Avis du Contrôleur européen de la protection des données sur la proposition de décision du Conseil relative à la conclusion de laccord entre les États-Unis dAmérique et lUnion européenne sur lutilisation et le transfert des données des dossiers passagers (données PNR) au ministère américain de la sécurité intérieure
Le 28 novembre 2011, la Commission a adopté une proposition de décision du Conseil relative à la conclusion de laccord entre les États-Unis dAmérique et lUnion européenne sur lutilisation et le transfert des données des dossiers passagers (données PNR) au ministère américain de la sécurité intérieure.
Le 9 novembre 2011, le CEPD a été consulté de manière informelle sur le projet de proposition, dans le cadre dune procédure accélérée. Le 11 novembre 2011, il a émis un certain nombre dobservations restreintes. Lobjectif du présent avis est de compléter ces observations à la lumière de la présente proposition et de rendre ses considérations publiques.
Contexte de la proposition : laccord vise à fournir une base juridique solide pour le transfert des données PNR de lUnion européenne aux États-Unis. Actuellement, les transferts de données PNR sopèrent sur la base de laccord de 2007 du fait que le Parlement a décidé de reporter le vote sur la demande dapprobation jusquà ce que ses préoccupations concernant la protection des données soient respectées. En particulier, dans sa résolution du 5 mai 2010, le Parlement a fait référence aux exigences suivantes:
- conformité avec la législation en matière de protection des données aux niveaux national et européen;
- analyse de limpact sur la vie privée avant ladoption de tout instrument législatif;
- critère de proportionnalité démontrant que les instruments juridiques existants ne sont pas suffisants;
- limitation stricte de la finalité et limitation de lutilisation des données PNR à des cas spécifiques de criminalité ou de menaces, au cas par cas;
- limitation de la quantité de données à collecter;
- durées de conservation limitées;
- interdiction de lexploration de données ou de profilage;
- interdiction de décisions automatiques affectant les citoyens de manière significative;
- mécanismes appropriés de réexamen indépendant, de surveillance judiciaire et de contrôle démocratique;
- tous les transferts internationaux seffectuent dans le respect des normes de lUnion européenne relatives à la protection des données qui doit être établi par un constat dadéquation spécifique.
Le présent accord doit être considéré dans le cadre de lapproche globale des données PNR, ce qui inclut des négociations avec dautres pays tiers (à savoir lAustralie et le Canada), et une proposition de système PNR au niveau de lUnion européenne. Il entre aussi dans le cadre des négociations actuelles visant à conclure un accord entre lUE et les États-Unis relatif à léchange de données à caractère personnel dans le cadre de la coopération policière et de la coopération judiciaire en matière pénale.
Principales constatations : le CEPD accueille favorablement les garanties quant à la sécurité et au contrôle des données prévues dans laccord et les améliorations par rapport à laccord de 2007. Cependant, de nombreuses préoccupations demeurent, particulièrement en ce qui concerne :
- la cohérence de lapproche globale de la question des données PNR,
- la limitation de la finalité,
- les catégories de données à transférer au DHS,
- le traitement des données sensibles,
- la période de conservation, les exceptions à la méthode «push»,
- les droits des personnes concernées et les transferts ultérieurs.
Cohérence de lapproche : bien que le présent accord comporte quelques améliorations par comparaison avec laccord de 2007 et comprenne des dispositifs de protection adéquats en termes de sécurité et de supervision des données, il apparaît quaucune des principales préoccupations exprimées dans la résolution du Parlement européen susvisée nait été respectée.
Finalité : bien que les définitions soient plus précises que celles de laccord de 2007, il subsiste des concepts vagues et des exceptions qui pourraient passer outre la limitation de la finalité et miner la sécurité juridique. Entre autres, la CEPD relève :
- des imprécisions à la liste «des autres infractions passibles dune peine demprisonnement dau moins 3 années» car ce libellé englobe des infractions différentes dans lUE et aux États-Unis ainsi que dans les différents États membres de lUE et les différents États américains ; par ailleurs, les infractions mineures devraient être explicitement écartées du champ dapplication de laccord ;
- la notion de «menace grave» devrait être définie et lutilisation des données PNR «si une juridiction limpose» devrait être limitée à des cas strictement mentionnés ;
Liste des données PNR à transférer : cette liste devrait clairement être restreinte : lannexe I de laccord contient 19 types de données qui seront envoyées aux États-Unis. Dans le cadre de lévaluation de la proportionnalité de la liste, il ressort que ces catégories données se rapporteront non seulement aux passagers effectifs mais aussi aux personnes qui, en fin de compte, ne prendront pas lavion (par exemple en raison dannulations). Cest pourquoi, le CEPD estime que la liste devrait être restreinte aux seules informations suivantes:
- «PNR record locator code»,
- date de réservation,
- date(s) prévue(s) du voyage,
- nom du passager,
- autres noms présents dans le PNR,
- itinéraire de voyage,
- identifiants de billets gratuits,
- billets aller simple,
- «ticketing field information»,
- données «ATFQ (Automatic Ticket Fare Quote)»,
- numéro de billet,
- date à laquelle le billet a été délivré,
- «no show history»,
- nombre de bagages,
- numéros des étiquettes de bagages,
- «go show information»,
- nombre de bagages sur chaque segment,
- changements de classe volontaires ou involontaires,
- détail des changements effectués sur les données PNR.
Données sensibles à traiter par le ministère américain de la sécurité intérieure (DHS) : larticle 6 de laccord établit que le DHS doit filtrer automatiquement et «masquer» les données sensibles. Cependant, les données sensibles seront stockées pendant au moins 30 jours et pourraient être utilisées dans des cas particuliers. Même «masquées», ces données demeureront «sensibles» et concerneront des personnes physiques identifiables. Comme le CEPD la déjà déclaré, le DHS ne devrait pas traiter les données sensibles concernant les citoyens de lUE, même si elles sont «masquées» dès leur réception.
Période conservation des données : larticle 8 établit que les données PNR seront conservées dans une base de données active pendant une période pouvant durer cinq ans, puis transférées vers une base de données dormante pendant une période pouvant durer dix ans. Cette période maximale de conservation de 15 ans est, de toute évidence, disproportionnée, que les données soient conservées dans des bases de données «actives» ou «dormantes »
Utilisation de la méthode «push» et fréquence des transferts : le CEPD accueille favorablement larticle 15, paragraphe 1, qui établit que les données seront transférées en utilisant la méthode «push». Cependant, larticle 15, paragraphe 5, exige des transporteurs de «fournir un accès» aux données PNR dans des circonstances exceptionnelles. Afin décarter définitivement lutilisation du système «pull» et au vu des préoccupations encore récemment soulignées, le CEPD estime que laccord devrait exclure expressément la possibilité que les autorités américaines aient accès directement aux données par le biais dun système «pull».
Sécurité des données et droit de recours: si le CEPD approuve larticle 5 de laccord sur la sécurité et lintégrité des données, certains éléments posent problème notamment en matière notification du contenu des données à certaines personnes ou autorités quil conviendrait de dûment précisé. Le CEPD soutient par ailleurs le droit de recours de toute personne «indépendamment de sa nationalité, de son pays dorigine ou de son lieu de résidence» énoncé à laccord. Il regrette cependant que larticle 21 mentionne explicitement que laccord «ne crée ni ne confère, en vertu du droit des États-Unis, aucun droit ou avantage sur toute autre personne ou entité». En conséquence, si un droit à un «contrôle juridictionnel» est accordé aux États-Unis aux termes de laccord, ce droit peut ne pas être équivalent au droit de recours effectif dans lUnion européenne, à la lumière de la restriction énoncée à larticle 21 de laccord.
Transferts ultérieurs nationaux et internationaux : laccord interdit le transfert des données aux autorités nationales qui nappliquent pas aux dossiers passagers des garanties «équivalentes ou comparables» à celles fixées dans laccord. Le CEPD accueille favorablement cette disposition. La liste des autorités qui pourraient recevoir des données PNR devrait cependant être plus détaillée.
Pour ce qui est des transferts internationaux, laccord prévoit quils ne devraient avoir lieu que si lutilisation prévue par le destinataire est conforme à cet accord et présente des garanties en matière de respect de la vie privée «comparables» à celles prévues dans laccord, en dehors des situations durgence.
En ce qui concerne les mots «comparable» ou «équivalent» utilisés dans laccord, le CEPD voudrait souligner que le DHS ne devrait effectuer aucun transfert ultérieur, tant national quinternational, à moins que le destinataire ne donne des garanties qui ne soient pas moins strictes que celles énoncées dans le présent accord. En tout état de cause, le DHS devrait toujours être informé du transfert ultérieur de données à des pays tiers.
Forme et examen de laccord : enfin, le CEPD estime que la forme juridique choisie par les États-Unis pour conclure cet accord devrait être précisée y compris la manière dont il deviendrait juridiquement contraignant aux États-Unis. Laccord devrait en outre faire lobjet dun réexamen au vu du nouveau cadre de protection des données et de la conclusion possible dun accord général entre lUnion européenne et les États-Unis sur léchange de données à caractère personnel dans le cadre de la coopération policière et de la coopération judiciaire en matière pénale. Une nouvelle disposition pourrait être ajoutée à cet effet.