« La diplomatie est-elle plus importante que les droits fondamentaux ? ». Cette question, posée par Sophia In ‘t Veld, rapporteur du texte, paraît légitime après l’adoption par le Parlement européen le 19 avril de l’accord UE/Etats-Unis sur le transfert des données des dossiers passagers (accord PNR, Passenger Name Record).
L’attitude du Parlement européen dans cette affaire semble pour le moins surprenante, par l’esprit de conciliation qu’elle traduit.
Un premier accord PNR conclu en 2006 fut en effet censuré par la Cour de Justice, sur requête du Parlement européen, pour défaut de base juridique adéquate dans l’affaire C-317/04 . Un nouvel accord est donc appliqué depuis, de manière provisoire, depuis 2007. Fort de sa nouvelle compétence issue du Traité de Lisbonne, le Parlement européen a rejeté cet accord en mai 2010, ce qui a conduit la Commission à mener de nouvelles négociations avec les Etats-Unis, ouvertes en janvier 2011, et conclues en décembre 2011 par la signature du Conseil. Le Parlement, dont le consentement était indispensable, vient finalement d’approuver l’accord par 409 voix pour, 226 contre et 33 abstentions. Ceci malgré les vives inquiétudes exprimées par un certain nombre de députés quant aux garanties relatives à la protection des données à caractère personnel, pourtant contraignantes, non seulement grâce à l’article 8 de la Convention européenne des droits de l’homme et la jurisprudence y relative de la Cour de Strasbourg, mais aussi grâce à l’article 8 de la Charte des droits fondamentaux désormais inscrite dans le marbre du droit de l’Union. Parmi les opposants figure le rapporteur, qui, pour manifester publiquement son désaccord, a décidé de retirer son nom du rapport. Sophia In’t Veld s’était en effet prononcée contre le texte, jugé contraire au droit de l’UE en matière de protection des droits fondamentaux.
L’objet de cet accord est le transfert des données des passagers aériens européens au ministère de la sécurité intérieure des Etats-Unis (Department of Homeland Security, DHS). Ces informations, fournies par les passagers et recueillies par les transporteurs aériens, comprennent 19 catégories de données, dont un certain nombre de données personnelles, voire des données « sensibles », telles par exemple celles liées au choix d’un menu répondant à des exigences religieuses. Elles sont mises à disposition du DHS, avec pour objectif de prévenir, de détecter, d’enquêter ou de poursuivre des actes terroristes et des crimes transnationaux graves.
La première critique majeure formulée à l’encontre de l’accord est relative aux finalités mentionnées par celui-ci. En effet, celles-ci ne font pas systématiquement référence aux objectifs précités de lutte contre le terrorisme et la criminalité transnationale grave, et sont au surplus formulées de façon large ou vague ; dès lors, des extensions – inadmissibles – de la finalité pour laquelle les données sont recueillies semblent possibles sinon inévitables, ces données pouvant être utilisées par exemple à des fins de sécurité frontalière.
La deuxième inquiétude concerne les délais de conservation des données, qui non seulement ne sont pas réduits par rapport aux précédents accords, mais au contraire allongés sans réelle garantie de protection. En effet, les données recueillies sont conservées dans une base de données « active » pendant cinq ans maximum, sachant qu’après six mois, les données PNR sont « dépersonnalisées et masquées ». Au-delà, les données sont transférées dans une base de données « dormante » pour dix années supplémentaires, et peuvent à tout moment être « repersonnalisées » dans le cadre « d’opérations menées par des services répressifs », en rapport avec « un cas, une menace ou un risque identifiable ». A l’issue de ces 15 ans, les données conservées sont alors censées être entièrement « anonymisées », et leur période de conservation est alors infinie. Une étude (G. Hornung & F. Boehm) ayant montré que le risque de « repersonnalisation » des données existe, et ce à tout moment, une telle conservation illimitée apparaît comme manifestement disproportionnée, même au regard des objectifs visés, ce qui contrevient aux exigences européennes en matière de protection des données (CEDH, Marper c. Royaume-Uni).
Un troisième motif d’alarme apparaît s’agissant des données sensibles. Leur usage, qui devrait être prohibé, est cependant autorisé, certes dans « des circonstances exceptionnelles », mais elles peuvent être stockées pendant au moins trente jours et pourraient être utilisées par le DHS, ce à quoi le Contrôleur européen de la protection des données s’est clairement opposé (Avis du 9 décembre 2011). Les dispositions de l’accord relatives au droit de recours des particuliers, ressortissants de l’UE, auprès des instances judiciaires américaines, constituent un quatrième motif d’inquiétude. Ces dispositions, basées sur les lois américaines en vigueur, n’accordent pas en réalité de nouveaux droits aux citoyens européens par rapport aux textes précédents, et des doutes se font jour quant à l’exercice de tels droits en pratique.
Une cinquième objection concerne la méthode de transfert des données au DHS. La méthode « push », la plus satisfaisante, a été, certes, enfin retenue (ce sont les transporteurs aériens eux-mêmes qui transfèrent les données), néanmoins la possibilité existe pour le DHS de recourir à la méthode « pull » (extraction des données par les autorités américaines) dans certaines circonstances. La question, pour technique qu’elle soit, est néanmoins fondamentale au regard des exigences de la protection des données à caractère personnel.
Les objections sont nombreuses au final, on le voit, et substantielles pour la plupart, ce qui explique les réticences exprimées publiquement par le rapporteur. La question semble posée dès lors de savoir si le Parlement européen, en adoptant ce texte pourtant critiqué et combattu depuis des années, n’érode pas son capital de crédibilité. Néanmoins, un constat s’impose : si le Parlement européen avait rejeté l’accord, les transporteurs aériens se seraient trouvés face à un vide juridique, laissant la voie libre à la conclusion d’accords bilatéraux, négociés individuellement, pays par pays, avec les Etats-Unis. Nul doute que les rapports de force n’auraient été guère plus favorables à une protection des données optimale, conforme aux standards européens. Au nom du réalisme politique, et juridique, le Parlement européen est donc allé à Canossa… Mais l’UE n’a-t-elle pas manqué ainsi une occasion d’imposer sa voix dans la difficile relation transatlantique ?