Les données PNR (« Passenger Name Record ») sont des informations collectées auprès des passagers des compagnies aériennes au stade de la réservation commerciale. Elles permettent d’identifier, entre autres, l’itinéraire du déplacement, les vols concernés, le contact à terre du passager (numéro de téléphone au domicile, professionnel, etc.), les tarifs accordés, l’état du paiement effectué, le numéro de la carte bancaire du passager, ainsi que les services demandés à bord, tels que des exigences alimentaires spécifiques (végétarien, asiatique, casher, etc.) ou des services liés à l’état de santé du passager.

Peu après les attentats du 11 septembre 2001, les Etats-Unis ont mis en œuvre de nouvelles dispositions en matière de sécurité de l’aviation et du transport, et des conditions d’entrée sur le territoire américain. Dans ce cadre, les compagnies aériennes ont l’obligation de communiquer aux services des douanes et de sécurité américains les données PNR de leurs passagers à destination ou au départ des Etats-Unis, sous peine de contrôles renforcés, d’amendes et de refus du droit d’atterrir ou de décoller.

Les conditions dans lesquelles les données PNR doivent être traitées et transférées par les transporteurs aériens aux autorités américaines sont régies actuellement par un accord provisoire du 19 octobre 2006, qui expire le 31 juillet 2007 .

C’est pourquoi l’objet du nouvel accord vise à proposer un dispositif destiné à s’appliquer – en principe – à compter du 1er août 2007 .

Fruit de négociations difficiles( 1), ce projet présente certains aspects positifs, dont le principal – aux yeux de beaucoup – est d’avoir prévenu un risque réel de vide juridique, qui n’aurait pas manqué de porter préjudice à l’Europe.

Pour autant, il est loin de recueillir un accord unanime. Ainsi, malgré les améliorations qu’il introduit, plusieurs Etats membres ont exprimé leurs inquiétudes quant à l’imprécision de certaines dispositions. Le Parlement européen a émis de très sévères critiques sur les nombreuses imperfections juridiques que, selon lui, recèle ce texte. De leur côté, les autorités en charge de la protection des données - dont la CNIL - ont déploré que le projet d’accord revienne sur des garanties prévues par le droit communautaire.

*

* *

La conclusion de cet accord a été rendue nécessaire à la suite de l’arrêt de la Cour de Justice du 30 mai 2006 par lequel elle a annulé :

– d’une part, la décision d’adéquation de la Commission du 14 mai 2004 : en application de l’article 25 de la directive 95/46/CEE du 24 octobre 1995 sur la protection des données à caractère personnel( 2), la Commission européenne a constaté, à l’issue des négociations avec les autorités américaines, que le Bureau des douanes et de la protection des frontières des Etats-Unis ( United States Bureau of Customs and Border Protection - CBP ) assurait un niveau de protection adéquat des données PNR transférées depuis la Communauté ;

– d’autre part, la décision du Conseil du 17 mai 2004 : cette décision a approuvé la conclusion d’un accord entre la Communauté européenne et les Etats-Unis sur le traitement et le transfert au CBP de données PNR par les transporteurs aériens établis sur le territoire des Etats membres de la Communauté. Cet accord a été signé à Washington le 28 mai 2004 et est entré en vigueur le même jour.

Le Parlement européen a demandé à la Cour de justice d’annuler la décision du Conseil et la décision d’adéquation, en faisant valoir notamment que l’article 95 du Traité( 3) ne constituait pas une base juridique appropriée pour la décision du Conseil et que, dans les deux cas, certains droits fondamentaux étaient violés.

Par l’arrêt du 30 mai 2006, la Cour de Justice a annulé les deux décisions, au motif que les bases juridiques étaient inappropriées.

S’agissant de la décision d’adéquation de la Commission du 14 mai 2004 , la Cour a estimé que le traitement lié au transfert des données PNR aux autorités américaines avait pour objet la sécurité publique et les activités de l’Etat (américain) relatives à des domaines du droit pénal, qui ne relèvent pas du champ d’application de la directive 95/46/CEE du 24 octobre 1995 sur la protection des données à caractère personnel.

Quant à la décision du Conseil du 17 mai 2004 , la Cour a constaté que l’article 95 du Traité combiné avec l’article 25 de la directive 95/46/CEE du 24 octobre 1995, concernant le transfert de données à caractère personnel vers les Etats tiers, n’était pas susceptible de fonder la compétence de la Communauté pour conclure l’accord en cause avec les Etats-Unis. En conséquence, la Cour a annulé la décision du Conseil.

L’accord étant resté applicable pendant un délai de 90 jours à compter de sa dénonciation, la Cour a décidé de maintenir les effets de la décision d’adéquation, pour des raisons de sécurité juridique, jusqu’au 30 septembre 2006. La question s’était alors posée du nouveau cadre légal à créer dans les meilleurs délais.

Cet accord a été conclu en application des articles 24 et 38 du Traité sur l’Union européenne, relatifs à la conclusion des accords par l’Union avec un ou plusieurs Etats ou organisations internationales dans le domaine de la coopération policière et judiciaire en matière pénale.

L’accord du 19 octobre 2006 – dont la date d’expiration a été fixée au 31 juillet 2007 – reprend, pour l’essentiel, les dispositions de l’accord de 2004. Ainsi cet accord :

– réaffirme que le ministère américain de la sécurité intérieure (DHS) est réputé assurer un niveau adéquat de protection des données PNR transférées de l’Union européenne, ce que la Délégation, le Parlement européen et les autorités en charge de la protection des données n’avaient alors cessé depuis 2004 de contester très vigoureusement du fait notamment de l’absence de voies de recours, par lesquelles les citoyens européens pourraient faire valoir leurs droits, puisque notamment le droit d’invoquer le bénéfice de la législation américaine sur la protection de la vie privée ( Privacy Act ) ne leur est pas accordé ;

– maintient la disposition selon laquelle les transporteurs aériens traitent les données PNR stockées dans leur système de réservation conformément aux exigences du DHS. A cet égard, l’accord de 2006 ne modifie pas le nombre de données PNR devant être transmises au DHS, lequel demeure fixé à 34, alors que le G29( 4) a considéré que ce nombre devrait être ramené à 19 ;

– conserve le système dit « pull », grâce auquel le DHS accède lui-même aux données PNR contenues dans les systèmes de réservation des transporteurs aériens situés sur le territoire des Etats membres.

L’accord de 2006, comme l’accord de 2004, ne comporte pas les engagements des autorités américaines. Or, il y a là un très sérieux problème de fond qui soulève non seulement la question de la crédibilité de ces engagements, mais également celle de la capacité de l’Union européenne à exercer un contrôle efficace du respect par les autorités américaines des engagements qu’elles ont souscrits.

Le rapporteur renverra à l’annexe à son rapport afin que la Délégation puisse constater que, dès 2005, en application d’une interprétation unilatérale, les autorités américaines ont sinon violé du moins modifié, de façon très substantielle, certaines dispositions de l’accord de 2004.

Le projet d’accord introduit des améliorations, qui répondent à certaines des demandes formulées par les Européens depuis 2004. Mais, dans le même temps, le projet d’accord ne remédie nullement au déséquilibre entre les parties, soit parce qu’il reprend des dispositions déjà existantes, soit parce que certaines nouvelles stipulations – inspirées très clairement de l’unilatéralisme – contribuent à aggraver ce déséquilibre.

Il en résulte que la portée des aspects positifs contenus dans ce projet d’accord risque d’être très relative, ce qui ne manque pas de susciter les diverses réserves et critiques que l’on aura l’occasion d’examiner ultérieurement.

– A sa discrétion , le DHS fournit des données PNR à d’autres autorités gouvernementales exerçant des fonctions de répression, de sécurité publique ou de lutte contre le terrorisme. C’est pourquoi plusieurs critiques ont mis en relief les risques de violation de l’accord, qui peuvent résulter d’une telle extension du cercle des destinataires des PNR.

En ce qui concerne l’échange des données PNR de l’Union avec des pays tiers, il sera soumis à l’examen préalable de l’usage des données par le destinataire et de sa capacité à protéger lesdites données.

– Le nombre de données PNR devant être transférées au DHS a été abaissé de 34 à 19 , le DHS pouvant toutefois accéder, à titre exceptionnel, à des données à caractère sensible (données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, ou encore les données relatives à la santé et à la vie sexuelle). Le DHS supprimera sans délai ces données sensibles.

– Le DHS étendra le bénéfice de l’application de la loi américaine sur la protection de la vie privée (Privacy Act) aux données relatives aux citoyens européens . En outre, conformément à la législation américaine, ces derniers pourront demander à accéder à leurs données PNR ou les rectifier, le DHS pouvant toutefois s’y opposer, son refus pouvant faire l’objet d’un recours administratif ou judiciaire.

– Les données dites « actives » seront conservées durant sept ans , et non plus durant trois ans et demi, tandis que la durée de conservation des données dites « dormantes » demeurera fixée à huit ans. Cet allongement de la durée de conservation des données a été justifié par la nécessité dans laquelle les Etats-Unis se trouveraient de pouvoir reconstituer des parcours sur une période suffisamment longue.

On relèvera l’imprécision qui entoure le régime applicable aux données à l’issue de cette période. La lettre du ministère américain de la sécurité intérieure indique qu’elles seront effacées. Mais la lettre renvoie à des discussions futures avec l’Union la question des modalités de destruction des données PNR, tout en ajoutant que les données relatives à une affaire ou à une enquête particulières seront conservées dans une base de données actives jusqu’à la clôture de l’affaire ou de l’enquête concernée.

– Les données PNR seront transférées au DHS non plus selon le mode « pull » - lequel autorise un accès direct du DHS aux données stockées dans les systèmes de réservation - mais selon le système « push », ce que les Européens ont proposé depuis 2004. Le système « push » confie aux transporteurs aériens le soin de procéder au filtrage à la source des données PNR, mais cette opération devra s’effectuer, comme c’est déjà le cas actuellement, conformément aux exigences du droit américain et à celles du DHS. Le passage du système pull au système push interviendrait au plus tard au 1er janvier 2008 pour les compagnies aériennes prêtes sur le plan technique.

– Le projet d’accord prévoit une clause concernant l’examen régulier des conditions de mise en œuvre . Lors de cet examen, l’Union européenne sera représentée par le commissaire en charge des questions de liberté, de justice et de sécurité et le DHS par le secrétaire à la sécurité intérieure. L’Union européenne et le DHS établiront ensemble les modalités détaillées de ces examens.

Le cadre institué pour le contrôle de l’application de l’accord est beaucoup plus restrictif que celui de l’accord de 2004. Celui-ci prévoyait un examen conjoint et régulier. En outre, il autorisait, en vertu d’un engagement des autorités américaines, les autorités de protection des données à participer à cette évaluation.

- Selon une formule qui figurait déjà dans les précédents accords, le nouvel accord s’appliquera, dans l’attente de son entrée en vigueur, à titre provisoire( 5) à compter de la date de signature, laquelle devrait, en principe, intervenir au plus tard avant le 1er août 2007.

La durée d’application de l’accord est fixée à sept ans .

*

* *

Lors de la présentation du projet d’accord en COREPER, le 29 juin 2007, la Présidence a rappelé qu’il y a moins d’un mois, les Etats-Unis avaient rejeté encore l’idée même d’un nouvel accord PNR, estimant qu’il n’était pas nécessaire à l’application de leur loi sur leur territoire.

Considérant, dès lors, qu’un accord avait été « arraché » aux Etats-Unis au terme de négociations difficiles, la Présidence en a appelé au « principe de réalité ». En effet, elle a estimé que les Etats membres devaient, à présent, choisir entre cet accord ou une situation de vide juridique, qui les priverait de toute garantie de protection des données s’ils refusaient d’entériner ce projet.

Aucun Etat membre ne s’est déclaré hostile à son approbation, même si quelques Etats ont posé une réserve d’examen, tout en prenant acte de l’absence de marge de manœuvre de négociation.

Pour autant, des demandes de clarification, des regrets ainsi que des inquiétudes ont été formulées.

La France a ainsi souhaité que soient précisés le régime des données pouvant être conservées et les conditions dans lesquelles les données pourraient être transférées à des tiers. La France a également souhaité qu’une attention particulière soit portée à l’efficacité du mécanisme de surveillance du dispositif, qui devrait permettre de vérifier qu’il est bien appliqué. Enfin, la France a évoqué la « clause linguistique » en insistant pour que soit supprimée la dernière phrase de l’accord, aux termes de laquelle la version anglaise prévaudrait en cas de divergence d’interprétation.

La Belgique, pour sa part, a regretté que la définition du terrorisme retenue dans le cadre de l’accord SWIFT( 6) n’ait pas été reprise et que l’information des passagers ne soit pas rendue obligatoire, ce dernier regret ayant été également exprimé par l’Italie et l’Espagne. La Belgique a estimé qu’un retour d’expérience sur le fonctionnement du dispositif actuel aurait pu fournir un éclairage utile.

Quant à plusieurs autres Etats membres (Luxembourg, Pologne, Espagne, République tchèque, Pays-Bas, Suède), ils se sont déclarés inquiets quant au manque de précision des dispositions relatives à la durée de la conservation des données et aux modalités de leur destruction. Les Pays-Bas, la Finlande et Malte ont souligné que le cercle des destinataires des données serait plus large que dans l’accord actuellement en vigueur.

De leur côté, le Danemark et l’Irlande ont considéré que l’accord était le meilleur possible et qu’il fallait s’employer à son application effective.

En réponse aux interrogations formulées, la Commission a confirmé que les engagements des Etats-Unis seraient bien juridiquement contraignants, ce que le Parlement européen et les autorités de protection des données contestent très vigoureusement.

Elle a estimé que l’allongement de la durée de conservation des données ne devait pas être dramatisé.

S’agissant du transfert à des pays tiers, elle a rappelé qu’il serait interdit aux termes des engagements souscrits d’y procéder lorsque ces Etats ne justifieraient pas de conditions adéquates de protection et d’utilisation des données.

En réponse à une remarque du Royaume-Uni, la Commission a insisté sur l’obligation de réciprocité et sur les dispositions de l’accord, aux termes desquelles une partie ne saurait se voir imposer des mesures plus contraignantes que celles en vigueur pour l’autre partie. Il en résulte que si le Royaume-Uni ou l’Union européenne mettaient en place leur propre système PNR, ils devraient à tout le moins garantir les conditions de protection exigées dans l’accord signé avec les Etats-Unis.

Enfin, conformément à une proposition française, reprise par plusieurs autres Etats membres, la Commission s’est engagée, dès à présent, à réfléchir aux modalités de l’exercice de surveillance prévu par l’accord. La France a considéré qu’il faudrait se montrer particulièrement exigeant lors de cet exercice, qui pourrait être l’occasion de relayer les questions soulevées par les Parlements ou les autorités de protection des données personnelles. La Commission soumettrait un projet de déclaration relatif à cet exercice de surveillance. Cette déclaration serait annexée à la décision du Conseil.

En ce qui la concerne, la Présidence portugaise a annoncé qu’elle comptait inscrire le projet de décision du Conseil autorisant la signature de l’accord à l’ordre du jour d’un conseil des ministres de ce mois de juillet. Le projet de décision a été approuvé lors du Conseil du 23 juillet 2007.

B. Les très sévères critiques du Parlement européen

Le Parlement européen a adopté une résolution le 12 juillet 2007.

Tout en convenant que les négociations se sont déroulées dans des conditions difficiles, les députés ont regretté que l’accord UE Etats Unis sur le transfert des données PNR soit « fondamentalement imparfait (...) notamment du fait qu’il comporte des définitions ouvertes et floues et de nombreuses possibilités d'exception ».

Même si le Parlement a favorablement accueilli les dispositions prévoyant d’étendre administrativement aux données des citoyens de l’Union traitées aux Etats Unis le bénéfice de la loi américaine sur la protection de la vie privée ( US Privacy Act ), il a estimé que de nombreuses améliorations étaient encore nécessaires.

Il s’est inquiété ainsi du fait que le traitement, la collecte, l’utilisation et le stockage des données PNR par le ministère américain de la sécurité intérieure ne soient pas fondés sur un accord en bonne et due forme, « mais uniquement sur des assurances non contraignantes que le ministère de la sécurité intérieure peut modifier unilatéralement ». Il a critiqué également le fait que ces données puissent non seulement être utilisées par les autorités américaines dans le cadre de la lutte antiterroriste, « mais aussi pour toute une série d'objectifs supplémentaires non spécifiés ».

Le fait que les informations sensibles soient mises à la disposition du ministère de la sécurité intérieure, et que celui-ci puisse les utiliser dans des cas exceptionnels a préoccupé également les députés.

Le Parlement a constaté par ailleurs que, si le nombre de champs de données avait été réduit, passant de 34 à 19 dans le nouvel accord, « cette réduction est en grande partie de pure forme, les champs ayant été fusionnés et rebaptisés, et non pas effectivement supprimés ».

En ce qui concerne la durée de conservation des données, les députés ont déploré que celle-ci ait été portée de trois ans et demi à quinze ans, et que cette disposition s’appliquerait rétroactivement aux données collectées en vertu des accords PNR précédents. Il a estimé qu’il n'existerait plus « aucune garantie que ces données seront définitivement supprimées ». De même, il s’est inquiété du fait que les données soient conservées pendant sept ans dans des « bases de données analytiques actives », ce qui entraîne « des risques importants de fichage et d'exploitation des données à grande échelle, pratique incompatible avec les principes européens fondamentaux ».

Le Parlement « s'oppose résolument » à ce que des pays tiers en général puissent avoir accès aux données PNR s’ils remplissent les conditions fixées par les autorités américaines. Il a critiqué également le fait que l’Union européenne ait accepté de ne pas intervenir, s’agissant de la protection des données PNR de citoyens de l'Union susceptibles d’être communiquées par les Etats Unis à des pays tiers.

Enfin, les députés ont demandé à la Commission de préciser les déclarations du commissaire Franco Frattini concernant la mise en place d’un système PNR au sein de l’Union européenne, et ont appelé les parlements nationaux des Etats membres à examiner attentivement ce projet d'accord.

A cet égard, M. Jonathan Faull, Directeur Général de la DG justice, liberté, sécurité, a déclaré, le 13 juillet 2007, d’une part, que « des idées seront mises sur la table au second semestre », et, d’autre part, que le PNR européen « ne sera pas identique » à celui mis en place avec les Etats-Unis, même si pour des raisons pratiques les champs de données pourraient s’y apparenter. Ce système devrait aussi être restreint à la lutte contre le terrorisme et le crime organisé.

> Dans une lettre adressée le 27 juin 2007 à M. Wolfgang Schäuble, ministre allemand de l’intérieur, M. Peter Hustinx, contrôleur européen de la protection des données, a fait part de ses préoccupations sur plusieurs dispositions du projet d’accord. Il s’est élevé contre l’allongement de 3 ans et demi à 15 ans de la durée de conservation des données ainsi que contre la notion de « données dormantes », qu’il estime être sans précédent au plan juridique.

Il a déploré qu’un nombre considérable d’autorités américaines puisse accéder aux données PNR, sans qu’aucune limitation ne soit apportée à l’usage qu’elles en feront, d’autant que les citoyens européens ne disposeront pas de réelle voie de droit, dans le cas où les données ne seraient pas utilisées conformément aux dispositions de l’accord.

Il a également critiqué le fait que les Etats-Unis aient refusé l’idée d’un accord contraignant et souhaité à sa place un échange de lettres.

Enfin, il a émis des doutes quant à la compatibilité entre l’accord et les droits fondamentaux de l’Union.

> M. Peter Scharr, Président du G29, tout en se réjouissant que le projet d’accord ait permis d’éviter la fragmentation des pratiques mises en œuvre par les Etats membres, a formulé des critiques analogues à celles de M. Peter Hustinx. Il a, en outre, considéré que le projet d’accord ne réduisait que de façon marginale le nombre des données devant être transférées, car l’abaissement de 34 à 19 résulte seulement du regroupement de plusieurs d’entre elles.

S’agissant des données sensibles, il a déploré que les données relatives aux préférences culinaires des passagers continuaient d’être transférées.

 En France, la CNIL a publié un communiqué le 9 juillet 2007, dans lequel elle a rejoint les observations de M. Peter Hustinx, et de M. Peter Scharr et du Parlement européen.

Elle a noté également que le nouvel accord mettait un terme à la période d’incertitude ouverte par la décision de la Cour de justice du 30 mai 2006 annulant le précédent accord du 28 mai 2004. Elle a jugé, par ailleurs, positif le fait que les autorités américaines se soient engagées à étendre le bénéfice de la protection accordée par la loi américaine aux citoyens européens, ce qui leur permet de faire valoir leurs droits devant les juridictions américaines.

Cependant, elle a estimé que cet accord était loin d’offrir un niveau de protection adéquat des données PNR transmises. Elle n’a pu que regretter l’insuffisance de dispositions claires et proportionnées relatives au partage d’informations, de conservation, d’envois supplémentaires de données, de contrôle par les autorités de protection des données, et s’inquiéter de ce que la mise en œuvre de nombreuses dispositions soit soumise à la discrétion des Etats-Unis.

 Au Royaume-Uni, la Chambre des Lords a publié, le 5 juin 2007, un excellent rapport de sa Commission pour l’Union européenne qui, tout en faisant le bilan critique de l’application des accords de 2004 et de 2006, a émis des recommandations très pertinentes pour l’élaboration d’un nouvel accord, mais dont, malheureusement, le projet d’accord n’a pas tenu compte.

> S’agissant des engagements , la Chambre des Lords a estimé notamment qu’ils devaient être non équivoques, insérés dans le dispositif de l’accord et qu’ils ne pouvaient être amendés sans l’accord de l’autre partie.

Si une clarification est nécessaire, elle doit être examinée ultérieurement dans le cadre d’une négociation franche entre les parties. Aucune interprétation unilatérale de la portée d’un amendement n’est recevable.

> En ce qui concerne la finalité du transfert des données , l’usage des données PNR à des fins autres que la lutte contre le terrorisme ou le crime organisé, n’est ni souhaitable ni acceptable.

Si, en dépit de cette recommandation, les données devaient néanmoins être utilisées à d’autres fins, celles ci devraient, dès le départ, être précisées dans une liste. Des termes tels que les « intérêts vitaux de la personne concernée » sont trop vagues.

> Sur la durée de conservation des données , la Chambre des Lords a accepté qu’elle aille au delà de trois ans et demi, à condition que les données soient conservées et traitées en toute sécurité. En revanche, elle est opposée à ce que, durant cette période, les données soient utilisées à des fins autres que celles autorisées par l’accord.

> Sur le partage des données entre les agences américaines, la décision d’y procéder doit revenir au Bureau des douanes et de la protection des frontières (CBP), si ce dernier l’estime nécessaire. Les conditions d’accès doivent être conformes aux mêmes engagements que ceux souscrits par le CBP. Les documents communiqués devraient être conservés pour permettre le déroulement d’une inspection effectuée par une autorité indépendante.

En outre, la Chambre a estimé que le CBP devrait communiquer les données aux autres agences selon le mode push et ne pas autoriser ces dernières à y accéder elles mêmes selon le mode pull.

> En ce qui concerne le contrôle de la mise en œuvre de l’accord , celui ci doit prévoir le principe d’un contrôle annuel approfondi et impartir aux parties de veiller à ce qu’il ait effectivement lieu. Le contrôleur européen de la protection des données et les autorités nationales en charge de cette même protection doivent y prendre part et être autorisés à accéder, sans réserve, aux données, afin qu’ils puissent évaluer l’apport de la transmission des données PNR à la lutte contre le terrorisme.

Les rapports établis au titre de ce contrôle devraient exposer, de façon détaillée, les modalités du partage des données entre le CBP et les autres autorités américaines et le régime juridique applicable aux données ainsi communiqués.

Enfin, ces rapports devraient être publiés.

*

* *

Le rapporteur prend acte de ce qu’un projet d’accord a été élaboré. Il fournit un cadre juridique stable aux compagnies aériennes européennes et à leurs passagers. En outre - et surtout - il offre à ces derniers davantage de protection, conformément à certaines des demandes constamment formulées par les Européens de longue date.

Tout cela revêt d’autant plus d’importance que l’Europe et les Etats-Unis ont signé récemment un accord de ciel ouvert, dont l’effet sera d’accroître le flux des passagers européens.

Il reste que, si le projet d’accord contribue à renforcer la coopération transatlantique, il est à craindre toutefois que, comme les précédents accords, ce texte ne confirme l’extrême difficulté à maintenir le corpus européen des droits fondamentaux dans son intégrité face aux exigences américaines de la lutte contre le terrorisme( 7). De fait, les nombreuses et graves imperfections relevées par les uns et les autres risquent de limiter la portée des améliorations introduites par ce projet d’accord, sauf à exercer, avec toute la vigilance requise, un contrôle constant et approfondi sur les conditions de son application.

C’est pourquoi, le fait que le futur accord soit conclu pour une durée de sept ans commande aux yeux du rapporteur de respecter plusieurs exigences.

Tout d’abord, il aurait été absolument nécessaire que le Gouvernement soumette l’accord signé à la procédure d’approbation, conformément à l’article 53 de la Constitution. A cet égard, le rapporteur rappellera que lors de l’examen du projet d’accord de 2006, la Délégation avait déjà demandé que les accords conclus sur la base de l’article 24 du Traité sur l’Union européenne soient soumis à l’approbation du Parlement. Cet article permet au Conseil de conclure des accords avec des pays tiers dans des matières relevant de la coopération policière et judiciaire en matière pénale. Toutefois, le fait que l'Union européenne soit la seule partie contractante n’empêche pas un Etat membre de recourir à une procédure de ratification parlementaire.

Dans ses conclusions, la Délégation s’était appuyée sur l’article 24, paragraphe 5, du Traité sur l’Union européenne, lequel autorise un Etat, dont le représentant au sein du Conseil déclare qu’il doit se conformer à ses propres règles constitutionnelles, de ne pas être lié par un accord conclu avec les Etats tiers.

Notre collègue Thierry Mariani, alors rapporteur, avait préconisé une telle solution, tout en mettant l’accent sur les difficultés de sa mise en œuvre. Car d’un côté, il avait rappelé que le Conseil constitutionnel avait jugé cet article 24 conforme à la Constitution française et la Délégation avait eu l’occasion, le 12 octobre 2005, d’adopter une interprétation analogue lors de l’examen d’un accord en matière pénale entre l’Union européenne, l’Islande et la Norvège, relatif à la procédure de remise entre les Etats membres de l’Union et ces deux pays.

Aussi, dans ses conclusions sur cet accord, la Délégation avait-elle recommandé au Gouvernement de faire usage de la réserve prévue à l’article 24, paragraphe 5, pour procéder, à l’instar de nos partenaires européens, à l’autorisation de ratification parlementaire.

Mais de l’autre côté, Thierry Mariani avait fait état de la position apparemment restrictive que le Gouvernement a défendue en 2003 devant le Sénat en se référant à un avis du Conseil d’Etat, aux termes duquel « La réserve par un Etat membre de ses propres règles constitutionnelles a pour objet de permettre à cet Etat d’assurer uniquement le respect des règles de fond d’ordre constitutionnel ».

Malgré « l’importance politique et juridique », et le « retentissement médiatique » du texte, les autorités françaises ne sont pas départies de leur position. Aussi, lors du COREPER du 19 juillet 2007, ont-elles déclaré qu’elles ne feraient pas usage de la réserve de l’article 24, paragraphe 5, du Traité sur l’Union européenne, à la différence de dix Etats membres : l’Allemagne, la Belgique, l’Espagne, la Finlande, la Lettonie, la Lituanie, la Hongrie, les Pays-Bas, la Pologne et la République Slovaque. Pour sa part, l’Autriche s’est abstenue.

Le rapporteur rappellera que le fait pour un Etat membre de faire usage de la réserve de l’article 24, paragraphe 5, du Traité du l’Union européenne et donc de soumettre l’accord à l’approbation de son Parlement n’a pas pour effet d’empêcher son application à titre provisoire, à compter de la date de sa signature. Le point 9 du projet d’accord dispose que :

« Le présent accord entre en vigueur le premier jour du mois suivant la date à laquelle les parties se sont notifié l’accomplissement de leurs procédures internes nécessaires à cet effet. Le projet d’accord s’applique à titre provisoire à compter de la date de sa signature ».

En second lieu, il conviendrait que les autorités françaises parviennent à obtenir le règlement de deux points. Le premier a trait à la clause linguistique. Il est, en effet, nécessaire que soit supprimée la dernière phrase de l’accord selon laquelle la version anglaise prévaudrait en cas de divergence d’interprétation.

Le rapporteur se réjouit que le COREPER du 19 juillet 2007 ait pris acte de la décision des autorités américaines d’accepter que les autres versions linguistiques - une fois approuvées - fassent également foi.

Le deuxième point concerne la nécessité d’instituer un mécanisme d’évaluation de la mise en œuvre de l’accord. En effet, l’examen régulier prévu par ce dernier risque d’apparaître très peu satisfaisant, compte tenu du cadre étroitement délimité dans lequel cet examen devrait intervenir.

Certes, l’objectif idéal serait d’aller dans le sens d’une évaluation annuelle telle qu’elle a été proposée par la Commission pour l’Union européenne de la Chambre des Lords. Puisque tel n’est pas le cas, on pourrait toutefois concevoir que, conformément à la demande des autorités françaises, la Commission publie une déclaration par laquelle elle indiquerait les modalités de l’évaluation annuelle des conditions d’application de l’accord, de telle sorte qu’un large débat puisse s’engager au sein des institutions communautaires et des parlements nationaux. Ce faisant, un tel débat pourrait aider la Commission à mieux aborder les discussions qu’elle aura avec les autorités américaines.

Le rapporteur se doit de souligner que l’institution d’un mécanisme d’évaluation efficace est absolument essentielle. Car, compte tenu du fait que, comme dans les précédents accords, les engagements des autorités américaines ne sont toujours pas insérés dans le texte même du projet, seule une évaluation à laquelle seraient associés tous les acteurs intéressés, permettra de prévenir les violations de l’accord.

C’est pourquoi, il se félicite que, lors du COREPER du 19 juillet 2007, la Belgique ait annoncé qu’elle ferait une déclaration par laquelle, tout en acceptant la signature de l’accord par la Présidence du Conseil, « elle soulignerait néanmoins l’importance qu’elle attache à une évaluation efficace et régulière de la mise en œuvre de cet accord, particulièrement en ce qui concerne les engagements américains relatifs à la protection des données privées qui sont décrits dans les assurances. Elle demanderait que cet aspect soit inclus dans les modalités du processus de réexamen à déterminer entre l’Union européenne et le DHS et que les Etats membres soient informés de cette modalité ».

La France a indiqué qu’elle était favorable à une telle déclaration sur le mécanisme de contrôle conjoint et que, sous réserve de sa rédaction définitive, elle souhaiterait s’y associer.

*

* *

Au cours de sa réunion du 18 juillet 2007, la Délégation a examiné le projet d’accord, sur le rapport de M. Guy Geoffroy.

Un débat a suivi l’exposé du rapporteur.

M. Jérôme Lambert a regretté que la proposition de conclusions présentée par le rapporteur soit très en retrait par rapport aux critiques formulées par le Parlement européen, lesquelles figurent d’ailleurs dans le rapport. Le point 2 de la proposition de conclusions, qui fait état de la satisfaction d’être parvenu à un accord, apparaît en contradiction avec le point 3 qui en déplore les nombreuses et graves imperfections.

Il a douté que les pays européens agissent à l’égard des passagers en provenance des Etats-Unis de la même façon que ces derniers, tandis que les dirigeants de grandes entreprises américaines se rendant en Europe pour négocier des marchés sensibles en concurrence avec des entreprises européennes seraient sans doute très réticents si on leur imposait d’être ainsi fichés, contrôlés et surveillés. Si le recueil de données personnelles se justifie dans le cadre de la lutte contre le terrorisme, il n’est pas souhaitable qu’elles puissent être divulguées, d’autant qu’elles peuvent être utilisées en matière de renseignement et d’intelligence économique. Tout en ayant conscience que l'Europe était, dans ce dossier, confrontée à ce que M. Jérôme Lambert a qualifié de « bras de fer » avec les Etats-Unis, il a souhaité que l’insatisfaction et l’opposition de la Délégation européenne à cet accord soient exprimées plus clairement dans les conclusions.

M. Michel Delebarre s’est associé à ces observations, soulignant l’attitude très dure du Parlement européen sur ce dossier. Les propositions de la Délégation mériteraient en conséquence d’être plus fermes. L’absence d’ambition et de démarche européenne communes portant, par exemple, sur les données qu’il serait utile d’échanger pour se préserver d’un certain nombre de menaces, laisse les Etats-Unis libres d’imposer les catégories de données transférables dont certaines n’entrent pas dans le cadre de la lutte contre le terrorisme. C’est pourquoi il a préconisé la suppression des points 2 et 3 de la proposition de conclusions, relatifs respectivement aux avancées et aux imperfections du projet d’accord constatées par le rapporteur.

Il a, en revanche, considéré que l’approbation de cet accord par le Parlement français proposée dans le point 4 était indispensable.

M. Daniel Garrigue, Président, a rejoint les préoccupations exprimées, constatant que si la lutte contre le terrorisme constituait effectivement un enjeu fondamental, le caractère unilatéral de cet accord n’était pas satisfaisant. Il a rappelé que les auteurs des attentats du 11 septembre 2001 n’étaient pas venus d’Europe mais séjournaient aux Etats-Unis depuis longtemps et que les pays européens pourraient donc faire preuve des mêmes inquiétudes. Il a estimé que les conclusions de la Délégation européenne devaient être plus en phase non pas avec celles du Parlement européen mais plutôt avec celles de la Délégation pour l'Union européenne du Sénat. Les conclusions présentées par le Président Hubert Haenel mériteraient d’être reprises sur les points suivants : le fait que les engagements des autorités américaines ne soient pas insérés dans le corps de l’accord, le partage des données avec des pays tiers et la durée de conservation des données collectées qui semble excessive- initialement fixée à trois ans et demi, elle est maintenant de sept ans, soit le double.

M. Guy Geoffroy , rapporteur, a indiqué partager ces craintes et être favorable à des conclusions plus fermes, ce qui serait d’ailleurs conforme au contenu même de son rapport. Il est indéniable qu’il n’existe pas de parallélisme entre les exigences formulées par les Etats-Unis et celles des pays de l’Union européenne. Ainsi, en France, l’existence de la Commission nationale de l’informatique et des libertés constitue une garantie pour les passagers en provenance des Etats-Unis, ce qui n’est pas le cas pour les passagers partant d’Europe. Il importe donc qu’un accord soit signé.

Répondant à M. Jérôme Lambert, il a confirmé qu’en l’absence d’accord, la situation aurait encore été plus défavorable pour les passagers européens. Il a précisé qu’à l’automne, la Commission pourrait présenter un dispositif européen de traitement et de transfert de données des dossiers des passagers – PNR – qui, selon une déclaration de M. Jonathan Faull, directeur général de la DG justice, liberté, sécurité, ne sera pas identique à celui prévu par l’accord avec les Etats-Unis. Si le champ des données recueillies sera similaire, leur utilisation devrait être strictement limitée à la lutte contre le terrorisme et le crime organisé. Le rapporteur a souligné que cette mention explicite faisait apparaître en creux les critiques qui pouvaient être formulées à l’encontre de la position américaine.

Enfin, il a jugé absolument nécessaire que le Parlement français puisse débattre de cet accord afin de l’analyser et d’en avoir une vision critique.

Puis, après les interventions de MM. Jérôme Lambert, Michel Delebarre, Jean-Claude Fruteau, du rapporteur et du Président Daniel Garrigue, la Délégation a adopté les conclusions suivantes :

« La Délégation,

b) la Commission, dans une déclaration, précise les modalités selon lesquelles se déroulera l’évaluation annuelle des conditions d’application de l’accord, afin qu’un large débat puisse s’engager au sein des instances communautaires et les parlements nationaux ».

ANNEXE

Dans une lettre - publiée au Journal Officiel des Communautés européennes du 27 octobre 2006, soit postérieurement à l’examen, le 6 octobre 2006, par la Délégation du projet d’accord de 2006, M. Stewart Baker, Assistant Secretary for Policy au DHS, a fait part à la Commission de l’interprétation adoptée par les autorités américaines d’un certain nombre de dispositions de la déclaration d’engagement.

> Le partage et la divulgation des données PNR

Les autorités américaines rappellent que la loi américaine sur la réforme des services de renseignement et la prévention du terrorisme de 2004 a exigé du Président qu’il mette en place un environnement qui facilite le partage entre les agences des informations concernant le terrorisme. C’est pourquoi un décret du 25 octobre 2005 ordonne au DHS et aux autres agences de donner rapidement accès aux informations sur le terrorisme au chef de chaque agence exerçant des fonctions dans la lutte antiterroriste.

Il en résulte que l’engagement par lequel les autorités américaines interdisaient le partage des données PNR avec d’autres agences est devenu caduc, les autorités américaines s’étant prévalues d’une autre disposition de la déclaration d’engagement. Cette disposition ne peut empêcher l’utilisation ou la divulgation de données PNR dans le cadre d’une procédure pénale ou au titre d’autres exigences prévues par la loi. D’autre part, le DHS est autorisé à informer la Commission de l’adoption, par les autorités américaines, de toute législation ayant une incidence sur le fond des présents engagements. En la circonstance, les Etats-Unis ont informé l’Union européenne que la mise en œuvre de l’environnement de partage des informations exigée par la loi pouvait être gênée par certaines dispositions de la déclaration qui restreignent le partage d’informations entre agences américaines.

> La durée de conservation des données PNR

L’accord de 2004, au terme d’un compromis entre les autorités américaines et la Commission( 8), avait fixé cette durée à trois ans et demi et sur laquelle l’accord de 2006 n’est pas revenu.

Toutefois les autorités américaines ont fait valoir que même des données vieilles de plus de trois ans et demi pouvaient être de la plus haute importance pour établir des liens entre personnes suspectées de terrorisme. C’est pourquoi elles ont déclaré que la question de savoir si et quand il convient de détruire les données PHR collectées conformément à la déclaration d’engagement sera examinée par les Etats-Unis et l’Union européenne dans le cadre de discussions futures.

> Les éléments informatifs

En principe, les données concernant les grands voyageurs ( frequent flyers ) se limitent au nombre de miles correspondant à leurs déplacements et à leurs adresses.

Mais les autorités américaines ont estimé que ce champ pouvait comporter des adresses, des numéros de téléphone ou des adresses électroniques, toutes ces données pouvant fournir des éléments de la plus haute importance concernant l’existence de liens avec des activités terroristes. Aussi M. Baker a t il indiqué que « Par cette lettre, les Etats-Unis ont consulté l’Union européenne en ce qui concerne la nécessité pour le DHS d’obtenir le numéro d’identification d’un « grand voyageur » et les éléments informatifs figurant à l’Annexe A de la déclaration d’engagement, indépendamment de la provenance desdits éléments ».

> Les intérêts vitaux de la personne concernée ou d’autres personnes :

Selon le point 34 des engagements des autorités américaines, la déclaration d’engagement ne doit pas empêcher l’utilisation de données PNR aux fins de la protection des intérêts vitaux de la personne concernée ou d’autres personnes, en particulier en ce qui concerne les risques sanitaires importants.

Alors que les termes de cette disposition sont déjà si larges qu’ils ne sont pas propres à empêcher tout abus, la lettre de M. Baker a accru le risque de dérives supplémentaires, puisqu’elle précisait :

« La notion « d’intérêts vitaux » se rapporte à des circonstances dans lesquelles la vie de la personne concernée ou d’autres personnes est susceptible d’être menacée et inclut l’accès aux informations nécessaires pour veiller à ce qu’une personne susceptible d’être porteuse d’une maladie transmissible dangereuse ou d’avoir été exposée à une telle maladie puisse être facilement identifiée, localisée et informée dans les meilleurs délais ».

En tout état de cause, une telle interprétation a soulevé inévitablement la question de sa compatibilité avec le point 3 des engagements des autorités américaines, qui a posé le principe selon lequel les données PNR doivent être utilisées « strictement » pour combattre le terrorisme et le crime.