Signature d'un accord avec l'Australie sur le traitement et le transfert de données des dossiers passagers (données PNR) par les transporteurs aériens

Justice et affaires intérieures

Textes E 6281 et E 6282

Signature d'un accord avec l'Australie sur le traitement
et le transfert des données PNR des passagers provenant
de l'Union Européenne

COM (2011) 280 final et COM (2011) 281 final

(Procédure écrite du 21 septembre 2011)

L'Union européenne a conclu jusqu'à présent trois accords avec des Etats tiers (Etats-Unis, Canada, Australie) en vue de définir un cadre pour le transfert des données PNR (Passenger Name Record) par les transporteurs aériens aux autorités compétentes de ces pays. L'accord avec l'Australie a été conclu en 2008.

Saisi en mai 2010 sur la base de l'article 218 TFUE qui, depuis le traité de Lisbonne, lui reconnaît désormais un pouvoir d'approbation, le Parlement européen a décidé de suspendre et de reporter son vote sur les accords avec les Etats-Unis et l'Australie. Il a invité la Commission européenne à présenter au plus tard à la mi-juillet 2010 une proposition de modèle unique et un projet de mandat de négociation avec les pays tiers, sur la base desquels les accords avec les Etats-Unis et avec l'Australie devraient être reformulés.

En septembre 2010, la Commission européenne a présenté une communication proposant une démarche globale en matière de transfert de données PNR aux pays tiers. Le Conseil « Justice-Affaires intérieures » du 8 octobre 2010, a réservé un accueil favorable à la stratégie proposée par la Commission européenne. Le Conseil a décidé que les trois mandats de négociation avec l'Australie, les Etats-Unis et le Canada devraient avoir un contenu identique et être adoptés en même temps.

Plusieurs critères énoncés par la communication de la Commission européenne (septembre 2010) sont de nature à répondre aux préoccupations exprimées à plusieurs reprises par le Sénat concernant l'utilisation des données PNR : limitation des finalités ; sécurité des données ; transparence et information ; droit d'accès, de rectification et de suppression ; droit à un recours administratif et juridictionnel sans discrimination fondée sur la nationalité ou le lieu de résidence ; prohibition d'un transfert « en vrac » des données ; restrictions à des transferts ultérieurs à des pays tiers qui seront soumis à des garanties appropriées (même niveau de protection des donnée, limitation stricte aux seules finalités du transfert initial de données, pas de transfert « en vrac ») ; utilisation du système dit « push » pour la transmission des données ; limitation de la durée de l'accord (7 ans) et réexamens conjoints réguliers (après 4 ans d'application).

Cependant, comme l'a souligné Hugues Portelli dans sa communication en date du 24 novembre 2010, contrairement à la demande du Sénat pour le projet de PNR européen, la Commission européenne n'exclut pas totalement l'utilisation de données sensibles dans des circonstances exceptionnelles (menace imminente de pertes de vies humaines) et avec des garanties appropriées (notamment utilisation au cas par cas avec autorisation d'un haut fonctionnaire pour les seules finalités prévus pour le transfert initial).

Les mandats de négociation ont par ailleurs été peu explicites sur la durée de conservation des données (« durée proportionnée et limitée »). Pour le projet de PNR européen, le Sénat avait suggéré une durée de trois ans à laquelle pourrait succéder une nouvelle durée de trois ans pour les seules données PNR ayant montré un intérêt particulier au cours de la même période.

C'est pourquoi la commission des affaires européennes avait jugé nécessaire d'adresser au Gouvernement des conclusions dans lesquelles elle rappelait les positions prises par le Sénat sur ces questions particulièrement importantes au regard de la protection des données à caractère personnel.

*

Au regard de ces préoccupations, le projet d'accord avec l'Australie apporte certaines garanties notables.

Les données seront transférées exclusivement à travers le système d'exportation par les transporteurs aériens (système dit « push »). L'accord est conclu pour une période de sept ans renouvelables mais peut être dénoncé à tout moment par l'une des parties, lesquelles auront aussi la faculté de le suspendre. La mise en oeuvre de l'accord fera l'objet d'un examen conjoint par les parties un an après son entrée en vigueur et par la suite à intervalles réguliers. Des experts en matière de protection des données pourront participer à cette procédure.

Par ailleurs, plusieurs autres précisions contenues dans l'accord méritent d'être relevées :

- d'abord, la finalité du traitement de données PNR est indiquée de manière limitative : le terrorisme ainsi que les infractions graves, y compris la criminalité organisée, qui sont de nature transnationale ;

- outre un système global de sécurité physique et électronique des données PNR, les douanes australiennes ne pourront communiquer ces données sur le territoire australien que pour ces mêmes finalités et seulement à des autorités publiques australiennes inscrites sur une liste figurant en annexe de l'accord, et moyennant le respect d'un certain nombre de garanties ;

- tout traitement de données sensibles est interdit ;

- le délai de conservation des données PNR ne pourra pas dépasser cinq ans et demi au maximum : pendant trois ans à compter de la réception initiale, elles seront accessibles à un nombre limité de fonctionnaires expressément autorisés ; après quoi, elles pourront être conservées  pendant deux ans et demi mais tous les éléments d'identification individuelle seront effacés ;

- les données PNR sont soumises à la loi de 1988 sur la protection de la vie privée (Commonwealth Privacy Act) ;

- toute personne disposera d'un droit d'accès ainsi que d'un droit à la rectification et à l'effacement des données ;

- toute personne aura un droit à un recours administratif et judiciaire effectif ; ces droits sont reconnus indépendamment de la nationalité, du pays d'origine, du lieu de résidence ou de la présence physique des personnes concernées en Australie ;

- le respect des règles fera l'objet d'un contrôle indépendant par le commissaire australien à l'information.

Les données PNR en provenance de l'Union européenne pourront être transférées à des pays tiers mais sous réserve d'un certain nombre de conditions, en particulier : ce transfert ne pourra être fait qu'à certaines autorités publiques dont les fonctions sont directement liées aux finalités de l'accord ; il s'effectuera uniquement au cas par cas ; le service de destination devra offrir les mêmes garanties de protection des données que celles prévues par l'accord et accepter de ne pas transmettre ultérieurement les données qui lui ont été transférées ; les autorités compétentes de l'Etat membre concerné seront informées.

Un mécanisme de coopération est par ailleurs prévu avec les services des Etats membres ainsi que, le cas échéant, Europol et Eurojust, par le transfert d'informations analytiques provenant des données PNR par les autorités australiennes compétentes.

Tout en relevant l'existence d'un nombre appréciable de garanties qui vont dans le sens des préoccupations que nous avions exprimées, nous devons rester vigilants sur les conditions de mise en oeuvre de cet accord et sur la supervision qui en sera faite. On relèvera en particulier que la conclusion de cet accord s'inscrit dans le contexte des discussions sur la création d'un système PNR européen et de la révision du cadre juridique de la protection des données dans l'Union européenne. A la suite de la communication de Simon Sutour, en date du 12 avril 2011, la commission des affaires européennes avait fait valoir que les dispositions protectrices des données à caractère personnel et de la vie privée qui seraient retenues pour le système PNR européen devraient inspirer les négociations en cours d'accords internationaux entre l'Union européenne et des Etats tiers. Cette préoccupation est exprimée dans la résolution du Sénat du 18 mai 2011. Lors de l'examen périodique de cet accord avec l'Australie, il y aura donc lieu de confronter les solutions retenues pour la protection des données dans l'accord avec celles prévues par le système PNR européen.

Sous le bénéfice de ces observations, la commission a décidé de ne pas intervenir plus avant sur ces textes qui devraient être adoptés au conseil « Justice et Affaires intérieures » du 22 septembre.