11304/07
du 28/06/2007
Date d'adoption du texte par les instances européennes : 26/07/2007
Examen dans le cadre de l'article 88-4 de la Constitution
Texte déposé au Sénat le 03/07/2007Examen : 11/07/2007 (délégation pour l'Union européenne)
Justice et affaires intérieures
Nouvel accord avec les
États-Unis
sur le traitement et le transfert des données des
dossiers passagers
Communication de M. Hubert Haenel
(textes E 3568 et E 3575)
(réunion du 11 juillet 2007)
Nous sommes saisis, au titre de l'article 88-4, de deux textes :
- le nouvel accord avec les États-Unis portant sur le transfert aux autorités américaines des données personnelles sur les passagers contenues dans les systèmes de réservation des compagnies aériennes (les « données PNR ») ;
- le projet de décision du Conseil qui autorise le président du Conseil à signer l'accord et prévoit son application provisoire à compter de la date de sa signature dans l'attente de son entrée en vigueur.
Le précédent accord, conclu le 19 octobre 2006, expire le 31 juillet 2007 au plus tard. Le 22 février 2007, le Conseil a autorisé la présidence, assistée par la Commission, à ouvrir des négociations en vue d'un accord à long terme en la matière. Ces négociations viennent d'aboutir. L'accord qui nous est soumis est conclu pour une durée de sept ans.
Il s'agit d'un dossier sur lequel nous avons déjà beaucoup travaillé. Nous avons examiné, en février 2004, une communication de la Commission, puis un projet d'accord en mai 2004 et, enfin, en septembre et octobre 2006, un nouveau projet d'accord suite à l'annulation du précédent par la Cour de Justice.
Avant d'en venir au contenu même de ce nouvel accord et aux difficultés qu'il soulève, je crois qu'il faut rappeler qu'il est indispensable qu'il soit conclu avant que l'accord actuel ne prenne fin. Il y va de la sécurité juridique même des compagnies aériennes qui, sinon, s'exposeraient à des sanctions financières, voire à la perte de leurs droits d'atterrissage de la part des autorités américaines.
Comme je l'avais exprimé ici même, il était clair que les États-Unis n'accepteraient pas de revoir à la baisse leurs exigences. Au contraire, en cas de réouverture des négociations, on pouvait craindre un durcissement de leur position, dans le contexte international que nous connaissons.
Malheureusement, cette prédiction pessimiste s'est révélée fondée. Le principe même d'un accord était d'ailleurs loin d'être acquis, les États-Unis estimant qu'il n'était pas nécessaire pour l'application de leur loi nationale sur leur territoire. La négociation a donc été difficile.
Notre collègue Alex Türk nous a fait parvenir la position de la Commission Nationale de l'Informatique et des Libertés (CNIL) sur cet accord. Le titre du communiqué de la CNIL est explicite : « Le nouvel accord Europe/États-Unis sur les données des passagers aériens : la surenchère américaine s'opère au détriment des citoyens européens ».
Je rappelle que, dans nos conclusions d'octobre 2006, nous avons en particulier demandé, dans la perspective de la renégociation, que cet accord « contienne des garanties accrues en matière de protection des données, notamment une liste de données ne comprenant que celles qui sont strictement nécessaires aux finalités de l'accord et excluant les informations sensibles, une période de conservation des données collectées courte et proportionnée au terme de laquelle ces données seront détruites, ainsi que la mise en place d'un système de transfert de ces données se substituant à l'actuel accès direct des autorités américaines à ces données. »
Le nouvel accord répond à notre préoccupation sur le premier point puisque le nombre de données PNR à transmettre sera réduit de 34 à 19. J'ajoute que la finalité de la collecte et de l'utilisation des données est clairement affirmée : c'est la lutte contre le terrorisme et la criminalité organisée.
En outre, comme nous l'avions souhaité, l'accord prévoit la mise en place, au plus tard le 1er janvier 2008, du système dit « push » pour les compagnies aériennes qui satisferont aux exigences techniques du département américain pour la sécurité intérieure. Je rappelle que le système « push » donne la responsabilité du transfert des données aux compagnies aériennes qui sont chargées d'envoyer les données aux autorités américaines tandis que le système « pull », actuellement en vigueur, permet aux autorités américaines d'accéder aux bases de données des compagnies aériennes et d'en extraire elles-mêmes les informations.
L'accord met aussi davantage l'accent sur le principe de réciprocité : une partie ne pourra se voir imposer des mesures plus contraignantes que celles en vigueur pour l'autre partie.
Autre point positif, la mise en oeuvre de l'accord et des pratiques applicables aux données PNR, aux États-Unis et dans l'Union Européenne, feront l'objet d'un examen régulier, « en vue d'assurer conjointement le fonctionnement efficace et la confidentialité de systèmes. »
On notera également l'affirmation d'un travail conjoint du département américain pour la sécurité intérieure avec l'Union européenne pour renforcer l'information des passagers sur le processus de transmission des données PNR.
Pour le reste, cet accord pose un certain nombre de difficultés que je voudrais vous présenter maintenant.
Au préalable, je vous propose de faire une observation sur la forme, pour déplorer que, comme dans l'accord encore en vigueur, les déclarations d'engagement des autorités américaines ne figurent pas dans le corps même de l'accord mais dans une lettre qui lui est annexée.
1. Sur le fond, la première difficulté porte sur la possibilité d'utiliser des données sensibles (qui relèvent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle)
En principe, ces données seront filtrées automatiquement et ne seront pas utilisées par les autorités américaines qui les détruiront « sans délai ».
Cependant, si nécessaire, dans les « cas exceptionnels » où la vie de la personne qui fait l'objet de la donnée ou d'une autre personne serait en péril ou sérieusement menacée, les autorités américaines pourront utiliser des données autres que celles figurant dans la liste des 19 prévue dans l'accord, y compris des données sensibles. Ces données seront détruites dans un délai de 30 jours à compter de l'obtention du résultat pour lequel l'accès avait été accordé, à condition que leur conservation ne soit pas exigée par la loi. La Commission européenne sera informée, en principe dans les 48 heures, de l'accès à ces données.
Contrairement à notre souhait, la renégociation de l'accord n'a donc pas remis en cause la possibilité d'utilisation des données sensibles, exclues en 2004 puis prises en compte en 2006.
La question du contrôle du respect de la finalité et des garanties reconnues aux personnes concernées apparaît cruciale dès lors que ces données pourront être partagées entre les entités gouvernementales américaines et transmises à des pays tiers. Je vous propose de manifester notre préoccupation sur ce point.
2. La durée de conservation des données constitue une deuxième difficulté
Le nouvel accord prévoit, en effet, de porter de trois ans et demi à quinze ans la durée de conservation des données. Cette conservation s'effectuera en deux temps :
- les données seront d'abord conservées pendant une période de sept ans ;
- passé ce délai, elles passeront à un statut de « données dormantes et non opérationnelles ». Elles pourront, dans ce cadre, être conservées pendant huit ans et ne pourront être accessibles qu'avec l'accord d'un responsable américain désigné par le Secrétaire à la sécurité intérieure, uniquement en réponse à une « affaire, une menace ou un risque identifiable. » A l'issue de ce délai, les données seront détruites.
Deux observations doivent être faites :
- d'une part, la durée initiale de conservation est doublée par rapport à ce que prévoit l'accord actuel (trois ans et demi) sur lequel nous avions déjà émis des réserves ;
- d'autre part, si la durée complémentaire de huit ans figurait déjà dans l'accord en vigueur, elle ne concernait que les seules données consultées manuellement dans la période initiale.
En toute hypothèse, une telle durée de conservation apparaît disproportionnée. Je vous propose de l'indiquer dans nos conclusions.
3. Une troisième difficulté résulte du partage des données recueillies
Ces données pourront être transmises, à la discrétion des États-Unis, à d'autres entités gouvernementales américaines dans des conditions qui ouvrent la voie à une diffusion large de ces données.
Par ailleurs, les données pourront être transmises à des pays tiers, après vérification de l'utilisation qu'il souhaite en faire et de leur capacité à les protéger. Des engagements exprès devront être pris prévoyant des moyens de protection des données comparables à ceux mis en oeuvre par le département américain pour la sécurité intérieure.
De fortes interrogations demeurent sur les mécanismes de surveillance de ce dispositif, notamment au regard de l'absence d'information de l'Union européenne, pourtant prévue dans l'accord de 1996.
4. Le régime linguistique est une quatrième difficulté
Dans le cadre du précédent accord, nous avions émis des doutes sur la conformité à la Constitution de la mention selon laquelle « en cas de divergence d'interprétation, la version anglaise est déterminante ». En définitive, cette mention avait été retirée à la demande du gouvernement français. Or le nouvel accord qui nous est soumis reprend cette même mention. Je vous propose donc de réitérer nos précédentes observations sur ce point.
5. La dernière difficulté porte sur la procédure
Ce nouvel accord est fondé sur l'article 24 du traité sur l'Union européenne. Cet article permet au Conseil de conclure des accords avec des pays tiers dans des matières relevant de la coopération policière et judiciaire pénale.
Toutefois, le fait que l'Union européenne soit la seule partie contractante n'empêche pas un État membre de recourir à une procédure de ratification parlementaire.
Le cinquième alinéa de l'article 24 prévoit, en effet, qu'« aucun accord ne lie un État membre dont le représentant au sein du Conseil déclare qu'il doit se conformer à ses propres règles constitutionnelles ». Or, jusqu'à présent, et malgré les demandes convergentes de l'Assemblée Nationale et du Sénat, le Gouvernement a refusé de saisir le Parlement de projets de loi autorisant la ratification de tels accords.
Il me semble qu'il n'est pas acceptable qu'un accord qui touche directement aux droits des individus ne fasse l'objet d'aucune approbation parlementaire, ni au niveau national, ni au niveau européen. Je vous propose donc de manifester à nouveau auprès du Gouvernement notre préoccupation sur ce point.
Compte rendu sommaire du débat
Mme Alima Boumediene-Thiery :
Quelle est la date retenue pour la signature de cet accord ? Le Parlement européen en sera-t-il saisi ? Quelles sont les possibilités de recours contre ce texte qui, à mes yeux, viole les libertés publiques ?
M. Hubert Haenel :
L'accord devrait être inscrit à l'ordre du jour du Conseil « Affaires générales » du 23 juillet. Le gouvernement français, comme d'autres gouvernements d'ailleurs, a émis une réserve d'examen parlementaire. Toutefois, on peut se montrer dubitatif sur la prise en compte de nos observations sur un accord qui est déjà finalisé. Quant au Parlement européen, il n'intervient pas dans la décision lorsqu'il s'agit d'un accord conclu sur le fondement de l'article 24 du traité sur l'Union européenne.
M. Paul Girod :
Il faut reconnaître que l'on subit là une forme de « diktat ». Cet accord pose un vrai problème au regard des exigences des traités européens. En particulier, le transfert à des pays tiers des données qui seront recueillies me paraît très préoccupant. Il faut néanmoins observer qu'un éventuel blocage aurait un impact négatif sur nos compagnies aériennes et sur les vols transatlantiques. Il me semble nécessaire de faire part de nos préoccupations aux autorités américaines. Pour ma part, je me propose de le faire dans le cadre du groupe d'amitié France-États-Unis que je préside.
M. Jacques Blanc :
Il faut quand même rappeler que cet accord s'inscrit dans le contexte d'une véritable guerre contre le terrorisme. À ce titre, il peut être difficile de s'opposer à certaines mesures préventives contre ce fléau.
M. Hubert Haenel :
Je crois qu'il n'y a pas de désaccord sur l'objectif poursuivi. En revanche, nous devons être vigilants sur les moyens mis en oeuvre.
M. Robert del Picchia :
Il ne faut peut-être pas trop se focaliser sur la durée excessive de conservation des données qui, en pratique, n'aura que peu d'effet en l'absence de mise à jour de celles-ci. Quant à la transmission des données à des pays tiers, nous pouvons être sûrs qu'elle servira de monnaie d'échange aux services américains dans leurs relations avec des services étrangers. Je veux aussi souligner que la capacité de rétorsion américaine aurait été probablement plus faible si tous les États membres avaient eu sur ce sujet une position globale et unifiée ; je suis convaincu que, s'il y avait eu une unité de l'Europe dans la négociation, les Américains auraient composé.
Mme Alima Boumediene-Thiery :
Compte tenu des enjeux en cause, cette question devrait faire l'objet d'un débat en séance publique.
M. Hubert Haenel :
Ce serait le cas si cet accord était soumis à l'approbation du Parlement. C'est pourquoi nous devons réaffirmer cette demande dans nos conclusions.
*
À l'issue du débat, la délégation a adopté à l'unanimité les conclusions suivantes :
Conclusions
La délégation pour l'Union européenne du Sénat,
Vu le projet de décision du Conseil relative à la signature, au nom de l'Union européenne, d'un accord entre l'Union européenne et les Etats-Unis d'Amérique sur le traitement et le transfert de données des dossiers passagers (données PNR) par les transporteurs aériens au ministère américain de la sécurité intérieure (texte E 3575),
Vu le projet d'accord (11304/07) sur le traitement de données des dossiers passagers (données PNR) par les transporteurs aériens au ministère américain de la sécurité intérieure (texte E 3568),
1. Déplore que les déclarations d'engagement des autorités américaines ne figurent pas dans le corps même de l'accord ;
2. Tout en relevant :
- la réduction du nombre de données PNR à transmettre de 34 à 19 et la mise en place, au plus tard le 1er janvier 2008, d'un système de transfert des données se substituant à l'actuel accès direct des autorités américaines à ces données ;
- l'affirmation d'un principe de réciprocité interdisant qu'une partie se voie imposer des mesures plus contraignantes que celles en vigueur pour l'autre partie ;
- l'examen régulier de la mise en oeuvre de l'accord et des pratiques applicables aux données PNR, en vue d'assurer conjointement le fonctionnement efficace et la confidentialité des systèmes ;
- le travail conjoint qui sera conduit entre la partie américaine et l'Union européenne pour renforcer l'information des passagers sur le processus de transmission des données PNR ;
3. S'inquiète de l'utilisation rendue possible, dans certains cas, de données sensibles et des risques attachés au partage des données recueillies avec d'autres autorités gouvernementales américaines ainsi qu'avec des pays tiers ; exprime, en conséquence, une vive préoccupation sur la réunion de toutes les garanties nécessaires pour la protection des données en cause et sur les mécanismes de surveillance de ce dispositif ;
4. Déplore la durée excessive de conservation des données collectées ;
5. Demande la suppression de la mention selon laquelle « en cas de divergence d'interprétation entre les différentes versions, c'est la version anglaise qui prévaut. » ;
6. Réaffirme sa demande, cet accord ayant
été conclu sur le fondement de l'article 24 du traité
sur l'Union européenne, que les accords conclus sur ce fondement soient
soumis à l'Assemblée nationale et au Sénat pour
approbation, permettant un débat public sur des sujets touchant aux
libertés publiques.