Saisie par les juridictions belges à la demande de la Ligue des Droits Humains, la Cour de justice de l’Union a redéfini le cadre des traitements autour des données des dossiers passagers (PNR, Passager Name Record), collectées par les compagnies de transport au stade de la réservation. Explication de l’arrêt de 95 pages.
En 2017, la Ligue des Droits Humains avait saisi la Cour constitutionnelle belge d’un recours contre une loi nationale transposant notamment la directive PNR. Ce texte européen de 2016 organise le transfert de données à caractère personnel des compagnies de transports aux autorités répressives aux fins de prévention et détection d'infractions terroristes ou criminelles graves.
Dans le lot, le nom du passager, les dates du voyage, itinéraire, numéro du siège, données relatives aux bagages, coordonnées du passager et moyen de paiement utilisé.
En substance, la LDH dénonce une possible atteinte disproportionnée au respect de la vie privée et à la protection des données à caractère personnel.
Dans son arrêt rendu ce jour, la justice européenne a constaté sans difficulté l’existence d’une ingérence dans ces droits fondamentaux, puisque des données très précises sont transmises par les compagnies à des autorités publiques (nationale, Europol ou celles de pays tiers). Et cette ingérence est même « profonde » puisque ces autorités ont un « accès général » à ce stock, qui peut même concerner les vols intra-UE, selon les choix exprimés par chaque État membre.
Des analyses automatisées sont ensuite effectuées, fondées sur des modèles ou des critères préétablis. Prises dans leur ensemble, ces données peuvent alors « entre autres, révéler un itinéraire de voyage complet, des habitudes de voyage, des relations existant entre deux ou plusieurs personnes ainsi que des informations sur la situation financière des passagers aériens, leurs habitudes alimentaires ou leur état de santé, et pourraient même révéler des informations sensibles sur ces passagers »
Le droit européen n’interdit pas ces ingérences pourvu qu’elles soient prévues par la loi, dans des termes clairs et précis, proportionnées au but à atteindre, avec des garanties minimales afin d’éviter le risque d’abus. C’est dans l’examen de chacune de ces exigences que la CJUE a borné l’exploitation des données PNR.
Des finalités qui justifient l’ingérence dans la vie privée
La finalité de la prévention et de la détection des infractions terroristes et des formes graves de criminalité « constituent indubitablement des objectifs d’intérêt général de l’Union susceptibles de justifier des ingérences, mêmes graves, dans les droits fondamentaux consacrés », relève la CJUE. Et d’ailleurs le nombre de faux négatifs et celui des faux positifs (un nombre « assez conséquent » pouvant concerner cinq personnes sur six) consécutifs à ces traitements n’y changent rien.
D’une part, le PNR a « déjà permis l’identification de passagers aériens présentant un risque dans le cadre de la lutte contre des infractions terroristes et des formes graves de criminalité ». Et d’autre part, « l’aptitude du système établi par la directive PNR, dépend essentiellement du bon fonctionnement de la vérification subséquente des résultats obtenus au titre de ces traitements, par des moyens non automatisés ».
Des limitations
Si dans son long arrêt (95 pages), la Cour de justice de l’UE a finalement validé la directive PNR, elle a imposé sa grille de lecture pour en border le champ d’application.
Ainsi, les États membres doivent s’assurer que l’application du système établi par le texte est « effectivement limitée à la lutte contre des formes graves de criminalité et que ce système n’est pas étendu à des infractions qui relèvent de la criminalité ordinaire ».
Plus exactement, le système doit être limité « aux infractions terroristes et aux seules formes graves de criminalité présentant un lien objectif, à tout le moins indirect, avec le transport aérien des passagers ».
À titre d’exemple, il en va ainsi « lorsque le transport aérien sert de moyen pour préparer de telles infractions ou pour se soustraire aux poursuites pénales après leur commission ». Inversement, cela veut donc dire que « les infractions dépourvues de tout lien objectif, même indirect, avec le transport aérien des passagers ne sauraient justifier l’application du système établi par la directive PNR ».
Ceci posé, les juges européens considèrent que lorsqu’est constatée, sur la base d’une évaluation réalisée par un État membre, « qu’il existe des circonstances suffisamment concrètes pour considérer que ce dernier fait face à une menace terroriste qui s’avère réelle et actuelle ou prévisible », appliquer la directive PNR à tous les vols intra-UE pour une durée limitée reste dans les limites de la proportionnalité. Ceci dit, cet acte « doit pouvoir faire l’objet d’un contrôle effectif par une juridiction ou par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant ».
Cela signifie donc que lorsque la menace n’est ni réelle, actuelle ou prévisible, l’application sans distinction du système établi par la directive PNR « non seulement aux vols extra-UE, mais également à l’ensemble des vols intra-UE ne saurait être considérée comme étant limitée au strict nécessaire ». Dans un tel scénario, l’application du système PNR devra être limitée à « certains vols intra-UE » ou à « des schémas de voyage » ou encore « certains aéroports pour lesquels il existe des indications de nature à [la] justifier ».
La confrontation des données du PNR
La directive PNR prévoit un système de contrôle des passagers en deux temps. D’abord une évaluation préalable des passagers avant leur arrivée ou leur départ, puis un examen approfondi et individualisé de ceux qui pourraient être impliqués dans une infraction terroriste ou une forme grave de criminalité.
Dans cette première phrase, la directive autorise les autorités à confronter les données PNR aux bases de données utiles, « y compris [celles] concernant les personnes ou les objets recherchés ou faisant l’objet d’un signalement, conformément aux règles nationales, internationales et de l’Union applicables à de telles bases de données ».
L’expression « y compris » pourrait faire l’objet d’une interprétation très extensive, avec à la clef des analyses « à partir de bases de données diverses, y compris de bases de données que les agences de sécurité et de renseignement des États membres gèrent et exploitent dans la poursuite d’objectifs autres que ceux visés par cette directive ». De même, ces analyses pourraient « prendre la forme d’une exploration de données ».
La Cour a tenu à prévenir ce risque d'emballement. Une telle exploitation dans un champ si vaste « serait de nature à générer dans l’esprit des passagers du transport aérien le sentiment que leur vie privée fait l’objet d’une forme de surveillance ». Elle fournirait « les moyens d’établir le profil précis des personnes concernées pour la seule raison que celles-ci ont l’intention de voyager par avion ».
Pour la CJUE, en conséquence, les seules bases de données exploitables sont celles « concernant les personnes ou les objets recherchés ou faisant l’objet d’un signalement ». Pas au-delà.
L’évaluation préalable doit par ailleurs « être réalisée de façon non discriminatoire » avec des critères préétablis, « ciblés, proportionnés et spécifiques », « réexaminés à intervalles réguliers ». Il en va de même pour la confrontation de ces données avec les bases.
Pas de machine learning
L’exigence de critère préétabli, en déduit la CJUE, « s’oppose à l’utilisation de technologies d’intelligence artificielle dans le cadre de systèmes d’autoapprentissage (machine learning), susceptibles de modifier, sans intervention et contrôle humains, le processus de l’évaluation et, en particulier, les critères d’évaluation sur lesquels se fonde le résultat de l’application de ce processus ainsi que la pondération de ces critères ».
Comme le rappelle l’avocat général dans ses conclusions, le juge européen estime en effet que le recours au machine learning « risquerait de priver d’effet utile le réexamen individuel des concordances positives ainsi que le contrôle de licéité requis par les dispositions de la directive PNR ».
Elle s’en explique : « compte tenu de l’opacité caractérisant le fonctionnement des technologies d’intelligence artificielle, il peut s’avérer impossible de comprendre la raison pour laquelle un programme donné est parvenu à une concordance positive ». Et un tel usage désarmerait les personnes qui voudraient contester le caractère non discriminatoire des résultats obtenus.
Des critères objectifs
Ces critères ne peuvent en aucun cas être fondés sur l’origine raciale ou ethnique d’une personne, ses opinions politiques, sa religion ou ses convictions philosophiques, son appartenance à un syndicat, son état de santé, sa vie sexuelle ou son orientation sexuelle.
L’évaluation préalable menée sur les données PNR doit au contraire être déterminée « de manière à cibler, spécifiquement, les individus à l’égard desquels pourrait peser un soupçon raisonnable de participation à des infractions terroristes ou à des formes graves de criminalité ».
Pour réduire les faux positifs, à savoir l’hypothèse où des données personnelles « matchent » avec une base de données déterminée, les États membres doivent assurer, via les autorités compétentes, « un examen plus approfondi » et réexamen individuel, par des moyens non automatisés. Et chacune de ces étapes doit être documentée.
Resserrer les boulons de la communication
La Cour place également des filtres dans la communication et l’évaluation postérieures des données PNR, c’est-à-dire après le départ ou l’arrivée de la personne concernée.
Ces opérations ne peuvent se faire qu’en cas de « circonstances nouvelles ». L’accès à ces données doit en outre se limiter à celles de personnes « soupçonnées de projeter, de commettre ou d’avoir commis une infraction grave ou encore d’être impliquées d’une manière ou d’une autre dans une telle infraction ».
Très exceptionnellement, il peut être ouvert à d’autres individus « lorsqu’il existe des éléments objectifs permettant de considérer que ces données pourraient, dans un cas concret, apporter une contribution effective » quand des activités terrorismes menacent « des intérêts vitaux de la sécurité nationale, de la défense ou de la sécurité publique ».
Accès et conservation des données
À l’instar de la jurisprudence sur l’accès aux données de connexion, l’éventuelle communication de ces informations devra être soumise à un contrôle préalable par une juridiction ou une autorité administrative indépendante, sauf « urgence dûment justifiée » où ce contrôle sera postérieur, mais à bref délai. La lettre de la directive prévoyait déjà un tel contrôle préalable, mais uniquement 6 mois après le transfert des données PNR. La CJUE le généralise.
Sur le terrain de la conservation des données, le juge introduit une distinction : il accepte une conservation généralisée des données de l’ensemble des passagers pendant une période de 6 mois, « sans qu’il existe la moindre indication de leur implication dans des infractions terroristes ou des formes graves de criminalité ».
Par contre, au-delà et jusqu’à un plafond de 5 années, cette conservation doit être réservée aux seules données de ceux qui « pourraient présenter un risque en matière d’infractions terroristes ou de formes graves de criminalité ».
En Belgique, la législation permet une conservation de 5 ans de toutes les données, applicable indifféremment à tous les passagers aériens, même à ceux pour lesquels aucune évaluation préalable n’a été menée.
Commentaires (2)
#1
Encore un truc fait à l’envers :
Ce n’est pas les compagnies qui doivent fournir la liste de tout à un système centralisé, mais l’inverse : le truc centralisé doit fournir la liste des gens recherchés (à arrêter, à surveiller) et les compagnies conserver suffisamment longtemps leurs données.
Les compagnies ont l’obligation de consulter le dossier des personnes recherchées et de communiquer les données de ces personnes.
Tout ouvrir, ça pue le lobbying à la con et la revente tôt ou tard de ces données.
#1.1
C’est une façon de cautionner et justifier la collecte des données par des entités non gouvernementale au motif non avoué de la libéralisation et du marché global et au prétexte communiqué très largement de lutte contre l’insécurité.