François Charlet

Actualités, opinions et analyses juridiques et technologiques internationales et suisses

L'accord PNR avec le Canada doit être revu

27/11/2017 5 Min. lecture Droit François Charlet

Ces dernières années, la Cour de justice de l’Union européenne (CJUE) a rendu bon nombre de décisions en matière de protection des données et de la sphère privée. On se souvient notamment de l’annulation du Safe Harbour, de l’instauration d’un droit à l’oubli sur les moteurs de recherche et de l’invalidation d’une directive sur la conservation des données de communication. Et comme elle ne semble pas vouloir s’arrêter là, elle s’érige de plus en plus comme le dernier rempart européen de la protection des données des citoyens quand le Parlement et la Commission, ainsi que les États membres, font défaut. Mais va-t-elle un peu trop loin ?

Cet article et les deux suivants illustrent cette tendance.

Les faits

Le Parlement européen avait adressé une demande d’avis à la CJUE sur la compatibilité avec la Charte des droits fondamentaux de l’UE de l’accord entre le Canada et l’UE sur le transfert et le traitement de données des dossiers passagers (Passengers Name Record, ou PNR). Cet accord prévoyait que les données PNR, qui sont collectées par les transporteurs aériens auprès des passagers à des fins de réservation des vols entre le Canada et l’Union européenne, soient transférées aux autorités canadiennes compétentes, puis traitées et utilisées par ces dernières dans le but de prévenir et de détecter des infractions terroristes ou d’autres actes graves de criminalité transnationale, tout en fixant un certain nombre de garanties quant au respect de la vie privée et de la protection des données à caractère personnel des passagers.

Ces données PNR comprennent des informations sur l’identité, la nationalité et l’adresse des passagers, les coordonnées (adresse domiciliaire, adresse email, téléphone) du passager ayant effectué la réservation, le moyen de paiement utilisé, y compris, le cas échéant, le numéro de la carte de crédit ayant servi à réserver le vol, les bagages, les habitudes de voyage des passagers, ainsi que celles relatives à des services supplémentaires demandés par ces derniers concernant leurs éventuels problèmes de santé, y compris de mobilité, ou leurs souhaits alimentaires durant le vol, qui sont susceptibles de fournir des indications, notamment, quant à l’état de santé d’un ou de plusieurs voyageurs, à leur origine ethnique ou à leurs convictions religieuses.

L’accord prévoit en outre que ces données seront conservées pour une durée de cinq ans, que leur sécurité et leur intégrité seront garanties, que les données sensibles seront masquées immédiatement et que leur démasquage ne sera possible que si les autorités canadiennes ouvrent une enquête, que les personnes concernées pourront exercer leurs droits à la rectification et à l’effacement des données, et enfin qu’elles pourront faire valoir leurs droits en justice.

L’avis de la CJUE

Dans son avis (avis 1/15) rendu cet été, la CJUE a estimé que l’ingérence dans la vie privée des voyageurs était justifiée par l’objectif de sécurité publique, la lutte contre le terrorisme et la criminalité transnationale grave. Le transfert des données PNR contribue à atteindre cet objectif. Mais encore faut-il que cette ingérence soit nécessaire pour atteindre le but en question.

À cet égard, la CJUE considère que certaines dispositions de l’accord vont au-delà de ce qui est nécessaire. Ainsi en va-t-il de la communication de données sensibles (indications sur l’état de santé, l’origine ethnique ou les convictions religieuses) d’un passager lorsqu’il demande légitimement à obtenir des services d’assistance à bord et sur lequel ne pèse et ne continuera vraisemblablement à peser aucun soupçon. La CJUE estime que le risque de stigmatisation d’un grand nombre d’individus, qui ne sont pourtant soupçonnés d’aucune infraction, qu’implique l’utilisation de telles données sensibles est très préoccupant.

La Cour relève aussi que l’utilisation des données PNR pendant le séjour au Canada des voyageurs (après que ces derniers ont été autorisés à pénétrer sur le territoire canadien suite à la vérification des données PNR) doit se fonder sur des circonstances nouvelles auxquelles doivent s’appliquer des règles strictes afin d’éviter tout risque d’abus. La CJUE voit donc un problème dans le fait que l’accord ne prévoit aucunement que l’accès aux données PNR soit subordonné à un contrôle préalable d’une autorité indépendante, telle que le Commissaire canadien à la protection de la vie privée, et qu’il ne spécifie pas les critères objectifs sur la base desquels les fonctionnaires ayant accès aux données PNR sont déterminés.

En outre, la durée de conservation de cinq ans dépasse ce qui est strictement nécessaire, ce d’autant que l’accord omet d’assurer une “dépersonnalisation” par masquage de toutes les données PNR permettant d’identifier directement un passager.

Parmi les critères d’améliorations de l’accord, la CJUE considère que l’accord devrait notamment :

  • déterminer de manière claire et précise les données PNR à transférer ;
  • limiter la conservation des données PNR après le départ des passagers aériens à celles des passagers à l’égard desquels il existe des éléments objectifs permettant de considérer qu’ils pourraient présenter un risque en termes de lutte contre le terrorisme et la criminalité transnationale grave ;
  • soumettre l’utilisation de ces données par l’autorité canadienne compétente pendant le séjour des passagers aériens au Canada et après leur départ de ce pays, de même que toute communication desdites données à d’autres autorités, à des conditions matérielles et procédurales fondées sur des critères objectifs ;
  • subordonner cette utilisation et cette communication, sauf cas d’urgence dument justifiés, à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante, dont la décision autorisant l’utilisation intervient à la suite d’une demande motivée de ces autorités, notamment dans le cadre de procédures de prévention, de détection ou de poursuites pénales.

Conclusion

Comme je l’ai évoqué en introduction, la CJUE fait preuve d’une grande rigueur en matière de protection des données, et son avis, s’il aura évidemment des répercussions dans ce domaine, devrait aussi avoir de nombreuses conséquences politiques et juridiques. Il poussera notamment les instances européennes à plus de transparence et risque aussi de remettre en cause plusieurs accords PNR avec des pays tiers. Leur réévaluation devra vraisemblablement se faire prochainement. Quant aux compagnies aériennes, elles peuvent s’attendre à voir changer les différents régimes auxquels elles sont soumises dans leurs relations avec l’UE. En matière de trafic aérien, ce ne sont pas toujours les voyageurs qui gagnent, alors cette victoire est à saluer.