Madame la Présidente, mes chers collègues, Je souhaite vous présenter les propositions de décision visant à conclure et signer le nouvel accord entre l'Union européenne et le Canada en matière de transfert des données des dossiers passagers – données dites PNR – passenger name record – afin de prévenir et de combattre le terrorisme et les formes graves de criminalité transnationale. L'accord PNR signé avec le Canada en 2005 a expire le 22 septembre 2009. Les propositions de décision doivent être adoptées lors du prochain Conseil Justice et affaires intérieures du 5 décembre 2013.
L'accord PNR signé avec le Canada en 2005, fondé sur une série d'engagements de l'agence des services frontaliers du Canada (ASFC) pour l'application de son programme PNR, est entré en vigueur le 22 mars 2006. À l'expiration de cet accord en septembre 2009, les États membres ont veillé à la poursuite des transferts de données, les autorités canadiennes continuant à mettre en oeuvre leurs engagements dans l'attente de la conclusion d'un nouvel accord. Cet accord prévoyait :
- que les données soient transférées dans le seul but de prévenir et combattre le terrorisme et les délits graves revêtant un caractère transnational ;
- que les droits d'accès, de rectification et d'opposition reconnus par le droit canadien aux résidents canadiens soient étendus aux européens dont les données sont conservées, sous certaines conditions ;
- que les autorités canadiennes n'accèdent pas directement aux systèmes de réservation des compagnies aériennes pour recueillir ces données mais que celles-ci leur soient transmises par les compagnies aériennes (système push) ;
- que ces données ne soient conservées que pour une durée maximale de trois ans et demi.
La liste des données concernées portait sur 25 éléments, contre 34 dans l'accord avec les États-Unis et excluait les « données sensibles », ainsi que les « champs ouverts » et les remarques générales.
Dans une résolution du 5 mai 2010 sur le lancement des négociations sur les accords relatifs aux données PNR avec les États-Unis, l'Australie et le Canada, le Parlement européen a invité la Commission à définir un ensemble de principes directeurs devant guider la conclusion des nouveaux accords.
Suite à cette résolution, les principes devant présider aux négociations de nouveaux accords PNR ont été résumés en quatre points par la Commission européenne dans sa communication du 21 septembre 2010 relative à la démarche globale en matière de transfert des données des dossiers passagers (PNR) aux pays tiers. En premier lieu, la protection des données à caractère personnel doit être garantie, afin de protéger les droits des passagers. En second lieu, des modalités de transfert des données PNR doivent être définies, afin de garantir la sécurité juridique aux transporteurs aériens et de maintenir les coûts à un niveau acceptable. En troisième lieu, des normes de surveillance de la bonne application de l'accord PNR doivent être prévues. Enfin, la réciprocité devrait également être assurée. Ces orientations se retrouvent directement dans les mandats de négociation.
Dans ses conclusions adoptées le 23 novembre 2010, faisant suite à la présentation des mandats de négociation de nouveaux accords avec les États-Unis, l'Australie et le Canada par le rapporteur Guy Geoffroy, la commission des affaires européennes avait demandé le respect de plusieurs garanties, portant notamment sur le mode de transfert, les données sensibles, le droit au recours, la durée de conservation.
Si la proposition d'accord examinée aujourd'hui apparait globalement satisfaisante, des points demeurent problématiques. La proposition d'accord répond globalement aux exigences de notre commission, en excluant le recours à toute méthode autre que la méthode dite «push » (article 20), même dans le cas où un accès supplémentaire est nécessaire pour répondre à une menace spécifique (article 21). Le droit d'accès et de correction des particuliers aux données les concernant est garanti, ainsi que leur droit à un recours effectif tant administratif –auprès d'une autorité publique indépendante – que juridictionnel. Toutefois, les dispositions relatives au recours juridictionnel effectif sont encore trop imprécises.
De plus, cette proposition comporte des progrès qui doivent être soulignés. Elle permet d'avancer vers une véritable coopération entre l'Union européenne et le Canada en matière d'échange d'informations (article 6).
Le projet comporte des garanties accrues en termes de transparence. Il prévoit notamment que l'autorité canadienne compétente affiche sur son site internet toutes les informations nécessaires aux particuliers.
Le projet garantit que les données sensibles ne puissent être utilisées que dans des circonstances exceptionnelles et bénéficient d'une protection spécifique, conformément au souhait de notre commission. Toutefois, il convient de noter que les données sensibles ne pouvaient être traitées en application du précédent accord.
Des difficultés importantes subsistent, notamment en matière de transmission des données aux États tiers et de durée de conservation
Les finalités de l'accord sont larges, comparables à celles de l'accord avec l'Australie, notamment en retenant la possibilité, dans des cas exceptionnels, d'utiliser les données PNR pour la protection des intérêts vitaux de toute personne – risque de décès, blessure ou menace pour la santé – ainsi qu'aux fins du contrôle et de la responsabilité de l'administration publique. En outre, si l'accord précédent ne définissait pas précisément la notion de terrorisme, ce qui n'est pas satisfaisant, la définition retenue par le projet d'accord, sur une page entière, soulève des interrogations.
Par ailleurs, deux problèmes doivent retenir l'attention de notre commission. En premier lieu, les transferts de données PNR aux États non membres de l'Union européenne ne sont pas suffisamment encadrés.
Contrairement à ce qu'exigeait notre commission, la communication des données PNR à des États tiers n'est pas expressément subordonnée à l'autorisation de l'État d'origine des données. La proposition de décision se borne à prévoir que « l'autorité canadienne compétente en informe dès que possible les autorités de cet État membre » (article 19).
De même, la disposition de l'accord Union européenne-Australie prévoyant que l'autorité du pays tiers qui reçoit les données s'engage à ne pas transférer ultérieurement les données PNR n'est pas reprise dans le présent accord.
En second lieu, la proposition prévoit que les données soient conservées pour une durée de cinq ans. Le nouvel accord prévoit que les données soient partiellement dépersonnalisées après un délai de 30 jours. Au bout de deux ans et pendant trois ans, les autres noms que celui de la personne concernée, les coordonnées disponibles et les éléments permettant d'identifier une personne physique sont également masqués. La dés-anonymisation n'est alors plus possible que par des fonctionnaires habilités à cet effet, après autorisation préalable du chef de l'autorité compétente.