Intervention de Philippe Baumel

Le projet de loi a pour objet de ratifier un accord conclu sous forme d'échanges de lettres entre le Gouvernement de la République française et le Gouvernement des États-Unis d'Amérique et relatif au renforcement de la coopération en matière d'enquêtes judiciaires en vue de prévenir et lutter contre la criminalité grave et le terrorisme.

À la suite des attentats du 11 septembre 2001, les États-Unis ont souhaité renforcer la sécurité de leur territoire et l'arsenal préventif et répressif de lutte contre le terrorisme. Ils ont alors relevé les exigences liées au maintien de leur programme d'exemption de visa, dont bénéficie la France, et ont notamment posé comme contrepartie l'accroissement des échanges d'informations.

Nous le savons bien, les États partenaires dans la lutte contre la criminalité transnationale et le terrorisme ont un besoin accru de traiter et d'échanger des données à des fins préventive et répressive. La coopération judiciaire et opérationnelle est déjà très intense avec les États-Unis. Il existe une coopération ancienne d'entraide en matière pénale fondée sur les accords relatifs à l'extradition du 23 avril 1996 et à l'entraide judiciaire du 10 décembre 1998. La coopération opérationnelle est quant à elle d'excellente qualité et d'une grande efficacité aux dires des services, notamment avec le ministère de la sécurité intérieure américain et les agences fédérales qui dépendent du ministère de la justice comme le Federal Bureau of Investigation (FBI) et la Drug Enforcement Administration (DEA), particulièrement dans les domaines du trafic de stupéfiants, du blanchiment et de la cybercriminalité.

Au titre de l'année 2014, 197 Messages SIENA (messagerie Europol) ont été envoyés par la France vers les USA et nous en avons reçu 412. Dans le cadre d'Interpol, en 2013, 1234 messages ont été envoyés par le bureau central national (BCN) France et 1412 ont été reçus du BCN américain. À la suite des attentats du 13 novembre, les États-Unis ont transmis un certain nombre d'informations via la consultation du programme de surveillance du financement du terrorisme (TFTP) par Europol. Par ailleurs, comme d'autres partenaires, les États-Unis ont fait l'objet d'interrogations via le canal Interpol pour des recherches sur la base d'empreintes digitales ou génétiques. Je rappelle aussi la grande qualité de la coopération entre la France et les États-Unis dans le domaine du renseignement.

Toutefois, outre le canal d'Interpol, la coopération opérationnelle n'est pas institutionnalisée au travers d'un service centralisé côté américain, en raison d'une multiplicité d'acteurs fédéraux appartenant à différents ministères. Étonnamment, aucun accord de coopération policière ne lie la France et les États-Unis. L'accord soumis offre un cadre à la coopération opérationnelle, en instituant des procédures de consultation des données dactyloscopiques et génétiques et d'échanges spontanés en matière de prévention des actes de terrorisme et de crimes graves. Il devrait faciliter et fluidifier le travail des services.

J'insiste sur le fait, comme l'a rappelé le ministre de l'Intérieur Bernard Cazeneuve la semaine dernière, que seules les empreintes permettent souvent d'assurer l'identification des individus et la capacité à tracer leur parcours. De nombreuses empreintes figurent dans les fichiers. Le fichier automatisé des empreintes digitales français – le FAED – compte plus de 5,5 millions de fiches personnes et le fichier national automatisé des empreintes génétiques pour les profils ADN – le FNAEG – plus de 3,2 millions de profils. En ce qui concerne les fichiers américains, d'après l'Ambassade des États-Unis à Paris, le Gouvernement américain compterait plus de 100 millions d'empreintes digitales dans les registres du Département de la sécurité intérieure et plus de 70 millions dans les bases de données du FBI. Les données génétiques n'étant pas centralisées, le nombre n'est pas connu.

Or, à ce jour, les échanges entre nos deux pays en matière de données génétiques ou dactyloscopiques sont très restreints et s'élèvent à seulement quelques dizaines de demandes par an. L'accord ayant principalement pour objet d'autoriser la consultation des fichiers d'empreintes, il répond donc pleinement à un besoin aigu de nos services de police. L'accord permettra en la matière de générer un réflexe de consultation dont l'utilité ne fait aucun doute.

Avant de présenter les clauses de l'accord, je veux revenir sur le délai de négociation et de ratification. C'est en 2008 que les États-Unis ont engagé une négociation avec la France qui s'est avérée assez ardue, notamment au regard des garanties en matière de protection des données que le gouvernement français estimait indispensables de voir figurer dans l'accord, exigence forte qui ne fut pas celle, ou à des degrés moindres, de nos partenaires européens. Il convient en effet de souligner que les États-Unis ne présentent pas un niveau jugé suffisant de protection des données personnelles. Or, il est ici question de données d'une sensibilité particulière puisqu'il s'agit notamment des données dactyloscopiques et génétiques.

L'accord qui a finalement été signé en 2012 est assez remarquable de ce point de vue. Sans être aussi prescriptif que l'accord dont il s'inspire et qui lie les États de l'Union européenne, à savoir le traité de Prüm, qui lui vaut le surnom de « Prüm atlantique », il comporte des garanties fortes, prévoit de manière précise et stricte les principes essentiels de la protection des données et la manière d'assurer leur respect, toutes choses qui contrastent avec les clauses souvent lapidaires qui figurent dans les accords signés par la France avec des États étrangers. Il répond donc à l'objectif d'équilibre entre sécurité et protection des données privées.

Vous trouverez dans le rapport des développements sur les évolutions de la législation européenne en matière de protection des données, un état de la législation américaine et une présentation du cadre juridique euro-américain des échanges de données notamment en matière de lutte contre la criminalité et le terrorisme. J'attire votre attention sur deux points :

- d'abord, un projet de loi a été déposé aux États-Unis qui accorde des voies de recours devant les juridictions américaines pour les ressortissants de pays tiers ne résidant pas aux États-Unis, en cas de violations de leurs droits en matière de protection des données personnelles par les autorités de police américaines. Le texte été adopté le 20 octobre 2015 par la Chambre des représentants. La date relative à l'adoption par le Sénat n'est pas encore fixée, mais le département d'État assure tout mettre en oeuvre pour inciter le Sénat à adopter rapidement le texte, qui s'inscrit dans la lignée des annonces faites par le Président Obama en janvier 2014 pour rétablir la confiance sur la scène internationale suite aux différentes affaires d'écoutes ;

- ensuite, un accord dit parapluie est en cours de négociations relativement avancées entre l'UE et les États-Unis en matière de protection des données pour les besoins de la prévention, de l'enquête, de la détection ou de la poursuite des infractions de nature criminelle et notamment les infractions terroristes. L'adoption de la loi américaine ouvrant un droit de recours a été posée comme une condition non négociable de sa signature.

J'en viens donc aux dispositions essentielles de cet accord qui comporte 16 articles.

L'objectif de l'accord vise à renforcer la coopération dans le cadre de la justice pénale, principalement par l'échange d'informations relatives aux empreintes génétiques et dactyloscopiques, en vue de prévenir, d'enquêter, de détecter et de poursuivre les infractions liées à la criminalité grave et en particulier au terrorisme. Le champ d'application couvre les crimes et délits énumérés en annexe ainsi que toutes les infractions punies d'une peine privative de liberté égale ou supérieure à trois ans, contre un an dans l'accord Prüm. Ce champ correspond à la définition de crime grave visée par la décision-cadre relative au mandat d'arrêt européen. Il s'agit d'une spécificité de l'accord signé avec la France d'avoir limité les consultations à des crimes d'une particulière gravité. Au vu de l'application des accords existants entre les Etats-Unis et nos partenaires, restreindre plus encore le champ aurait été inopportun, le fait de couvrir le vol étant utile.

Les articles 3 et 5 de l'accord tendent à permettre une consultation mutuelle et automatisée des fichiers d'analyses ADN et des systèmes d'identification dactyloscopique, selon un système de concordancesans concordance (« hitno hit »). J'insiste sur le fait que la concordance ne se traduit pas par la transmission automatique des données personnelles. C'est dans un deuxième temps que l'État requis transfère des informations complémentaires qui permettent l'identification, sur demande et selon sa législation.

En vue de ces échanges, chaque Partie désigne un ou plusieurs points de contact en charge de centraliser et de traiter les demandes ou les réponses aux demandes d'échanges de données indexées. En France, ces consultations seront réalisées par la sous-direction de la police technique et scientifique de la direction centrale de la police judiciaire pour les dossiers de grande criminalité. Pour les États-Unis, il s'agira du FBI et du Département de la Sécurité Intérieure (DHS), seules agences qui seront habilitées à interroger les bases de données françaises. Les dispositions opérationnelles et techniques des procédures de consultation seront établies dans le cadre d'arrangements administratifs entre autorités compétentes.

Il est également institué une procédure d'échanges spontanés par l'article 9. Afin de lutter contre la criminalité grave et le terrorisme, chaque partie, sur sa propre initiative, peut transmettre les données complètes d'identification d'un individu, lorsqu'il y a raison de croire que l'intéressé a commis ou va commettre des actes terroristes ou criminels graves, ou a participé ou va participer à leur préparation. Les données transmises sont les suivantes : nom, prénoms, alias, sexe, date et lieu de naissance, ainsi qu'un exposé des circonstances qui motivent la transmission. Il s'agit du même type d'information que dans le cadre européen. Cet échange d'informations se fait par les points de contacts nationaux. S'agissant plus particulièrement de la prévention des actes de terrorisme, l'unité de coordination de la lutte anti-terroriste (UCLAT), rattachée à la direction générale de la police nationale, sera le point de contact.

Plusieurs dispositions permettent d'encadrer fortement les consultations et les échanges autorisés :

1. la consultation doit s'inscrire dans le cadre d'une enquête clairement délimitée en vue de poursuivre des infractions pénales ;

2. la consultation ne peut s'opérer qu'au cas par cas et dans le respect du droit national ;

3. si la comparaison automatisée fait ressortir des concordances entre les données dactyloscopiques ou les profils ADN, l'échange de données à caractère personnel doit intervenir selon les dispositions du droit national, y compris de l'entraide judiciaire, et l'accord ne peut limiter ou porter atteinte aux relations existantes entre les États-Unis et la France. Ainsi, la possibilité qu'un échange d'informations puisse constituer une preuve conduisant aux États-Unis à une condamnation à la peine capitale est exclue, conformément à l'accord d'entraide judiciaire ;

4. enfin, quand elle adresse spontanément des informations, l'autorité peut, en vertu du droit national, fixer au cas par cas des conditions relatives à leur utilisation par l'autorité destinataire et cette dernière est liée par ces conditions.

Concernant spécifiquement la protection des données personnelles, l'accord contient un article 10 dédié, long et précis. Il reprend la plupart des principes essentiels de protection des données de la législation française, à savoir la finalité, l'utilisation cantonnée à ces seules fins sauf accord de l'autre partie, la durée de conservation limitée au nécessaire, le respect des droits des personnes concernées et des mesures de sécurité des données. On rappellera utilement que toute utilisation de données dans le cadre d'un procès pénal, nécessitera que son origine, directe ou indirecte, soit légale et donc conforme à l'accord, ce qui donne force aux dispositions de l'article 10.

La correction, le blocage et la suppression des données sont réalisés à la demande expresse de la Partie qui transmet ces données. L'échange de données avec les États tiers ne peut être effectué que si l'autre partie consent à ce transfert et les données transmises ne peuvent provenir d'un précédent échange avec un État tiers à l'accord sans le consentement préalable de cet État. Enfin, les Parties garantissent l'existence de procédures qui permettent à toute personne concernée d'avoir accès à un recours approprié pour violation de ses droits à la protection des données à caractère personnel, indépendamment de la nationalité ou du pays de résidence de l'intéressé. Dans les faits, ce droit effectif suppose l'adaptation de la législation américaine, en cours comme indiqué précédemment. À défaut, la Partie française serait fondée à invoquer l'article 14. Cet article prévoit que l'accord peut être suspendu par l'une des Parties en cas de manquement substantiel aux obligations de l'accord. L'accord peut par ailleurs être dénoncé avec un préavis écrit de trois mois.

Chaque Partie doit tenir un registre afin d'assurer la traçabilité des données, de suivre la mise en oeuvre correcte des législations respectives et de garantir la sécurité des données. Ce registre permet le contrôle effectif des dispositions de l'accord relatives aux consultations automatisées des fichiers, d'une part, et de la législation nationale des Parties relative à la protection des données personnelles, d'autre part. Les données du registre dont l'accès doit être protégé, sont conservées durant deux ans. Une autorité de contrôle doit par ailleurs être désignée dans le cadre d'arrangements administratifs.

Un an après la mise en oeuvre de l'accord, les Parties se consultent pour dresser un bilan de son application, en prêtant particulièrement attention à la protection des données à caractère personnel. Une consultation est expressément prévue en cas d'évolution des négociations de l'accord « parapluie » précité.

À l'exception des articles relatifs à la consultation des données, l'accord entrera en vigueur le premier jour du deuxième mois suivant la date de réception de la dernière des notes diplomatiques attestant l'accomplissement des procédures internes requises. S'agissant d'un executive agreement, aucune procédure n'est nécessaire pour sa ratification aux Etats-Unis.

L'entrée en vigueur des articles relatifs à la consultation des données est quant à elle subordonnée à la conclusion des arrangements qui doivent préciser les modalités techniques. Dans un premier temps, seul les fichiers d'empreintes dactyloscopiques seraient concernés. En effet, dans les conditions de la législation américaine actuelle, l'article 5 ne pourra être mis en oeuvre car l'organisation fédérale américaine attribue à chaque État fédéré la gestion de son propre fichier génétique (étant précisé que le laboratoire du FBI centralise notamment les profils génétiques des personnes concernées par certaines infractions fédérales, celles du district de Columbia ou encore certains profils de ressortissants étrangers condamnés par des juridictions fédérales). Dans l'attente d'une évolution côté américain, l'article 7 de l'accord permet à chaque Partie d'effectuer une consultation de son propre fichier ADN à la demande de l'autre Partie.

Parmi les pays de l'Espace économique européen pratiquant l'exemption de visa, tous disposent d'un accord de cette nature avec les États-Unis ou d'une base alternative autorisant l'échange de données. Plusieurs autres pays qui ne sont pas membres du Programme d'exemption de visa, dont les cinq pays de l'Union européenne entrant dans cette catégorie, ont négocié un tel accord et quatre l'ont signé.

Compte tenu des délais de rédaction de l'arrangement administratif à conclure et des délais techniques nécessaires à l'ouverture d'accès distants, j'ai le sentiment qu'il serait hautement souhaitable que la procédure de ratification s'achève très rapidement et que la phase de mise en oeuvre puisse s'engager. Le projet de loi a été voté en juin 2015 par le Sénat. Tout en remerciant les services de la police judiciaire, les équipes de la CNIL et l'Ambassade des États-Unis à Paris pour leur disponibilité et la densité des échanges que nous avons eus, je vous invite, mes chers collègues, à adopter le projet de loi.