Une information citoyenne au service d'une identité européenne
Réactions, commentaires et débats avec des invités

Glossaire interactif des termes de l'Espace de liberté, de sécurité et de justice
Observatoire législatif de l’Espace européen de liberté, de sécurité et de justice
Veille juridique et documentaire axée sur la Charte des droits fondamentaux de l’Union européenne
Actualités des grands projets de l'Union européenne
Dossiers documentaires thématiques
Actualités sur le rôle de l'Union européenne dans le monde
Une information citoyenne au service d'une identité européenne

La Cour de justice annule les décisions concernant le transfert de données des passagers aériens vers les États-Unis

pdf mise en ligne :07 06 2006 ( NEA say… n° 14 )

ASILE > Système d'information Schengen

Les institutions européennes se trouvent dans une situation très compliquée: cernées par différents dangers, elles trouveront difficilement une sortie de crise rapide. Elles ont quelques semaines pour apporter la preuve de leur solidarité dans la recherche d’une solution à des problèmes dont les facettes sont multiples. Commission et Parlement européen feront une première évaluation de la situation le 12 juin. Le Parlement européen souhaite associer les parlements nationaux à sa réflexion.
La Cour de justice européenne a annulé, par son arrêt du 30 mai dernier (aff. jointes C-317/04 et C-318/04), les décisions du Conseil et de la Commission sur le transfert des données personnelles des passagers aériens aux autorités américaines. La décision de la Commission qui constate que les autorités américaines assurent un degré de protection suffisant de ces données n'entrait pas dans le champ de compétences communautaires. De son côté, en décidant d’approuver la conclusion de l’accord UE/États-Unis sur le transfert de ces données, le Conseil a utilisé une base juridique inappropriée: l’article 95 du traité CE, qui permet de prendre des mesures utiles au bon fonctionnement du marché intérieur, mais pas de lutter contre le terrorisme. Pour des raisons de sécurité juridique, la Cour maintient la décision jusqu’au 30 septembre.

Après les attentats du 11 septembre 2001, les compagnies aériennes qui assurent les liaisons au départ ou à travers les États-Unis ont été tenues de fournir aux autorités américaines un accès électronique aux données contenues dans leur système de réservation et de contrôle des départs, le Passenger Name Record (PNR). A la suite de difficiles négociations avec les autorités américaines, la Commission avait adopté, le 14 mai 2004, la décision dite "d’adéquation". Elle y constatait que le Bureau des douanes et de la protection des frontières des États-Unis (CBP) assurait un niveau de protection adéquat aux données sur les passagers transférés depuis l’UE. Le 17 mai 2004, le Conseil adoptait la décision approuvant la conclusion de l’accord avec les États-Unis sur le traitement et le transfert de données au CBP, par les compagnies aériennes établies sur le territoire de l’Union européenne.

Le Parlement européen avait demandé -et c’est ce qu’il vient d’obtenir- l’annulation des deux décisions. La Cour constate tout d’abord que la Commission avait fondé sa décision sur les dispositions de la directive du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Cette directive exclut de son champ d’application le traitement des données ayant pour objet la sécurité publique, la défense, la sûreté de l’Etat et les activités de l’Etat concernant les domaines du droit pénal. Or, poursuit-elle, il ressort de la décision de la Commission que "la Communauté soutient entièrement les États-Unis dans leur lutte contre le terrorisme et que les données PNR doivent être utilisées uniquement dans le but de prévenir et combattre le terrorisme et les crimes liés au terrorisme, d’autres crimes graves, y compris la criminalité organisée". La Cour admet avec la Commission que les données PNR sont au départ collectées dans le cadre d’une activité qui relève d’une activité couverte par les traités, à savoir la vente d’un billet d’avion qui donne droit à une prestation de services. Mais, dit-elle, le traitement des données qui est pris en compte dans la décision de la Commission est d’une toute autre nature: il ne vise pas la réalisation d’une prestation de services, mais est considéré comme nécessaire pour sauvegarder la sécurité publique à des fins répressives. Pour toutes ces raisons, elle conclut que la décision d’adéquation ne relève pas du champ d’application de la directive de 1995. Du même coup, elle souligne que les questions de sécurité publique sont de compétence nationale, et relèvent du troisième pilier.

Pour annuler la décision du Conseil, la Cour constate que l’article 95 ne donne pas compétence à l’UE pour conclure l’accord avec les États-Unis. Cet accord "vise le même transfert de données que la décision d’adéquation et donc des traitements des données qui sont exclus du champ d’application de la directive de 1995", conclut-elle. La Cour ne s’est pas prononcée sur ce qu’il aurait fallu faire puisqu’il s’agissait d’un recours en annulation des décisions. Elle ne s'est pas non plus prononcée sur les autres moyens invoqués par le Parlement européen, dont la violation des droits fondamentaux, puisque les premiers moyens, la violation des dispositions de la directive de 1995 et le choix erroné de la base juridique, suffisaient à annuler les deux décisions.

Les réactions furent rapides à se manifester: beaucoup de députés, une fois passé le premier et bref instant d’euphorie, regrettèrent que la Cour ne se soit pas prononcée sur le contenu de l’accord, beaucoup auraient aimé qu’elle dise que cet accord viole les droits fondamentaux. C’était le seul objectif poursuivi par le Parlement européen et sa saisine de la Cour. Le contrôleur européen de la protection des données (CEPD), Peter Hustinx s’est montré inquiet face à ce jugement, qui "semble avoir affaibli la protection des données des citoyens européens dans le cas où leurs données sont utilisées pour des finalités liées aux services répressif. Ce qui rend d'autant plus important qu'un instrument juridique exhaustif et cohérent sur la protection des données personnelles en dehors du premier pilier soit adopté sans délai". Franco Frattini a très rapidement indiqué qui allait faire une proposition concrète aux ministres européens de la justice pour l'adoption d'un nouvel accord, mais sur une nouvelle base juridique afin d’éviter toute incertitude. Pour qu’il y ait nouvel accord, celui-ci doit être entériné puis ratifié à l’unanimité par les 25 Etats membres, la base juridique passant du premier au troisième pilier comme l'indique la Cour, ne laissant au Parlement européen que la possibilité d'émettre un avis purement consultatif. Ainsi, fait-on valoir, le choix de la base légale rendrait le processus décisionnel plus stable car moins imprévisible. La Commission donnait, le lendemain, son appui à la stratégie retenue par le commissaire en charge de la justice et des affaires intérieures.

Le Parlement européen a fait connaître sa position dans une lettre adressée le 2 juin au président du Parlement européen, Josep Borrell, à Franco Frattini et à la ministre autrichienne de l’Intérieur, Lise Prokop, par Jean-Marie Cavada, président de la commission des libertés. Au-delà de la satisfaction de voir reconnu le bien fondé de doutes exprimés à plusieurs reprises par le Parlement dans ses résolutions, Jean-Marie Cavada a esquissé une triple démarche pour sortir de l’impasse:
- Premièrement, ouvrir dans les meilleurs délais, un débat avec les autres institutions, la Commission et le Conseil (au passage les commentateurs faisaient remarquer que cette crise aurait pu être évitée si, à l’époque, il y avait eu plus de dialogue et de coopération loyale, laquelle est une obligation issue des traités, face à un problème aussi sensible). Il ne s’agit donc pas de récidiver et un argumentaire détaillé des services juridiques respectifs serait de la plus grande utilité si l’on voulait éviter un nouveau recours juridictionnel tant au niveau européen que national.
- Deuxièmement, il s’agit d’associer au débat les parlements nationaux, d’une part parce que l’arrêt vient de confirmer la compétence nationale en matière de sécurité intérieure et parce que, eux aussi, avaient été écartés du débat politique lors de la conclusion, en l’espace de quatre semaines, du premier accord avec l’administration américaine. Une date a déjà été proposée pour cette rencontre avec les parlements nationaux, celle du 22 juin, date déjà antérieurement retenue en vue de débattre de l’accord de Prünn. Dans la même perspective, il est prévu d’associer les autorités de protection des données dont le rôle est essentiel dans ce domaine.
- Troisièmement, il est essentiel d’arriver, enfin, à un accord quant aux standards de protection à appliquer en matière de protection des données lorsque celles-ci sont nécessaires à des fins de sécurité publique et non plus simplement pour le bon fonctionnement du marché intérieur. C’est un point sur lequel le Parlement européen semble, à ce stade, intransigeant et il rappelle régulièrement le rapport sur la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale de la députée européenne, Martine Roure (PSE/FR).

Au surplus il n’est pas inutile de faire remarquer qu'avec l’appui du Parlement européen, le président Barroso vient de proposer la communautarisation des compétences en matière de coopération judiciaire et policière en matière pénale par le biais des "clauses passerelles" ouvertes par le traité de Maastricht, et confirmées par les traités d’Amsterdam, de Nice et par le traité constitutionnel.

Les négociations seront compliquées puisque sont en jeu de multiples aspects: juridiques, institutionnels, politiques. Elles devront éviter plusieurs écueils: les retards créateurs de situations chaotiques, pire une situation fragmentée selon les 25 Etats, bientôt 27, les distorsions de concurrence entre compagnies aériennes, les exigences des États-Unis, ne pas se placer sur une trajectoire de collision avec le Parlement européen. Quant aux parlementaires, ils réclament que soit rendu public le rapport sur le fonctionnement du système mis en place, doutant fortement de son bon fonctionnement dans le respect des accords conclus.

Le Conseil Justice et affaires intérieures (JAI) des 1er et 2 juin a fourni l’occasion d’un premier échange de vues et d’informations mutuelles. A l’issue du Conseil, le commissaire Franco Frattini a indiqué que la Commission présentera en juillet deux propositions, en vue de continuer à transférer les données personnelles. La première dénoncera l’accord actuel qui a été annulé par l’arrêt de la Cour. Quant à la seconde, elle permettra d’introduire une nouvelle proposition d’accord basée sur le même contenu mais s’appuyant sur une base juridique différente. Si un nouvel accord n’entre pas en vigueur avant le 1er octobre prochain, "ce sera un désastre pour les citoyens européens" a indiqué Franco Frattini. Car selon lui, cette situation occasionnera un incertitude juridique grave pour la protection des données, qui pourrait conduire à de nombreuses plaintes individuelles. De plus, chaque compagnie aérienne, pour préserver ses intérêts commerciaux, pourrait être tentée de négocier bilatéralement avec les autorités américaines, créant une autre incertitude juridique, elle-même débouchant sur un amoindrissement des garanties de protection des droits. "Nous espérons qu’une solution nous permettra d’aller de l’avant, sinon nous devrons envisager une solution sur le plan bilatéral", a déclaré la ministre autrichienne de l’Intérieur, Lise Prokop.

La dramatisation de l’urgence et des conséquences de l’absence d’accord, chantage déguisé, permettra-t-elle de surpasser les difficultés? Le Parlement européen devra prouver son savoir faire en trouvant une issue que Conseil et Commission accepteraient dans le respect de l’arrêt de la Cour, sans pour autant réduire ses ambitions: nous ne devons pas nous limiter à la définition de la base juridique, nous devons aussi discuter du contenu dans un contexte de fortes pressions américaines, a dit en substance le député Johannes Voggenhuber. Quel rôle jouera l’accord passé avec le Canada qui, lui aussi, devra trouver une base juridique appropriée? Plusieurs garanties d'une meilleure protection des données différencient cet accord de celui passé avec les États-Unis (lire "L’accord Canada/UE sur le fichage des passagers aériens", NEA say… n°11), ce qui a conduit la députée Sophie In’t Veld à faire observer: "Nous avons besoin de renégocier un meilleur accord avec les États-Unis. Pourquoi ne peuvent-ils pas se comporter comme les Canadiens avec qui nous avons un bon accord?".

► Cour de Justice des Communautés européennes, Arrêt Parlement européen c/ Conseil du 30 mai 2006, aff. jointes C-317/04 et C-318/04.

Communiqué de presse de la Cour de justice, 30 mai 2006. (pdf)

► "PNR: première réaction du CEPD au jugement de la Cour de justice", Communiqué de presse du Contrôleur européen de la protection des données, 30 mai 2006.

► "Données des passagers aériens: les eurodéputés regardent vers l'avenir", Parlement européen, Infopress, 6 juin 2006.