La sécurité des transports, hissée au rang des priorités politiques de tous les pays après les attaques terroristes qui ont touché New-York, Madrid et Londres, revient au cœur de l’actualité européenne en ce mois de juillet 2007 à un double titre.
D’une part, Franco Fattini, vice-président de la Commission européenne à la tête de la Direction générale « Justice, liberté et sécurité », a annoncé le 3 juillet 2007 qu’une proposition de système européen de collecte et d’échange d’informations sur les passagers aériens serait présentée par la Commission durant le second semestre 2007. Ledit système, dont l’existence était évoquée afin de renforcer la sécurité intérieure dans le plan d’action du programme de la Haye (cf. l’annexe de la Communication de la Commission au Conseil et au Parlement européen, présentée le 3 juillet 2007, relative au rapport sur la mise en œuvre du programme de la Haye, SEC (2007) 896, p. 20 ) fait partie d’un « paquet » de mesures destinées à combattre le terrorisme (cf. le communiqué de presse de la Commission européenne, du 3 juillet 2007, sur la mise en œuvre du programme de la Haye en 2006 ). Il s’inspirera vraisemblablement des mesures existantes aux Etats-Unis, où des centres de stockage collectent les données personnelles des passagers (PNR), qui sont alors exploitables par les agences de sécurité.
D’autre part, un accord entre l’Union européenne et les Etats-Unis concernant le transfert des données personnelles sur les passagers à bord des avions voyageant entre l’Union européenne et les Etats-Unis devrait intervenir d’ici au 31 juillet 2007. Cette date correspond à l’échéance de la validité de l’accord provisoire conclu entre l’UE et les Etats-Unis en octobre 2006, lequel a remplacé un précédent accord dont la légalité a été contestée avec succès par le Parlement européen devant la Cour de justice des Communautés européennes (JO L 298 du 27.10.2006, p. 29 ). En effet, l’Accord entre la Communauté européenne et les Etats-Unis d’Amérique sur le traitement et le transfert de données relatives aux passagers (données PNR, telles que nom, numéros de passeport et de téléphone, adresse e-mail, coordonnées bancaires) par des transporteurs aériens au bureau des douanes et de la protection des frontières du ministère américain de la sécurité intérieure (Accord PNR) a cessé de produire ses effets le 30 septembre 2006, au terme d’un délai de 90 jours à compter de sa dénonciation. Son arrêt de mort remonte au 30 mai 2006, au moment où la Cour a annulé, suite au recours déposé par le Parlement, la décision du Conseil du 17 mai 2004 relative à la conclusion de l’accord, de même que la décision de la Commission du 14 mai 2004 qui y était étroitement liée (décision d’adéquation) (arrêt de la Cour du 30 mai 2006, aff. jtes C-317/04 et C-318/04 ).
Alors que le Parlement européen, dans son recours contre la décision d’adéquation, invoquait des moyens d’annulation tirés d’un excès de pouvoir, d’une violation des principes essentiels de la directive 95/46 (relative la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données), d’une violation des droits fondamentaux et d’une violation du principe de proportionnalité, la Cour n’a examiné que le premier de ces moyens. Elle a jugé que la décision d’adéquation ne pouvait se fonder sur la directive 95/46, laquelle exclut expressément de son champ d’application le traitement de données à caractère personnel mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles notamment le traitement de données ayant pour objet la sécurité publique, la défense, la sûreté de l’Etat et les activités de l’Etat relatives à des domaines du droit pénal. Or, le transfert des données PNR au bureau des douanes et de protection des frontières des Etats-Unis constitue précisément un traitement ayant pour objet la sécurité publique et les activités de l’Etat relatives à des domaines du droit pénal, quand bien même ces données sont initialement collectées par des compagnies aériennes. Le traitement de ces informations ne concerne donc pas la réalisation d’une prestation de services au sens du droit communautaire. S’agissant de la décision du Conseil approuvant l’accord, le Parlement européen invoquait six moyens d’annulation, tirés du choix erroné de l’article 95 TCE comme base juridique et de la violation, respectivement, de l’article 300 §3 TCE, de l’article 8 CEDH, du principe de proportionnalité, de l’exigence de motivation et du principe de coopération loyale. La Cour a admis le recours en reconnaissant que l’article 95 TCE ne fondait aucune compétence de la Communauté pour conclure l’accord. Elle a lapidairement indiqué que l’accord visait le même transfert de données que la décision d’adéquation et donc des traitements de données exclus du champ d’application de la directive.
A mesure que, d’une part, le droit d’accès des autorités américaines aux données PNR, ainsi que les modalités de leur traitement n’étaient valables, en vertu de l’accord, qu’aussi longtemps que la décision d’application était applicable et que, d’autre part, l’accord cessait d’être applicable 90 jours après sa dénonciation, la Cour a dû se prononcer sur les effets de son arrêt dans le temps. La Cour a ainsi décidé de maintenir les effets de ladite décision jusqu’au 30 septembre 2006, afin que puissent être adoptées les mesures que comporte l’exécution de son arrêt. Cette situation illustre les difficultés inhérentes à la coexistence de deux ordres juridiques distincts : le droit international public et le droit communautaire, la Communauté ne pouvant invoquer son propre droit comme justifiant la non-exécution d’un accord international.
La décision du Conseil relative à la conclusion de l’accord provisoire de 2006 repose sur les articles 24 et 38 TUE, soit une base juridique distincte des dispositions fondant les décisions annulées par la Cour ; la substance même de l’accord diffère cependant peu de celle de l’accord dénoncé et les doutes demeurent donc quant à la compatibilité de telles mesures avec les libertés fondamentales des particuliers. Le Parlement européen, qui a été tenu à l’écart tant des négociations que de la conclusion du nouvel accord, considère d’ailleurs dans une résolution législative adoptée le 12 juillet 2007 que le projet d’accord conclu le 28 juin 2007 entre l’UE et les Etats-Unis, qui lui a été communiqué officieusement, est « fondamentalement imparfait ». Il considère notamment que ce projet d’accord, en raison des définitions ouvertes et floues et des nombreuses possibilités d’exception qu’il contient, ne garantit ni la sécurité juridique ni la protection des données.
Reproduction autorisée avec indication : Diane Grisel, "Les données des passagers convoitées pour renforcer la sécurité des transports aériens", www.ceje.ch, actualité du 16 juillet 2007.