Accord PNR UE-Canada : validation par la CJUE du système PNR, des modalités à revoir ! ( réflexions sur l’avis 1/15 de la CJUE, 26 juillet 2017)

La messe est dite ! Le très attendu avis 1/15 de la Cour de Justice de l’Union européenne relatif à l’accord PNR UE-Canada conclut enfin la très longue polémique suscitée par les accords PNR et la directive éponyme 2016/681 de l’UE du 27 avril 2016.

Après plusieurs arrêts historiques mettant au premier plan le droit fondamental à la protection des données (arrêts Digital Rights Ireland Ltd, C-293/12 & C-594/12, 8 avril 2014 et Schrems, C-362/14, 6 octobre 2015), la Cour de Justice, dans un contexte européen marqué par le terrorisme, a choisi la voie du juste milieu et valide ainsi le très controversé système PNR dans son principe – ce qui n’allait pas de soi – tout en censurant un certain nombre de ses modalités de mise en œuvre. C’est ainsi une décision équilibrée qu’elle rend aujourd’hui, dans la logique des conclusions de l’Avocat général Mengozzi (conclusions du 8 septembre 2016, commentées ici-même). Dans la mesure où l’articulation de l’argumentation de la Cour ainsi que son contenu sont pour l’essentiel le reflet de ces conclusions, nous nous arrêterons ici sur quelques réflexions spécifiques sans souci d’exhaustivité, à savoir la validation du système PNR (I) et son encadrement par le juge (II).

1. La validation du système PNR

Comme déjà noté ici à propos des conclusions de l’avocat général Mengozzi, tant certaines franges politiques du Parlement européen que le Contrôleur européen de la protection des données (CEPD) ou le G29 (Organe européen composé de représentants des autorités nationales chargées de la protection des données) ont remis en question depuis des années l’existence même du PNR, à cause de la surveillance de masse qu’il semble organiser par définition. Il permet en effet aux autorités compétentes de recueillir et de traiter les données des dossiers des passagers aériens, à des fins de lutte contre le terrorisme et la criminalité grave, et ce dans une démarche proactive visant à détecter des profils à risque parmi les millions de passagers au moyen d’algorithmes élaborés, faisant ainsi de tous les voyageurs des « suspects potentiels », comme le notait l’Avocat général (§ 176 des conclusions).

L’arrêt Digital Rights Ireland pouvait laisser espérer une invalidation du système PNR, de par la condamnation que la Cour y prononce de tout stockage de données de masse, et ce de façon indifférenciée, condamnation réitérée dans son arrêt Schrems ou encore dans l’arrêt Tele2 Sverige (C-203/15, 21 juillet 2016, commenté ici).

L’Avocat général avait estimé dans ses conclusions que « la nature des données PNR faisant l’objet de l’accord envisagé ne permet pas de tirer des conclusions précises sur le contenu essentiel de la vie privée des personnes concernées » (§ 186 de l’avis). Une telle position était alors à rebours de l’arrêt Digital Rights Ireland, où la CJUE avait invalidé la directive 2006/24/CE relative à la rétention des données de communication électroniques, dans la mesure où la quantité et la qualité des données (métadonnées de communication) recueillies et traitées permettaient de dresser une « cartographie aussi fidèle qu’exhaustive (…) des comportements d’une personne relevant strictement de sa vie privée, voire d’un portrait complet et précis de son identité privée », comme le notait l’avocat général Cruz Villalón dans ses conclusions. Dans son avis 1/15, le juge apparaît moins radical que l’Avocat général qui soulignait ainsi que « l’ingérence que comporte l’accord envisagé est moins vaste que celle prévue par la directive 2006/24 tout en étant également moins intrusive dans la vie quotidienne de chaque personne » (§ 240 conclusions). La Cour en effet, dans un considérant chef-d’œuvre d’équilibre et de subtilité, note que «même si certaines des données PNR, prises isolément, ne paraissent pas pouvoir révéler des informations importantes sur la vie privée des personnes concernées, il n’en demeure pas moins que, prises ensemble, lesdites données peuvent, entre autres, révéler un itinéraire de voyage complet, des habitudes de voyage, des relations existant entre deux ou plusieurs personnes ainsi que des informations sur la situation financière des passagers aériens, leurs habitudes alimentaires ou leur état de santé, et pourraient même fournir des informations sensibles sur ces passagers, telles que définies à l’article 2, sous e), de l’accord envisagé » (§ 128 de l’arrêt).

De plus, la Cour constate que l’ensemble des données des voyageurs aériens ainsi collectées sont traitées dans le cadre d’un mode proactif, qu’elle semble entériner (§ 131 : « les données PNR transférées sont, sur le fondement de l’accord envisagé, destinées à être analysées de manière systématique avant l’arrivée de l’aéronef au Canada par des moyens automatisés, fondés sur des modèles et des critères préétablis » ), mode qu’elle avait condamné dans son arrêt Digital Rights Ireland ( §§ 57 et 58, où elle censurait la surveillance généralisée, et ce de façon indifférenciée, la directive contestée s’appliquant « même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves »).

Loin ici d’en censurer le mécanisme par conséquent, elle en examine soigneusement l’économie et, le passant au crible de ses critères d’analyse habituels (tels la stricte nécessité de l’ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données, garantis par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union, ainsi que le principe de proportionnalité), opère ici un subtil changement de pied par rapport à sa précédente jurisprudence, qui lui permet de le valider en s’appuyant sur la Charte. A noter la « constitutionnalisation » du Préambule de la Charte qu’opère ici la Cour, par la référence qu’elle fait à son alinéa 4, soulignant la nécessité de « renforcer la protection des droits fondamentaux à la lumière de l’évolution de la société, du progrès social et des développements scientifiques et technologiques ». Ceci lui permet de relativiser la portée des droits fondamentaux affirmés par les articles 7 et 8 de la Charte, qui ne sont pas « des prérogatives absolues, mais doivent être pris en considération par rapport à leur fonction dans la société » (§ 136). C’est un glissement significatif dans son analyse.

Ce glissement est ensuite parachevé lorsque la Cour envisage l’objectif d’intérêt général que poursuit l’accord PNR. En effet, dans son arrêt Digital Rights Ireland, elle avait certes reconnu la pertinence de l’objectif d’intérêt général relatif à la sécurité publique, mais ce dernier ne l’avait pas emporté face à une atteinte qu’elle jugeait massive et indifférenciée aux droits fondamentaux des citoyens européens.

C’est ici la position inverse qui prévaut : la Cour note en effet d’abord que « l’accord envisagé vise, notamment, à garantir la sécurité publique au moyen d’un transfert des données PNR vers le Canada et de l’utilisation de celles-ci dans le cadre de la lutte contre des infractions terroristes et la criminalité transnationale grave » (§ 148) ; et elle souligne surtout que cet « objectif d’intérêt général de l’Union [est] susceptible de justifier des ingérences, même graves, dans les droits fondamentaux (c’est nous qui soulignons) consacrés aux articles 7 et 8 de la Charte. Au demeurant, la protection de la sécurité publique contribue également à la protection des droits et des libertés d’autrui. À cet égard, l’article 6 de la Charte énonce le droit de toute personne non seulement à la liberté, mais également à la sûreté » (§ 149). Ceci lui permet in fine, relativisant la portée et le contenu de l’accord PNR et soulignant les garanties essentielles dont l’accord est (ou doit être) entouré, de valider le système PNR : « même si les données PNR peuvent, le cas échéant, révéler des informations très précises sur la vie privée d’une personne, la nature de ces informations est limitée à certains aspects de cette vie privée, relatifs en particulier aux voyages aériens entre le Canada et l’Union.

Quant au contenu essentiel du droit à la protection des données à caractère personnel, consacré à l’article 8 de la Charte, l’accord envisagé circonscrit, à son article 3, les finalités du traitement des données PNR et prévoit, à son article 9, des règles destinées à assurer, notamment, la sécurité, la confidentialité et l’intégrité de ces données, ainsi qu’à les protéger contre les accès et les traitements illégaux. Dans ces conditions, les ingérences que comporte l’accord envisagé sont susceptibles d’être justifiées par un objectif d’intérêt général de l’Union et ne sont pas de nature à porter atteinte au contenu essentiel des droits fondamentaux consacrés aux articles 7 et 8 de la Charte ». Le changement est notable par rapport à la jurisprudence antérieure. Mais pouvait-il en être autrement dans le contexte que l’Europe connaît aujourd’hui ?

Il n’empêche que la Cour n’en délivre pas pour autant un blanc-seing, et pose un certain nombre de conditions que l’accord PNR (tout système PNR) doit nécessairement respecter pour assurer sa conformité à la Charte.

2. L’encadrement du système PNR par le juge

A l’image du communiqué de presse qui avait annoncé les conclusions de l’Avocat général Mengozzi, celui relatif à l’avis de la Cour note que l’accord PNR ne peut pas être conclu sous sa forme actuelle. Ainsi le juge européen indique un certain nombre de dispositions de celui-ci qui nécessitent une révision, afin d’assurer leur conformité avec la Charte des droits fondamentaux.

Parmi les points soigneusement listés, la Cour estime tout d’abord qu’un certain nombre des 19 catégories de données qui figurent dans l’accord (les mêmes dans tous les accords PNR ainsi que dans la directive européenne) devraient être définies de manière claire et précise. C’est le cas notamment de la rubrique 7, qui mentionne « toutes les coordonnées disponibles » sans mentionner précisément les données à transférer, et surtout de la rubrique 17, relative aux « remarques générales » ; dans la mesure où elle ne fixe « aucune limitation quant à l’étendue et à la nature des informations susceptibles d’y figurer », cette rubrique ne saurait être ainsi considérée « comme étant délimitée avec suffisamment de clarté et de précision » (§ 160). La Cour envisage par ailleurs plus spécifiquement la question des données sensibles (celles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ou concernant l’état de santé ou la vie sexuelle d’une personne), dont le traitement est exclu par l’Union européenne, et dont le transfert possible au titre de la rubrique 17 évoquée ci-dessus n’obéit à aucune « justification précise et particulièrement solide » (§ 165) ; la Cour estime en conclusion que la Charte (article 7 et 8, mais aussi 52 § 1) s’oppose au transfert de telles données.

L’analyse de la Cour relative aux méthodes proactives mises en œuvre dans le cadre de l’accord PNR est particulièrement digne d’intérêt. Elles auraient pu en effet porter à la condamnation pure et simple de tout système PNR, de par la surveillance généralisée et indifférenciée qu’elles impliquent, on l’a dit. Mais la Cour, préférant préserver l’accord (et le système) PNR dans son principe, étudie toutefois les modalités de fonctionnement de ces algorithmes prédictifs, constatant le « taux d’erreur (…) non négligeable » (§ 170) que ceux-ci provoquent inévitablement. La Cour en profite dès lors pour enjoindre aux autorités (politiques, mais cela s’adresse aussi nécessairement aux ingénieurs qui les conçoivent…) de produire des « modèles et critères préétablis (…) spécifiques et fiables » de sorte à aboutir à des « résultats ciblant les individus à l’égard desquels pourrait peser un soupçon raisonnable de participation à des infractions terroristes ou de criminalité transnationale grave ».

Il ne s’agit de rien d’autre que d’une injonction aux politiques de domestiquer la technique afin de l’asservir à l’objectif visé en respectant les droits fondamentaux des individus…En somme, les avancées technologiques doivent donc être un outil au service de la société, et non un prétexte à instituer des politiques ultra-sécuritaires violant les droits fondamentaux. Belle leçon d’humanisme au détour d’une argumentation juridique…

S’agissant de la conservation des données (cinq ans, données masquées après trente jours), la Cour reconnaît tout d’abord que « aussi longtemps que les passagers aériens se trouvent au Canada, ou en partance de ce pays tiers, le rapport nécessaire entre ces données et l’objectif poursuivi par cet accord existe, de telle sorte que celui-ci ne dépasse pas les limites du strict nécessaire » (§ 197), malgré le caractère systématique de la conservation et de l’utilisation des données de l’ensemble des passagers. Toutefois, la Cour précise que l’utilisation des données PNR pendant le séjour des passagers aériens au Canada, doit être, sauf cas d’urgence dûment justifiés, subordonnée à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante. La Cour, enfin, ne voit pas la nécessité, une fois que les passagers ont quitté le territoire canadien, de conserver leurs données, dans la mesure où un risque (terrorisme ou criminalité grave) n’a pas été identifié avant ou pendant leur séjour. La Cour estime ainsi dans un considérant très important que « le stockage continu des données PNR de l’ensemble des passagers aériens après leur départ du Canada n’apparaît donc pas limité au strict nécessaire » (§ 206). Elle admet toutefois des dérogations, dans la mesure où sont identifiés, dans des cas particuliers, des éléments objectifs permettant de considérer que certains passagers aériens pourraient présenter un risque, même après leur départ du Canada. Le stockage de leurs données au-delà de leur départ serait ainsi justifié. Cela dit, la durée de cinq ans prévue par l’accord ne semble pas au juge « excéder les limites de ce qui est strictement nécessaire à des fins de lutte contre le terrorisme et la criminalité transnationale grave » (§ 205).

La Cour s’intéresse aussi au possible transfert de données PNR du Canada vers un pays tiers. Au titre de la directive 95/46, mais aussi de la jurisprudence Schrems de la CJUE, celui-ci ne peut intervenir que si la Commission a constaté l’existence d’un « niveau adéquat » de protection dans le pays destinataire (art. 25 § 6 de la directive), ou « substantiellement équivalent » à celui assuré au sein de l’UE (Schrems). L’accord, en l’état, ne garantit pas que des données puissent être transférées en l’absence d’accord avec le pays tiers destinataire ou en l’absence de décision de la Commission. Il ne garantit donc pas que la communication de données sera limitée au strict nécessaire.

Si les passagers aériens disposent ensuite d’un droit d’accès et de rectification de leurs données, la Cour constate en revanche l’absence d’un droit d’information individuel, mais estime néanmoins que la « règle de transparence permet à suffisance d’informer les passagers aériens » (§ 223). La Cour adresse par ailleurs un satisfecit à l’accord sur le droit de recours individuel, dont disposent l’ensemble des passagers aériens.

Quant au contrôle du respect des exigences de la protection des données par le biais d’une autorité indépendante, exigence figurant tant dans la Charte (art. 8 § 3) que dans le Traité (Article 16 § 2 TFUE) ou la jurisprudence maintes fois rappelée par la Cour (Commission c/RFA, aff. C-518/07 ; Commission c/ Hongrie, aff. C-288/12), une formule alternative à celle prévoyant une « autorité publique indépendante » ne présente pas les qualités requises selon la Cour. Cette autorité « créée par des moyens administratifs » et « subordonnée à une autorité de tutelle », n’est pas « à l’abri de toute influence extérieure ». C’est un point important quant au fond mais il sera probablement facile d’y remédier.

Au total, si l’avis de la Cour obligera l’UE à renégocier l’accord avec le Canada afin d’assurer sa conformité aux droits fondamentaux garantis par la Charte (sur des points d’inégale difficulté technique), c’est toutefois un autre point qui retient l’attention, à savoir la validation du système PNR effectué ici par la Cour. Le PNR tant décrié, aussi bien par les autorités européennes de protection des données que par des parlementaires européens, a su finalement trouver grâce aux yeux du juge dans un contexte, il est vrai, difficile, marqué par de sanglants et répétés attentats terroristes. Nous pensions, suite aux conclusions de l’Avocat général – qui semblaient remettre partiellement en cause les jurisprudences Digital Rights Ireland ou Schrems – que dans le contexte de menace terroriste actuel, d’une intensité jamais égalée, la Cour formulerait sa réponse avec prudence. Elle l’a fait, mais en tentant de trouver un point d’équilibre entre les nécessités de la sécurité publique et celles de la défense des droits fondamentaux. L’exercice était difficile, la Cour l’a rempli avec dextérité.

L’accord PNR entre l’Union et le Canada ne respecte pas, en l’état, la Charte des droits fondamentaux de l’UE, réflexions faisant suite aux conclusions de l’avocat général Mengozzi dans la demande d’avis 1/15

 

S’il est un outil, en matière de lutte contre le terrorisme, qui fait couler des flots d’encre depuis des années, et suscite des débats passionnés, c’est bien le système « PNR » (Passenger Name Record), décliné sous forme d’accord avec des Etats tiers (Canada, Etats-Unis, Australie) ou de directive européenne (adoptée enfin en avril dernier après des années de tergiversations).

Il permet aux autorités de recueillir et traiter les données des dossiers des passagers aériens, et ce dans une démarche proactive visant à détecter des profils à risque parmi les millions de passagers au moyen d’algorithmes élaborés, faisant ainsi de tous les voyageurs des « suspects potentiels » (§ 176 de l’avis).

Dans l’inépuisable débat entre sécurité et liberté, exacerbé par un contexte terroriste sans précédent et des législations nationales ou européennes de plus en plus nombreuses et potentiellement liberticides pour tenter d’y faire face, les conclusions de l’avocat général Mengozzi quant à la demande d’avis formulé par le Parlement européen à la Cour de justice s’agissant de l’accord PNR UE/Canada, revêtent une importance capitale. Ces conclusions, si elles condamnent en l’état la conclusion de l’accord PNR, le font au prix d’une argumentation extrêmement détaillée qui ne porte pas aux jugements à l’emporte pièce. Lire la suite

Protection des données : l’obligation générale de conservation des données est compatible avec le droit de l’Union

La spectaculaire annulation, intégrale et rétroactive, de la directive 2006/24/CE, « rétention des données de communications électroniques », par la Cour de justice de l’UE dans la désormais célèbre affaire Digital Rights Ireland Ltd (C-293/12  et C-594/12, 8 avril 2014) provoque, plus de deux ans après, de nouvelles conséquences, importantes et riches de potentialités. Ce sont les conclusions de l’Avocat général Saugmandsgaard Øe, dans les affaires jointes C-231/15 Tele2Sverige AB/Post-och telestyrelsen et C-698/15 Secretary of State for Home Department/Tm Watson e.a., qui fournissent aujourd’hui matière à réflexion. Lire la suite

La sécurité digitale à l’heure des crises migratoire et terroriste, le noeud gordien de l’interconnexion des fichiers

La situation que connaît actuellement l’Union européenne n’aura échappé à personne. Qu’il s’agisse de la crise migratoire ou de la crise terroriste générée par les attentats à répétition en 2015 et en 2016, le remède préconisé par les États membres par la voix du Conseil et du Conseil européen, consiste à vouloir sécuriser davantage les frontières extérieures de l’Union européenne.

La protection renforcée de celles-ci constitue l’enjeu majeur de la lutte menée contre le phénomène terroriste, dont l’agenda converge désormais clairement avec la politique européenne en matière migratoire, comme l’atteste la communication de la Commission du 6 avril 2016 intitulée « des systèmes d’information plus forts et plus intelligents pour les frontières et la sécurité ». Le texte affirme à cet égard très clairement une « interconnexion dynamique » entre police, migration et gestion des frontières. Lire la suite

La réaction de l’Union aux attentats terroristes de Paris : que tout change pour que rien ne change ?

par Henri Labayle, CDRE

Sans surprises, le débat dans l’Union relatif à la lutte contre le terrorisme le demeure. Un mois plus tard, l’émotion provoquée dans l’opinion publique par les attentats parisiens n’est en rien relayée de façon opérationnelle par les Etats membres, davantage désireux de récupération politique et de déploiement de dispositifs sécuritaires que de souci d’analyse et donc d’efficacité.

A la veille du Conseil européen programmé les 12 et 13 février prochains et consacré à la lutte contre la violence terroriste, le contraste des postures respectives des Etats membres et des institutions de l’Union est révélateur des arrières pensées des uns et des autres. Il n’augure rien d’encourageant. Lire la suite

Le PNR européen à la croisée des chemins : protection des données et lutte contre le terrorisme

par Sylvie Peyrou, CDRE

Après l’immense émotion suscitée par les assassinats commis à Charlie Hebdo et le temps du recueillement, vient celui de la réaction et nombre de réflexions s’orientent aujourd’hui sur les indispensables réponses à apporter en matière de lutte contre le terrorisme.

Le Président de la Commission, Jean-Claude Juncker, qui a évoqué le 7 janvier « un acte intolérable, une barbarie qui nous interpelle tous en tant qu’êtres humains et Européens », a annoncé à Riga le 8 janvier « un nouveau programme de lutte contre le terrorisme » dans les semaines à venir. La lutte contre le terrorisme a été d’ailleurs le sujet prioritaire du Conseil des Affaires étrangères du 19 janvier, à l’initiative de la Haute représentante Federica Mogherini, et elle sera aussi l’une des priorités de la présidence lettone du premier semestre 2015, comme l’a affirmé Mme Straujuma, Première ministre lettone le 14 janvier, lors d’un débat avec les députés du Parlement européen. Lire la suite

L’affaire Prism et ses suites : beaucoup de bruit pour rien ?

par Sylvie Peyrou, CDRE

L’ampleur que prend l’affaire « Prism », au gré des révélations distillées par la presse, est déconcertante à plus d’un titre. La molle indignation exprimée par certains gouvernements de pays européens, tels la France ou la RFA, pourrait sembler bien proche de la tartufferie ; quant aux réactions des institutions européennes, nombreuses et convergentes, l’interrogation se fait jour quant à leur réelle portée. Lire la suite

De l’accord PNR à Prism, bilan et perspectives sur les malentendus transatlantiques : lutte anti-terroriste versus protection des données personnelles

Par Sylvie Peyrou, CDRE

« La diplomatie est-elle plus importante que les droits fondamentaux ? », telle est la question, posée par Sophia In’t Veld, rapporteur du texte relatif à l’accord Passenger Name Record (PNR) entre l’Union européenne (UE) et les Etats-Unis d’Amérique (USA) sur le transfert des données des dossiers passagers. Cette interrogation est apparue légitime après l’adoption par le Parlement européen de cet accord pourtant très controversé. En effet, ce texte, jugé contraire au droit de l’UE en matière de protection des droits fondamentaux, a été finalement approuvé, puis est entré en vigueur le 1ier juin 2012. Cette capitulation de l’Europe sur des valeurs qui lui sont pourtant fondatrices, et ce au nom de la Realpolitik, semble une parfaite illustration des récents malentendus transatlantiques, l’affaire « Prism » en étant le dernier épisode. Lire la suite

Le rejet de la proposition de directive « PNR » par la Commission des libertés civiles du Parlement européen : l’impossible alchimie entre lutte contre le terrorisme et protection des droits fondamentaux ?

par Sylvie Peyrou, CDRE 

La proposition de directive relative à l’utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, (nommée communément « directive PNR », Passenger Name Record) a été présentée par la Commission le 2 février 2011. Elle fait partie du grand chantier législatif entrepris par le législateur européen afin de définir un nouveau cadre juridique global en matière de protection des données, suite aux priorités énoncées par le Programme de Stockholm, dans le cadre de l’espace de liberté, sécurité et justice pour la période 2010-2014. Lire la suite

Bridge over troubled waters : le bilan JAI de la présidence danoise de l’Union (1)

par Henri Labayle, CDRE

L’expression du ministre danois des affaires étrangères fait mouche : dans les eaux troubles de l’Union, la gestion danoise de l’Espace de liberté, sécurité et justice a été plus productive qu’espéré, tant du point de vue des dossiers législatifs en cause qu’en raison d’une ambiance générale lourde de la crise de confiance que traverse l’Union.

Les raisons de douter d’une avancée quelconque en matière JAI étaient pourtant fondées au 1er janvier 2012, lorsque le Danemark prit la présidence de l’Union. Petit Etat membre peu suspect de bousculer les féodalités des grands Etats de l’Union, peuple peu enclin à des rêveries fédérales depuis le référendum de Maastricht, autorités nationales en situation complexe autant que délicate vis à vis de l’ELSJ en raison d’une position d’opt-out, tout inclinait à croire la présidence entamée le 1er janvier incapable d’impulser des progrès en la matière. Lire la suite