COM (2005) 200 final
du 19/05/2005
Date d'adoption du texte par les instances européennes : 18/07/2005
Examen dans le cadre de l'article 88-4 de la Constitution
Texte déposé au Sénat le 26/05/2005Examen : 08/07/2005 (délégation pour l'Union européenne)
Justice et affaires intérieures
Projet d'accord entre la Communauté européenne
et le Canada sur le transfert et le traitement des informations sur les
voyageurs (API) et des données sur les passagers (PNR)
Texte E
2887
(Procédure écrite du 8 juillet 2005)
Ce projet d'accord vise à autoriser le transfert par les compagnies aériennes européennes des informations sur les voyageurs (API) et des données sur les passagers contenues dans les systèmes de réservation (PNR) au gouvernement canadien.
Le Canada a, en effet, adopté après les attentats du 11 septembre 2001, une législation prévoyant l'obligation pour les compagnies aériennes de transmettre les données relatives aux informations sur les voyageurs et aux dossiers passagers contenus dans les systèmes de réservation se rapportant à toutes les personnes qui embarquent à bord d'un avion à destination du Canada. Cette législation est assortie d'un système de pénalités financières en cas de non respect de cette obligation. L'Union européenne dispose d'une dérogation temporaire à cette obligation jusqu'au 1er juillet 2005. A partir de cette date, les compagnies aériennes européennes risquent de se voir imposer des sanctions en cas de non-respect de cette obligation.
L'Union européenne et le gouvernement du Canada ont donc négocié un accord international qui autorise le transfert de ces données. Ce projet d'accord devrait être adopté par le Conseil le 18 juillet prochain.
Cet accord fait suite à l'accord conclu avec les États-Unis portant sur le même objet, sur lequel la délégation avait exprimé des réserves (textes E 2487 et E 2543 examinés respectivement par la délégation le 11 février et le 7 mai 2004), et qui fait actuellement l'objet d'un recours du Parlement européen devant la Cour de justice des Communautés européennes.
Il comporte toutefois plusieurs améliorations notables par rapport à ce dernier, comme l'ont constaté à la fois le groupe dit « de l'article 29 » sur la protection des données, qui regroupe les autorités de contrôle des différents États membres (comme la CNIL pour la France) et le rapporteur du Parlement européen, Mme Sophia In't Veld.
En particulier :
- la liste des données concernées porte sur 25 éléments, contre 34 dans l'accord avec les États-Unis ; cette liste exclut les « données sensibles », ainsi que les « champs ouverts » et les remarques générales, telle que la préférence alimentaire par exemple ;
- à la différence de l'accord avec les États-Unis, les autorités canadiennes ne pourront accéder directement aux systèmes de réservation des compagnies aériennes pour recueillir ces données mais celles-ci devront être transmises par les compagnies aériennes ;
- ces données ne pourront être conservées que pour une durée maximale de trois ans et demi, sans possibilité de prolonger ce délai jusqu'à huit années comme le prévoit l'accord avec les États-Unis ;
- seul un nombre limité d'agents pourra avoir accès à ces données et la possibilité pour le gouvernement canadien de les transmettre à un État tiers est très encadrée ;
- le Canada dispose d'une législation étendue sur la protection des données personnelles, avec notamment un commissaire indépendant de la protection des données. Le groupe de l'« article 29 » a d'ailleurs rendu un avis, le 19 janvier 2005, sur le projet d'accord avec le Canada, dans lequel il conclut que ce pays assure un niveau adéquat de protection des données personnelles au sens de la directive de 1995 ;
- cet accord permet, par ailleurs, la réciprocité dans le cas où un ou plusieurs États de l'Union déciderait d'introduire un tel système ;
- enfin, l'accord prévoit une clause de réexamen, notamment pour tenir compte des futures lignes directrices sur les données PNR de l'Organisation de l'aviation civile internationale (OACI).
La seule interrogation soulevée par cet accord porte moins sur le fond que sur la procédure. En effet, la Commission européenne a choisi de recourir, à l'instar de l'accord avec les États-Unis, à une procédure en trois étapes comprenant l'adoption d'une décision constatant le caractère adéquat de la protection des données personnelles au Canada, des engagements pris par le Canada annexés à cette décision et un accord international. Mais alors qu'il aurait été logique de reprendre en annexe de l'accord international les engagements pris par le Canada, la Commission européenne a considéré cela comme superflu étant donné que l'accord fait référence à la décision d'adéquation et que ces engagements ont déjà une valeur juridique contraignante pour le Canada. Il n'en demeure pas moins qu'il aurait été sans doute plus cohérent que ces engagements figurent en annexe de l'accord international.
Sous cette réserve, la délégation a décidé de ne pas intervenir plus avant dans l'examen de ce texte.