5-1834/1 | 5-1834/1 |
8 NOVEMBRE 2012
Accords en matière d'échanges de données passagers
L'Union européenne, au nom de ses pays membres, est de plus en plus sollicitée par différents pays tiers qui souhaitent obtenir le transfert et utiliser les données personnelles relatives aux passagers européens se rendant, quittant ou transitant par ces pays. Une extension de ce type d'accord à l'intérieur de l'Union européenne n'est par ailleurs pas à exclure (1) .
Les données à caractère personnel traitées dans le cadre de ce type d'accords couvrent plusieurs types d'informations: listes de passagers au sens strict (noms, adresses, nationalité, sexe, numéros de passeport, ...), données de vol de la personne qui voyage, informations relatives aux personnes qui effectuent les réservations ou paient les tickets. On trouve également des données concernant les cartes de crédit; les amis, collègues ou membres de la famille ayant réservé le même trajet; des données à propos des itinéraires, adresses de séjour, personnes de contact, habitudes alimentaires. Mais également des données sensibles liées aux convictions religieuses ou à la santé.
À ce jour, à la suite d'accords provisoires ou intermédiaires préalablement existants (2) , deux accords PNR ont été approuvés par le Parlement européen: l'un avec l'Australie (3) et l'autre avec États-Unis d'Amérique (4) . Des négociations sont en cours avec le Canada et des demandes d'utilisation de données PNR ont été émises par l'Arabie saoudite, la Corée du Sud et la Nouvelle-Zélande.
L'objectif formel des accords qui encadrent les échanges de données à caractère personnel des passagers — appelés accords PNR pour « Passenger name records » est important: lutter contre le terrorisme et la criminalité internationale. Cependant, les échanges de données concernent tous les citoyens — jusqu'à nouvel ordre innocents — qui voyagent en avion, et certaines dispositions des accords permettent d'ouvrir à d'autres objectifs inacceptables tels que le profilage dans le cadre du contrôle aux frontières. Par ailleurs, les définitions données à la lutte contre le terrorisme peuvent varier d'un État à l'autre, ainsi que les garanties démocratiques de protection de la vie privée, de contrôle des données et de recours juridiques pour les citoyens contre l'utilisation de leurs données.
Les accords PNR, couplés à d'autres instruments bilatéraux ou multilatéraux, par exemple pour ce qui concerne les États-Unis, l'Accord Swift sur les données financières ou l'accord sur les empreintes digitales et les données ADN, augmentent le risque de voir s'installer une nébuleuse d'instruments visant au stockage et à l'exploitation de données personnelles.
Le caractère démocratique et respectueux des droits fondamentaux en matière de protection de la vie privée est donc fondamental à assurer dans ce cadre.
Procédure de négociation des accords PNR
À la suite de l'entrée en vigueur du Traité de Lisbonne au 1er décembre 2009, les accords entre l'Union européenne et des pays tiers doivent dorénavant être conclus conformément au Traité sur le fonctionnement de l'Union européenne. Ceci implique qu'ils doivent faire l'objet d'une approbation par le Parlement européen.
Pour encadrer ces accords, le Parlement européen a notamment adopté une résolution (5) qui demande à la Commission européenne de présenter une approche cohérente pour l'utilisation des données PNR sur la base d'un ensemble unique de principes. Cette résolution a donné lieu à une communication de la Commission européenne relative à l'approche globale des transferts de données PNR aux pays tiers ainsi qu'à un avis du contrôleur européen de la protection des données du 19 octobre 2010 sur cette communication (6) .
La négociation d'accords PNR est préparée par la Commission européenne, les accords étant ensuite validés par les ministres nationaux compétents au sein du Conseil européen. Les ministres nationaux engagent souvent leur pays dans ces accords sans que les Parlement nationaux ne soient systématiquement informés ou consultés. La seule possibilité démocratique d'avis d'un Parlement national à propos de ces accords se situe dans le cadre du dialogue politique européen qui permet une procédure d'examen de documents européens quant au fond.
Cette procédure a été utilisée par les auteures de la présente résolution afin que le Sénat examine l'Accord PNR avec les États-Unis. Elle a donné lieu à l'adoption d'un avis (7) plus que mitigé, ainsi qu'à une résolution (8) .
Risques contenus dans les accords PNR
Le nouvel Accord PNR avec les États-Unis, dont la décision de signature a été approuvée en Conseil des ministres européen de décembre 2011 notamment par notre ministre de l'Intérieur, a été approuvé par le Parlement européen le 19 avril 2012.
Cet Accord s'écarte pourtant de l'approche cohérente et de l'ensemble unique de principes qui ont été convenus par le Parlement européen, la Commission et le Conseil en 2010. Par comparaison avec le précédent Accord PNR Union européenne — États-Unis du 26 juillet 2007, et l'Accord de 2011 constitue même un retour en arrière sur un grand nombre de points (9) (fourniture des données nonante-six heures avant le voyage, délais de conservation des données illimités, évaluations de la mise en œuvre de l'Accord plus espacés, délais de dénonciation allongés ...).
Les critiques préalables à l'adoption de l'Accord ont été nombreuses: absence de démonstration du caractère nécessaire et justifiable de la violation au droit à la vie privée que représente l'utilisation des données PNR, définitions des infractions de terrorisme et criminalité grave différentes entre l'Union européenne et les États-Unis, possibilité d'établir un profil des passagers en fonction de « groupes à risques » contraire au droit à la vie privée et sans critères connus, absence de justification à la conservation des données sur une longue durée, possibilité pour les autorités américaines de se connecter elles-mêmes aux banques de données d'un tiers, autorisation de transmettre les données à des autorités tiers non contrôlées démocratiquement (FBI par exemple), ...
C'est pour ces raisons que:
— l'Allemagne et l'Autriche se sont abstenus lors de l'approbation de l'Accord par le Conseil européen;
— différentes institutions européennes, telles que l'European Scrutiny Committee de la House of Commons britannique, le Sénat français, le groupe de travail « article 29 » ainsi que la Commission de la protection de la vie privée belge (10) , ont critiqué et remis en question plusieurs éléments contenus dans l'accord du 13 décembre 2011;
— Sophia in't Veld, Rapporteuse de la commission des Libertés civiles, de la Justice et des Affaires intérieures, a recommandé au Parlement européen de ne pas donner son approbation à la conclusion de cet accord;
— Peter Hustinx, Contrôleur européen de la protection des données (CEPD), a constaté dans son avis du 9 décembre 2011 que l'accord soulevait encore de nombreuses préoccupations (11) ;
— au Parlement européen, les Verts, les Libéraux et les partis de gauche ont voté contre l'Accord avec les États-Unis le 19 avril 2012;
— la commission de l'Intérieur du Sénat belge n'a adopté son avis que grâce à une courte majorité (7 voix contre 6 et 2 abstentions) et que sont apparues des divergences de vues au sein de la majorité gouvernementale.
Rôle du Sénat en matière d'accords PNR
Considérant l'approbation de l'Accord avec les États-Unis malgré l'ensemble des craintes, critiques et limites officiellement reconnues à cet Accord; l'importance de pouvoir garantir une juste protection des données personnelles des passagers européens et belges lors de la négociation des futurs accords PNR; le fait que certaines demandes émanent de pays qui ne respectent pas forcément le même degré de protection de la vie privée ni des droits de l'homme que l'Union européenne; le fait que le Sénat est aujourd'hui mis devant le fait accompli sans avoir été informé de l'évolution des négociations, les auteures de la présente résolution estiment fondamental que la négociation de futurs accords PNR fasse preuve de plus de transparence et de respect des garanties démocratiques: la finalité, la sensibilité des informations échangées, le niveau de protection, en particulier en ce qui concerne le respect du droit à la vie privée, et le respect des normes de protection des données personnelles, doivent systématiquement être évalués préalablement à la signature des accords pat le gouvernement.
À cette fin, elles demandent au gouvernement, préalablement à la signature des accords PNR, de s'engager à obtenir de meilleures garanties, à solliciter l'avis de la Commission vie privée, et à venir exposer préalablement les garanties obtenues devant le Sénat.
Les garanties que devra obtenir le gouvernement avant de s'engager dans de tels accords concernent:
— l'application rigoureuse des principes de nécessité et de proportionnalité à l'ensemble des masses de données transmises afin de lutter efficacement contre le terrorisme et autres infractions graves clairement identifiées et pour lesquelles l'utilisation de données des dossiers passagers s'avérerait pertinente; ceci à l'exclusion de toute autre finalité telle que l'établissement de profils dans le cadre des contrôles aux frontières;
— l'exclusion totale des données sensibles telles que les convictions religieuses ou les données relatives à la santé;
— des durées de conservation des données proportionnées à l'objectif, limitées à cinq ans, et en aucun cas illimitées;
— des garanties fermes quant à l'exercice effectif d'un droit de recours administratif et judiciaire par les ressortissants belges sur le territoire du pays tiers;
— des garanties fermes en matière de protection de la vie privée associées au caractère indépendant de ce contrôle;
— une définition précise des autorités nationales avec lesquelles les données recueillies pourraient être partagées sur le territoire de l'État tiers, un transfert limité aux autorités dont les fonctions sont directement liées aux finalités de l'accord et un engagement de ces autorités à ne pas transmettre ultérieurement les données qui leur sont communiquées
Les auteures demandent également que le Sénat ait accès aux résultats des supervisions et évaluations qui sont faites de ces accords.
| Claudia NIESSEN. | |
| Freya PIRYNS. |
Le Sénat,
A. Considérant les négociations actuellement en cours avec le Canada en vue d'aboutir à un Accord relatif à l'échange de données passagers PNR ainsi que les demandes d'utilisation des données passagers faites par l'Arabie saoudite, la Corée du Sud et la Nouvelle-Zélande à l'Union européenne;
B. Considérant que les accords PNR existants entre l'Union européenne avec l'Australie (12) et avec États-Unis d'Amérique (13) ne démontrent pas le caractère nécessaire et justifiable de la violation au droit à la vie privée que représente l'utilisation des données PNR;
C. Considérant que l'Accord PNR avec les États-Unis s'écarte de l'approche cohérente et de l'ensemble unique de principes qui ont été convenus par le Parlement européen, la Commission et le Conseil en 2010, et qu'en comparaison avec le précédent Accord PNR Union européenne — États-Unis du 26 juillet 2007, l'Accord de 2011 constitue même un retour en arrière sur un grand nombre de points;
D. Considérant qu'à la suite de l'entrée en vigueur du Traité de Lisbonne au 1er décembre 2009, les accords entre l'Union européenne et des pays tiers doivent dorénavant être conclus conformément au Traité sur le fonctionnement de l'Union européenne impliquant une approbation par le Parlement européen sans garantie d'information ni de consultation préalable du Parlement fédéral belge,
Recommande au gouvernement:
1. de demander à la Commission européenne qu'elle négocie les futurs accords PNR de manière à répondre aux faiblesses et lacunes relatives à la protection des données privées énoncées dans la présente résolution;
2. de s'engager à demander l'avis de la Commission de la vie privée préalablement à la signature de ces accords dans le cadre du Conseil des ministres européens;
3. d'exposer devant le Sénat, préalablement à la signature des accords par le ministre compétent, les garanties obtenues en matière de protection des données;
4. de faire rapport au Sénat à propos des supervisions et évaluations qui sont prévues par les accords;
5. de développer une analyse fine et systémique de l'ensemble des instruments et dossiers impliquant le stockage et l'exploitation de données personnelles.
11 octobre 2012.
| Claudia NIESSEN. | |
| Freya PIRYNS. |
(1) La France possède un système de traitement automatisé de données à caractère personnel concernant « les provenances et les destinations, situées dans des États n'appartenant pas à l'Union européenne, des passagers aériens », et au Royaume-Uni, l'Immigration, Asylum and Nationality Act 2006 (IANA) va plus loin que la décision-cadre du Conseil européen concernant les données PNR, autorisant leur collecte et usage pour plus d'organismes, y compris ceux chargés du prélèvement fiscal. De plus, la loi ne s'applique pas qu'aux transporteurs aériens, comme le fait la décision-cadre, mais à tous les transporteurs quels qu'ils soient.
(2) Accord du 28 mai 2004 entre la Communauté européenne et les États-Unis d'Amérique sur le traitement et le transfert de données PNR par les transporteurs aériens au Bureau des Douanes et de la Protection des frontières du ministère américain de la Sécurité intérieure, annulé par la Cour de justice (arrêt du 30 mai 2006); Accord de 2008 entre l'Australie et l'Union européenne sur le traitement et le transfert de données des dossiers passagers (données PNR) provenant de l'Union européenne par les transporteurs aériens au service des douanes australien.
(3) Signé par le Conseil européen le 29 septembre 2011 et approuvé par le Parlement européen le 27 octobre 2011.
(4) Signé par le Conseil le 13 décembre 2011 et approuvé par le Parlement européen le 19 avril 2012.
(5) Résolution du 11 novembre 2010 sur la démarche globale en matière de transfert des données des dossiers PNR aux pays tiers.
(6) JO C 357 du 30 décembre 2010, p. 7.
(7) Sénat de Belgique, Doc. no 5-1451/3 — 2011/2012.
(8) Proposition de résolution du 14 mars 2012 de Mesdames Niessen et Piryns, relative à la proposition de décision du Conseil européen relative à la conclusion de l'accord entre les États-Unis d'Amérique et l'Union européenne sur l'utilisation et le transfert des données des dossiers passagers (données PNR) au ministère américain de la sécurité intérieure, Sénat de Belgique, Doc. no 5-1534/1 — 2011/2012.
(9) Ces points sont détaillés dans la proposition de résolution du 14 mars 2012 de Mesdames Niessen et Piryns, relative à la proposition de décision du Conseil européen relative à la conclusion de l'accord entre les États-Unis d'Amérique et l'Union européenne sur l'utilisation et le transfert des données desdossiers passagers (données PNR) au ministère américain de la sécurité intérieure, Sénat de Belgique, Doc. no 5-1534/1 — 2011/2012.
(10) La CPVP s'est prononcée d'initiative à propos de l'accord PNR 2007 dans le cadre de son avis no 01/2010 du 13 janvier 2010.
(11) Particulièrement en ce qui concerne la cohérence de l'approche globale de la question des données PNR, la limitation de la finalité, les catégories de données à transférer, le traitement des données sensibles, la période de conservation, les exceptions à la méthode « push », les droits des personnes concernées et les transferts ultérieurs de données.
(12) Signé par le Conseil européen le 29 septembre 2011 et approuvé par le Parlement européen le 27 octobre 2011.
(13) Signé par le Conseil le 13 décembre 2011 et approuvé par le Parlement européen le 19 avril 2012.