A l’initiative de Marietta KARAMANLI, l’Assemblée Nationale émet des recommandations pour améliorer la protection des données personnelles des passagers entre l’Union Européenne et le Canada transmises dans le cadre de la lutte contre le terrorisme et la grande criminalité organisée

samedi 28 décembre 2013

Le 3 décembre 2013 j’ai rapporté devant la commission des affaires européennes de l’Assemblée Nationale sur un projet d’accord à conclure entre l’Union européenne et le Canada concernant le transfert des données des dossiers passagers, données dites PNR €“ passenger name record, afin de prévenir et de combattre le terrorisme et les formes graves de criminalité transnationale.
Il s’agit d’un nouvel accord visant la transmission des données des passagers des vols aériens d’un Etat (ou groupe d’Etats) vers un autre.
Le Parlement européen a fixé un cadre.
Les Assemblées des Etats membres sont, en vertu de leurs propres textes (en France la Constitution), saisies de ces projets d’accords internationaux.
A mon initiative, l’Assemblée Nationale a émis plusieurs réserves et souhaité plusieurs corrections au projet qui, s’il apporte des garanties, pourrait utilement être amélioré sur plusieurs points : utilisation des données pour des raisons assez nombreuses définies de façon large ; insuffisance d’encadrement des conditions d’utilisation des transferts de données à des États non membres de l’Union européenne et notamment absence de subordination à l’autorisation de l’État d’origine des données ; conservation des données transmises pour une durée de cinq ans avec une anonymisation partielle.
A la question de savoir si le gouvernement français suivrait l’avis émis par l’Assemblée Nationale, j’ai fait valoir la nécessité de préserver la séparation des pouvoirs et le rôle de gardien des libertés fondamentales joué dans ce domaine par l’Assemblée Nationale et le Parlement.

Commission des affaires européennes, mardi 3 décembre 2013
17 h 30, Compte rendu n° 102

II. Communication de Mme Marietta Karamanli sur le projet d’accord PNR entre l’Union européenne et le Canada (COM(2013) 528 final €“ E 8561 et COM(2013) 529 final €“ E 8562)

Mme Marietta Karamanli, rapporteure.

Madame la Présidente, mes chers collègues, Je souhaite vous présenter les propositions de décision visant à conclure et signer le nouvel accord entre l’Union européenne et le Canada en matière de transfert des données des dossiers passagers €“ données dites PNR €“ passenger name record €“ afin de prévenir et de combattre le terrorisme et les formes graves de criminalité transnationale. L’accord PNR signé avec le Canada en 2005 a expire le 22 septembre 2009. Les propositions de décision doivent être adoptées lors du prochain Conseil Justice et affaires intérieures du 5 décembre 2013.

L’accord PNR signé avec le Canada en 2005, fondé sur une série d’engagements de l’agence des services frontaliers du Canada (ASFC) pour l’application de son programme PNR, est entré en vigueur le 22 mars 2006.

À l’expiration de cet accord en septembre 2009, les États membres ont veillé à la poursuite des transferts de données, les autorités canadiennes continuant à mettre en Å“uvre leurs engagements dans l’attente de la conclusion d’un nouvel accord. Cet accord prévoyait :

- que les données soient transférées dans le seul but de prévenir et combattre le terrorisme et les délits graves revêtant un caractère transnational ;

- que les droits d’accès, de rectification et d’opposition reconnus par le droit canadien aux résidents canadiens soient étendus aux européens dont les données sont conservées, sous certaines conditions ;

- que les autorités canadiennes n’accèdent pas directement aux systèmes de réservation des compagnies aériennes pour recueillir ces données mais que celles-ci leur soient transmises par les compagnies aériennes (système push) ;

- que ces données ne soient conservées que pour une durée maximale de trois ans et demi.

La liste des données concernées portait sur 25 éléments, contre 34 dans l’accord avec les États-Unis et excluait les « données sensibles », ainsi que les « champs ouverts » et les remarques générales.

Dans une résolution du 5 mai 2010 sur le lancement des négociations sur les accords relatifs aux données PNR avec les États-Unis, l’Australie et le Canada, le Parlement européen a invité la Commission à définir un ensemble de principes directeurs devant guider la conclusion des nouveaux accords.

Suite à cette résolution, les principes devant présider aux négociations de nouveaux accords PNR ont été résumés en quatre points par la Commission européenne dans sa communication du 21 septembre 2010 relative à la démarche globale en matière de transfert des données des dossiers passagers (PNR) aux pays tiers. En premier lieu, la protection des données à caractère personnel doit être garantie, afin de protéger les droits des passagers. En second lieu, des modalités de transfert des données PNR doivent être définies, afin de garantir la sécurité juridique aux transporteurs aériens et de maintenir les coà»ts à un niveau acceptable. En troisième lieu, des normes de surveillance de la bonne application de l’accord PNR doivent être prévues. Enfin, la réciprocité devrait également être assurée. Ces orientations se retrouvent directement dans les mandats de négociation.

Dans ses conclusions adoptées le 23 novembre 2010, faisant suite à la présentation des mandats de négociation de nouveaux accords avec les États-Unis, l’Australie et le Canada par le rapporteur Guy Geoffroy, la commission des affaires européennes avait demandé le respect de plusieurs garanties, portant notamment sur le mode de transfert, les données sensibles, le droit au recours, la durée de conservation.

. Si la proposition d’accord examinée aujourd’hui apparait globalement satisfaisante, des points demeurent problématiques

La proposition d’accord répond globalement aux exigences de notre commission, en excluant le recours à toute méthode autre que la méthode dite « push » (article 20), même dans le cas où un accès supplémentaire est nécessaire pour répondre à une menace spécifique (article 21).

Le droit d’accès et de correction des particuliers aux données les concernant est garanti, ainsi que leur droit à un recours effectif tant administratif €“auprès d’une autorité publique indépendante €“ que juridictionnel. Toutefois, les dispositions relatives au recours juridictionnel effectif sont encore trop imprécises.

De plus, cette proposition comporte des progrès qui doivent être soulignés. Elle permet d’avancer vers une véritable coopération entre l’Union européenne et le Canada en matière d’échange d’informations (article 6).

Le projet comporte des garanties accrues en termes de transparence. Il prévoit notamment que l’autorité canadienne compétente affiche sur son site internet toutes les informations nécessaires aux particuliers.

Le projet garantit que les données sensibles ne puissent être utilisées que dans des circonstances exceptionnelles et bénéficient d’une protection spécifique, conformément au souhait de notre commission. Toutefois, il convient de noter que les données sensibles ne pouvaient être traitées en application du précédent accord.

Des difficultés importantes subsistent, notamment en matière de transmission des données aux États tiers et de durée de conservation

Les finalités de l’accord sont larges, comparables à celles de l’accord avec l’Australie, notamment en retenant la possibilité, dans des cas exceptionnels, d’utiliser les données PNR pour la protection des intérêts vitaux de toute personne €“ risque de décès, blessure ou menace pour la santé €“ ainsi qu’aux fins du contrôle et de la responsabilité de l’administration publique. En outre, si l’accord précédent ne définissait pas précisément la notion de terrorisme, ce qui n’est pas satisfaisant, la définition retenue par le projet d’accord, sur une page entière, soulève des interrogations.

Par ailleurs, deux problèmes doivent retenir l’attention de notre commission. En premier lieu, les transferts de données PNR aux États non membres de l’Union européenne ne sont pas suffisamment encadrés.

Contrairement à ce qu’exigeait notre commission, la communication des données PNR à des États tiers n’est pas expressément subordonnée à l’autorisation de l’État d’origine des données. La proposition de décision se borne à prévoir que « l’autorité canadienne compétente en informe dès que possible les autorités de cet État membre » (article 19).

De même, la disposition de l’accord Union européenne-Australie prévoyant que l’autorité du pays tiers qui reçoit les données s’engage à ne pas transférer ultérieurement les données PNR n’est pas reprise dans le présent accord.

En second lieu, la proposition prévoit que les données soient conservées pour une durée de cinq ans. Le nouvel accord prévoit que les données soient partiellement dépersonnalisées après un délai de 30 jours. Au bout de deux ans et pendant trois ans, les autres noms que celui de la personne concernée, les coordonnées disponibles et les éléments permettant d’identifier une personne physique sont également masqués. La dés-anonymisation n’est alors plus possible que par des fonctionnaires habilités à cet effet, après autorisation préalable du chef de l’autorité compétente.

Mme Estelle Grellier.

Je souscris pleinement à cette analyse mais, si l’adoption doit intervenir très rapidement au Conseil, quel sera le sort des conclusions adoptées ici, qui portent sur un sujet très important : la protection des données ? Par ailleurs, quelle sera la position des autorités françaises sur ce dossier ? Il est certes important que le parlement prenne position sur l’exploitation des données personnelles mais tout est-il déjà acté au niveau du Conseil, comme je crains de le percevoir à l’issue de cette présentation avec laquelle je suis parfaitement d’accord.

Mme Marietta Karamanli, rapporteure.

C’est une question de fond que vous avez soulevée. En la matière, il nous appartient de prendre des positions en toute indépendance même si elles ne sont pas forcément partagées par le gouvernement.

Je pense que le gouvernement français ne s’opposera pas à l’adoption de cet accord. Il est important d’exprimer des réserves, qui sont d’ailleurs partagées par le Parlement européen, qui peut également s’appuyer sur les avis émis par les parlements nationaux dans ses travaux. Devons-nous nous positionner uniquement par rapport aux États membres ou établir nos positions propres en tant que parlementaires nationaux, en ayant des relations avec le Parlement européen ? Je pense qu’il est de notre devoir d’émettre nos propres avis.

Mme Estelle Grellier.

Je partage ce point de vue et je crois qu’il faut donc transmettre ce dossier au Parlement européen et, si trilogue il y a, cette transmission prendra tout son sens.

Mme Marietta Karamanli.

Oui, nous transmettons au gouvernement ainsi qu’aux parlementaires européens. J’ai pensé qu’il nous fallait être vigilants et souligner nos inquiétudes, n’étant pas totalement d’accord sur l’ensemble.

La Présidente Danielle Auroi.

Nous communiquerons donc nos travaux au ministère compétent mais également au Parlement européen qui défend des positions voisines et j’espère que nos points de vue seront écoutés.

Puis, la Commission a ensuite adopté la proposition de résolution

« La Commission des affaires européennes,

Vu l’article 88-4 de la Constitution,

Vu la proposition de décision du Conseil relative à la conclusion de l’accord entre le Canada et l’Union européenne sur le transfert et le traitement de données des dossiers passagers (COM(2013) 0528 final),

Vu la proposition de décision du Conseil relative à la signature de l’accord entre le Canada et l’Union européenne sur le transfert et le traitement de données des dossiers passagers (COM(2013) 0529 final),

1. Estime que le projet d’accord entre le Canada et l’Union européenne sur le transfert et le traitement de données des dossiers passagers comporte certaines avancées ;

2. Regrette toutefois que, contrairement à au précédent accord du 21 mars 2006 entre la Communauté européen et le gouvernement du Canada sur le traitement des données relatives aux informations préalables sur les voyageurs et aux dossiers passagers, le projet d’accord prévoie la possibilité de traiter les données sensibles, même si ce traitement est restreint au cas par cas et à des circonstances exceptionnelles ;

3. Juge que l’allongement de la durée de conservation des données des dossiers passagers, bien que des procédures d’anonymisation partielle de ces données soient prévues dès trente jours après réception, de trois ans et demi à cinq ans constitue un recul. Elle souhaite en outre que les procédures d’anonymisation fassent l’objet d’un suivi spécifique dans le cadre de l’examen conjoint de la mise en Å“uvre de cet accord prévu un an après son entrée en vigueur ainsi que dans le cadre de l’évaluation prévue quatre ans son entrée en vigueur ;

4. Dénonce le fait que la communication des données des dossiers passagers à des États tiers ne soit pas subordonnée à l’autorisation préalable de l’État d’origine des données et qu’aucune disposition n’interdise à l’État tiers de transférer ultérieurement les données.  »