L’Union européenne à l’ère du numérique et la lutte contre le terrorisme : la sécurité au détriment de l’État de droit avec les accords PNR ?
Suite aux attentats qui ont eu lieu au cours des années 2000, « l’Union de la sécurité » s’est renforcée dans un aspect plus externe, comme en témoignent les accords PNR. Les préoccupations liées à la collecte et au traitement de données dans un but de lutte contre le terrorisme ont en effet débouché sur la conclusion de différents accords entre l’Union et des pays tiers (États-Unis, Australie, Canada). Au regard des doutes quant à la nécessité et la proportionnalité de ces accords, leur spécificité conduit à s’interroger sur les importantes atteintes à l’État de droit qu’ils impliquent.
Nina Le Bonniec[1],Docteur en droit public, I.D.E.D.H. (EA 3976), Université de Montpellier
À la suite des différents attentats qui ont eu lieu au cours des années 2000 (à New-York en 2001, à Madrid en 2004 et à Londres en 2005), la lutte contre le terrorisme ne s’est pas seulement intensifiée au niveau national puisqu’elle a aussi conduit à des développements importants au niveau européen. En ce sens, « l’Union de la sécurité »[2] s’est renforcée depuis quelques années dans un aspect plus externe, comme en témoignent les accords PNR (Passenger Name Record).
Au niveau européen, le transfert des données des dossiers passagers n’est pas seulement réglementé par les accords PNR puisqu’un système PNR « intra-européen » a aussi été organisé. À cet égard, il est prévu, depuis 2016, que chaque État membre doit mettre en place ou désigner une autorité compétente en matière de prévention et de détection des infractions terroristes et des formes graves de criminalité, ainsi que d’enquêtes et de poursuites en la matière[3], cette autorité étant l’Unité d’Information Passagers (UIP). En France, cette Unité a donc été créée par un décret n° 2014-1566 du 22 décembre 2014, ce qui a permis de mettre en place un système « API-PNR » dans le but « de vérifier si une personne ou un objet qui s’apprêtent à être enregistré sur un vol au départ ou à l’arrivée du territoire n’est pas recherché », ou « de déterminer si un passager, compte tenu de ses habitudes de voyage, présente un risque particulier au regard de certaines finalités »[4].
Les préoccupations liées à la collecte et au traitement de données dans un but de lutte contre le terrorisme ont aussi débouché sur la conclusion de différents accords de coopération policière et judiciaire internationale, les accords PNR, entre l’Union européenne et des États tiers. En effet, la mise en place de législations sécuritaires par des États hors de l’Union européenne, dont les États-Unis en premier lieu, obligeant tout transporteur aérien assurant un service de transport international de passagers à destination ou au départ des États-Unis qu’il mette à la disposition du ministère américain de la sécurité intérieure les dossiers passagers, ont conduit l’Union européenne à se lancer dans la négociation et la conclusion d’accords sur les données passagers. Ces accords ont ainsi pour finalité d’améliorer la sécurité publique non pas de l’Union mais de celle de l’État tiers, en lui permettant d’obtenir par voie électronique des données PNR avant l’arrivée d’un vol et de réaliser une « évaluation précoce des risques présentés par les passagers » [5] en provenance de l’Union.
Après la conclusion d’un tel accord avec les États-Unis[6] puis l’Australie[7], c’est en juillet 2017 que la grande chambre de la Cour de justice de l’Union européenne (CJUE) a été amenée à se prononcer pour avis sur le projet d’accord entre le Canada et l’Union européenne, qui a été signé le 25 juin 2014, en vertu de l’article 218 §11 TFUE. Or, dans cet avis, c’est essentiellement la question de la compatibilité de l’accord avec l’article 16 TFUE et les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne (CDFUE) qui retient la Cour, puisqu’il s’agit de la première fois qu’un accord PNR est soumis pour avis à la Cour de justice s’agissant de sa compatibilité avec la Charte.
Au regard des doutes quant à la nécessité et la proportionnalité de ces accords, leur spécificité conduit à s’interroger sur les importantes atteintes à l’État de droit qu’ils impliquent et sur la façon dont peuvent être conciliées les exigences contradictoires de sécurité nationale et de sécurité numérique.
Certes, il apparaît que les accords PNR mettent en œuvre une politique sécuritaire qui semble incompatible avec les exigences de l’État de droit quant à la garantie des droits fondamentaux (I). Cependant, l’avis 1/15, rendu par la Grande Chambre de la Cour de justice le 26 juillet 2017 à propos de l’accord PNR entre le Canada et l’Union européenne[8], a été l’occasion pour le juge de tenter de parvenir à un difficile équilibre entre les exigences contradictoires de sécurité nationale et de sécurité numérique[9] (II).
I. Les Accords PNR : la promotion d’une politique sécuritaire difficilement compatible avec les principes de l’État de droit
La politique sécuritaire mise en œuvre par les accords PNR les rend intrinsèquement contraires à la garantie des droits fondamentaux (A), ce qui leur a valu de nombreuses critiques (B).
A. Des accords intrinsèquement contraires à la garantie des droits fondamentaux
La nature des accords PNR est en elle-même porteuse de nombreuses ingérences à l’égard des droits fondamentaux des passagers, en particulier au droit à la protection des données à caractère personnel, eu égard au transfert massif de données vers des pays tiers qu’ils prévoient. En effet, ces accords concernent le transfert et le traitement non pas des simples données API (Advanced Passenger Informations), regroupant les informations relatives à l’enregistrement des passagers provenant par exemple du passeport ou du billet d’avion, mais des données PNR (Passenger Name Record)[10] qui comprennent, elles, tout un ensemble d’informations telles que les autres noms mentionnés dans le dossier passager, toutes les coordonnées disponibles, toutes les informations relatives au paiement et à la facturation ainsi qu’aux bagages, toute information préalable sur les voyageurs collectée à des fins de réservation ou encore des remarques générales comme les données OSI (Other Supplementary Information), les données SSI (Special Service Information) et les données SSR (Special Service Request)[11].
La « première génération » d’accords PNR était ainsi clairement tournée vers le « primat de la sécurité » et ne comportait que très peu de garanties pour les droits fondamentaux[12]. Tel était le cas du premier accord PNR, qui avait été signé avec les États-Unis le 28 mai 2004[13] à la suite des attentats du 11 septembre 2001 et de l’adoption de la loi américaine du 19 novembre 2001 (Aviation and Transportation Security Act[14]), qui prévoyait l’obligation pour les compagnies aériennes de donner aux autorités américaines accès aux données PNR. C’est pourquoi le Parlement européen, par un recours en annulation (ex-article 230 TCE, article 263 TFUE), avait contesté la décision 2004/496/CE du Conseil du 17 mai 2004 concernant la conclusion d’un accord entre la Communauté européenne et les États-Unis d’Amérique sur le traitement et le transfert de données PNR devant la Cour de justice[15]. Si, dans cette affaire, le Parlement européen invoquait plusieurs moyens d’annulation dont celui tiré de la violation des droits fondamentaux, la Cour n’a toutefois répondu qu’au premier moyen tiré du choix erroné de la base juridique et avait arrêté là son contrôle. D’autres accords avaient ensuite été signés, celui avec le Canada qui était entré en vigueur le 24 mars 2006, et ceux signés avec les États-Unis le 23 juillet 2007[16] ainsi que l’Australie le 30 juin 2008[17].
Dans l’avis 1/15, la grande chambre relève elle-même la particularité de ces accords lorsqu’elle explique que « les caractéristiques inhérentes au régime relatif au transfert et au traitement des données PNR, prévu par l’accord envisagé, confirment le caractère réel des ingérences autorisées par cet accord »[18]. En effet, les données PNR, transférées avant le départ prévu du passager, sont ensuite destinées « à être analysées de manière systématique avant l’arrivée de l’aéronef au Canada par des moyens automatisés, fondés sur des modèles et des critères préétablis »[19]. Des vérifications supplémentaires sont aussi possibles dès lors qu’une personne est identifiée comme étant susceptible de présenter un risque pour la sécurité publique, vérifications qui peuvent déboucher sur des décisions individuelles contraignantes, bien qu’elles ne se fonderaient pas sur une appréciation individualisée du risque[20]. Dans ces conclusions, l’avocat général Paolo Mengozzi relevait de son côté que « l’ingérence de l’accord est d’une ampleur certaine et d’une gravité non négligeable » puisqu’il « concerne, de manière systématique, tous les passagers empruntant les voies aériennes entre le Canada et l’Union, c’est-à-dire plusieurs dizaines de millions de personnes par an » et prévoit « le transfert de quantités volumineuses de données à caractère personnel des passagers aériens, parmi lesquelles figurent des données sensibles (…) »[21]. Il allait plus loin en indiquant que « ces caractéristiques, apparemment inhérentes au régime PNR mis en place par l’accord envisagé, sont susceptibles de donner la fâcheuse impression que tous les voyageurs concernés sont transformés en suspects potentiels »[22].
À cet égard, l’entrée en vigueur du traité de Lisbonne le 1er décembre 2009, qui a permis de conférer à la Charte des droits fondamentaux la même valeur que les traités selon l’article 6 §1 TUE, n’a fait que renforcer les critiques à l’égard des accords PNR.
B. Des accords PNR largement décriés
Dès le départ, ces accords ont été largement décriés tant par le Parlement européen que par le Contrôleur européen de la protection des données (CEPD) ou encore le G29[23], en raison justement des nombreuses atteintes aux droits fondamentaux qu’ils comportent.
À partir de 2007, et à plusieurs reprises, le G29 a effectivement remis en cause la nécessité et la proportionnalité des transferts de données PNR vers des États tiers[24].
Le CEPD a lui aussi eu l’occasion de les remettre en question. Fin 2017, dans un avis sur la proposition de décision-cadre relative à l’utilisation des données des dossiers passagers, il relevait que « la lutte contre le terrorisme peut certainement constituer un motif légitime pour appliquer des exceptions aux droits fondamentaux à la vie privée et à la protection des données. Toutefois, pour être valable, la nécessité de l’ingérence doit s’appuyer sur des éléments clairs et indéniables, et la proportionnalité du traitement doit être démontrée. Cette exigence s’impose d’autant plus dans le cas d’une atteinte considérable à la vie privée des personnes concernées, comme celle que prévoit la proposition (…). On ne peut que constater que la proposition ne contient aucun élément justificatif de ce type et que les tests de nécessité et de proportionnalité ne sont pas rencontrés »[25]. Dans son avis du 30 septembre 2013 sur les propositions de décisions du Conseil relatives à la conclusion et à la signature de l’accord entre le Canada et l’Union européenne sur le transfert et le traitement de données des dossiers passagers, il exprimait à nouveau ses doutes quant à la nécessité et à la proportionnalité des systèmes PNR et des transferts massifs de données PNR vers des pays tiers[26].
Mais les critiques sont aussi venues du cadre institutionnel de l’Union européenne. Dans une résolution du 25 novembre 2009, le Parlement européen entendait ainsi « fai[re] part de son inquiétude devant la généralisation, à des fins de prévention ou de police, de la pratique du profilage qui s’appuie sur le recours à des techniques d’analyse par exploration des données et sur la collecte systématique des données de citoyens innocents » ; et il « rappel[ait] l’importance du principe selon lequel les actions répressives doivent respecter les droits de l’homme, depuis la présomption d’innocence jusqu’au droit à la vie privée et à la protection des données à caractère personnel (…) »[27]. Doutes réitérés par le Parlement européen en 2017 à l’occasion de la demande d’avis sur le projet d’accord entre le Canada et l’Union européenne[28]. Selon le Parlement, les données PNR concernées par le projet d’accord « prises dans leur ensemble, permettraient de tirer des conclusions très précises concernant la vie privée des personnes dont les données PNR sont traitées, telles que leurs lieux de séjour permanent ou temporaire, leurs déplacements et leurs activités. Cet accord comporterait donc des ingérences d’une vaste ampleur et d’une particulière gravité dans les droits fondamentaux garantis aux articles 7 et 8 de la Charte »[29].
En raison des questions suscitées par ces accords pour la protection des données personnelles et du peu de garanties prévues, la Commission avait alors adopté, le 21 septembre 2010, une démarche globale en matière de transfert des données PNR afin d’établir des critères généraux quant au respect des droits fondamentaux[30]. Le besoin d’un encadrement juridique plus précis de ces accords était donc bien présent, besoin que la grande chambre de la Cour de justice a comblé dans l’avis 1/15.
II. L’avis 1/15 de la CJUE : un rééquilibrage amorcé entre sécurité nationale et sécurité numérique
Le projet d’accord avec le gouvernement du Canada – qui entend faire suite à un premier accord initié en juillet 2005[31] – fut soumis à l’approbation du Parlement européen conformément à l’article 218 §6 TFUE, ce dernier ayant décidé, par une résolution en date du 25 novembre 2014[32], de saisir pour avis la Cour de justice en raison des doutes sur la compatibilité de l’accord avec les traités. Alors que cette demande d’avis constitue l’occasion inédite pour la CJUE de venir contrôler les accords PNR à l’aune des droits fondamentaux (A), le cadre juridique défini appelle tout de même quelques interrogations (B).
A. Un contrôle novateur des accords PNR à l’aune de la Charte des droits fondamentaux
Concluant à l’incompatibilité de l’accord avec la Charte, l’avis 1/15 a permis au juge d’appliquer sa jurisprudence relative aux données à caractère personnel aux accords PNR. Il a ainsi livré un guide précis de la conciliation qui doit être opérée entre la protection des données à caractère personnel et la lutte contre le terrorisme.
Le juge de l’Union reprend, dans cette optique, différentes garanties matérielles et procédurales qui avaient déjà été mises au jour antérieurement[33], notamment dans l’arrêt Tele2 Sverige[34], en s’inspirant de la jurisprudence de la Cour européenne des droits de l’homme[35]. Relevant que l’accord avec le Canada n’encadre pas suffisamment les atteintes portées aux droits fondamentaux[36], la Cour livre ici un véritable mode d’emploi[37] de la conciliation qui doit être opérée entre la lutte contre le terrorisme et la protection des données personnelles dans le cadre des accords PNR. À cet égard, la grande chambre mentionne les exigences de clarté et de précision requises quant à la portée et l’application de la mesure en cause, qui doit reposer sur des critères objectifs[38] ; elle réaffirme les droits reconnus aux passagers aériens (les droits d’accès aux données PNR, d’information quant à leur transfert ainsi que leur utilisation, de rectification et de recours lorsque les passagers considèrent que leurs droits ont été méconnus[39]) ; et elle confirme[40] la nécessité d’un « contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante »[41] afin de protéger les données concernées des risques d’abus.
Par ailleurs, la Cour reprend l’exigence d’un niveau de protection « substantiellement équivalent à celui garanti au sein de l’Union »[42], tel que défini dans l’arrêt Schrems[43], lorsque des données personnelles sont transférées depuis l’Union vers un État tiers. La Cour « ne paraît toutefois en tirer aucune conséquence quant à la détermination du standard de protection applicable », elle semble même aller plus loin en « fai[sant] totalement abstraction du caractère externe de l’affaire » et en exigeant le respect d’un « standard identique »[44] à celui garanti au sein de l’Union[45]. L’accord conférant à l’autorité canadienne compétente « un pouvoir discrétionnaire pour apprécier le niveau de protection garanti dans ces pays », la Cour considère ainsi que la communication des données PNR à d’autres autorités canadiennes ou à des autorités publiques d’autres pays tiers n’est pas limitée au strict nécessaire[46]. Ce dépassement des exigences posées dans l’arrêt Schrems, qui amène finalement la Cour à imposer au Canada le respect du droit à la protection des données à caractère personnel tel que garanti par la CDFUE[47], peut néanmoins s’expliquer par le cadre distinct de ces deux saisines. En effet, dans l’arrêt Schrems, la Cour de justice était interrogée, par une demande de décision préjudicielle, sur la validité de la décision de la Commission[48] reconnaissant que les États-Unis assurent un niveau de protection adéquat au sens de l’article 25 §1 de la directive 95/46[49], cette disposition interdisant les transferts de données à caractère personnel vers un pays tiers qui n’assure pas un tel niveau de protection[50]. Or, dans l’avis 1/15, la Cour de justice est saisie sur le fondement de l’article 218 §11 TFUE, ce qui lui permet de se prononcer directement sur la compatibilité de l’accord avec les traités, et donc avec la CDFUE[51].
Au-delà, la CJUE apporte des approfondissements à sa jurisprudence, en particulier quant à la protection des données sensibles[52]. Si ce type de données ne figure pas explicitement dans les catégories listées dans l’annexe de l’accord[53], celui-ci pourrait tout de même porter atteinte à leur protection. En effet, des données sensibles seraient susceptibles de relever de la rubrique 17 (intitulée « remarques générales ») et sont aussi visées aux articles 8 et 16 de l’accord. Ainsi, de telles données peuvent être contenues dans les services supplémentaires demandés par les passagers concernant leurs éventuels problèmes de santé, ou encore dans les souhaits alimentaires des passagers durant le vol, ces éléments pouvant par exemple révéler des informations relatives à leur état de santé ou encore à leurs convictions religieuses[54]. À ce sujet, l’avocat général notait d’ailleurs dans ses conclusions que l’utilisation de telles données est constitutive d’un « risque de stigmatisation d’un grand nombre d’individus, qui ne sont pourtant soupçonnés d’aucune infraction »[55]. En l’absence d’une « justification précise et particulièrement solide »[56], la Cour conclut par conséquent à une méconnaissance des droits garantis aux articles 7 et 8 de la Charte, lus en combinaison avec l’article 21 relatif à la non‑discrimination. Dans l’avis 1/15, la Cour n’invalide toutefois pas par principe le transfert de données sensibles : elle précise qu’un tel transfert ne peut être réalisé qu’en présence d’une « justification précise et particulièrement solide, tirée de motifs autres que la protection de la sécurité publique contre le terrorisme et la criminalité transnationale grave »[57]. Dans son avis rendu le 30 septembre 2013, le CEPD recommandait, lui, « d’exclure complètement le traitement de données sensibles »[58]. D’ailleurs, le système PNR adopté au sein de l’Union est plus restrictif en interdisant « la collecte et l’utilisation des données sensibles »[59].
Au regard de la généralité des termes employés par la Cour, la portée de l’avis 1/15 débordera d’ailleurs très probablement le seul accord PNR entre l’Union et le Canada et permettra de fixer le cadre juridique des futurs accords[60], notamment celui avec le Mexique[61] ou l’Argentine[62].
Bien que la Cour précise le cadre juridique applicable aux accords PNR à l’aune de la Charte des droits fondamentaux, celui-ci suscite toutefois quelques interrogations.
B. Un cadre juridique néanmoins perfectible
Si la Cour de justice a mis au jour un régime juridique pour ces accords, le cadre posé laisse néanmoins certaines zones d’ombre qu’elle sera certainement amenée à préciser.
En premier lieu, alors que le juge de l’Union vient admettre que le stockage continu des données PNR de l’ensemble des passagers aériens après leur départ du Canada n’est pas « limité au strict nécessaire »[63], il réserve cependant le cas des passagers qui présenteraient « un risque en termes de lutte contre le terrorisme et la criminalité transnationale grave », en considérant que dans cette hypothèse un tel stockage « paraît admissible au-delà de leur séjour au Canada »[64]. Bien que la Cour soumette cette possibilité à un « contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante »[65], il est possible de s’interroger sur l’étendue des garanties qui accompagneront ce possible allongement du stockage des données PNR, d’autant qu’il ressort de la jurisprudence que la Cour a parfois laissé la possibilité aux États membres d’utiliser certaines données récoltées, dont des données biométriques[66], pour une finalité autre que celle initialement définie[67].
En second lieu, si la réglementation européenne relative à la protection des données a permis un renforcement des exigences liées au consentement dans ce domaine[68], on peut s’étonner de l’absence totale de développements consacrés à la question du droit au consentement des passagers à la collecte des données les concernant, lorsque le juge de l’Union évoque les droits individuels qui leur sont reconnus. Les droits d’accès, d’information et de rectification[69] sont rappelés, mais rien n’est dit à propos du recueil du consentement des passagers au transfert de toutes leurs données aux autorités canadiennes et des possibles garanties qui pourraient (voire devraient) l’entourer. Le régime juridique organisé s’analyse, par conséquent, comme un régime essentiellement déterminé en aval de la collecte des données, par tout un ensemble de garanties encadrant le transfert des données à des États tiers. Il s’agit donc d’un régime peu explicite sur les droits des passagers en amont de ce transfert des données PNR. La collecte des données PNR ne reposant pas sur le consentement en raison de l’obligation faite aux transporteurs aériens de transmettre les catégories de données PNR listées par l’accord, il apparaît par conséquent que « les passagers ne peuvent s’opposer au transfert desdites données s’ils souhaitent se rendre par voie aérienne au Canada »[70].
Dans l’avis 1/15, la Cour valorise fortement la lutte contre le terrorisme en soulignant qu’elle constitue bien « un objectif général de l’Union susceptible de justifier des ingérences, mêmes graves, dans les droits fondamentaux »[71] garantis par les articles 7 et 8 de la Charte, en faisant également référence à l’article 6 de la Charte relatif au droit à la sûreté. Elle rappelle, en outre, que « les droits consacrés aux articles 7 et 8 de la Charte n’apparaissent pas comme étant des prérogatives absolues, mais doivent être pris en compte en considération par rapport à leur fonction dans la société »[72]. L’affaire Digital Rights Ireland[73] aurait néanmoins pu laisser penser que l’objectif général de lutte contre le terrorisme ne permettrait pas d’autoriser de telles ingérences, la Cour ayant alors considéré que « pour fondamental qu’il soit, [il] ne saurait à lui seul justifier qu’une réglementation nationale prévoyant la conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation soit considérée comme nécessaire aux fins de ladite lutte »[74]. Certes, si l’ingérence prévue par l’accord PNR est « moins vaste » et « moins intrusive » que celle en cause dans l’affaire Digital Right Ireland[75], il s’agit pourtant bien ici aussi de l’organisation d’une surveillance de masse[76].
[1] Le présent article est issu d’une communication prononcée lors du colloque intitulé « Quel Etat de droit dans une Europe en crise » qui s’est tenu à l’Université Lyon III Jean Moulin les 11 et 12 octobre 2018 sous la direction des professeurs M-L. Basilien-Gainche et E. Carpano. Les opinions exprimées dans cet article sont purement personnelles.
[2] L. Idot, « Vers une Union de la sécurité », Europe n° 11, novembre 2017, alerte 57.
[3] Directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l’utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière, JOUE L 119 du 4.5.2016, pp. 132–149.
[4] Décret n° 2014-1566 du 22 décembre 2014 portant création d’un service à compétence nationale dénommée « Unité Information Passagers » (UIP), JORF n° 0297 du 24 décembre 2014.
[5] Point 21 de l’avis 1/15 (CJUE, Grande Chambre, 26 juillet 2017, avis 1/15, projet d’accord entre le Canada et l’Union européenne sur le transfert et le traitement des données des dossiers passagers ; Europe n° 10, octobre 2017, comm. 345, D. Simon).
[6] Accord entre les États-Unis d’Amérique et l’Union européenne sur l’utilisation des données passagers (données PNR) et leur transfert au ministère américain de la sécurité intérieure, entré en vigueur le 1er juillet 2012 (JOUE 2012 L 185, p. 4). Cet accord a remplacé l’ancien accord qui était entré en vigueur le 26 juillet 2007 (JOUE 2007 L 204, p. 18).
[7] Accord entre l’Union européenne et l’Australie sur le traitement et le transfert des données des dossiers passagers (données PNR) par les transporteurs aériens au service australien des douanes et de la protection des frontières, entré en vigueur le 1er juin 2012 (JOUE 2012 L 186, p. 4).
[8] Voy. nos travaux : N. Le Bonniec, « L’avis 1/15 de la CJUE relatif à l’accord PNR entre le Canada et l’Union européenne : une délicate conciliation entre sécurité nationale et sécurité numérique », RTD eur., n° 3, 2018, pp. 617 et s.
[9] Le concept de « sécurité numérique » renvoie ici aux différents moyens permettant d’assurer la protection de « l’identité numérique », celle-ci étant entendue comme une identité « protéiforme » qui « peut se caractériser par la somme des différents éléments disséminés, à dessein ou non (…) » par les voies numériques et qui révèlent des informations personnelles sur un individu ou une entité (J. Giusti et A. Ndiaye, « L’identité numérique, monnaie d’aujourd’hui et rente de demain… » , Revue Lamy Droit de l’Immatériel, n° 140, 1er aout 2017). Or, les données PNR, « prises dans leur globalité, touchent à la sphère de la vie privée, voire intime, des personnes et se rapportent, de manière incontestable, à une ou à plusieurs « personne(s) physique(s) identifiées ou identifiables » » (Conclusions de l’avocat général M. P. Mengozzi sur l’avis 1/15 présentées le 8 septembre 2016, point 170). Elles font notamment l’objet, selon les termes de l’accord PNR en cause, d’une transmission aux autorités publiques canadiennes, mais aussi, possiblement, « à d’autres autorités publiques, y compris d’autres pays tiers », sans que les conséquences de ces transferts puissent être pleinement quantifiées en termes de risques pour les personnes concernées (voy. N. Le Bonniec, « L’avis 1/15 de la CJUE relatif à l’accord PNR entre le Canada et l’Union européenne : une délicate conciliation entre sécurité nationale et sécurité numérique », op. cit.).
[10] J. Auvret-Finck, « L’échange d’information dans les accords PNR conclus par l’Union européenne avec des Etats tiers » in C. Chevallier-Govers (dir.), L’échange des données dans l’espace de liberté, de sécurité et de justice de l’Union européenne, Mare & Martin, coll. Droit public, 2017, 560 p., p. 269.
[11] Voy. l’Annexe de l’avis 1/15, préc.
[12] J. Auvret-Finck, « L’échange d’information dans les accords PNR conclus par l’Union européenne avec des Etats tiers », op. cit. Voy. aussi S. Peyrou, « La protection des données personnelles face aux programmes PNR. Une illustration du difficile équilibre entre lutte contre le terrorisme et protection des droits fondamentaux » in Mélanges en l’honneur du Professeur Pierre Bon, Dalloz, 2014, p. 487 et P. Berthelet, « Tous les chemins mènent… à Luxembourg. Analyse institutionnelle de l’accord PNR UE-Canada », RDLF, 2018, chron n° 20.
[13] Décision 2004/496/CE du Conseil du 17 mai 2004 concernant la conclusion d’un accord entre la Communauté européenne et les États-Unis d’Amérique sur le traitement et le transfert de données PNR par des transporteurs aériens au bureau des douanes et de la protection des frontières du ministère américain de la sécurité intérieure, JOUE 2004 L 183, p. 83.
[14] Aviation and Transportation Security Act, Public Law 107-71, 19 novembre 2001.
[15] CJCE, Grande Chambre, 30 mai 2006, Parlement européen c/ Conseil de l’Union européenne, C-317/04, Rec. 4721.
[16] Décision 2007/551/PESC/JAI du Conseil du 23 juillet 2007 relative à la signature, au nom de l’Union européenne, d’un accord entre l’Union européenne et les États-Unis d’Amérique sur le traitement et le transfert de données des dossiers passagers (données PNR) par les transporteurs aériens au ministère américain de la sécurité intérieure (DHS) (accord PNR 2007), JOUE 2007 L 204, p. 16.
[17] Décision 2008/651/PESC/JAI du Conseil du 30 juin 2008 relative à la signature, au nom de l’Union européenne, d’un accord entre l’Union européenne et l’Australie sur le traitement et le transfert de données des dossiers passagers (données PNR) provenant de l’Union européenne par les transporteurs aériens au service des douanes australien, JOUE 2008 L 213, p. 47.
[18] Point 129 de l’avis 1/15, préc.
[19] Point 131 de l’avis 1/15, préc.
[20] Point 132 de l’avis 1/15, préc.
[21] Conclusions de l’avocat général M. P. Mengozzi sur l’avis 1/15 présentées le 8 septembre 2016, point 176.
[22] Ibid.
[23] Le G29 est un Groupe de travail et un organe consultatif européen indépendant qui a été institué par l’article 29 de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JOCE 1995 L 181, p. 31). Depuis l’entrée en vigueur du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), le G29 a été remplacé par le Comité européen de la protection des données.
[24] Avis 5/2007 concernant le nouvel accord entre l’Union européenne et les États-Unis d’Amérique sur le traitement et le transfert de données des dossiers passagers (données PNR) par les transporteurs aériens au ministère américain de la sécurité intérieure conclu en juillet 2007 (01646/07/EN, WP 138) et Avis 4/2003 sur le niveau de protection assuré aux États-Unis pour la transmission des données passagers (11070/03/EN, WP 78) ; Avis 7/2010 sur la communication de la Commission européenne relative à la démarche globale en matière de transfert des données des dossiers passagers (PNR) aux pays tiers (622/10/EN, WP 178) ; Avis 10/2011 du groupe de travail «Article 29» sur la proposition de directive du Parlement européen et du Conseil relative à l’utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière (00664/11/EN, WP 181) ; Avis 01/2014 du Groupe de travail « sur l’article 29 » sur l’application des notions de nécessité et de proportionnalité et la protection des données dans le secteur répressif du 27 février 2014 (536/14/FR, WP 211).
[25]CEPD, Avis du 20 décembre 2007 sur la proposition de décision-cadre du Conseil relative à l’utilisation des données des dossiers passagers (PNR) à des fins répressives, JO C 110 du 1.5.2008, p. 1–15 (points 117 et 118).
[26] Avis du CEPD du 30 septembre 2013 sur les propositions de décisions du Conseil relatives à la conclusion et à la signature de l’accord entre le Canada et l’Union européenne sur le transfert et le traitement de données des dossiers passagers, JOUE 2014 C 51, p. 12.
[27] Résolution du Parlement européen du 25 novembre 2009 sur la communication de la Commission au Parlement européen et au Conseil – un espace de liberté, de sécurité et de justice au service des citoyens – programme de Stockholm. V. S. Peyrou, « La protection des données personnelles face aux programmes PNR. Une illustration du difficile équilibre entre lutte contre le terrorisme et protection des droits fondamentaux », in Mélanges en l’honneur du Professeur Pierre Bon, Éd. Dalloz, 2014, pp. 496-497.
[28] Voy. les observations formulées par le Parlement européen dans sa demande d’avis aux points 35 à 43 de l’avis 1/15, préc.
[29] Ibid., point 36.
[30] Communication de la Commission du 21 septembre 2010 relative à la démarche globale en matière de transfert des données des dossiers passagers (PNR) aux pays tiers, COM(2010)492 final.
[31] Décision 2006/230/CE du Conseil du 18 juillet 2005 relative à la conclusion de l’accord entre la Communauté européenne et le gouvernement du Canada sur le traitement des données IPV/DP (JOUE 2006 L 82, p. 14). Voy. l’accord entre la Communauté européenne et le gouvernement du Canada sur le traitement des données relatives aux informations préalables sur les voyageurs et aux dossiers passagers qui est entré en vigueur le 22 mars 2006 (JOUE 2006 L 82, p. 15). L’accord de 2006 avait été conclu sur la base d’une série d’engagements de l’Agence des services frontaliers du Canada (ASFC), engagements qui ont expiré le 22 septembre 2009, ce qui a rendu nécessaire l’ouverture de négociations pour la conclusion d’un nouvel accord.
[32] Résolution du Parlement européen du 25 novembre 2014 sur la saisine pour avis de la Cour de justice sur la compatibilité avec les traités de l’accord entre le Canada et l’Union européenne sur le transfert et le traitement de données des dossiers passagers (2014/2966(RSP).
[33] Voy. CJUE, Grande Chambre, 8 avril 2014, Digital Rights Ireland Ltd, C-293/12 et C-594/12, points 47 et s., AJDA 2014. 773, ibid. 1147, chron. M. Aubert, E. Broussy et H. Cassagnabère, D. 2014. 1355, note C. Castet-Renard, RTD eur, 2015. 117, étude S. Peyrou, ibid. 168, obs. F. Benoît-Rohmer, ibid. 786, obs. M. Benlolo-Carabot.
[34] CJUE, Grande Chambre, 21 décembre 2016, Tele2 Sverige, C-203/15, AJDA 2016. 2466, ibid. 2017. 1106, chron. E. Broussy, H. Cassagnabère, C. Gänser et P. Bonneville, D. 2017. 8, Dalloz IP/IT 2017. 230, obs. D. Forest, Rev. UE 2017. 178, étude F.-X. Bréchot, Common Market Law Review, 2017, vol. 54, n° 5. 1467, obs. I. Cameron. Cet arrêt était relatif à un renvoi préjudiciel sur la question de l’étendue de la directive 2002/58/CE (Directive 2002/58/CE du Parlement et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications numériques, JOCE 2002 L 201, p. 3).
[35] Voy. Cour EDH, Grande Chambre, 4 décembre 2012, S. et Marper c/ Royaume-Uni, req. n° 30562/04, 30566/04, §104 ; GACEDH n° 42.
[36] Point 163 de l’avis 1/15, préc.
[37] M. Benlolo-Carabot, « Chronique Droit pénal de l’Union européenne – Protection des données personnelles, lutte contre le terrorisme : la CJUE confrontée à la surveillance de masse », RTD eur., 2017, p. 887.
[38] Point 141 de l’avis 1/15, préc.
[39] Points 218 à 231 de l’avis 1/15, préc.
[40] CJUE, Grande Chambre, 8 avril 2014, Digital Rights Ireland Ltd, préc., point 62 ; CJUE, Grande Chambre, 21 décembre 2016, Tele2 Sverige, préc., point 120.
[41] Point 202 de l’avis 1/15, préc.
[42] Point 214 de l’avis 1/15, préc.
[43] CJUE, Grande Chambre, 6 octobre 2015, Schrems, C-498/16, AJDA 2015. 2257, chron. E. Broussy, H. Cassagnabère et C. Gänser, D. 2016. 111, note B. Haftel, ibid. 88, C. Castets-Renard, ibid. 2025, obs. L. d’Avout et S. Bollée, AJ pénal 2015. 601, obs. E. Daoud, Dalloz IP/IT 2016. 26, étude C. Théard-Jallu, J.-M. Job et S. Mintz, RTD eur. 2015.
[44] R. Tinière, « L’influence croissante de la Charte des droits fondamentaux sur la politique extérieure de l’Union européenne », RDLF, 2018, chron. n° 02.
[45] Sur les difficultés d’articulation que cela pourrait poser, voy. E. Carpanelli et N. Lazzerini, « PNR : Passenger Name Record, Problems Not Resolved ? The EU PNR Conundrum After Opinion 1/15 of the CJEU », Air and Space Law, vol. 42, Issue 4/5, 2017, pp. 377-402.
[46] Points 212 à 215 de l’avis 1/15, préc.
[47] R. Tinière, « L’influence croissante de la Charte des droits fondamentaux sur la politique extérieure de l’Union européenne », op. cit.
[48] Voy. l’article 1er de la Décision 2000/520/CE de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la «sphère de sécurité» et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d’Amérique, JOCE L 215, 25.8.2000, pp. 7–47.
[49] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, préc.
[50] CJUE, Grande Chambre, 6 octobre 2015, Schrems, préc., points 68 et s.
[51] En ce sens, R. Tinière, « L’influence croissante de la Charte des droits fondamentaux sur la politique extérieure de l’Union européenne », op. cit.
[52] Dans l’accord avec le Canada, ces données sont désignées comme étant celles qui révèlent « l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale » ou qui se rapportent à « l’état de santé ou la vie sexuelle » (article 2, e)).
[53] Ces rubriques sont les suivantes : code repère des dossiers passagers (PNR), date de réservation/d’émission du billet, date(s) prévue(s) du voyage, nom(s), informations disponibles sur “les grands voyageurs” et les programmes de fidélisation, autres noms mentionnés dans le dossier passager (PNR), toutes les coordonnées disponibles, toutes les informations disponibles relatives au paiement/à la facturation, itinéraire de voyage pour le dossier passager (PNR) spécifique, agence de voyage/agent de voyage, informations sur le partage de codes, informations “PNR scindé/divisé”, statut du voyageur, informations sur l’établissement des billets, toutes les informations relatives aux bagages, informations relatives au siège, remarques générales, toute information préalable sur les voyageurs (IPV) collectée à des fins de réservation, l’historique de tous les changements apportés aux données PNR.
[54] Conclusions de l’avocat général M. P. Mengozzi, préc., point 169.
[55] Ibid., point 122.
[56] Point 167 de l’avis 1/15, préc.
[57] Point 165 de l’avis 1/15, préc.
[58] JOUE 2014 C 51, p. 12.
[59] Directive (UE) n° 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l’utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière, considérant 37 (JOUE 2016 L 119, p. 132).
[60] E. Carpanelli et N. Lazzerini, « PNR : Passenger Name Record, Problems Not Resolved ? The EU PNR Conundrum After Opinion 1/15 of the CJEU », op. cit ; V. Correia, Données personnelles – À propos de l’avis 1/15 relatif au projet d’accord entre le Canada et l’Union européenne sur le transfert des données des passagers aériens, Communication Commerce électronique, n° 6, juin 2018, étude 10 ; C. Docksey, « Opinion 1/15 : Privacy and security, finding the balance », Maastricht Journal of European and Comparative Law, vol. 24, n° 6, 2017, pp. 768-773, spéc. p. 771.
[61] Voy. la Recommandation de décision du Conseil du 13 mai 2015 autorisant l’ouverture des négociations en vue de la conclusion d’un accord entre l’Union européenne et le Mexique pour le transfert et l’utilisation des données des dossiers passagers (PNR) afin de prévenir et de combattre les autres formes graves de criminalité transnationale (COM (2015) 210 final).
[62] Voy. la note du Conseil de l’Union européenne, « Information by the Commission on the PNR legislation adopted by Mexico and the Republic of Argentina requesting the transfer of PNR data from the EU » du 5 mars 2015 (n° 6857/15).
[63] Point 206 de l’avis 1/15, préc.
[64] Point 207 de l’avis 1/15, préc.
[65] Ibid.
[66] Avec le règlement (UE) 2016/679 (préc.), les données biométriques font désormais partie des données qualifiées de sensibles selon son article 9.
[67] Les demandes de décision préjudicielle concernaient un refus opposé aux requérants au principal de leur délivrer un passeport et une carte d’identité, sans que soient concomitamment relevées leurs données biométriques. La Cour a ainsi considéré que « le règlement nº 2252/2004 n’oblige pas un État membre à garantir, dans sa législation, que les données biométriques ne seront ni utilisées ni conservées par cet État à des fins autres que celles visées à l’article 4, paragraphe 3, de ce règlement » (CJUE, 16 avril 2015, W. P. Millems e. a., C-446/12 et 449/12, point 48 ; AJDA. 2015, p. 1093, chron. E. Broussy, H. Cassagnabère et c/ Gänser), cette affaire étant toutefois antérieure à l’adoption du règlement (UE) 2016/679 (préc.). Voy. C. Maubernard, « La protection des données à caractère personnel en droit européen. De la vie privée à la vie privée numérique », Rev. UE, 2016, p. 406.
[68] Voy. le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (préc.) et notamment son article 4-11°, le consentement étant défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
[69] Points 218 à 220 de l’avis 1/15, préc.
[70] Conclusions de l’avocat général M. P. Mengozzi, préc. point 184.
[71] Point 149 de l’avis 1/15, préc. La Cour avait déjà qualifié la lutte contre le terrorisme d’objectif général de l’Union, voy. l’affaire CJUE, Grande Chambre, 3 septembre 2008, Yassin Abdullah Kadi et Al Barakaat International Foundation c/ Conseil de l’Union européenne et Commission des Communautés européennes (Kadi), C-402/05 P et C-415/05 P, point 363.
[72] Point 136 de l’avis. Cette formule est reprise de l’arrêt CJUE, Grande Chambre, 9 novembre 2010, Volker und Markus Schecke, C-92/09, point 48.
[73] CJUE, Grande Chambre, 8 avril 2014, Digital Rights Ireland Ltd, préc.
[74] Ibid., point 55.
[75] Conclusions de l’avocat général M. P. Mengozzi, préc., point 240.
[76] M. Benlolo-Carabot, « Chronique Droit pénal de l’Union européenne – Protection des données personnelles, lutte contre le terrorisme : la CJUE confrontée à la surveillance de masse », op. cit. Dans une affaire du 13 septembre 2018 concernant le Royaume-Uni, la Cour EDH a également eu l’occasion de considérer qu’un système d’interception massive des communications n’est pas en soi incompatible avec la Convention (Cour EDH, 13 septembre 2018, Big Brother Watch et autres c/ Royaume-Uni, req. n° 58170/13, 62322/14 et 24960/15). Cette affaire a néanmoins fait l’objet d’un renvoi devant la Grande Chambre de la Cour EDH.