Le 25 novembre 2014, par 383 voix pour, 271 voix contre, et 47 abstentions, les eurodéputés ont adopté une résolution demandant un avis de la Cour de justice de l’UE au sujet de l'accord entre l'UE et le Canada sur le transfert des données des dossiers passagers (PNR), afin qu’ils puissent voter en connaissance de cause sur cet accord.

La Cour de justice devra juger si cet accord PNR, signé par le Conseil des ministres de l'UE et le Canada le 25 juin 2014, est conforme aux traités et à la Charte des droits fondamentaux de l'Union européenne. C'est la première fois que le Parlement demande qu'un accord PNR soit vérifié au préalable par la Cour avant le vote final.

L’influence de l’arrêt de la CJUE du 4 avril 2014 et de l’avis du contrôleur européen de la protection des données de septembre 2013

Dans un communiqué de presse diffusé le jour de la signature de l’accord PNR avec le Canada, le Conseil de l’UE définissait les principaux éléments de cet accord comme les suivants :

– une limitation stricte des finalités, l'utilisation des données PNR étant limitée à la prévention et à la détection d'infractions terroristes ou de formes graves de criminalité transnationale, ainsi qu'aux enquêtes et poursuites en la matière;

– l'obligation juridiquement contraignante, pour les autorités canadiennes, d'informer les États membres et les autorités de l'UE de toutes les pistes susceptibles d'intéresser l'UE qui découleraient de l'analyse de ces données PNR;

– un régime solide de protection des données assorti d'exigences strictes en matière de sécurité et d'intégrité des données et d'un masquage immédiat des données sensibles (qui ne peuvent être utilisées que lorsque cela s'avère indispensable parce que la vie d'une personne est en danger ou qu'il existe un risque de blessure grave) ;

– des droits d'accès, de rectification et d'effacement, ainsi que la possibilité d'introduire un recours administratif ou judiciaire;

– une durée de stockage des données PNR limitée à cinq ans; après trente jours, le Canada est tenu de dépersonnaliser les données PNR par masquage des noms de tous les passagers et, après deux ans, il doit masquer tous les éléments des données PNR pouvant donner lieu à l'identification des passagers."

Néanmoins, deux éléments ont poussé le Parlement à demander les lumières de la CJUE.

Le premier est l’arrêt rendu le 4 avril 2014 par la Cour de justice de l’UE, qui a rendu non valide la directive de 2006 sur la rétention des données. La CJUE avait considéré comme disproportionnées la collecte et la conservation massives de données de citoyens qui ne sont suspectés d'aucun délit. La Cour avait souligné que la directive permettait l’accès aux autorités compétentes à des données qui, "prises dans leur ensemble, sont susceptibles de fournir des indications très précises sur la vie privée des personnes dont les données sont conservées, comme les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales et les milieux sociaux fréquentés".

Or, l’accord avec le Canada prévoit que les données PNR collectées par les transporteurs aériens contiennent divers types d'informations, allant des noms, adresses, numéros de passeport et de cartes de crédit à d'autres informations relatives aux passagers, tels leurs préférences alimentaires, leurs besoins médicaux, leurs itinéraires de voyage et l'agence de voyage à laquelle ils ont eu recours.

Le deuxième élément qui a poussé les eurodéputés à consulter la CJUE est un avis critique du contrôleur européen de la protection des données concernant la proportionnalité des systèmes PNR, le transfert massif de données et le choix de la base juridique pour l'accord.

Sophie in’t Veld (ADLE) : "Nous voulons une certitude juridique pour les citoyens de l'UE et les transporteurs aériens"

L’idée d’un recours à la CJUE a été présentée par le groupe ADLE. "Nous voulons une certitude juridique pour les citoyens de l'UE et les transporteurs aériens, non seulement vis-à-vis de l'accord PNR avec le Canada mais également comme référence pour les futurs accords avec d'autres pays, qui demandent la collecte massive de données personnelles de citoyens européens", a déclaré le rapporteur du Parlement, Sophie In't Veld (ADLE, NL) après le vote, selon des propos rapportés dans un communiqué de presse du Parlement européen.

"Il devrait être clair que tout accord, présent ou futur, doit être compatible avec les traités et les droits fondamentaux de l'UE, et ne doit pas être utilisé comme un moyen d'édulcorer les normes européennes relatives à la protection des données", a-t-elle ajouté. La Russie, le Mexique, la Corée et d'autres pays qui disposent de règles moins strictes en matière de protection des données collectent des informations sur les vols des passagers et pourraient vouloir négocier leurs propres accords sous peu.

En mai 2010, le Parlement européen avait décidé de reporter son vote sur la demande d'approbation des accords PNR existants avec les États-Unis et l'Australie, en demandant que de nouveaux accords soient négociés. La Commission européenne avait alors adopté le 21 septembre 2010 un paquet de propositions portant sur l'échange des données PNR avec les pays tiers, comprenant une stratégie extérieure de l'UE en matière de dossiers passagers et des recommandations relatives à des directives de négociation en vue de la conclusion de nouveaux accords PNR avec les États-Unis, l'Australie et le Canada. Les accords avec l'Australie et les États-Unis d'Amérique ont été signés en 2011. Le premier accord a été approuvé en octobre 2011 et est entré en vigueur le 1er juin 2012. Le second accord  a été adopté le 19 avril 2012 et est entré en vigueur entrés en vigueur le 1er juillet 2012.

Le vote final du Parlement est désormais ajourné, jusqu'à ce que la Cour ait rendu son avis. "Il n'y a pas lieu de s'alarmer. Le retard causé en demandant l'avis de la Cour ne se traduira pas par des lacunes en matière de sécurité", a ajouté Sophie in't Veld. Bien qu’un premier accord PNR avec le Canada, conclu en 2006, soit devenu caduc en 2009, les données ont continué à être transférées aux autorités canadiennes. "Le recours n'étant pas suspensif, ces transferts perdureront, si bien qu'il n'existera aucun 'vide sécuritaire'", a précisé d’ailleurs l’ADLE dans un communiqué de presse.

Les réactions des groupes politiques

Le groupe PPE soutenait au contraire l’approbation de l’accord PNR avec le Canada, qu’il qualifiait d’“outil utile pour lutter contre le terrorisme et le crime international”. L’eurodéputé Axel Voss a déclaré que les accords de ce type sont indispensables pour déjouer les actes terroristes. "De plus, nous avons besoin d’un cadre légal pour le transfert de données sans lequel les soucis des citoyens européens en termes de protection de données ne peuvent être pris en compte. Ainsi, si les autres groupes politiques ne reconnaissent pas les aspects de sécurité, ils devraient au moins reconnaître le besoin de protection des données", a-t-il ajouté.

Le PPE partage l’avis qu’il "n’y a jamais plus d’arguments plus pressants qu’aujourd’hui en faveur de ces accords PNR", alors que le nombre de djihadistes européens s’élève désormais à 3000 personnes. D’ailleurs, la lutte contre le départ et le retour de djihadistes européennes avait poussé le Conseil Justice du 9 octobre 2014 a demandé la relance des négociations de la directive PNR proposée en janvier 2011 par la Commission européenne mais rejetée par le Parlement européen le 24 avril 2013. Néanmoins, le 11 novembre 2014, la commission des Libertés civiles du Parlement européen est restée très divisée sur le sujet.

Pour le porte-parole du groupe Verts-ALE, Jan Philipp Albrecht, "les affirmations des cercles conservateurs selon lesquelles on voudrait avec cette proposition empêcher une lutte efficace contre le terrorisme, sont  innommables", dit-il dans un communiqué de presse. Dénonçant "une politique de l’idéologie à bon compte", l’eurodéputé vert évoque le cas de l’auteur d’attentats islamistes à Ottawa qui "démontre clairement que ce n’est pas un surplus de surveillance, mais une meilleure valorisation d’informations disponibles, qui  aiderait à lutter contre le terrorisme".

Par contre, "une rétention sans motif des données de tous les passagers n’est pas conciliable avec les droits fondamentaux de l’UE à la protection des données et au respect de la vie privée". Comme le pense aussi l’eurodéputé écologiste luxembourgeois, Claude Turmes, Jan Philip Albrecht estime que "si les juges luxembourgeois confirment les doutes sur l’accord avec le Canada, alors les accords déjà validés avec les USA et l’Australie seraient caduques".

Le groupe ADLE formule de sérieuses préoccupations juridiques en ce qui concerne la conformité de cet accord avec les Traités, la Charte européenne des droits fondamentaux, ainsi qu'avec certaines récentes décisions adoptées par la Cour européenne de justice:

La base juridique appropriée pour cet accord devrait être, "en tout cas principalement", l'article 16 TFUE sur la protection des données, dit son communiqué de presse. Or, « seule une référence générale, non contraignante, est inclue dans le préambule ». Ensuite, la Commission européenne n'a pas démontré la nécessité de la collecte massive et du stockage des données, "plutôt que des mesures moins intrusives telles que la collecte ciblée". La période de conservation de cinq ans semble être "aléatoire" et ne repose pas sur des preuves précises. "Ceci est en conflit avec les exigences juridiques de nécessité et de proportionnalité, ainsi qu'avec la jurisprudence pertinente". La liste des éléments des données PNR est disproportionnée et devrait être réduite. Enfin, l'accord ne précise pas "comment la loi canadienne fournira des moyens suffisants et efficaces pour l'introduction d'un recours judiciaire".

Le groupe GUE-NGL acquiesce également au report du vote par le Parlement européen. "Avec les questions de première importance entourant la légalité des systèmes PNR de l’UE, nous avons besoin d’une analyse légale de cet accord", a dit Cornelia Ernst, selon un communiqué.

Le groupe S&D est aussi favorable à ce contrôle. "Avant de valider ce nouvel accord PNR, nous aimerions nous assurer qu’il ne suivra pas le même chemin" que la directive sur la rétention des données, a déclaré sa porte-parole Birgit Sippel, selon une déclaration. Elle souligne que le flux de données va continuer malgré ce recours, et qu’il n’y a donc pas de risque pour les citoyens.