Monsieur le président, monsieur le secrétaire d’État, madame la présidente de la commission des affaires étrangères, mes chers collègues, à la suite des attentats du 11 septembre 2001, les États-Unis ont souhaité renforcer leur sécurité et leur arsenal préventif et répressif de lutte contre le terrorisme. Ils ont alors relevé le niveau des exigences liées au maintien de leur programme d’exemptions de visa – dont bénéficie la France – et ont notamment posé comme contrepartie l’accroissement des échanges d’informations.
Les États partenaires dans la lutte contre la criminalité transnationale et le terrorisme ont un besoin accru de traiter et d’échanger des données à des fins préventives et répressives. La coopération judiciaire et opérationnelle est déjà très intense avec les États-Unis, particulièrement dans les domaines du trafic de stupéfiants, du blanchiment et de la cybercriminalité. Toutefois, au-delà du canal d’Interpol, la coopération opérationnelle n’est pas institutionnalisée par le biais d’un service centralisé du côté américain, en raison d’une multiplicité d’acteurs fédéraux appartenant à différents ministères. Aucun accord de coopération policière ne lie nos deux pays.
L’accord soumis à votre approbation offre un cadre nouveau à la coopération opérationnelle. Il institue des procédures de consultation pour les données dactyloscopiques et génétiques, ainsi que pour des échanges spontanés en matière de prévention des actes de terrorisme et des crimes graves.
En termes d’efficacité, les empreintes sont souvent seules à permettre d’assurer l’identification des individus et la capacité à tracer leur parcours Or, à ce jour, les échanges de données génétiques ou dactyloscopiques entre nos deux pays sont très restreints et se limitent à quelques dizaines de demandes par an. L’accord répond donc pleinement à un besoin aigu de nos services de police d’avoir des échanges fluides, aussi rapides que pertinents.
Avant d’en présenter les clauses, j’évoquerai le délai de négociation. C’est en effet dès 2008 que les États-Unis ont engagé avec la France une négociation qui s’est révélée assez ardue, notamment à propos des garanties en matière de protection des données que le gouvernement français estimait indispensable de voir figurer dans l’accord, et ce d’autant plus qu’il s’agit principalement d’échanger des données d’une sensibilité particulière. L’accord qui a finalement été signé en 2012 est assez remarquable de ce point de vue.
Sans être aussi prescriptif que l’accord dont il s’inspire et qui lie les États de l’Union européenne – le traité de Prüm –, il comporte des garanties fortes et prévoit particulièrement, en termes précis et stricts, les principes essentiels de la protection des données et la manière d’en assurer le respect.
À ce jour, les États-Unis ne présentent pas un niveau jugé satisfaisant de protection des données. Des améliorations sont heureusement en cours. Un projet de loi a ainsi été déposé, qui accorde des voies de recours devant les juridictions américaines aux ressortissants de pays tiers ne résidant pas aux États-Unis en cas de violation par les autorités de police américaines de leurs droits en matière de protection des données personnelles.
Le texte été adopté le 20 octobre 2015 par la Chambre des représentants. La date relative à l’adoption par le Sénat n’est pas encore fixée mais le département d’État assure tout mettre en oeuvre pour inciter à une adoption rapide, dans la lignée des annonces faites par le Président Obama en janvier 2014 pour rétablir la confiance sur la scène internationale.
Par ailleurs un accord dit « parapluie » est en cours de négociation entre l’Union européenne et les États-Unis en matière de protection des données pour les besoins de la prévention, de l’enquête, de la détection ou de la poursuite des infractions de nature criminelle et notamment les infractions terroristes.
Disons-le clairement : même si l’adoption de la loi américaine ouvrant un droit de recours aux non-résidents a été posée comme une condition non négociable de sa signature, d’autres points demeurent à examiner. Je souhaite donc que les négociateurs de cet « accord parapluie » fassent preuve de la même vigilance que ceux qui ont élaboré l’accord que nous examinons aujourd’hui.
Ce dernier, qui comporte seize articles, vise à renforcer la coopération dans le cadre de la justice pénale, principalement par l’échange d’informations relatives aux empreintes génétiques et dactyloscopiques, en vue de prévenir, d’enquêter, de détecter et de poursuivre les infractions liées à la criminalité grave et en particulier au terrorisme. Son champ d’application correspond à la définition de « crime grave » visée par la décision-cadre relative au mandat d’arrêt européen. C’est une spécificité de l’accord signé avec la France que d’avoir ainsi limité les consultations à des crimes d’une particulière gravité.
L’accord institue une procédure de consultation automatisée des fichiers par des points de contacts nationaux, sur laquelle je ne reviens pas sauf pour insister sur un point : une concordance ne se traduit pas par la transmission automatique des données personnelles. C’est seulement dans un deuxième temps que l’État requis transfère des informations complémentaires qui permettent l’identification, sur demande et selon sa législation. Il est également institué une procédure d’échanges spontanés permettant de transmettre le même type d’informations que dans le cadre européen.
Quatre types de dispositions encadrent strictement les consultations et échanges autorisés.
Premièrement, la consultation doit s’inscrire dans le cadre d’une enquête clairement délimitée en vue de poursuivre des infractions pénales.
Deuxièmement, la consultation ne peut s’opérer qu’au cas par cas et dans le respect du droit national.
Troisièmement, si la comparaison automatisée fait ressortir des concordances, l’échange de données à caractère personnel doit intervenir selon les dispositions du droit national et l’accord ne peut limiter ou porter atteinte aux relations existantes entre les États-Unis et la France. Ainsi la possibilité qu’un échange d’informations puisse constituer une preuve conduisant aux Etats-Unis à une condamnation à la peine capitale est exclue, conformément à l’accord d’entraide judiciaire.
Quatrième et dernier point, quand elle adresse spontanément des informations, l’autorité peut, en vertu du droit national, fixer au cas par cas des conditions relatives à leur utilisation par l’autorité destinataire et cette dernière est liée par ces conditions.
Concernant spécifiquement la protection des données personnelles, l’accord contient un article 10 dédié, long et précis. Il reprend la plupart des principes essentiels de protection des données de la législation française, à savoir la finalité, l’utilisation cantonnée à ces seules fins sauf accord de l’autre partie, la durée de conservation limitée au nécessaire, le respect des droits des personnes concernées et des mesures de sécurité des données. On rappellera utilement que toute utilisation de données dans le cadre d’un procès pénal nécessitera que son origine, directe ou indirecte, soit légale et donc conforme à l’accord, ce qui donne force aux dispositions de l’article 10.
Les parties garantissent l’existence de procédures qui permettent à toute personne concernée d’avoir accès à un recours approprié pour violation de ses droits à la protection des données à caractère personnel, indépendamment de la nationalité ou du pays de résidence de l’intéressé. Dans les faits, ce droit effectif suppose l’adaptation de la législation américaine, laquelle, je l’ai dit, est en cours. À défaut, la partie française serait fondée à invoquer l’article 14. Cet article prévoit que l’accord peut être suspendu par l’une des Parties en cas de manquement substantiel aux obligations de l’accord. L’accord peut par ailleurs être dénoncé avec un préavis écrit de trois mois.
L’accord prévoit des modalités de suivi, ce qui est là aussi assez remarquable. Chaque partie doit tenir un registre afin d’assurer la traçabilité des données, de suivre la mise en oeuvre correcte des législations respectives et de garantir la sécurité des données. Une autorité de contrôle doit être désignée dans le cadre d’arrangements administratifs. En outre, un an après la mise en oeuvre de l’accord, les parties devront se consulter pour dresser un bilan de son application, en prêtant particulièrement attention à la protection des données à caractère personnel. Enfin, une consultation est expressément prévue en cas d’évolution des négociations de l’accord « parapluie » précité.
L’entrée en vigueur des articles relatifs à la consultation des données est subordonnée à la conclusion des arrangements qui doivent préciser les modalités techniques. Cela prendra plusieurs mois pour que les accès puissent effectivement être ouverts. Je précise que dans un premier temps, seul les fichiers d’empreintes dactyloscopiques seraient concernés par une consultation automatisée, compte tenu de la législation américaine actuelle et de la gestion par chaque État fédéré la gestion de son propre fichier génétique. L’article 7 de l’accord permettra à chaque partie d’effectuer une consultation de son propre fichier ADN à la demande de l’autre partie.
Si la consultation automatisée des fichiers génétiques ne pourra être mise en oeuvre dans un avenir proche, la consultation des fichiers d’empreintes digitales ainsi que la possibilité, dans le cadre de la prévention de la criminalité grave et du terrorisme, de procéder à des échanges spontanés, pourra s’avérer d’une très grande utilité au regard de la rapidité et de l’efficacité requises dans les enquêtes, notamment en matière de lutte contre le terrorisme.
Parmi les pays de l’Espace économique européen pratiquant l’exemption de visa, tous disposent d’un accord de cette nature avec les États-Unis ou d’une base alternative autorisant l’échange de données. Plusieurs autres pays qui ne sont pas membres du Programme d’exemption de visa, dont les cinq pays de l’Union européenne entrant dans cette catégorie, ont négocié un tel accord et quatre l’ont signé.
Compte tenu des délais de rédaction de l’arrangement administratif à conclure et des délais techniques nécessaires à l’ouverture d’accès distants, j’ai le sentiment qu’il serait hautement souhaitable que la procédure de ratification s’achève très rapidement et que la phase de mise en oeuvre puisse s’engager.
Le projet de loi a été voté en juin 2015 par le Sénat. La commission des affaires étrangères l’a adopté à l’unanimité hier. Je vous invite, mes chers collègues, à faire de même.