B. LA NÉCESSAIRE MISE EN CONFORMITÉ AVEC LA DIRECTIVE EUROPÉENNE
Le processus d'adoption de la directive présenté en 2011, qui prévoyait l'obligation pour tous les États membres de se doter d'un fichier des passagers aériens, a été particulièrement long. En effet, la directive PNR devait être la première directive dans le domaine JAI (justice et affaires intérieures) à être adoptée selon le processus de codécision issu du traité de Lisbonne de 2009. Or, juste avant la présentation de cette directive, un accord très critiqué 8 ( * ) de transfert des données PNR européennes aux autorités américaines avait été négocié par la Commission européenne dans le cadre pré-Lisbonne, si bien que le Parlement européen s'est immédiatement montré réticent à donner son accord à l'adoption du projet de PNR européen. La négociation au sein des instances européennes ne s'est ainsi achevée qu'en avril 2016 avec l'adoption définitive de la directive 2016/681 du 27 avril 2016 9 ( * ) .
Il est donc nécessaire de modifier la loi française pour deux raisons : d'une part, afin de pérenniser le dispositif , le fichier PNR n'ayant été créé par la loi de programmation militaire qu'à titre expérimental jusqu'au 31 décembre 2017 10 ( * ) ; d'autre part, afin d'assurer la pleine conformité des dispositions introduites par la loi de programmation militaire à celles de la nouvelle directive européenne . Cette mise en conformité n'exige toutefois que des modifications mineures du droit positif dans la mesure où les dispositions de la loi de programmation militaire étaient très proches du projet de directive, cette conformité globale ayant d'ailleurs été renforcée par les amendements adoptés par le Sénat lors de l'examen de ce texte en 2013.
Les modifications résiduelles effectuées par l'article 6 du présent texte au sein de l'article L. 232-7 du code de la sécurité intérieur 11 ( * ) pour assurer la conformité du droit interne à la directive sont ainsi les suivantes :
- l'article L. 232-7 renverra désormais à la liste des formes graves de criminalité décrites dans l'annexe II de la directive, qui fixe la liste des infractions pour la prévention et la constatation desquels l'utilisation du PNR est possible, dès lors qu'elles sont punies dans l'Etat membre concerné d'une peine privative de liberté ou d'une mesure de sûreté d'une durée d'au moins trois ans. Le droit en vigueur renvoie en effet à l'article 695-23 du code pénal (les infractions visées sont toutefois quasiment les mêmes puisque l'article 695-23 renvoie aux infractions prévues pour la mise en oeuvre du mandat d'arrêt européen, elles-mêmes proches de celles de la directive PNR). Notons que la référence aux « atteintes aux intérêts fondamentaux de la nation », qui ne figure pas dans la directive, est maintenue dans l'article L. 232-7. En effet, si cette finalité ne figure pas dans le champ de compétence de l'Union européenne, les États membres peuvent aller plus loin que la directive dans ce domaine et prévoir eux-mêmes que leur PNR peut être mis en oeuvre pour cette finalité ;
- actuellement, en application de l'article 28 de la loi du 28 juillet 2015 actualisant la loi de programmation militaire 12 ( * ) , l'article L. 232-7 du code de la sécurité intérieure prévoit que les entités soumises à l'obligation de transmission des données PNR sont « les opérateurs de voyage ou de séjour affrétant tout ou partie d'un aéronef », conformément à la directive 2016/681 dont le considérant 33 dispose que « la présente directive est sans préjudice de la possibilité pour les États membres de prévoir, en vertu de leur droit national, un système de collecte et de traitement des données PNR auprès d'opérateurs économiques autres que les transporteurs, tels que des agences ou des organisateurs de voyages qui fournissent des services liés aux voyages, y compris la réservation de vols, pour lesquels ils recueillent et traitent les données PNR (...) ». Toutefois, l'article L. 232-7 du code de la sécurité intérieure n'évoque pas expressément les « agences de voyages » . Afin d'ôter toute ambiguïté, l'article 6 ajoute cette expression ;
- le masquage des données, évoqué ci-dessus, intervient au terme d'un délai de deux ans alors que la directive prévoit six mois . Cette modification est cependant d'ordre réglementaire : devra ainsi être modifié le décret n° 2014-1095 du 26 septembre 2014 portant création d'un traitement de données à caractère personnel dénommé « système API-PNR France » pris pour l'application de l'article L. 232-7 du code de la sécurité intérieure et codifié aux articles R. 232-12 à R. 232-18 du même code. Cette modification devra intervenir avant le 25 mai 2018, date d'expiration du délai de transposition de la directive (UE) 2016/681 ;
- les articles 5 et 7 de la directive prévoient la nomination d'un délégué à la protection des données (« data protection officer » ou DPO) pour contrôler l'utilisation conforme du fichier. Le Gouvernement a toutefois décidé d'attendre la transposition de la directive « protection des données » du 27 avril 2016 13 ( * ) car celle-ci prévoit, en son article 32, l'adoption de dispositions législatives généralisant, pour tous les traitements des données à caractère personnel à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, la désignation d'un délégué à la protection des données, doté d'un statut et de pouvoirs décrits par cette même directive.
Enfin, l'article 6 modifie également l'article L. 232-1 du code de la sécurité intérieure, relatif au traitement « SETRADER », qui collecte et traite uniquement les données API et les exploite pour des finalités autres que celles prévues pour le système PNR (amélioration du contrôle aux frontières et lutte contre l'immigration irrégulière). Afin de réserver cet article aux seules données API, comme c'est déjà le cas dans la pratique, l'article 6 prévoit ainsi de supprimer au sein de l'article L. 232-1 la référence aux données PNR.
Votre rapporteur se félicite de cette nouvelle étape dans la mise en oeuvre du PNR, un tel fichier constituant un des instruments les plus utiles dans la lutte contre les formes actuelles de terrorisme marquées par des déplacements fréquents des criminels entre l'Europe et le Moyen-Orient. Il convient toutefois de souligner que la valeur ajoutée d'une approche communautaire de ce sujet réside dans la possibilité, qui doit à présent constituer une priorité, d'organiser des échanges entre les unités information passagers (UIP) des États membres , dès que ceux-ci se seront dotés d'un PNR. Actuellement, la France peut déjà coopérer avec le Royaume-Uni, dont le système est déjà ancien, avec la Roumanie et avec la Hongrie. L'Allemagne devrait rejoindre ces pays courant 2018, ainsi que l'Espagne, qui s'est déjà dotée d'une UIP. Il sera cependant nécessaire d'inciter l'Italie à poursuivre ses efforts dans ce domaine, tandis que la Grèce a malheureusement pris du retard pour des raisons essentiellement financières.
* 8 Cf. les critiques exprimées par la résolution du 13 janvier 2012 de la Commission des affaires européennes du Sénat à ce sujet : https://www.senat.fr/ue/pac/E6869.html
* 9 Directive (UE) 2016/681 du 27 avril 2016 relative à l'utilisation des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière.
* 10 Cette pérennisation est effectuée par l'article 5 du présent projet de loi.
* 11 Qui codifie l'article 17 de la loi de programmation militaire relatif au PNR.
* 12 Loi n° 2015-917 du 28 juillet 2015 actualisant la programmation militaire pour les années 2015 à 2019 et portant diverses dispositions concernant la défense.
* 13 Directive n° 2016/680.