Assemblée nationale ~ Union européenne - E2887-Proposition de décision du Conseil relative à la conclusion d'un accord entre la Communauté européenne et le gouvernement du Canada sur le traitement des données relatives aux informations anticipées sur les voyageurs (API)/dossiers passagers (PNR).

Document E2887
(Mise à jour : 12 décembre 2009)

Proposition de décision du Conseil relative à la conclusion d'un accord entre la Communauté européenne et le gouvernement du Canada sur le traitement des données relatives aux informations anticipées sur les voyageurs (API)/dossiers passagers (PNR).

E2887 déposé le 26 mai 2005 distribué le 7 juin 2005 (12ème législature)
(Référence communautaire : COM(2005) 0200 final du 19 mai 2005, transmis au Conseil de l'Union européenne le 19 mai 2005)

Travaux en Délégation

Ce document a été examiné au cours de la réunion du 6 juillet 2005

Rapport d'information M. Pierre Lequiller , M. Thierry Mariani , , no.2449 déposé(e) le 6 juillet 2005, sur des textes soumis à l'Assemblée nationale en application de l'article 88-4 de la Constitution du 7 au 30 juin 2005 (nos E 2904 à E 2907, E 2909, E 2912 et E 2913) et sur les textes nos E 2584, E 2617, E 2659, E 2726, E 2727, E 2730, E 2731, E 2766, E 2823-3, E 2823-5, E 2849, E 2858, E 2865, E 2867, E 2872, E 2873, E 2877, E 2878, E 2883, E 2885, E 2887, E 2889 et E 2890.
Adoption par les instances communautaires

Ce document a été adopté définitivement par les instances de l'Union européenne :

Décision 2006/230/CE du Conseil du 18 juillet 2005 relative à la conclusion de l'accord entre la Communauté européenne et le gouvernement du Canada sur le traitement des données IPV/DP.
(JOCE L 082 du 18 juillet 2005) (Notification d'adoption publiée au JO du 15 avril 2006, p. 5739)

Base juridique :

Article 95, en liaison avec l'article 300, paragraphe 2, premier alinéa, première phrase, du traité instituant la Communauté européenne.

Procédure :

- majorité qualifiée au sein du Conseil de l'Union européenne ;

- consultation du Parlement européen.

Avis du Conseil d'Etat :

La proposition de décision du Conseil affecte la protection des données à caractère personnel dont les règles sont de nature législative (Cf. articles 2 et suivants de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés). Il s'ensuit que, comme cela avait été noté dans l'avis afférent à une proposition de décision relative à la conclusion d'un accord de même type avec les Etats-Unis d'Amérique [COM(2004)190 final], l'accord que la présente proposition doit approuver est au nombre des traités mentionnés à l'article 53 de la Constitution. Cette proposition doit donc être transmise au Parlement en application de l'article 88-4 de la Constitution.

Motivation et objet :

La présente proposition invite le Conseil à autoriser la conclusion d'un accord avec le Canada pour le traitement et le transfert des données relatives aux informations anticipées sur les voyageurs (API) et aux dossiers passagers (PNR) pour les voyages effectués par voie aérienne entre l'Union européenne et le Canada.

Les informations API se rapportant aux données contenues dans les passeports (nom, date de naissance, sexe, numéro de passeport, nationalité, état dans lequel le passeport a été établi) sont transférées par avance par les compagnies aériennes aux autorités du pays de destination, afin de faciliter le contrôle aux frontières.

Le dossier passager (DP) est un fichier contenant les renseignements relatifs au voyage de chaque passager. Il renferme toutes les informations nécessaires au traitement et au contrôle des réservations par les compagnies aériennes.

Postérieurement aux attentats du 11 septembre 2001, le Canada a adopté une législation autorisant l'Agence des services frontaliers du Canada (ASFC) à obtenir et à recueillir des données API et PNR se rapportant à toutes les personnes qui s'embarquent à bord d'un avion à destination du Canada. Entre mars 2003 et septembre 2004, l'ASFC a progressivement instauré l'obligation de fournir des données PNR pour toutes les personnes embarquant à bord d'un avion à destination du Canada et, à partir de février 2005, a introduit un système de pénalités financières en cas de non-respect de cette obligation. L'Union européenne dispose d'une dérogation temporaire jusqu'au 1er juillet 2005 afin de permettre la tenue de négociations sur un accord international avec le Canada.

Les mesures canadiennes pouvaient entrer en conflit avec la législation communautaire et celle des Etats membres en matière de protection de la vie privée et des données, et en particulier avec la directive 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. C'est ainsi que l'article 25 de cette directive, assujettit la possibilité d'un transfert de ces données vers un pays tiers, à une décision de la Commission, par laquelle celle-ci constate que le pays tiers assure un niveau de protection adéquat.

Dans ce contexte, la proposition, comme le rappelle la Commission, a donc pour but d'apporter une solution d'urgence destinée à mettre fin à l'incertitude juridique à laquelle sont actuellement confrontées les compagnies aériennes européennes.

Le cadre juridique que la Commission a ainsi mis en place avec les autorités canadiennes repose sur trois séries de mécanismes, analogues à ceux qui ont été retenus pour les discussions avec les Etats-Unis, à savoir :

- les engagements souscrits par l'Agence des services frontaliers du Canada (ASFC), en ce qui concerne la protection supplémentaire à assurer aux données API/PNR : l'enjeu est ici de parvenir à des engagements qui soient réellement contraignants - et aussi respectueux que possible des principes de la directive 95/46/CE - question qui n'était pas clairement tranchée dans le cas de l'accord euro-américain.

D'après le projet de décision d'adéquation de la Commission, les engagements seront intégralement publiés dans la Gazette du Canada , journal officiel du Canada, ce qui, selon la Commission, devrait permettre de combattre les manquements, le cas échéant, par des moyens juridiques, administratifs et politiques.

- La décision de la Commission constatant le niveau de protection adéquat des données à caractère personnel contenues dans les dossiers des passagers aériens (DP) transférés à l'ASFC : ce second mécanisme repose sur l'article 25 de la directive 95/46/CE du 24 octobre 1995, aux termes duquel, la Commission peut constater qu'un pays tiers assure un niveau de protection adéquat. Sur la base de ce constat, des données à caractère personnel peuvent être transférées, à partir des Etats membres sans qu'aucune garantie supplémentaire ne soit nécessaire.

La directive 95/46/CE demande que le niveau de protection des données soit apprécié au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transfert de données et en vertu de certaines conditions énumérées à l'article 25, paragraphe 2.

La Commission constate, dans le projet de décision, que le principe de limitation à finalité spécifique est respecté, puisque les données des DP doivent être utilisées dans le but unique de prévenir et de combattre le terrorisme.

En ce qui concerne la qualité des données et le principe de proportionnalité, la Commission indique que 25 rubriques de données au maximum (contre 34 dans l'accord euro-américain) sont transférées et l'ASFC conviendra avec la Commission de leur révision avant d'y procéder.

Pour ce qui est des droits d'accès de rectification et d'opposition, reconnus dans la loi sur la protection des renseignements personnels à tous les individus résidant au Canada, ils sont étendus par l'ASFC aux renseignements DP en sa possession concernant les étrangers.

Quant aux mécanismes de contrôle visant à garantir le respect de ces dispositions par l'ASFC, il est prévu que le Commissariat canadien à la protection de la vie privée puisse examiner les plaintes qui lui seront transmises par les autorités responsables de la protection des données dans les Etats membres au nom des résidents de l'Union européenne, si ceux-ci estiment que leurs plaintes n'ont pas été traitées de façon satisfaisante par l'ASFC.

- Le troisième et dernier mécanisme réside dans l'accord entre la Communauté européenne et le Canada sur le traitement des données relatives aux informations préalables sur les voyageurs et aux dossiers passagers (données IPV/DP).

Il semble que la Commission soit parvenue à concrétiser la quasi-totalité des cinq directives de négociation qu'elle a recommandées au Conseil au mois de janvier dernier.

> La première a souhaité limiter l'obligation imposée aux transporteurs aériens de fournir les données à l'ASFC aux transferts couverts par la décision de la Commission constatant que la protection accordée par l'ASFC est adéquate, conformément à la directive 95/46/CE.

Non seulement, cette décision de la Commission est citée expressément dans les visas, mais, en outre, l'article 5, alinéa 2 de l'accord précise explicitement que l'obligation impartie aux transporteurs aériens de traiter les données IPV/DP demandées par les autorités canadiennes " s'applique uniquement tant que la décision ( 1) est applicable ".

> La deuxième impose à l'accord de rendre juridiquement contraignants les engagements souscrits par l'ASFC mais ne figurant pas dans la législation canadienne en vigueur ou dans les nouvelles dispositions juridiquement contraignantes au niveau national, promulguées par l'ASFC, qui sont nécessaires pour assurer un niveau de protection adéquat.

L'article 3 répond à de telles préoccupations en prévoyant, d'une part, que les données seront traitées conformément aux engagements pris par l'autorité compétente obtenant les données IPV/DP. D'autre part, cette même autorité doit traiter ces données et les personnes concernées " conformément aux lois et exigences constitutionnelles applicables, sans discrimination, fondée notamment sur la nationalité et/ou le pays de résidence ".

> La troisième directive de négociation a prévu que le mode de traitement des données par l'ASFC ne devrait pas constituer un moyen de discrimination à l'encontre des passagers de l'Union européenne.

Cet objectif est rappelé à l'article 3 relatif aux traitements des données IPV/DP, et à l'article 4 concernant l'accès, la correction et l'annotation des données.

> La quatrième a préconisé l'instauration d'un mécanisme permettant l'examen conjoint de la mise en œuvre de l'accord. Un tel mécanisme est ainsi prévu à l'article 6.

> La cinquième et dernière directive de négociation a souhaité garantir, dans l'esprit de réciprocité, un soutien des autorités canadiennes en faveur de tout système européen d'identification des passagers qui pourrait être adopté à l'avenir.

Si aucune disposition ne reprend expressément cette idée, en revanche, aux termes d'un visa de l'accord, les parties déclarent être " déterminées à élaborer une norme multilatérale pour la transmission des données DP auprès des compagnies aériennes commerciales ".

Réactions suscitées :

1) En France

D'après les informations portées à la connaissance du rapporteur, les autorités françaises considèrent que l'accord répond dans l'ensemble aux directives de négociations, dont elles ont préconisé la prise en compte.

( Pour prévenir certaines ambiguïtés que recèle l'accord euro-américain, les autorités françaises ont souhaité que - dans l'accord avec le Canada - soit expressément mentionné le mode de traitement et de transfert des données, dit " push ", lequel repose sur les compagnies aériennes.

L'article 5, relatif à l'obligation de traitement des données précise dans son premier alinéa les conditions dans lesquelles " les transporteurs aériens... traitent les données IPV/DP... ".

( Les autorités françaises ont souhaité que l'accord tienne compte des travaux de l'OACI sur le transfert des données concernant les passagers (DP). Dans le sens de ce souhait, l'article 8, relatif aux examens conjoints, inclut dans ces derniers, " la définition par l'OACI de lignes directrices DP pertinentes ".

( L'accord tient compte du souhait exprimé par la France que les engagements des autorités canadiennes soient réellement contraignants.

( Il en est de même du principe de réciprocité , dont la France a proposé qu'il bénéficie de sérieuses garanties.

Dans l'ensemble, les autorités françaises se félicitent non seulement de voir la plupart de leurs demandes satisfaites, mais aussi de l'économie - jugée plus équilibrée que celle de l'accord euro-américain - du texte que la Commission et les autorités canadiennes sont parvenues à mettre au point, grâce à la volonté de coopérer de ces dernières et au fait qu'existe déjà au Canada un dispositif protecteur.

Il reste toutefois que certaines demandes des autorités françaises ont été, jusqu'à présent, repoussées. Il en est ainsi de l'opportunité qu'il y aurait à annexer la décision de la Commission constatant que le niveau de protection est adéquat au texte de l'accord, afin que soit renforcé le lien juridique entre les deux textes.

La Commission y a opposé une fin de non-recevoir pour des motifs, à vrai dire, peu convaincants. Elle invoque le fait qu'il s'agirait là d'un précédent, d'autant moins opportun que l'article 5, deuxième alinéa, fait référence à la décision d'adéquation.

2) Au plan communautaire

- Le groupe de l'article 29 , qui réunit, en application de l'article 29 de la directive 95/46/CE, les autorités des Etats membres en charge de la protection des données à caractère personnel, s'est également félicité de ce que les discussions intervenues entre l'Union et les autorités canadiennes aient permis à ces dernières de parvenir à un niveau de protection plus satisfaisant. Ainsi, dans son avis du 19 janvier 2005, le groupe " constate que les négociations ont entraîné de substantielles et importantes modifications du programme PNR (dossiers des passagers) canadien qui se reflètent dans les engagements ".

- Au sein du Parlement européen , Mme Sophia In't Veld, rapporteure de la Commission des relations extérieures, estime, dans son projet de rapport , que le Parlement est confronté au dilemme qui consisterait, soit à rejeter l'accord, soit à l'accepter sous certaines conditions.

Tout en relevant que le texte euro-canadien est meilleur que l'accord du 17 mai 2004 conclu entre l'Union et les Etats-Unis, Mme In't Veld déplore que, dans les deux cas, la Commission ait recouru à la procédure " en trois étages " (à savoir ceux examinés précédemment : engagements des autorités étrangères, décision d'adéquation de la Commission et conclusion d'un accord). Or, elle estime que cette technique - à la différence d'un véritable traité international, qui définirait de façon précise les droits et obligations des parties - ne satisfait pas aux exigences de transparence et de protection des droits des citoyens.

En second lieu, elle fait observer que la licéité de la procédure selon laquelle le Parlement européen a été saisi est douteuse en raison des modifications apportées par l'accord à la directive 95/46/CE, ce qui pourrait amener le Parlement à saisir la Cour de Justice, comme ce fut le cas de la conclusion de l'accord euro-américain.

Pour autant, le rapporteur - eu égard aux améliorations substantielles que contient le projet d'accord en comparaison de l'accord euro-américain - préconise plusieurs amendements, dont certains tendent à annexer à l'accord les engagements des autorités canadiennes, ainsi que la décision d'adéquation de la Commission, ou encore à indiquer qu'en ce qui concerne les données API (informations sur les passagers fournies à l'avance) les compagnies aériennes doivent respecter les règles établies par la directive 2004/82/CE du Conseil du 29 avril 2004 concernant l'obligation pour les transporteurs de communiquer les données relatives aux passagers.

Calendrier prévisionnel :

Le Parlement européen examinera la proposition de décision le 6 juillet 2005.

Le COREPER s'en saisira le 13 juillet 2005 tandis que le Conseil pourrait l'adopter le 17 juillet 2005.

Conclusion :

Comme les autorités françaises, M. Christian Philip, rapporteur, ne peut manquer de se féliciter d'un texte équilibré qui, en tout cas, prévient le risque de dissymétrie que plusieurs membres de la Délégation avaient déploré très vivement, l'an dernier, dans le texte euro-américain.

Cela étant, si la proposition de décision mérite d'être approuvée par la Délégation, il estime néanmoins nécessaire de l'assortir de trois des amendements présentés par la rapporteure du Parlement européen, lesquels vont, au demeurant, dans le sens des préoccupations françaises.

A l'issue de l'exposé du rapporteur lors de la réunion de la Délégation du 6 juillet 2005, celle-ci a adopté les conclusions suivantes :

" La Délégation,

- Vu l'article 88-4 de la Constitution,

- Vu la proposition de décision du Conseil relative à la conclusion d'un accord entre la Communauté européenne et le gouvernement du Canada sur le traitement des données relatives aux informations anticipées sur les voyageurs (API)/dossiers passagers (PNR) [COM 2005 (200) final, document E 2887]

1. Juge nécessaire que les engagements des autorités canadiennes et la décision par laquelle la Commission européenne constate que le niveau de protection offerte par ces dernières est adéquat, conformément à l'article 25 de la directive 95/46/CE du 24 octobre 1995, soient annexés à l'accord susvisé.

2. Estime indispensable qu'en ce qui concerne les informations sur les passagers fournies à l'avance par les transporteurs aériens (API), ces derniers respectent les règles établies par la directive 2004/82/CE du Conseil du 29 avril 2004 concernant l'obligation pour les transporteurs de communiquer les données relatives aux passagers. "

(1) Le terme " décision " désigne la décision par laquelle la Commission constate le niveau de protection adéquat.