RAPPORT DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL sur l’examen conjoint de la mise en œuvre de l’accord entre les États-Unis d’Amérique et l’Union européenne sur l’utilisation des données des dossiers passagers (données PNR) et leur transfert au ministère américain de la sécurité intérieure

L’accord entre les États-Unis et l’Union Européenne relatif à l’utilisation et au transfert des données des dossiers passagers prévoit la rédaction de rapports communs réguliers. Le dernier en date permet aux autorités européennes et américaines de mettre en lumière certaines évolutions de la mise en œuvre de l’accord[1].

On notera qu’aucune autorité de contrôle indépendante ne participe en tant que co-rédacteur à cet examen.

 

Une « amélioration » du fonctionnement de l’accord : l’application des recommandations de 2013

 Décompte de la durée de conservation. Alors qu’auparavant le décompte pour la durée de conservation avant la dépersonnalisation (masquage de certaines données) commençait à la dernière mise à jour des données, il démarre désormais dès le premier jour de stockage des données dans le système américain ATS[2]. Le premier décompte permettait de repousser la fin de la période de 6 mois. Cela permet, certes, de diminuer légèrement la période de conservation des données personnalisées. Pour autant, il s’agit d’un changement infime au vue de la durée de conservation globale. Les données sont en effet conservées 5 ans dans une base de données active (dont 6 mois personnalisées), puis sont transférées vers une base de données dormante pour une période pouvant aller jusqu’à dix ans (article 8), soit une durée de conservation de 15 ans.

 La méthode push. Le rapport souligne le passage intégral à la méthode « push »[3] conformément à l’article 15, qui implique que les compagnies aériennes transmettent d’elles-mêmes les données passagers aux autorités américaines. La généralisation de la méthode « push » s’est faite très tardivement puisque l’accord le prévoyait au plus tard le 1er juillet 2014. Pourtant, en 2015, certains transporteurs aériens ne l’avaient toujours pas développée. Il conviendrait aujourd’hui de vérifier si les autorités américaines n’ont définitivement plus accès aux bases de données des compagnies aériennes.

 De meilleures informations. Le rapport souligne le fait que les Etats membres sont informés plus aisément depuis qu’un officier de liaison est détaché auprès d’Europol. Ce dernier est chargé d’informer les Etats membres lorsqu’un passager a été ciblé. De plus, le DHS[4] améliore la procédure de notification aux Etats membres de l’UE en cas de partage de données PNR de l’UE avec un pays tiers. L’amélioration de l’information concerne également les passagers et la possibilité de recours pour lesquels la transparence serait accrue. Malgré cela, il est largement dommageable que le droit de consultation soit entravé par des délais de réponse qui s’allongent depuis 2013.

 

Des craintes persistantes : une pente glissante ?

La Commission se réjouit largement des évolutions pratiques de l’accord avec les Etats-Unis. Pourtant, elle n’apporte que très peu d’éléments tangibles (chiffres, statistiques…) pour appuyer ses propos. Pour donner un exemple, le rapport souligne l’évolution des voies de recours mais sans jamais démontrer leur pertinence ainsi que leur efficacité. Par exemple, il existe désormais un point de contact unique (TRIP[5]) pour les voyageurs souhaitant s’informer sur les possibilités de recours. Or le document de travail de la Commission relève qu’aucune demande d’enquête ou de demande de contrôle judicaire relative à l’utilisation des données passagers n’a été reçue, ce qu’omet de préciser le rapport. La méconnaissance des passagers des procédures pour faire valoir leurs droits est préoccupante.

 Des informations accessibles plus nombreuses. Malgré le fait que l’article 2 stipule que l’accord s’applique aux vols au départ et à destination des Etats-Unis, il existe un mécanisme dérogatoire qui permet au DHS d’accéder à des données relatives à d’autres vols (par « push »). Le rapport souligne la croissance de l’accès à titre dérogatoire depuis 2013. Outre le fait que cette dérogation est préjudiciable à la protection des données personnelles, l’Union Européenne n’a pas accès aux raisons justifiant l’accès puisque les motifs ne seraient pas consignés.

 Des accès aux informations inquiétants. Le nombre d’agents ayant accès aux données PNR a augmenté depuis 2013. La croissance du nombre d’agents disposant d’un droit d’accès ainsi que l’augmentation d’utilisation du mécanisme dérogatoire sont inquiétantes car elles laissent présager un accès toujours plus aisé à ces données, largement préjudiciable à la protection de la vie privée et aux données à caractère personnel.

 Les données non-masquées. Les inquiètudes concernent également les données non-masquées par les autorités américaines. L’article 8 énonce que les données portant sur une affaire en cours peuvent ne pas être masquées jusqu’à la clotûre de l’affaire. Or, les données PNR liées à des opérations répressives et donc non-masquées sont nombreuses, et ont augmenté.

L’ensemble de ces évolutions dans l’utilisation des données peut laisser penser à une utilisation toujours plus large de ces données passagers dans le futur, avec des données accessibles toujours plus facilement et longuement.

 

Un élément omis : l’interprétation de l’avocat général sur l’accord relatif au transfert des données des dossiers passagers prévu entre l’UE et le Canada

 A aucun moment, le rapport de la Commission ne mentionne les interrogations existantes à l’égard des accords sur les transferts de données des dossiers passagers avec les Etats tiers. Pourtant, les conclusions de l’avocat général, Paolo Mengozz, dans l’avis 1/2015[6] apportent des éclaircissements sur les standards juridiques qui devraient être intégrés dans ces accords. Certes, les conclusions de l’avocat général ne lient pas la Cour. Ses conclusions offrent, pourtant, une interprétation qui s’appuie largement sur les jurisprudences de la CJUE, notamment Digital Rights Ireland[7] et Schrems[8] .

Similaire tant sur le fond que sur la forme, on peut légitimement estimer que l’accord avec les Etats-Unis essuyerait les mêmes critiques si l’avocat général, ainsi que les juges, devaient se prononcer sur le sujet.

 Les données sensibles. Le rapport souligne que le DHS respecte les procédures de masquage et d’effacement des données sensibles. Pour autant, et même si le DHS a déclaré n’avoir jamais eu accès à des données sensibles à des fins opérationnelles (mais il ne précise pas s’il l’a fait à d’autres fins...), l’accès à ces données sensibles est autorisé dans certaines circonstances (articles 6). Ainsi, l’accord stipule que « l’accès aux données sensibles ainsi que le traitement et l’utilisation de celles-ci sont autorisés dans des circonstances exceptionnelles lorsque la vie d’une personne pourrait être menacée ou mise gravement en péril (...). Les données sensibles sont effacées définitivement au plus tard après 30 jours (...). Toutefois, les données sensibles peuvent être conservées pour une durée précisée dans la législation des Etats-Unis aux fins d’enquêtes, de poursuites ou de mesures répressives spécifiques »[9]. Dans les conclusions de l’avis 1/15, l’avocat général conditionne la légalité de l’accord entre le Canada et l’Union Européenne à l’exclusion des données prsonnelles au champ d’application.

 Un champ d’application imprécis. L’article 4 de l’accord entre les Etats-Unis et l’Union Européenne liste : les infractions terroristes et infractions pénales qui y sont liés, ainsi que les « autres infractions passibles d’une peine d’emprisonnement d’au moins 3 ans et de nature transnationale ». Outre le fait que la définition de ces infractions est extrêmement large, l’élement de transnationalité est défini de manière très extensible. L’encadrement n’est pas assez strict pour protéger les données personnelles des voyageurs sur les vols entre les Etats Unis et le territoire européen. On en voudra pour preuve les conclusions générales sus-mentionnées, dans lesquelles l’avocat général fait de la précision du champ d’application un élément déterminant pour considérer un accord compatible avec la Charte des Droits Fondamentaux.

 Un ciblage restreint. Le transfert et la conservation des données concernent tous les transporteurs qui assurant des services de transports entre les Etats Unis et l’Union Européenne alors que l’avocat général conditionne la légalité à un ciblage, « dans une large mesure et de manière non discriminatoire de sorte qu’il ne concerne que les personnes sur lesquelles pèse un soupçon raisonnable de participation à une infraction terroriste ou de criminalité transnationale grave »[10].

 La durée de conservation. L’avocat général considère que la durée de conservation des données doit être basée sur des éléments objectifs. En l’occurrence, la destruction des données n’est pas évoquée. Les données sont enregistrées dans une base active pendant 5 ans, puis sont enregistrées dans une base dormante pour une période pouvant atteindre 10 ans. Ensuite seulement, elles sont complètement anonymisées sans possibilité de repersonnalisation. Outre le fait que la durée de conservation est extrêmement longue, on peut s’inquiéter du fait que les autorités puissent garder des données, certes dépersonnalisées, sur une durée indéterminée.

 

 L’AEDH déplore, une nouvelle fois, l’existence de l’accord UE-USA, concernant la transmission aux autorités américaines des données des passagers voyageant vers ou depuis les Etats-Unis (PNR) et le peu de garanties qu’il offre actuellement pour la protection des droits fondamentaux des Européens.  Les modifications apportées à la marge, et dont semble se satisfaire la Commission, ne réussissent pas à calmer les inquiétudes. Au contraire, l’augmentation du nombre d’agents pouvant accéder aux informations ainsi que celle des données non-masquées confortent l’AEDH dans ses critiques et inquiétudes à l’égard de cet accord, d’autant que cette logique sécuritaire risque de s’aggraver avec l’entrée des Etats Unis dans l’ère Trump. 

 

 


Méthodologie de l’examen :

 

- Envoi d’un questionnaire de la Commission au DHS qui y répond
- Prise de contact de la Commission avec les Etats membres
- Envoi de l’équipe d’experts de l’UE pour accéder aux locaux du DHS et au Centre de ciblage national afin de voir son fonctionnement
- Le rapport du bureau de la protection de la vie privée du DHS a publié son rapport trop tard pour que les experts européens l’intègrent dans leur mission. Une analyse ultérieure a été faite, le rapport a été complété.
- Présentation d’un projet de rapport de la Commission à l’équipe d’experts. Présentation adoptée.
- Présentation du projet au DHS afin de relever les incertitudes et formuler des observations. Ces dernières ont été examinées par le groupe d’experts.
- Série de discussion et de rencontres entre la Commission et le DHS. En août 2016, la Commission a informé le DHS qu’en cas de points de désaccord persistants avec le rapport ou s’il souhaitait y apporter des éléments de contexte supplémentaires, il avait la possibilité de formuler des observations écrites qui seraient annexées au rapport (conformément à l’accord).

 

 

 

 

 


[1] L’accord entre les Etats-Unis et l’Union Européenne prévoit que les données de dossiers passagers (Passenger Name Record) soient collectées par les transporteurs aériens auprès des passagers à des fins de réservation des vols entre les Etats-Unis et l’Union Européenne, soient transférées aux autorités américaines compétentes afin d’être traitées et utilisées pour prévenir et détecter les infractions terroristes ou d’autres actes graves de criminalité transnationale.

[2] Automated Targeting System - système automatisé de ciblage

[3] La méthode « Push » laisse aux transporteurs aériens le soin de transmettre les données PNR requises, par opposition à la méthode « Pull » qui permet à l’autorité requérante d’accéder directement au système de réservation des transporteurs.

[4] DHS ou Department of Homeland Security, le ministère américain de la sécurité intérieure.

[5] DHS Traveller Redress Inquiry Program

[7] Arrêt de la CJUE dans l’affaire Digital Rights Ireland, 8 avril 2014

[8] Arrêt de la CJUE dans l’affaire Schrems, 6 octobre 2015

[9] Article 6 de l’accord entre les Etats-Unis et l’Union Européenne

[10] Avis 1/15, conclusions de l’avocat général, point 256

 

Retour à la page précédente