Intervention de Joëlle Garriaud-Maylam

Cet accord s'inscrit dans le cadre d'une coopération déjà ancienne. La France et les Etats-Unis ont conclu deux accords, le premier relatif à l'extradition, le 23 avril 1996, et le second à l'entraide judiciaire, le 10 décembre 1998. Depuis 2007, 475 demandes d'entraides ont été adressées aux Etats-Unis par les autorités françaises dont 48 en matière de terrorisme et 225 par les autorités américaines à la France dont 37 en matière de terrorisme.

Dans ce cadre, la France peut refuser d'exécuter une demande d'entraide judiciaire si l'exécution de celle-ci « risque de porter atteinte à sa souveraineté, à sa sécurité, à son ordre juridique ou à d'autres intérêts essentiels ». C'est ainsi qu'elle refuse toute entraide dans une affaire judiciaire pouvant conduire à une condamnation à la peine de mort aux Etats-Unis.

À cette coopération judiciaire s'ajoute une coopération opérationnelle très efficace, notamment avec le ministère de la sécurité intérieure et les agences fédérales qui dépendent du ministère de la justice comme le FBI et la Drug Enforcement Administration.

Le caractère international des mouvements terroristes et des réseaux du crime organisé, l'extrême mobilité de leurs membres, leur remarquable capacité à contourner les techniques d'investigation des services d'enquêtes, même les plus nouvelles, rendent nécessaires le renforcement de la coopération afin de pouvoir identifier de manière certaine des personnes qui utilisent de multiples identités, au moyen des données dactyloscopiques et génétiques.

A l'heure actuelle, les échanges de données biométriques entre la France et les Etats-Unis se font dans le cadre de lettres d'entraide internationale via Interpol. Ils sont très limités du fait de l'absence d'un outil adapté. La coopération policière prévue par cet accord devrait permettre la facilitation et l'intensification de ces échanges.

Les Etats-Unis sont demandeurs d'un renforcement de cette coopération et conditionnent le maintien du programme d'exemption de visa pour des séjours de moins de trois mois (« Visa Waiver Program »), mis en place en 1986, avec un certain nombre de pays, au développement des échanges d'informations dans le domaine de la prévention et de la répression du terrorisme et de la criminalité grave. Ainsi, en 2008, la France a-t-elle été invitée à négocier un accord sur l'échange de données génétiques et d'empreintes digitales.

Les négociations ont duré presque trois ans. Le texte de cet accord a finalement été conclu en mai 2012.

Inspiré du traité dit de « Prüm », du 27 mai 2005 relatif à l'approfondissement de la coopération transfrontalière, notamment en vue de lutter contre le terrorisme, la criminalité transfrontalière et la migration illégale conclu entre la France, la Belgique, l'Allemagne, l'Espagne, les Pays-Bas et l'Autriche, partiellement incorporé dans les décisions du Conseil de l'Union européenne du 23 juin 2008, le présent accord prévoit une coopération judiciaire pénale reposant essentiellement sur un accès automatisé d'une Partie aux bases de données d'empreintes génétiques et dactyloscopiques de l'autre Partie.

Sont concernées les infractions relatives à la criminalité grave et au terrorisme, définies en annexe, ainsi que les autres faits passibles d'une peine privative de liberté égale ou supérieure à trois ans. A titre d'exemple, on peut citer les crimes contre l'Etat, les infractions relatives aux armes et les infractions graves impliquant des substances règlementées. En revanche les infractions relatives à la migration illégale mentionnée dans le traité de Prüm n'y figurent pas.

L'échange d'informations se déroule en deux temps.

En premier lieu un échange d'informations relatives à la présence d'une empreinte dactyloscopique ou génétique, largement automatisé.

L'accès aux bases de données se fait via des points de contact nationaux désignés par les Parties qui les autorisent à accéder à leurs bases de données indexées, pour procéder à des comparaisons par une interrogation « concordance/ pas de concordance ». Cet accès permet seulement de savoir si les empreintes sont connues de l'autre Partie, mais il ne permet pas d'obtenir directement les données personnelles.

Ces droits de consultation sont strictement encadrés. Ils doivent être exclusivement utilisés dans le cadre d'une procédure judiciaire ou d'une procédure d'enquête relatives à des crimes graves et concernant une ou plusieurs personnes déterminées.

Les consultations ne peuvent s'opérer qu'au cas par cas et dans le respect de la législation nationale de la Partie requérante.

Le point de contact de la Partie requérante est informé par voie automatisée, soit de l'absence de concordance, soit au contraire, en cas de concordance constatée, de l'existence des données indexées qui s'y rapportent. La concordance doit ensuite être affinée entre la donnée transmise et une donnée enregistrée dans le fichier de la Partie requise, pour qu'« une concordance claire » soit établie.

En France, le point de contact devrait être la sous-direction de la police technique et scientifique de la direction centrale de la police judiciaire.

Les fichiers automatisés susceptibles d'être consultés à la demande des Etats-Unis sont le fichier national automatisé des empreintes génétiques pour les profils ADN, le FNAEG, et le fichier automatisé des empreintes digitales, le FAED.

Le FAED, créé en 1987 est un traitement automatisé des empreintes digitales et palmaires dont l'objet est de faciliter la recherche et l'identification des auteurs de crimes et de délits et de faciliter la poursuite, l'instruction et le jugement des affaires judiciaires. Il est placé sous le contrôle du Procureur général près la Cour d'appel de Paris.

Le FNAEG, créé en 2003, est destiné à centraliser les empreintes génétiques prélevées sur les scènes d'infraction ainsi que celles des personnes suspectes et déclarées coupables de l'une des infractions mentionnées à l'article 706-55 du code de procédure pénale en vue de faciliter l'identification et la recherche des auteurs de ces infractions. Dans cette liste d'infractions figurent notamment les actes de terrorisme et les crimes et délits de trafic de stupéfiants. Il est placé sous le contrôle d'un magistrat du parquet hors hiérarchie et d'un comité de trois personnes qui l'assistent à cette fin.

Au 31 août 2014, le FAED contenait les empreintes digitales et palmaires de 5 millions d'individus et 233 300 traces papillaires non identifiées tandis que le FNAEG comprenait les profils génétiques de 2,6 millions d'individus et 237 217 traces non identifiées.

Dans l'attente que la législation de chacune des Parties permette un accès automatisé aux profils ADN détenus par l'autre Partie, chaque Partie peut effectuer une consultation de sa propre base de données automatisée à la demande de l'autre Partie. En effet, compte tenu de l'organisation fédérale des Etats-Unis, chaque Etat a son propre fichier automatisé des empreintes génétiques et il n'y a pas encore de fichier central de profils génétiques.

En second lieu, la transmission de données à caractère personnel (noms, prénoms, date et lieu de naissance ainsi qu'un exposé des circonstances de la collecte et de l'enregistrement des données) est réalisée selon la législation nationale de la Partie requise. C'est à ce stade que devra être précisément justifiée l'inscription de la demande de transmission des données personnelles dans un cadre de police judiciaire. D'ailleurs les services du ministère de l'intérieur auditionnés m'ont indiqué que la transmission de ces données personnelles se fera encore souvent par le biais d'une demande d'entraide judiciaire pour qu'elles puissent être valablement utilisées comme preuves dans un procès ultérieur et que le bureau de l'entraide pénale internationale (BEPI) sera associé au travail du point de contact national.

Les dispositions opérationnelles et techniques nécessaires à la mise en oeuvre de ces procédures de consultation feront l'objet d'arrangements administratifs ultérieurs.

À côté de ce dispositif, l'article 9 de l'accord prévoit la possibilité d'une transmission spontanée de données personnelles, à titre préventif, au vu de circonstances particulières faisant présumer qu'une personne est susceptible de commettre des infractions terroristes ou liées à la grande criminalité. Elle se fait par l'intermédiaire des points de contact désignés et peut être assortie de conditions d'utilisation. Cet article vise à encadrer le traitement des urgences et selon les services du ministère de l'intérieur interrogés, il n'y serait recouru que dans les cas de périls imminents. En France, c'est l'Unité de coordination de la lutte anti-terroriste (UCLAT), rattachée au Directeur général de la police nationale qui devrait être le point de contact.

Abordons maintenant la protection des données à caractère personnel. La longueur des négociations s'explique par les garanties exigées par la France en la matière.

En effet, le transfert de données vers des États tiers hors Union européenne est soumis à un régime particulier prévu par les articles 68, 69 et 70 de la loi du 6 janvier 1978 qui transposent la directive européenne du 24 octobre 1995.

Selon le principe de l'article 68, le transfert n'est possible que vers les États qui assurent « un niveau de protection suffisant de la vie privée et des libertés et des droits fondamentaux ». La Commission européenne estime que les États-Unis ne présentent pas un niveau de protection globale adéquat et que l'appréciation du niveau de protection doit se faire au cas par cas. Ainsi en 2001, la Commission a négocié avec les autorités américaines un ensemble de principes de protection des données personnelles rassemblés sous le terme de Safe Harbour (« sphère de sécurité ») auxquels les entreprises établies aux Etats-Unis ont la possibilité d'adhérer afin d'obtenir l'autorisation de recevoir des données en provenance de l'Union européenne. On peut également citer l'accord conclu entre l'Union européenne et les Etats-Unis sur le transfert des données des passagers des compagnies aériennes (PNR), entré en vigueur le 1er juillet 2012.

L'article 69 alinéa 2 prévoit la possibilité d'échanger des données à caractère personnel avec un État dont le niveau de protection n'est pas suffisant, si le transfert est nécessaire à la sauvegarde de l'intérêt public, selon un régime particulier. En conséquence, la France a négocié des garanties importantes qui sont détaillées dans l'article 10. Cet article érige en principe le respect de la confidentialité et la protection appropriée des données à caractère personnel transférées. En conséquence, les Parties s'engagent à ne transmettre que les données à caractère personnel « adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont communiquées » ; à s'assurer que toute erreur constatée soit signalée à la Partie destinataire en vue de sa rectification par celle-ci et à conserver les données transmises pendant la seule durée d'utilisation nécessaire à la procédure judiciaire pour lesquelles elles ont été demandées.

Garantie supplémentaire, la transmission des données obtenues en provenance d'un Etat tiers est soumise à l'autorisation de ce dernier. La tenue d'un registre des données reçues ou transmises permet d'assurer la traçabilité des échanges et la sécurité des données, ainsi que le contrôle effectif des dispositions de l'accord.

Un mécanisme de contrôle par une autorité indépendante est également prévu, qui peut être l'autorité compétente en la matière de la Partie concernée, comme la CNIL, en France.

La transparence et l'information des personnes concernées « sur les finalités du traitement, l'identité de l'autorité de contrôle, les destinataires ou catégories de destinataires, l'existence du droit d'accès, de rectification, de mise à jour ou de suppression des données la concernant » sont également exigées.

En outre, est garanti un droit de recours approprié à toute victime d'une violation de ses droits à la protection des données à caractère personnel, indépendamment de la nationalité ou du pays de résidence de l'intéressé. L'effectivité de ce recours suppose une adaptation de la législation américaine en vue d'étendre, aux Français et plus généralement aux Européens, le droit de recours judiciaire prévu par le Privacy Act de 1974, qui est actuellement réservé aux Américains et aux résidents aux États-Unis. Cette extension nécessite l'adoption, par le Congrès, d'un texte législatif, annoncé par le Président Obama, en janvier 2014, mais non encore adopté.

En contrepoint, on peut faire valoir l'existence d'une possibilité de rectifier, de bloquer ou d'effacer, à la demande de la Partie émettrice, les données reçues si celles-ci sont incorrectes, incomplètes ou si leur collecte ou leur traitement complémentaire enfreint les dispositions de l'accord ou les règles applicables à la Partie émettrice.

On peut également ajouter qu'un suivi et des consultations entre les Parties sur la mise en oeuvre de l'accord, notamment sur la protection des données à caractère personnel, sont prévus, et particulièrement en cas d'évolution des négociations sur l'accord dit « accord parapluie » entre l'Union européenne et les Etats-Unis relatif à la protection des données personnelles lors de leur transfert et de leur traitement aux fins de prévenir les infractions pénales, dont les actes terroristes.

Par ailleurs, l'accord peut être suspendu, en cas de manquement substantiel et après consultation bilatérale des Parties. Il y aura donc un travail scrupuleux de vérification de l'application de l'accord par chacune des Parties qui ont un intérêt mutuel à ce qu'il fonctionne dans le respect des exigences posées.

Après un examen attentif en particulier, vous l'aurez compris, sur l'effectivité du droit de recours, je recommande l'adoption de ce projet de loi, qui facilitera la coopération judiciaire entre la France et les Etats-Unis, à un moment où les services de police français et américains ont de plus en plus besoin d'échanger rapidement des données dans des conditions techniques et juridiques sûres, et qui permettra de surcroît de maintenir le bénéfice de l'exemption de visa pour des séjours de moins de trois mois à nos compatriotes.

La Conférence des présidents a décidé lors de l'inscription du projet de loi à l'ordre du jour qu'il fera l'objet d'une procédure d'examen simplifié en séance publique, le vendredi 17 avril 2015, en application des dispositions de l'article 47 decies du règlement du Sénat.

À l'issue de la présentation de la rapporteure, la commission a adopté le rapport ainsi que le texte proposé.

- Co-Présidence de MM. Jean-Pierre Raffarin, président de la commission des affaires étrangères et de la défense, et de M. Hervé Maurey, président de la commission du développement durable -