet, dans un considérant chef-d’œuvre d’équilibre et de subtilité, note que «même si certaines des données PNR, prises isolément, ne paraissent pas pouvoir révéler des informations importantes sur la vie privée des personnes concernées, il n’en demeure pas moins que, prises ensemble, lesdites données peuvent, entre autres, révéler un itinéraire de voyage complet, des habitudes de voyage, des relations existant entre deux ou plusieurs personnes ainsi que des informations sur la situation financière des passagers aériens, leurs habitudes alimentaires ou leur état de santé, et pourraient même fournir des informations sensibles sur ces passagers, telles que définies à l’article 2, sous e), de l’accord envisagé » (§ 128 de l’arrêt).

De plus, la Cour constate que l’ensemble des données des voyageurs aériens ainsi collectées sont traitées dans le cadre d’un mode proactif, qu’elle semble entériner (§ 131 : « les données PNR transférées sont, sur le fondement de l’accord envisagé, destinées à être analysées de manière systématique avant l’arrivée de l’aéronef au Canada par des moyens automatisés, fondés sur des modèles et des critères préétablis » ), mode qu’elle avait condamné dans son arrêt Digital Rights Ireland ( §§ 57 et 58, où elle censurait la surveillance généralisée, et ce de façon indifférenciée, la directive contestée s’appliquant « même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves »).

Loin ici d’en censurer le mécanisme par conséquent, elle en examine soigneusement l’économie et, le passant au crible de ses c