Le 17 novembre 2011, la Commission, mandatée par le Conseil pour ce faire en décembre 2010, a paraphé un accord avec les Etats-Unis portant sur le transfert des données des passagers, les fameuses données PNR. Le Conseil réuni en formation JAI a donné son aval à cet accord en décembre 2011, appelant le Parlement européen à faire de même.
Au Parlement européen, c’est la commission Libertés civiles, justice et affaires intérieures (LIBE), dont est membre l'eurodéputé luxembourgeois Frnak Engel (PPE), qui est en charge du dossier. Alors que le vote de l’ensemble du Parlement européen sur cet accord est prévu pour le mois d’avril prochain, les eurodéputés de cette commission se sont prononcés sur le sujet le 27 mars 2012. L'accord dit PNR (passenger name record) a ainsi été approuvé en commission par 31 voix contre 23 et une abstention.
Cet accord sur le transfert de données des passagers aériens européens aux autorités américaines fixe les conditions juridiques pour le transfert de ces données et couvre des questions telles que la durée de conservation, la finalité de leur utilisation, les garanties de protection des données, et le recours administratif et judiciaire. L'accord vise à remplacer un autre accord qui s'applique provisoirement depuis 2007.
Les données des dossiers passagers (PNR) sont recueillies par les transporteurs aériens au cours des procédures de réservation et d'enregistrement, et incluent notamment le nom, l'adresse, les données relatives à la carte de crédit et le numéro de siège du passager. Conformément au droit américain, les compagnies aériennes sont contraintes d'envoyer ces données personnelles au ministère américain de la sécurité intérieure avant le départ des passagers. Cette règle s'applique aux vols à destination et en provenance des États-Unis.
Les groupes PPE et ECR ont voté en faveur de l'accord. Lors d'un débat en février dernier, un certain nombre de députés avaient déclaré qu'il valait mieux avoir un accord, même s'il n'était pas entièrement satisfaisant, plutôt que pas d'accord du tout. Les groupes ADLE, Verts/ALE et GUE/NGL ont voté contre, car ils considèrent que les garanties de protection des données prévues dans l'accord ne satisfont pas les normes européennes. Les députés du groupe S&D étaient partagés.
L'eurodéputé luxembourgeois Frank Engel, qui est membre de la commission LIBE, s'est toutefois opposé à ce texte, contrairement à son groupe parlementaire, le PPE. Il s'en est expliqué auprès d'Europaforum.lu en soulignant que cet accord "ne remplit pas les conditions que le Parlement avait établies lors de résolutions antérieures, notamment en ce qui concerne les principes de réciprocité, de proportionnalité et de nécessité".
"Si d'aucuns se félicitent de moindres améliorations (par rapport aux accords négociés en 2004 ou 2007 - le premier annulé par la CJUE, le second n'ayant pas obtenu l'aval du Parlement européen), force est de constater que de nombreuses zones d'ombre subsistent, en particulier au regard de la cohérence du droit européen", argue Frank Engel. L'eurodéputé luxembourgeois, qui établit un lien entre ce dossier et les récentes propositions de la Commission européenne en matière de protection des données, s'inquiète aussi des nombreux problèmes qui se poseront dans les années à venir en la matière. "De surcroît, les dispositions de cet accord remettent en cause les acquis obtenus lors de négociations précédentes avec l'Australie ou le Canada", souligne Frank Engel.
Au delà des difficultés d'application et de cohérence du corpus juridique européen, c'est bien le fond de l'accord qui pose problème aux yeux de Frank Engel qui cite les nombreux problèmes qu'il identifie : "Les délais de rétention des données personnelles sont trop étendus, les définitions, telles que "dépersonnalisation des données", "données masqués", "données anonymisées", restent floues et susceptibles d'interprétations contradictoires. La liste des différentes données personnelles est très largement disproportionnée. De même, la définition des crimes répréhensibles d'une peine d'emprisonnement d'une durée de trois ans est assujettie à des graves imprécisions, ouvrant la brèche à de nombreuses exceptions (Art.4 Par.2-4), non définies, et qui par conséquent pourraient élargir la récupération de données personnelles, non seulement pour la lutte contre le terrorisme, objet premier de cet accord, mais également à des fins touchant à l'immigration ou la politique frontalière. En outre, cet accord ne garantit d'aucune manière un recours judiciaire adéquat pour les citoyens européens devant les autorités américaines."
"Cet accord ne peut satisfaire entièrement les conditions minimales prescrites par le droit européen, et en particulier les pré-conditions énoncées par le Parlement européen lui permettant d'avaliser l'accord PNR avec les Etats-Unis", conclut Frank Engel.
"Les résultats du vote montrent visiblement les fortes réserves à l'égard de l'accord", a souligné le rapporteur Sophia in 't Veld (ADLE) à l’issue du vote. Sophia In't Veld avait recommandé à ses pairs de rejeter cet accord sans réussir à les convaincre. Elle mettait en cause le fait que les Américains pourraient utiliser les données PNR pour d'autres motifs que la détection des infractions terroristes et des formes graves de criminalité transnationale, comme l'immigration illégale par exemple.
Mais elle a aussi souligné la menace des États-Unis de répondre à un rejet de cet accord par la suspension des exemptions de visa pour voyager aux États-Unis. "De nombreux collègues - naturellement - n'ont pas voulu faire ce sacrifice", a expliqué l’eurodéputée néerlandaise. Si le Parlement européen rejette l'accord, "il n'y a aucune marge de manœuvre pour renégocier avec les Etats-Unis", a récemment mis en garde la commissaire en charge du dossier, Cecilia Malmström : "C'est ça ou rien".
"En votant un accord qui contrarie les lois de l'UE, et ne répond pas aux critères minimaux fixés par le Parlement lui-même, le Parlement européen perd sa crédibilité et déçoit ses propres citoyens", a déploré Sophia In't Veld à l'issue du vote. Elle trouve en effet "très regrettable que les droits fondamentaux des citoyens européens aient été marchandés sous la pression".
Selon le nouvel accord, les données PNR seraient conservées par les autorités américaines dans une base de données active pour une période pouvant aller jusqu'à 5 ans. Après les 6 premiers mois, toutes les informations qui pourraient servir à identifier le passager, seraient "dépersonnalisées", ce qui signifie que des données telles que le nom du passager et ses coordonnées seraient masquées.
Après les 5 premières années, les données seraient transférées vers une "base de données passive" pendant 10 ans au maximum. Cette base ne serait accessible aux responsables américains qu’à des conditions très strictes. Ensuite, selon l'accord, les données seraient totalement "dépersonnalisées" en effaçant toute information qui pourrait servir à identifier le passager. Les données liées à un cas spécifique seraient conservées dans une base de données PNR active jusqu'à ce que l'enquête soit archivée.
Les données PNR seraient utilisées en vue de prévenir, de détecter, d'enquêter et de poursuivre des actes terroristes et des crimes transnationaux graves. Les crimes transnationaux sont définis comme des crimes punissables par trois ans d'emprisonnement ou plus selon la loi américaine. Les données PNR peuvent également être utilisées au cas par cas lorsqu'il y a une sérieuse menace ou lorsqu'un tribunal américain l'exige. L'accord négocié par la Commission en 2011 stipule que les données PNR pourraient également servir "à identifier les personnes qui feraient l'objet d'un interrogatoire ou d'un examen plus approfondis".
Les données sensibles telles que celles révélant l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses, la santé physique ou mentale, ou l'orientation sexuelle d'un passager, pourraient être utilisées dans des circonstances exceptionnelles lorsque la vie d'une personne est en danger. Ces données sont le plus généralement liées au choix d'un menu répondant à des exigences religieuses ou aux demandes d'assistance pour des raisons médicales. Leur accès serait fourni au cas par cas uniquement, et elles seraient effacées, de manière permanente, 30 jours après leur réception, à moins qu'elles ne soient utilisées dans une enquête spécifique.
Dans un délai de deux ans après l'entrée en vigueur de l'accord, toutes les compagnies aériennes devraient transférer les données PNR au ministère américain de la sécurité intérieure en appliquant la méthode "push", en d'autres termes les transporteurs envoient eux-mêmes les données. Toutefois, dans certains cas, si une compagnie aérienne ne peut, pour des raisons techniques, envoyer les données à temps, les autorités américaines pourront exiger l'accès au système de données du transporteur (méthode "pull").
Afin d'éviter la perte accidentelle ou la communication non autorisée des données PNR, ces dernières seraient conservées dans un environnement sécurisé, et protégées par des mécanismes de protection physique contre les intrusions. Si leurs données étaient utilisées de manière abusive, les citoyens européens auraient droit à un recours administratif et judiciaire aux États-Unis. Ils auraient également le droit d'avoir accès à leurs propres données PNR et de demander la rectification des données au ministère américain de la sécurité intérieure si les informations sont inexactes.
L'accord sera soumis aux voix lors d'un vote en plénière, le 19 avril 2012. Si le Parlement donne son consentement, le Conseil adoptera une décision concluant l'accord, qui entrerait alors en vigueur pour une période de 7 ans. S'il est approuvé, le nouvel accord remplacera l'accord actuel, qui s'applique de manière provisoire depuis 2007.
Si le Parlement dans son ensemble rejette l'accord PNR de 2011, l'accord de 2007 continuera de s'appliquer de manière provisoire (il expire en juillet 2014). En mai 2010, le Parlement avait repoussé son vote sur l'accord de 2007 et appelé la Commission à négocier un nouveau texte. Par conséquent, si l'accord de 2011 en venait à être rejeté, le Parlement devrait peut-être se prononcer également sur l'accord de 2007.