Le 27 mars 2012, la commission des Libertés civiles (LIBE) du Parlement européen s’est prononcée en faveur de l’accord dit PNR, qui porte sur l’échange de données concernant les passagers aériens, négocié avec les Etats-Unis par la Commission européenne au nom de l’UE en 2011. Le vote au sein de cette commission a toutefois révélé les vives oppositions affichées par certains eurodéputés et groupes parlementaires à l’égard de cet accord pour le moins controversé.
Le groupe des Verts compte parmi les détracteurs de cet accord, et il a fait appel aux services de deux experts pour analyser de façon détaillée le texte négocié. Cette étude, confiée à Franziska Boehm, chercheuse du SnT à l’Université de Luxembourg, et à Gerrit Hornung, professeur à l’Université de Passau, a été présentée au Parlement européen le 14 mars dernier, avec l’espoir, qui s’est avéré vain, de convaincre les eurodéputés de voter contre l’accord afin qu’il soit retoqué dès son passage en commission parlementaire. A cette date, l’espoir des opposants à cet accord demeure toutefois que le Parlement européen se prononce, lors de la session plénière du 19 avril, contre ce texte.
Cette étude prend le soin de comparer les trois accords PNR négociés, celui de 2004, qui avait été annulé par la Cour européenne de Justice en 2006, celui de 2007, qui était un accord intérimaire appliqué encore aujourd’hui, ainsi que la proposition de 2011. Une analyse qui est menée notamment à la lumière des exigences formulées par le Parlement européen dans sa résolution du 5 mai 2010, au moment où le Parlement a refusé de prolonger l'accord de 2007 et a demandé à la Commission de négocier un texte plus strict en termes de protection des données et des droits fondamentaux. Mais les deux chercheurs ont aussi confronté l’accord PNR avec la proposition de la Commission mise sur la table fin janvier 2012 en matière de protection des données. La question principale soulevée par les deux chercheurs est celle de la compatibilité de cet accord avec le droit européen, et notamment les droits fondamentaux.
Et leurs conclusions sont sans appel : le projet d’accord PNR de 2011 n’apporte que très peu d’améliorations par rapport aux accords de 2004 et 2007, et, du point de vue des standards de la protection des données, il est même, sur certains points, en-deçà des accords précédents.
Il ressort de la comparaison des trois accords que les motifs pour lesquels les données PNR peuvent être utilisées ont été considérablement élargis. Ainsi, relèvent les auteurs de l’étude, selon l’article 4 de l’accord actuellement sur la table, les données PNR peuvent être utilisées pour des motifs autres que ceux liés à des actes liés au terrorisme, par exemple pour le contrôle aux frontières, pour un usage sur ordre d’un tribunal, ou d’autres violations de la loi. Cette extension des motifs n’est pas en ligne avec les demandes formulées par le Parlement européen dans sa résolution du 5 mai 2010, observent Franziska Boehm et Gerrit Hornung. Le Parlement européen indiquait en effet que l’objectif devait "être clairement et strictement limité à la lutte contre le terrorisme et les formes graves de criminalité transnationale, sur la base de définitions juridiques claires".
De même, la période de conservation des données a été augmentée de façon continue au fil des accords, notent les chercheurs, au point que l’accord actuellement en discussion aboutit à une abolition de toute limite dans le temps, ce qui implique selon eux un risque de "repersonnalisation" des données après "l’anonymisation" prévue après 15 ans. Or, soulignent les auteurs de l’étude, cette période de conservation indéfinie, notamment pour des données concernant des personnes ne faisant l’objet d’aucune suspicion et auxquelles personne n’a jamais accédé, n’est pas en ligne avec les standards européens en matière de protection des données. Les auteurs s’inquiètent dans ce contexte de l’usage de termes flous, comme "anonymisation", "masquage" (masking out) ou "dépersonnalisation".
Malgré certaines mesures de sauvegarde, comme par exemple l’obligation d’information, contenues dans l’accord de 2011, le transfert ultérieur de données n’est pas précisément spécifié et n’est même pas lié directement aux motifs, pourtant très larges, mentionnés dans l’article 4. Même si la finalité d’un transfert est liée au motif général de l’accord de 2011, les justifications qui pourraient être invoquées pourraient être plus larges que celles des accords précédents dans la mesure où le champ d’application a été élargi dans l’article 4, avancent les auteurs de l’étude.
Les clauses portant sur le réexamen et la surveillance ont clairement été améliorées dans le nouveau projet d’accord, reconnaissent les chercheurs. Mais ils soulignent aussi qu’elles ont été considérablement affaiblies du fait qu’il n’y a aucune autorité réellement indépendante et aucune surveillance obligatoire en dehors de celle du Department of Homeland Security, le DHS. Cela n’est pas en ligne avec les standards européens en matière de protection des données, jugent les deux chercheurs.
Depuis 2004, il n’y a aucun changement ni aucune réduction des catégories de données transférées aux Etats-Unis, indiquent Franziska Boehm et Gerrit Hornung, qui soulignent que la protection des données sensibles, qui avait déjà été affaiblie dans l’accord de 2007, l’est encore plus dans le projet de 2011.
Bien que les clauses portant sur les droits des personnes sur leurs données ainsi que celles concernant les droits de recours soient plus détaillées que dans les accords précédents, les deux chercheurs doutent que le nouvel accord offre quelque nouveau droit que ce soit aux citoyens de l’UE. Ils se réfèrent notamment à l’article 21, qui établit que l’accord ne confère aucun nouveau droit aux individus. Dans les autres dispositions de l’accord, il n’est fait référence qu’aux lois américaines qui devraient s’appliquer en matière de droit des personnes sur les données les concernant. Or, le droit américain n’assure pas un niveau adéquat de protection des données, affirment-ils.
L’accord n’est pas compatible avec les standards de protection des données contenus dans la directive proposée fin janvier par la Commission européenne, concluent enfin les auteurs de l’étude. A leurs yeux, les standards de base en matière de protection des données ne sont pas respectés. Les dispositions concernant le large champ de motifs qui peuvent être invoqués, la période très longue de conservation, l’indépendance de la surveillance et les droits des individus sur les données les concernant (accès, correction, rectification, compensation) sont loin d’être comparables avec ce que prescrit la Commission en matière de protection des données.