Tous les chemins mènent… à Luxembourg. Analyse institutionnelle de l’accord PNR UE-Canada
L’accord PNR UE-Canada est destiné à trouver un moyen terme entre deux impératifs inconciliables : d’un côté, la sécurité incarnée par les dispositifs de surveillance de masse, et de l’autre, la liberté et plus particulièrement la protection des données à caractère personnel. La Commission européenne et le Conseil de l’UE d’une part, et le Parlement européen d’autre part, ont eu l’occasion de confronter leurs points de vue quant aux garanties devant figurer dans l’accord. La dynamique institutionnelle se traduit par une évolution du rôle de la Cour qui n’apparaît pas seulement comme une instance chargée de veiller au respect des compétences. Celle-ci s’érige aussi en autorité gardienne de valeurs supérieures formulées par l’entremise des droits fondamentaux figurant la Charte, sans pour autant disqualifier tout dispositif de surveillance de masse.
Par Pierre Berthelet, Docteur en droit – Chercheur associé CESICE (UGA)
Le Passenger Name Record (PNR) est, depuis plusieurs années, un enjeu à la fois de préservation de la sécurité et de protection des libertés. Instauré dans le cadre de la lutte contre le terrorisme, il s’agit d’un outil permettant de collecter et d’échanger des données sur les passagers des vols en vue de détecter des terroristes potentiels et de retracer leurs itinéraires. De manière plus précise, il peut être défini comme un ensemble de pratiques consistant à agréger des données collectées par les compagnies aériennes, en vue de les croiser avec celles issues des systèmes d’information existant en matière de police et de renseignement, le but étant d’identifier une personne présentant un risque particulier 1.
L’accord international Union-Canada sur le transfert des données PNR, destiné à fournir une base légale à la communication des données sur les passagers aériens (ci-après l’accord PNR UE-Canada) s’inscrit précisément dans cette logique d’anticipation d’un terrorisme devenu de nature transnationale. Plus exactement, il est destiné à trouver un moyen terme entre deux impératifs inconciliables : d’un côté, la sécurité incarnée par la lutte contre la criminalité et la criminalité de grande ampleur, et notamment les dispositifs de surveillance de masse déployés dans ce cadre, et de l’autre, la liberté au titre de la préservation de la vie privée et plus particulièrement la protection des données à caractère personnel 2. L’insertion des garanties destinées à contrebalancer les dispositions ayant une finalité exclusivement sécuritaire est inhérente à la dynamique de la négociation institutionnelle destinée à encadrer les échanges d’informations dans un contexte de prolifération des systèmes d’information à l’échelle de l’Union 3. La Commission européenne et le Conseil de l’UE d’une part, et le Parlement européen d’autre part, ont eu l’occasion de confronter leurs points de vue quant à celles devant figurer dans l’accord.
L’accord PNR UE-Canada est, en outre, l’occasion de montrer l’importance de la Cour de justice dans la construction européenne, en premier lieu concernant des problématiques nouvelles qui se posent avec acuité, à savoir la place de la protection des données dans le cadre de la lutte antiterroriste. Il est donc possible de distinguer deux étapes. Au cours de la première, au regard de laquelle l’accord PNR UE-Canada s’inscrit en toile de fond d’une dissension institutionnelle qui s’exprime autour de l’accord PNR UE-États-Unis, la question de la protection des données est mise en évidence, sans que l’équilibre liberté-sécurité ne soit tranché par le juge (I). Lors de la deuxième étape, l’équilibre liberté-sécurité est défini par lui. Il reflète l’évolution sensible de son rôle. Si ce dernier s’était posé en instance apte à assurer l’équilibre institutionnel en tranchant les contentieux qui lui sont soumis, il s’est progressivement érigé comme autorité capable de préserver les droits fondamentaux, en particulier celui à la vie privée, en traçant les contours de celui-ci. Comme l’écrit Jean-Paul Jacqué, « au-delà des cas d’espèce, la Cour construit progressivement une vision de ce que peut être l’essence d’un droit, laquelle est intangible selon la Charte, ainsi qu’une sorte de hiérarchisation des droits fondamentaux en fonction des intérêts qu’ils protègent » 4. Quant à l’accord PNR UE-Canada, il participe à échafauder cette vision qui reste malgré tout subtile au sens où elle admet, sous réserve de certaines conditions, le principe de la surveillance de masse.
Il constitue donc l’acte sur la base duquel la Cour va mener son raisonnement visant à assurer cette protection, en sanctionnant les ingérences au droit au droit à la vie privée 5. Autrement dit, cet accord passe de l’ombre à la lumière au sens où c’est à partir de lui que sont définis un ensemble de standards applicables à tous les actes ayant trait aux dispositifs PNR (II).
I. L’accord PNR UE-Canada à l’ombre de l’accord UE-États-Unis
L’issue de l’accord PNR UE-Canada est intimement liée à celle de l’accord PNR UE-États-Unis (A). L’imbrication des enjeux relatifs à ces deux accords permet de comprendre l’existence d’un affrontement institutionnel entre la Commission européenne et le Conseil de l’UE d’un côté, et le Parlement européen de l’autre. Les premiers tendent à analyser la question PNR sous un prisme sécuritaire, et le second comme une problématique de préservation de la vie privée et de protection des données. Pour autant, la situation est complexe car s’il existe des désaccords entre le Parlement européen et les autres institutions, celui-ci est en proie à d’importantes dissensions internes (B). Or, ces dissensions vont l’amener à modérer ses revendications en matière de défense des droits fondamentaux, pavant ainsi la voie du chemin que la Cour empruntera pour élaborer sa jurisprudence concernant l’accord PNR UE-Canada.
A. De l’accord PNR UE-Canada à l’accord UE-États-Unis
Comprendre la signature de l’accord PNR UE-Canada implique de remonter à l’origine de la lutte antiterroriste entreprise à la suite des attentats du 11 septembre 2011. Les États-Unis ont négocié un accord avec le Canada d’une part, et l’Union d’autre part. Ces discussions triangulaires ont conduit l’Union à signer deux accords, l’un avec les États-Unis en 2004 et l’autre avec le Canada dix ans plus tard. Les oppositions institutionnelles vont se concentrer non pas autour sur l’accord PNR UE-Canada, mais autour de l’accord PNR UE-États-Unis.
Suite aux attentats du 11 septembre 2001 contre les tours du Word Trade Center à New York, le Président Bush a signé, le 26 octobre 2001, une législation anti-terroriste (« Patriot Act »). Dans la foulée, le Canada a adopté une législation antiterroriste entrée en vigueur le 24 décembre 2001. À côté de cela, le Président des États-Unis a signé le 25 novembre 2002 le US Aviation and Transportation Security Act rendant obligatoire le transfert des API (Advance Passenger Information) et PNR de tous les passagers arrivant sur le territoire des États-Unis par voie aérienne. Dans cette perspective, le président Georges Bush et le premier ministre canadien de l’époque, Jean Chrétien, se sont rencontrés quelques semaines auparavant, en septembre 2002, pour faire le point sur la mise en œuvre d’un plan d’action qui englobe une mesure ayant trait au transfert de données sur les passagers aériens. Dans cette optique, deux unités d’analyse conjointes ont été créées, l’une à l’aéroport de Vancouver et l’autre à celui de Miami. Peu après, le système PAXIS (Passenger Information system) est devenu opérationnel. Il s’agit d’un système créé à la suite de la loi antiterroriste du 18 décembre 2001 et permettant d’évaluer automatiquement le degré de risque de chaque passager au regard des données communiquées par les compagnies aériennes 6. Entré en vigueur le 8 octobre 2002, il vise à rassembler les données API. Ce dispositif, qui concerne tous les aéroports canadiens, préfigure la mise en place d’un programme de transfert automatique de données API/PNR entre le Canada et les États-Unis. Un tel système, déployé en 2003, est conditionné à l’adoption d’une législation autorisant l’Agence des services frontaliers du Canada (ASFC) à recueillir des données API et PNR de passagers désireux d’atterrir sur le sol du Canada. Le programme sur l’Information préalable sur les voyageurs/Dossier passager (IPV/DP), présenté dans la cadre du plan d’action douanes pour 2000-2004, et donc initié avant les attaques du 11 septembre 2001, se voit offrir par une base légale, à savoir un règlement de 2003 7. Des pénalités financières étant infligées à partir de 2005 aux compagnies aériennes ne transférant les données API/PNR, l’Union européenne et le Canada se sont engagés à négocier un accord destiné à définir le cadre juridique dans lequel sont transférées ces données.
Les compagnies aériennes, dont les passagers sont en partance pour le Canada, sont confrontées à un paradoxe : elles ont l’obligation de transférer à l’ASFC des données PNR issues de leurs systèmes de contrôle des réservations sous peine de sanction. En parallèle, elles doivent s’abstenir de communiquer de telles données au risque d’enfreindre les règles relatives à la vie privée telles qu’établies par l’Union. Il est remédié à cette injection paradoxale par la conclusion d’un accord entre l’Union et le Canada signé le 3 octobre 2005 (entré en vigueur le 22 mars 2006), visant à permettre à l’ASFC d’accéder, par voie électronique, aux données PNR provenant des systèmes de réservation se trouvant dans l’Union, ceci dans le respect des standards européens en matière de protection de la vie privée 8. Cet accord PNR UE-Canada provisoire, dans l’attente de la signature de l’accord définitif, trouve sa justification dans l’établissement de l’équilibre liberté-sécurité. Cependant, les modalités d’un tel équilibre sont en réalité celles issues de la négociation visant à concilier des points de vue différents sur les rapports entre la liberté et sécurité, entre d’un côté les autorités canadiennes, et de l’autre la Commission européenne et le Conseil de l’UE. Il existe à cet égard une ligne de fracture profonde au sujet de l’appréciation d’un tel équilibre entre les institutions de l’Union : pour la Commission européenne (autorité chargée de négocier l’accord) et le Conseil de l’UE (autorité chargée de signer et de le conclure), le positionnement trouvé est satisfaisant. Ce n’est pas le cas en revanche du Parlement européen.
Même s’il existe une divergence de vues considérable, l’accord PNR UE-Canada ne fait pas l’objet d’un contentieux institutionnel. Les oppositions institutionnelles vont se concentrer davantage autour l’accord PNR UE-États-Unis signé entre l’Union et les États-Unis le 17 mai 2004 (et qui préfigure l’accord PNR UE-Canada) 9. Les compagnies aériennes se sont retrouvées en effet dans la même situation avec la législation états-unienne qui, elle aussi, requiert le transfert des données passager sous peine d’amende. Plus exactement, cette cristallisation naît de la décision d’adéquation du 14 mai 2004 – c’est-à-dire la décision prise par la Commission européenne – considérant que le niveau de protection des données offert par le pays tiers, en l’occurrence les États-Unis, est suffisant pour autoriser le transfert 10. Le 31 mars 2004, les députés du Parlement ont adopté une résolution émettant des doutes quant à cette décision d’adéquation prise en vertu de la directive 95/96/CE 11 qui détermine les standards européens en matière de protection des données.
Le Conseil de l’UE, qui avait donné mandat à la Commission de négocier cet accord, a initié une procédure de consultation du Parlement européen le 25 mars 2004. Après avoir procédé successivement le 30 mars et 4 avril 2004 à cet examen, la commission des libertés et des droits des citoyens, de la justice et des affaires intérieures (LIBE) a adopté le projet de résolution législative, rejetant ainsi la conclusion de l’accord. Elle s’interroge sur le caractère attentatoire à la vie privée des mesures prévue par cet accord 12. Confronté à la Commission européenne et au Conseil de l’UE, le Parlement européen s’efforce de faire prévaloir sa propre vision quant à la violation de la décision d’adéquation par rapport au droit européen relatif à la protection des données 13. Afin d’y parvenir, il saisit la Cour de justice.
B. Des désaccords entre le Parlement européen et les autres institutions, aux dissensions internes
Le Parlement européen prend l’initiative de se tourner vers la Cour et ce, au moment où les juges européens disposent d’un texte de première importance, assurant le processus de constitutionnalisation du droit européen autour de la défense des libertés, en l’occurrence la Charte des droits fondamentaux de 2000. Le Parlement européen, qui espère que la juridiction de Luxembourg se rangera à ses arguments, saisit donc celle-ci. Quant au Conseil de l’UE, il justifie dès lors l’adoption de la décision par l’impératif de lever cette incertitude juridique. C’est ce qu’il fait le 17 mai 2004. Soutenu par le Contrôleur européen de la protection des données, le Parlement européen attaque la décision du Conseil de l’UE concernant la conclusion d’un accord PNR UE-États-Unis en lui demandant d’annuler la décision du Conseil de l’UE ainsi que la décision d’adéquation sur la base de laquelle elle repose.
La Cour de justice se retrouve dans une situation habituelle, à savoir trancher un contentieux institutionnel. C’est pour elle l’occasion de se prononcer sur la validité de cet accord à la lumière du droit relatif à la protection des données à caractère personnel (puisque le différend porte sur la comptabilité de l’accord – et de la décision d’adéquation – au regard de cette Charte, notamment ses dispositions sur la vie privée). Cependant, dans un arrêt court rendu le 30 mai 2006 14, les juges s’abstiennent de le faire en éludant la question. Ils consacrent leur analyse aux compétences et le raisonnement porte sur le choix pertinent de la base juridique. De prime abord, le Parlement européen obtient satisfaction, puisque les juges répondent favorablement à sa demande en annulant les deux textes ce 30 mai 2006. En revanche, la Cour de justice ne se prononce pas sur la légalité de l’accord au regard des droits fondamentaux. La stratégie du recours du Parlement européen devant la Cour se révèle donc un échec.
Un accord provisoire est conclu entre l’Union et les États-Unis le 19 octobre 2006, et un autre le 23 juillet 2007. Le Conseil de l’UE reprend à son compte le raisonnement et la solution de la Cour de justice, pour légitimer le bien-fondé de l’accord PNR : les décisions ont été annulées pour les questions de vice de procédure, et non au motif qu’elles violent le droit de la protection des données.
Pour ce qui est du Parlement européen, il adopte une attitude ambiguë liée à deux exigences distinctes : sa participation au processus institutionnel d’une part, et la défense des libertés d’autre part. Ces deux exigences étaient conciliables à l’heure où il se trouvait en position d’outsider dans le jeu institutionnel. Elles se retrouvent difficilement compatibles à l’heure où il gagne davantage de pouvoir dans le processus décisionnel.
Historiquement, le Parlement européen ne possède que peu de prérogatives dans le processus décisionnel sur les questions relatives au domaine de la « Justice et affaires intérieures « (JAI). Cette position le conduit à revendiquer davantage de pouvoir en s’opposant à un Conseil de l’UE tout puissant, en puisant ses arguments dans le registre de la protection du droit des citoyens : le Parlement européen se présente comme le « Robin des bois » défenseur des libertés, face à un Conseil de l’UE, « Sheriff de Nottingham », davantage préoccupé par les problématiques sécuritaires 15. Concrètement, dans les différentes résolutions adoptées, par exemple celle de novembre 2010 sur l’approche globale de transfert des données aux États-Unis, à l’Australie et au Canada, il exprime sa vigilance à l’égard de mécanismes favorisant la mise en place d’une surveillance généralisée, et il souligne l’importance de la proportionnalité comme principe clé dans tout dispositif à finalité sécuritaire, au regard du droit à la protection des données 16. Dans différentes résolutions adoptées en 2006 et en 2007, il dénonce le fait que la Cour de justice n’ait pas statué sur la légalité de l’accord au regard des droits de l’homme 17.
La réforme introduite par le traité de Lisbonne modifie la donne sur le plan institutionnel, puisque le Parlement européen est désormais associé au processus décisionnel. Il se trouve dès lors en position favorable pour faire accepter sa deuxième revendication, à savoir une meilleure prise en compte du respect de la vie privée 18. Or, l’adoption du nouvel accord sur le transfert des données PNR avec les États‑Unis ne lui permet pas de faire valoir pleinement cette deuxième revendication.
Concernant ce nouvel accord, en l’espèce l’accord définitif sur le transfert des données PNR avec les États‑Unis, les députés européens ont été amenés à se prononcer à son égard le 19 avril 2012 et ce, en vertu de la procédure figurant à l’art. 218 TFUE. Un tel accord, que le Conseil de l’UE a autorisé à négocier le 2 décembre 2010, a été signé par lui le 13 décembre 2011 19. Quant au Parlement européen, il a été consulté et ce, au regard de la nouvelle procédure relative aux accords internationaux. Or, cette consultation lui donne un poids important, puisque les traités lui confèrent le pouvoir de rejeter en bloc l’accord (art. 218§6 al. a, v). Par contrecoup, un tel pouvoir lui fait perdre cette position d’outsider, à partir de laquelle il s’opposait au Conseil de l’UE en bâtissant son argumentaire autour de la défense des libertés.
Certes, la protection des données demeure un enjeu pour le Parlement européen, mais celui-ci modère ses revendications pour parvenir finalement à accepter le nouvel accord. Afin d’éviter un conflit potentiel avec une institution capable désormais d’annihiler purement et simplement les efforts entrepris pour parvenir à cet accord définitif, et ce, sans avoir à recourir au juge, la Commission européenne et le Conseil de l’UE invoquent le fait que de nouvelles garanties ont été ajoutées. Un tel vote met un terme au conflit institutionnel autour de l’accord PNR UE-USA 20. Cet accord désormais permanent s’inscrit dès lors dans l’ensemble des dispositifs PNR existants, institués par les accords internationaux signés entre l’Union et d’autres pays partenaires, à savoir l’Australie, le 19 septembre 2011 (entré en vigueur le 1er juin 2012) et le Canada, le 25 juin 2014 (la décision d’adéquation du 6 décembre 2005 ayant expiré). Une telle position pragmatique du Parlement européen, préférant obtenir la conclusion d’un accord européen, accompagné de quelques avancées du point de vue de la protection des libertés 21, va se retrouver dans la directive PNR intracommunautaire 22, dernière pièce, et non des moindres, d’un puzzle des actes instituant les dispositifs PNR qui se multiplient et se combinent. L’accord PNR UE-Canada va se retrouver néanmoins à l’avant-scène puisqu’il va se servir de texte sur la base duquel la Cour de justice va établir sa jurisprudence concernant l’équilibre liberté-sécurité des dispositifs PNR.
II. Le droit du PNR à l’aune de l’accord PNR UE-Canada
Les multiples attentats des années 2015 et 2016 conduisent le Conseil européen et le Conseil de l’UE à un changement de ton : pour eux la sécurité est une priorité et les différents dispositifs PNR, un complément indispensable. La reconfiguration des rapports institutionnels s’opère a priori de manière favorable à la Commission et au Conseil qui, après être parvenu à obtenu à l’approbation par le Parlement européen de l’accord PNR UE-Canada, ont obtenu de lui un vote en faveur de la directive PNR intracommunautaire (A). Pour autant, l’adoption de ce texte n’est en aucun cas une capitulation. Une telle attitude modifie les rapports institutionnels, au sens où il appartient à la Cour de justice d’assumer ce rôle de protecteur des droits fondamentaux (B). La saisine du Parlement européen lui permet de se prononcer sur les atteintes à la vie privée posé par les dispositifs PNR. L’accord PNR UE-Canada est pour elle l’occasion d’affirmer son autorité en définissant les standards à respecter en matière de protection des données dans ce domaine.
A. Une reconfiguration des rapports institutionnels a priori favorable au Conseil et à la Commission
L’adoption de la directive PNR intracommunautaire donne lieu, de nouveau, à une confrontation institutionnelle. Le scénario de l’accord PNR UE-États-Unis semble en effet se rejouer : désormais en position de force (la réforme introduite par le traité de Lisbonne accroît le poids du Parlement européen en matière législative), ce dernier peut se concentrer sur l’une de ses deux exigences, à savoir la protection des libertés.
Pour comprendre la raison de ce choix, il importe de rappeler que, en parallèle aux accords internationaux conclus par l’Union, un système similaire est envisagé à l’échelle européenne, de manière à ce que les voyageurs d’un vol intracommunautaire fassent également l’objet d’une analyse de risques 23. Ce projet fait consensus entre la Commission européenne et les États membres. Celle-ci, favorable à l’idée de la transposition à l’Union du projet états-unien du projet de smart borders, a en effet suggéré d’étendre le système Passenger Name Record au territoire européen. Un autre argument vient compléter ceux existants, il s’agit de la nécessité d’une approche harmonisée des législations nationales relatives aux données PNR. La mise en place d’une approche commune à toute l’Union est mise en avant par la Commission à l’appui de sa proposition de directive. Or, ces arguments ne trouvent pas un écho favorable au Parlement européen, du moins au sein de la commission LIBE, une majorité de députés de cette commission bloquant la proposition de directive sur le transfert des données de passagers aériens 24.
Les attentats de Paris de janvier 2015 servent de point d’appui au Conseil de l’UE et à la Commission européenne pour surmonter l’opposition existant au sein de la commission LIBE. La Commission reprend l’argument figurant dans sa proposition de directive de 2011. Celle-ci s’inscrit dans le droit fil des conclusions du Conseil européen qui, lors du sommet extraordinaire sur la question de la lutte anti-terroriste du 12 février 2015, souligne l’importance de progresser dans le projet dit de « PNR européen ». Cette priorité, formulée à la suite des attentats de Paris de janvier 2015, est à nouveau rappelée après ceux du 13 novembre 2015 25. L’adoption de cette directive est un thème prioritaire. Citée en tête des mesures à prendre, elle est perçue par le Conseil de l’UE comme celle se trouvant au cœur de l’arsenal antiterroriste à mettre en place. Faisant pression sur les députés du Parlement européen, celui-ci parvient à surmonter les réticences existantes, puisqu’un accord politique est conclu entre les représentants de ces institutions en décembre 2015.
La position pragmatique du Parlement européen, rejetant la stratégie de l’opposition radicale au texte, pour préférer parvenir un arrangement avec le Conseil de l’UE, en échange de quelques avancées du point de vue de la protection des libertés, se retrouve dans la directive PNR intracommunautaire. L’acceptation, qualifiée « d’accord historique » par la présidence luxembourgeoise du Conseil de l’UE 26, a lieu suite au compromis passé en décembre 2015 entre le Conseil de l’UE et le Parlement européen sur le paquet « protection des données » 27.
Cette position pragmatique du Parlement européen, qui renonce à sa stratégie d’opposition systématique à l’adoption de la directive PNR au nom du respect de ses exigences en matière de liberté, ne doit pas être interprétée comme une forme de faiblesse. Au contraire, depuis de nombreuses années, celui-ci acquiert davantage de poids dans le processus décisionnel et une attitude de blocage persistant le discréditerait aux yeux du Conseil de l’UE. La modération de ses exigences est donc le revers du renforcement de sa position dans le jeu décisionnel. Plutôt que de courir le risque de s’isoler en se confrontant de manière permanente, le Parlement européen opte en faveur d’une stratégie identique à celle réalisée une décennie plus tôt, à savoir la saisine du juge.
B. Le rôle de protecteur des droits fondamentaux de la Cour de justice
Avant d’être conclu par le Conseil de l’UE, cet accord UE-Canada a fait l’objet d’une saisine par le Parlement européen qui, une fois de plus, s’en remet à la Cour de justice pour statuer sur les atteintes de cet accord au droit européen de la protection des données 28. Suite à l’affaire Snowden, les députés européens s’adressent en effet à la Cour de justice en vue de savoir si l’accord est conforme ou non avec le droit de l’Union.
Cette défiance vis-à-vis du PNR est en réalité partagée dans la communauté des juristes européens : ceux du Contrôleur européen de la protection des données (CEPD), ceux du G 29 et ceux de la Cour de justice. Le Groupe G 29, organe regroupant les commissions nationales chargées de la protection de la vie privée, ou encore le CEPD, se sont prononcés défavorablement. Selon ce dernier, « le PNR a peu d’utilité pratique, coûte très cher et ses délais très longs de mise en œuvre ne répondent pas aux besoins des forces de l’ordre dans une phase d’urgence » 29. Ainsi, le CEPD a écrit dans son avis sur l’accord UE-Canada : « à cette date, [il] n’est pas convaincu par les éléments démontrant la nécessité et la proportionnalité du traitement massif et quotidien des données concernant les passagers qui ne sont pas considérés par les services de police comme suspects » 30.
Il en est ainsi également parmi les juges de la Cour. Même si une telle défiance existait déjà, elle s’est considérablement renforcée après l’affaire Snowden. Une telle hostilité s’explique par la réticence de leur part à l’égard des atteintes à la vie privée. Plusieurs arrêts, notamment Digital Rights Ireland (C-293/12 & C-594/12, 8 avril 2014), Schrems (C-362/14, 6 octobre 2015) et Tele2 Sverige (C-203/15, 21 décembre 2016), ont permis à la Cour de justice de poser les bases d’un droit jurisprudentiel en matière de protection des données personnelles. En effet, l’entrée au sein de la société numérique s’est accompagnée de décisions juridictionnelles très protectrices des droits des individus 31.
Sans entrer dans les détails, il est possible de retenir que la Cour de justice a rendu, pour ce qui est de l’arrêt Schrems, une importante décision dans laquelle elle remet en cause la légalité de la décision de la Commission européenne déclarant que le niveau de protection des données des États-Unis était équivalent à celui qui existe au sein de l’Union 32. Exigeant le respect d’un tel niveau d’équivalence, les juges ont considéré que la Commission européenne, en prenant une telle décision, avait manifestement violé le droit européen de la protection des données.
Plusieurs raisons expliquent cette évolution. D’abord, celle-ci est due à un « changement de l’équilibre institutionnel du pouvoir » 33 dans le domaine JAI. Ce changement s’opère par l’entrée de nouveaux acteurs dans un processus décisionnel dominé initialement par le Conseil de l’UE 34. Il s’agit du Parlement européen et de la Cour de justice. Le traité de Lisbonne a, quant à lui, accéléré un tel changement. Il se traduit d’abord, par davantage de pouvoir en faveur du Parlement européen dans le processus décisionnel, ensuite par un rapprochement toujours plus fort entre la Commission européenne et le Conseil de l’UE, enfin par le renforcement des prérogatives de la Cour dans le contrôle de légalité des actes en matière JAI 35.
De surcroît, la Cour de justice peut faire usage de la jurisprudence de la Cour européenne des droits de l’homme. La Cour de Strasbourg a, en effet, tracé la voie d’un cadre juridique européen destiné à poser des limites à la surveillance 36. Il existe à cet égard une convergence de vue notable entre les deux juridictions : leurs jurisprudences respectives constituent « le revers et l’avers d’une même médaille, à savoir la condamnation d’une surveillance tous azimuts » 37.
Par ailleurs, la Cour de justice dispose d’une assise jurisprudentielle importante en matière de protection des données. Elle a déjà statué sur l’équilibre liberté-sécurité concernant la surveillance de masse dans l’arrêt Digital Rights Ireland de 2014. L’attitude est très différente de l’arrêt de 2006, puisqu’elle n’hésite pas à invalider purement et simplement un texte jugé portant atteinte au droit à la vie privée, en l’occurrence la directive relative à la rétention des données de communication électroniques.
Au vu de ces éléments, l’accord PNR UE-Canada constitue une nouvelle étape de ce contrôle mené au nom de la préservation des libertés. La Cour de justice s’aventure à présent sur le terrain de relations extérieures de l’Union pour faire respecter la Charte européenne des droits fondamentaux 38. Autrement dit, celle-ci devient un instrument soft power européen en matière de protection des droits fondamentaux, en particulier la vie privée 39.
Avec cette jurisprudence Digital Rights Ireland combinée avec les autres arrêts rendus en matière de protection de la vie privée, la Cour de justice est en mesure de déclarer que l’accord PNR UE-Canada signé par le Conseil et le Canada 25 juin 2014, – et sur la base duquel le Parlement européen avait été invité par la Conseil, un mois après, à approuver la proposition de décision relative à la conclusion de cet accord –, était incompatible avec la Charte des droits fondamentaux de l’Union européenne, en particulier pour ce qui est du droit à la protection des données à caractère personnel. Reprenant les arguments figurant dans l’arrêt Digital Rights Ireland, elle trace ainsi les limites de ce qu’elle considère comme incompatible au regard des standards européens en matière de vie privée 40.
L’appréhension de la légalité des dispositifs PNR comme un enjeu de la vie privée permet à la Cour de justice d’assurer un contrôle de légalité plus étroit. En ce sens, l’évolution observée correspond au mouvement général constaté dans les pays occidentaux, à savoir une constitutionnalisation de la politique (c’est-à-dire un mouvement d’immixtion du juge constitutionnel destiné à encadrer celle-ci). Or, ce mouvement est observé au niveau de l’Union, même si ce contrôle de légalité plus étroit n’induit pas pour autant l’énonciation d’un droit absolu à la vie privée, bien au contraire.
La Cour trace les limites de ce qu’elle considère comme une violation du droit à la vie privée. Si d’un côté, l’avis sur l’accord UE-Canada consacre la prééminence du discours sur la protection des données à caractère personnel, de l’autre, la solution rendue ne fait pas de la protection des données un droit de nature à invalider tout dispositif PNR, au contraire. Dans leur avis du 26 juillet 2017, les juges se livrent à un examen circonstancié de la portée des dispositions du texte au regard de la stricte nécessité de l’ingérence dans les droits fondamentaux et du principe de proportionnalité. Ils en déduisent qu’en soi, le dispositif PNR ne porte pas atteinte à la protection des données 41.
En reprenant les arguments développés par l’avocat général Mengozzi 42, favorables à la qualification du problème généré par cet accord comme une atteinte grave à la vie privée, l’arrêt peut apparaître de prime abord comme une « bombe sur les données PNR EU-Canada » 43, mais en réalité, l’appréciation de la Cour de justice est nuancée. À l’instar du Parlement européen, les juges entendent éviter une confrontation institutionnelle avec le Conseil de l’UE soutenu par la Commission européenne.
À l’inverse de la situation de 2006, les juges décident d’investir de plain-pied le champ des dispositifs PNR en balisant le terrain, c’est-à-dire en précisant les interdictions quant aux techniques à utiliser, ceci au nom de la préservation de la vie privée. L’avis rendu est en effet d’autant plus important que les juges s’appuient sur l’accord PNR UE-Canada pour élaborer un cadre général applicable à l’ensemble des différents mécanismes PNR intéressant l’Union. D’ailleurs, l’extrapolation de l’avis à l’accord PNR UE-USA rend ce dernier incompatible avec la préservation de la vie privée 44.
Un parallèle avec la jurisprudence Rosneft peut être réalisé au sens où la Cour, d’un côté, à travers le contrôle de légalité effectué, considère que, à l’image de la PESC, les actes relatifs à la surveillance de masse font partie intégrante de l’ordre juridique et qu’à ce titre, les principes horizontaux du droit, en particulier celui relatif au respect des droits fondamentaux, s’appliquent 45. De l’autre, le contrôle de légalité demeure limité dans la mesure où les juges européens laissent un certain pouvoir d’appréciation à l’auteur de l’acte 46. En effet, s’ils dressent un cadre destiné à enserrer le droit de la surveillance de masse, de l’autre, cet avis permet de relativiser la portée des droits fondamentaux tels affirmés par les articles 7 et 8 de la Charte 47.
Certes, un tel avis est important donc, mais en parallèle, il conforte l’approche sécuritaire du Conseil de l’UE et de la Commission européenne 48. D’abord, la lecture d’une communication subséquente révèle à ce propos que pour la Commission, l’avis émis par la Cour de justice ne remet pas en cause la directive PNR intracommunautaire dont les mécanismes de surveillance prévus n’excèdent pas les limites posées 49. Ayant interprété l’avis de la Cour de justice comme l’aval donné aux dispositifs PNR sous réserve de certaines conditions, elle noue des contacts avec les autorités canadiennes, en particulier en marge de la réunion des ministres de l’Intérieur du G7 des 19 et 20 octobre 2017 à Ischia 50. Une révision du texte est actuellement en cours, les autorités canadiennes ayant répondu favorablement à l’ouverture de nouvelles négociations. Quant au Conseil de l’UE, il a donné mandat à la Commission européenne en vue de cette ouverture.
En outre, la Commission européenne et le Conseil de l’UE prennent appui sur cette distinction entre nécessité et proportionnalité, pour poursuivre les négociations d’accord actuellement en suspens (l’Argentine, le Mexique et le Japon) 51, ces pays ayant adopté des législations permettant d’infliger des sanctions à toutes compagnies aériennes qui ne leur transmettant pas les données concernant les passagers transportés.
En somme, l’avis formulé par la Cour n’a pas brisé l’élan sécuritaire. Il l’a seulement canalisé en formulant un corpus de règles à ne pas enfreindre au nom du respect de la protection de vie privée et du refus de toute surveillance systématique des citoyens 52.
***
Du point de vue de l’analyse institutionnelle, l’accord PNR UE-Canada reflète une double évolution : d’une part, celle du Parlement européen qui, désireux de ne pas s’opposer frontalement au Conseil, s’en remet au juge, pour apprécier la validité des actes adoptés au regard des droits fondamentaux ; d’autre part, celle de la Cour qui n’apparaît pas seulement comme une instance chargée de veiller au respect des compétences, mais qui s’érige aussi en autorité gardienne de valeurs supérieures formulées par l’entremise des droits fondamentaux figurant dans la Charte. À cet égard, cet accord traduit l’ancrage du juge comme institution soucieuse de la préservation des libertés. Il s’inscrit dans le droit fil d’une jurisprudence toujours plus abondante sur les droits fondamentaux, dans le domaine JAI en particulier. Cette jurisprudence participe, au surplus, à densifier un droit européen de la protection des données 53.
En parallèle, si cette jurisprudence marque un tournant au sens où les juges se prononcent clairement sur un dispositif PNR – ce qu’ils n’avaient pas encore fait jusqu’alors – , leur solution nuancée incarne un certain réalisme de leur part. Rejetant toute forme de position dogmatique, la Cour encadre la dynamique sécuritaire sans s’y opposer véritablement. Elle constitue dès lors une institution qui ne récuse pas le principe du développement d’un droit européen de la sécurité, mai qui se cantonne seulement à contenir les excès. Elle confirme ainsi son rôle d’arbitre, chargé de veiller à l’équilibre entre la liberté et la sécurité de l’autre, en endiguant de tels excès.
Ce droit européen relatif à la sécurité devient en effet toujours plus substantiel, en témoignent les nombreux actes relatifs à l’interopérabilité des bases de données sécuritaires et migratoires de l’Union, qui soient en discussion, ou qu’ils soient déjà adoptés. Nul doute que la Cour sera amenée tôt ou tard à se prononcer prochainement sur la légalité de certaines mesures y ayant trait.
Notes:
- De Hert, P., Bellanova, R., Transatlantic cooperation on travelers’ data processing : From sorting countries to sorting individuals, Washington, Migration policy Institute, 2011, p. 2. ↩
- Doutriaux, C., « Cybersurveillance des citoyens et lutte contre le terrorisme », in Blandin-Obernesser, A. (dir.), Droits et souveraineté numérique en Europe, Bruxelles, Bruylant, coll. Rencontres européennes, 2016, p. 189-212. ↩
- Kauff-Gazin, F., « Les fichiers dans le cadre de la coopération policière européenne », in Plessix, B., Deffains, N. (dir.), Fichiers informatiques et sécurité publique, Nancy, Presses universitaires de Nancy, 2013 p. 240-241. ↩
- Jacqué, J.-P., « Protection des données personnelles, Internet et conflits de droits devant la Cour de justice », RTDE, avril-juin 2014, p. 283. ↩
- Cour de justice, avis du 26 juillet 2017, n° 1/15. ↩
- Hobbing, P., Tracing Terrorists: The EU-Canada Agreement in PNR Matters, Bruxelles, CEPS, Rapport spécial, 2008, p. 15-16. ↩
- Règlement sur les renseignements relatifs aux passagers (douanes), Gazette du Canada Partie I, Vol. 137, n° 5, 2003, p. 231. ↩
- Accord provisoire du 18 juillet 2005 entre la Communauté européenne et le gouvernement du Canada sur le traitement des données relatives aux informations préalables sur les voyageurs et aux dossiers passagers (J.O.U.E. L 82 du 21 mars 2006, p. 14). ↩
- Décision 2004/496/CE du Conseil du 17 mai 2004 concernant la conclusion d’un accord entre la Communauté européenne et les États-Unis d’Amérique sur le traitement et le transfert de données PNR par des transporteurs aériens au bureau des douanes et de la protection des frontières du ministère américain de la sécurité intérieure (J.O.U.E. L 183, 20.5.2004, p. 83). ↩
- Perez Asinari, M. V., Poullet, Y., « Données des voyageurs aériens : le débat Europe – États-Unis », Journal des tribunaux de droit européen, n° 113, 2004, p. 271. ↩
- Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (J.O.U.E. L 281, 23.11.1995, p. 31). ↩
- Parlement européen, rapport du 7 avril 2004 sur la proposition de décision du Conseil concernant la conclusion d’un accord entre la Communauté européenne et les États-Unis d’Amérique sur le traitement et le transfert de données PNR par des transporteurs aériens au bureau des douanes et de la protection des frontières du ministère américain de la sécurité intérieure (COM(2004) 190 – C5‑0162/2004 – 2004/0064(CNS)) (A5-0271/2004). ↩
- Labouz, M.-F., « La renégociation des accords entre l’Union européenne et les États-Unis sur le transfert et le traitement des données personnelles numériques : le transport aérien des passagers (PNR) et la messagerie financière (SWIFT) », The European Union Review, vol. 16, n° 1, 2011, p. 49. ↩
- CJCE, gde ch., 30 mai 2006, Parlement européen contre Conseil de l’Union européenne et Commission des Communautés européennes, aff. jtes C-317 et 318/04. ↩
- De Capitani, « The evolving role of the European Parliament in the AFSJ », in Monar, J. (dir.), The institutional Dimension of the European Union‘s area of freedom, security and justice, Bruxelles, Zürich, PIE-Peter Lang, coll. College of Europe Studies, n° 11, 2010, p. 135. ↩
- Labouz, M.-F., « La renégociation des accords entre l’Union européenne », op. cit., p. 53. ↩
- Par exemple : Parlement européen, 2007, Résolution du Parlement européen du 14 février 2007 sur SWIFT, l’accord PNR et le dialogue transatlantique sur ces questions (P6_TA(2007)0039). ↩
- Labouz, M.-F., , « La renégociation des accords entre l’Union européenne », op. cit., p. 68. ↩
- Conseil de l’UE, 2011, doc. n° 17434/11, JAI 862, USA 85, RELEX 1234, DATAPROTECT 139. ↩
- Labouz, M.-F., « Le nouvel accord sur les données de passagers aériens (PNR) entre l’Union européenne et les États-Unis », in Saulnier-Cassia, E. (dir.), La lutte contre le terrorisme dans le droit et la jurisprudence de l’Union européenne, Paris, LDGJ, 2014, p. p. 265-275. ↩
- Peyrou, S., « La protection des données personnelles face aux programmes PNR. Une illustration du difficile équilibre entre lutte contre le terrorisme et protection des droits fondamentaux », in Collectif, Long cours. Mélanges Pierre Bon, Paris, Dalloz, 2014, p. 487-507. ↩
- Directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l’utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière (J.O.U.E. L 119, 4.5.2016, p. 132). ↩
- McKenzie, A., « The external dimension of European homeland security », in Kaunert, C., Léonard, S., Pawlak, P. (dir.), European homeland strategy. A European strategy in the making ?, New York, Routledge, coll. Contemporary security studies, 2012, p. 104. ↩
- Parlement européen, rapport du 29 avril 2013 sur la proposition de directive du Parlement européen et du Conseil relative à l’utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière (A7-0150/2013). ↩
- Conseil de l’UE, conclusions du Conseil de l’UE et des États membres, réunis au sein du Conseil, sur la lutte contre le terrorisme, doc. du Conseil du 20 novembre 2015, n° 14406/15, p. 2. ↩
- Présidence du Conseil, « Paquet ‘protection des données’ : un accord historique », communiqué de presse de la présidence du 15 décembre 2015 ↩
- En l’occurrence le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (J.O.U.E. L 119, 4.5.2016, p. 1) et la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (J.O.U.E. L 119, 4.5.2016, p. 89). ↩
- Parlement européen, résolution du 25 novembre 2014 sur la saisine pour avis de la Cour de justice sur la compatibilité avec les traités de l’accord entre le Canada et l’Union européenne sur le transfert et le traitement de données des dossiers passagers (2014/2966(RSP)) (J.O.U.E. C 289 du 9.8.2016, p. 2). ↩
- Propos repris dans Coulisses de Bruxelles, 2015, « PNR: un fichier des voyageurs aériens inutile », 21 décembre 2015 ↩
- CEPD, « Opinion of the European Data Protection Supervisor on the Proposals for Council Decisions on the conclusion and the signature of the Agreement between Canada and the European Union on the transfer and processing of Passenger Name Record data », 30 septembre 2013, considérant 3. ↩
- Maubernard, C., « La protection des données à caractère personnel en droit européen. De la vie privée à la vie privée numérique », Revue de l’Union européenne, n° 600, 2016, p. 406-407. ↩
- Voir commentaires de Tinière,R. in Picod, F. (dir.), Jurisprudence de la CJUE 2015 – Décisions et commentaires, Bruylant, 2016, p. 135 s. ↩
- Monar, J., « The institutional Framework of the AFSJ. Specific Challenges And dynamics of change », in Monar, J. (dir.), The institutional Dimension of the European Union’s area of freedom, security and justice, Bruxelles, Zürich, PIE-Peter Lang, coll. College of Europe Studies, n° 11, 2010, p. 38. ↩
- Monar, J., « Justice and home affairs : The treaty of Maastricht as a decisive intergovernmental gate opener », European Integration Review, vol. 34, n° 7, 2012, p. 730-731. ↩
- Peers, S., « Mission accomplished? EU justice and home affairs law after the treaty of Lisbon », Common Market Law Review, vol. 48, 2011, p. 692. ↩
- Bellanova, R., De Hert, P., « Protection des données personnelles et mesures de sécurité : vers une perspective transatlantique », Culture et conflits, vol. 74, 2009, p. 14-15 ; « Le cas S. et Marper et les données personnelles : l’horloge de la stigmatisation stoppée par un arrêt européen », in Fichage et listing, quelles incidences pour les individus ?, Paris, L’Harmattan/Cultures et Conflits, vol. 76, n° 4, 2009, p. 101-113. ↩
- Foegle, J.-P., « L’État de surveillance au régime sec : la CJUE renforce la prohibition de la surveillance « de masse » », La Revue des droits de l’homme, Actualités Droits-Libertés, 8 février 2017, p. 5. ↩
- R. Tinière, « L’influence croissante de la Charte des droits fondamentaux sur la politique extérieure de l’Union européenne », RDLF 2018, chron. n°02. ↩
- S. Peyrou, « Le futur accord États-Unis – Union européenne relatif aux données à caractère personnel dans le cadre de la lutte contre le terrorisme : avancées décisives et soft power européen », RUEDELSJ, 28 juin 2014. ↩
- Voir §232 de l’avis. ↩
- §153 de l’avis. ↩
- Conclusions de l’avocat général M. Paolo Mengozzi présentées le 8 septembre 2016, avis 1/15, (demande d’avis présentée par le Parlement européen). ↩
- Castet-Renard, C., « Bombe sur les données PNR EU-Canada : avis 1/15 Conclusions de l’avocat général CJUE », 9 septembre 2016. ↩
- Vedaschi, A., Graziani, G., « PNR Agreements between Fundamental Rights and National Security: Opinion 1/15 », EU Law Blog, 28 janvier, 2018. ↩
- Van Elsuwege, P., « Judicial Review of the EU’s Common Foreign and Security Policy: Lessons from the Rosneft case », VerfBlog, 6 avril 2017. ↩
- Juret, J., « L’arrêt Rosneft (C-72/15) : vers une normalisation ou une complexification du contrôle juridictionnel de la Politique étrangère et de sécurité commune ? », Case Notes, Collège d’Europe, 7 décembre 2017, p. 15. ↩
- Peyrou, S., « Accord PNR UE-Canada : validation par la CJUE du système PNR, des modalités à revoir ! (réflexions sur l’avis 1/15 de la CJUE, 26 juillet 2017) », RUEDELSJ, 28 juilet 2017. ↩
- Par exemple, Commission européenne, Onzième rapport sur les progrès accomplis dans la mise en place d’une union de la sécurité réelle et effective (COM(2017) 608). ↩
- Commission européenne, Douzième rapport sur les progrès accomplis dans la mise en place d’une union de la sécurité réelle et effective (COM(2017)779). ↩
- Commission européenne, recommandation de décision du Conseil autorisant l’ouverture de négociations en vue d’un accord entre l’Union européenne et le Canada aux fins du transfert et de l’utilisation de données des dossiers passagers (PNR) afin de prévenir et de combattre le terrorisme et d’autres formes graves de criminalité transnationale (COM(2017)605). ↩
- Conseil de l’UE, « Information by the Commission on the PNR legislation adopted by Mexico and the Republic of Argentina requesting the transfer of PNR data from the EU », doc. du 5 mars 2015, n° 6857/15. ↩
- La décision de la CEDH tend à s’inscrire dans une perspective similaire d’inflexion d’une jurisprudence en matière de surveillance de masse. Voir Cour EDH, 13 septembre 2018, Big Brother Watch et autres c. Royaume-Uni, Req. n° 58170/13, 62322/14 et 24960/15 (commentaires de Christakis, T., « A fragmentation of EU/ECHR law on mass surveillance: initial thoughts on the big brother watch judgment », 20 septembre 2018; Peyrou, S., « Big Brother Watch et autres c. Royaume-Uni, Cour EDH, 13 septembre 2018 : validation du principe de la surveillance de masse mais encadrement étroit de ses modalités », RUEDELSJ, 2 octobre 2018. ↩
- Voir à ce sujet Castets-Renard, C. (dir.), Quelle protection des données personnelles en Europe ?, Bruxelles, Bruylant, coll. Droit de l’Union européenne, 2015, et notamment Blandin-Obernesser, A., « L’agencement des instruments juridiques européens de protection des données personnelles », op. cit., p. 53-63. ↩