La Cour estime que l’accord sur le transfert de données de dossiers passagers ne peut pas être conclu sous sa forme actuelle.
Le projet d‘accord entre l’Union européenne et le Canada sur le transfert et le traitement des données de dossiers passagers (accord PNR) signé en 2014 n’est pas conforme au droit de l’Union européenne : c’est ce qu’a déclaré la Cour de justice de l’Union européenne (CJUE) dans un avis rendu le 26 juillet 2017 .
La Cour de Luxembourg estime que si le transfert, la conservation et l’utilisation systématiques de l’ensemble des données de dossiers passagers que prévoit l’accord sont pour l’essentiel admissibles, plusieurs dispositions du projet ne répondent pas aux exigences découlant des droits fondamentaux de l’Union.
Incompatibilité d’un accord international avec la Charte des droits fondamentaux de l’UE
Rappelons que l’Union européenne et le Canada ont négocié un accord sur le transfert et le traitement des données de dossiers passagers (accord PNR) qui a été signé en 2014.
Cet accord permet le transfert systématique et continu des données de dossiers passagers de l’ensemble des passagers aériens de l’UE aux autorités canadiennes, ainsi que de leur éventuel transfert ultérieur à d’autres autorités et d’autres pays tiers.
Le Conseil de l’Union européenne ayant demandé au Parlement européen de l’approuver, ce dernier avait décidé de saisir la CJUE pour savoir si l’accord envisagé était conforme au droit de l’Union et, en particulier, aux dispositions relatives au respect de la vie privée ainsi qu’à la protection des données à caractère personnel.
On notera que c’est la première fois que la Cour doit se prononcer sur la compatibilité d’un projet d’accord international avec la Charte des droits fondamentaux de l’UE.
Ingérence dans le droit fondamental à la protection des données personnelles et absence de règles claires et précises
Pour la Cour, si les ingérences dans les droits fondamentaux des citoyens européens sont justifiées car elles visent à garantir la réalisation d’un objectif visant à garantir la sécurité publique contre le terrorisme et la criminalité transnationale grave, « plusieurs dispositions de l’accord ne sont pas limitées au strict nécessaire et ne prévoient pas des règles claires et précises ».
En particulier, le transfert des données dites « sensibles », c’est à dire les données révélant « l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale » ou concernant « l’état de santé ou la vie sexuelle d’une personne » et dont le transfert vers le Canada devrait être justifié par d’autres motifs que ceux visant la protection de la sécurité publique précitée, est incompatible avec les droits fondamentaux du fait d’un risque de traitement contraire au principe de non-discrimination.
Traitement des données pendant le séjour des passagers au Canada : nécessité de justifier de circonstances nouvelles
Par ailleurs, si le traitement de données de dossiers passagers qui se trouvent au Canada ou sont en partance de pays « ne dépasse pas les limites du strict nécessaire du fait de la conservation ou de l’utilisation systématique » des données de dossiers passagers, les juges de Luxembourg estiment que l’utilisation de ces données pendant leur séjour au Canada « doit se fonder sur des circonstances nouvelles justifiant cette utilisation » afin de « protéger les données contre les risque d’abus ».
Elle rappelle ici que si le traitement des données de dossiers passagers, dicté par un objectif de sécurité publique contre les menaces terroristes, doit faciliter et accélérer les contrôles de sécurité notamment aux frontières, il ne doit pas pour autant entraîner une ingérence dans la vie privée des passagers.
Alain Bensoussan
Audrey Cuenca
Lexing Activité Tourisme numérique