COM (2003) 826 final
du 16/12/2003
Date d'adoption du texte par les instances européennes : 17/05/2004
Examen dans le cadre de l'article 88-4 de la Constitution
Texte déposé au Sénat le 19/01/2004Examen : 11/02/2004 (délégation pour l'Union européenne)
Justice et affaires intérieures
Le transfert par les compagnies aériennes des
données
des dossiers passagers aux autorités
américaines (E 2487)
Communication écrite de M.
Hubert Haenel
(Cette communication, et les conclusions qui y sont jointes, ont été adressées à l'ensemble des membres de la délégation. Aucune observation n'ayant été formulée, le Président de la délégation a considéré, lors de la réunion du 11 février, que ces conclusions devenaient celles de la délégation.)
Le document dont nous sommes saisis est une communication de la Commission du 16 décembre 2003 qui fait état du résultat des négociations qu'elle a menées avec les autorités américaines sur l'accès aux données sur les passagers contenues dans les systèmes de réservation des compagnies aériennes. Bien qu'il s'agisse d'une simple communication, le Gouvernement a décidé de faire usage de la clause facultative de l'article 88-4 de la Constitution pour saisir l'Assemblée nationale et le Sénat de ce texte.
La transmission des données personnelles à des pays tiers est, en effet, une question sensible sur laquelle notre délégation avait déjà exprimé de sérieuses préoccupations à propos des accords internationaux conclus par Europol, notamment avec les Etats-Unis. Or, cet accord entre la Commission européenne et les Etats-Unis est sans précédent car, pour la première fois, des données collectées par des entreprises à des fins commerciales seraient transmises et utilisées par un État pour des raisons de sécurité nationale. Par ailleurs, le nombre de données est très important, puisque les vols transatlantiques concernent en moyenne près de 11 millions de passagers par an.
Avant d'évoquer son contenu et les difficultés qu'il soulève, je voudrais brièvement revenir sur l'origine de cet accord.
I - HISTORIQUE
A la suite des attentats du 11 septembre 2001, les Etats-Unis ont adopté, le 19 novembre 2001, une loi sur la sécurité de l'aviation et du transport (« The Aviation and Transportation Security Act ») puis, le 9 mai 2002, une loi sur la sécurité aux frontières et la réforme des visas (« The Enhanced Border Security and Visa Entry Reform Act »). Ces textes imposent notamment, sous peine de sanctions, aux compagnies aériennes assurant des liaisons à destination, au départ ou à travers le territoire des Etats-Unis, de transmettre aux services des douanes et de l'immigration américains des informations personnelles sur les passagers.
A cet égard, il convient de distinguer les données dites APIS (« Advanced Passengers Information System ») et les données dites PNR (« Passenger Name Record ») qui sont de nature différente.
Les données APIS comprennent des informations saisies par les compagnies aériennes ou par les agences de voyage à partir des documents de voyage des passagers ou à partir d'informations fournies directement par eux. Elles comprennent notamment le nom, la date de naissance, la nationalité et le numéro de passeport de la personne concernée. La transmission de ces informations, qui peuvent être considérées comme des informations nécessaires au franchissement des frontières, ne pose pas de problème particulier. Il s'agit, en effet, de données destinées à détecter les personnes qui sont déjà connues des services de police ou de l'immigration par rapprochement avec les fichiers de ces services.
Les données PNR sont d'une nature très différente car il s'agit de données relatives aux réservations des passagers. A cet égard, il peut paraître utile de rappeler le fonctionnement des réseaux de réservation pour comprendre l'intérêt des autorités américaines d'avoir accès à ces données. Actuellement, quatre grands systèmes de réservation se partagent la quasi-totalité du marché dans le monde : Amadeus, qui concerne essentiellement les compagnies européennes, Sabre, Worldspan et Galileo. Ces centrales d'information sont alimentées par les agences de voyages et les compagnies aériennes. Elles constituent le seul instrument d'échange d'informations en temps réel entre ces acteurs mais également avec d'autres fournisseurs de services liés au voyage, comme certains tours-opérateurs, des chaînes d'hôtels, de location de voiture et des compagnies de taxi. Elles véhiculent toutes les informations nécessaires depuis le moment d'une réservation jusqu'à la réalisation complète et le paiement des diverses prestations demandées par un passager. Par ailleurs, les systèmes de réservation dialoguent entre eux pour couvrir les cas où une réservation comporte dans l'itinéraire prévu un ou plusieurs vols sur des compagnies aériennes liées à des systèmes de réservations différents.
Un PNR peut donc comprendre des données simples et limitées (comme le nom de la personne, la date, l'heure, le numéro de vol et son aéroport de destination), mais aussi des données nombreuses et très variées (comme l'itinéraire complet du déplacement ou les contacts à terre du passager). Le nombre de champs varie, en effet, de cinq à quarante. Ces données peuvent parfois revêtir un caractère sensible, au sens de la directive européenne de 1995 sur la protection des données personnelles. Il peut s'agir, par exemple, de la mention d'après laquelle « les passagers se rendent au congrès de tel parti politique » pour justifier vis à vis de la compagnie aérienne le tarif particulier appliqué par l'agence de voyage, ou encore des éléments sur leur pratique religieuse (régime alimentaire) ou leur santé.
La finalité de la collecte par l'administration américaine des données PNR est différente de celle des données APIS.
Alors que la transmission des données APIS s'effectue après l'embarquement, c'est-à-dire souvent au moment du décollage, l'accès aux données PNR permet d'exercer un contrôle au moment de la réservation, c'est-à-dire plusieurs heures, voire plusieurs jours, avant le vol.
Mais surtout, alors que la transmission des données APIS vise les personnes qui sont déjà connues des services américains, les données PNR sont destinées à évaluer les risques présentés par les passagers qui sont inconnus de l'administration. Cette évaluation est réalisée actuellement par le service des douanes américain à l'aide d'un logiciel dénommé « Automated Targeting System » (ATS). Il s'agit, en réalité, d'un logiciel qui permet de recouper plusieurs fichiers. Son efficacité reste, cependant, sujette à caution, comme l'ont montré les évènements de Noël dernier, lorsque plusieurs vols d'Air France à destination des États-Unis ont été annulés en raison d'homonymies. Ce logiciel devrait être complété par un autre système lorsqu'il sera mis au point dit « CAPPS II » (« Computer Assisted Passenger Prescreening System ») au sein d'une autre agence (« The transport security Agency »). A terme, ce système plus poussé de « fouille des données » (datamining) qui inclurait la consultation de fournisseurs privés d'informations devrait permettre de mettre en place, au moment de la réservation, un système « d'alerte précoce » en distinguant trois catégories de passagers : un carton vert serait synonyme de « laissez passer », un carton jaune impliquerait des contrôles renforcés et un carton rouge entraînerait l'impossibilité pour un passager d'effectuer le vol.
Le 25 juin 2002, les autorités américaines ont exigé d'avoir un accès direct à partir du territoire américain aux données PNR du système de réservation électronique des compagnies. Quatre grandes compagnies aériennes européennes (Air France, Iberia, British Airways, Lufthansa) avaient été sommées par les douanes américaines de répondre à leur demande avant le 14 novembre 2002. Dès juin 2002, la Commission européenne a informé les autorités américaines que cette demande pouvait entrer en conflit avec la législation communautaire et des États membres en matière de protection des données et avec certaines dispositions du règlement sur l'utilisation de systèmes informatisés de réservation (SIR).
Les transporteurs étaient donc confrontés au dilemme suivant : enfreindre la législation européenne sur la protection des données ou s'exposer à de sévères sanctions de la part des autorités américaines (amendes, retraits de droits d'atterrissage).
La discussion avec la partie américaine n'a pu vraiment s'engager qu'en décembre 2002. Les autorités américaines ont reporté l'entrée en vigueur des nouvelles dispositions, mais elles ont refusé en définitive de renoncer à imposer des sanctions aux compagnies aériennes ne se conformant pas à cette demande après le 5 mars 2003, soit à la veille de la date de l'intervention américaine en Irak. Depuis lors, plusieurs grandes compagnies aériennes de l'Union européenne ont fourni l'accès à leur PNR. En effet, la technologie ne permet pas actuellement aux compagnies aériennes de filtrer et de transmettre les données demandées par les Etats-Unis. Autrement dit, les autorités américaines ont d'ores et déjà accès à l'ensemble des données personnelles contenues dans les systèmes de réservation des compagnies aériennes, y compris celles qui concernent les vols domestiques ou à destination des pays tiers.
Le 18 février 2003, la Commission et le gouvernement américain ont publié une déclaration commune, rappelant leur intérêt commun à combattre le terrorisme, exposant les premiers engagements qu'ont accepté de prendre les autorités douanières des Etats-Unis en matière de protection de données et prenant acte de l'engagement des parties de poursuivre des discussions.
Si cette déclaration a été interprétée comme une solution transitoire, le groupe « Article 29 », qui regroupe les autorités nationales chargées de la protection des données personnelles (comme la CNIL pour la France), a rendu plusieurs avis, dans lesquels il a estimé que le niveau de protection des données personnelles assuré par les Etats-Unis est insuffisant. D'après la CNIL, la transmission de ces données est donc illégale, tant au regard de la loi « informatique et libertés » du 6 janvier 1978, que de la législation européenne en matière de protection des données personnelles. Le Président de la CNIL a d'ailleurs adressé, le 12 décembre 2002, une lettre au Premier Ministre sur cette affaire. Dans deux résolutions, datant respectivement du 13 mars 2003 et du 9 octobre 2003, le Parlement européen a vivement critiqué la Commission européenne pour son attitude dans ce dossier.
Entre-temps, d'autres pays tiers, notamment le Canada et l'Australie, ont demandé ou envisagent de demander l'accès aux données PNR. Certains États membres, comme le Royaume-Uni, examinent aussi actuellement la possibilité d'utiliser les données PNR aux fins de la sécurité aérienne et des frontières.
II - LA COMMUNICATION DE LA COMMISSION
Dans sa communication, la Commission expose le résultat des négociations menées avec les autorités américaines et elle propose plusieurs pistes pour définir un cadre juridique pour réglementer l'accès aux données PNR.
Les principales concessions obtenues par la Commission de la part des États-Unis seraient les suivantes :
- une limitation des données à transférer : au lieu de la totalité des données PNR, on se limiterait à une liste fermée de 34 champs ;
- la destruction des données sensibles, concernant notamment l'origine sociale ou ethnique, ainsi que la santé ;
- une limitation de la finalité des transferts : leur utilisation sera limitée à la lutte contre le terrorisme et à la lutte contre la criminalité organisée transnationale. La criminalité « interne » a donc été exclue de l'accord ;
- une limitation de la durée de stockage des données : après avoir proposé initialement que les données soient stockées pendant cinquante ans, les États-Unis ont accepté de ramener cette période à la durée de l'arrangement, c'est-à-dire à trois ans et demi ;
- le réexamen annuel conjoint de l'application par les États-Unis de leurs engagements ;
- l'exclusion du système CAPPS II : malgré la demande insistante du département américain de la sécurité intérieure, qui tenait absolument à ce que le système CAPPS II soit couvert par l'accord, la Commission a rejeté cette exigence. Néanmoins, il ressort des déclarations des autorités américaines que des données PNR pourraient être utilisées par le système CAPPS II aux fins de « tests » ;
- la mise en place d'un mécanisme de recours pour les autorités chargées de la protection des données pour le compte des citoyens européens : sous la pression du Congrès, le département de la Sécurité intérieure a accepté de nommer un « Privacy Officer » chargé de la protection des données. Aux termes de l'accord, celui-ci devrait donc traiter en urgence les plaintes des citoyens européens transmises par l'intermédiaire des autorités nationales chargées de la protection des données.
La Commission indique que l'arrangement final qu'elle proposera prendra la forme double d'une décision d'adéquation au titre de la directive européenne sur la protection des données personnelles de 1995 et d'un accord international bilatéral de nature « légère ». La décision d'adéquation, qui spécifierait que les Etats-Unis assurent un niveau de protection adéquat des données transmises au sens de la directive de 1995, devrait être prise selon la procédure de « comitologie ». L'accord bilatéral devrait être basé sur l'article 300 du traité instituant la Communauté européenne. Le Conseil devrait donc statuer à la majorité qualifiée après consultation du Parlement européen. Cet arrangement bilatéral devrait être limité dans le temps. Il a été convenu, avec la partie américaine, que la durée de l'arrangement serait fixée à trois ans et demi (renouvelable).
Parallèlement, la Commission européenne entend prendre plusieurs initiatives.
Ainsi, elle considère qu'une information des passagers est indispensable, même si elle estime, contrairement au Parlement européen, qu'une solution reposant entièrement sur le consentement des passagers n'est pas pertinente.
Elle se prononce aussi pour la mise en place d'un système de filtrage permettant de contrôler les flux de données, pour éviter à l'avenir un accès direct des autorités américaines aux données PNR. Elle évoque, à cet égard, la mise en place d'un système communautaire centralisé financé par le budget européen.
Elle envisage également de soumettre une proposition de décision-cadre sur la protection des données en matière répressive, afin de définir un cadre juridique sur l'accès des données PNR et à d'autres données commerciales à des fins répressives au niveau de l'Union, en y associant notamment EUROPOL.
Enfin, la Commission souhaite la création d'un cadre multilatéral pour le transfert des données PNR au sein de l'Organisation de l'Aviation Civile Internationale (OACI).
III - LES DIFFICULTES SOULEVEES PAR L'APPROCHE DE LA COMMISSION
1° En dépit de certaines avancées, les garanties apportées sur le transfert et l'exploitation des données PNR restent insuffisantes.
Comme l'ont souligné les différents commissaires européens chargés de ces questions, les négociations ont été exceptionnellement dures avec la partie américaine. Privilégiant la voie de la négociation, plutôt que celle de la confrontation, la Commission a toutefois réussi à obtenir des concessions de la part des États-Unis. On peut se féliciter notamment de la limitation du nombre de données à transférer (même si certaines pourraient encore être exclues, comme les préférences alimentaires ou les numéros de cartes bancaires, par exemples) et de la destruction des données sensibles (qui appelle toutefois des précisions sur les données concernées et des garanties sur l'effectivité de cette destruction).
Comme l'a reconnu lui-même le Commissaire européen Frits Bolkestein, la Commission n'a pas obtenu gain de cause sur la création d'un mécanisme indépendant de recours, qui était pourtant l'une de ses principales demandes. Néanmoins, on peut considérer que la création du « Privacy Officer » constitue un progrès, même si celui-ci reste rattaché à l'exécutif. En tout état de cause, il paraît très difficile d'obtenir satisfaction sur ce point, compte tenu de la différence de nature entre le système américain et le système européen de protection des données.
Par ailleurs, je partage l'appréciation de la Commission selon laquelle une solution reposant entièrement sur le consentement des passagers n'est pas réaliste. En effet, quelle serait l'utilité d'exiger un consentement des passagers si ces derniers ne peuvent pas effectuer de réservation en cas de refus ? La question du consentement des passagers est donc largement de la « poudre aux yeux » et j'avoue mal comprendre la position très ferme du Parlement européen sur ce point. Cela ne veut pas dire pour autant que les passagers concernés ne doivent pas recevoir une information complète et précise. Il conviendrait, à cet égard, que les compagnies aériennes et les agences de voyage fournissent l'information nécessaire aux passagers.
Les difficultés majeures qui restent en suspens portent sur la durée de stockage des données, les autorités ayant accès à des données, ainsi que sur l'utilisation de ces données dans le cadre du système CAPPS II.
En ce qui concerne la durée de stockage des données, la Commission reste assez ambiguë, puisqu'elle semble établir un lien entre cette durée et la période de l'accord. Or, que se passerait-il en cas de renouvellement de ce dernier ? Doit-on considérer qu'il n'y a pas de limite temporelle en matière de stockage de ces données ? D'ores et déjà, une durée de stockage de trois ans et demi paraît disproportionnée, mais il faudrait préciser qu'il s'agit là d'une durée maximale et non renouvelable. La question des autorités susceptibles d'avoir accès aux données transférées n'est pas abordée par la Commission. Il s'agit pourtant d'une question centrale, étant donné le nombre potentiellement très élevé d'autorités fédérales ou fédérées intéressées par ces données. À cet égard, l'accord devrait préciser que seul le service des douanes et de l'immigration est compétent pour accéder aux données PNR. On imagine très bien, en effet, les détournements possibles de ces données qui pourraient, par exemple, servir à l'espionnage économique. Enfin, il peut sembler paradoxal d'exclure l'utilisation des données PNR par le système CAPPS II tout en l'autorisant aux fins de « tests ». Qui peut croire sérieusement, en effet, que des données réelles sont nécessaires pour effectuer des tests sur un logiciel ? Étant donné que le système CAPPS II n'a pas encore été approuvé par le Congrès, il devrait être totalement exclu de l'accord.
2° La proposition de la Commission visant à instaurer un système communautaire centralisé de filtrage pour l'accès aux données PNR est impraticable et dangereuse
L'idée avancée par la Commission de créer un organisme communautaire collectant les données PNR pour les retransmettre aux autorités des pays tiers s'apparente à une « machine à gaz ». Cela revient, en effet, à faire nous-mêmes ce que nous n'avons pas voulu que fasse la partie américaine. Si l'accès direct des autorités américaines aux données PNR n'est pas satisfaisant, ce sont les compagnies aériennes elles-mêmes qui devraient à l'avenir filtrer et transmettre ces données et non un organisme communautaire, et encore moins EUROPOL. Cette solution est d'ailleurs conforme, tant au principe de subsidiarité, qu'à l'exigence de la protection des données personnelles. Les compagnies aériennes sont, en effet, directement intéressées par la protection de ces données, car il s'agit de leur fonds de commerce.
3° La question du cadre juridique
Avant toute chose, il convient de souligner que la situation actuelle n'est pas satisfaisante, puisque l'accès aux données PNR par les autorités américaines se fait actuellement dans l'illégalité. Afin de sortir de cette situation, la Commission européenne préconise de recourir à la fois à une décision d'adéquation, sur le fondement de la directive européenne de 1995, et à un accord bilatéral de nature légère, conclu sur la base de l'article 300 du traité instituant la Communauté européenne. L'intérêt d'un accord bilatéral serait double. D'une part, il permettrait de formaliser l'engagement des autorités américaines. D'autre part, il permettrait d'associer le Parlement européen. On peut cependant s'interroger sur le choix de la base juridique d'un tel accord, qui relèverait du marché intérieur d'après la Commission. La lutte contre le terrorisme relève du troisième pilier et il serait plus conforme aux traités d'envisager un accord international entre les États membres et les Etats-Unis.
Enfin, après avoir reconnu les limites de l'accord avec les Etats-Unis, il peut sembler curieux que la Commission européenne envisage de se fonder sur le résultat de ces négociations pour élaborer une position de l'Union dans ce domaine pour éventuellement la porter au niveau mondial. Il aurait été plus cohérent de définir d'abord une position européenne autonome et de négocier ensuite avec la partie américaine. Cette solution avait d'ailleurs été préconisée par les autorités allemandes et françaises chargées de la protection des données. On peut donc partager la position critique du Parlement européen sur le traitement de cette affaire par la Commission européenne.
La délégation a décidé d'adopter les conclusions suivantes :
Conclusions
La délégation du Sénat pour l'Union européenne,
Vu l'article 88-4 de la Constitution,
Vu la communication de la Commission sur le transfert des données des dossiers passagers PNR (texte E 2487),
Souhaite la conclusion rapide d'un accord international avec les autorités américaines pour réglementer l'accès aux données personnelles contenues dans les systèmes de réservation des compagnies aériennes ;
Considère qu'un tel accord doit être conclu sur la base des dispositions du traité relatives à la coopération policière et judiciaire en matière pénale ;
Estime que les garanties prévues pour la protection des données personnelles nécessitent d'être clarifiées ou renforcées, notamment en ce qui concerne la limitation de la durée de stockage de ces données et la destruction des données sensibles ;
S'oppose à la création d'un organisme communautaire centralisé pour filtrer et transmettre les données concernées.