Intervention de Dominique Bussereau

Madame la présidente, mesdames, messieurs les sénateurs, comme vient de le rappeler excellemment M. Détraigne, la lutte contre le terrorisme et la criminalité transnationale appelle une mobilisation de chaque instant face à des organisations ou à des réseaux qui savent exploiter tous nos points faibles.

L’utilisation des informations commerciales contenues dans les bases de données des compagnies aériennes, dites PNR, c'est-à-dire, dans une traduction française que je préfère à la version anglaise, enregistrement des données « passagers », s’est progressivement imposée comme une réponse efficace à des fins de prévention et de répression de ces phénomènes.

À la demande des États-Unis, l’Union européenne a négocié un accord permettant aux transporteurs aériens de transférer les données PNR aux autorités américaines pour les vols transatlantiques. Un cadre juridique a également été mis en place avec le Canada et l’Australie, et il faut s’attendre à des demandes similaires d’autres pays tiers à l’avenir.

Certains États membres de l’Union européenne, à l’instar de la Grande-Bretagne, ont également commencé à développer leur propre système PNR. En France, comme vous le savez, la loi du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers a ouvert cette possibilité.

À titre d’exemple, il faut savoir que les douanes françaises, dans le cadre des pouvoirs dont elles disposent, réalisent d’ores et déjà plus de 60 % des saisies annuelles de stupéfiants dans les aéroports de Roissy et d’Orly en exploitant les données PNR. Le chiffre parle de lui-même.

La Commission européenne a présenté, en novembre 2007, une proposition de décision-cadre afin de permettre à l’Union européenne de mettre en place un système cohérent à l’échelle de son territoire.

Cette initiative était la bienvenue pour trois raisons.

Tout d’abord, il est paradoxal que l’Union européenne accepte de transmettre à un nombre croissant de pays tiers des données PNR sans prévoir pour elle-même la possibilité de les exploiter.

Ensuite, la lutte contre le terrorisme et la criminalité transnationale appelle des réponses européennes harmonisées, d’autant que, dans un marché intérieur des transports unifié, il est logique de soumettre les entreprises concernées aux mêmes obligations.

Enfin, il appartient à l’Union européenne, compte tenu de ses valeurs, de développer un modèle de PNR reposant sur la double volonté de protéger les citoyens face à des menaces qu’il n’est pas possible d’ignorer et de garantir le respect des droits fondamentaux des personnes, à commencer par leur droit à la vie privée.

Comme vous l’avez compris, mesdames, messieurs les sénateurs, le principal enjeu de la négociation sur la proposition de la Commission européenne consiste à parvenir à un équilibre entre efficacité dans la lutte contre le terrorisme et la criminalité et protection des données à caractère personnel.

Je peux vous confirmer que c’est bien sous cet angle que ce dossier a été appréhendé, en particulier lorsque la France exerçait la présidence du Conseil de l’Union européenne.

Après une première lecture de la proposition de la Commission, sous présidence slovène, la France a estimé qu’il n’était pas possible de poursuivre la négociation au Conseil selon la méthode habituelle.

En juillet dernier, Michèle Alliot-Marie, alors ministre de l’intérieur, a donc proposé à ses collègues, au sein du conseil « Justice et affaires intérieures », de laisser provisoirement de côté le texte de la Commission et de privilégier un débat de fond sur plusieurs éléments clés afin de dégager des orientations politiques qui permettraient d’aborder la suite de la procédure législative sur des bases plus solides. Elle a également tenu, à juste titre, à associer à ce débat les principales parties prenantes : les organisations de transporteurs aériens, les autorités répressives des États membres, mais aussi le Contrôleur européen de la protection des données et le Parlement européen.

Pour la première fois, et c’est intéressant, l’Agence des droits fondamentaux de l’Union européenne a été formellement consultée par la présidence du Conseil dans le cadre d’une procédure législative et elle a rendu un avis qui a été dûment pris en compte dans les travaux.

Cette méthode, dont le caractère inédit répond à la volonté d’équilibre que je viens de rappeler, a produit des résultats qui rejoignent pour une large part les préoccupations exprimées dans la résolution adoptée par la Haute Assemblée. À cette occasion, je tiens à saluer la qualité du travail de M. Yves Détraigne, à qui je rends hommage.

Le Sénat souhaite une définition précise des finalités d’un PNR européen. Un tel système devrait en effet avoir pour objet la prévention et la détection des infractions terroristes et des formes graves de criminalité ainsi que les enquêtes et les poursuites en la matière, les crimes graves étant définis par référence au mandat d’arrêt européen.

Le Sénat plaide en faveur de la transmission des données selon la méthode « PUSH ». Celle-ci est en effet considérée comme la plus susceptible d’offrir les meilleures garanties en matière de protection des données à caractère personnel.

Afin de permettre aux transporteurs aériens de s’adapter à cette exigence, une période transitoire est envisagée, qui pourrait être de trois ans, conformément au dispositif retenu dans des accords antérieurs avec les pays tiers. Toutefois, au terme de ce délai, il appartiendra bien aux transporteurs aériens de transmettre les données vers la base de l’autorité publique, qui n’aura donc plus la possibilité d’aller elle-même les chercher auprès du transporteur.

Comme vous le savez, le système devrait reposer sur des « unités de renseignements passagers » qui seront créées pour recevoir et traiter les données PNR.

Les travaux que nous avons menés sous présidence française ont permis de constater un consensus sur un certain nombre de garanties qui permettront d’assurer un niveau optimal de protection des données.

Ainsi, ces unités devront avoir le caractère d’autorité publique. L’intervention d’intermédiaires, contrairement à ce qui était envisagé initialement par la Commission, devrait être exclue.

Chaque État membre adoptera une liste des autorités compétentes habilitées à demander et à recevoir de ces « unités de renseignements passagers » des données ou des analyses à partir du traitement des données PNR, en respectant certains critères.

Conformément au vœu de la Haute Assemblée, les personnes ayant accès aux données seront soumises à des règles de confidentialité et à des dispositions en matière de protection des données.

L’accès aux installations devra être contrôlé, tout comme l’accès aux données.

La France ne verrait que des avantages à ce que la violation éventuelle de ces règles par les personnels concernés soit dûment sanctionnée et qu’une disposition oblige les États membres à mettre en place de telles sanctions.

Plus généralement, s’agissant du contrôle de l’ensemble du dispositif, il est envisagé d’obliger chaque État membre à prévoir qu’une ou plusieurs autorités publiques seront chargées de contrôler l’application sur son territoire du texte européen tel qu’il aura été transposé dans le droit national. Ces autorités devront exercer leur mission en toute indépendance et disposer de pouvoirs d’investigation et d’intervention, notamment celui de saisir l’autorité judiciaire.

Le traitement des données sensibles, en particulier s’agissant des indications sur le régime alimentaire des passagers, continue à faire l’objet de débats. En tout état de cause, il est clairement acquis que l’évaluation du risque ne pourra en aucun cas reposer sur des critères liés à la race ou à l’origine ethnique d’une personne, pas plus que sur ses convictions religieuses ou philosophiques, ses opinions politiques, son appartenance à un syndicat, son état de santé ou son orientation sexuelle.

Cela étant, si le Conseil s’orientait vers une exclusion totale de l’exploitation des données sensibles, l’obligation d’effacement pourrait difficilement être mise à la charge des transporteurs aériens. Je ne peux que me réjouir, en ce qui me concerne, qu’un accord se soit clairement dégagé pour ne pas alourdir les contraintes qui pèsent sur le secteur aérien, soumis aux aléas de l’économie mondiale et actuellement en difficulté.

Si, au contraire, le Conseil estimait que l’utilisation de ces données, en particulier dans le contexte d’une enquête criminelle, pouvait se révéler utile, cette exploitation devrait être strictement encadrée.

Le Gouvernement est d’accord avec le Sénat pour considérer comme très importante la question de la durée de conservation des données. D’ores et déjà, le Conseil s’oriente nettement vers une révision à la baisse de la durée de treize ans qui figurait dans la proposition initiale.

À ce stade, une durée de conservation de trois ans, assortie d’une période supplémentaire d’archivage allant de trois à sept ans, est envisagée. La France pourrait parfaitement se satisfaire d’une période totale ne dépassant pas six ans.

Enfin, comme le suggère la Haute Assemblée, le régime applicable en matière de protection des données, avec toutes les garanties appropriées pour les personnes, doit être clarifié.

Nous étions parvenus, sous la présidence française de l’Union européenne, à l’idée d’appliquer à la transmission des données PNR par les compagnies aériennes un régime équivalent à celui qui est prévu par la directive n° 95/46/CE du 24 octobre 1995 et, en aval, de garantir un niveau de protection correspondant au moins à celui qui résulte des standards du Conseil de l’Europe.

En ce qui concerne la transmission des données à des pays tiers, plusieurs autres conditions devront être réunies, notamment celle qui est relative au niveau adéquat du système de protection des pays concernés.

Telles sont, mesdames, messieurs les sénateurs, les grandes options qui se sont dégagées à l’issue d’un travail de fond accompli au second semestre 2008. Elles reposent sur une large consultation. La présidence tchèque a commencé à en tirer les conséquences et a repris l’examen du texte pour le modifier dans le sens voulu par le Conseil. La présidence suédoise prendra naturellement le relais.

La perspective de l’entrée en vigueur du traité de Lisbonne est susceptible de modifier le cours des événements. Si ce nouveau cadre institutionnel s’applique à la fin de l’année, comme le souhaite le Président de la République, les progrès réalisés serviront de base à l’adoption d’un texte législatif en codécision.

L’association du Parlement européen à la suite des travaux constituera une garantie supplémentaire dans la recherche de l’équilibre qu’il est fondamental de préserver entre la volonté de mieux protéger nos citoyens et l’exigence de respecter pleinement leurs libertés individuelles.