Accord UE / Canada sur le PNR : la CJUE résiste

Le 26 juillet juillet 2017, la Cour de justice de l'Union européenne a déclaré que l'accord entre l'Union européenne et le Canada portant sur l'échange des données relatives aux passagers aériens n'était pas compatible avec le traité de fonctionnement de l'Union européenne et la Charte des droits fondamentaux. 

L'Accord PNR UE/Canada

Ce qu'il est convenu l'"Accord PNR" (Passenger Name Record) a pour objet un transfert systématique et continu des données de l'ensemble des passagers aériens à une "autorité compétente canadienne", sans plus de précision.  L'annexe qui recense les données ainsi transmises ne compte pas moins de 19 rubriques, regroupant non seulement des informations sur le voyage stricto sensu mais aussi sur les programmes de fidélisation dont bénéficie le voyageur et, d'une manière générale, "toutes les coordonnées disponibles" (rubrique 7). Est également prévue la transmission des données OSI (Other Supplementary Information), terme pudique désignant les informations détenues par les services de renseignement, sans qu'aucune indication soit donnée sur la nature et l'étendue des données concernées. Dans tous les cas, les données PNR devraient être stockées durant cinq ans. 

L'avis de la CJUE

Observons d'emblée que la CJUE rend avis et non pas une décision de justice. Cette procédure est prévue par l'article 218 al. 11 du TFUE. Il permet au Parlement européen, saisi par le Conseil en vue d'une approbation de l'Accord, de demander à la CJUE de donner un avis sur sa compatibilité avec les traités. Cet avis s'analyse comme un avis conforme, car l'article 218 énonce que, s'il est négatif, "l'accord envisagé ne peut entrer en vigueur, sauf modification de celui-ci ou révision des traités".

Sur le fond, et c'est peut-être l'élément le plus remarquable de cet avis, la Cour se fonde sur la Charte des droits fondamentaux, désormais intégrée au TFUE. Ce n'est pas fréquent, car la Charte fait un peu figure de "parent pauvre" du corpus européen des libertés, tant le droit de la convention européenne des droits de l'homme exerce désormais une sorte d'hégémonie liée au fait qu'il est à la fois plus précis et plus étendu. En l'espèce, la CJUE se fonde donc sur l'article 7 de la Charte des droits fondamentaux qui énonce que "toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications". 

La CJUE effectue un contrôle proche de celui exercé par la CEDH. Elle commence par affirmer que "le transfert des données (…) et les règles de l’accord sur leur conservation et leur utilisation (…) comportent une ingérence dans le droit fondamental au respect de la vie privée". Elle recherche ensuite si cette ingérence est justifiée au regard des objectifs poursuivis. Sur ce point, elle note que l'objectif de sécurité et de lutte contre le terrorisme peut légitimement entraîner des ingérences "mêmes graves" dans les droits fondamentaux consacrés par la Charte. Sur ce point, la CJUE reprend, en formation non contentieuse, sa jurisprudence Digital Rights Irlande du 8 avril 2014. En revanche, elle considère que l'ingérence dans la vie privée entraînée par l'Accord PNR est excessive, dans la mesure où il ne prévoit pas avec suffisamment de précision le type de données stockées. 

Sur le fond, la décision n'est pas surprenante, et la lecture de la décision de la CJUE présente surtout l'intérêt de mettre en pleine lumière un Accord qui renonçait aux principes mêmes gouvernant le droit européen de la protection des données. 

Jacques Dutronc. L'hôtesse de l'air. 1970

Une solution de secours

Il est vrai que l'Accord UE/ Canada peut aussi être présenté comme une sorte de solution de secours, après l'échec du Safe Harbor. En effet, dans une décision du 6 octobre 2015, la CJUE avait déjà remis radicalement en cause un premier accord autorisant les transferts massifs de données personnelles, dont les données PNR, de l'Union européenne vers les Etats-Unis. A l'époque, à la suite d'un accord dit Safe Harbor passé en l'an 2000 entre le Département du commerce des Etats-Unis et la Commission, celle-ci avait pris une décision, le 26 juillet 2000, déclarant que le niveau de protection des données des Etats-Unis est d'un niveau équivalent à celui qui existe au sein de l'Union européenne. Aux yeux de la Commission, cette équivalence dans la protection justifiait donc des échanges massifs de données personnelles. Or c'est précisément cette équivalence que la Cour avait remis en question, estimant que le niveau de protection des données aux Etats-Unis était bien inférieur au niveau d'exigence européen. Cette décision d'octobre 2015 avait réduit à néant l'Accord UE/Etats Unis. En effet, la CJUE avait usé de son pouvoir d'invalidation, qui lui permet d'écarter l'application de la décision non seulement dans le droit de l'Etat qui est à l'origine du contentieux mais aussi dans l'ensemble des systèmes juridiques de l'Union européenne.

Certes, les négociations entre l'UE et le Canada avaient commencé bien avant l'invalidation de l'Accord avec les Etats-Unis, mais il ne fait aucun doute qu'elles ont été très rapidement relancées après la décision d'octobre 2015. En effet, le Canada joue le rôle d'un écran, dès lors que les données circulant entre l'UE et le Canada sont ensuite susceptibles d'être transférées dans un Etats tiers... les Etats-Unis évidemment. 

La ficelle était un peu grosse et la manoeuvre n'a pas échappé à la CJUE qui a donc réitéré un refus déjà exprimé il y a deux ans. Au-delà de la question du PNR, c'est en effet celle de la survie du standard européen qui était posée, les responsables européens semblant avoir abdiqué toute ambition et accepté se rallier à une conception anglo-saxonne beaucoup moins protectrice. A cet égard, la CJUE joue un peu le rôle de gardien des libertés et réaffirme la volonté européenne de conserver un haut niveau de protection de la vie privée.

Sur le profilage et le Big Data : Chapitre 8 section 5 du manuel de libertés publiques sur internet