COM(2011) 32 final
du 02/02/2011
Examen dans le cadre de l'article 88-4 de la Constitution
Texte déposé au Sénat le 09/02/2011Examens : 12/04/2011 (commission des affaires européennes), 04/02/2015 (commission des affaires européennes)
Ce texte a fait l'objet des propositions de résolution : n° 427 (2010-2011) : voir le dossier legislatif, n° 281 (2014-2015) : voir le dossier legislatif
Justice et affaires intérieures
Texte E
6014
Communication de M. Simon Sutour sur la proposition
de directive
« Passenger name record » (PNR européen)
COM
(2011) 32 final
(Réunion du 12 avril 2011)
M. Jean Bizet :
Je rappelle que nous nous sommes déjà prononcés sur un premier projet tendant à créer un système PNR européen. Plus généralement, l'utilisation des données PNR est une question que nous avons eue l'occasion de traiter à plusieurs reprises.
M. Simon Sutour :
Nous sommes saisis d'une proposition de directive qui vise à mettre en place un système PNR au sein de l'Union européenne. Avant de porter une appréciation sur ce qui nous est proposé, je crois utile de rappeler le contexte dans lequel cette proposition intervient.
I/ QUEL EST LE CONTEXTE ?
La Commission européenne a présenté, en novembre 2007, une proposition de décision-cadre visant à introduire un système européen pour l'utilisation par les services répressifs des données commerciales figurant sur les bases de réservation des compagnies aériennes (données dites PNR pour « Passenger Name Record »). La proposition de la Commission faisait obligation aux transporteurs aériens assurant des vols vers le territoire d'au moins un État membre ou à partir de celui-ci, de transmettre aux autorités compétentes les renseignements relatifs aux passagers aux fins de prévenir et de combattre les infractions terroristes et la criminalité organisée. N'étaient visés que les vols en provenance de pays tiers vers l'Union européenne et de l'Union européenne vers les pays tiers. En revanche, les vols intracommunautaires n'étaient pas concernés.
Cette proposition a fait l'objet de fortes réserves de la part du Contrôleur européen de la protection des données, de l'Agence des droits fondamentaux de l'Union européenne et du groupe des CNIL européennes (« article 29 »). Le Parlement européen a exprimé ses inquiétudes sur l'absence de sécurité juridique de la proposition et de fortes réserves sur sa nécessité et sa valeur ajoutée.
Dans une résolution en date du 30 mai 2009, le Sénat, sur notre initiative, avait fait valoir les priorités qui devraient être retenues pour assurer un respect effectif des droits fondamentaux, en particulier le droit au respect de la vie privée et à la protection des données personnelles.
Avec l'entrée en vigueur du traité de Lisbonne, le 1er décembre 2009, la proposition de la Commission, non encore adoptée par le Conseil, est devenue obsolète. Dans le cadre du nouveau programme pluriannuel pour l'espace de liberté, de sécurité et de justice, adopté à Stockholm en 2010, les États membres ont réitéré leur demande de création d'un PNR européen. La proposition de la Commission européenne, présentée le 3 février 2011, répond à cette demande dans un contexte où les nouvelles dispositions issues du traité de Lisbonne donnent au Parlement européen un rôle de colégislateur dans ce domaine. C'est un apport important du traité de Lisbonne.
II/ QUELLE APPRÉCIATION POUVONS-NOUS PORTER SUR CETTE PROPOSITION DE DIRECTIVE AU REGARD DE LA RÉSOLUTION ADOPTÉE PAR LE SÉNAT ?
Dans sa nouvelle proposition, la Commission européenne s'attache à répondre aux critiques qui ont été faites, notamment par le Parlement européen, sur la nécessité d'un PNR européen. Sur le fond, le texte proposé traduit le dernier état d'avancement des discussions au sein des groupes de travail du Conseil en 2009. La Commission européenne indique qu'il tient compte des recommandations du Parlement européen, des avis du Contrôleur européen de la protection des données, du groupe « article 29 » et de l'Agence des droits fondamentaux.
1/ Les priorités à retenir
La résolution du Sénat avait demandé que soient retenues, parmi les priorités, la nécessité d' « assurer un respect effectif des droits fondamentaux, en particulier le droit au respect de la vie privée et à la protection des données personnelles ». Plusieurs considérants de la directive tendent à affirmer cette exigence (considérants n° 8, n° 14, n° 19, n° 23, n° 31)
2/ Les finalités
La résolution du Sénat avait souligné que les finalités de la proposition doivent être précisément délimitées et concerner exclusivement le terrorisme et un ensemble d'infractions graves, définies par référence à la décision-cadre relative au mandat d'arrêt européen.
Les articles 1er et 4 de la proposition retiennent ces finalités mais ne font pas référence à la liste d'infractions établie pour le mandat d'arrêt européen.
3/ La composition de l'unité de renseignements passagers
Le Sénat avait jugé nécessaire que des garanties supplémentaires soient prévues sur trois points :
- la qualité des services chargés de l'unité de renseignements passagers ;
- la qualité des autorités compétentes pour recevoir les données PNR et les traiter ;
- les conditions dans lesquelles des intermédiaires seraient susceptibles d'intervenir dans la collecte et la transmission des données.
L'article 3 de la proposition renvoie aux États membres le soin de créer ou désigner une autorité compétente pour exercer la fonction d'«unité de renseignements passagers» nationale, chargée de la collecte des données PNR. Chaque État membre informera la Commission dans un délai d'un mois à compter de la mise en place de l'unité de renseignements passagers et pourra à tout moment actualiser sa déclaration.
L'article 5 précise que Chaque État membre arrête une liste des autorités compétentes habilitées à demander ou à obtenir des données PNR. Les autorités compétentes sont celles habilitées à intervenir en matière d'infractions terroristes et d'infractions graves. Chaque État membre communiquera à la Commission la liste de ses autorités compétentes dans un délai maximal de douze mois et pourra à tout moment actualiser sa déclaration.
Le Sénat avait également estimé, qu'au sein de ces autorités, seuls des agents individuellement désignés et dûment habilités devraient pouvoir accéder aux données PNR. Ce que prévoit l'article 9 de la proposition, à l'expiration d'une première période de conservation des données d'une durée de 30 jours.
4/ Le rôle des autorités indépendantes sur la protection des données
Le Sénat avait demandé que les autorités indépendantes sur la protection des données soient habilitées à effectuer des contrôles au sein de l'unité de renseignements passagers.
L'article 11 de la proposition prévoit de donner cette possibilité aux autorités nationales de contrôle de la protection des données. En outre, l'article 12 reconnaît un rôle de conseil et de surveillance de l'application du dispositif aux autorités de contrôle nationales.
5/ L'exclusion des données sensibles
Conformément à la demande expresse du Sénat, les articles 4, 5 et 11 de la proposition exclut le traitement des données sensibles.
6/ La durée de conservation des données
Le Sénat avait jugé manifestement disproportionnée la durée totale de treize ans prévue par la proposition pour la conservation des données ; il avait proposé une durée de conservation de trois ans, à laquelle pourrait succéder une durée de conservation de trois ans des seules données PNR ayant montré un intérêt particulier au cours de la première période.
L'article 9 de la proposition prévoit que passée une première période de 30 jours, les données peuvent être conservées pendant une période supplémentaire de cinq ans mais qu'au cours de cette période elles doivent être anonymisées et n'être accessibles qu'à un nombre limité d'employés de l'unité de renseignements passagers, expressément autorisés à analyser les données et à mettre au point des critères d'évaluation. C'est satisfaisant.
7/ Les droits des personnes concernées
Le Sénat avait considéré que le régime de protection des données applicable devait être clarifié, en privilégiant un haut niveau de protection par référence aux standards du Conseil de l'Europe.
La protection des données personnelles fait l'objet de l'article 11 de la proposition, qui prévoit pour tout passager un droit d'accès, un droit de rectification, d'effacement et de verrouillage des données, un droit à réparation et un droit à un recours juridictionnel qui soient identiques à ceux adoptés en droit national, ainsi que des informations claires et précises sur la communication des données PNR.
8/ La transmission des données à des États tiers
Le Sénat avait demandé qu'un tel transfert ne soit possible qu'au cas par cas et sous réserve que l'État tiers assure un niveau de protection adéquat des données et que des garanties soient prévues dans la mise en oeuvre du principe de réciprocité.
L'article 8 de la proposition prévoit qu'un État membre ne pourra transférer à un pays tiers des données PNR et les résultats du traitement de telles données qu'au cas par cas. Le pays tiers devra n'accepter de transférer les données à un autre pays tiers que lorsque c'est nécessaire aux fins de la directive et uniquement sur autorisation expresse de l'État membre.
III/ QUEL LIEN ENTRE LA PROPOSITION DE DIRECTIVE ET LES AUTRES TRAVAUX EN COURS DANS LE DOMAINE DE L'ÉCHANGE DE DONNÉES ?
1/ Vers une approche globale de la protection des données dans l'Union européenne
La Commission européenne a adopté, le 4 novembre 2010, une communication sur « une approche globale de la protection des données à caractère personnel dans l'Union européenne ». Cette communication pointe les nouveaux défis et fixe, parmi les objectifs à poursuivre, celui de renforcer les droits des personnes. Il s'agirait en particulier d'accroître la transparence pour les personnes concernées, de leur permettre un meilleur contrôle sur les données les concernant, de protéger les données sensibles ou encore de renforcer les voies de recours et les sanctions. La Commission suggère de réviser les règles de protection des données applicables dans les domaines de la coopération policière et judiciaire en matière pénale, dont elle souligne les insuffisances. Je rappelle qu'avant le traité de Lisbonne, ces règles faisaient l'objet d'une décision-cadre adoptée en 2008. Le traité de Lisbonne ouvre la voie à l'adoption d'un instrument unique.
La communication de la Commission a fait l'objet de conclusions du Conseil, les 24 et 25 février 2011. Elle devrait être suivie de propositions législatives en 2011. Dans ce contexte, il paraît indispensable que les négociations sur la directive PNR tiennent le plus grand compte des évolutions du cadre général de la protection des données dans l'Union européenne.
2/ La renégociation des accords PNR avec des États tiers
En outre, la Commission européenne renégocie les accords PNR passés avec l'Australie, le Canada et les États-Unis. Les solutions dégagées pour le PNR européen devraient, en toute logique, être prises en considération dans le cadre de ces négociations. Nous avions, à plusieurs reprises, émis de fortes réserves sur le contenu de l'accord avec les États-Unis au regard de l'enjeu de la protection des données et du respect de la vie privée. L'adoption d'un PNR européen doit donc permettre d'avoir une « doctrine » de l'Union européenne pour aborder la renégociation de ces accords.
*
Pour conclure, je crois que nous pouvons prendre acte que les préoccupations que nous avions exprimées, avec d'autres, sur le premier texte qui nous avait été soumis ont permis de faire évoluer le dispositif dans un sens plus conforme au respect des droits fondamentaux.
Il me paraît néanmoins utile de rappeler au Gouvernement que les priorités que nous avions mises en avant demeurent pleinement valables et qu'il devra veiller à leur concrétisation dans les discussions au Conseil.
En outre, je crois indispensable de souligner que les discussions sur la directive PNR devront être conduites en prenant en compte les réflexions en cours en vue d'un nouveau cadre pour la protection des données à caractère personnel.
Enfin, il a souvent été dit que le PNR européen pourrait servir de modèle pour les échanges de données de ce type avec des pays tiers. Nous devons donc demander que les dispositions protectrices qui seront retenues dans le PNR européen inspirent les négociations en cours.
Tel est l'objet de la proposition de résolution que je vous propose d'adopter.
Compte rendu sommaire du débat
M. Jean Bizet :
Il est vrai que le texte de la Commission européenne a évolué. Chacun joue ainsi son rôle : la Commission européenne dans sa fonction d'initiative, le Parlement européen dans son pouvoir de codécision, et les parlements nationaux par les positions qu'ils adoptent sur les projets qui leur sont transmis.
M. Simon Sutour :
Je veux souligner le rôle positif des parlements nationaux, mais aussi celui du Parlement européen qui jusque-là ne rendait qu'un simple avis et auquel le traité de Lisbonne a confié un véritable pouvoir de codécision.
M. Jacques Blanc :
Chacun peut constater que le traité de Lisbonne a permis de faire évoluer les compétences du Parlement européen dans un sens positif. Les parlements nationaux apportent également une contribution importante dans l'élaboration des textes.
*
À l'issue de ce débat, la commission a conclu à l'unanimité au dépôt de la proposition de résolution suivante :
Proposition de résolution
Le Sénat,
Vu l'article 88-4 de la Constitution ;
Vu la proposition de directive du Parlement européen et du Conseil relative à l'utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière (texte E 6014) ;
Vu la communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des Régions : « Une approche globale de la protection des données à caractère personnel dans l'Union européenne » ;
Vu les conclusions du Conseil relatives à la communication de la Commission au Conseil, au Comité économique et social européen et au Comité des Régions : « Une approche globale de la protection des données à caractère personnel dans l'Union européenne » ;
- prenant acte que cette proposition de directive tend à promouvoir une approche harmonisée au sein de l'Union européenne de l'utilisation des données des dossiers passagers à des fins répressives ;
- souligne qu'une telle approche doit retenir parmi ses priorités d'assurer un respect effectif des droits fondamentaux, en particulier le droit au respect de la vie privée et à la protection des données à caractère personnel ;
- rappelle que, dans sa résolution en date du 30 mai 2009, il a énoncé les conditions qui devaient être réunies pour que cette priorité soit pleinement affirmée ; demande au Gouvernement de veiller à leur prise en compte au cours des discussions sur ce texte au sein du Conseil ;
- considère en outre que ces discussions devront intégrer les réflexions en cours en vue d'assurer une approche globale de la protection des données à caractère personnel dans l'Union européenne ;
- estime que les dispositions protectrices des données à caractère personnel et de la vie privée qui seront retenues pour le système PNR européen devront inspirer les négociations en cours d'accords internationaux entre l'Union européenne et des États tiers.
Justice et affaires intérieures
Proposition de directive relative à la création
d'un PNR européen
COM (2011) 32 final - Texte E
6014
Proposition de résolution européenne de M. Simon
Sutour
M. Jean Bizet, président. - Nous allons entendre une communication de Simon Sutour sur la proposition de directive relative à la création d'un PNR européen. Notre collègue nous soumettra une proposition de résolution européenne que nous examinerons dans un second temps.
Je rappelle que cette communication s'inscrit dans le cadre du programme de travail que nous avons adopté le 21 janvier en matière de lutte contre le terrorisme.
Ce projet de PNR européen est sur la table depuis des années maintenant sans réelle avancée. C'est le Parlement européen qui a bloqué le dossier via sa commission « LIBE ». Nous avions nous-mêmes pris position pour que toutes les garanties soient prévues pour la protection des données personnelles.
Chacun voit bien aujourd'hui l'urgence d'avancer, après les circonstances tragiques qui ont frappé notre pays et face aux menaces qui concerne l'Europe dans son ensemble.
M. Simon Sutour. - La présente communication a pour objet de vous rappeler brièvement le cheminement du Passenger Name Record dit PNR dans le circuit législatif européen, de faire le point sur l'état actuel de la discussion et de vous présenter une nouvelle proposition de résolution européenne sur le sujet.
Le PNR, que l'on pourrait traduire en français par « dossier de réservation des passagers »...
M. Michel Delebarre. - Que l'on doit traduire en français !
M. Simon Sutour. - ... est créé par les compagnies aériennes au moment de la réservation des vols, quelquefois plusieurs mois avant la date du départ. Ce dossier contient toutes les informations fournies lors de la réservation du voyage (passagers, itinéraires et horaires des déplacements, mode de paiements, etc.). Une partie de ce dossier PNR est ensuite transférée dans le dossier dit API, en anglais Advanced Passengers System, créé lors de la procédure d'embarquement. Ces données relatives aux passagers peuvent être utilisées par les autorités publiques pour renforcer la surveillance des frontières dans le cadre de la lutte contre le terrorisme, les infractions graves, l'immigration clandestine...
Au début des années 2000, la Commission européenne a proposé au Conseil que soit édictée une législation européenne précisant les conditions à remplir pour exiger des compagnies aériennes européennes la transmission de leurs données PNR, afin d'harmoniser la gestion et l'utilisation desdites données à l'échelle de l'Union européenne.
On rappellera que la loi du 23 janvier 2006 relative à la lutte contre le terrorisme a autorisé, en France, la collecte et l'exploitation des données PNR et API. Elle allait donc au-delà de la simple transposition de la directive du 29 avril 2004 concernant l'obligation pour les transporteurs de communiquer les données API. En pratique, la mise en oeuvre de la loi de 2006 n'a concerné, dans un premier temps, que les données API. Le système PNR national français devrait être opérationnel à l'automne 2015.
Qu'en est-il des relations avec les pays tiers ? Ce sont les États qui fixent les conditions du transfert de données, telles que les données PNR, que les compagnies aériennes doivent respecter pour pouvoir desservir leur territoire. Toutefois, afin de normaliser ces transferts, l'Organisation de l'aviation civile internationale (OACI) a défini certaines lignes directrices. Lorsque les États-Unis, l'Australie et le Canada ont exigé le transfert des données PNR détenues par les compagnies aériennes européennes, l'Union européenne a jugé que des accords internationaux devaient être conclus entre elle et ces pays afin que les transferts de données puissent s'effectuer conformément à la réglementation européenne sur la protection des données. Je précise à cet égard que la proposition de règlement initiée par Mme Redding reste en débat, les discussions semblant devoir s'accélérer dans le courant de l'année. Les accords, conclus dans les années 2005 - 2006, ont été renégociés à partir de 2010. La négociation a abouti avec l'Australie, en 2011, et avec les États-Unis, en 2012. L'accord avec le Canada signé le 25 juin 2014, est en voie de ratification, le Parlement européen ayant adopté, le 25 novembre 2014, une motion tendant à la saisine pour avis de la Cour de justice de l'Union européenne afin de vérifier la légalité de l'accord PNR entre le Canada et l'Union européenne au regard du droit de l'Union européenne.
D'autres États tels que le Mexique, la Russie ou l'Arabie saoudite exigent désormais des compagnies aériennes européennes la communication de leurs données PNR. Le Japon, la Corée du Sud, le Brésil, les Émirats arabes unis, le Qatar de même que la Nouvelle-Zélande envisagent de le faire.
La Commission européenne a demandé à tous les États tiers envisageant la création d'un système PNR d'exempter les compagnies européennes de tout transfert tant qu'un instrument européen spécifique ne garantira pas le respect des règles européennes de protection des données. Un dialogue technique s'est ainsi engagé avec certains des États concernés, dans l'attente de l'adoption du PNR européen.
L'encadrement juridique est essentiel tant pour les voyageurs que pour les transporteurs aériens européens. L'existence d'un accord doit assurer aux voyageurs un niveau de protection des données satisfaisant. Quant aux compagnies aériennes, il est essentiel de leur garantir un cadre juridique sûr. En l'absence d'accord, elles se trouvent exposées soit à se mettre en contradiction avec le droit de l'Union si elles transmettent les données, soit à des mesures de restriction de vols de la part des autorités des États tiers. Cette absence de sécurité juridique peut par ailleurs les mettre dans une situation concurrentielle défavorable par rapport aux autres compagnies aériennes qui ne se trouveraient pas devant la même contradiction.
On rappellera que la Commission a déposé, le 6 novembre 2007, une proposition de décision-cadre du Conseil relative à l'utilisation des données des dossiers des passagers à des fins répressives dans l'Union européenne.
Cette proposition faisait obligation au transporteur aérien assurant des vols vers le territoire d'au moins un État membre ou à partir de celui-ci, de transmettre aux autorités compétentes les renseignements relatifs aux passagers aux fins de prévenir et de combattre les infractions terroristes et la criminalité organisée.
Le dispositif général était le suivant. Les transporteurs aériens fourniront aux États membres les données contenues dans le dossier de voyage de chaque passager empruntant un vol international à destination ou en provenance de l'Union européenne ; ces données seront exploitées par les États membres pour prévenir et détecter les infractions terroristes et les formes graves de criminalité ; chaque État membre devra, sur son territoire, constituer une plate-forme dite « unité de renseignement passager » (URP). Ces unités conserveront les données PNR pour une durée maximale de cinq ans et exploiteront lesdites données à la demande des services opérationnels ; elles constitueront un réseau européen et pourront s'échanger leurs données.
Cette proposition de décision-cadre de 2007 a donné lieu à une proposition de résolution adoptée le 30 mai 2009 par le Sénat, à notre initiative. Cette résolution faisait valoir les priorités à retenir pour assurer un respect effectif des droits fondamentaux, en particulier le droit au respect de la vie privée et à la protection des données personnelles.
En 2008, le Conseil avait adopté une importante décision-cadre du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale qui définit les grands principes et les droits fondamentaux en la matière.
C'est à ce texte que la proposition de directive sur la protection des données à caractère pénal et judiciaire en cours de discussion entend se substituer.
En application des nouvelles règles procédurales du traité de Lisbonne mais aussi compte tenu des fortes réserves exprimées par le Contrôleur européen de la protection des données, l'Agence des droits fondamentaux de l'Union européenne et le groupe européen des autorités de protection des données, la Commission européenne a présenté, le 2 février 2011, une nouvelle proposition de directive. C'est cette proposition de directive qui peine aujourd'hui à avancer, et sur laquelle nous entendons réagir, dans le respect de l'exigence de protection des citoyens.
Cette proposition de la Commission de 2011 a été modifiée sur certains points par le Conseil, le 18 avril 2012. Elle avait déjà, il faut en convenir, répondu à plusieurs attentes exprimées par le Sénat dans sa résolution européenne en 2009.
Dans sa résolution européenne, le Sénat demandait que soit retenue, parmi les priorités, la nécessité d'assurer un respect effectif des droits fondamentaux, en particulier le droit au respect de la vie privée et à la protection des données personnelles. Plusieurs considérants de la directive de 2011 reprennent cette exigence.
Le Sénat soulignait en outre que les finalités de la proposition devaient être précisément délimitées et concerner exclusivement le terrorisme et un ensemble d'infractions graves définies par référence à la décision- cadre relative au mandat d'arrêt européen. De fait, la proposition retient ces finalités.
S'agissant de la composition de l'« unité de renseignements passagers », nous avions, en 2009, jugé nécessaire que des garanties supplémentaires soient prévues s'agissant de la qualité des services chargés de l'« unité de renseignements passagers », de la qualité des autorités compétentes pour recevoir les données PNR et les traiter, ainsi que des conditions dans lesquelles des intermédiaires seraient susceptibles d'intervenir dans la collecte et la transmission des données.
La proposition de directive renvoie aux États membres le soin de créer ou de désigner une autorité compétente pour exercer la fonction d'« unité de renseignements passagers » nationale chargée de la collecte des données PNR. Chaque État membre informera la Commission dans un délai d'un mois à compter de la mise en place de l'URP et pourra à tout moment actualiser sa déclaration. La proposition précise également que chaque État membre arrêtera une liste des autorités compétentes habilitées à demander ou obtenir des données PNR. Les autorités compétentes sont seules habilitées à intervenir en matière d'infractions terroristes et d'infractions graves.
Le Sénat avait souhaité qu'au sein de ces autorités, seuls les agents individuellement désignés et dûment habilités puissent accéder aux données PNR. C'est ce que prévoit la proposition, à l'expiration d'une première période de conservation des données d'une durée de trente jours.
Nous avions également souhaité que les autorités indépendantes sur la protection des données soient habilitées à effectuer des contrôles au sein de l'URP. La proposition de directive reconnaît cette faculté, en même temps qu'un rôle de conseil et de surveillance de l'application du dispositif aux autorités nationales de contrôle de la protection des données.
Conformément à la demande expresse que nous avions exprimée, les articles 4, 5 et 11 de la proposition de directive excluent le traitement des données sensibles.
Notre travail n'a donc pas été vain. Le texte a beaucoup évolué. Du temps que je présidais notre commission, nous avions refusé, au titre de la réserve d'examen parlementaire, que le Gouvernement approuve l'accord avec les États-Unis. Le Gouvernement Fillon avait respecté notre voeu et s'était abstenu. Nous nous sommes battus en faveur d'un instrument - nécessaire - tout en défendant certains principes. Comme dirait le Premier ministre Manuel Valls, les mesures exceptionnelles ne doivent pas être des mesures d'exception.
S'agissant de la durée de conservation des données, la décision-cadre de 2007 avait prévu treize ans au total, durée que le Sénat avait jugé manifestement disproportionnée. Nous avions proposé une durée de conservation de trois ans, à laquelle pourrait succéder une durée de conservation de trois ans des seules données PNR ayant montré un intérêt particulier au cours de la première période.
L'article 9 de la proposition initiale de directive de 2011 prévoit que passée une première période de trente jours, les données peuvent être conservées pendant une période supplémentaire de cinq ans mais qu'au cours de cette période, elles doivent être masquées, et ne rester accessibles qu'à un nombre limité d'employés de l'URP, expressément autorisés à analyser les données et à mettre au point des critères d'évaluation. En 2011, nous avions jugé cette disposition satisfaisante.
S'agissant des droits des personnes concernées, le Sénat avait considéré que le régime de protection des données applicable devait être clarifié, en privilégiant un haut niveau de protection par référence aux standards du Conseil de l'Europe. La proposition de directive prévoit pour tout passager un droit d'accès, de rectification, d'effacement et de verrouillage des données, un droit à réparation et le droit à un recours juridictionnel ainsi que des informations claires et précises sur la communication des données PNR.
Enfin, nous avions demandé que le transfert des données vers des États tiers ne soit possible qu'au cas par cas, sous réserve que l'État tiers assure un niveau de protection adéquate des données et que des garanties soient prévues dans la mise en oeuvre du principe de réciprocité. De fait, la proposition de directive prévoit qu'un État membre ne pourra transférer à un pays tiers des données PNR et les résultats du traitement de telles données qu'au cas par cas si les conditions précisées par la décision-cadre de 2008 du Conseil sont remplies et si le transfert est nécessaire aux fins de ladite directive. Le pays tiers devra n'accepter de transférer les données à un autre pays tiers que lorsque le transfert est nécessaire aux fins de la directive et uniquement sur autorisation expresse de l'État membre qui a communiqué les données à l'État tiers.
La résolution européenne adoptée par le Sénat le 18 mai 2011, à notre initiative, prenait acte de la proposition de directive tendant à promouvoir une approche harmonisée au sein de l'Union européenne de l'utilisation des données des dossiers passagers à des fins répressives ; soulignait qu'une telle approche devait retenir, parmi ses priorités, celle d'assurer un respect effectif des droits fondamentaux, en particulier le droit au respect de la vie privée et à la protection des données à caractère personnel ; estimait que les dispositions protectrices des données à caractère personnel et de la vie privée retenues pour le PNR devaient inspirer les négociations en cours d'accords internationaux entre l'Union européenne et les États tiers.
Le Sénat, dans sa résolution, considérait aussi que les négociations sur la directive PNR devaient intégrer les réflexions, alors en cours, en vue d'assurer une approche globale de la protection des données à caractère personnel dans l'Union européenne. Il lui était apparu indispensable que les discussions tiennent le plus grand compte des évolutions du cadre général de la protection des données dans l'Union européenne.
Qu'est-il advenu de cette proposition de directive de 2011 ? La proposition a été discutée au sein du Conseil de mars 2011 à avril 2012 et adoptée le 26 avril 2012. Le texte adopté par le Conseil en avril 2012 a modifié la proposition initiale de la Commission principalement sur la période de conservation des données : il prévoit que les États membres veillent à ce que les données PNR transmises par les transporteurs aériens à l'unité de renseignements passagers soient conservées dans une base de données pendant une période de cinq ans à compter de leur transmission à l'URP de l'État membre sur le territoire duquel se situe le point d'arrivée ou de départ du vol. À l'expiration de la période de deux ans à compter du transfert, les données PNR sont « dépersonnalisées » par masquage d'un certain nombre d'éléments d'information pouvant servir à identifier directement le passager auquel se rapportent les données PNR. La divulgation de l'intégralité des données PNR n'est alors plus autorisée que s'il existe des motifs raisonnables de penser qu'elle est nécessaire et qu'elle est approuvée par une autorité nationale compétente, en vertu du droit national, pour vérifier si les conditions de divulgation sont remplies. Les États membres veillent à ce que les données soient effacées à l'issue de la période de cinq ans.
Le Conseil a également introduit la possibilité d'appliquer la directive aux vols intracommunautaires. C'est une innovation importante. Tant la décision-cadre de 2009 que la proposition initiale de la Commission, en 2011, ne concernaient que les vols extra-communautaires. Aux termes de l'article premier bis tel qu'adopté par le Conseil en 2012, tout État membre peut, s'il le souhaite, appliquer la directive PNR aux vols intracommunautaires. Il en informe, à cet effet, la Commission européenne par un avis écrit. Toutes les dispositions de la directive s'appliquent alors aux vols intracommunautaires comme s'il s'agissait de vols extracommunautaires et aux données PNR des vols intracommunautaires comme s'il s'agissait de données PNR de vols extra-communautaires.
Le texte adopté par le Conseil prévoit également qu'un État membre peut décider de n'appliquer la directive qu'à certains vols intracommunautaires. Lorsqu'il prend une telle décision, l'État membre sélectionne les vols qu'il juge nécessaires aux fins de la directive.
Au sein du Parlement européen, la commission Libertés civiles, justice et affaires intérieures, dite commission LIBE, a voté une motion de rejet de la proposition le 24 avril 2013. Ce rejet a pu surprendre dans la mesure où ladite commission avait validé, au mois d'avril 2012, le projet d'accord PNR entre les États-Unis et l'Union européenne.
Le Conseil a donc évolué. Qu'en est-il du Parlement européen ? Réuni en séance plénière le 12 juin 2013, il a refusé de valider cette motion et a demandé à la Commission LIBE de reprendre ses travaux sur ce texte, ce qu'elle a fait au mois de novembre 2014.
Relevons que la Commission européenne s'est fortement engagée pour faire aboutir la directive PNR et soutient financièrement, via le programme Prévenir et combattre la criminalité, doté d'un fonds de 50 millions d'euros, la création de systèmes PNR nationaux dans dix-neuf États membres, dont la France.
J'indiquerai qu'à ce jour, en dehors de la France, la Suède et les Pays-Bas ont créé un PNR avec les aides du fonds européen ; de leur côté le Royaume-Uni (depuis 2008), le Danemark et la Belgique ont créé leur propre PNR sans aide européenne ; par ailleurs, d'autres pays comme les pays Baltes, l'Autriche, la Hongrie, la Slovénie, la Roumanie, la Bulgarie et l'Espagne bénéficient actuellement du fonds européen pour créer un PNR.
La majorité des États membres s'est déclarée favorable à une législation européenne en la matière. Nombre d'entre eux soulignent notamment l'utilité de la directive dans la lutte contre le phénomène des combattants étrangers.
Les conclusions du Conseil européen du mois d'août 2014 et les réunions des deux Conseils JAI sous présidence italienne ont constamment réitéré la nécessité d'instituer cet outil notamment pour lutter contre le terrorisme tout en regrettant l'insuffisance des progrès réalisés.
Avant de conclure cette communication, je me dois de rappeler que le 8 avril dernier, la Cour de justice de l'Union européenne a invalidé la directive du 15 mars 2006 sur la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public. La Cour a estimé que le législateur européen avait dépassé les limites appropriées et nécessaires aux objectifs de recherche, de détention et de poursuite d'infractions graves, en imposant à ses fournisseurs une si large obligation de conservation des données, sans encadrement strict. Elle a conclu que « cette directive comporte une ingérence dans ces droits fondamentaux d'une vaste ampleur et d'une gravité particulière dans l'ordre juridique de l'Union sans qu'une telle ingérence soit précisément encadrée par des dispositions permettant de garantir qu'elle est effectivement limitée au strict nécessaire. ». Le Parlement en tire argument pour estimer qu'il faut attendre.
Si l'intensification, par tous les moyens, de la lutte contre toutes les formes de terrorisme, tant au plan national qu'au plan européen, constitue la priorité de tous les États membres, l'enjeu de la protection des données personnelles n'en a pas pour autant disparu, dans la mesure compatible avec les nécessités de cette lutte.
Dès le mois de juillet 2013, par un courrier identique, huit ministres de l'Intérieur dont le ministre français, avaient signalé au président de la commission LIBE l'importance du dossier PNR dans la lutte contre les combattants étrangers. Dans ses conclusions du 30 août 2014, le Conseil européen a appelé le Conseil et le Parlement européen à mener à bien, pour la fin de l'année 2014, les travaux sur la proposition PNR.
Au Conseil Justice et Affaires intérieures des 9 et 10 octobre et des 4 et 5 décembre 2014, les ministres de l'Intérieur ont convenu d'agir ensemble auprès du Parlement européen afin de faire évoluer sa position.
Comme on le sait, l'actuel blocage est le fait de certains rapporteurs influents de la Commission LIBE - même si son président, M. Claude Moraès, s'est, semble-t-il, prononcé en faveur du PNR européen. Aujourd'hui même, 4 février, la Commission LIBE procède à une audition d'experts en présence, m'a-t-il été indiqué, de notre ministre de l'Intérieur, M. Bernard Cazeneuve.
Selon certaines informations, en cas de désaccord persistant, la Commission européenne serait prête à présenter un nouveau texte. Mon avis personnel est que ce ne serait pas une bonne solution, car elle pourrait entraîner de nouveaux retards dans l'adoption du PNR européen. Lorsque nous avons rencontré, avec Jean Bizet, son Secrétaire général, nous avons compris que c'était là une manière, pour le Parlement européen, de sauver la face.
Le Conseil européen des 12 et 13 février prochains devrait se saisir à nouveau du dossier.
En conclusion, je vous proposerai une proposition de résolution européenne invitant, eu égard à la gravité des menaces terroristes de toute nature qui pèsent sur nos sociétés, à la mise en place rapide d'un système PNR européen, un tel système étant seul de nature à assurer une coordination efficace entre les PNR nationaux, tout en veillant au respect des garanties indispensables pour la protection des données personnelles. Elle rappelle aussi que dans ses résolutions du 30 mai 2009 et du 18 mai 2011, le Sénat avait énoncé les conditions qui devraient être selon lui réunies pour que ces garanties indispensables soient affirmées.
M. Jean Bizet, président. - C'est là un sujet complexe sur lequel il est urgent d'aboutir. Si, après le bel élan républicain du 11 janvier, nous devions vivre un autre drame, l'opinion publique ne le comprendrait pas. Or, en cas d'accord sur le PNR, il ne faudrait pas moins de dix-huit mois pour sa mise en oeuvre effective.
M. Yves Pozzo di Borgo. - Je vois mal, par parenthèse, comment on pourra limiter l'accès aux données à quelques personnes. On sait combien il est facile d'accéder à un ordinateur.
Je suis représentant du Sénat à l'Assemblée parlementaire du Conseil de l'Europe. Mes collègues ont souhaité que je conserve mes fonctions à la présidence de la sous-commission sur les questions liées à la criminalité et au terrorisme. Celle-ci entend être active sur les questions de protection des droits.
M. Jean-Yves Leconte. - Il faut soutenir cette proposition de résolution. Mettre en place un PNR français n'est pas assez : il suffit d'aller en voiture de l'autre côté de la frontière. Les PNR nationaux se mettent en place par défaut.
On parle ici de coordination avec les PNR nationaux. Mais si un dispositif européen se met en place, les PNR nationaux n'ont plus lieu d'être.
M. Simon Sutour. - Si la directive européenne est adoptée.
M. Michel Delebarre. - Je suis effaré par ce débat, édifiant pour les djihadistes, qui y découvriront qu'il nous faudra des années pour mettre en place un dispositif indispensable. Il est effrayant de penser que quatre à six ans peuvent passer avant que ne soit adoptée une disposition urgente. Cette résolution doit clairement affirmer qu'il est temps que l'Europe se dote en urgence de ce dispositif destiné à assurer sa sécurité contre les tentatives terroristes. Il faut profiter du contexte pour obliger à une accélération.
M. Simon Sutour. - Cette situation est imputable à nos collègues du Parlement européen. Au niveau des gouvernements, l'accord existe depuis 2012, sur un texte qui intègre les apports des parlements nationaux. J'ajoute que son rejet par la commission LIBE n'a été voté qu'à une étroite majorité.
M. Jean-Yves Leconte. - Il est indispensable de se doter d'un dispositif européen. Nos auditions sur le projet de loi renforçant les dispositions relatives à la lutte contre le terrorisme l'ont montré. Mettre en place des PNR nationaux est coûteux et peu efficace.
Mme Colette Mélot. - J'irai dans le même sens. Nous venons de vivre une tragédie. Face à des attentes qui sont immenses, la réponse institutionnelle est en décalage. Je plaide pour que nous musclions les considérants de cette proposition de résolution, en insistant, comme l'a dit Michel Delebarre, sur l'urgence, notamment en matière de transports aériens, mais aussi dans d'autres champs, comme celui de la gouvernance de l'Internet.
M. Pascal Allizard. - Je souscris à ce qui a été dit. L'Europe donne à la communauté internationale des signes de faiblesse sur ces sujets. Sans parler de la condamnation de la France par la Cour européenne des droits de l'homme sur deux affaires de pirates somaliens - ce n'est certes pas tout à fait le même sujet, mais cela donne encore un mauvais signal. Oui, il faut muscler notre texte.
M. Michel Billout. - Nous soutiendrons cette proposition de résolution, parce que ses alinéas 8 à 10 insistent tout particulièrement sur la protection des données et des droits. Il faut faire attention à ne pas légiférer dans la précipitation. Certes, il est difficile d'admettre qu'à partir du moment où le Parlement européen émet un avis négatif sur un texte, il faille dix-huit mois pour reprendre le débat, mais il ne faut pas oublier que la décision, un an auparavant, de la Cour justice de justice de l'Union européenne, aurait déjà dû alerter.
M. André Reichardt. - Le PNR européen est indispensable. Une illustration : à l'aéroport de Bâle-Mulhouse, les passagers ont le choix d'emprunter une sortie soit vers la Suisse, soit vers la France. Quel sens peut avoir un PNR français dans un tel cas ? Reste cependant à savoir si le PNR européen s'appliquera en Suisse.
M. Didier Marie. - Le temps de production des normes européennes est en décalage avec celui du terrorisme. Cette proposition de résolution est indispensable. Cela dit, il faut faire vite, mais sans se précipiter, car il faut aussi veiller à la protection des libertés individuelles. Le PNR européen doit s'accompagner d'autres mesures et en particulier, sachant qu'il sera connecté au PNR des États-Unis, en matière de protection des données, domaine où bien des points de discussion demeurent entre l'Europe et les États-Unis.
On peut espérer que le Conseil européen, la Commission et le Parlement européen avancent plus vite et utilisent tous les outils déjà en place en matière de police et de justice, ainsi que le système d'information Schengen, qui reste sous-utilisé. Nous manquons également d'une coopération réelle en matière de contrôle sur le net. Bien des sujets sont ainsi corrélés.
M. André Gattolin. - Il ne faudrait pas que notre débat soit l'arbre qui cache le désert. Le PNR européen ne résoudra pas tout. On s'en est rendu compte avec l'affaire Coulibaly. Il y a bien eu signalement, mais a posteriori. La question n'est pas tant de constituer des bases de données, mais des critères que l'on retient et de notre capacité à les analyser. Voyez la polémique sur les fameux repas halal. Il se trouve que je voyage beaucoup et que, pour être servi en premier, je choisis toujours les menus spéciaux - casher, halal, végétarien. A l'inverse, les auteurs de l'attentat du 11 septembre avaient bien pris garde de ne pas se faire repérer : ils ne mangeaient pas halal, commandaient de l'alcool. Quand on s'engage dans le djihad, il y a ainsi des indulgences... Ceci pour dire que de tels critères sont bien faibles. Surtout, ils enclenchent une logique de profilage de masse qui pose problème. Un travail qualitatif est bien plus fructueux que ce profilage de masse. Je rappelle également les travaux très intéressants du criminologue Alain Bauer, qui appelle les États à se doter, avant tout, de capacités humaines qui ne soient pas de seule police. La police et les chercheurs rechignent à travailler ensemble, mais les uns et les autres détiennent pourtant des capacités d'analyse qui gagneraient à s'associer. Faute de quoi, on en restera à une logique analogue à celle de la politique de vidéo surveillance dans les villes. Le dispositif déployé en Grande-Bretagne a montré que la criminalité se reporte sur les quartiers où les caméras sont absentes. Et s'il y a partout des caméras, elle prend une autre forme. Les travaux conduits depuis dix ans montrent que la vidéosurveillance, dont le coût est élevé, ne fait pas reculer la criminalité. Songez qu'une seule personne doit analyser les enregistrements de vingt à trente caméras. Comment prévenir, à ce compte ? Certes, les enregistrements ont un intérêt a posteriori, pour comprendre, mais ils ne sauraient être préventifs, sauf à y mettre d'énormes moyens humains.
Ce PNR européen est un peu une façon, pour l'Europe, de dissimuler son incapacité à mettre en place de vraies coopérations. Alors que l'on voit croître la criminalité transnationale, on élargit les missions d'Europol et d'Eurojust, mais sans y associer des moyens. Je l'ai dit et je le répète, nous avons démissionné lors de l'élaboration du cadre financier pluriannuel européen. J'ajoute que la coopération judiciaire et policière ne se décrète pas. Elle est le fruit d'une volonté des États à travailler ensemble. Or, peu d'organismes acceptent de collaborer avec Eurojust. Il serait bon de sensibiliser nos polices, nos systèmes judiciaires sur la nécessité de coopérer avec les agences européennes.
M. Simon Sutour. - Pour répondre à M. Reichardt, j'indique que si la Suisse est partie à l'accord Schengen ; il n'en faudra pas moins, dès lors qu'elle n'est pas membre de l'Union européenne, signer avec elle un nouvel accord bilatéral sur le PNR européen.
M. Jean-Yves Leconte. - Et pour la Norvège ?
M. Simon Sutour. - Il existe des accords.
M. André Gattolin. - Elle est déjà très intégrée ; elle fait partie d'Europol et d'Eurojust.
M. Simon Sutour. - Je vous propose, pour répondre à vos attentes, d'ajouter à notre proposition de résolution un alinéa 13, pour exprimer que le Sénat « considère que le contexte actuel et les récentes attaques terroristes imposent la mise en place rapide et urgente de ce PNR ».
M. André Gattolin. - D'autres mesures, dont ce PNR.
M. Simon Sutour. - La proposition de résolution porte sur le PNR. Tenons-nous y, étant entendu que nous formulerons une proposition de résolution plus globale sur le terrorisme.
M. Jean Bizet, président. - Je rappelle que nous avons engagé des travaux, notamment sur le projet d'un Parquet européen élargi, sur Schengen, sur Internet... Nous ramasserons cela le moment venu dans une proposition de résolution globale, soulignant l'urgence des réponses à apporter.
Je livre à votre réflexion le fait qu'avec le traité de Lisbonne, l'Union européenne est amenée à adhérer à la Convention européenne des droits de l'homme. Je vous renvoie à la presse de ce matin : on ne peut pas renvoyer des djihadistes dans leur pays, parce que leur sécurité n'y serait pas assurée, comme le veut la Convention. On marche un peu sur la tête. Nous verrons ce qu'en dira notre rapporteur, Michel Mercier, au moment de notre discussion sur le projet d'adhésion. Le débat s'annonce épineux.
M. Michel Delebarre. - Reste l'assignation à résidence.
M. Jean Bizet, président. - Ces gens-là sont assignés à résidence dans nos campagnes. Les élus locaux commencent à s'inquiéter de cette situation...
M. Michel Billout. - Ce que vous proposez à l'alinéa 13 rejoint ce qui est exprimé à l'alinéa 5.
M. Simon Sutour. - Nous pourrions déplacer cet alinéa 5 à la fin.
M. Michel Billout. - Ou en faire, plutôt, le premier considérant, à l'alinéa 4.
M. Jean Bizet, président. - Nous retenons cette suggestion.
À l'issue de ce débat, la commission a adopté à l'unanimité la proposition de résolution dont le texte suit :
Proposition de résolution européenne
Le Sénat,
Vu l'article 88-4 de la Constitution,
Vu la proposition de directive du Parlement européen et du Conseil relative à l'utilisation des données des dossiers passagers pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière (COM (2011) 32) ;
Relevant que la proposition de directive tend à promouvoir une approche harmonisée au sein de l'Union européenne de l'utilisation des données des dossiers passagers à des fins répressives ;
Considère que, eu égard à la gravité des menaces terroristes de toute nature qui pèsent sur nos sociétés il est urgent de se doter rapidement d'un système PNR européen ; qu'un tel système serait seul de nature à assurer une coordination efficace entre les PNR nationaux tout en veillant au respect des garanties indispensables pour la protection des données personnelles,
Estime qu'un tel système doit s'inscrire dans une approche globale de la lutte contre le terrorisme comportant aussi notamment la politique éducative, la défense des valeurs de la République ainsi que la politique étrangère,
Souligne que dans ses deux résolutions en date du 30 mai 2009 et du 18 mai 2011, il avait énoncé les conditions qui devaient être, selon lui, réunies pour que ces garanties indispensables soient prévues,
Rappelle qu'en ce qui concerne le transfert des données vers des États tiers, il avait demandé qu'un tel transfert ne soit possible qu'au cas par cas et sous réserve que l'État tiers assure un niveau de protection adéquate des données et que des garanties soient prévues dans la mise en oeuvre du principe de réciprocité,
Fait valoir qu'en ce qui concerne la durée de conservation des données, il avait souhaité qu'elle soit proportionnée et que les données ne soient accessibles qu'à un nombre limité de personnes expressément autorisées à analyser les données et à mettre au point des critères d'évaluation,
Relève qu'en ce qui concerne les droits des personnes concernées, il avait considéré que le régime de protection des données devait être clarifié en privilégiant un haut niveau de protection par référence aux standards du Conseil de l'Europe ; que ces standards comportent notamment pour tout passager le droit d'accès, de rectification, d'effacement et de verrouillage des données, un droit à réparation et un droit à un recours juridictionnel ainsi que des informations claires et précises sur la communication des données PNR,
Demande que le dispositif qui sera retenu pour le système PNR européen intègre ces exigences,
Considère que ledit dispositif devra, le cas échéant, être aménagé pour intégrer le futur cadre de protection des données personnelles en cours de discussion.