Document "pastillé" au format PDF (159 Koctets)

N° 281

SÉNAT

SESSION ORDINAIRE DE 2014-2015

Enregistré à la Présidence du Sénat le 10 février 2015

PROPOSITION DE RÉSOLUTION EUROPÉENNE

PRÉSENTÉE

au nom de la commission des affaires européennes (1), en application de l'article 73 quater du Règlement, sur la proposition de directive relative à la création d'un PNR européen (COM (2011) 32),

Par M. Simon SUTOUR,

Sénateur

(Envoyée à la commission des lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale.)

(1) Cette commission est composée de : M. Jean Bizet, président ; MM. Michel Billout, Michel Delebarre, Jean-Paul Emorine, André Gattolin, Mme Fabienne Keller, MM. Yves Pozzo di Borgo, André Reichardt, Jean-Claude Requier, Simon Sutour, Richard Yung, vice-présidents ; Mme Colette Mélot, M. Louis Nègre, Mme Patricia Schillinger, secrétaires , MM. Pascal Allizard, Éric Bocquet, Philippe Bonnecarrère, Gérard César, René Danesi, Mmes Nicole Duranton, Joëlle Garriaud-Maylam, Pascale Gruny, MM. Claude Haut, Jean-Jacques Hyest, Mme Gisèle Jourda, MM. Claude Kern, Jean-René Lecerf, Jean-Yves Leconte, François Marc, Didier Marie, Michel Mercier, Robert Navarro, Georges Patient, Michel Raison, Daniel Raoul, Alain Richard.

EXPOSÉ DES MOTIFS

Mesdames, Messieurs,

Le PNR, que l'on pourrait traduire en français par « dossier de réservation des passagers », est créé par les compagnies aériennes au moment de la réservation des vols, quelquefois plusieurs mois avant la date du départ. Ce dossier contient toutes les informations fournies lors de la réservation du voyage (identité des passagers, itinéraires et horaires des déplacements, mode de paiements etc). Une partie de ce dossier PNR est ensuite transférée dans le dossier dit API, en anglais Advanced Passengers System, qui est créé, lui, lors de la procédure d'embarquement. Ces données relatives aux passagers peuvent être utilisées par les autorités publiques pour renforcer la surveillance des frontières dans le cadre de la lutte contre le terrorisme, les infractions graves, l'immigration clandestine etc.

Au début des années 2000, la Commission européenne a proposé au Conseil de prévoir une législation européenne précisant les conditions à remplir pour exiger des compagnies aériennes européennes la transmission de leurs données PNR afin d'harmoniser la gestion et l'utilisation desdites données à l'échelle de l'Union européenne.

On rappellera que la loi du 23 janvier 2006 relative à la lutte contre le terrorisme a autorisé, en France, la collecte et l'exploitation des données PNR et API. Elle allait donc au-delà de la simple transposition de la directive du 29 avril 2004 concernant l'obligation pour les transporteurs de communiquer les données API. En pratique, la mise en oeuvre de la loi de 2006 n'a concerné dans un premier temps que les données API. Le système PNR national français devrait être opérationnel à l'automne 2015.

1. Les relations avec les pays tiers

Ce sont les États qui fixent les conditions du transfert de données telles que les données PNR que doivent respecter les compagnies aériennes pour pouvoir desservir leur territoire. Toutefois, afin de normaliser ces transferts, l'Organisation de l'aviation civile internationale (OACI) a édicté certaines lignes directrices. Lorsque les États-Unis, l'Australie et le Canada ont exigé le transfert des données PNR détenues par les compagnies aériennes européennes, l'Union européenne a jugé que des accords internationaux devaient être conclus entre elle et ces pays afin que les transferts de données puissent s'effectuer conformément à la réglementation européenne sur la protection des données (directive de 1995). Les accords, conclus dans les années 2005 - 2006 ont été renégociés à partir de 2010. La négociation a abouti avec l'Australie, en 2011, et avec les États-Unis, en 2012. L'accord avec le Canada signé le 25 juin 2014, est en voie de ratification, le Parlement européen ayant adopté le 25 novembre 2014 une motion tendant à la saisine pour avis de la Cour de justice de l'Union européenne afin de vérifier la légalité de l'accord PNR entre le Canada et l'Union européenne au regard du droit de l'Union européenne.

D'autres États tels que le Mexique, la Russie ou l'Arabie saoudite exigent désormais des compagnies aériennes européennes la communication de leurs données PNR. Le Japon, la Corée du Sud, le Brésil, les Émirats arabes unis, le Qatar de même que la Nouvelle-Zélande envisagent de le faire.

La Commission européenne a demandé à tous les États tiers envisageant la création d'un système PNR, d'exempter les compagnies européennes de tout transfert tant qu'un instrument européen spécifique ne garantira pas le respect des règles européennes de protection des données. Un dialogue technique s'est ainsi engagé avec certains des États concernés dans l'attente de l'adoption du PNR européen.

L'encadrement juridique est indispensable tant pour les voyageurs que pour les transporteurs aériens européens. Concernant les voyageurs, l'existence d'un accord doit leur assurer un niveau de protection des données satisfaisant. Concernant les compagnies aériennes, il est essentiel de leur assurer un cadre juridique sûr. En l'absence d'accord, elles se trouvent exposées soit à se mettre en contradiction avec le droit de l'Union si elles transmettent les données, soit à être exposées à des mesures de restriction de vols de la part des autorités des États tiers. Cette absence de sécurité juridique peut par ailleurs les mettre dans une situation concurrentielle défavorable par rapport aux autres compagnies aériennes qui ne se trouveraient pas devant la même contradiction.

2. La décision-cadre du Conseil de 2007

On rappellera que la Commission a déposé le 6 novembre 2007, une proposition de décision-cadre du Conseil relative à l'utilisation des données des dossiers des passagers à des fins répressives dans l'Union européenne.

Cette proposition faisait obligation au transporteur aérien assurant des vols vers le territoire d'au moins un État membre ou à partir de celui-ci, de transmettre aux autorités compétentes les renseignements relatifs aux passagers aux fins de prévenir et de combattre les infractions terroristes et la criminalité organisée.

Le dispositif général était le suivant :


• les transporteurs aériens fourniront aux États membres les données contenues dans le dossier de voyage de chaque passager empruntant un vol international à destination ou en provenance de l'Union européenne ;


• ces données seront exploitées par les États membres pour prévenir et détecter les infractions terroristes et les formes graves de criminalité ;


• chaque État membre devra, sur son territoire, constituer une plate-forme dite « unité de renseignement passager » (URP). Ces unités conserveront les données PNR pour une durée maximale de cinq ans et exploiteront lesdites données à la demande des services opérationnels ;


• ces URP constitueront un réseau européen et pourront s'échanger leurs données.

3. La résolution européenne du Sénat de 2009

Cette proposition de décision-cadre de 2007 a donné lieu à une proposition de résolution adoptée le 30 mai 2009 par le Sénat, à l'initiative de la commission des affaires européennes. Cette résolution faisait valoir les priorités à retenir pour assurer un respect effectif des droits fondamentaux, en particulier le droit au respect de la vie privée et à la protection des données personnelles.

4. La décision-cadre du Conseil de 2008 sur la protection des données policières et judiciaires

En 2008, le Conseil avait adopté une importante décision-cadre du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale qui définit les grands principes et les droits fondamentaux en la matière.

C'est à ce texte que la proposition de directive sur la protection des données à caractère pénal et judiciaire en cours de discussion entend se substituer.

5. La proposition de directive de 2011 sur le PNR

En application des nouvelles règles procédurales du Traité de Lisbonne mais aussi compte tenu des fortes réserves exprimées par le Contrôleur européen de la protection des données, l'Agence des droits fondamentaux de l'Union européenne et le groupe des « CNIL » européennes, la Commission européenne a présenté, le 2 février 2011, une nouvelle proposition de directive.

Cette proposition de la Commission de 2011 a été modifiée sur certains points par le Conseil, le 18 avril 2012. Elle avait déjà, il faut en convenir, répondu à plusieurs attentes exprimées par le Sénat dans sa résolution européenne en 2009.

• La résolution européenne du Sénat avait demandé que soit retenue, parmi les priorités, la nécessité d'assurer un respect effectif des droits fondamentaux, en particulier le droit au respect de la vie privée et à la protection des données personnelles. Plusieurs considérants de la directive de 2011 reprennent cette exigence.

• La résolution du Sénat avait souligné que les finalités de la proposition devaient être précisément délimitées et concerner exclusivement le terrorisme et un ensemble d'infractions graves définies par référence à la décision- cadre relative au mandat d'arrêt européen. De fait, la proposition retient ces finalités.

• S'agissant de la composition de l'« unité de renseignements passagers », nous avions, en 2009, jugé nécessaire que des garanties supplémentaires soient prévues sur :

- la qualité des services chargés de l'« unité de renseignements passagers » ;

- la qualité des autorités compétentes pour recevoir les données PNR et les traiter ;

- les conditions dans lesquelles des intermédiaires seraient susceptibles d'intervenir dans la collecte et la transmission des données.

La proposition de directive renvoie aux États membres le soin de créer ou désigner une autorité compétente pour exercer la fonction d'« unité de renseignements passagers » nationale chargée de la collecte des données PNR. Chaque État membre informera la Commission dans un délai d'un mois à compter de la mise en place de l'URP et pourra à tout moment actualiser sa déclaration. La proposition précise aussi que chaque État membre arrêtera une liste des autorités compétentes habilitées à demander ou obtenir des données PNR. Les autorités compétentes sont seules habilitées à intervenir en matière d'infractions terroristes et d'infractions graves.

Le Sénat avait souhaité qu'au sein de ces autorités, seuls les agents individuellement désignés et dûment habilités puissent pouvoir accéder aux données PNR. C'est ce que prévoit la proposition, à l'expiration d'une première période de conservation des données d'une durée de 30 jours.

• S'agissant du rôle des autorités indépendantes sur la protection des données, nous avions souhaité que ces autorités soient habilitées à effectuer des contrôles au sein de l'URP. La proposition de directive prévoit de donner cette possibilité aux autorités nationales de contrôle de la protection des données. Au surplus, elle reconnaît un rôle de conseil et de surveillance de l'application du dispositif aux dites autorités de contrôle national.

• Conformément à la demande expresse que nous avions exprimée, les articles 4, 5 et 11 de la proposition de directive excluent le traitement des données sensibles.

• La décision-cadre de 2007 avait prévu, pour la durée de conservation des données, une durée totale de 13 ans que le Sénat avait jugé manifestement disproportionnée. Nous avions proposé une durée de conservation de trois ans, à laquelle pourrait succéder une durée de conservation de trois ans des seules données PNR ayant montré un intérêt particulier au cours de la première période.

L'article 9 de la proposition initiale de directive de 2011 prévoit que passée une première période de 30 jours, les données peuvent être conservées pendant une période supplémentaire de cinq ans mais qu'au cours de cette période, elles doivent être « masquées » en n'étant accessibles qu'à un nombre limité d'employés de l'URP, expressément autorisés à analyser les données et à mettre au point des critères d'évaluation. En 2011, nous avions jugé cette disposition satisfaisante.

• S'agissant des droits des personnes concernées, le Sénat avait considéré que le régime de protection des données applicable devait être clarifié en privilégiant un haut niveau de protection par référence aux standards du Conseil de l'Europe. La proposition de directive prévoit pour tout passager un droit d'accès, de rectification, d'effacement et de verrouillage des données, un droit à réparation et un droit à un recours juridictionnel ainsi que des informations claires et précises sur la communication des données PNR.

• Enfin en ce qui concerne le transfert des données vers des États tiers, le Sénat avait demandé qu'un tel transfert ne soit possible qu'au cas par cas et sous réserve que l'État tiers assure un niveau de protection adéquate des données et que des garanties soient prévues dans la mise en oeuvre du principe de réciprocité. De fait, la proposition de directive prévoit qu'un État membre ne pourra transférer à un pays tiers des données PNR et les résultats du traitement de telles données qu'au cas par cas si les conditions précisées par la décision-cadre de 2008 du Conseil sont remplies et si le transfert est nécessaire aux fins de la présente directive. Le pays tiers devra n'accepter de transférer les données à un autre pays tiers que lorsque le transfert est nécessaire aux fins de la directive et uniquement sur autorisation expresse de l'État membre qui a communiqué les données à l'État tiers.

La résolution européenne adoptée par le Sénat le 18 mai 2011, à l'initiative de la commission des affaires européennes :

- prenait acte de la proposition de directive tendant à promouvoir une approche harmonisée au sein de l'Union européenne de l'utilisation des données des dossiers passagers à des fins répressives ;

- soulignait qu'une telle approche devait retenir, parmi ses priorités, d'assurer un respect effectif des droits fondamentaux, en particulier le droit au respect de la vie privée et à la protection des données à caractère personnel ;

- estimait que les dispositions protectrices des données à caractère personnel et de la vie privée retenues pour le PNR devaient inspirer les négociations en cours d'accords internationaux entre l'Union européenne et les États tiers.

Le Sénat, dans sa résolution, considérait aussi que les négociations sur la directive PNR devaient intégrer les réflexions, alors en cours, en vue d'assurer une approche globale de la protection des données à caractère personnel dans l'Union européenne. Il lui était apparu indispensable que les discussions tiennent le plus grand compte des évolutions du cadre général de la protection des données dans l'Union européenne.

6. Le débat autour de la proposition de directive de 2011

Qu'est-il advenu de cette proposition de directive de 2011 ?

La proposition a été discutée au sein du Conseil de mars 2011 à avril 2012 et a été adoptée le 26 avril 2012.

• Le texte adopté par le Conseil en avril 2012 a modifié la proposition initiale de la commission principalement sur :

- La période de conservation des données : sur ce point, il prévoit que les États membres veillent à ce que les données PNR transmises par les transporteurs aériens à l'unité de renseignements passagers soient conservées dans une base de données pendant une période de cinq ans à compter de leur transmission à l'URP de l'État membre sur le territoire duquel se situe le point d'arrivée ou de départ du vol.

À l'expiration de la période de deux ans à compter du transfert, les données PNR sont « dépersonnalisées » par masquage d'un certain nombre d'éléments d'information pouvant servir à identifier directement le passager auquel se rapportent les données PNR.

À l'expiration de la période de deux ans, la divulgation de l'intégralité des données PNR n'est autorisée que s'il existe des motifs raisonnables de penser qu'elle est nécessaire et que si elle est approuvée par une autorité nationale compétente en vertu droit national pour vérifier si les conditions de divulgation sont remplies. Les États membres veillent à ce que les données soient effacées à l'issue de la période de cinq ans.

- La possibilité d'appliquer la présente directive aux vols intracommunautaires. C'est une innovation importante. Tant la décision-cadre de 2009 que la proposition initiale de la Commission, en 2011, ne concernaient que les vols extra-communautaires. Aux termes de l'article premier bis, tel qu'il a été adopté par le Conseil en 2012, tout État membre peut, s'il le souhaite, appliquer la directive PNR aux vols intracommunautaires. Il en informe la Commission européenne par un avis écrit à cet effet. Lorsqu'un tel avis est adressé, toutes les dispositions de la directive s'appliquent aux vols intracommunautaires comme s'il s'agissait de vols extracommunautaires et aux données PNR des vols intracommunautaires comme s'il s'agissait de données PNR de vols extra-communautaires.

Le texte adopté par le Conseil prévoit aussi qu'un État membre peut décider d'appliquer la présente directive uniquement à certains vols intracommunautaires. Lorsqu'il prend une telle décision, l'État membre sélectionne les vols qu'il juge nécessaires afin de poursuivre les objectifs de la présente directive.

- Au sein du Parlement européen, la commission « LIBE » a voté une motion de rejet de la proposition le 24 avril 2013. Ce rejet, a pu surprendre dans la mesure où ladite Commission avait validé, au mois d'avril 2012, le projet d'accord PNR entre les États-Unis et l'Union européenne.

Le Parlement européen, réuni en séance plénière le 12 juin 2013, a refusé de valider cette motion et a demandé à la Commission « LIBE » de reprendre ses travaux sur ce texte. Ceux-ci ont repris au mois de novembre 2014.

Relevons que la Commission européenne s'est fortement engagée pour faire aboutir la directive PNR et soutient financièrement via un fonds d'un montant de 50 millions d'euros « Prévenir et combattre la criminalité -SEC » la création de systèmes PNR nationaux dans 19 États membres, dont en particulier la France.

On indiquera qu'à ce jour, en dehors de la France, la Suède et les Pays-Bas ont créé un PNR avec les aides du fonds européen ; de leur côté le Royaume-Uni (depuis 2008), le Danemark et la Belgique ont créé leur propre PNR sans aide européenne ; par ailleurs, d'autres pays comme les pays Baltes, l'Autriche, la Hongrie, la Slovénie, la Roumanie, la Bulgarie et l'Espagne bénéficient actuellement du fonds européen pour créer un PNR.

La majorité des États membres s'est déclarée favorable à une législation européenne en la matière. Nombre d'entre eux soulignent notamment l'utilité de la directive dans la lutte contre le phénomène des combattants étrangers.

Les conclusions du Conseil européen du mois d'août 2014 et les réunions des deux Conseils JAI sous présidence italienne ont constamment réitéré la nécessité d'instituer cet outil notamment pour lutter contre le terrorisme tout en regrettant l'insuffisance des progrès réalisés.

7. L'arrêt de la CJUE du 8 avril 2014 sur la situation des données

Il convient de rappeler que le 8 avril dernier, la Cour de justice de l'Union européenne a invalidé la directive du 15 mars 2006 sur la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public. La Cour a estimé que le législateur européen avait dépassé les limites appropriées et nécessaires aux objectifs de recherche, de détention et de poursuite d'infractions grave, en imposant à ses fournisseurs une si large obligation de conservation des données, sans encadrement strict. Elle a conclu que « force est donc de constater que cette directive comporte une ingérence dans ces droits fondamentaux d'une vaste ampleur et d'une gravité particulière dans l'ordre juridique de l'Union sans qu'une telle ingérence soit précisément encadrée par des dispositions permettant de garantir qu'elle est effectivement limitée au strict nécessaire . »

Si l'intensification, par tous les moyens, de la lutte contre toutes les formes de terrorisme tant au plan national qu'au plan européen constitue la priorité de tous les États membres, l'enjeu de la protection des données personnelles n'en a pas pour autant disparu dans la mesure compatible avec les nécessités de cette lutte.

*

* *

Dès le mois de juillet 2013, par un courrier identique, huit ministres de l'Intérieur dont le ministre français, avait signalé au président de la Commission LIBE l'importance du dossier PNR dans la lutte contre les combattants étrangers. Dans ses conclusions du 30 août 2014, le Conseil européen a appelé le Conseil et le Parlement européen à mener à bien, pour la fin de l'année 2014, les travaux sur la proposition PNR.

Au Conseil JAI des 9 et 10 octobre et du 4 et 5 décembre 2014, les ministres de l'Intérieur ont convenu d'agir ensemble auprès du Parlement européen afin de faire évoluer sa position.

Comme on le sait, l'actuel blocage est le fait de certains rapporteurs influents de la Commission LIBE ; même si le président de cette Commission M. Claude MORAÈS s'est, semble-t-il, prononcé en faveur du PNR européen.

Selon certaines informations, en cas de désaccord persistant, la Commission européenne serait prête à présenter un nouveau texte. Ce ne serait pas une bonne solution car susceptible d'entraîner de nouveaux retards dans l'adoption du PNR européen.

Le Conseil européen du 12 février 2015 devrait se saisir à nouveau du dossier.

Eu égard à la gravité des menaces terroristes de toute nature qui pèsent sur nos sociétés, la commission des affaires européennes a conclu au dépôt de la présente proposition de résolution européenne invitant à la mise en place rapide d'un système PNR européen ; un tel système étant seul de nature à assurer une coordination efficace entre les PNR nationaux tout en veillant au respect des garanties indispensables pour la protection des données personnelles.

PROPOSITION DE RÉSOLUTION EUROPÉENNE

Le Sénat,

Vu l'article 88-4 de la Constitution,

Vu la proposition de directive du Parlement européen et du Conseil relative à l'utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière (COM (2011) 32) ;

Relevant que la proposition de directive tend à promouvoir une approche harmonisée au sein de l'Union européenne de l'utilisation des données des dossiers passagers à des fins répressives ;

Considère que, eu égard à la gravité des menaces terroristes de toute nature qui pèsent sur nos sociétés, il importe désormais de se doter rapidement d'un système PNR européen ; qu'un tel système serait seul de nature à assurer une coordination efficace entre les PNR nationaux tout en veillant au respect des garanties indispensables pour la protection des données personnelles,

Estime qu'un tel système doit s'inscrire dans une approche globale de la lutte contre le terrorisme comportant aussi notamment la politique éducative, la défense des valeurs de la République ainsi que la politique étrangère,

Souligne que dans ses deux résolutions en date du 30 mai 2009 et du 18 mai 2011, il avait énoncé les conditions qui devaient être, selon lui, réunies pour que ces garanties indispensables soient prévues,

Rappelle qu'en ce qui concerne le transfert des données vers des États tiers, il avait demandé qu'un tel transfert ne soit possible qu'au cas par cas et sous réserve que l'État tiers assure un niveau de protection adéquate des données et que des garanties soient prévues dans la mise en oeuvre du principe de réciprocité,

Fait valoir qu'en ce qui concerne la durée de conservation des données, il avait souhaité qu'elle soit proportionnée et que les données ne soient accessibles qu'à un nombre limité de personnes expressément autorisées à analyser les données et à mettre au point des critères d'évaluation,

Relève qu'en ce qui concerne les droits des personnes concernées, il avait considéré que le régime de protection des données devait être clarifié en privilégiant un haut niveau de protection par référence aux standards du Conseil de l'Europe ; que ces standards comportent notamment pour tout passager le droit d'accès, de rectification, d'effacement et de verrouillage des données, un droit à réparation et un droit à un recours juridictionnel ainsi que des informations claires et précises sur la communication des données PNR,

Demande que le dispositif qui sera retenu pour le système PNR européen intègre ces exigences,

Considère que ledit dispositif devra, le cas échéant, être aménagé pour intégrer le futur cadre de protection des données personnelles en cours de discussion.

Les thèmes associés à ce dossier

Page mise à jour le

Partager cette page