Rapport n° 386 (2014-2015) de Mme Joëlle GARRIAUD-MAYLAM , fait au nom de la commission des affaires étrangères, de la défense et des forces armées, déposé le 1er avril 2015
Disponible au format PDF (308 Koctets)
-
INTRODUCTION
-
PREMIÈRE PARTIE : LE RENFORCEMENT DE LA
COOPÉRATION TRANSATLANTIQUE POUR LUTTER CONTRE LA CRIMINALITÉ
GRAVE ET LE TERRORISME
-
DEUXIÈME PARTIE : DES
STIPULATIONS QUI ENCADRENT LA COOPÉRATION FRANCO-AMÉRICAINE EN
MATIÈRE D'ENQUÊTES JUDICIAIRES
-
I. L'OBJET DE CETTE COOPÉRATION
-
II. LES ÉCHANGES D'INFORMATIONS CONCERNANT
LES EMPREINTES GÉNÉTIQUES ET DACTYLOSCOPIQUES
-
1. Première étape : un échange
d'informations relatives à la présence d'une empreinte
dactyloscopique ou génétique largement automatisé
-
2. Seconde étape : la transmission des
données personnelles selon le droit national de l'Etat requis
-
3. La possibilité d'une transmission
spontanée de données personnelles à titre préventif
-
1. Première étape : un échange
d'informations relatives à la présence d'une empreinte
dactyloscopique ou génétique largement automatisé
-
III. LA PROTECTION DES DONNÉES À
CARACTÈRE PERSONNEL
-
1. Les règles de principe et leur mise en
oeuvre dans les procédures de traitement
-
2. La tenue d'un registre des données
reçues ou transmises et la sécurité des
données
-
3. L'instauration d'un mécanisme de
contrôle par une autorité indépendante
-
4. Une exigence de transparence et d'information
des personnes concernées à laquelle s'ajoute un droit de
recours
-
5. Le suivi et la consultation réciproque
des Parties en lien avec la protection des données personnelles
-
6. La suspension de l'accord en cas de manquement
substantiel aux obligations fixées
-
1. Les règles de principe et leur mise en
oeuvre dans les procédures de traitement
-
IV. LES AUTRES DISPOSITIONS
-
I. L'OBJET DE CETTE COOPÉRATION
-
CONCLUSION GÉNÉRALE
-
EXAMEN EN COMMISSION
-
LISTE DES PERSONNES AUDITIONNÉES
N° 386
SÉNAT
SESSION ORDINAIRE DE 2014-2015
Enregistré à la Présidence du Sénat le 1 er avril 2015 |
RAPPORT
FAIT
au nom de la commission des affaires étrangères, de la défense et des forces armées (1) sur le projet de loi autorisant l'approbation de l'accord sous forme d'échange de lettres entre le Gouvernement de la République française et le Gouvernement des États - Unis d' Amérique relatif au renforcement de la coopération en matière d' enquêtes judiciaires en vue de prévenir et de lutter contre la criminalité grave et le terrorisme ,
Par Mme Joëlle GARRIAUD-MAYLAM,
Sénateur
(1) Cette commission est composée de : M. Jean-Pierre Raffarin , président ; MM. Christian Cambon, Daniel Reiner, Jacques Gautier, Aymeri de Montesquiou, Mmes Josette Durrieu, Michelle Demessine, MM. Xavier Pintat, Gilbert Roger, Robert Hue, Mme Leila Aïchi , vice-présidents ; M. André Trillard, Mmes Hélène Conway-Mouret, Joëlle Garriaud-Maylam, MM. Joël Guerriau, Alain Néri , secrétaires ; MM. Michel Billout, Jean-Marie Bockel, Michel Boutant, Jean-Pierre Cantegrit, Bernard Cazeau, Pierre Charon, Robert del Picchia, Jean-Paul Emorine, Philippe Esnol, Hubert Falco, Bernard Fournier, Jean-Paul Fournier, Jacques Gillot, Mme Éliane Giraud, M. Gaëtan Gorce, Mme Nathalie Goulet, M. Alain Gournac, Mme Sylvie Goy-Chavent, MM. Jean-Pierre Grand, Jean-Noël Guérini, Didier Guillaume, Mme Gisèle Jourda, M. Alain Joyandet, Mme Christiane Kammermann, M. Antoine Karam, Mme Bariza Khiari, MM. Robert Laufoaulu, Jacques Legendre, Jeanny Lorgeoux, Claude Malhuret, Jean-Pierre Masseret, Rachel Mazuir, Christian Namy, Claude Nougein, Philippe Paul, Mme Marie-Françoise Perol-Dumont, MM. Cédric Perrin, Jean-Vincent Placé, Yves Pozzo di Borgo, Henri de Raincourt, Alex Türk . |
Voir le(s) numéro(s) :
Sénat : |
48 et 387 (2014-2015) |
INTRODUCTION
Mesdames et Messieurs,
Le Sénat est saisi du projet de loi n° 48 (2014-2015) autorisant l'approbation de l'accord sous forme d'échanges de lettres entre le Gouvernement de la République française et le Gouvernement des Etats-Unis d'Amérique relatif au renforcement de la coopération en matière d'enquêtes judiciaires en vue de prévenir et lutter contre la criminalité grave et le terrorisme.
La lutte contre le terrorisme , tout comme celle engagée contre la grande criminalité, s'est globalisée et rend nécessaire l'intensification de la coopération de part et d'autre de l'Atlantique.
Cet accord, qu'il est proposé d'approuver aujourd'hui, vise principalement à faciliter des échanges d'informations concernant les profils ADN et les données dactyloscopiques 1 ( * ) , afin d'identifier des membres des réseaux terroristes et criminels. Toutefois si la sécurité collective a un prix, elle ne peut pas être assurée au préjudice de la protection des droits et libertés individuelles. En conséquence, cet instrument offre des garanties en matière de protection des données personnelles , dont le régime est prévu en France par la loi n°78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.
Compte tenu du caractère équilibré de ses dispositions et de la nécessité de donner toute son effectivité à la coopération en matière anti-terroriste, la commission des affaires étrangères, de la défense et des forces armées a adopté ce projet de loi .
PREMIÈRE PARTIE : LE RENFORCEMENT DE LA COOPÉRATION TRANSATLANTIQUE POUR LUTTER CONTRE LA CRIMINALITÉ GRAVE ET LE TERRORISME
I. LA COOPÉRATION TRANSATLANTIQUE EXISTANTE
Il existe une coopération ancienne d'entraide en matière pénale puisque la France et les Etats-Unis ont conclu deux accords, le premier relatif à l' extradition le 23 avril 1996 et le second relatif à l'entraide judiciaire le 10 décembre 1998.
Dans ce cadre, la France peut refuser d'exécuter une demande d'entraide judiciaire si l'exécution de celle-ci « risque de porter atteinte à sa souveraineté, à sa sécurité, à son ordre juridique ou à d'autres intérêts essentiels ». C'est ainsi qu'elle refuse toute entraide judiciaire dans les affaires pouvant conduire à une condamnation à la peine de mort aux Etats-Unis.
Depuis 2007, 475 demandes d'entraides ont été adressées aux Etats-Unis par les autorités françaises dont 48 en matière de terrorisme et 225 par les autorités américaines à la France dont 37 en matière de terrorisme.
A cette coopération judiciaire s'ajoute une coopération opérationnelle très efficace, bien que difficilement quantifiable, notamment avec le ministère de la sécurité intérieure américain et les agences fédérales qui dépendent du ministère de la justice comme le Federal Bureau of Investigation (FBI) et la Drug Enforcement Administration.
II. LA NÉCESSITÉ D'INTENSIFIER CETTE COOPÉRATION
Depuis les attentats du 11 septembre 2001 à New York , le Gouvernement américain a fait de la sécurité intérieure une priorité absolue. C'était en effet la première fois que les Etats-Unis étaient touchés sur leur territoire national.
Les pays européens ont été touchés à leur suite par le terrorisme lors des attentats de Madrid en mars 2004 et de Londres en juillet 2005. C'est ainsi qu'Europol, l'Office européen de police, opérationnel depuis 1999, dont la mission est de faciliter l'échange de renseignements entre polices nationales des Etats membres de l'Union européenne dans la prévention du terrorisme et de la criminalité grave est monté en puissance et qu'a été créée, en 2002 2 ( * ) , Eurojust, l'unité de coopération judiciaire afin de renforcer la lutte contre les formes de criminalité grave.
Plus récemment, les attentats du Marathon de Boston en 2013, de Paris en janvier 2015, puis de Copenhague en février 2015, ont mis en lumière l'apparition de nouvelles menaces avec des actes terroristes venant « de l'intérieur » commis par des individus radicalisés, rendant ainsi nécessaire l'intensification de la lutte contre le terrorisme et l'adaptation à son évolution.
Le caractère international des mouvements terroristes et des réseaux du crime organisé , l'extrême mobilité de leurs membres, leur remarquable capacité à contourner les techniques d'investigation des services d'enquêtes, même les plus nouvelles, rendent ainsi nécessaire le renforcement de la coopération transatlantique et le partage des informations, afin de pouvoir identifier de manière certaine des personnes qui utilisent de multiples identités , au moyen de données dactyloscopiques et génétiques.
Les services du ministère de l'intérieur auditionnés 3 ( * ) par votre rapporteur lui ont en particulier précisé que les organisations terroristes et criminelles font de plus en plus appel à des hommes « support » chargés d'organiser l'accueil et la logistique des membres du réseau « en mission » et que ceux-ci effectuent des rotations très courtes.
A l'heure actuelle, les échanges de données biométriques entre la France et les Etats-Unis se font dans le cadre de lettres d'entraide internationale via l'OIPC-Interpol. Ils sont très limités du fait d'un petit nombre de demandes de part et d'autre en l'absence d'un outil adapté. La coopération policière prévue par cet accord devrait permettre la facilitation et l'intensification de ces échanges.
Bien que renforçant leur contrôle aux frontières, les Etats-Unis qui avait mis en place, en 1986, le programme d'exemption de visa pour des séjours de moins de trois mois (« Visa Waiver Program ») ont accepté de le maintenir au bénéfice des ressortissants des pays inclus dans le programme, sous la condition que ceux-ci développent, avec eux, des échanges d'informations dans le domaine de la prévention et de la répression du terrorisme et de la criminalité grave.
En 2008, la France a donc été invitée par les Etats-Unis à négocier un accord de coopération policière sur l'échange de données génétiques et d'empreintes digitales afin de lutter contre la criminalité organisée. Une première proposition a été présentée en juillet 2009.
Les négociations ont duré presque trois ans. Le texte de cet accord a finalement été signé en mai 2012 .
DEUXIÈME PARTIE : DES STIPULATIONS QUI ENCADRENT LA COOPÉRATION FRANCO-AMÉRICAINE EN MATIÈRE D'ENQUÊTES JUDICIAIRES
I. L'OBJET DE CETTE COOPÉRATION
1. La lutte contre la criminalité grave et le terrorisme
Inspiré du traité dit de Prüm, dit aussi Schengen III, du 27 mai 2005 relatif à l'approfondissement de la coopération transfrontalière, notamment en vue de lutter contre le terrorisme, la criminalité transfrontalière et la migration illégale, conclu entre la France, la Belgique, l'Allemagne, l'Espagne, les Pays-Bas et l'Autriche, partiellement incorporé dans les décisions du Conseil de l'Union européenne du 23 juin 2008, la décision n°2008/615/JAI dite « décision de Prüm » relative à l'approfondissement de la coopération transfrontalière, notamment en vue de lutter contre le terrorisme et la criminalité transfrontalière et la décision n°2008/616/JAI relative à la mise en oeuvre de la précédente, le présent accord prévoit une coopération judiciaire pénale reposant essentiellement sur un accès automatisé d'une Partie aux bases de données d'empreintes génétiques et dactyloscopiques de l'autre Partie.
Après la définition des termes employés dans l'accord à l'article 1 er , l'article 2 précise son objet qui est de « renforcer, dans le cadre de la justice pénale, la coopération entre les Etats-Unis et la France en vue de prévenir, enquêter, détecter et poursuivre les infractions relatives à la criminalité grave, et en particulier au terrorisme, principalement par des échanges d'informations concernant les profils ADN et les données dactyloscopiques ».
2. Les infractions ou les faits concernés
Le champ d'application de cet instrument couvre les infractions relatives à la criminalité grave et au terrorisme définies en annexe du traité , les infractions de conspiration en vue de procéder à leur commission, l'adhésion à un groupe criminel organisé ou la tentative de commettre ces infractions si elles sont punissables, ainsi que les autres faits passibles d'une peine privative de liberté égale ou supérieure à trois ans .
II. LES ÉCHANGES D'INFORMATIONS CONCERNANT LES EMPREINTES GÉNÉTIQUES ET DACTYLOSCOPIQUES
L'échange d'informations se déroule en deux temps.
1. Première étape : un échange d'informations relatives à la présence d'une empreinte dactyloscopique ou génétique largement automatisé
Les articles 3 et 5 décrivent les conditions de consultation automatisée, respectivement des données dactyloscopiques et des profils ADN.
L'accès aux bases de données se fait via des points de contact nationaux désignés par les Parties qui autorisent mutuellement ceux-ci à accéder à leurs bases automatisées de données indexées, pour procéder à des comparaisons sur la base d'une interrogation « concordance/pas de concordance » (ou accès « hit/no hit ») . Concrètement, un officier de police judiciaire adressera sa demande d'interrogation à son point de contact national, qui la validera avant de la transmettre au point de contact national de l'autre Partie.
Les articles 4 et 6 précisent que les points de contact nationaux chargés de traiter les demandes de consultation ou la transmission des données indexées sont désignés par chaque Partie selon son droit interne . En France, ces consultations seront réalisées par la sous-direction de la police technique et scientifique de la direction centrale de la police judiciaire pour les dossiers de grande criminalité.
Cet accès « concordance/pas de concordance » permet seulement de savoir si les empreintes en question sont connues de l'autre Partie, mais non d'obtenir directement ces données personnelles correspondantes.
Ces droits de consultation sont strictement encadrés . Ils doivent être exclusivement utilisés dans le cadre d'une procédure judiciaire ou d'une procédure d'enquête relatives à des crimes graves et concernant une ou plusieurs personnes déterminées.
Les consultations ne peuvent s'opérer qu'au cas par cas et dans le respect de la législation nationale de la Partie requérante.
Le point de contact de la Partie requérante est informé par voie automatisée, soit de l'absence de concordance , soit au contraire, en cas de concordance constatée, de l'existence des données indexées qui s'y rapportent. Selon la définition qu'en donne l'accord, les données indexées, qu'elles soient relatives au profil ADN ou aux données dactyloscopiques, ne doivent pas permettre l'identification directe de la personne. Il faut en outre savoir que toutes les concordances ne sont pas pertinentes et que la concordance doit ensuite être affinée entre la donnée dactyloscopique transmise et une donnée indexée détenue par la Partie gestionnaire ou entre un profil ADN transmis et un profil ADN enregistré dans le fichier de la Partie requise, pour qu'« une concordance claire » soit établie .
En France, les fichiers automatisés susceptibles d'être consultés à la demande des Etats-Unis sont le fichier national automatisé des empreintes génétiques pour les profils ADN, le FNAEG et le fichier automatisé des empreintes digitales, le FAED.
Le FAED , créé par le décret n°87-249 du 8 avril 1987 modifié en 2001 est un traitement automatisé des empreintes digitales et palmaires dont l'objet est de faciliter la recherche et l'identification des auteurs de crimes et de délits et de faciliter la poursuite, l'instruction et le jugement des affaires judiciaires . Aux termes de l'article 3, il contient les enregistrements :
- des traces relevées dans le cadre d'une enquête pour crime ou délit flagrant, d'une enquête préliminaire, d'une commission rogatoire, ou d'une instruction pour recherche des causes d'une disparition inquiétante ou suspecte ou de l'exécution d'un ordre de recherche délivré par une autorité judiciaire ;
- des empreintes digitales et palmaires relevées dans le cadre d'une enquête pour crime ou délit flagrant, d'une enquête préliminaire, d'une commission rogatoire, ou de l'exécution d'un ordre de recherche délivré par une autorité judiciaire, lorsqu'elles concernent des personnes à l'encontre desquelles il existe des indices graves ou concordants rendant vraisemblable qu'elle ait pu participer, comme auteur ou comme complice, à la commission d'un crime ou d'un délit ou des personnes, mises en cause dans une procédure pénale, dont l'identification s'avère nécessaire ;
- et des empreintes digitales et palmaires relevées dans les établissements pénitentiaires.
À noter qu'une modification du décret relatif au FAED est prévue pour tenir compte d'un arrêt de la Cour européenne des droits de l'Homme en vue de limiter la possibilité de recours au FAED aux seuls crimes et délits et de garantir l'effectivité du droit à l'effacement en cas d'acquittement, de relaxe, d'un classement sans suite ou d'un non-lieu avant la fin de la durée maximale de conservation des données, qui est de 25 ans.
Le FNAEG , créé par la loi n°2003-239 du 18 mars 2003 modifiée, est destiné à centraliser les empreintes génétiques prélevées sur les scènes d'infraction ainsi que celles des personnes suspectes et déclarées coupables de l'une des infractions mentionnées à l'article 706-55 du code de procédure pénale en vue de faciliter l'identification et la recherche des auteurs de ces infractions. Dans cette liste d'infractions figurent notamment les actes de terrorisme et les crimes et délits de trafic de stupéfiants .
Au 31 août 2014, le FAED contenait les empreintes digitales et palmaires de 5 031 723 individus et 233 300 traces papillaires non identifiées tandis que le FNAEG comprenait les profils génétiques de 2 655 381 individus et 237 217 traces non identifiées.
Si l'accès réciproque automatisé aux fichiers d'empreintes dactyloscopique est possible , dans l'attente que la législation de chacune des Parties permette cet accès automatisé aux profils ADN détenus par l'autre Partie, chaque Partie peut, selon l'article 7, effectuer une consultation de sa propre base de données automatisée à la demande de l'autre Partie . En effet, compte tenu de l'organisation fédérale des Etats-Unis , chaque Etat a son propre fichier automatisé des empreintes génétiques et il n'y a pas encore de fichier fédéral des profils génétiques.
Les dispositions opérationnelles et techniques nécessaires à la mise en oeuvre de ces procédures de consultation feront l'objet d'arrangements administratifs ultérieurs.
2. Seconde étape : la transmission des données personnelles selon le droit national de l'Etat requis
L'article 8 prévoit qu'en cas de constatation de concordance, la transmission de données à caractère personnel complémentaires (noms, prénoms, date et lieu de naissance ainsi qu'un exposé des circonstances de la collecte et de l'enregistrement des données) se fait selon la législation nationale de la Partie requise , notamment dans le cadre de l'entraide judiciaire, et non pas de manière automatique.
A ce stade, l'inscription de la demande de transmission des données personnelles dans un cadre de police judiciaire devra être précisément justifiée . D'ailleurs les services du ministère de l'intérieur auditionnés ont indiqué que la transmission de ces données personnelles se fera encore souvent par le biais d'une demande d'entraide judiciaire pour que celles-ci puissent être valablement utilisées comme preuves dans un procès ultérieur et que le bureau de l'entraide pénale internationale (BEPI) sera associé au travail du point de contact national.
3. La possibilité d'une transmission spontanée de données personnelles à titre préventif
Dans un souci de prévention d'infractions liées au terrorisme ou à la grande criminalité définies par la législation de la Partie émettrice et au vu de circonstances particulières faisant présumer qu'une personne est susceptible de commettre des infractions terroristes ou liées à la grande criminalité , l'article 9 prévoit que celle-ci peut transmettre « au cas par cas, sans même avoir reçu de demande » à l'autre partie des données à caractère personnel, telles que les noms, prénoms, date et lieu de naissance ainsi qu'un exposé des circonstances de la collecte et de l'enregistrement des données.
Cet article vise à encadrer le traitement des urgences et selon les services du ministère de l'intérieur, il n'y serait recouru que dans les cas de périls imminents.
Ces informations sont transmises via des points de contact appropriés et sont éventuellement assorties de conditions d'utilisation . Ces restrictions ne peuvent toutefois pas porter atteinte au cadre légal relatif au traitement des données personnelles de la Partie destinataire.
En France, c'est l'Unité de coordination de la lutte anti-terroriste (UCLAT), rattachée au Directeur général de la Police nationale qui devrait être le point de contact national pour la transmission d'informations en vue de prévenir des actes de terrorisme
III. LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL
1. Les règles de principe et leur mise en oeuvre dans les procédures de traitement
La négociation a beaucoup porté sur les exigences de la France s'agissant de la garantie de la protection des droits fondamentaux et des libertés individuelles , ce qui explique leur longueur.
Votre rapporteur tient à rappeler en effet que le transfert de données vers des Etats tiers hors Union européenne est soumis à un régime particulier prévu par les articles 68, 69 et 70 de la loi n°78-17 du 6 janvier 1978 modifiée qui transposent la directive européenne 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données, même si celle-ci ne s'applique pas en matière pénale.
Selon le principe de l'article 68 , le transfert n'est possible que vers les Etats qui assurent « un niveau de protection suffisant de la vie privée et des libertés et des droits fondamentaux ». La Commission européenne estime que les Etats-Unis ne présentent pas un niveau de protection globale adéquat et que l'appréciation du niveau de protection doit se faire au cas par cas. Ainsi en 2001 , la Commission a négocié avec les autorités américaines un ensemble de principes de protection des données personnelles rassemblés sous le terme de « Safe Harbour » (traduit par « sphère de sécurité ») auxquels les entreprises établies aux Etats-Unis ont la possibilité d'adhérer afin d'obtenir l'autorisation de recevoir des données en provenance de l'Union européenne. On peut également citer l'accord conclu entre l'Union européenne et les Etats-Unis sur le transfert des données des passagers des compagnies aériennes ( ou PNR) , entré en vigueur le 1 er juillet 2012 .
L'article 69 alinéa 2 prévoit la possibilité d'échanger des données à caractère personnel avec un Etat dont le niveau de protection n'est pas suffisant, si le transfert est nécessaire à la sauvegarde de l'intérêt public, selon un régime particulier. En conséquence, la France a négocié des garanties importantes qui sont détaillées dans l'article 10.
En réponse à la question de votre rapporteur, les services du ministère de l'intérieur et du ministère des affaires étrangères ont indiqué que la CNIL n'avait pas été spécifiquement associée à la conclusions de cet accord , l'article 11 4° d) de la loi 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée ne prévoyant qu'une simple faculté en matière de négociations internationales « elle peut être associée, à la demande du Premier ministre, à la préparation et à la définition de la position française dans les négociations internationales dans le domaine de la protection des données à caractère personnel ». Votre rapporteur estime toutefois que le cadre juridique de protection des données personnelles est préservé , puisque la transmission des données personnelles par la Partie française se fera conformément à sa législation nationale, d'une part, et que l'accord comporte des engagements de la Partie américaine de nature à assurer la protection des données communiquées, d'autre part. A cet égard, un considérant de l'accord mentionne les obligations que la France tire de la charte des droits fondamentaux de l'Union européenne du 18 décembre 2000, de la Convention européenne des droits de l'Homme et des libertés fondamentales du 4 novembre 1950 et de la convention n°108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son protocole additionnel du 8 novembre 2001.
L'article 10 de l'accord érige en principe le respect de la confidentialité et la protection appropriée des données à caractère personnel transférées. En conséquence, les Parties s'engagent :
- à ne transmettre que les données à caractère personnel « adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont communiquées » ;
- à s'assurer que toute erreur constatée soit signalée à la Partie destinataire en vue de sa rectification par celle-ci ;
- à conserver les données transmises pendant la seule durée d'utilisation nécessaire à la procédure judiciaire pour lesquelles elles ont été demandées.
La législation française prévoit que les délais de conservation des données dans le FNAED et le FNAEG ne peuvent excéder 25 ans.
Certaines limitations dans les procédures de traitement ont également pour finalité de garantir le respect des droits et libertés fondamentaux, notamment ceux de la vie privée :
- les données personnelles sont transmises uniquement aux fins des investigations ou de l'enquête ayant motivé la demande ;
- le consentement préalable de la Partie émettrice est nécessaire pour leur utilisation aux fins de traiter des procédures judiciaires relevant du présent accord et directement liées à la procédure pour lesquelles elles ont été transmises ;
- et enfin, les Parties ne peuvent transmettre que leurs données nationales, la transmission des données obtenues en provenance de l'autre Partie ou d'un Etat tiers est soumise à l'autorisation de la Partie émettrice, quelle qu'elle soit .
L'accord offre une garantie supplémentaire en donnant la possibilité de rectifier, de bloquer ou d'effacer, à la demande de la Partie émettrice, les données reçues si celles-ci sont incorrectes, incomplètes ou si leur collecte ou leur traitement complémentaire enfreint les dispositions de l'accord ou les règles applicables à la Partie émettrice.
2. La tenue d'un registre des données reçues ou transmises et la sécurité des données
L'article 10 oblige chacune des Parties à tenir un registre des données reçues ou transmises en application du présent accord où sont mentionnés :
- le motif de la transmission ;
- les informations relatives aux données transmises ;
- la date de transmission ;
- l'ensemble des destinataires.
Ce registre permet, outre la traçabilité des échanges et la sécurité des données, le contrôle effectif des dispositions de l'accord relatives aux consultations automatisées des deux types de fichier, d'une part, et de la législation nationale des Parties relative à la protection des données personnelles, d'autre part.
Les données du registre, dont l'accès est protégé sont conservées pendant deux ans.
Les Parties doivent aussi s'assurer des mesures techniques employées pour « protéger les données contre la destruction accidentelle ou illicite, la perte accidentelle ou la divulgation, l'altération, l'accès ou toute autre forme de traitement non autorisé ».
3. L'instauration d'un mécanisme de contrôle par une autorité indépendante
L'article 10 instaure un contrôle du respect des règles applicables à la transmission ou à la réception des données personnelles par des autorités indépendantes en charge de la protection des données ou, le cas échéant, par des autorités compétentes en la matière de la Partie concernée, comme la CNIL en France. Les Etats-Unis n'ayant pas à ce stade d'autorité homologue, cette désignation doit faire l'objet d'arrangements administratifs ultérieurs.
4. Une exigence de transparence et d'information des personnes concernées à laquelle s'ajoute un droit de recours
La transparence et l'information des personnes concernées « sur les finalités du traitement, l'identité de l'autorité de contrôle, les destinataires ou catégories de destinataires, l'existence du droit d'accès, de rectification, de mise à jour ou de suppression des données la concernant » sont également exigées par l'article 10.
Ces informations liées à la transparence peuvent toutefois ne pas être communiquées si leur transmission risque de compromettre les finalités du traitement, les enquêtes ou les poursuites judiciaires menées par les autorités compétentes des Parties ou les droits et liberté des tierces parties.
Un droit de recours approprié est également garanti à toute victime d'une violation de ses droits à la protection des données à caractère personnel, indépendamment de la nationalité ou du pays de résidence de l'intéressé.
L'effectivité de ce recours suppose une adaptation de la législation américaine en vue d'étendre aux Français et plus généralement aux Européens le droit de recours judiciaire prévu par le « Privacy Act » de 1974, actuellement réservé aux citoyens américains et aux résidents aux Etats-Unis. Cette extension nécessite l'adoption, par le Congrès, d'un texte législatif, qui n'a toujours pas eu lieu, en dépit des annonces du Président Obama, en janvier 2014, et de l'ancien Procureur général des Etats-Unis et ministre de la justice américain Eric Holder, en juin 2014.
5. Le suivi et la consultation réciproque des Parties en lien avec la protection des données personnelles
Aux termes de l'article 12 , un an après la mise en oeuvre de l'accord, les Parties se consulteront pour dresser un bilan de son application , « en prêtant particulièrement attention à la protection des données à caractère personnel ».
Une consultation est expressément prévue en cas d'évolution des négociations de l'accord dit « accord parapluie » entre l'Union européenne et les Etats-Unis relatif à la protection des données personnelles lors de leur transfert et de leur traitement aux fins de prévenir les infractions pénales, dont les actes terroristes.
Compte tenu du mandat de négociation confié par le Conseil à la Commission, le 3 décembre 2010, qui fixe quatre objectifs à atteindre : garantir un niveau élevé de protection des libertés, apporter un cadre juridique cohérent et contraignant des normes régissant la protection des données, assurer un degré élevé de protection des données, favoriser la coopération judiciaire et policière, la conclusion de cet accord paraît difficile dans un avenir proche , d'autant que la question de l'octroi d'un recours juridictionnel aux citoyens européens n'est toujours pas réglée, tout comme celle de la rétroactivité de l'accord.
6. La suspension de l'accord en cas de manquement substantiel aux obligations fixées
L'article 14 prévoit que l'accord peut être suspendu, en cas de manquement substantiel et après consultation bilatérale des Parties .
Votre rapporteur considère qu'un travail scrupuleux de vérification de l'application de l'accord par chacune des parties, qui ont un intérêt mutuel à ce qu'il fonctionne dans le respect des exigences posées, sera nécessaire.
IV. LES AUTRES DISPOSITIONS
L'article 11 prévoit que l'accord ne peut limiter ou porter atteinte aux relations existantes entre la France et les Etats-Unis qui permettent déjà des échanges d'informations : autres traités ou accords, relations de travail entre les services répressifs ou droit national.
Par ailleurs, l'article 13 pose le principe que chaque Partie supporte le coût afférent à la mise en oeuvre de l'accord par ses services.
Selon l'article 16 , le présent accord entrera en vigueur le premier jour du deuxième mois suivant la date de réception de la dernière note diplomatique attestant l'accomplissement par les Parties des procédures internes requises par son entrée en vigueur.
Cet accord entre dans la catégorie des « executive agreements » et n'a donc pas besoin , à la différence des traités, d'être ratifié par un vote des 2/3 du Sénat américain pour entrer en vigueur. Le Pouvoir exécutif doit toutefois le notifier au Congrès dans un délai des soixante jours après sa signature.
Répondant par écrit aux questions de votre rapporteur, les services du Ministère des affaires étrangères et du développement international 4 ( * ) lui ont fait savoir que d'après les informations obtenues par l'ambassade de France à Washington, les autorités américaines auraient accompli toutes les formalités nécessaires à cette entrée en vigueur .
Les articles 5 et 6 relatifs à la consultation réciproque des profils génétiques entreront en vigueur après la conclusion d'arrangements administratifs et techniques destinés à préciser sa mise en oeuvre.
CONCLUSION GÉNÉRALE
Après un examen attentif du texte de cet accord et en appelant à la vigilance dans la mise en oeuvre sur la question de l'effectivité du droit de recours accordé par les Etats-Unis aux ressortissants français pour la protection des données personnelles , la commission recommande l'adoption de ce projet de loi , qui facilitera la coopération judiciaire entre la France et les Etats-Unis , à un moment où les services de police français et américains ont de plus en plus besoin d'échanger rapidement des données dans des conditions techniques et juridiques sûres, et qui permettra de surcroît de maintenir le bénéfice de l'exemption de visa pour des séjours de moins de trois mois pour nos compatriotes.
EXAMEN EN COMMISSION
Réunie le mercredi 1 er avril 2015, sous la présidence de M. Jean-Pierre Raffarin, président, la commission des affaires étrangères, de la défense et des forces armées a procédé à l'examen du rapport de Mme Joëlle Garriaud-Maylam, rapporteur, sur le projet de loi n° 48 (2014-2015) autorisant l'approbation de l'accord sous forme d'échanges de lettres entre le Gouvernement de la République française et le Gouvernement des Etats-Unis d'Amérique relatif au renforcement de la coopération en matière d'enquêtes judiciaires en vue de prévenir et lutter contre la criminalité grave et le terrorisme.
Suivant l'avis du rapporteur, la commission a adopté le rapport ainsi que le texte proposé.
La Conférence des Présidents a décidé que ce texte ferait l'objet d'une procédure d'examen simplifié en séance publique, le vendredi 17 avril 2015 , en application des dispositions de l'article 47 decies du règlement du Sénat.
LISTE DES PERSONNES AUDITIONNÉES
Mercredi 25 mars 2015
Ministère de l'intérieur :
- M. Eric TISON, sous-directeur des libertés publiques ;
- Mme Céline LE MEUR, adjointe au chef du bureau de la liberté individuelle ;
- Mme le Commissaire divisionnaire Estelle DAVET, chef du service central d'identité judiciaire (direction centrale de la police judiciaire) ;
- M. le Commandant de police Gilles BARBEY, chef de la section des négociations européennes (service chargé des actions de coopération européennes et internationales).
Ministère des affaires étrangères et du développement international :
- Mme Sandrine BARBIER, chef de la mission des accords et traités (direction des affaires juridiques) ;
- M. Frédérik MILLION, adjoint au sous-directeur (direction de l'Union européenne) ;
- Mme Anne LEBOURGEOIS, rédactrice (direction de l'Union européenne) ;
- M. François-Xavier BRECHOT, rédacteur à la sous-direction du droit de l'Union européenne et du droit international économique (direction des affaires juridiques).
* 1 Empreintes digitales et palmaires.
* 2 Décision du Conseil des ministres 2002/87/JAI du 28 février 2002.
* 3 Audition du 25 mars 2015, liste en annexe.
* 4 Source : réponses au questionnaire écrit de la commission.