Document "pastillé" au format PDF (172 Koctets)
N° 178
SÉNAT
SESSION ORDINAIRE DE 2011-2012
Enregistré à la Présidence du Sénat le 8 décembre 2011 |
PROPOSITION DE RÉSOLUTION EUROPÉENNE
PRÉSENTÉE AU NOM DE LA COMMISSION DES AFFAIRES EUROPÉENNES (1)
EN APPLICATION DE L'ARTICLE 73 QUATER DU RÈGLEMENT,
sur l' accord PNR avec les États-Unis ,
PRÉSENTÉE
Par Simon SUTOUR,
Sénateur
(Envoyée à la commission des lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale.)
(1) Cette commission est composée de : M. Simon Sutour, président ; MM. Alain Bertrand, Michel Billou, Jean Bizet, Bernadette Bourzai, Jean-Paul Emorine, Fabienne Keller, Philippe Leroy, Catherine Morin-Desailly, Georges Patient, Roland Ries, vice-présidents ; MM. Christophe Béchu, André Gattolin, Richard Yung, secrétaires ; Nicolas Alfonsi, Dominique Bailly, Pierre Bernard-Reymond, Éric Bocquet, Gérard César, Karine Claireaux, Robert del Picchia, Michel Delebarre, Yann Gaillard, Joëlle Garriaud-Maylam, Joël Guerriau, Jean-François Humbert, Sophie Joissains, Jean-René Lecerf, Jean-Louis Lorrain, Jean-Jacques Lozach, François Marc, Colette Mélot, Aymeri de Montesquiou, Bernard Piras, Alain Richard, Catherine Tasca. |
EXPOSÉ DES MOTIFS
Mesdames, Messieurs,
Le Sénat a été saisi, le 1 er décembre, du texte E 6869 relatif à la conclusion d'un accord avec les États-Unis sur l'utilisation et le transfert des données des passagers de vols aériens (données PNR) au ministère américain de la sécurité intérieure.
Si le Conseil doit se prononcer les 13 et 14 décembre, cet accord devra ensuite être approuvé par le Parlement européen, qui n'a pas encore arrêté la date à laquelle il se prononcera. C'est une innovation du traité de Lisbonne qui s'est d'ores et déjà révélée comme une garantie essentielle dans la protection des libertés fondamentales.
I/ Quel est le contexte ?
Ces données PNR sont des informations fournies par les passagers et recueillies par les transporteurs aériens aux fins de la réservation et de la procédure d'enregistrement (dates de voyage, itinéraire, informations relatives au billet, coordonnées telles que l'adresse et le numéro de téléphone, agence de voyage, informations relatives au paiement et aux bagages, numéro de siège). Elles sont principalement utilisées pour évaluer les risques associés aux passagers et identifier les personnes susceptibles d'intéresser les services répressifs. Elles se distinguent des renseignements préalables concernant les passagers (API - Advanced Passenger Information) qui sont des informations biographiques extraites du passeport (nom, lieu de résidence, lieu de naissance, nationalité).
L'Union européenne a conclu jusqu'à présent trois accords avec des Etats tiers (Etats-Unis, Canada, Australie) en vue de définir un cadre pour le transfert des données PNR ( Passenger Name Record ).
Saisi en mai 2010 sur la base des nouvelles dispositions issues du traité de Lisbonne, le Parlement européen a décidé de suspendre et de reporter son vote sur les accords avec les États-Unis et l'Australie. En septembre 2010, la Commission européenne a présenté une communication proposant une démarche globale en matière de transfert de données PNR aux pays tiers. Le Conseil lui a réservé un accueil favorable.
Plusieurs critères énoncés par la communication de la Commission européenne (septembre 2010) sont de nature à répondre aux préoccupations exprimées à plusieurs reprises par le Sénat concernant l'utilisation des données PNR, notamment pour ce qui concerne la limitation des finalités du transfert ou la restriction des transferts ultérieurs à des pays tiers.
Cependant, comme l'avait souligné notre collègue Hugues Portelli dans sa communication en date du 24 novembre 2010, devant la commission des affaires européennes, contrairement à la demande du Sénat pour le projet de PNR européen, la Commission européenne n'a pas totalement exclu l'utilisation de données sensibles (qui relèvent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle) dans des circonstances exceptionnelles (menace imminente de pertes de vies humaines) et avec des garanties appropriées (notamment utilisation au cas par cas avec autorisation d'un haut fonctionnaire pour les seules finalités prévues pour le transfert initial).
Les mandats de négociation ont par ailleurs été peu explicites sur la durée de conservation des données (« durée proportionnée et limitée »). Pour le projet de PNR européen, le Sénat avait suggéré une durée de trois ans à laquelle pourrait succéder une nouvelle durée de trois ans pour les seules données PNR ayant montré un intérêt particulier au cours de la même période.
C'est pourquoi la commission des Affaires européennes avait jugé nécessaire d'adresser au Gouvernement des conclusions dans lesquelles elle rappelait les positions prises par le Sénat sur ces questions particulièrement importantes au regard de la protection des données à caractère personnel.
II/ Quelle appréciation le Sénat peut-il porter sur ce nouvel accord ?
Au regard des légitimes préoccupations du Sénat, ce nouvel accord est encore loin du compte.
Certes quelques progrès ont été accomplis par rapport à l'accord précédent qui datait de 2007.
Le mode de transmission des dossiers passagers s'effectuera, dans le cas général, selon la méthode dite « PUSH ». Ce qui signifie que ce sont les compagnies aériennes qui transmettront les données et non pas les autorités américaines qui iront les extraire de leur système (méthode dite « PULL »). Toutefois, des dérogations seront possibles en cas d'impossibilité technique et dans les situations d'urgence. Ces dérogations pourraient poser problème si elles devaient être interprétées de manière large. L'accord avec l'Australie a au contraire prévu un recours exclusif à la méthode dite « PUSH ».
Des mesures de sécurité des données sont prévues et l'accès sera limité à des fonctionnaires expressément autorisés. Un droit d'accès, de correction ou de rectification est mis en place.
Un mécanisme de coopération est par ailleurs organisé avec les États membres, Europol et Eurojust, par le transfert d'informations analytiques provenant des données PNR par les autorités américaines. Une réciprocité dans l'échange de données sera donc mise en oeuvre.
L'accord sera conclu pour une période initiale de sept ans et renouvelé pour la même durée, sauf opposition de l'une des parties, lesquelles pourront également suspendre voire dénoncer l'accord à tout moment. Des experts dans le domaine de la protection des données pourront participer à la procédure d'examen et d'évaluation qui est prévue.
Mais au total, le texte est en retrait par rapport à ce que le Sénat avait jugé nécessaire et aussi au regard des garanties qui ont été prévues dans l'accord qui a été signé tout récemment avec l'Australie .
1/ Les finalités
Les données PNR pourront être utilisées pour la lutte contre le terrorisme mais aussi pour d'autres infractions « passibles d'une peine d'emprisonnement d'au moins trois années et de nature transnationale ». Cette seconde catégorie ne paraît pas caractériser suffisamment les infractions « graves », dont il est admis qu'elles peuvent justifier l'utilisation de données PNR. Dans l'accord avec l'Australie, une durée minimale d'emprisonnement de quatre ans a été retenue.
On trouve certes cette durée d'emprisonnement d'au moins trois ans dans le projet de PNR européen. Mais elle est liée à une liste d'infractions définies dans les décisions cadre relatives respectivement à la définition du terrorisme et au mandat d'arrêt européen. Il s'agit d'infractions graves comme, par exemple, la direction d'un groupe terroriste ou la traite des êtres humains.
La notion d'infraction « transnationale » est entendue de manière large par cet accord avec les États-Unis, puisqu'elle sera considérée comme telle également si l'infraction est commise dans un seul pays et si l'auteur de l'infraction se trouve dans un autre pays « ou a l'intention de se rendre dans un autre pays. »
En outre, les dossiers passagers pourront être utilisés face à une menace grave et pour protéger les intérêts vitaux de toute personne, ou si une juridiction l'impose. Cela aboutit à élargir très sensiblement le champ des données susceptibles d'être transmises.
Les dossiers passagers pourront aussi être mis au service de la politique migratoire américaine. Ils pourront en effet aider à identifier les personnes « qui feraient l'objet d'un interrogatoire ou d'un examen plus approfondis en arrivant aux États-Unis ou en quittant le pays, ou qui pourraient faire l'objet d'un examen supplémentaire. » Cette extension n'est pas acceptable.
2/ Les données sensibles
Contrairement à la demande du Sénat et à ce que prévoit l'accord avec l'Australie, l'utilisation de données sensibles n'est pas totalement exclue . Elle pourra être autorisée dans des circonstances exceptionnelles lorsque la vie d'une personne pourra être menacée ou mise gravement en péril. L'accès à ces données se fera exclusivement au moyen de procédures restrictives au cas par cas avec l'accord d'un responsable de haut niveau du ministère américain. Les données sensibles seront effacées définitivement au plus tard à l'expiration d'un délai de trente jours.
3/ La conservation des données
Là encore la solution retenue est éloignée des priorités retenues par le Sénat. L'accord prévoit la conservation des dossiers passagers dans une base de données active pendant une période pouvant durer cinq ans. A l'issue des six premiers mois, les données seront dépersonnalisées et masquées . L'accès à cette base de données active sera limité à un nombre restreint de fonctionnaires expressément autorisés.
Mais, après cette période active, déjà longue, les dossiers seront transférés vers une base de données dormante pour une période pouvant durer dix ans.
Au total, les données pourront donc être conservées pendant quinze ans. On est donc très au-delà de ce qu'avait préconisé le Sénat pour le projet de PNR européen (3 ans + 3 ans) . C'est aussi une durée beaucoup plus longue que celle retenue par l'accord avec l'Australie (3 ans + 2 ans ½). Il n'est par ailleurs pas précisé que les données seront supprimées à l'expiration des délais prévus dans l'accord.
4/ Le droit de recours
L'accord prévoit qu'un droit de recours administratif et judiciaire effectif est ouvert indépendamment de la nationalité, du pays d'origine ou du lieu de résidence de la personne concernée. Ce qui est très important. Mais il précise aussi que ce droit s'exercera conformément au droit des États-Unis. Cela peut soulever une interrogation puisque l'on sait que le droit américain réserve les droits de recours aux seuls citoyens et résidents permanents et que les autorités américaines ont toujours refusé de modifier leur législation nationale. Dès lors, il faudra que le juge américain, saisi d'un litige, veille effectivement à faire prévaloir l'accord sur la loi nationale. Il y aura là un point important à surveiller dans la mise en oeuvre de l'accord
5/ Les modalités de contrôle du respect des garanties en matière de protection de la vie privée
L'accord prévoit que ces garanties sont soumises à un examen et à un contrôle indépendant. Mais ce sont des fonctionnaires ministériels , qui sont chargés des questions de respect de la vie privée, qui effectueront ce contrôle. On peut donc légitimement mettre en doute son caractère indépendant.
6/ Le partage des données
Les conditions dans lesquelles les données recueillies pourront être partagées aux États-Unis avec d'autres autorités publiques nationales ne paraissent pas satisfaisantes. Quelques garanties sont prévues, notamment pour que ce partage soit en lien avec les finalités de l'accord. Mais aucune restriction n'est établie quant à la nature des autorités concernées. A l'inverse, l'accord avec l'Australie n'a autorisé un tel partage des données qu'avec des autorités publiques australiennes inscrites sur une liste figurant en annexe de l'accord.
7/ Le transfert des données à des États tiers
Sur ce point crucial, l'accord paraît flou. Le transfert ne sera possible que dans le cadre de cas faisant l'objet d'un examen ou d'une enquête. Les autorités de l'État membre concerné en seront informées. Ce qui est positif.
Mais, pour le reste, on se borne à préciser que ce transfert ne pourra être fait que « dans des conditions compatibles avec l'accord » et « conformément à des accords clairs prévoyant des garanties en matière de respect de la vie privée » comparables à celles appliquées par les autorités américaines.
Sont visées de manière générale les « autorités compétentes » des États tiers. L'accord avec l'Australie a au contraire restreint le transfert aux autorités dont les fonctions sont directement liées aux finalités de l'accord. Ces autorités doivent en outre s'engager à ne pas transmettre ultérieurement les données qui leur sont transférées. Aucun engagement de ce type n'est prévu dans l'accord avec les États-Unis.
Dans le préambule de l'accord, il est dit que cette question du transfert ultérieur des dossiers passagers, ainsi que celle de la méthode de transmission, seront réglées dans le cadre du mécanisme de consultation et d'examen prévu par l'accord. Cette précision paraît apporter une bien faible garantie au regard des enjeux en cause.
*
En conclusion, nous ne pouvons que constater que ce nouvel accord ne répond pas, sur des questions essentielles, aux priorités que la commission des affaires européennes avait affirmées, il y a un an, lorsqu'elle avait examiné les mandats de négociation.
Il est pour le moins surprenant que, dans la négociation d'accords avec des États tiers, l'Union européenne ne parvienne pas à faire prévaloir des standards homogènes et qui soient conformes à ses propres règles en matière de protection des données et de respect de la vie privée.
Pour ces raisons, votre commission des Affaires européennes a conclu au dépôt de la proposition de résolution qui suit :
PROPOSITION DE RÉSOLUTION
Le Sénat,
Vu l'article 88-4 de la Constitution,
Vu la proposition relative à la conclusion de l'accord entre les États Unis d'Amérique et l'Union européenne sur l'utilisation et le transfert des données des dossiers passagers (données PNR) au ministère américain de la sécurité intérieure (texte E 6869) ;
- estime que seule la méthode de transmission dite « PUSH » peut offrir les garanties nécessaires en permettant aux transporteurs aériens de garder le contrôle de la qualité des données transmises et des conditions de transmission ;
- souligne que les finalités de l'accord doivent être plus strictement délimitées et concerner, à l'exclusion de toute autre finalité, la lutte contre le terrorisme et un ensemble d'infractions graves clairement identifiées pour lesquelles l'utilisation de données des dossiers passagers s'avérerait pertinente ;
- demande que les données sensibles soient totalement exclues du champ des données PNR susceptibles d'être transmises ;
- juge manifestement disproportionnée la durée totale de quinze ans prévue par le projet d'accord pour la conservation des données ;
- demande que l'exercice effectif d'un droit de recours administratif et judiciaire par les ressortissants communautaires sur le territoire américain fasse l'objet d'une attention particulière ;
- souligne que les modalités, prévues par le projet d'accord, pour le contrôle du respect des garanties en matière de protection de la vie privée ne permettent pas de garantir le caractère indépendant de ce contrôle ;
- estime que les autorités nationales avec lesquelles les données recueillies pourraient être partagées sur le territoire américain devraient être précisément définies dans l'accord ;
- considère que les conditions dans lesquelles les données seraient susceptibles d'être transmises à des États tiers n'offrent pas les garanties suffisantes ; demande en particulier que le transfert soit limité aux autorités dont les fonctions sont directement liées aux finalités de l'accord et que ces autorités soient tenues de s'engager à ne pas transmettre ultérieurement les données qui leur sont communiquées ;
- réitère sa demande que les parlements nationaux aient accès aux résultats de la supervision et à l'évaluation qui sera faite de l'accord.