Le PNR européen : l'outil tant attendu ou un outil parmi tant d'autres?
Clémence Carradu est élève avocate au barreau de Paris.
Face aux demandes oppressantes de nombreux Etats, le Parlement européen et le Conseil de l’Union européenne ont enfin donné leur accord sur le nouveau Passenger Name Record de l’Union européenne. La nouvelle directive qui l’organise a été adoptée le 21 avril 2016.
Le Passenger Named Record compte des caractéristiques communes bien que ses modalités diffèrent en fonction de l’Etat ou de l’organisation régionale qui le prend. Il s’agit pour les autorités de recueillir les données personnelles appréhendées par les compagnies aériennes avant que l’avion n’atterrisse sur leur sol afin d’arrêter des suspects ou d’organiser leur surveillance en cas de soupçon.
Pour mémoire, le premier PNR fut adopté par les Etats unis à la suite des attentats du 11 septembre dans le sillage du célèbre Patriot Act. Avaient alors débuté d’âpres négociations avec l’Union européenne, qui avec en tête son Parlement, refusait de transférer les données des passagers transatlantiques européens. Ce n’est qu’en avril 2012, que l’accord PNR entre l’UE et les Etats unis fut entériné. Depuis lors, deux autres accords bilatéraux sur des PNR ont été pris par l’UE avec le Canada et l’Australie. Des négociations ont récemment été ouvertes avec le Mexique.
Alors que le terrorisme d’Al-Qaïda et de DAECH n’a été qu’une menace latente pendant de nombreuses années, désormais les Etats emblématiques de l’Union ont été touchés, l’Espagne, le Royaume uni, la France et la Belgique. Il apparaissait incompréhensible qu’un PNR européen ne fut décidé. C’est cependant en pleine réflexion sur la place à accorder aux droits fondamentaux dans la protection des données qu’intervient la nouvelle directive PNR.
En effet, la directive sur la protection des données personnelles assurant le respect des libertés individuelles dans leur traitement, date de 1995. Le nouveau projet « Paquet Données personnelles » comprenant un règlement et une directive, adaptant cette protection au « Big data » et tentant d’assurer la reprise du contrôle de ses données, est actuellement à l’étude et l’Union devrait bientôt le finaliser.
Il reste que la Cour de Justice de l’Union Européenne s’est largement prononcée en défaveur de la surveillance de masse dans son arrêt « Digital Rights » de 2014 qui annule la directive de 2006 de l’UE qui prévoyait une conservation des données personnelles de télécommunications électroniques par les autorités compétentes. Cet arrêt est intervenu à la suite des révélations sur la surveillance planétaire opérée par la NSA dans l’affaire Snowden.
C’est dans ce contexte de réforme qu’a été adoptée la directive PNR. Et pourtant, c’est dès 2007 que la Commission de l’UE avait présenté la première proposition « en vue d'une approche commune de l'Union européenne dans l'utilisation des données passagers à des fins répressives », selon les vœux du Conseil exprimés en Mars 2004. Depuis lors, le Parlement européen n’avait cessé d’avorter tout projet de PNR, en assumant pleinement son rôle de protecteur des libertés fondamentales.
Sont-ce les récents attentats qui ont précipité l’adoption de la directive du 21 avril 2016 ? On répondra par la positive à n’en point douter. Le cours délai de retranscription de deux ans dans les droits nationaux exigé dans l’acte témoigne aussi de l’urgence de la situation.
Désormais, les compagnies aériennes de l’Union seront tenues de fournir les données relatives aux passagers des vols à destination ou en provenance de l'UE par la méthode dite "push". Ainsi, les États membres ne disposeront pas d'un accès direct aux systèmes informatiques des transporteurs. La directive permettra également aux États membres, sans toutefois les y contraindre, de recueillir des données PNR en ce qui concerne certains vols intra-UE.
Plusieurs finalités sont définies par la directive à propos du recueil des données PNR. La première est l'évaluation du risque que représentent les passagers au regard de critères définis ou l'identification de personnes données dans le cadre d’enquêtes ou de poursuites en cours.
La protection des droits fondamentaux tant pour la protection des données personnelles, celui au respect de la vie privée et le droit à la non-discrimination reste une préoccupation majeure et a valeur de droit primaire pour le législateur de l’Union. Ainsi, la directive organise des restrictions sur le transfert, le traitement et la conservation des données PNR dites sensibles (relevant de manière directe ou indirecte la nationalité d'une personne, son origine ethnique, ses croyances religieuses ou philosophiques, son opinion politique, son appartenance à un syndicat, son état de santé ou son orientation sexuelle). Quant à la durée de conservation, les données seront conservées pendant six mois, puis anonymisées et conservées pendant une période de quatre ans et demi ; l'accès aux données complètes étant régi par une procédure stricte. La directive organise aussi les conditions d’échange de données avec les pays tiers à l’Union européenne.
Le champ d’action donné par l’acte de l’Union est très restrictif. En effet, les autorités ne recueilleront et traiteront les données PNR qu'aux fins de la prévention et de la détection des infractions terroristes et des formes graves de criminalité (trafic de drogue, traite d’êtres humains, pornographie infantile), ainsi que des enquêtes et des poursuites en la matière. Les États membres pourront cependant demander ponctuellemnt les données PNR d'un autre pays de l'UE dans le cadre d'une enquête spécifique.
Certains Etats membres s’étaient déjà dotés d’un PNR à l’instar du Royaume uni précurseur en Europe et disposant d’un PNR complet contrairement à la France. Désormais tous les Etats membres devront créer une Unité d’Informations Passagers (UIP), qui recueillera les données PNR des transporteurs aériens et permettra leur échange. Pour assurer la protection des droits fondamentaux, il est prévu la nomination obligatoire, au sein de chaque UIP, d'un délégué à la protection des données.
Cet instrument fermement réclamé par de nombreux dirigeants européens apparaît certes indispensable mais non suffisant. Comment expliquer au regard du nombre d’instruments européens déjà mis en place un tel manque d’efficacité dans la coopération entre les pays de l’Union ? Si certains Etats ne manquent pas d’alimenter les fichiers tenus par Europol, Eurodac, Eurojust… d’autres continuent de faire de la rétention d’informations. Cette criminalité transfrontière qu’est le terrorisme, nous invite à plus d’efficience dans la coopération policière et judiciaire. D’autre part, et comme l’invite à faire le Coordinateur pour la lutte contre le terrorisme (figure existant depuis 2007 suite aux attentats de Madrid 2004), devrait être assurée une interconnexion des fichiers déjà existants comme le Système d’Information Schengen II (SIS II) et celui d’Europol. Cela serait un pas vers la rationalisation des outils existants. Frontex assurant les contrôles aux frontières extérieures de l’UE, devrait avoir accès au SIS II pour empêcher l’entrée de personnes dangereuses.
La directive organisant le PNR de l’Union européenne devrait être très rapidement transposée dans les législations et réglementations nationales mais alors que les classiques eurosceptiques Royaume uni et Irlande participeront à la directive, c’est le Danemark qui a refusé d’en être.