Disponible au format PDF (130 Koctets)


Mardi 12 avril 2011

Justice et affaires intérieures

Proposition de directive « Passenger name record » (PNR)
(E 6014)
Proposition de résolution de M. Simon Sutour

M. Jean Bizet. - Je rappelle que nous nous sommes déjà prononcés sur un premier projet tendant à créer un système PNR européen. Plus généralement, l'utilisation des données PNR est une question que nous avons eue l'occasion de traiter à plusieurs reprises.

M. Simon Sutour. - Nous sommes saisis d'une proposition de directive qui vise à mettre en place un système PNR au sein de l'Union européenne. Avant de porter une appréciation sur ce qui nous est proposé, je crois utile de rappeler le contexte dans lequel cette proposition intervient.

I/ QUEL EST LE CONTEXTE ?

La Commission européenne a présenté, en novembre 2007, une proposition de décision-cadre visant à introduire un système européen pour l'utilisation par les services répressifs des données commerciales figurant sur les bases de réservation des compagnies aériennes (données dites PNR pour « Passenger Name Record »). La proposition de la Commission faisait obligation aux transporteurs aériens assurant des vols vers le territoire d'au moins un État membre ou à partir de celui-ci, de transmettre aux autorités compétentes les renseignements relatifs aux passagers aux fins de prévenir et de combattre les infractions terroristes et la criminalité organisée. N'étaient visés que les vols en provenance de pays tiers vers l'Union européenne et de l'Union européenne vers les pays tiers. En revanche, les vols intracommunautaires n'étaient pas concernés.

Cette proposition a fait l'objet de fortes réserves de la part du Contrôleur européen de la protection des données, de l'Agence des droits fondamentaux de l'Union européenne et du groupe des CNIL européennes (« article 29 »). Le Parlement européen a exprimé ses inquiétudes sur l'absence de sécurité juridique de la proposition et de fortes réserves sur sa nécessité et sa valeur ajoutée.

Dans une résolution en date du 30 mai 2009, le Sénat, sur notre initiative, avait fait valoir les priorités qui devraient être retenues pour assurer un respect effectif des droits fondamentaux, en particulier le droit au respect de la vie privée et à la protection des données personnelles.

Avec l'entrée en vigueur du traité de Lisbonne, le 1er décembre 2009, la proposition de la Commission, non encore adoptée par le Conseil, est devenue obsolète. Dans le cadre du nouveau programme pluriannuel pour l'espace de liberté, de sécurité et de justice, adopté à Stockholm en 2010, les États membres ont réitéré leur demande de création d'un PNR européen. La proposition de la Commission européenne, présentée le 3 février 2011, répond à cette demande dans un contexte où les nouvelles dispositions issues du traité de Lisbonne donnent au Parlement européen un rôle de colégislateur dans ce domaine. C'est un apport important du traité de Lisbonne.

II/ QUELLE APPRÉCIATION POUVONS-NOUS PORTER SUR CETTE PROPOSITION DE DIRECTIVE AU REGARD DE LA RÉSOLUTION ADOPTÉE PAR LE SÉNAT ?

Dans sa nouvelle proposition, la Commission européenne s'attache à répondre aux critiques qui ont été faites, notamment par le Parlement européen, sur la nécessité d'un PNR européen. Sur le fond, le texte proposé traduit le dernier état d'avancement des discussions au sein des groupes de travail du Conseil en 2009. La Commission européenne indique qu'il tient compte des recommandations du Parlement européen, des avis du Contrôleur européen de la protection des données, du groupe « article 29 » et de l'Agence des droits fondamentaux.

1/ Les priorités à retenir 

La résolution du Sénat avait demandé que soient retenues, parmi les priorités, la nécessité d' « assurer un respect effectif des droits fondamentaux, en particulier le droit au respect de la vie privée et à la protection des données personnelles ». Plusieurs considérants de la directive tendent à affirmer cette exigence (considérants n° 8, n° 14, n° 19, n° 23, n° 31)

2/ Les finalités 

La résolution du Sénat avait souligné que les finalités de la proposition doivent être précisément délimitées et concerner exclusivement le terrorisme et un ensemble d'infractions graves, définies par référence à la décision-cadre relative au mandat d'arrêt européen.

Les articles 1er et 4 de la proposition retiennent ces finalités mais ne font pas référence à la liste d'infractions établie pour le mandat d'arrêt européen.

3/ La composition de l'unité de renseignements passagers 

Le Sénat avait jugé nécessaire que des garanties supplémentaires soient prévues sur trois points :

- la qualité des services chargés de l'unité de renseignements passagers ;

- la qualité des autorités compétentes pour recevoir les données PNR et les traiter ;

- les conditions dans lesquelles des intermédiaires seraient susceptibles d'intervenir dans la collecte et la transmission des données.

L'article 3 de la proposition renvoie aux États membres le soin de créer ou désigner une autorité compétente pour exercer la fonction d'«unité de renseignements passagers» nationale, chargée de la collecte des données PNR. Chaque État membre informera la Commission dans un délai d'un mois à compter de la mise en place de l'unité de renseignements passagers et pourra à tout moment actualiser sa déclaration.

L'article 5 précise que Chaque État membre arrête une liste des autorités compétentes habilitées à demander ou à obtenir des données PNR. Les autorités compétentes sont celles habilitées à intervenir en matière d'infractions terroristes et d'infractions graves. Chaque État membre communiquera à la Commission la liste de ses autorités compétentes dans un délai maximal de douze mois et pourra à tout moment actualiser sa déclaration.

Le Sénat avait également estimé, qu'au sein de ces autorités, seuls des agents individuellement désignés et dûment habilités devraient pouvoir accéder aux données PNR. Ce que prévoit l'article 9 de la proposition, à l'expiration d'une première période de conservation des données d'une durée de 30 jours.

4/ Le rôle des autorités indépendantes sur la protection des données 

Le Sénat avait demandé que les autorités indépendantes sur la protection des données soient habilitées à effectuer des contrôles au sein de l'unité de renseignements passagers.

L'article 11 de la proposition prévoit de donner cette possibilité aux autorités nationales de contrôle de la protection des données. En outre, l'article 12 reconnaît un rôle de conseil et de surveillance de l'application du dispositif aux autorités de contrôle nationales.

5/ L'exclusion des données sensibles 

Conformément à la demande expresse du Sénat, les articles 4, 5 et 11 de la proposition exclut le traitement des données sensibles.

6/ La durée de conservation des données 

Le Sénat avait jugé manifestement disproportionnée la durée totale de treize ans prévue par la proposition pour la conservation des données ; il avait proposé une durée de conservation de trois ans, à laquelle pourrait succéder une durée de conservation de trois ans des seules données PNR ayant montré un intérêt particulier au cours de la première période.

L'article 9 de la proposition prévoit que passée une première période de 30 jours, les données peuvent être conservées pendant une période supplémentaire de cinq ans mais qu'au cours de cette période elles doivent être anonymisées et n'être accessibles qu'à un nombre limité d'employés de l'unité de renseignements passagers, expressément autorisés à analyser les données et à mettre au point des critères d'évaluation. C'est satisfaisant.

7/ Les droits des personnes concernées 

Le Sénat avait considéré que le régime de protection des données applicable devait être clarifié, en privilégiant un haut niveau de protection par référence aux standards du Conseil de l'Europe.

La protection des données personnelles fait l'objet de l'article 11 de la proposition, qui prévoit pour tout passager un droit d'accès, un droit de rectification, d'effacement et de verrouillage des données, un droit à réparation et un droit à un recours juridictionnel qui soient identiques à ceux adoptés en droit national, ainsi que des informations claires et précises sur la communication des données PNR.

8/ La transmission des données à des États tiers 

Le Sénat avait demandé qu'un tel transfert ne soit possible qu'au cas par cas et sous réserve que l'État tiers assure un niveau de protection adéquat des données et que des garanties soient prévues dans la mise en oeuvre du principe de réciprocité.

L'article 8 de la proposition prévoit qu'un État membre ne pourra transférer à un pays tiers des données PNR et les résultats du traitement de telles données qu'au cas par cas. Le pays tiers devra n'accepter de transférer les données à un autre pays tiers que lorsque c'est nécessaire aux fins de la directive et uniquement sur autorisation expresse de l'État membre.

III/ QUEL LIEN ENTRE LA PROPOSITION DE DIRECTIVE ET LES AUTRES TRAVAUX EN COURS DANS LE DOMAINE DE L'ÉCHANGE DE DONNÉES ?

1/ Vers une approche globale de la protection des données dans l'Union européenne

La Commission européenne a adopté, le 4 novembre 2010, une communication sur « une approche globale de la protection des données à caractère personnel dans l'Union européenne ». Cette communication pointe les nouveaux défis et fixe, parmi les objectifs à poursuivre, celui de renforcer les droits des personnes. Il s'agirait en particulier d'accroître la transparence pour les personnes concernées, de leur permettre un meilleur contrôle sur les données les concernant, de protéger les données sensibles ou encore de renforcer les voies de recours et les sanctions. La Commission suggère de réviser les règles de protection des données applicables dans les domaines de la coopération policière et judiciaire en matière pénale, dont elle souligne les insuffisances. Je rappelle qu'avant le traité de Lisbonne, ces règles faisaient l'objet d'une décision-cadre adoptée en 2008. Le traité de Lisbonne ouvre la voie à l'adoption d'un instrument unique.

La communication de la Commission a fait l'objet de conclusions du Conseil, les 24 et 25 février 2011. Elle devrait être suivie de propositions législatives en 2011. Dans ce contexte, il paraît indispensable que les négociations sur la directive PNR tiennent le plus grand compte des évolutions du cadre général de la protection des données dans l'Union européenne.

2/ La renégociation des accords PNR avec des États tiers

En outre, la Commission européenne renégocie les accords PNR passés avec l'Australie, le Canada et les États-Unis. Les solutions dégagées pour le PNR européen devraient, en toute logique, être prises en considération dans le cadre de ces négociations. Nous avions, à plusieurs reprises, émis de fortes réserves sur le contenu de l'accord avec les États-Unis au regard de l'enjeu de la protection des données et du respect de la vie privée. L'adoption d'un PNR européen doit donc permettre d'avoir une « doctrine » de l'Union européenne pour aborder la renégociation de ces accords.

*

Pour conclure, je crois que nous pouvons prendre acte que les préoccupations que nous avions exprimées, avec d'autres, sur le premier texte qui nous avait été soumis ont permis de faire évoluer le dispositif dans un sens plus conforme au respect des droits fondamentaux.

Il me paraît néanmoins utile de rappeler au Gouvernement que les priorités que nous avions mises en avant demeurent pleinement valables et qu'il devra veiller à leur concrétisation dans les discussions au Conseil.

En outre, je crois indispensable de souligner que les discussions sur la directive PNR devront être conduites en prenant en compte les réflexions en cours en vue d'un nouveau cadre pour la protection des données à caractère personnel.

Enfin, il a souvent été dit que le PNR européen pourrait servir de modèle pour les échanges de données de ce type avec des pays tiers. Nous devons donc demander que les dispositions protectrices qui seront retenues dans le PNR européen inspirent les négociations en cours.

Tel est l'objet de la proposition de résolution que je vous propose d'adopter.

M. Jean Bizet. - Il est vrai que le texte de la Commission européenne a évolué. Chacun joue ainsi son rôle : la Commission européenne dans sa fonction d'initiative, le Parlement européen dans son pouvoir de codécision, et les parlements nationaux par les positions qu'ils adoptent sur les projets qui leur sont transmis.

M. Simon Sutour. - Je veux souligner le rôle positif des parlements nationaux, mais aussi celui du Parlement européen qui jusque-là ne rendait qu'un simple avis et auquel le traité de Lisbonne a confié un véritable pouvoir de codécision.

M. Jacques Blanc. - Chacun peut constater que le traité de Lisbonne a permis de faire évoluer les compétences du Parlement européen dans un sens positif. Les parlements nationaux apportent également une contribution importante dans l'élaboration des textes.

*

À l'issue de ce débat, la commission a conclu à l'unanimité au dépôt de la proposition de résolution suivante :

Proposition de résolution

Le Sénat,

Vu l'article 88-4 de la Constitution ;

Vu la proposition de directive du Parlement européen et du Conseil relative à l'utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière (texte E 6014) ;

Vu la communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des Régions : « Une approche globale de la protection des données à caractère personnel dans l'Union européenne » ;

Vu les conclusions du Conseil relatives à la communication de la Commission au Conseil, au Comité économique et social européen et au Comité des Régions : « Une approche globale de la protection des données à caractère personnel dans l'Union européenne » ;

- prenant acte que cette proposition de directive tend à promouvoir une approche harmonisée au sein de l'Union européenne de l'utilisation des données des dossiers passagers à des fins répressives ;

- souligne qu'une telle approche doit retenir parmi ses priorités d'assurer un respect effectif des droits fondamentaux, en particulier le droit au respect de la vie privée et à la protection des données à caractère personnel ;

- rappelle que, dans sa résolution en date du 30 mai 2009, il a énoncé les conditions qui devaient être réunies pour que cette priorité soit pleinement affirmée ; demande au Gouvernement de veiller à leur prise en compte au cours des discussions sur ce texte au sein du Conseil ;

- considère en outre que ces discussions devront intégrer les réflexions en cours en vue d'assurer une approche globale de la protection des données à caractère personnel dans l'Union européenne ;

- estime que les dispositions protectrices des données à caractère personnel et de la vie privée qui seront retenues pour le système PNR européen devront inspirer les négociations en cours d'accords internationaux entre l'Union européenne et des États tiers.