a tout d'abord rappelé :
- que la proposition de décision-cadre, transmise au Sénat au titre de l'article 88-4 de la Constitution, avait pour objectif « d'harmoniser les dispositions des Etats membres relatives à l'obligation, pour les transporteurs aériens assurant des vols vers le territoire d'au moins un Etat membre ou à partir de celui-ci, de transmettre aux autorités compétentes les renseignements relatifs aux passagers aux fins de prévenir et de combattre les infractions terroristes et la criminalité organisée » ;
- que la commission des affaires européennes, réunie le 3 mars 2009, avait adopté une proposition de résolution, présentée par M. Simon Sutour, qui, tout en approuvant le principe d'un système PNR (Passenger Name Record) européen, avait considéré que la proposition de décision-cadre ne protégeait pas suffisamment la vie privée et les données à caractère personnel ;
- que les dossiers passagers, collectés et conservés par les compagnies aériennes et les agences de voyage, contenaient diverses informations telles que les renseignements sur l'agence de voyage auprès de laquelle la réservation est effectuée, l'itinéraire du déplacement, les indications des vols, le contact à terre du passager, les services demandés à bord... renseignements dont l'importance en matière de lutte contre le terrorisme avait conduit trois pays à se doter d'un système de traitement des données PNR : les Etats-Unis, le Canada et l'Australie -la Corée du Sud ayant un projet en cours. Ces systèmes, a-t-il précisé, ont donné lieu à la conclusion d'accords avec l'Union européenne pour régler les modalités de la transmission et de l'exploitation des données PNR issues de vols en provenance d'un Etat membre et à destination de l'un de ces trois pays.
Il a souligné que les expériences européennes étaient, elles, limitées, seul le Royaume-Uni ayant à ce jour décidé de se doter d'un système PNR complet, en vigueur depuis mars 2008. La France, quant à elle, n'a pas mis en oeuvre un tel traitement, alors que la loi du 23 janvier 2006 relative à la lutte contre le terrorisme l'y autorise afin d'améliorer le contrôle aux frontières, la lutte contre l'immigration clandestine et le terrorisme, sous réserve de ne pas collecter des données dites sensibles au sens de la loi du 6 janvier 1978 « informatique et libertés ». La mise en oeuvre de la loi de 2006 ne s'est en effet traduite que par la création, la même année, d'un fichier qui ne concerne que les données des passagers des vols directs en provenance et à destination de cinq pays (l'Afghanistan, le Pakistan, l'Iran, la Syrie et le Yémen).
Présentant les grandes orientations du système PNR prévu par la proposition de décision-cadre, M. Yves Détraigne, rapporteur, a expliqué que :
- seuls les vols en provenance ou à destination d'un Etat tiers seraient concernés, y compris en cas de transit sur le territoire de l'Union européenne ;
- les finalités seraient la lutte contre le terrorisme et la criminalité organisée ;
- le PNR européen serait un système décentralisé : chaque Etat membre se doterait d'une Unité d'information passagers (UIP) chargée de collecter les données PNR relatives aux vols ayant pour point de départ ou d'arrivée son territoire. Les Etats membres pourraient échanger entre eux les données PNR collectées par l'intermédiaire des UIP, mais toujours en réponse à des besoins précis ;
- les UIP seraient tenues d'effacer immédiatement les données sensibles qui pourraient figurer parmi les données PNR, c'est-à-dire celles susceptibles de révéler l'origine ethno-raciale, la religion, l'état de santé ou l'orientation sexuelle d'une personne ;
- s'agissant de l'utilisation à des fins de profilage, chaque Etat membre conserverait la maîtrise de ses critères d'évaluation du risque, la seule limite fixée par la proposition étant l'interdiction de décider d'une action coercitive sur la seule base de l'analyse des données PNR ;
- enfin, les données seraient conservées pendant treize ans mais ne seraient consultables, après cinq ans, que « dans des circonstances exceptionnelles en réponse à une menace ou à un risque spécifique et réel ».
a ensuite souligné que la proposition de décision-cadre, critiquée par certains comme trop imprécise et contraire aux principes de finalité et de proportionnalité, avait fait l'objet d'un rapport présenté le 28 novembre 2008 sous la présidence française de l'Union européenne, dont il a exposé les grandes lignes :
- s'agissant des finalités du système, le rapport dessine un consensus autour, d'une part, de la lutte contre le terrorisme, d'autre part, de la répression d'un ensemble d'infractions graves à définir par référence à la liste d'infractions permettant la mise en oeuvre de la décision-cadre relative au mandat d'arrêt européen ;
- le rapport souligne que le PNR européen n'aurait pas pour effet d'interdire aux Etats membres de mettre en place des dispositifs nationaux complémentaires destinés, par exemple, à collecter également les données PNR des vols intracommunautaires ou à élargir son utilisation à d'autres finalités comme la lutte contre l'immigration irrégulière ;
- pour respecter le principe de proportionnalité, le rapport propose, par exemple, d'abandonner les données relatives aux mineurs non accompagnés ;
- au niveau national, le droit commun serait applicable, ce qui impliquerait notamment la compétence des autorités de protection des données, telles que la CNIL ;
- les échanges de données PNR entre Etats membres entreraient dans le champ de la décision-cadre 2008/977/JAI du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale.
a toutefois souligné que le rapport laissait deux points majeurs en suspens.
D'une part, le rapport note, s'agissant des données sensibles, qu'il est « traditionnellement jugé légitime d'en permettre une utilisation raisonnée dans le contexte d'une enquête criminelle » alors que la proposition de décision-cadre prohibe par principe la conservation de telles données.
D'autre part, le rapport fait le constat de divergences importantes entre les Etats membres concernant la durée de conservation des données.
Le rapporteur a ensuite souligné que le système PNR, tel qu'envisagé par la proposition de décision-cadre, lui paraissait :
- nécessaire pour assurer la sécurité en Europe car susceptible, d'une part, de fournir une multitude d'informations en apparence de faible importance mais qui, croisées avec d'autres, sont autant de signaux d'alarme, d'autre part, d'aboutir à une harmonisation européenne, rendue indispensable par la libre circulation des personnes au sein de l'espace Schengen ;
- conforme au principe de proportionnalité dès lors que le texte limite strictement le champ du PNR aux vols extracommunautaires.
Examinant la proposition de résolution adoptée par la commission des affaires européennes, M. Yves Détraigne, rapporteur :
- a déclaré partager son souhait de définir précisément les finalités du système PNR, soulignant que, si la lutte contre le terrorisme était définie de manière satisfaisante par référence à la décision-cadre 2002/475/JAI du Conseil relative à la lutte contre le terrorisme, les références à des infractions graves ou à la criminalité organisée pouvaient, dans un souci de clarification, renvoyer à la liste d'infractions établie dans le cadre du mandat d'arrêt européen, comme préconisé par le rapport précité du 28 novembre 2008 ;
- a relevé que la proposition de résolution européenne avait demandé que l'utilisation des données sensibles soit en principe exclue, que leur filtrage soit assuré directement par les transporteurs aériens et que, si leur conservation était envisagée en vue de l'éventuelle utilisation dans le cadre d'une enquête, des garanties spécifiques soient apportées. Il a souligné que cette solution, outre qu'elle posait des problèmes techniques tenant aux modalités de filtrage, présentait un risque d'atteinte à la vie privée. Il a en conséquence proposé d'exclure purement et simplement de la liste des données PNR transmises la rubrique « Remarques générales », champ libre seul susceptible de recueillir les données sensibles ;
- s'est félicité que la proposition de décision-cadre exclue la collecte des données PNR des vols intracommunautaires et a souhaité que la France ne mette pas en oeuvre un système complémentaire national de collecte automatisée des données PNR des vols nationaux, voire intracommunautaires ;
- s'est réjoui que la proposition de résolution européenne ait jugé manifestement disproportionnée la durée totale de treize ans prévue par la proposition de décision-cadre pour la conservation des données, et, en conséquence, a préconisé une première phase de conservation de trois ans à laquelle succéderait une phase de préservation de trois ans des seules données présentant un intérêt particulier ;
- a partagé la volonté de la commission des affaires européennes d'attirer l'attention sur la clarification des rôles entre les UIP et les services de sécurité qui pourraient demander l'accès aux données PNR ;
- a souhaité compléter la proposition de résolution, qui juge nécessaires des précisions sur la qualité des services qui composeront les UIP et la liste des services de sécurité qui pourront utiliser les données, afin d'ajouter qu'au sein de ces services seuls des agents individuellement désignés et spécialement formés pourront requérir des données ;
- a appelé de ses voeux, comme la proposition de résolution, le renforcement des droits des personnes, soulignant que si les travaux du Conseil avaient d'ores et déjà permis des avancées indiscutables notamment en prévoyant un droit à l'information ainsi qu'à l'accès et la rectification des données, des garanties supplémentaires devraient figurer dans le texte de la décision-cadre, parmi lesquelles la compétence des autorités indépendantes sur la protection des données pour effectuer des contrôles au sein des UIP ainsi que la nécessaire clarification du dispositif de façon à ce que les responsables des traitements soient immédiatement identifiables par les personnes souhaitant exercer leur droit d'accès ou de rectification ;
- a approuvé les termes de la proposition de résolution concernant la limitation de la transmission des données à des Etats tiers. Après avoir souligné que la proposition de décision-cadre permettrait de procéder à des transferts de données PNR en masse vers des pays tiers, il a marqué sa préférence pour une transmission au cas par cas en réponse à des besoins spécifiques et motivés ;
- enfin, a jugé nécessaire que le législateur soit saisi en cas de transposition de la décision-cadre.