Selon l'avocat général Paolo Mengozzi, l'accord PNR entre l'Union européenne et le Canada, encadrant le transfert des données des dossiers passagers, ne peut pas être conclu sous sa forme actuelle. En effet, dans ses conclusionspubliées le 8 septembre 2016, l'avocat général estime que plusieurs dispositions du projet sont contraires aux droits fondamentaux de l'Union.

"Il est (…) nécessaire que, au moment où les technologies modernes permettent aux autorités publiques, au nom de la lutte contre le terrorisme et la criminalité transnationale grave, de développer des méthodes extrêmement sophistiquées de surveillance de la vie privée des individus et d'analyse de leurs données à caractère personnel, la Cour s'assure que les mesures projetées, fussent-elles sous la forme d'accords internationaux envisagés, reflètent une pondération équilibrée entre le souci légitime de préserver la sécurité publique et celui, non moins fondamental, à ce que toute personne puisse jouir d'un niveau élevé de protection de sa vie privée et de ses propres données", considère l'avocat général, par des propos reproduits dans le communiqué de presse de la CJUE.

Une première pour la CJUE

Cet accord, dont le projet fut pour la première fois évoqué par la Commission européenne en septembre 2010, et qui fut conclu en 2014 (LIEN), vise à permettre le transfert de 19 données PNR aux autorités canadiennes en vue de leur utilisation, de leur conservation, pour une durée de cinq années, et, le cas échéant, de leur transfert ultérieur, dans le but de lutter contre le terrorisme et les formes graves de criminalité transnationale. Le projet d'accord prévoit également des exigences en matière de sécurité et d'intégrité des données PNR, un masquage immédiat des données sensibles, des droits d'accès aux données, de rectification et d'effacement, ainsi que la possibilité d'introduire des recours administratifs ou judiciaires.

C'est la première fois que la Cour doit se prononcer sur la compatibilité d'un projet d'accord international avec la Charte des droits fondamentaux de l'UE. C'est le Parlement, qui, le 25 novembre 2014, par l'adoption d'une résolution, par 383 voix pour, 271 voix contre, et 47 abstentions,  a décidé de demander un avis de la Cour de justice de l'UE pour pouvoir se prononcer en toute connaissance de cause. En cas d'avis négatif de la Cour, l'accord envisagé ne pourrait entrer en vigueur, sauf modification de celui-ci ou révision des traités.

Des dispositions contraires à la charte des droits fondamentaux

Le Parlement européen voulait notamment savoir si l'accord était conforme au droit de l'Union garantissant le respect de la vie privée et familiale ainsi que la protection des données à caractère personnel et donc. Il se demandait si l'ingérence dans le droit fondamental à la protection des données est justifiée.

L'avocat général considère que certaines dispositions de l'accord envisagé sont, en leur état actuel, contraires à la charte des droits fondamentaux de l'UE. Il cite les dispositions qui :

• permettent, au-delà de ce qui est strictement nécessaire, d'élargir les possibilités de traitement de données PNR, indépendamment de la finalité de sécurité publique poursuivie par l'accord, à savoir la prévention et la détection des infractions terroristes et des formes graves de criminalité transnationale ;

• prévoient le traitement, l'utilisation et la conservation par le Canada de données PNR contenant des données sensibles ;

• accordent au Canada, au-delà de ce qui est strictement nécessaire, le droit de divulguer toute information, sans que ne soit requis un lien quelconque avec la finalité de sécurité publique poursuivie par l'accord ;

• autorisent le Canada à conserver des données PNR pour une période maximale de cinq ans pour, notamment, toute action, vérification, enquête ou procédure juridictionnelle, sans que ne soit requis un lien quelconque avec la finalité de sécurité publique poursuivie par l'accord ;

• admettent que le transfert de données PNR à une autorité publique étrangère puisse être réalisé sans que l'autorité canadienne compétente, sous le contrôle d'une autorité indépendante, se soit préalablement assurée que l'autorité étrangère en question ne puisse pas elle-même ultérieurement communiquer les données à une autre entité étrangère.

Des dispositions à améliorer

L'avocat général Paolo Mengozzi émet également une série de conditions auxquelles l'accord envisagé pourrait être compatible avec la charte des droits fondamentaux de l'UE (notamment le droit au respect de la vie privée et familiale et le droit à la protection des données à caractère personnel). Il faudrait pour cela que :

• les catégories de données PNR des passagers aériens soient libellées de manière claire et précise et que les données sensibles doivent être exclues du champ d'application de l'accord.

• les infractions relevant de la définition des formes graves de criminalité transnationale soient énumérées de manière exhaustive dans l'accord ;

• l'accord identifie de manière suffisamment claire et précise l'autorité chargée du traitement des données PNR, de manière à assurer la protection et la sécurité de ces données ;

• le nombre de personnes "ciblées" puisse être délimité dans une large mesure et de manière non discriminatoire de sorte qu'il ne concerne que les personnes sur lesquelles pèse "un soupçon raisonnable de participation à une infraction terroriste ou de criminalité transnationale grave" ;

• l'accord spécifie que seuls les fonctionnaires de l'autorité canadienne compétente sont habilités à accéder aux données PNR et prévoit des critères objectifs permettant d'en préciser le nombre ;

• l'accord indique les raisons objectives justifiant la nécessité de conserver toutes les données PNR des passagers pour une période maximale de cinq ans, étant entendu que, dans le cas où les données PNR devraient être conservées pendant cinq ans, celles permettant d'identifier directement un passager aérien doivent être dépersonnalisées par masquage ;

• une autorité indépendante ou une juridiction du Canada soit habilitée à contrôler, au préalable, si l'autorité canadienne compétente peut, au cas par cas, divulguer les données PNR à d'autres autorités publiques canadiennes ou étrangères (dans le cas où les données portent sur un citoyen de l'Union, une information préalable doit également être envoyée aux autorités compétentes de l'État membre concerné et/ou à la Commission) ;

• l'accord garantisse, de manière systématique, par une règle claire et précise, qu'une autorité indépendante puisse contrôler le respect de la vie privée et de la protection des données à caractère personnel des passagers dont les données PNR sont traitées ;

• l'accord précise clairement que les demandes d'accès, de rectification et d'annotation effectuées par des passagers non présents sur le territoire canadien puissent être portées devant une autorité publique indépendante.

La CJUE fait savoir que l'avocat général parvient à ces conclusions notamment sur la base des enseignements issus de l'arrêt rendu par la CJUE le 8 avril 2014, annulant la directive sur la conservation des données, et l'arrêt Schrems du 6 octobre 2015, par lequel la CJUE avait invalidé la "décision d'adéquation" du 26 juillet 2000 appliquant l'accord dit "Safe Harbour" ("sphère de sécurité"), qui encadrait jusque-là ces transferts "commerciaux" de données entre l'UE et les Etats-Unis.

A noter que le Parlement a également soulevé une question de procédure, destinée à savoir si l'accord PNR avec le Canada doit se fonder juridiquement sur les articles 82 et 87 TFUE, desquels ressort la coopération judiciaire en matière pénale et coopération policière, ou bien sur l'article 16 TFUE (concernant pour sa part la protection des données à caractère personnel). Alors que le Parlement européen privilégiait ce seul dernier article 16, l'avocat général répond que l'accord, puisqu'il poursuit "deux objectifs indissociables et d'importance égale", doit être conclu à la fois sur la base des articles 16 et 87 TFUE. Ces deux articles prévoient tous deux que le Parlement et le Conseil statuent conformément à la procédure législative ordinaire.

Une directive sur la sellette

"Après les décisions sur le PNR 2006, le cas Schrems et la conservation des données, c'est la énième démonstration que le processus législatif bâclé est contre-productif. Les mesures de sécurité doivent être légalement fondées et valables en justice", a aussitôt réagi la rapporteur de l'accord pour le Parlement, l'eurodéputée ADLE, Sophie in't Veld. Cette dernière demande une décision rapide de la Cour puis elle pourrait avoir d'importantes répercussions sur les autres règles et accords sur l'utilisation généralisée des données personnelles", dit-elle encore par ailleurs.

La directive sur l'utilisation des données des passagers aériens, adopté le 14 avril 2016 par le Parlement européen, pourrait être remise en cause. C'est aussi l'avis de l'eurodéputé Verts-ALE, Jan Philip Albrecht, très présent sur les dossiers concernant la protection des données. "Si les juges suivent les conclusions de l'avocat générale, la directive européenne ainsi que sa transposition dans les Etats membres, tout comme les accords déjà adoptés avec les USA et l'Australie sont illégales. La Commission doit enfin s'éloigner du stockage sans motif et miser sur des mesures de sécurité et d'enquête transfrontalières basées sur les risques et les soupçons".

Interrogé par l'agence de presse dpa, le député PPE, Axel Voss, a fait part de sa déception. "L'engouement pour la protection des données est malheureusement tellement exagéré que la protection de la vie des individus et la sécurité générale restent à la traîne". Si la CJUE pose des conditions excessives, "alors soit le transport aérien devra à l'avenir être arrêté ou alors la récolte des données devra être faite manuellement."