OBJECTIF : conclure un accord entre les États-Unis et l'Union européenne sur l'utilisation et le transfert des données des dossiers passagers (données PNR) au ministère américain de la sécurité intérieure.
ACTE PROPOSÉ : Décision du Conseil
CONTEXTE : la législation des États-Unis autorise le ministère américain de la sécurité intérieure (Department of Homeland Security, ou DHS) à exiger de tout transporteur aérien assurant des services de transport de passagers au départ et à destination des États-Unis qu'il lui fournisse un accès électronique aux données des dossiers passagers (Passager Name Record ou PNR) avant que les passagers concernés n'arrivent aux États-Unis ou ne quittent le pays. Les obligations imposées par les autorités des États-Unis se fondent sur le titre 49 du code des États-Unis, section 44909c (3), et sur ses règlements d'application (titre 19 du code des règlements fédéraux, section 122.49b). La finalité de cette législation est d'obtenir par voie électronique les données PNR avant l'arrivée d'un vol, et elle renforce dès lors considérablement la capacité du DHS à mener de façon efficace et effective une évaluation précoce des risques présentés par les passagers et à faciliter le trafic passagers légitime, ce qui améliore la sécurité des États-Unis.
L'accord favorise en outre la coopération policière et judiciaire internationale grâce au transfert, par les États-Unis, d'informations analytiques découlant des données PNR aux autorités compétentes des États membres ainsi qu'à EUROPOL et EUROJUST dans leurs domaines de compétence respectifs.
En 2007, l'Union européenne a signé avec les États-Unis un accord sur le transfert et le traitement des données PNR, fondé sur une série d'engagements pris par le DHS en ce qui concerne l'application de son programme PNR.
À la suite de l'entrée en vigueur du traité de Lisbonne et dans l'attente de la conclusion de l'accord, le Conseil a transmis l'accord de 2007 signé avec les États-Unis au Parlement européen afin d'obtenir l'approbation de celui-ci. Le Parlement européen a toutefois adopté une résolution dans laquelle il décidait d'ajourner son vote sur l'approbation demandée et demandait la renégociation de l'accord sur la base de certains critères (voir RSP/2010/2657). Dans l'attente de cette renégociation, l'accord de 2007 demeurerait applicable à titre provisoire.
Le 21 septembre 2010, le Conseil a reçu une recommandation de la Commission visant à autoriser l'ouverture de négociations en vue d'un nouvel accord entre l'Union européenne et les États-Unis aux fins du transfert et de l'utilisation de données PNR, afin de prévenir et de combattre le terrorisme et d'autres formes graves de criminalité transnationale. Dans la foulée, le 11 novembre 2010, le Parlement européen a adopté une résolution sur la recommandation de la Commission adressée au Conseil, relative à l'ouverture des négociations.
Le 2 décembre 2010, le Conseil a adopté une décision, ainsi que des directives de négociation, autorisant la Commission à ouvrir des négociations au nom de l'Union européenne. À l'issue des négociations entre les parties, l'accord a été paraphé le 17 novembre 2011.
Il est maintenant proposé de conclure cet accord au nom de l'Union européenne.
ANALYSE D'IMPACT : aucune analyse d'impact n'a été réalisée.
BASE JURIDIQUE : article 82, par.1, point d) et article 87, par. 2, point a), en liaison avec article 218, par. 6, point a) du traité sur le fonctionnement de l'Union européenne (TFUE).
CONTENU : la présente proposition vise à conclure un accord entre les États-Unis d'Amérique et l'Union européenne sur l'utilisation et le transfert des données PNR au ministère américain de la sécurité intérieure.
Dossiers PNR et principes de base de l'accord : pour rappel, le dossier passager (ou PNR) est un relevé des renseignements relatifs au voyage de chaque passager, qui contient toutes les informations nécessaires pour le traitement et le contrôle des réservations par les transporteurs aériens. Les compagnies aériennes ont l'obligation de permettre au DHS d'accéder à certaines données PNR figurant dans les systèmes informatiques de réservation et de contrôle des départs des compagnies aériennes. Toutefois, la législation de l'Union européenne en matière de protection des données ne permet pas aux transporteurs de pays européens et de pays tiers assurant des vols au départ de l'UE, de transmettre les données PNR de leurs passagers à des pays tiers n'offrant pas un niveau adéquat de protection des données à caractère personnel si les garanties appropriées ne sont pas fournies. Il est donc indispensable de trouver une solution qui fournira la base juridique au titre de laquelle les données PNR pourront être transférées légalement de l'Union européenne vers les États-Unis, afin de reconnaître la nécessité et l'importance de l'utilisation des données PNR en matière de lutte contre le terrorisme et d'autres formes graves de criminalité transnationale, tout en évitant l'insécurité juridique pour les transporteurs aériens. En outre, cette solution devrait être appliquée de façon homogène dans toute l'Union européenne, afin de garantir la sécurité juridique pour les transporteurs aériens et le respect du droit des personnes à la protection de leurs données à caractère personnel, ainsi que leur sécurité physique.
Garanties : l'accord prévoit plusieurs garanties importantes au bénéfice des personnes dont les données seront transférées et utilisées. En particulier, la finalité du traitement des données PNR est strictement limitée à la prévention et à la détection d'infractions terroristes ou de formes graves de criminalité transnationale, et aux enquêtes et poursuites en la matière.
Toute personne dispose d'un droit d'accès, de rectification, de recours et d'information. La méthode de transfert «push» est reconnue comme étant le mode de transfert autorisé habituel; l'ensemble des transporteurs sera tenu de l'utiliser dans les deux ans à compter de l'accord. Les données sensibles ne pourront en outre être utilisées que dans des cas tout à fait exceptionnels et devront être effacées après un délai très court.
Durée de conservation des données : la durée de conservation des données PNR est limitée. Leur durée d'utilisation sera relativement brève dans le cadre de la lutte contre les formes graves de criminalité transnationale, et plus longue dans le cadre de la lutte contre le terrorisme. Ces données seront en outre dépersonnalisées après une période de 6 mois.
Contrôles : le respect des règles prévues à l'accord fera l'objet d'un réexamen et d'un contrôle indépendants par différents fonctionnaires du ministère chargés de la protection de la vie privée, ainsi que par le bureau de l'Inspecteur général du DHS, le bureau américain d'évaluation des programmes gouvernementaux (Government Accountability Office) et le Congrès des États-Unis.
Respect des droits fondamentaux : l'accord respecte les droits fondamentaux et observe les principes reconnus en particulier par la Charte des droits fondamentaux de l'Union européenne, notamment le droit au respect de la vie privée et familiale, le droit à la protection des données à caractère personnel et le droit à un recours effectif et à accéder à un tribunal impartial, visés à la Charte.
Dispositions territoriales : le Royaume-Uni et l'Irlande participent à l'adoption de la présente décision mais pas le Danemark qui n'est donc pas lié par l'accord, ni soumis à son application.
INCIDENCE BUDGÉTAIRE : la proposition n'a pas d'incidence sur le budget de l'UE.