S’il est un outil, en matière de lutte contre le terrorisme, qui fait couler des flots d’encre depuis des années, et suscite des débats passionnés, c’est bien le système « PNR » (Passenger Name Record), décliné sous forme d’accord avec des Etats tiers (Canada, Etats-Unis, Australie) ou de directive européenne (adoptée enfin en avril dernier après des années de tergiversations).
Il permet aux autorités de recueillir et traiter les données des dossiers des passagers aériens, et ce dans une démarche proactive visant à détecter des profils à risque parmi les millions de passagers au moyen d’algorithmes élaborés, faisant ainsi de tous les voyageurs des « suspects potentiels » (§ 176 de l’avis).
Dans l’inépuisable débat entre sécurité et liberté, exacerbé par un contexte terroriste sans précédent et des législations nationales ou européennes de plus en plus nombreuses et potentiellement liberticides pour tenter d’y faire face, les conclusions de l’avocat général Mengozzi quant à la demande d’avis formulé par le Parlement européen à la Cour de justice s’agissant de l’accord PNR UE/Canada, revêtent une importance capitale. Ces conclusions, si elles condamnent en l’état la conclusion de l’accord PNR, le font au prix d’une argumentation extrêmement détaillée qui ne porte pas aux jugements à l’emporte pièce.
L’avocat général s’appuie très largement, et on s’y attendait, sur les importants précédents que constituent les arrêts Digital Rights Ireland (C-293/12 & C-594/12, 8 avril 2014) et Schrems (C-362/14, 6 octobre 2015), qui ont permis à la Cour de justice de s’affirmer haut et fort dans la défense des droits fondamentaux, à savoir le droit au respect de la vie privée et celui à la protection des données personnelles qui figurent respectivement aux articles 7 et 8 de la Charte des droits fondamentaux de l’UE. Mais s’il juge globalement que l’accord contient un certain nombre de dispositions qui contreviennent à la Charte, la porte reste entrouverte toutefois sur la question essentielle : la pertinence même du système PNR.
1. Une acceptation implicite du système PNR
Tant certaines franges politiques du Parlement européen que le Contrôleur européen de la protection des données (CEPD) ou le G29 (Organe européen composé de représentants des autorités nationales chargées de la protection des données) ont remis en question depuis des années l’existence même du PNR, à cause de la surveillance de masse qu’il semble organiser par définition. L’arrêt Digital Rights Ireland pouvait apporter de l’eau à leur moulin par la condamnation que la Cour y prononce de tout stockage de données de masse, et ce de façon indifférenciée.
C’est la raison pour laquelle l’avis de la Cour de justice relatif à l’accord PNR avec le Canada est très attendu sur ce point, car sa position aura des répercussions considérables. Interdirait-elle le principe même du régime PNR que se trouveraient par la même hors-la-loi non seulement les accords conclus avec les Etats-Unis (ou l’Australie, et aujourd’hui le Canada), mais aussi la directive PNR adoptée en avril (directive 2016/681, JO L 119, 4 mai 2016, p. 0132). Les potentielles atteintes aux droits fondamentaux que recélait l’accord PNR avec les Etats-Unis n’avaient pas empêché au demeurant le législateur européen de l’adopter, des considérations diplomatiques et pragmatiques ayant pris le dessus. Il en est de même pour la directive européenne, à laquelle on peut reconnaître au moins le mérite d’harmoniser les mécanismes de protection des données personnelles, tous les Etats membres étant, soit déjà dotés, soit en train de se doter de législations PNR.
Or, sur ce point, la démarche de l’avocat général mérite une grande attention. Il fait remarquer tout d’abord que « la nature des données PNR faisant l’objet de l’accord envisagé ne permet pas de tirer des conclusions précises sur le contenu essentiel de la vie privée des personnes concernées » (§ 186 de l’avis). Ce qui lui permet d’estimer que l’ingérence dans les droits fondamentaux contenue dans l’accord (que toutes les parties s’accordent à reconnaître) ne porte pas atteinte pour autant au contenu même du droit fondamental au respect de la vie privée (article 7 de la Charte) ou à la protection des données personnelles (article 8), et ne viole pas par conséquent l’article 52 § 1 de la Charte.
Il faut se rappeler ensuite que dans l’affaire Digital Rights Ireland, la CJUE a invalidé la directive 2006/24/CE relative à la rétention des données de communication électroniques, dans la mesure où la quantité et la qualité des données (métadonnées de communication) recueillies et traitées permettaient de dresser une « cartographie aussi fidèle qu’exhaustive (…) des comportements d’une personne relevant strictement de sa vie privée, voire d’un portrait complet et précis de son identité privée », comme le notait l’avocat général Cruz Villalón dans ses conclusions. Or, dans l’avis étudié, l’avocat général est forcé de souligner que « l’ingérence que comporte l’accord envisagé est moins vaste que celle prévue par la directive 2006/24 tout en étant également moins intrusive dans la vie quotidienne de chaque personne » (§ 240). Cette évidence, à laquelle on ne peut que souscrire, laisse dès lors une possibilité d’existence au PNR, à condition toutefois de répondre aux exigences de protection qui découlent de la Charte et que le juge avait détaillées dans son arrêt Digital Rights.
L’avocat général Mengozzi s’interroge toutefois sur le caractère « indifférencié et généralisé » que comporte l’accord PNR. Il se livre alors à une analyse très pragmatique du système PNR, notant que « contrairement aux personnes dont les données faisaient l’objet du traitement prévu par la directive 2006/24, toutes celles relevant de l’accord envisagé empruntent volontairement un moyen de transport international à destination ou en provenance d’un pays tiers, moyen de transport qui est lui-même, de manière récurrente malheureusement, vecteur ou victime d’actes de terrorisme ou de criminalité transnationale grave, ce qui nécessite l’adoption de mesures assurant un niveau de sécurité élevé de l’ensemble des passagers » (§ 242). Et après avoir imaginé des mécanismes plus restrictifs (ne concernant pas les mineurs par exemple), force lui est de constater qu’ « aucune autre mesure qui, tout en limitant le nombre de personnes dont les données PNR sont traitées automatiquement par l’autorité canadienne compétente, serait susceptible d’atteindre avec une efficacité comparable le but de sécurité publique poursuivi par les parties contractantes n’a été portée à la connaissance de la Cour dans le cadre de la présente procédure » (§ 244), et il conclut par conséquent que : « tout bien pesé, il me semble donc que, de manière générale, le champ d’application personnel de l’accord envisagé ne saurait être circonscrit davantage, sans que cela porte préjudice à l’objet même des régimes PNR » (§ 245).
Ce n’est donc pas une condamnation sans appel – loin s’en faut – que l’avocat général prononce à l’encontre des régimes PNR. Dont acte, le constat est d’importance. Mais encore faut-il, naturellement, que ceux-ci posent un certain nombre de garanties, assurant le respect des articles 7 et 8 de la Charte.
2. Un double constat de conformité sous réserve et de violation de la Charte des droits fondamentaux de l’UE
L’intitulé du communique-de-presse de la Cour de justice est révélateur : « Selon l’avocat général Mengozzi, l’accord (…) ne peut pas être conclu sous sa forme actuelle ». Si, comme nous venons de le voir, la pertinence même du système PNR ne semble pas remise en question – ce qui ne manquera pas de soulager le législateur européen – il existe néanmoins des reproches substantiels à l’encontre de l’accord UE/Canada, qui obligeront à une renégociation de celui-ci pour le rendre conforme aux exigences de la Charte (même si l’avis n’est pas juridiquement contraignant). L’avocat général les classe en deux catégories.
C’est d’abord un constat de conformité sous réserve qui est dressé par l’avocat général (l’accord est compatible avec la Charte « à condition que… »).
Premièrement, les catégories de données PNR (elles sont au nombre de dix-neuf) énumérées par l’accord (ce sont les mêmes 19 catégories que l’on retrouve dans les différents accords PNR et dans la directive), doivent être libellées de manière claire et précise. Certaines catégories sont en effet formulées « de manière très, voire excessivement ouverte » (§ 217), comme par exemple la rubrique 7 relative à « toutes les coordonnées disponibles », et surtout la 17, relative aux « remarques générales ». Cette dernière est en effet susceptible de contenir des données sensibles, une préférence indiquée quant aux repas à bord pouvant révéler par exemple les convictions religieuses du voyageur. C’est pourquoi l’avocat général souhaite que les données sensibles soient exclues du champ d’application de l’accord. Il remarque d’ailleurs de façon très pragmatique qu’un membre d’un réseau terroriste se garderait probablement de livrer ainsi des informations compromettantes, ce qui implique que ne seraient ciblées in fine que des personnes utilisant ces services en toute candeur, et qui seraient dès lors injustement soupçonnées de par leur seule appartenance religieuse (§ 222)…
Deuxièmement, il convient que les infractions relevant de la définition des formes graves de criminalité transnationale soient énumérées de manière exhaustive dans l’accord (article 3, paragraphe 3), afin que soient clairement délimitées les finalités de celui-ci.
Troisièmement, l’accord devrait identifier de manière claire et précise l’autorité chargée du traitement des données PNR, de sorte à assurer la protection et la sécurité de ces données. En effet, l’utilisation du terme générique « le Canada » au lieu de l’expression « l’autorité canadienne compétente », jette un doute quant au nombre et à la qualité des autorités autorisées à accéder à ces données.
Quatrièmement, et c’est un point particulièrement important, l’avocat général estime que le nombre de personnes ciblées devrait être délimité, et ce de façon non discriminatoire, de sorte que ne soient concernées que les personnes sur lesquelles pèse un soupçon raisonnable de participation à une infraction terroriste ou de criminalité transnationale grave. L’avocat général voudrait par là que soit trouvée une solution au problème des « faux positifs », entraîné inévitablement par les algorithmes mis en œuvre dans ce type de mécanisme « proactif » de détection d’individus soupçonnés d’infractions, ce qui n’est pas nécessairement la condition la plus facile à remplir…
Cinquièmement, l’accord devrait spécifier que seuls les fonctionnaires de l’autorité canadienne compétente sont habilités à accéder aux données des dossiers passagers et prévoir des critères objectifs permettant de préciser leur nombre. Ce point est à rattacher à celui évoqué ci-dessus relatif à la nature des autorités habilitées à accéder aux données.
Sixièmement, l’accord devrait indiquer de manière motivée les raisons objectives justifiant la nécessité de conserver toutes les données des dossiers passagers pour une période maximale de cinq ans. Il convient en effet de s’assurer qu’une telle durée est nécessaire aux fins poursuivies, point qui était souligné notamment dans l’arrêt Digital Rights Ireland.
Septièmement, eu égard aux possibilités de transfert des données PNR à d’autres autorités canadiennes, voire à des autorités d’Etats tiers, une autorité indépendante devrait être habilitée à contrôler au préalable de tels transferts. Il convient de veiller en effet à ce que le niveau de protection offert par l’UE soit garanti en toutes circonstances (ou en tout état de cause un niveau « substantiellement équivalent » comme l’avait noté la CJUE dans son arrêt Schrems).
Huitièmement, si le contrôle du Commissaire canadien à la protection des données est explicitement prévu dans un certain nombre d’hypothèses, il conviendrait néanmoins que l’accord garantisse de manière systématique un contrôle du respect de la vie privée et de la protection des données par une autorité indépendante.
Et enfin, neuvièmement, et en lien avec le point précédent, l’accord devrait préciser clairement que les demandes d’accès, de correction et d’annotation effectuées par des passagers n’étant pas présents sur le territoire canadien peuvent être portées, soit directement, soit par la voie d’un recours administratif, devant une autorité publique indépendante. Autant de points, mis à part le quatrième, qui demandent a priori une simple réécriture du texte de l’accord et ne devraient pas présenter de difficultés majeures.
L’avocat général relève ensuite un certain nombre de dispositions qui sont manifestement contraires à la Charte, dont certaines sont susceptibles de susciter quelques difficultés lors de la renégociation de l’accord. Premièrement, l’article 3 § 5 de l’accord ouvre la possibilité de traitement de données PNR pour des finalités autres que celles poursuivies par celui-ci (traitement « pour se conformer à une convocation, un mandat d’arrêt ou une ordonnance émis par une juridiction »), ce qui constitue une violation du principe cardinal de limitation des finalités. Deuxièmement, le traitement, l’utilisation et la conservation de données PNR contenant des données sensibles (prévus à l’article 8) devraient être interdits, selon le principe posé dans le cadre de l’UE. Troisièmement, l’article 12 § 3 de l’accord, en tant qu’il accorde au Canada, au-delà de ce qui est strictement nécessaire, le droit de divulguer toute information pour autant qu’il se conforme à des exigences et à des limites juridiques raisonnables, est jugé contraire à la Charte. Quatrièmement est censuré l’article 16 § 5 de l’accord, qui autorise le Canada à conserver des données des dossiers passagers pour une période maximale de cinq ans pour, notamment, toute action spécifique, vérification, enquête ou procédure juridictionnelle, sans que soit requis un lien quelconque avec la finalité indiquée à l’article 3 de l’accord (à savoir, prévention et détection des infractions terroristes et des actes graves de criminalité transnationale). Cinquièmement et enfin, est jugé contraire à la Charte l’article 19 de l’accord qui admet que le transfert de données des dossiers passagers à une autorité publique d’un pays tiers puisse être réalisé sans que l’autorité canadienne compétente, sous le contrôle d’une autorité indépendante, se soit préalablement assurée que l’autorité publique destinatrice du pays tiers en question ne puisse pas elle-même ultérieurement communiquer lesdites données à une autre entité d’un autre pays tiers.
C’est donc à un examen très minutieux de l’accord que l’avocat général s’est livré ici, muni de la grille d’analyse fournie pour l’essentiel par l’arrêt Digital Rights Ireland. Si les motifs de violation de la Charte sont nombreux, on retiendra néanmoins l’assentiment implicite au système PNR que révèlent ces conclusions. La porte est étroite pour répondre aux exigences de la Charte, mais elle n’est pas pour autant fermée au PNR en lui-même. N’est-ce pas l’apport substantiel de ces conclusions ? Il reste à voir jusqu’où la Cour les suivra. Mais il est loisible de penser, dans le contexte de menace terroriste actuel, d’une intensité jamais égalée, que la Cour formulera sa réponse avec prudence.