Intervention de Simon Sutour

est créé par les compagnies aériennes au moment de la réservation des vols, quelquefois plusieurs mois avant la date du départ. Ce dossier contient toutes les informations fournies lors de la réservation du voyage (passagers, itinéraires et horaires des déplacements, mode de paiements, etc.). Une partie de ce dossier PNR est ensuite transférée dans le dossier dit API, en anglais Advanced Passengers System, créé lors de la procédure d'embarquement. Ces données relatives aux passagers peuvent être utilisées par les autorités publiques pour renforcer la surveillance des frontières dans le cadre de la lutte contre le terrorisme, les infractions graves, l'immigration clandestine...

Au début des années 2000, la Commission européenne a proposé au Conseil que soit édictée une législation européenne précisant les conditions à remplir pour exiger des compagnies aériennes européennes la transmission de leurs données PNR, afin d'harmoniser la gestion et l'utilisation desdites données à l'échelle de l'Union européenne.

On rappellera que la loi du 23 janvier 2006 relative à la lutte contre le terrorisme a autorisé, en France, la collecte et l'exploitation des données PNR et API. Elle allait donc au-delà de la simple transposition de la directive du 29 avril 2004 concernant l'obligation pour les transporteurs de communiquer les données API. En pratique, la mise en oeuvre de la loi de 2006 n'a concerné, dans un premier temps, que les données API. Le système PNR national français devrait être opérationnel à l'automne 2015.

Qu'en est-il des relations avec les pays tiers ? Ce sont les États qui fixent les conditions du transfert de données, telles que les données PNR, que les compagnies aériennes doivent respecter pour pouvoir desservir leur territoire. Toutefois, afin de normaliser ces transferts, l'Organisation de l'aviation civile internationale (OACI) a défini certaines lignes directrices. Lorsque les États-Unis, l'Australie et le Canada ont exigé le transfert des données PNR détenues par les compagnies aériennes européennes, l'Union européenne a jugé que des accords internationaux devaient être conclus entre elle et ces pays afin que les transferts de données puissent s'effectuer conformément à la réglementation européenne sur la protection des données. Je précise à cet égard que la proposition de règlement initiée par Mme Redding reste en débat, les discussions semblant devoir s'accélérer dans le courant de l'année. Les accords, conclus dans les années 2005 - 2006, ont été renégociés à partir de 2010. La négociation a abouti avec l'Australie, en 2011, et avec les États-Unis, en 2012. L'accord avec le Canada signé le 25 juin 2014, est en voie de ratification, le Parlement européen ayant adopté, le 25 novembre 2014, une motion tendant à la saisine pour avis de la Cour de justice de l'Union européenne afin de vérifier la légalité de l'accord PNR entre le Canada et l'Union européenne au regard du droit de l'Union européenne.

D'autres États tels que le Mexique, la Russie ou l'Arabie saoudite exigent désormais des compagnies aériennes européennes la communication de leurs données PNR. Le Japon, la Corée du Sud, le Brésil, les Émirats arabes unis, le Qatar de même que la Nouvelle-Zélande envisagent de le faire.

La Commission européenne a demandé à tous les États tiers envisageant la création d'un système PNR d'exempter les compagnies européennes de tout transfert tant qu'un instrument européen spécifique ne garantira pas le respect des règles européennes de protection des données. Un dialogue technique s'est ainsi engagé avec certains des États concernés, dans l'attente de l'adoption du PNR européen.

L'encadrement juridique est essentiel tant pour les voyageurs que pour les transporteurs aériens européens. L'existence d'un accord doit assurer aux voyageurs un niveau de protection des données satisfaisant. Quant aux compagnies aériennes, il est essentiel de leur garantir un cadre juridique sûr. En l'absence d'accord, elles se trouvent exposées soit à se mettre en contradiction avec le droit de l'Union si elles transmettent les données, soit à des mesures de restriction de vols de la part des autorités des États tiers. Cette absence de sécurité juridique peut par ailleurs les mettre dans une situation concurrentielle défavorable par rapport aux autres compagnies aériennes qui ne se trouveraient pas devant la même contradiction.

On rappellera que la Commission a déposé, le 6 novembre 2007, une proposition de décision-cadre du Conseil relative à l'utilisation des données des dossiers des passagers à des fins répressives dans l'Union européenne.

Cette proposition faisait obligation au transporteur aérien assurant des vols vers le territoire d'au moins un État membre ou à partir de celui-ci, de transmettre aux autorités compétentes les renseignements relatifs aux passagers aux fins de prévenir et de combattre les infractions terroristes et la criminalité organisée.

Le dispositif général était le suivant. Les transporteurs aériens fourniront aux États membres les données contenues dans le dossier de voyage de chaque passager empruntant un vol international à destination ou en provenance de l'Union européenne ; ces données seront exploitées par les États membres pour prévenir et détecter les infractions terroristes et les formes graves de criminalité ; chaque État membre devra, sur son territoire, constituer une plate-forme dite « unité de renseignement passager » (URP). Ces unités conserveront les données PNR pour une durée maximale de cinq ans et exploiteront lesdites données à la demande des services opérationnels ; elles constitueront un réseau européen et pourront s'échanger leurs données.

Cette proposition de décision-cadre de 2007 a donné lieu à une proposition de résolution adoptée le 30 mai 2009 par le Sénat, à notre initiative. Cette résolution faisait valoir les priorités à retenir pour assurer un respect effectif des droits fondamentaux, en particulier le droit au respect de la vie privée et à la protection des données personnelles.

En 2008, le Conseil avait adopté une importante décision-cadre du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale qui définit les grands principes et les droits fondamentaux en la matière.

C'est à ce texte que la proposition de directive sur la protection des données à caractère pénal et judiciaire en cours de discussion entend se substituer.

En application des nouvelles règles procédurales du traité de Lisbonne mais aussi compte tenu des fortes réserves exprimées par le Contrôleur européen de la protection des données, l'Agence des droits fondamentaux de l'Union européenne et le groupe européen des autorités de protection des données, la Commission européenne a présenté, le 2 février 2011, une nouvelle proposition de directive. C'est cette proposition de directive qui peine aujourd'hui à avancer, et sur laquelle nous entendons réagir, dans le respect de l'exigence de protection des citoyens.

Cette proposition de la Commission de 2011 a été modifiée sur certains points par le Conseil, le 18 avril 2012. Elle avait déjà, il faut en convenir, répondu à plusieurs attentes exprimées par le Sénat dans sa résolution européenne en 2009.

Dans sa résolution européenne, le Sénat demandait que soit retenue, parmi les priorités, la nécessité d'assurer un respect effectif des droits fondamentaux, en particulier le droit au respect de la vie privée et à la protection des données personnelles. Plusieurs considérants de la directive de 2011 reprennent cette exigence.

Le Sénat soulignait en outre que les finalités de la proposition devaient être précisément délimitées et concerner exclusivement le terrorisme et un ensemble d'infractions graves définies par référence à la décision- cadre relative au mandat d'arrêt européen. De fait, la proposition retient ces finalités.

S'agissant de la composition de l'« unité de renseignements passagers », nous avions, en 2009, jugé nécessaire que des garanties supplémentaires soient prévues s'agissant de la qualité des services chargés de l'« unité de renseignements passagers », de la qualité des autorités compétentes pour recevoir les données PNR et les traiter, ainsi que des conditions dans lesquelles des intermédiaires seraient susceptibles d'intervenir dans la collecte et la transmission des données.

La proposition de directive renvoie aux États membres le soin de créer ou de désigner une autorité compétente pour exercer la fonction d'« unité de renseignements passagers » nationale chargée de la collecte des données PNR. Chaque État membre informera la Commission dans un délai d'un mois à compter de la mise en place de l'URP et pourra à tout moment actualiser sa déclaration. La proposition précise également que chaque État membre arrêtera une liste des autorités compétentes habilitées à demander ou obtenir des données PNR. Les autorités compétentes sont seules habilitées à intervenir en matière d'infractions terroristes et d'infractions graves.

Le Sénat avait souhaité qu'au sein de ces autorités, seuls les agents individuellement désignés et dûment habilités puissent accéder aux données PNR. C'est ce que prévoit la proposition, à l'expiration d'une première période de conservation des données d'une durée de trente jours.

Nous avions également souhaité que les autorités indépendantes sur la protection des données soient habilitées à effectuer des contrôles au sein de l'URP. La proposition de directive reconnaît cette faculté, en même temps qu'un rôle de conseil et de surveillance de l'application du dispositif aux autorités nationales de contrôle de la protection des données.

Conformément à la demande expresse que nous avions exprimée, les articles 4, 5 et 11 de la proposition de directive excluent le traitement des données sensibles.

Notre travail n'a donc pas été vain. Le texte a beaucoup évolué. Du temps que je présidais notre commission, nous avions refusé, au titre de la réserve d'examen parlementaire, que le Gouvernement approuve l'accord avec les États-Unis. Le Gouvernement Fillon avait respecté notre voeu et s'était abstenu. Nous nous sommes battus en faveur d'un instrument - nécessaire - tout en défendant certains principes. Comme dirait le Premier ministre Manuel Valls, les mesures exceptionnelles ne doivent pas être des mesures d'exception.

S'agissant de la durée de conservation des données, la décision-cadre de 2007 avait prévu treize ans au total, durée que le Sénat avait jugé manifestement disproportionnée. Nous avions proposé une durée de conservation de trois ans, à laquelle pourrait succéder une durée de conservation de trois ans des seules données PNR ayant montré un intérêt particulier au cours de la première période.

L'article 9 de la proposition initiale de directive de 2011 prévoit que passée une première période de trente jours, les données peuvent être conservées pendant une période supplémentaire de cinq ans mais qu'au cours de cette période, elles doivent être masquées, et ne rester accessibles qu'à un nombre limité d'employés de l'URP, expressément autorisés à analyser les données et à mettre au point des critères d'évaluation. En 2011, nous avions jugé cette disposition satisfaisante.

S'agissant des droits des personnes concernées, le Sénat avait considéré que le régime de protection des données applicable devait être clarifié, en privilégiant un haut niveau de protection par référence aux standards du Conseil de l'Europe. La proposition de directive prévoit pour tout passager un droit d'accès, de rectification, d'effacement et de verrouillage des données, un droit à réparation et le droit à un recours juridictionnel ainsi que des informations claires et précises sur la communication des données PNR.

Enfin, nous avions demandé que le transfert des données vers des États tiers ne soit possible qu'au cas par cas, sous réserve que l'État tiers assure un niveau de protection adéquate des données et que des garanties soient prévues dans la mise en oeuvre du principe de réciprocité. De fait, la proposition de directive prévoit qu'un État membre ne pourra transférer à un pays tiers des données PNR et les résultats du traitement de telles données qu'au cas par cas si les conditions précisées par la décision cadre de 2008 du Conseil sont remplies et si le transfert est nécessaire aux fins de ladite directive. Le pays tiers devra n'accepter de transférer les données à un autre pays tiers que lorsque le transfert est nécessaire aux fins de la directive et uniquement sur autorisation expresse de l'État membre qui a communiqué les données à l'État tiers.

La résolution européenne adoptée par le Sénat le 18 mai 2011, à notre initiative, prenait acte de la proposition de directive tendant à promouvoir une approche harmonisée au sein de l'Union européenne de l'utilisation des données des dossiers passagers à des fins répressives ; soulignait qu'une telle approche devait retenir, parmi ses priorités, celle d'assurer un respect effectif des droits fondamentaux, en particulier le droit au respect de la vie privée et à la protection des données à caractère personnel ; estimait que les dispositions protectrices des données à caractère personnel et de la vie privée retenues pour le PNR devaient inspirer les négociations en cours d'accords internationaux entre l'Union européenne et les États tiers.

Le Sénat, dans sa résolution, considérait aussi que les négociations sur la directive PNR devaient intégrer les réflexions, alors en cours, en vue d'assurer une approche globale de la protection des données à caractère personnel dans l'Union européenne. Il lui était apparu indispensable que les discussions tiennent le plus grand compte des évolutions du cadre général de la protection des données dans l'Union européenne.

Qu'est-il advenu de cette proposition de directive de 2011 ? La proposition a été discutée au sein du Conseil de mars 2011 à avril 2012 et adoptée le 26 avril 2012. Le texte adopté par le Conseil en avril 2012 a modifié la proposition initiale de la Commission principalement sur la période de conservation des données : il prévoit que les États membres veillent à ce que les données PNR transmises par les transporteurs aériens à l'unité de renseignements passagers soient conservées dans une base de données pendant une période de cinq ans à compter de leur transmission à l'URP de l'État membre sur le territoire duquel se situe le point d'arrivée ou de départ du vol. À l'expiration de la période de deux ans à compter du transfert, les données PNR sont « dépersonnalisées » par masquage d'un certain nombre d'éléments d'information pouvant servir à identifier directement le passager auquel se rapportent les données PNR. La divulgation de l'intégralité des données PNR n'est alors plus autorisée que s'il existe des motifs raisonnables de penser qu'elle est nécessaire et qu'elle est approuvée par une autorité nationale compétente, en vertu du droit national, pour vérifier si les conditions de divulgation sont remplies. Les États membres veillent à ce que les données soient effacées à l'issue de la période de cinq ans.

Le Conseil a également introduit la possibilité d'appliquer la directive aux vols intracommunautaires. C'est une innovation importante. Tant la décision-cadre de 2009 que la proposition initiale de la Commission, en 2011, ne concernaient que les vols extra-communautaires. Aux termes de l'article premier bis tel qu'adopté par le Conseil en 2012, tout État membre peut, s'il le souhaite, appliquer la directive PNR aux vols intracommunautaires. Il en informe, à cet effet, la Commission européenne par un avis écrit. Toutes les dispositions de la directive s'appliquent alors aux vols intracommunautaires comme s'il s'agissait de vols extracommunautaires et aux données PNR des vols intracommunautaires comme s'il s'agissait de données PNR de vols extra-communautaires.

Le texte adopté par le Conseil prévoit également qu'un État membre peut décider de n'appliquer la directive qu'à certains vols intracommunautaires. Lorsqu'il prend une telle décision, l'État membre sélectionne les vols qu'il juge nécessaires aux fins de la directive.

Au sein du Parlement européen, la commission Libertés civiles, justice et affaires intérieures, dite commission LIBE, a voté une motion de rejet de la proposition le 24 avril 2013. Ce rejet a pu surprendre dans la mesure où ladite commission avait validé, au mois d'avril 2012, le projet d'accord PNR entre les États-Unis et l'Union européenne.

Le Conseil a donc évolué. Qu'en est-il du Parlement européen ? Réuni en séance plénière le 12 juin 2013, il a refusé de valider cette motion et a demandé à la Commission LIBE de reprendre ses travaux sur ce texte, ce qu'elle a fait au mois de novembre 2014.

Relevons que la Commission européenne s'est fortement engagée pour faire aboutir la directive PNR et soutient financièrement, via le programme Prévenir et combattre la criminalité, doté d'un fonds de 50 millions d'euros, la création de systèmes PNR nationaux dans dix-neuf États membres, dont la France.

J'indiquerai qu'à ce jour, en dehors de la France, la Suède et les Pays-Bas ont créé un PNR avec les aides du fonds européen ; de leur côté le Royaume-Uni (depuis 2008), le Danemark et la Belgique ont créé leur propre PNR sans aide européenne ; par ailleurs, d'autres pays comme les pays Baltes, l'Autriche, la Hongrie, la Slovénie, la Roumanie, la Bulgarie et l'Espagne bénéficient actuellement du fonds européen pour créer un PNR.

La majorité des États membres s'est déclarée favorable à une législation européenne en la matière. Nombre d'entre eux soulignent notamment l'utilité de la directive dans la lutte contre le phénomène des combattants étrangers.

Les conclusions du Conseil européen du mois d'août 2014 et les réunions des deux Conseils JAI sous présidence italienne ont constamment réitéré la nécessité d'instituer cet outil notamment pour lutter contre le terrorisme tout en regrettant l'insuffisance des progrès réalisés.

Avant de conclure cette communication, je me dois de rappeler que le 8 avril dernier, la Cour de justice de l'Union européenne a invalidé la directive du 15 mars 2006 sur la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public. La Cour a estimé que le législateur européen avait dépassé les limites appropriées et nécessaires aux objectifs de recherche, de détention et de poursuite d'infractions graves, en imposant à ses fournisseurs une si large obligation de conservation des données, sans encadrement strict. Elle a conclu que « cette directive comporte une ingérence dans ces droits fondamentaux d'une vaste ampleur et d'une gravité particulière dans l'ordre juridique de l'Union sans qu'une telle ingérence soit précisément encadrée par des dispositions permettant de garantir qu'elle est effectivement limitée au strict nécessaire. ». Le Parlement en tire argument pour estimer qu'il faut attendre.

Si l'intensification, par tous les moyens, de la lutte contre toutes les formes de terrorisme, tant au plan national qu'au plan européen, constitue la priorité de tous les États membres, l'enjeu de la protection des données personnelles n'en a pas pour autant disparu, dans la mesure compatible avec les nécessités de cette lutte.

Dès le mois de juillet 2013, par un courrier identique, huit ministres de l'Intérieur dont le ministre français, avaient signalé au président de la commission LIBE l'importance du dossier PNR dans la lutte contre les combattants étrangers. Dans ses conclusions du 30 août 2014, le Conseil européen a appelé le Conseil et le Parlement européen à mener à bien, pour la fin de l'année 2014, les travaux sur la proposition PNR.

Au Conseil Justice et Affaires intérieures des 9 et 10 octobre et des 4 et 5 décembre 2014, les ministres de l'Intérieur ont convenu d'agir ensemble auprès du Parlement européen afin de faire évoluer sa position.

Comme on le sait, l'actuel blocage est le fait de certains rapporteurs influents de la Commission LIBE - même si son président, M. Claude Moraès, s'est, semble-t-il, prononcé en faveur du PNR européen. Aujourd'hui même, 4 février, la Commission LIBE procède à une audition d'experts en présence, m'a-t-il été indiqué, de notre ministre de l'Intérieur, M. Bernard Cazeneuve.

Selon certaines informations, en cas de désaccord persistant, la Commission européenne serait prête à présenter un nouveau texte. Mon avis personnel est que ce ne serait pas une bonne solution, car elle pourrait entraîner de nouveaux retards dans l'adoption du PNR européen. Lorsque nous avons rencontré, avec Jean Bizet, son Secrétaire général, nous avons compris que c'était là une manière, pour le Parlement européen, de sauver la face.

Le Conseil européen des 12 et 13 février prochains devrait se saisir à nouveau du dossier.

En conclusion, je vous proposerai une proposition de résolution européenne invitant, eu égard à la gravité des menaces terroristes de toute nature qui pèsent sur nos sociétés, à la mise en place rapide d'un système PNR européen, un tel système étant seul de nature à assurer une coordination efficace entre les PNR nationaux, tout en veillant au respect des garanties indispensables pour la protection des données personnelles. Elle rappelle aussi que dans ses résolutions du 30 mai 2009 et du 18 mai 2011, le Sénat avait énoncé les conditions qui devraient être selon lui réunies pour que ces garanties indispensables soient affirmées.