OBJECTIF : conclure un accord entre les États-Unis et l'Union européenne sur l'utilisation et le transfert des données des dossiers passagers (données PNR) au ministère américain de la sécurité intérieure.
ACTE LÉGISLATIF : Décision 2012/472/UE du Conseil relative à la conclusion de l'accord entre les États-Unis d'Amérique et l'Union européenne sur l'utilisation des données des dossiers passagers et leur transfert au ministère américain de la sécurité intérieure.
CONTEXTE : la législation des États-Unis autorise le ministère américain de la sécurité intérieure (Department of Homeland Security, ou DHS) à exiger de tout transporteur aérien assurant des services de transport de passagers au départ et à destination des États-Unis qu'il lui fournisse un accès électronique aux données des dossiers passagers (Passager Name Record ou PNR) avant que les passagers concernés n'arrivent aux États-Unis ou ne quittent le pays. Les obligations imposées par les autorités des États-Unis se fondent sur le titre 49 du code des États-Unis, section 44909c (3), et sur ses règlements d'application (titre 19 du code des règlements fédéraux, section 122.49b). La finalité de cette législation est d'obtenir par voie électronique les données PNR avant l'arrivée d'un vol, et elle renforce dès lors considérablement la capacité du DHS à mener de façon efficace et effective une évaluation précoce des risques présentés par les passagers et à faciliter le trafic passagers légitime, ce qui améliore la sécurité des États-Unis.
L'accord favorise en outre la coopération policière et judiciaire internationale grâce au transfert, par les États-Unis, d'informations analytiques découlant des données PNR aux autorités compétentes des États membres ainsi qu'à EUROPOL et EUROJUST dans leurs domaines de compétence respectifs.
En 2007, l'Union européenne a signé avec les États-Unis un accord sur le transfert et le traitement des données PNR, fondé sur une série d'engagements pris par le DHS en ce qui concerne l'application de son programme PNR.
À la suite de l'entrée en vigueur du traité de Lisbonne et dans l'attente de la conclusion de l'accord, le Conseil a transmis l'accord de 2007 signé avec les États-Unis au Parlement européen afin d'obtenir l'approbation de celui-ci. Le Parlement européen a toutefois adopté une résolution dans laquelle il décidait d'ajourner son vote sur l'approbation demandée et requérait la renégociation de l'accord sur la base de certains critères (voir RSP/2010/2657). Dans l'attente de cette renégociation, l'accord de 2007 demeurait applicable à titre provisoire.
Le 2 décembre 2010, le Conseil a adopté une décision, ainsi que des directives de négociation, autorisant la Commission à ouvrir des négociations entre l'Union et les États-Unis sur le transfert et l'utilisation des données des dossiers passagers dans le but de prévenir et de combattre le terrorisme et d'autres formes graves de criminalité transnationale.
Conformément à la décision 2012/471/UE du Conseil, l'accord a été signé le 14 décembre 2011, sous réserve de sa conclusion. Il remplace ainsi l’accord de 2007.
Il y a lieu maintenant lieu d’approuver l’accord au nom de l’UE.
CONTENU : avec la présente décision, l’accord entre les États-Unis d'Amérique et l'Union européenne sur l'utilisation et le transfert des données PNR au ministère américain de la sécurité intérieure est approuvé au nom de l'Union.
Les principales dispositions de cet accord peuvent se résumer comme suit :
Finalité de l’accord : l’accord a pour objet de garantir la sécurité et de protéger la vie de la population en veillant à sa sûreté.
Dossiers PNR : les données PNR sont les informations fournies volontairement par les passagers et recueillies par les transporteurs aériens au cours des procédures de réservation et d'enregistrement. Elles comprennent des informations telles que le nom, les dates du déplacement ainsi que l'itinéraire, des informations relatives au billet, l'adresse et les numéros de téléphone, le moyen de paiement utilisé, le numéro de carte de crédit, l'agence de voyage, le numéro du siège occupé et des renseignements sur les bagages.
Champ d’application : l’accord s'applique aux transporteurs assurant des services de transport de passagers entre l'Union européenne et les États-Unis ainsi qu’aux transporteurs constitués en société ou stockant des données dans l'Union européenne et assurant des services de transport de passagers au départ et à destination des États-Unis.
Utilisation des dossiers passagers : les États-Unis devront recueillir, utiliser et traiter les dossiers passagers à des fins de prévention et de détection des infractions détaillées à l’accord à savoir la prévention et la détection d'infractions terroristes ou de la criminalité transnationale, ainsi qu'aux enquêtes et poursuites en la matière. Dans sa mise en œuvre, l’accord devra strictement se limiter à l'utilisation des données PNR à la prévention et à la détection d'infractions terroristes ou de la criminalité transnationale.
Données sensibles : dans la mesure où les dossiers passagers tels qu'ils sont recueillis comprennent des données sensibles (c'est-à-dire les données et informations à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ou des données relatives à l'état de santé ou à la vie sexuelle des personnes concernées), le DHS devra utiliser des systèmes automatisés pour filtrer et masquer les données sensibles dans les dossiers passagers. En principe, le DHS ne pourra traiter ni n'utiliser ultérieurement de telles données, sauf exception décrite à l’accord comme notamment lorsque la vie d'une personne pourrait être menacée ou mise gravement en péril.
Les données sensibles seront effacées définitivement au plus tard 30 jours à compter de la date à laquelle le DHS a reçu pour la dernière fois le dossier passager contenant ces données, excepté dans certains cas clairement circonscris.
Garanties : conformément à l’accord, les garanties suivantes sont offertes aux particuliers :
- Droit de correction et de rectification des données : toute personne aura le droit, indépendamment de sa nationalité, de son pays d'origine ou de son lieu de résidence, de demander que son dossier passager soit corrigé ou rectifié, y compris effacé ou bloqué, par le DHS ;
- Droit de recours : toute personne dont les données et informations à caractère personnel ont été traitées et utilisées de manière non conforme disposera d'un droit de recours administratif et judiciaire effectif conformément au droit des États- Unis, indépendamment de sa nationalité, de son pays d'origine ou de son lieu de résidence.
Durée de conservation des données : la durée de conservation des données PNR est limitée. Le DHS pourra ainsi conserver les dossiers passagers dans une base de données active pendant une période de 5 ans. Après six mois, les informations permettant une identification personnelle contenues dans les données PNR seront masquées et, après 5 ans, les données PNR seront transférées. L'accès à cette base de données active est limité, sauf exception prévue dans l’accord, à un nombre restreint de fonctionnaires expressément autorisés.
Après cette période active, les dossiers passagers sont transférés vers une base de données dormante pour une période pouvant durer 10 ans. La période d’utilisation des données PNR est donc limitée 10 ans pour la criminalité transnationale mais de 15 ans pour le terrorisme.
À l'issue de la période dormante, les données conservées doivent être rendues entièrement anonymes par l'effacement de tous les types de données susceptibles de permettre l'identification des passagers auxquels se rapportent les dossiers concernés, sans possibilité de repersonnalisation.
Á noter que dans le cadre de l’évaluation sur la mise en œuvre de l’accord, il est prévu que la période dormante de conservation de 10 ans soit réexaminée.
Accès de l’Union européenne aux données : l’accord prévoit l'obligation juridiquement contraignante, pour le ministère américain de la sécurité intérieure, d'informer les États membres et les autorités de l'UE des pistes susceptibles d'intéresser l'UE qui découleraient de l'analyse de ces données PNR. Plus largement, le DHS devra fournir dès que possible aux autorités compétentes policières, spécialisées dans l'action répressive, ou judiciaires, des États membres de l'UE, à Europol et à Eurojust, des informations analytiques pertinentes et appropriées tirées de dossiers passagers, dans les cas faisant l'objet d'un examen ou d'une enquête, afin de prévenir et de détecter au sein de l'Union européenne, les infractions terroristes ainsi que les infractions pénales qui y sont liées ou d'autres formes de criminalité transnationale.
En outre, les autorités policières ou judiciaires d'un État membre de l'UE, Europol ou Eurojust pourront, dans le cadre de leur mandat, demander l'accès aux dossiers passagers ou aux informations analytiques pertinentes tirées des dossiers passagers qui sont nécessaires, dans un cas particulier, à la prévention et à la détection des infractions terroristes ou de la criminalité transnationale dans l'Union européenne. Le DHS devra fournir ce type d’informations.
Transfert ultérieur de données : les États-Unis pourront transférer des dossiers passagers aux autorités publiques compétentes de pays tiers uniquement dans des conditions compatibles avec l’accord et après avoir obtenu l'assurance que le destinataire a l'intention d'utiliser ces dossiers conformément aux dispositions de l’accord.
Contrôles : le respect des règles prévues à l'accord fera l'objet d'un réexamen et d'un contrôle indépendants par différents fonctionnaires du ministère chargés de la protection de la vie privée, ainsi que par le bureau de l'Inspecteur général du DHS, le bureau américain d'évaluation des programmes gouvernementaux (Government Accountability Office) et le Congrès des États-Unis.
Respect des droits fondamentaux : l'accord devra respecter les droits fondamentaux et observer les principes reconnus en particulier par la Charte des droits fondamentaux de l'Union européenne, notamment le droit au respect de la vie privée et familiale, le droit à la protection des données à caractère personnel et le droit à un recours effectif et à accéder à un tribunal impartial, visés à la Charte.
Examen et évaluation : les parties devront examiner conjointement la mise en œuvre de l’accord un an après son entrée en vigueur et ultérieurement à un rythme régulier défini d'un commun accord. Elles évalueront en outre conjointement l’accord 4 ans après son entrée en vigueur.
À l’issue de cet examen conjoint, la Commission européenne devra présenter un rapport au Parlement européen et au Conseil. Les États-Unis auront la possibilité de formuler des observations écrites.
Durée de l’accord : l’accord est conclu pour une période initiale de 7 ans à compter de son entrée en vigueur. Á l’issue de ce délai, l’accord pourra être renouvelé pour un délai supplémentaire de 7 ans.
Dispositions territoriales : conformément aux dispositions pertinentes du protocole n° 21 au traité sur l'Union européenne et au traité sur le fonctionnement de l'Union européenne, l’Irlande et le Royaume-Uni ont notifié leur souhait de participer à l'adoption et à l'application de la décision. En revanche, le Danemark a décidé de ne pas y participer et n’y sera donc pas lié ni soumis à son application.
ENTRÉE EN VIGUEUR : la décision entre en vigueur le 12 août 2012. L’accord entrera en vigueur lorsque l’ensemble des procédures nécessaires à cet effet auront été accomplies.