Avis du Contrôleur européen de la protection des données sur la proposition de décision du Conseil relative à la conclusion de l’accord entre les États-Unis d’Amérique et l’Union européenne sur l’utilisation et le transfert des données des dossiers passagers (données PNR) au ministère américain de la sécurité intérieure
Le 28 novembre 2011, la Commission a adopté une proposition de décision du Conseil relative à la conclusion de l’accord entre les États-Unis d’Amérique et l’Union européenne sur l’utilisation et le transfert des données des dossiers passagers (données PNR) au ministère américain de la sécurité intérieure.
Le 9 novembre 2011, le CEPD a été consulté de manière informelle sur le projet de proposition, dans le cadre d’une procédure accélérée. Le 11 novembre 2011, il a émis un certain nombre d’observations restreintes. L’objectif du présent avis est de compléter ces observations à la lumière de la présente proposition et de rendre ses considérations publiques.
Contexte de la proposition : l’accord vise à fournir une base juridique solide pour le transfert des données PNR de l’Union européenne aux États-Unis. Actuellement, les transferts de données PNR s’opèrent sur la base de l’accord de 2007 du fait que le Parlement a décidé de reporter le vote sur la demande d’approbation jusqu’à ce que ses préoccupations concernant la protection des données soient respectées. En particulier, dans sa résolution du 5 mai 2010, le Parlement a fait référence aux exigences suivantes:
- conformité avec la législation en matière de protection des données aux niveaux national et européen;
- analyse de l’impact sur la vie privée avant l’adoption de tout instrument législatif;
- critère de proportionnalité démontrant que les instruments juridiques existants ne sont pas suffisants;
- limitation stricte de la finalité et limitation de l’utilisation des données PNR à des cas spécifiques de criminalité ou de menaces, au cas par cas;
- limitation de la quantité de données à collecter;
- durées de conservation limitées;
- interdiction de l’exploration de données ou de profilage;
- interdiction de décisions automatiques affectant les citoyens de manière significative;
- mécanismes appropriés de réexamen indépendant, de surveillance judiciaire et de contrôle démocratique;
- tous les transferts internationaux s’effectuent dans le respect des normes de l’Union européenne relatives à la protection des données qui doit être établi par un constat d’adéquation spécifique.
Le présent accord doit être considéré dans le cadre de l’approche globale des données PNR, ce qui inclut des négociations avec d’autres pays tiers (à savoir l’Australie et le Canada), et une proposition de système PNR au niveau de l’Union européenne. Il entre aussi dans le cadre des négociations actuelles visant à conclure un accord entre l’UE et les États-Unis relatif à l’échange de données à caractère personnel dans le cadre de la coopération policière et de la coopération judiciaire en matière pénale.
Principales constatations : le CEPD accueille favorablement les garanties quant à la sécurité et au contrôle des données prévues dans l’accord et les améliorations par rapport à l’accord de 2007. Cependant, de nombreuses préoccupations demeurent, particulièrement en ce qui concerne :
- la cohérence de l’approche globale de la question des données PNR,
- la limitation de la finalité,
- les catégories de données à transférer au DHS,
- le traitement des données sensibles,
- la période de conservation, les exceptions à la méthode «push»,
- les droits des personnes concernées et les transferts ultérieurs.
Cohérence de l’approche : bien que le présent accord comporte quelques améliorations par comparaison avec l’accord de 2007 et comprenne des dispositifs de protection adéquats en termes de sécurité et de supervision des données, il apparaît qu’aucune des principales préoccupations exprimées dans la résolution du Parlement européen susvisée n’ait été respectée.
Finalité : bien que les définitions soient plus précises que celles de l’accord de 2007, il subsiste des concepts vagues et des exceptions qui pourraient passer outre la limitation de la finalité et miner la sécurité juridique. Entre autres, la CEPD relève :
- des imprécisions à la liste «des autres infractions passibles d’une peine d’emprisonnement d’au moins 3 années» car ce libellé englobe des infractions différentes dans l’UE et aux États-Unis ainsi que dans les différents États membres de l’UE et les différents États américains ; par ailleurs, les infractions mineures devraient être explicitement écartées du champ d’application de l’accord ;
- la notion de «menace grave» devrait être définie et l’utilisation des données PNR «si une juridiction l’impose» devrait être limitée à des cas strictement mentionnés ;
Liste des données PNR à transférer : cette liste devrait clairement être restreinte : l’annexe I de l’accord contient 19 types de données qui seront envoyées aux États-Unis. Dans le cadre de l’évaluation de la proportionnalité de la liste, il ressort que ces catégories données se rapporteront non seulement aux passagers effectifs mais aussi aux personnes qui, en fin de compte, ne prendront pas l’avion (par exemple en raison d’annulations). C’est pourquoi, le CEPD estime que la liste devrait être restreinte aux seules informations suivantes:
- «PNR record locator code»,
- date de réservation,
- date(s) prévue(s) du voyage,
- nom du passager,
- autres noms présents dans le PNR,
- itinéraire de voyage,
- identifiants de billets gratuits,
- billets aller simple,
- «ticketing field information»,
- données «ATFQ (Automatic Ticket Fare Quote)»,
- numéro de billet,
- date à laquelle le billet a été délivré,
- «no show history»,
- nombre de bagages,
- numéros des étiquettes de bagages,
- «go show information»,
- nombre de bagages sur chaque segment,
- changements de classe volontaires ou involontaires,
- détail des changements effectués sur les données PNR.
Données sensibles à traiter par le ministère américain de la sécurité intérieure (DHS) : l’article 6 de l’accord établit que le DHS doit filtrer automatiquement et «masquer» les données sensibles. Cependant, les données sensibles seront stockées pendant au moins 30 jours et pourraient être utilisées dans des cas particuliers. Même «masquées», ces données demeureront «sensibles» et concerneront des personnes physiques identifiables. Comme le CEPD l’a déjà déclaré, le DHS ne devrait pas traiter les données sensibles concernant les citoyens de l’UE, même si elles sont «masquées» dès leur réception.
Période conservation des données : l’article 8 établit que les données PNR seront conservées dans une base de données active pendant une période pouvant durer cinq ans, puis transférées vers une base de données dormante pendant une période pouvant durer dix ans. Cette période maximale de conservation de 15 ans est, de toute évidence, disproportionnée, que les données soient conservées dans des bases de données «actives» ou «dormantes »
Utilisation de la méthode «push» et fréquence des transferts : le CEPD accueille favorablement l’article 15, paragraphe 1, qui établit que les données seront transférées en utilisant la méthode «push». Cependant, l’article 15, paragraphe 5, exige des transporteurs de «fournir un accès» aux données PNR dans des circonstances exceptionnelles. Afin d’écarter définitivement l’utilisation du système «pull» et au vu des préoccupations encore récemment soulignées, le CEPD estime que l’accord devrait exclure expressément la possibilité que les autorités américaines aient accès directement aux données par le biais d’un système «pull».
Sécurité des données et droit de recours: si le CEPD approuve l’article 5 de l’accord sur la sécurité et l’intégrité des données, certains éléments posent problème notamment en matière notification du contenu des données à certaines personnes ou autorités qu’il conviendrait de dûment précisé. Le CEPD soutient par ailleurs le droit de recours de toute personne «indépendamment de sa nationalité, de son pays d’origine ou de son lieu de résidence» énoncé à l’accord. Il regrette cependant que l’article 21 mentionne explicitement que l’accord «ne crée ni ne confère, en vertu du droit des États-Unis, aucun droit ou avantage sur toute autre personne ou entité». En conséquence, si un droit à un «contrôle juridictionnel» est accordé aux États-Unis aux termes de l’accord, ce droit peut ne pas être équivalent au droit de recours effectif dans l’Union européenne, à la lumière de la restriction énoncée à l’article 21 de l’accord.
Transferts ultérieurs nationaux et internationaux : l’accord interdit le transfert des données aux autorités nationales qui n’appliquent pas aux dossiers passagers des garanties «équivalentes ou comparables» à celles fixées dans l’accord. Le CEPD accueille favorablement cette disposition. La liste des autorités qui pourraient recevoir des données PNR devrait cependant être plus détaillée.
Pour ce qui est des transferts internationaux, l’accord prévoit qu’ils ne devraient avoir lieu que si l’utilisation prévue par le destinataire est conforme à cet accord et présente des garanties en matière de respect de la vie privée «comparables» à celles prévues dans l’accord, en dehors des situations d’urgence.
En ce qui concerne les mots «comparable» ou «équivalent» utilisés dans l’accord, le CEPD voudrait souligner que le DHS ne devrait effectuer aucun transfert ultérieur, tant national qu’international, à moins que le destinataire ne donne des garanties qui ne soient pas moins strictes que celles énoncées dans le présent accord. En tout état de cause, le DHS devrait toujours être informé du transfert ultérieur de données à des pays tiers.
Forme et examen de l’accord : enfin, le CEPD estime que la forme juridique choisie par les États-Unis pour conclure cet accord devrait être précisée y compris la manière dont il deviendrait juridiquement contraignant aux États-Unis. L’accord devrait en outre faire l’objet d’un réexamen au vu du nouveau cadre de protection des données et de la conclusion possible d’un accord général entre l’Union européenne et les États-Unis sur l’échange de données à caractère personnel dans le cadre de la coopération policière et de la coopération judiciaire en matière pénale. Une nouvelle disposition pourrait être ajoutée à cet effet.