Ces deux  documents (E 3872 et E 3873) ont été présentés par M. Guy GEOFFROY , rapporteur, au cours de la réunion de la Délégation du 11 juin 2008.

*

* *

Les données PNR ( Passenger name record ) constituent le dossier de voyage de chaque passager qui contient toutes les informations nécessaires pour le traitement et le contrôle des réservations par les compagnies aériennes. Elles recouvrent des données permettant d’identifier le passager, son itinéraire, son contact à destination, les tarifs des vols et les informations relatives au paiement ainsi que les services demandés à bord. Certaines de ces données permettent de déduire une appartenance religieuse ou des problèmes de santé.

Le dernier accord PNR signé a été celui relatif au transfert de données vers les États-unis, qui a soulevé de très nombreuses interrogations et de vives critiques.

Le projet d’accord présenté ici n’est pas né dans un contexte aussi difficile et parait plus équilibré mais il convient de l’examiner avec attention.

Il revêt bien la forme d’un accord classique et non d’une lettre non contraignante, à l’image de celle élaborée par les États-unis en 2007.

A l’heure actuelle, il n’existe pas d’accord de transfert de données passagers avec l’Australie. La législation australienne de protection des frontières autorise les douanes australiennes à procéder à une analyse de risque à partir des données PNR avant l’arrivée des passagers en Australie (les douanes procèdent à l’analyse automatisée des profils avec une élimination de 95% des passagers, les données ne sont pas conservées ni stockées sauf si elles sont nécessaires à une enquête, les douanes ont une possibilité d’accès à toutes les données PNR en cas de risque jugé élevé). Le groupe de travail « article 29 » sur la protection des données (dit « G29 ») a estimé, dans son avis rendu le 16 janvier 2004, que le niveau de protection des données assuré par l’Australie aux données PNR est adéquat ( 1).

La négociation du présent accord a été rapide. Les délais très brefs dans lesquels ce texte doit être examiné avant son adoption au Conseil n’ont malheureusement pas permis que le Parlement européen, le G 29 ou la CNIL puissent émettre un avis.

Le présent projet est globalement positif pour les autorités françaises. Il n’existe pas de compagnie française desservant l’Australie. Les vols européens sont principalement au départ de Londres (compagnie Qantas en association avec British Airways).

A titre préliminaire, il convient de souligner qu’il est tout à fait regrettable que cet accord ne soit pas soumis à la procédure d’approbation, conformément à l’article 53 de la Constitution. Au cours des examens des précédents accords PNR avec les États-unis, la Délégation avait déjà demandé que les accords conclus sur la base de l’article 24 du Traité sur l’Union européenne soient soumis à l’approbation du Parlement. Le paragraphe 5 dudit article 24 permet à un État de ne pas être lié par un accord avec des États tiers s’il doit se conformer à ses propres règles constitutionnelles. S’agissant de l’accord PNR avec les États-unis, pas moins de dix États membres, dont ne faisait pas partie la France, avaient utilisé la réserve de l’article 24. Par ailleurs, l’usage de la réserve ne fait pas obstacle à l’application provisoire de l’accord sur décision des autres membres du Conseil, comme le prévoit le paragraphe 5 de l’article 24. Enfin, l’article 15 du projet d’accord prévoit qu’il est applicable de façon provisoire à compter de sa signature.

I.- Les finalités de l’accès aux données.

Les données seraient traitées aux fins de :

lutter contre le terrorisme et la criminalité connexe ;

prévenir et combattre les infractions graves qui sont de nature transnationale;

empêcher que des personnes se soustraient aux mandats et mesures de détention provisoire émis à leur encontre pour ces infractions.

Ces finalités sont les mêmes que celles prévues par l’accord avec les États-unis. Le G29 avait, dans son avis du 17 août 2007 relatif à l’accord sur la transmission des données PNR conclu avec les États-unis, estimé que les finalités du transfert de données devraient être plus précisément détaillées.

Il est également prévu que les données puissent être traitées au cas par cas pour la protection des intérêts vitaux de la personnes ou d’autres personnes ou en cas de risque important pour la santé publique (il est ici notamment question des maladies contagieuses). Ce dernier aspect de la transmission des données suscite quelques réserves mais a déjà été accordé aux États-Unis.

Les données seraient transmises aux services des douanes australiens.

Le mode d’accès aux données ferait l’objet d’une période transitoire pendant laquelle la méthode dite de lecture seule ( Read only ) serait appliquée. La période transitoire ne devra pas excéder deux ans. Pendant ces deux années, il est prévu que les douanes utilisent le système existant qui permet un accès électronique en ligne, en temps réel, aux données telles qu’elles figurent dans le système de réservation des compagnies. Ce système ne permet pas de conserver les données, hormis lors d’un examen à l’arrivée à l’aéroport ou lorsqu’une infraction a été commise. Il s’agit d’un système en lecture seule, donc sans possibilité de croisement de fichiers. Cette méthode serait spécifique à l’Australie.

A l’issue de la période transitoire, un système dit push serait créé, permettant aux transporteurs aériens d’exporter leurs données vers les autorités compétentes.

L’accord avec les Etats-unis permettait un accès direct aux fichiers de réservation sans filtre (système dit pull ) avant la mise en œuvre d’un système dit push.

II Les données transmises et leur conservation.

La liste des données est identique à celle établie dans l’accord avec les États-unis, à une différence majeure près : les données sensibles, qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale ainsi que les données relatives à la santé ou à la vie sexuelle seraient filtrées par les douanes et supprimées sans autre traitement. Au contraire, l’accord avec les États-unis permet au ministère américain de la sécurité intérieure d’accéder, dans des circonstances exceptionnelles, aux données sensibles.

Les données seraient conservées par les douanes pendant une durée de trois ans et demi au maximum, puis pourraient être archivées pendant deux ans. Une fois les données archivées, il ne serait possible d’y avoir accès qu’au cas par cas à des fins d’enquête. A l’issue de la période de conservation de cinq ans et demi, les données seraient supprimées par les douanes (l’accord avec les États-unis étant à cet égard beaucoup plus flou).

Les données concernant une procédure ou une enquête judiciaire en cours pourraient être conservées jusqu’à ce que la procédure soit achevée.

L’accord avec les États-unis prévoit une durée de conservation de sept ans pour les données actives et de huit ans pour les données dormantes, soit un total de quinze années.

III L’accès aux données transmises et leur communication ultérieure par les services des douanes australiennes.

Les personnes concernées bénéficieraient des dispositions des lois australiennes relatives à la protection de la vie privée. Elles pourraient avoir accès et modifier les données à caractère personnel les concernant et seraient traitées sans discrimination sur la base de la nationalité ou du pays de résidence. Des plaintes sur le traitement des données pourraient être déposées auprès des douanes et du commissaire à la protection de la vie privée.

Les douanes auraient également une obligation d’information des personnes physiques sur le recueil, le traitement et la protection des données PNR.

L’Australie et l’Union procéderaient périodiquement à un réexamen de la mise en œuvre de cet accord qui serait conclu pour une période limitée à sept ans.

La liste des autorités du gouvernement australien auxquelles les douanes pourraient transmettre les données en provenance de l’Union européenne, au cas par cas et après examen de la demande, est fixée dans l’annexe à l’accord, les transferts ne pouvant se faire qu’en vue de remplir les objectifs qui fondent cet accord (lutte contre le terrorisme et les infractions graves transnationales). Les douanes ne pourraient communiquer de façon groupée que des données ayant été rendues anonymes aux fins de la réalisation de statistiques et d’études dans le cadre des objectifs de cet accord.

Les douanes ne pourraient communiquer, au cas par cas, des données à des gouvernements de pays tiers qu’à certaines fins énoncées par l’accord et uniquement aux autorités dont les fonctions sont directement liées à la lutte contre le terrorisme et la criminalité transnationale. L’autorité réceptionnant les données ne les communiquerait pas sans autorisation des douanes australiennes et devrait assurer une protection au moins équivalente à celle prévue dans l’accord. A cet égard, il faut rappeler que le Parlement européen, intervenant sur l’accord PNR avec les États-unis, s’était rigoureusement opposé à ce que des pays tiers puissent avoir accès aux données transmises.

L’accord avec les Etats-unis prévoit de permettre un transfert des données européennes vers d’autres autorités gouvernementales exerçant des fonctions de répression, de sécurité publique ou de lutte contre le terrorisme à la discrétion du ministère américain de la sécurité intérieure. Les échanges avec des pays tiers sont soumis à un examen préalable de l’usage des données et de la capacité du destinataire à les protéger.

*

* *

A la suite de l’exposé de M. Guy GEOFFROY , rapporteur, M. Jean-Claude FRUTEAU a ajouté que la compagnie française Air Austral avait obtenu l’autorisation de desservir l’Australie avec une escale à la Réunion.

Compte tenu des réserves précédemment exprimées, la Délégation a approuvé le projet d’accord et le projet de décision au cours de sa réunion du 11 juin 2008.