Accord PNR UE-Canada : validation par la CJUE du système PNR, des modalités à revoir ! ( réflexions sur l’avis 1/15 de la CJUE, 26 juillet 2017)

La messe est dite ! Le très attendu avis 1/15 de la Cour de Justice de l’Union européenne relatif à l’accord PNR UE-Canada conclut enfin la très longue polémique suscitée par les accords PNR et la directive éponyme 2016/681 de l’UE du 27 avril 2016.

Après plusieurs arrêts historiques mettant au premier plan le droit fondamental à la protection des données (arrêts Digital Rights Ireland Ltd, C-293/12 & C-594/12, 8 avril 2014 et Schrems, C-362/14, 6 octobre 2015), la Cour de Justice, dans un contexte européen marqué par le terrorisme, a choisi la voie du juste milieu et valide ainsi le très controversé système PNR dans son principe – ce qui n’allait pas de soi – tout en censurant un certain nombre de ses modalités de mise en œuvre. C’est ainsi une décision équilibrée qu’elle rend aujourd’hui, dans la logique des conclusions de l’Avocat général Mengozzi (conclusions du 8 septembre 2016, commentées ici-même). Dans la mesure où l’articulation de l’argumentation de la Cour ainsi que son contenu sont pour l’essentiel le reflet de ces conclusions, nous nous arrêterons ici sur quelques réflexions spécifiques sans souci d’exhaustivité, à savoir la validation du système PNR (I) et son encadrement par le juge (II).

1. La validation du système PNR

Comme déjà noté ici à propos des conclusions de l’avocat général Mengozzi, tant certaines franges politiques du Parlement européen que le Contrôleur européen de la protection des données (CEPD) ou le G29 (Organe européen composé de représentants des autorités nationales chargées de la protection des données) ont remis en question depuis des années l’existence même du PNR, à cause de la surveillance de masse qu’il semble organiser par définition. Il permet en effet aux autorités compétentes de recueillir et de traiter les données des dossiers des passagers aériens, à des fins de lutte contre le terrorisme et la criminalité grave, et ce dans une démarche proactive visant à détecter des profils à risque parmi les millions de passagers au moyen d’algorithmes élaborés, faisant ainsi de tous les voyageurs des « suspects potentiels », comme le notait l’Avocat général (§ 176 des conclusions).

L’arrêt Digital Rights Ireland pouvait laisser espérer une invalidation du système PNR, de par la condamnation que la Cour y prononce de tout stockage de données de masse, et ce de façon indifférenciée, condamnation réitérée dans son arrêt Schrems ou encore dans l’arrêt Tele2 Sverige (C-203/15, 21 juillet 2016, commenté ici).

L’Avocat général avait estimé dans ses conclusions que « la nature des données PNR faisant l’objet de l’accord envisagé ne permet pas de tirer des conclusions précises sur le contenu essentiel de la vie privée des personnes concernées » (§ 186 de l’avis). Une telle position était alors à rebours de l’arrêt Digital Rights Ireland, où la CJUE avait invalidé la directive 2006/24/CE relative à la rétention des données de communication électroniques, dans la mesure où la quantité et la qualité des données (métadonnées de communication) recueillies et traitées permettaient de dresser une « cartographie aussi fidèle qu’exhaustive (…) des comportements d’une personne relevant strictement de sa vie privée, voire d’un portrait complet et précis de son identité privée », comme le notait l’avocat général Cruz Villalón dans ses conclusions. Dans son avis 1/15, le juge apparaît moins radical que l’Avocat général qui soulignait ainsi que « l’ingérence que comporte l’accord envisagé est moins vaste que celle prévue par la directive 2006/24 tout en étant également moins intrusive dans la vie quotidienne de chaque personne » (§ 240 conclusions). La Cour en effet, dans un considérant chef-d’œuvre d’équilibre et de subtilité, note que «même si certaines des données PNR, prises isolément, ne paraissent pas pouvoir révéler des informations importantes sur la vie privée des personnes concernées, il n’en demeure pas moins que, prises ensemble, lesdites données peuvent, entre autres, révéler un itinéraire de voyage complet, des habitudes de voyage, des relations existant entre deux ou plusieurs personnes ainsi que des informations sur la situation financière des passagers aériens, leurs habitudes alimentaires ou leur état de santé, et pourraient même fournir des informations sensibles sur ces passagers, telles que définies à l’article 2, sous e), de l’accord envisagé » (§ 128 de l’arrêt).

De plus, la Cour constate que l’ensemble des données des voyageurs aériens ainsi collectées sont traitées dans le cadre d’un mode proactif, qu’elle semble entériner (§ 131 : « les données PNR transférées sont, sur le fondement de l’accord envisagé, destinées à être analysées de manière systématique avant l’arrivée de l’aéronef au Canada par des moyens automatisés, fondés sur des modèles et des critères préétablis » ), mode qu’elle avait condamné dans son arrêt Digital Rights Ireland ( §§ 57 et 58, où elle censurait la surveillance généralisée, et ce de façon indifférenciée, la directive contestée s’appliquant « même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves »).

Loin ici d’en censurer le mécanisme par conséquent, elle en examine soigneusement l’économie et, le passant au crible de ses critères d’analyse habituels (tels la stricte nécessité de l’ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données, garantis par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union, ainsi que le principe de proportionnalité), opère ici un subtil changement de pied par rapport à sa précédente jurisprudence, qui lui permet de le valider en s’appuyant sur la Charte. A noter la « constitutionnalisation » du Préambule de la Charte qu’opère ici la Cour, par la référence qu’elle fait à son alinéa 4, soulignant la nécessité de « renforcer la protection des droits fondamentaux à la lumière de l’évolution de la société, du progrès social et des développements scientifiques et technologiques ». Ceci lui permet de relativiser la portée des droits fondamentaux affirmés par les articles 7 et 8 de la Charte, qui ne sont pas « des prérogatives absolues, mais doivent être pris en considération par rapport à leur fonction dans la société » (§ 136). C’est un glissement significatif dans son analyse.

Ce glissement est ensuite parachevé lorsque la Cour envisage l’objectif d’intérêt général que poursuit l’accord PNR. En effet, dans son arrêt Digital Rights Ireland, elle avait certes reconnu la pertinence de l’objectif d’intérêt général relatif à la sécurité publique, mais ce dernier ne l’avait pas emporté face à une atteinte qu’elle jugeait massive et indifférenciée aux droits fondamentaux des citoyens européens.

C’est ici la position inverse qui prévaut : la Cour note en effet d’abord que « l’accord envisagé vise, notamment, à garantir la sécurité publique au moyen d’un transfert des données PNR vers le Canada et de l’utilisation de celles-ci dans le cadre de la lutte contre des infractions terroristes et la criminalité transnationale grave » (§ 148) ; et elle souligne surtout que cet « objectif d’intérêt général de l’Union [est] susceptible de justifier des ingérences, même graves, dans les droits fondamentaux (c’est nous qui soulignons) consacrés aux articles 7 et 8 de la Charte. Au demeurant, la protection de la sécurité publique contribue également à la protection des droits et des libertés d’autrui. À cet égard, l’article 6 de la Charte énonce le droit de toute personne non seulement à la liberté, mais également à la sûreté » (§ 149). Ceci lui permet in fine, relativisant la portée et le contenu de l’accord PNR et soulignant les garanties essentielles dont l’accord est (ou doit être) entouré, de valider le système PNR : « même si les données PNR peuvent, le cas échéant, révéler des informations très précises sur la vie privée d’une personne, la nature de ces informations est limitée à certains aspects de cette vie privée, relatifs en particulier aux voyages aériens entre le Canada et l’Union.

Quant au contenu essentiel du droit à la protection des données à caractère personnel, consacré à l’article 8 de la Charte, l’accord envisagé circonscrit, à son article 3, les finalités du traitement des données PNR et prévoit, à son article 9, des règles destinées à assurer, notamment, la sécurité, la confidentialité et l’intégrité de ces données, ainsi qu’à les protéger contre les accès et les traitements illégaux. Dans ces conditions, les ingérences que comporte l’accord envisagé sont susceptibles d’être justifiées par un objectif d’intérêt général de l’Union et ne sont pas de nature à porter atteinte au contenu essentiel des droits fondamentaux consacrés aux articles 7 et 8 de la Charte ». Le changement est notable par rapport à la jurisprudence antérieure. Mais pouvait-il en être autrement dans le contexte que l’Europe connaît aujourd’hui ?

Il n’empêche que la Cour n’en délivre pas pour autant un blanc-seing, et pose un certain nombre de conditions que l’accord PNR (tout système PNR) doit nécessairement respecter pour assurer sa conformité à la Charte.

2. L’encadrement du système PNR par le juge

A l’image du communiqué de presse qui avait annoncé les conclusions de l’Avocat général Mengozzi, celui relatif à l’avis de la Cour note que l’accord PNR ne peut pas être conclu sous sa forme actuelle. Ainsi le juge européen indique un certain nombre de dispositions de celui-ci qui nécessitent une révision, afin d’assurer leur conformité avec la Charte des droits fondamentaux.

Parmi les points soigneusement listés, la Cour estime tout d’abord qu’un certain nombre des 19 catégories de données qui figurent dans l’accord (les mêmes dans tous les accords PNR ainsi que dans la directive européenne) devraient être définies de manière claire et précise. C’est le cas notamment de la rubrique 7, qui mentionne « toutes les coordonnées disponibles » sans mentionner précisément les données à transférer, et surtout de la rubrique 17, relative aux « remarques générales » ; dans la mesure où elle ne fixe « aucune limitation quant à l’étendue et à la nature des informations susceptibles d’y figurer », cette rubrique ne saurait être ainsi considérée « comme étant délimitée avec suffisamment de clarté et de précision » (§ 160). La Cour envisage par ailleurs plus spécifiquement la question des données sensibles (celles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ou concernant l’état de santé ou la vie sexuelle d’une personne), dont le traitement est exclu par l’Union européenne, et dont le transfert possible au titre de la rubrique 17 évoquée ci-dessus n’obéit à aucune « justification précise et particulièrement solide » (§ 165) ; la Cour estime en conclusion que la Charte (article 7 et 8, mais aussi 52 § 1) s’oppose au transfert de telles données.

L’analyse de la Cour relative aux méthodes proactives mises en œuvre dans le cadre de l’accord PNR est particulièrement digne d’intérêt. Elles auraient pu en effet porter à la condamnation pure et simple de tout système PNR, de par la surveillance généralisée et indifférenciée qu’elles impliquent, on l’a dit. Mais la Cour, préférant préserver l’accord (et le système) PNR dans son principe, étudie toutefois les modalités de fonctionnement de ces algorithmes prédictifs, constatant le « taux d’erreur (…) non négligeable » (§ 170) que ceux-ci provoquent inévitablement. La Cour en profite dès lors pour enjoindre aux autorités (politiques, mais cela s’adresse aussi nécessairement aux ingénieurs qui les conçoivent…) de produire des « modèles et critères préétablis (…) spécifiques et fiables » de sorte à aboutir à des « résultats ciblant les individus à l’égard desquels pourrait peser un soupçon raisonnable de participation à des infractions terroristes ou de criminalité transnationale grave ».

Il ne s’agit de rien d’autre que d’une injonction aux politiques de domestiquer la technique afin de l’asservir à l’objectif visé en respectant les droits fondamentaux des individus…En somme, les avancées technologiques doivent donc être un outil au service de la société, et non un prétexte à instituer des politiques ultra-sécuritaires violant les droits fondamentaux. Belle leçon d’humanisme au détour d’une argumentation juridique…

S’agissant de la conservation des données (cinq ans, données masquées après trente jours), la Cour reconnaît tout d’abord que « aussi longtemps que les passagers aériens se trouvent au Canada, ou en partance de ce pays tiers, le rapport nécessaire entre ces données et l’objectif poursuivi par cet accord existe, de telle sorte que celui-ci ne dépasse pas les limites du strict nécessaire » (§ 197), malgré le caractère systématique de la conservation et de l’utilisation des données de l’ensemble des passagers. Toutefois, la Cour précise que l’utilisation des données PNR pendant le séjour des passagers aériens au Canada, doit être, sauf cas d’urgence dûment justifiés, subordonnée à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante. La Cour, enfin, ne voit pas la nécessité, une fois que les passagers ont quitté le territoire canadien, de conserver leurs données, dans la mesure où un risque (terrorisme ou criminalité grave) n’a pas été identifié avant ou pendant leur séjour. La Cour estime ainsi dans un considérant très important que « le stockage continu des données PNR de l’ensemble des passagers aériens après leur départ du Canada n’apparaît donc pas limité au strict nécessaire » (§ 206). Elle admet toutefois des dérogations, dans la mesure où sont identifiés, dans des cas particuliers, des éléments objectifs permettant de considérer que certains passagers aériens pourraient présenter un risque, même après leur départ du Canada. Le stockage de leurs données au-delà de leur départ serait ainsi justifié. Cela dit, la durée de cinq ans prévue par l’accord ne semble pas au juge « excéder les limites de ce qui est strictement nécessaire à des fins de lutte contre le terrorisme et la criminalité transnationale grave » (§ 205).

La Cour s’intéresse aussi au possible transfert de données PNR du Canada vers un pays tiers. Au titre de la directive 95/46, mais aussi de la jurisprudence Schrems de la CJUE, celui-ci ne peut intervenir que si la Commission a constaté l’existence d’un « niveau adéquat » de protection dans le pays destinataire (art. 25 § 6 de la directive), ou « substantiellement équivalent » à celui assuré au sein de l’UE (Schrems). L’accord, en l’état, ne garantit pas que des données puissent être transférées en l’absence d’accord avec le pays tiers destinataire ou en l’absence de décision de la Commission. Il ne garantit donc pas que la communication de données sera limitée au strict nécessaire.

Si les passagers aériens disposent ensuite d’un droit d’accès et de rectification de leurs données, la Cour constate en revanche l’absence d’un droit d’information individuel, mais estime néanmoins que la « règle de transparence permet à suffisance d’informer les passagers aériens » (§ 223). La Cour adresse par ailleurs un satisfecit à l’accord sur le droit de recours individuel, dont disposent l’ensemble des passagers aériens.

Quant au contrôle du respect des exigences de la protection des données par le biais d’une autorité indépendante, exigence figurant tant dans la Charte (art. 8 § 3) que dans le Traité (Article 16 § 2 TFUE) ou la jurisprudence maintes fois rappelée par la Cour (Commission c/RFA, aff. C-518/07 ; Commission c/ Hongrie, aff. C-288/12), une formule alternative à celle prévoyant une « autorité publique indépendante » ne présente pas les qualités requises selon la Cour. Cette autorité « créée par des moyens administratifs » et « subordonnée à une autorité de tutelle », n’est pas « à l’abri de toute influence extérieure ». C’est un point important quant au fond mais il sera probablement facile d’y remédier.

Au total, si l’avis de la Cour obligera l’UE à renégocier l’accord avec le Canada afin d’assurer sa conformité aux droits fondamentaux garantis par la Charte (sur des points d’inégale difficulté technique), c’est toutefois un autre point qui retient l’attention, à savoir la validation du système PNR effectué ici par la Cour. Le PNR tant décrié, aussi bien par les autorités européennes de protection des données que par des parlementaires européens, a su finalement trouver grâce aux yeux du juge dans un contexte, il est vrai, difficile, marqué par de sanglants et répétés attentats terroristes. Nous pensions, suite aux conclusions de l’Avocat général – qui semblaient remettre partiellement en cause les jurisprudences Digital Rights Ireland ou Schrems – que dans le contexte de menace terroriste actuel, d’une intensité jamais égalée, la Cour formulerait sa réponse avec prudence. Elle l’a fait, mais en tentant de trouver un point d’équilibre entre les nécessités de la sécurité publique et celles de la défense des droits fondamentaux. L’exercice était difficile, la Cour l’a rempli avec dextérité.

Systèmes d’information européens sécurité-immigration : lorsqu’« interopérabilité » ne rime effectivement pas avec « interconnexion »

« Il convient d’exploiter toutes les possibilités offertes par d’éventuelles synergies entre les systèmes d’information nationaux et européens, sur la base de l’interopérabilité ». Ces propos ne datent pas des conclusions du dernier Conseil JAI sur ce thème, celles du 9 juin 2017, mais bien d’une communication de la Commission remontant au mois de mai 2005. La problématique de l’interopérabilité des bases de données JAI est par conséquent tout sauf neuve. Elle revêt néanmoins une acuité particulière à la lumière des efforts axés sur le renforcement de l’efficacité et de l’efficience de la gestion des données dans l’UE. Comme le fait remarquer une étude juridique de mai 2017, le volume des données échangées entre les Etats membres et stockées au sein des systèmes européens d’information s’est accru considérablement depuis les attaques de Paris de 2015.

Lire la suite

L’ELSJ est l’avenir de l’UE !

Et si l’ELSJ était bel et bien l’avenir de l’Union européenne ? Sur bon nombre de sujets difficiles qui questionnent aujourd’hui la construction européenne, les concrétisations de l’Espace de liberté, sécurité et justice se trouvent comme placées à l’avant-garde de ce qui pourrait être le droit européen de demain.

On peut en faire la remarque au titre de la confiance mutuelle, du Parquet européen et du Brexit.

Lire la suite

La lutte contre le financement du terrorisme : la justification du renforcement de la politique pénale européenne

« L’UE doit répondre au terrorisme par la fermeté sur le plan de la justice pénale » (communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions – Le programme européen en matière de sécurité, 28 avril 2015 (Com (2015) 185). Le « train de mesures » adopté par la Commission, le 21 décembre dernier, s’inscrit dans cette volonté politique, en s’axant principalement sur la lutte contre financement du terrorisme. En réponse aux attentats perpétrés sur le sol européen, trois nouveaux textes – touchant les domaines du blanchiment de capitaux, des mouvements illicites d’argent liquide, du gel et de la confiscation – ont été adoptés afin d’affaiblir « la capacité des terroristes à financer leurs activités et, simultanément, en facilitant celle des autorités à repérer et à bloquer l’accès aux sources de financement » (Communiqué de presse de la Commission, Union de la sécurité : la Commission adopte des règles renforcées pour combattre le financement du terrorisme, le 21 décembre 2016). Lire la suite

Un commissaire britannique à la sécurité de l’Union européenne : le bon endroit, au bon moment, pour la bonne personne ?

La semaine dernière, la procédure de nomination de Sir Julian King en tant que nouveau commissaire en charge de la « sécurité de l’Union » a franchi l’obstacle de l’audition au Parlement européen. Par une large majorité de 394 membres pour contre 161 voix, le Parlement, qui est consulté en cas de démission d’un commissaire en vertu de l’article 246 TFUE, a donné son aval. Le 19 septembre 2016, le Conseil, en accord avec le président de la Commission, a donc nommé Sir Julian King, en remplacement de Jonathan Hill qui avait démissionné le 25 juin, ce pour la durée du mandat de la Commission restant à courir, c’est-à-dire jusqu’au 31 octobre 2019.

Auparavant, le 12 septembre, les trois heures d’audition du futur commissaire devant la Commission Libe ont été l’occasion de réfléchir à la nature et à la signification de ce choix pour le bon fonctionnement de l’Espace de liberté, sécurité et justice de l’Union européenne. Lire la suite

L’accord PNR entre l’Union et le Canada ne respecte pas, en l’état, la Charte des droits fondamentaux de l’UE, réflexions faisant suite aux conclusions de l’avocat général Mengozzi dans la demande d’avis 1/15

 

S’il est un outil, en matière de lutte contre le terrorisme, qui fait couler des flots d’encre depuis des années, et suscite des débats passionnés, c’est bien le système « PNR » (Passenger Name Record), décliné sous forme d’accord avec des Etats tiers (Canada, Etats-Unis, Australie) ou de directive européenne (adoptée enfin en avril dernier après des années de tergiversations).

Il permet aux autorités de recueillir et traiter les données des dossiers des passagers aériens, et ce dans une démarche proactive visant à détecter des profils à risque parmi les millions de passagers au moyen d’algorithmes élaborés, faisant ainsi de tous les voyageurs des « suspects potentiels » (§ 176 de l’avis).

Dans l’inépuisable débat entre sécurité et liberté, exacerbé par un contexte terroriste sans précédent et des législations nationales ou européennes de plus en plus nombreuses et potentiellement liberticides pour tenter d’y faire face, les conclusions de l’avocat général Mengozzi quant à la demande d’avis formulé par le Parlement européen à la Cour de justice s’agissant de l’accord PNR UE/Canada, revêtent une importance capitale. Ces conclusions, si elles condamnent en l’état la conclusion de l’accord PNR, le font au prix d’une argumentation extrêmement détaillée qui ne porte pas aux jugements à l’emporte pièce. Lire la suite

L’espace de liberté, sécurité, justice en 2015/2016 : retour sur une année d’intersections

Le droit de l’ELSJ est un droit d’intersections ! Droit composite, à cheval sur de nombreuses constructions du droit, il soulève dans sa mise en œuvre d’importantes questions d’articulation. En reprenant le fil d’une année d’actualités commentées sur le Blog du GDR CNRS ELSJ, il est possible de s’interroger sur ce que recouvre le terme « Espace », sur les « Territoires » qui le dessinent et sur les manières pour le juriste de les appréhender en termes de « Contextes ». Lire la suite

The freedom, security and justice area in 2015/2016: review of a year of intersections

The law of the AFSJ is a law of intersections ! It is a composite law, straddling numerous legal constructions and raising important questions surrounding its implementation. On the back of a year of current affairs commented upon in the GDR CNRS AFSJ Blog, we might ask what is covered by the term “Area”, in the “Territories” that define it, and what are the ways lawyers understand and interpret them in terms of “Contexts”. Lire la suite

La sécurité digitale à l’heure des crises migratoire et terroriste, le noeud gordien de l’interconnexion des fichiers

La situation que connaît actuellement l’Union européenne n’aura échappé à personne. Qu’il s’agisse de la crise migratoire ou de la crise terroriste générée par les attentats à répétition en 2015 et en 2016, le remède préconisé par les États membres par la voix du Conseil et du Conseil européen, consiste à vouloir sécuriser davantage les frontières extérieures de l’Union européenne.

La protection renforcée de celles-ci constitue l’enjeu majeur de la lutte menée contre le phénomène terroriste, dont l’agenda converge désormais clairement avec la politique européenne en matière migratoire, comme l’atteste la communication de la Commission du 6 avril 2016 intitulée « des systèmes d’information plus forts et plus intelligents pour les frontières et la sécurité ». Le texte affirme à cet égard très clairement une « interconnexion dynamique » entre police, migration et gestion des frontières. Lire la suite

L’ELSJ à l’heure de l’état d’urgence : un effet collatéral du « syndrome shadok » de la lutte antiterroriste française ?

Pierre Berthelet, CDRE

« Il vaut mieux pomper d’arrache-pied même s’il ne se passe rien que risquer qu’il se passe quelque chose de pire en ne pompant pas ». La devise des Shadoks n’aura nullement échappé à l’observateur du droit français de la lutte antiterroriste au moment où le gouvernement prolonge la loi sur l’état d’urgence, validée par le Conseil d’État dans une ordonnance du 27 janvier 2016. La France, en proie à une pulsion législative si bien évoquée dans l’ouvrage Un droit pénal postmoderne ?, empile les textes juridiques destinés à faire face à la menace terroriste. La France semble être atteinte du « syndrome Shadok » caractérisé par une inflation législative constante. Lire la suite