Avis du Contrôleur européen de la protection des données sur la proposition de décision du Conseil relative à la conclusion de laccord entre lUnion européenne et lAustralie sur le traitement et le transfert de données des dossiers passagers (données PNR) par les transporteurs aériens au service australien des douanes et de la protection des frontières.
Le CEPD indique tout dabord quil a déjà été consulté sur la présente proposition de manière informelle courant mai 2011, dans le contexte dune procédure accélérée. Étant donné que ses observations restent valides quant au fond de la proposition, le CEPD a décidé dassurer une diffusion plus large de ses observations en adoptant un avis accessible au public. De cette manière, ses observations pourront être prises en compte lors des discussions ultérieures de la proposition.
Nécessité dune plus grande proportionnalité : une observation constante sapplique à la proposition : la nécessité et la proportionnalité des systèmes PNR doivent être démontrées. Ces deux exigences fondamentales sont des aspects essentiels de la législation relative à la protection des données, conformément aux articles 7 et 8 de la Charte des droits fondamentaux et à larticle 16 TFUE. LUE doit veiller à ce que les exigences de la législation de lUE en matière de protection des données soient respectées, y compris dans les cas où des données de citoyens européens sont traitées et transférées du territoire de lUE à un pays tiers. Dans ces cas, la nécessité et la proportionnalité doivent être évaluées et établies, avant que tout accord puisse être signé. Outre les éléments à lappui de la nécessité du système PNR, la proportionnalité impose un équilibre adéquat entre la finalité poursuivie et le traitement de volumes massifs de données se traduisant par une grave intrusion dans la vie privée des personnes.
La finalité des systèmes PNR est de lutter contre le terrorisme et les formes graves de criminalité (transnationale) par la collecte de volumes massifs de données relatives à tous les passagers afin de procéder à une évaluation des risques présentés par ces passagers. Jusquà présent, le CEPD na pas trouvé déléments convaincants dans les justifications des systèmes PNR existants ou envisagés, comme le système PNR de lUE.
En outre, quand bien même la nécessité serait établie, le CEPD souligne que le critère de proportionnalité doit encore être satisfait. Il sinterroge sur léquilibre entre le traitement de données à caractère personnel sur une grande échelle et la finalité poursuivie, notamment au regard de la grande diversité des infractions comprises dans le champ dapplication du projet daccord.
Le CEPD fait en outre une série dautres observations spécifiques qui ne préjugent pas de la précédente observation de fond. Ces observations peuvent se résumer comme suit :
Objectif global : le CEPD salue lapproche générale qui vise à harmoniser les garanties en matière de protection des données dans les divers accords PNR conclus avec des pays tiers. Ainsi, les dispositions relatives aux aspects liés à la sécurité des données, à la supervision et à lexécution des décisions sont développées dune manière satisfaisante. Le CEPD souligne que toute personne a accès à lautorité australienne chargée de la protection des données ainsi quaux autorités judiciaires australiennes.
Définitions : le CEPD note que les finalités pour lesquelles les données PNR peuvent être traitées sont définies avec précision à la proposition. Il regrette toutefois que les définitions actuelles soient plus larges que les définitions de la proposition de directive relative à un système PNR européen, qui devraient elles-mêmes être davantage restreintes, notamment en ce qui concerne les infractions mineures. Alors que dans la proposition relative à un système PNR européen, les définitions tiennent compte des conséquences des activités qualifiées de «terroristes», comme les dommages concrets occasionnés aux personnes ou aux gouvernements (décès, atteintes à lintégrité physique, destruction dun système de transport, dinfrastructures, etc.), la présente proposition est moins spécifique et moins axée sur les finalités lorsquelle évoque le fait dintimider des personnes ou des gouvernements ou le fait de gravement déstabiliser les structures politiques ou économiques fondamentales. Le CEPD considère notamment quune plus grande précision est nécessaire quant aux notions d«intimidation», de «contrainte» et de «coercition», ainsi que de «structures fondamentales politiques, constitutionnelles, économiques ou (en particulier) sociales dun pays ou dune organisation internationale». Cela permettrait dempêcher lapplication du système PNR dans les situations quil ne doit en aucun cas viser, comme les activités légitimes (par exemple, les manifestations pacifiques) dans un contexte social, culturel ou politique.
Inclusion de finalités exceptionnelles : la possibilité de traiter des données dans dautres cas exceptionnels soulève des questions supplémentaires, notamment dans la mesure où elle sétend à la «menace pour la santé». Le CEPD considère quune telle extension de la finalité est disproportionnée, dautant plus que dautres procédures plus spécifiques sont disponibles pour faire face aux menaces graves pour la santé, au besoin au cas par cas. En outre, les données PNR ne constituent pas loutil le plus approprié pour identifier des passagers: des données plus fiables existent, notamment les données API.
Période de conservation des données : le CEPD considère la durée de la période de conservation des données comme une des difficultés majeures de la proposition. Une période de conservation de 5 ans et demi, en ce compris 3 années sans le moindre masquage des données, est manifestement disproportionnée, surtout si lon compare cette période de conservation avec le système PNR australien précédent, qui ne prévoyait pas le stockage de données, si ce nest au cas par cas. Une justification détaillée doit être fournie pour expliquer la raison pour laquelle une longue période de conservation, qui navait pas été jugée nécessaire dans le premier système PNR australien, est à présent prévue. Il considère pour sa part que lanonymisation complète (cest-à-dire irréversible) de toutes les données doit être effectuée, si pas immédiatement après lanalyse, à tout le moins dans un délai maximal de 30 jours.
Base juridique : le CEPD considère en outre que la base juridique de laccord doit être reconsidérée. Eu égard à la jurisprudence constante, et abstraction faite de larticle 218, paragraphe 6, point a), le CEPD pense que laccord doit être basé sur larticle 16 TFUE en tout cas, pour lessentiel et non sur larticle 82, paragraphe 1, point d), ou sur larticle 87, paragraphe 2, point a), TFUE. Cela est entièrement conforme à la déclaration 21 annexée au traité de Lisbonne.
Conclusion : ces observations doivent être lues dans le contexte plus large de la légitimité de tout système PNR, considéré comme la collecte systématique des données des passagers à des fins dévaluation des risques. Ce nest que si le système respecte les exigences fondamentales de nécessité et de proportionnalité visées aux articles 7 et 8 de la Charte des droits fondamentaux et à larticle 16 TFUE quune proposition pourra satisfaire aux autres exigences du cadre de protection des données. Le CEPD conclut dès lors quune plus grande attention doit être accordée à ces exigences fondamentales lors des évaluations finales qui précéderont la conclusion de laccord.