Une information citoyenne au service d'une identité européenne
Réactions, commentaires et débats avec des invités

Glossaire interactif des termes de l'Espace de liberté, de sécurité et de justice
Observatoire législatif de l’Espace européen de liberté, de sécurité et de justice
Veille juridique et documentaire axée sur la Charte des droits fondamentaux de l’Union européenne
Actualités des grands projets de l'Union européenne
Dossiers documentaires thématiques
Actualités sur le rôle de l'Union européenne dans le monde
Une information citoyenne au service d'une identité européenne

Accord PNR (Passenger Name Record) avec les Etats-Unis : feu vert du Parlement européen. Pourquoi accepter le PNR et refuser ACTA ? «Please,  Don’t protect me » (Coppelia).

pdf mise en ligne :25 04 2012 ( NEA say… n° 121 )

DROITS FONDAMENTAUX > Protection des données personnelles

C’est le cri poussé par Coppelia en apprenant la nouvelle et à la lecture du communiqué de presse  de l’ambassadeur américain auprès de l’Union européenne. En substance, elle nous alerte : si cela est la manière que vous voulez utiliser pour me protéger alors, je vous en prie : ne me protégez pas ! Le nouvel accord sur le transfert de données des passagers aériens européens aux autorités américaines a donc  été approuvé par le Parlement, le 19 avril dernier. Il fixe les conditions juridiques et couvre notamment la durée de conservation des données, l'utilisation et les garanties de protection de ces données, ainsi que les recours administratifs et judiciaires. L'accord en remplacera un autre qui s'applique provisoirement depuis 2007.

C’est le cri poussé par Coppelia en apprenant la nouvelle et à la lecture du communiqué de presse  de l’ambassadeur américain auprès de l’Union européenne. En substance, elle nous alerte : si cela est la manière que vous voulez utiliser pour me protéger alors, je vous en prie : ne me protégez pas ! Le nouvel accord sur le transfert de données des passagers aériens européens aux autorités américaines a donc  été approuvé par le Parlement, le 19 avril dernier. Il fixe les conditions juridiques et couvre notamment la durée de conservation des données, l'utilisation et les garanties de protection de ces données, ainsi que les recours administratifs et judiciaires. L'accord en remplacera un autre qui s'applique provisoirement depuis 2007.

L'accord UE-États-Unis sur les données des passagers aériens (PNR) a été adopté par 409 voix pour, 226 voix contre, et 33 abstentions. Une minorité significative de députés, inquiets au sujet des garanties de protection des données, ont rejeté l'accord, dont le rapporteur, Sophie in 't Veld (ADLE, NL), qui a retiré son nom du rapport. Les députés ont rejeté une proposition de soumettre l'accord à la Cour de justice européenne.

Selon le nouvel accord, les autorités américaines conserveront les données PNR dans une base de données active pendant une période pouvant aller jusqu'à 5 ans. Après les 6 premiers mois, toutes les informations qui pourraient servir à identifier le passager, seraient "dépersonnalisées", ce qui signifie que des données telles que le nom du passager et ses coordonnées seraient masquées.

Après les 5 premières années, les données seront transférées vers une "base de données passive" pendant 10 ans au maximum. Cette base ne sera accessible aux responsables américains qu’à des conditions très strictes. Ensuite, selon l'accord, les données seraient totalement "dépersonnalisées" en effaçant toute information qui pourrait servir à identifier le passager. Les données liées à un cas spécifique seront conservées dans une base de données PNR active jusqu'à ce que l'enquête soit archivée.

Les données PNR seront principalement utilisées en vue de prévenir, de détecter, d'enquêter et de poursuivre des actes terroristes et des crimes transnationaux graves. Les crimes transnationaux sont définis comme des crimes punissables par trois ans d'emprisonnement ou plus selon la loi américaine. Les données PNR serviront également "à identifier les personnes qui feraient l'objet d'un interrogatoire ou d'un examen plus approfondis".

Les données sensibles telles que celles révélant l'origine ethnique, les croyances religieuses, la santé physique ou mentale, ou l'orientation sexuelle d'un passager, pourraient être utilisées dans des circonstances exceptionnelles, lorsque la vie d'une personne est en danger. Parmi ces données celles  liées au choix d'un menu répondant à des exigences religieuses ou aux demandes d'assistance pour des raisons médicales. Leur accès sera fourni au cas par cas uniquement, et elles seront effacées, de manière permanente, 30 jours après leur réception, à moins qu'elles ne soient utilisées dans une enquête spécifique.

Si leurs données sont utilisées de manière abusive, les citoyens européens auront droit à un recours administratif et judiciaire conformément à la loi américaine. Ils auront également le droit d'avoir accès à leurs propres données PNR et de demander la rectification des données au ministère américain de la sécurité intérieure, notamment leur effacement, si les informations sont inexactes.

Les données des dossiers passagers (PNR) sont recueillies par les transporteurs aériens au cours des procédures de réservation, et incluent le nom, l'adresse, les données relatives à la carte de crédit et le numéro de siège du passager aérien. Conformément au droit américain, les compagnies aériennes sont contraintes de rendre ces données disponibles au ministère américain de la sécurité intérieure avant le départ des passagers. Cette règle s'applique aux vols à destination et en provenance des États-Unis.

En mai 2010, le Parlement avait repoussé son vote sur un accord PNR avec les États-Unis, appliqué de manière provisoire depuis 2007, principalement en raison de son inquiétude au sujet de la protection des données. Les députés avaient alors instamment invité la Commission européenne à négocier un nouvel accord, ce qu'elle a fait en 2011.

Le Parlement européen a adopté un accord PNR avec l'Australie en octobre 2011, un accord réputé plus équilibré et plus favorable à l’UE. L'UE négocie actuellement un accord PNR avec le Canada. Les ministres de la justice et des affaires intérieures entérineront l'accord le 26 avril. L'accord remplacera le texte de 2007 et sera en vigueur pendant 7 ans.

Des faiblesses dans l’accord ont été soulignées tout au long d’un débat animé, mais le dernier mot n’est peut être pas dit. Les premiers à applaudir furent les américains et l’ambassadeur américain William Kennard, a salué dans un communiqué une relation transatlantique forte et l’engagement conjoint à protéger les citoyens. Les Etats-Unis n’ont pas ménagé toutes les ressources des lobbies pour parvenir à leurs fins, plus intenses mais plus discrets que pour SWIFT. Le chantage sur les visas, la libéralisation d’accès sur le territoire américain fut un instant évoqué et démenti notamment par Cecilia Malmström qui n’a pas ménagé sa peine pour que l’accord soit adopté. L’importance du score en faveur de l’accord (déjà important au moment du vote en commission) ne doit pas cacher les inquiétudes exprimées régulièrement. Le contrôleur européen des données, Peter Hustinx, a exprimé ses réserves les plus vives, parmi les députés le président du groupe libéral, Guy Verhofstadt, vient d’en faire tout autant. Le vote n’est pas une surprise et était acquis depuis un certain temps. Comment expliquer ce vote qui par certains de ses aspects exprime un revirement ? Des députés et des groupes politiques moins engagés : Hannes Swoboda, président du groupe socialiste, a indiqué qu’il allait soutenir l’accord malgré ses lacune, il souhaite que les membres de son groupe se prononce en faveur de l’accord, mais il comprend que pour certain, ce soit inacceptable et il respectera la liberté de vote du groupe. Il veut que la Commission promette de vérifier l’utilisation des données et que si le PE remarque des abus, cette législation soit suspendue. Peut-on lui faire remarquer que l’accord ne lui donne aucune garantie à ce sujet. Les verts étaient partagés et leur leader, Rebecca Harmes a tenté d’expliquer que son groupe n’était pas satisfait. Le chef de fille du PPE sur ce dossier, Axel Voss,  a affirmé clairement son vote en faveur de l’accord car, a-t-il argumenté, les Etats-Unis ont le droit de savoir qui débarque et « nous ne souhaitons pas que les relations aériennes avec les Etats-Unis s’arrêtent. Il a salué une victoire du bon sens et remercié les Etats-Unis pour leurs concessions tout en concédant que cet accord ne reflète pas à 100% la position du Parlement Seul  le groupe des libéraux, ADLE et son président, Guy Verhofstadt, sont restés fermes dans leur conviction. Ils ont été rejoints par le groupe des verts : pour eux un coup a été porté au droit européen, « la décision prise aujourd’hui par les conservateurs et les sociaux démocrates de voter en faveur (…) constitue encore un pas vers un Etat policier » a dit Jan Philip Albrecht. « Pour la première fois depuis dix ans, le Parlement européen avait l’opportunité d’arrêter le profilage et la rétention à long terme et sans fondement des données de tous les voyageurs allant aux Etats-Unis, mais une majorité a choisi de passer à côté » a déploré le vert allemand. Aux divisions parmi les députés y compris au sein d’un même groupe s’ajoutent de  la lassitude, l’absence d’une issue ou d’une alternative praticable en cas de rejet et sur ce dernier point une part de la responsabilité revient aux opposants qui n’ont pas proposé une alternative crédible et lorsque est apparue comme possible l’éventualité  de saisir la Cour de Justice pour recueillir son avis, cela était trop tard. Entretemps l’enjeu du débat s’était déplacé : ce n’était plus la lutte contre le terrorisme et pour  les droits fondamentaux, le respect de la législation européenne. Sophie in’t Veld constate désespérée, « certaines chose ne sont pas négociables, comme les droits fondamentaux et le respect de la législation européenne. Mais apparemment le Parlement estime que les relations transatlantiques sont plus importants (…) « Entre deux alliés ce n’est pas une façon de faire » a commenté Sophie in’t Veld . Elle déplore que ses collègues aient adopté sans enthousiasme un texte « faute de mieux ». Elle s’interroge : pourquoi le Parlement européen qui avait recalé ces accords en 2007, puis en mai 2010 et même saisi la Cour de justice a fini par accepter « un accord encore plus mauvais » s’est-elle étonnée dans sa conférence de presse.

Le débat a pointé un certains nombres de faiblesses, le dernier mot n’est pas dit, il convient de prendre date pour plus tard : le jour où la Cour européenne des droits de l’homme (CEDH) sera saisie, le jour où une initiative citoyenne européenne (ICE) contraindra la Commission à s’exprimer. Une mobilisation citoyenne n’est plus  utopique on vient de le voir avec ACTA et ses centaines de  milliers de pétitions (2,3 millions). A y regarder de plus prés, sur le plan des libertés civiles, le PNR recèle un potentiel tout aussi menaçant que ACTA. Sur le plan de la cohérence pourquoi le Parlement européen accepte-t-il PNR et refuserait-il ACTA ? Plusieurs limites de l’accord ont été pointées du doigt. Le problème clé serait qu’il n’y a pas de limitation dans l’objectif d’utilisation des données. Or la législation de l’Union européenne impose comme condition préalable de définir le but d’une collecte de renseignements. D’autres élus s’inquiètent du champ d’utilisation de données potentiellement sensibles ainsi que de la durée de leur conservation. Le principe de proportionnalité est en jeu et pour moins que cela (ou tout autant) le Conseil constitutionnel français a refusé de donner son aval à un projet du gouvernement français concernant son projet de carte d’identité biométrique. Ce même Conseil constitutionnel aurait été fort embarrassé s’il avait dû donner son accord dans le cas où il nous aurions été mis en présence d’un accord mixte UE/ Etats membres. Le principe même d’une base dormante pour dix ans n’est pas tenable outre le fait que la plupart des données sont rapidement obsolètes. On ne peut d’un côté défendre le droit à l’oubli et de l’autre tolérer une durée de dix ans pour la conservation des données dans une base dormante dont le concept et l’usage restent imprécis. Des députés ont tenté de clarifier la question du statut de ces intermédiaires techniques qui recueillent et stockent ces données pour les compagnies aériennes. Quatre des principales entreprises spécialisées dans les systèmes informatiques de réservation qui centralisent l’essentiel des données des passagers sont basées aux Etats-Unis et donc soumises à  la législation américaine, sur laquelle l’accord concédé par l’UE n’a pas de prises. Sophie in’t Veld, le rapporteur désavoué, a consigné dans son rapport  les défaillances et faiblesse de l’accord.

Elle a martelé sans relâche les arguments de façon répétitive sans porter le même soin à la tactique à suivre pour faire prévaloir un point de vue assez répandu mais qui s’est érodé avec le temps. « Cet accord valide une pratique existant déjà puisque, après les attentats du 11 septembre 2001, les États-Unis ont réclamé aux compagnies aériennes les données PNR (pour Passenger Name Record , en anglais) fournies par les passagers eux-mêmes au moment de la réservation du billet et de l’enregistrement. Les États-Unis réclament 19 données, comme le nom des passagers, l’adresse, le numéro de passeport, le numéro de carte de crédit, les détails du vol, etc. L’Union européenne a dû légaliser cette pratique par deux premiers accords signés en 2004 et en 2007. Or, depuis l’adoption du traité de Lisbonne, le Parlement européen devait aussi se prononcer. C’est ce qu’il a fait, le 19 avril, en approuvant une version révisée de ces accords censée être plus protectrice des droits des personnes. Les anciennes et la nouvelle version de ces accords concernent aussi bien les voyageurs qui se rendent aux États-Unis que ceux qui survolent leur territoire. Ces données permettent tout de même aux autorités américaines de dresser des profils et, en cas de soupçons, de mener des enquêtes plus fouillées.

Selon la méthode validée par l’accord du 19 avril  dite « push » , les transporteurs ou leurs intermédiaires filtrent les 19 données PNR réclamées par les États-Unis. Et ils les envoient au ministère américain de la sécurité intérieure (DHS, Department of Homeland Security). Toutefois, les États-Unis se réservent aussi la possibilité d’aller chercher eux-mêmes les données qui les intéressent dans les ordinateurs des transporteurs. C’est la méthode « pull » . Elle est déjà utilisée, et ce jusqu’à, parfois, 82 000 demandes exceptionnelles par jour.

Selon moi, cet accord pose deux gros problèmes. D’une part, les données PNR pourraient être utilisées pour d’autres motifs n’ayant rien à voir avec la lutte contre le terrorisme ou la grande criminalité, faute de strictes limites juridiques. Je pense notamment aux contrôles migratoires et douaniers. Washington a d’ailleurs explicitement dit compter les utiliser pour éviter des épidémies. Or si l’on ne sait pas quels usages sont autorisés, on ne pourra pas dénoncer des abus, contrairement à ce qu’assurent les partisans de l’accord !

D’autre part, si l’on lit l’accord en détail, la période de rétention des données n’est pas de quinze ans, mais indéfinie. Il est vrai que l’accès aux données par le ministère américain de la sécurité intérieure sera progressivement restreint. Mais cela ne signifie pas qu’elles seront effacées ! C’est encore un recul par rapport à l’accord de 2004, qui prévoyait trois ans et demi de stockage.

Par ailleurs, l’accord ne prévoit pas l’effacement immédiat des données dites « sensibles », contrairement à la version de 2004. Ainsi une préférence alimentaire peut-elle révéler une religion. Une réservation d’hôtel ou un itinéraire peuvent en dire plus sur l’orientation sexuelle. Ou encore, une demande d’assistance médicale peut laisser deviner un état de santé. Désormais, ces données sensibles ne seront effacées, après trente jours, que s’il a été décidé de ne pas les utiliser. Au final, je suis quasi sûre que cet accord n’est pas conforme à la législation européenne sur la protection de la vie privée. »

Quant à Coppelia dont les lecteurs de Nea say lisent avec intérêt ses « billets » que dit-elle ? Eelle est d’accord pour l’essentiel avec Sophie in’t Veld même si les détails de l’argumentaire différent légèrement, sur le fond elles sont toutes les deux bien d’accord.  « A première vue, « l’effet utile » de l’accord pourrait s’étendre bien au-delà du cadre légal fixant les limites des compétences des institutions de l’UE dans le domaine de la coopération judiciaire en matière pénale et ainsi mettre à en péril les garanties assurées par le traité de Lisbonne à ces mêmes Etats membres et à leurs citoyens. De même l’absence d’une vérification préliminaire de la part de la Cour de Justice comporte le risque de voir un « citoyen voyageur » être discriminé par rapport à un « non-voyageur »qui ne quitte pas le territoire de l’UE et singulièrement ne se rend pas aux Etats-Unis. Le risque existe pour lui  d’une discrimination de traitement par manque de protection effective et uniforme de ses propres données vis-à vis des autres qui ne « voyage pas » et ce la en violation du Traité. De plus le manque, jusqu’à présent, d’un système de protection diplomatique au niveau européen pour tous les citoyens qui voyagent dans las pays tiers , ferait augmenter les risques de discrimination selon la nationalité à l’occasion d’une violation de la protection juridique des données appartenant à un particulier, et même en cas d’erreur involontaire qu’il resterait à démontrer ;Cela pourrait avoir comme effet de remettre en cause le principe de citoyenneté européenne au sens global. Même si dans un Etat de droit, il est toujours vrai que « ignorantia legis non excusat », comment de simples citoyens pourraient avoir une connaissance pleine et véritable de leurs droits et de leurs devoirs en matière de protection des données personnelles lorsque ceux-ci sont établis dans un pays tiers ? Et que dire encore, comme par exemple, en matière d’évaluation des conditions pour l’introduction des recours, la transmission et la prise en compte des preuves, le dédommagement en cas d’incident grave. Au premier abord, l’accord se concentre sur une large application-extraterritoriale, il faut le souligner- de l’ensemble d’un système juridique d’un pays tiers, appartenant à la « common law », pays tiers constitué de 50 Etats fédérés. Des dispositions s’appliquant directement aux citoyens de l’Union, le Danemark, le Royaume-Uni et l’Irlande en étant dispensés, les chanceux ! Qui sera le garant réel, où est la sécurité  juridique ? Comment garantir le droit à un accès « effectif » à la justice en cas de problèmes ? Que dire des coûts judiciaires éventuels ? La liste des inquiétudes n’est pas complète et la liste pourrait se poursuivre il suffit de prendre en considération la Charte des droits fondamentaux de l’Union européenne, la Convention européenne des droits fondamentaux, les traditions juridiques de la plupart des Etats membres de l’UE en matière des droits de protection des données personnelles, on constaterait alors que tous ces ne pourraient pas, en principe, être intégrés ou interprétés directement « overseas »Tout cela mériterait un examen approfondi, au cas par cas et tout particulièrement le lien de rattachement juridique de droit international selon les différentes obligations légales imposés aux citoyens européens par ce mécanisme complexe , citoyens européens qui ne pourraient pas s’opposer à ce que leurs données stockées, filtrées dans plusieurs bases de données inatteignables et cela en raison d’un consentement forcé, extorqué au départ de vacances estivales par ailleurs bien méritées….Donc encore une fois, chers Messieurs, je vous en prie, « SVP ne me protégez pas ! »

A suivre, le dernier mot n’est pas encore dit !  Le feu vert donné par le Parlement européen ne met pas fin à la saga du PNR.

      -. Texte de l’accord (FR) http://register.consilium.europa.eu/pdf/fr/11/st17/st17434.FR11.pdf(EN) http://register.consilium.europa.eu/pdf/en/11/st17/st17434.EN11.pdf

      -. Texte de la résolution législative adoptée par le Parlement européen (FR) http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-%2f%2fEP%2f%2fTEXT%2bTA%2bP7-TA-2012-0134%2b0%2bDOC%2bXML%2bV0%2f%2fFR&language=FR  (EN) http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2012-0134+0+DOC+XML+V0//EN

      -. Déclaration de Cecilia Malmström (FR) http://europa.eu/rapid/pressReleasesAction.do?reference=MEMO/12/259  (EN) http://europa.eu/rapid/pressReleasesAction.do?reference=MEMO/12/259&format=HTML&aged=0&language=EN&guiLanguage=fr

      -. Déclaration de l’ambassadeur américain William E. Kennard http://useu.usmission.gov/kennard_041912.html

      -. Frequently asked questions (EN) http://europa.eu/rapid/pressReleasesAction.do?reference=MEMO/12/258

      -. Déclaration de Guy Verhofstadt, président du groupe libéral opposé à l’accord http://www.alde.eu/press/press-and-release-news/press-release/article/verhofstadt-pnr-agreement-falls-short-of-eu-standards-on-data-privacy-39002/

      -. EDPS (Peter Hustinx) criticizes the EU PNR scheme http://www.edri.org/edrigram/number9.7/edps-on-eu-pnr

http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2011/11-12-09_US_PNR_EN.pdf

      -. Dossier PNR de Nea say http://www.eu-logos.org/eu-logos-nea-recherche.php?q=PNR&Submit=%3E