La messe est dite ! Le très attendu avis 1/15 de la Cour de Justice de l’Union européenne relatif à l’accord PNR UE-Canada conclut enfin la très longue polémique suscitée par les accords PNR et la directive éponyme 2016/681 de l’UE du 27 avril 2016.
Après plusieurs arrêts historiques mettant au premier plan le droit fondamental à la protection des données (arrêts Digital Rights Ireland Ltd, C-293/12 & C-594/12, 8 avril 2014 et Schrems, C-362/14, 6 octobre 2015), la Cour de Justice, dans un contexte européen marqué par le terrorisme, a choisi la voie du juste milieu et valide ainsi le très controversé système PNR dans son principe – ce qui n’allait pas de soi – tout en censurant un certain nombre de ses modalités de mise en œuvre. C’est ainsi une décision équilibrée qu’elle rend aujourd’hui, dans la logique des conclusions de l’Avocat général Mengozzi (conclusions du 8 septembre 2016, commentées ici-même). Dans la mesure où l’articulation de l’argumentation de la Cour ainsi que son contenu sont pour l’essentiel le reflet de ces conclusions, nous nous arrêterons ici sur quelques réflexions spécifiques sans souci d’exhaustivité, à savoir la validation du système PNR (I) et son encadrement par le juge (II).
1. La validation du système PNR
Comme déjà noté ici à propos des conclusions de l’avocat général Mengozzi, tant certaines franges politiques du Parlement européen que le Contrôleur européen de la protection des données (CEPD) ou le G29 (Organe européen composé de représentants des autorités nationales chargées de la protection des données) ont remis en question depuis des années l’existence même du PNR, à cause de la surveillance de masse qu’il semble organiser par définition. Il permet en effet aux autorités compétentes de recueillir et de traiter les données des dossiers des passagers aériens, à des fins de lutte contre le terrorisme et la criminalité grave, et ce dans une démarche proactive visant à détecter des profils à risque parmi les millions de passagers au moyen d’algorithmes élaborés, faisant ainsi de tous les voyageurs des « suspects potentiels », comme le notait l’Avocat général (§ 176 des conclusions).
L’arrêt Digital Rights Ireland pouvait laisser espérer une invalidation du système PNR, de par la condamnation que la Cour y prononce de tout stockage de données de masse, et ce de façon indifférenciée, condamnation réitérée dans son arrêt Schrems ou encore dans l’arrêt Tele2 Sverige (C-203/15, 21 juillet 2016, commenté ici).
L’Avocat général avait estimé dans ses conclusions que « la nature des données PNR faisant l’objet de l’accord envisagé ne permet pas de tirer des conclusions précises sur le contenu essentiel de la vie privée des personnes concernées » (§ 186 de l’avis). Une telle position était alors à rebours de l’arrêt Digital Rights Ireland, où la CJUE avait invalidé la directive 2006/24/CE relative à la rétention des données de communication électroniques, dans la mesure où la quantité et la qualité des données (métadonnées de communication) recueillies et traitées permettaient de dresser une « cartographie aussi fidèle qu’exhaustive (…) des comportements d’une personne relevant strictement de sa vie privée, voire d’un portrait complet et précis de son identité privée », comme le notait l’avocat général Cruz Villalón dans ses conclusions. Dans son avis 1/15, le juge apparaît moins radical que l’Avocat général qui soulignait ainsi que « l’ingérence que comporte l’accord envisagé est moins vaste que celle prévue par la directive 2006/24 tout en étant également moins intrusive dans la vie quotidienne de chaque personne » (§ 240 conclusions). La Cour en effet, dans un considérant chef-d’œuvre d’équilibre et de subtilité, note que «même si certaines des données PNR, prises isolément, ne paraissent pas pouvoir révéler des informations importantes sur la vie privée des personnes concernées, il n’en demeure pas moins que, prises ensemble, lesdites données peuvent, entre autres, révéler un itinéraire de voyage complet, des habitudes de voyage, des relations existant entre deux ou plusieurs personnes ainsi que des informations sur la situation financière des passagers aériens, leurs habitudes alimentaires ou leur état de santé, et pourraient même fournir des informations sensibles sur ces passagers, telles que définies à l’article 2, sous e), de l’accord envisagé » (§ 128 de l’arrêt).
De plus, la Cour constate que l’ensemble des données des voyageurs aériens ainsi collectées sont traitées dans le cadre d’un mode proactif, qu’elle semble entériner (§ 131 : « les données PNR transférées sont, sur le fondement de l’accord envisagé, destinées à être analysées de manière systématique avant l’arrivée de l’aéronef au Canada par des moyens automatisés, fondés sur des modèles et des critères préétablis » ), mode qu’elle avait condamné dans son arrêt Digital Rights Ireland ( §§ 57 et 58, où elle censurait la surveillance généralisée, et ce de façon indifférenciée, la directive contestée s’appliquant « même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves »).
Loin ici d’en censurer le mécanisme par conséquent, elle en examine soigneusement l’économie et, le passant au crible de ses critères d’analyse habituels (tels la stricte nécessité de l’ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données, garantis par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union, ainsi que le principe de proportionnalité), opère ici un subtil changement de pied par rapport à sa précédente jurisprudence, qui lui permet de le valider en s’appuyant sur la Charte. A noter la « constitutionnalisation » du Préambule de la Charte qu’opère ici la Cour, par la référence qu’elle fait à son alinéa 4, soulignant la nécessité de « renforcer la protection des droits fondamentaux à la lumière de l’évolution de la société, du progrès social et des développements scientifiques et technologiques ». Ceci lui permet de relativiser la portée des droits fondamentaux affirmés par les articles 7 et 8 de la Charte, qui ne sont pas « des prérogatives absolues, mais doivent être pris en considération par rapport à leur fonction dans la société » (§ 136). C’est un glissement significatif dans son analyse.
Ce glissement est ensuite parachevé lorsque la Cour envisage l’objectif d’intérêt général que poursuit l’accord PNR. En effet, dans son arrêt Digital Rights Ireland, elle avait certes reconnu la pertinence de l’objectif d’intérêt général relatif à la sécurité publique, mais ce dernier ne l’avait pas emporté face à une atteinte qu’elle jugeait massive et indifférenciée aux droits fondamentaux des citoyens européens.
C’est ici la position inverse qui prévaut : la Cour note en effet d’abord que « l’accord envisagé vise, notamment, à garantir la sécurité publique au moyen d’un transfert des données PNR vers le Canada et de l’utilisation de celles-ci dans le cadre de la lutte contre des infractions terroristes et la criminalité transnationale grave » (§ 148) ; et elle souligne surtout que cet « objectif d’intérêt général de l’Union [est] susceptible de justifier des ingérences, même graves, dans les droits fondamentaux (c’est nous qui soulignons) consacrés aux articles 7 et 8 de la Charte. Au demeurant, la protection de la sécurité publique contribue également à la protection des droits et des libertés d’autrui. À cet égard, l’article 6 de la Charte énonce le droit de toute personne non seulement à la liberté, mais également à la sûreté » (§ 149). Ceci lui permet in fine, relativisant la portée et le contenu de l’accord PNR et soulignant les garanties essentielles dont l’accord est (ou doit être) entouré, de valider le système PNR : « même si les données PNR peuvent, le cas échéant, révéler des informations très précises sur la vie privée d’une personne, la nature de ces informations est limitée à certains aspects de cette vie privée, relatifs en particulier aux voyages aériens entre le Canada et l’Union.
Quant au contenu essentiel du droit à la protection des données à caractère personnel, consacré à l’article 8 de la Charte, l’accord envisagé circonscrit, à son article 3, les finalités du traitement des données PNR et prévoit, à son article 9, des règles destinées à assurer, notamment, la sécurité, la confidentialité et l’intégrité de ces données, ainsi qu’à les protéger contre les accès et les traitements illégaux. Dans ces conditions, les ingérences que comporte l’accord envisagé sont susceptibles d’être justifiées par un objectif d’intérêt général de l’Union et ne sont pas de nature à porter atteinte au contenu essentiel des droits fondamentaux consacrés aux articles 7 et 8 de la Charte ». Le changement est notable par rapport à la jurisprudence antérieure. Mais pouvait-il en être autrement dans le contexte que l’Europe connaît aujourd’hui ?
Il n’empêche que la Cour n’en délivre pas pour autant un blanc-seing, et pose un certain nombre de conditions que l’accord PNR (tout système PNR) doit nécessairement respecter pour assurer sa conformité à la Charte.
2. L’encadrement du système PNR par le juge
A l’image du communiqué de presse qui avait annoncé les conclusions de l’Avocat général Mengozzi, celui relatif à l’avis de la Cour note que l’accord PNR ne peut pas être conclu sous sa forme actuelle. Ainsi le juge européen indique un certain nombre de dispositions de celui-ci qui nécessitent une révision, afin d’assurer leur conformité avec la Charte des droits fondamentaux.
Parmi les points soigneusement listés, la Cour estime tout d’abord qu’un certain nombre des 19 catégories de données qui figurent dans l’accord (les mêmes dans tous les accords PNR ainsi que dans la directive européenne) devraient être définies de manière claire et précise. C’est le cas notamment de la rubrique 7, qui mentionne « toutes les coordonnées disponibles » sans mentionner précisément les données à transférer, et surtout de la rubrique 17, relative aux « remarques générales » ; dans la mesure où elle ne fixe « aucune limitation quant à l’étendue et à la nature des informations susceptibles d’y figurer », cette rubrique ne saurait être ainsi considérée « comme étant délimitée avec suffisamment de clarté et de précision » (§ 160). La Cour envisage par ailleurs plus spécifiquement la question des données sensibles (celles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ou concernant l’état de santé ou la vie sexuelle d’une personne), dont le traitement est exclu par l’Union européenne, et dont le transfert possible au titre de la rubrique 17 évoquée ci-dessus n’obéit à aucune « justification précise et particulièrement solide » (§ 165) ; la Cour estime en conclusion que la Charte (article 7 et 8, mais aussi 52 § 1) s’oppose au transfert de telles données.
L’analyse de la Cour relative aux méthodes proactives mises en œuvre dans le cadre de l’accord PNR est particulièrement digne d’intérêt. Elles auraient pu en effet porter à la condamnation pure et simple de tout système PNR, de par la surveillance généralisée et indifférenciée qu’elles impliquent, on l’a dit. Mais la Cour, préférant préserver l’accord (et le système) PNR dans son principe, étudie toutefois les modalités de fonctionnement de ces algorithmes prédictifs, constatant le « taux d’erreur (…) non négligeable » (§ 170) que ceux-ci provoquent inévitablement. La Cour en profite dès lors pour enjoindre aux autorités (politiques, mais cela s’adresse aussi nécessairement aux ingénieurs qui les conçoivent…) de produire des « modèles et critères préétablis (…) spécifiques et fiables » de sorte à aboutir à des « résultats ciblant les individus à l’égard desquels pourrait peser un soupçon raisonnable de participation à des infractions terroristes ou de criminalité transnationale grave ».
Il ne s’agit de rien d’autre que d’une injonction aux politiques de domestiquer la technique afin de l’asservir à l’objectif visé en respectant les droits fondamentaux des individus…En somme, les avancées technologiques doivent donc être un outil au service de la société, et non un prétexte à instituer des politiques ultra-sécuritaires violant les droits fondamentaux. Belle leçon d’humanisme au détour d’une argumentation juridique…
S’agissant de la conservation des données (cinq ans, données masquées après trente jours), la Cour reconnaît tout d’abord que « aussi longtemps que les passagers aériens se trouvent au Canada, ou en partance de ce pays tiers, le rapport nécessaire entre ces données et l’objectif poursuivi par cet accord existe, de telle sorte que celui-ci ne dépasse pas les limites du strict nécessaire » (§ 197), malgré le caractère systématique de la conservation et de l’utilisation des données de l’ensemble des passagers. Toutefois, la Cour précise que l’utilisation des données PNR pendant le séjour des passagers aériens au Canada, doit être, sauf cas d’urgence dûment justifiés, subordonnée à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante. La Cour, enfin, ne voit pas la nécessité, une fois que les passagers ont quitté le territoire canadien, de conserver leurs données, dans la mesure où un risque (terrorisme ou criminalité grave) n’a pas été identifié avant ou pendant leur séjour. La Cour estime ainsi dans un considérant très important que « le stockage continu des données PNR de l’ensemble des passagers aériens après leur départ du Canada n’apparaît donc pas limité au strict nécessaire » (§ 206). Elle admet toutefois des dérogations, dans la mesure où sont identifiés, dans des cas particuliers, des éléments objectifs permettant de considérer que certains passagers aériens pourraient présenter un risque, même après leur départ du Canada. Le stockage de leurs données au-delà de leur départ serait ainsi justifié. Cela dit, la durée de cinq ans prévue par l’accord ne semble pas au juge « excéder les limites de ce qui est strictement nécessaire à des fins de lutte contre le terrorisme et la criminalité transnationale grave » (§ 205).
La Cour s’intéresse aussi au possible transfert de données PNR du Canada vers un pays tiers. Au titre de la directive 95/46, mais aussi de la jurisprudence Schrems de la CJUE, celui-ci ne peut intervenir que si la Commission a constaté l’existence d’un « niveau adéquat » de protection dans le pays destinataire (art. 25 § 6 de la directive), ou « substantiellement équivalent » à celui assuré au sein de l’UE (Schrems). L’accord, en l’état, ne garantit pas que des données puissent être transférées en l’absence d’accord avec le pays tiers destinataire ou en l’absence de décision de la Commission. Il ne garantit donc pas que la communication de données sera limitée au strict nécessaire.
Si les passagers aériens disposent ensuite d’un droit d’accès et de rectification de leurs données, la Cour constate en revanche l’absence d’un droit d’information individuel, mais estime néanmoins que la « règle de transparence permet à suffisance d’informer les passagers aériens » (§ 223). La Cour adresse par ailleurs un satisfecit à l’accord sur le droit de recours individuel, dont disposent l’ensemble des passagers aériens.
Quant au contrôle du respect des exigences de la protection des données par le biais d’une autorité indépendante, exigence figurant tant dans la Charte (art. 8 § 3) que dans le Traité (Article 16 § 2 TFUE) ou la jurisprudence maintes fois rappelée par la Cour (Commission c/RFA, aff. C-518/07 ; Commission c/ Hongrie, aff. C-288/12), une formule alternative à celle prévoyant une « autorité publique indépendante » ne présente pas les qualités requises selon la Cour. Cette autorité « créée par des moyens administratifs » et « subordonnée à une autorité de tutelle », n’est pas « à l’abri de toute influence extérieure ». C’est un point important quant au fond mais il sera probablement facile d’y remédier.
Au total, si l’avis de la Cour obligera l’UE à renégocier l’accord avec le Canada afin d’assurer sa conformité aux droits fondamentaux garantis par la Charte (sur des points d’inégale difficulté technique), c’est toutefois un autre point qui retient l’attention, à savoir la validation du système PNR effectué ici par la Cour. Le PNR tant décrié, aussi bien par les autorités européennes de protection des données que par des parlementaires européens, a su finalement trouver grâce aux yeux du juge dans un contexte, il est vrai, difficile, marqué par de sanglants et répétés attentats terroristes. Nous pensions, suite aux conclusions de l’Avocat général – qui semblaient remettre partiellement en cause les jurisprudences Digital Rights Ireland ou Schrems – que dans le contexte de menace terroriste actuel, d’une intensité jamais égalée, la Cour formulerait sa réponse avec prudence. Elle l’a fait, mais en tentant de trouver un point d’équilibre entre les nécessités de la sécurité publique et celles de la défense des droits fondamentaux. L’exercice était difficile, la Cour l’a rempli avec dextérité.