La Cour de justice de l’Union européenne a rendu un avis au vitriol sur l’accord entre le Canada et l’Union européenne relatif au transfert et au traitement des données des dossiers passagers (PNR ou passenger name record). Explications des 74 pages de son avis.

Saisie par le Parlement européen, la CJUE a examiné ce matin l’accord adoubé par la Commission européenne visant à transférer des trains de données personnelles au Canada. Et ses conclusions sont limpides : «  l’accord PNR ne peut pas être conclu sous sa forme actuelle en raison de l’incompatibilité de plusieurs de ses dispositions avec les droits fondamentaux reconnus par l’Union. »

Imposé aux transporteurs aériens de passagers, il concerne toute une série d’informations : le nom des passagers aériens, des informations nécessaires à la réservation, les dates du voyage et l’itinéraire, des informations relatives aux billets, les groupes de personnes enregistrées sous le même numéro, les coordonnées du ou des passagers, des informations relatives aux moyens de paiement ou à la facturation, des informations concernant les bagages ainsi que des remarques générales à l’égard des passagers.

« Même si certaines des données PNR, prises isolément, ne paraissent pas pouvoir révéler des informations importantes sur la vie privée des personnes concernées, commente la Cour dans son avis, il n’en demeure pas moins que, prises ensemble, lesdites données peuvent, entre autres, révéler un itinéraire de voyage complet, des habitudes de voyage, des relations existant entre deux ou plusieurs personnes ainsi que des informations sur la situation financière des passagers aériens, leurs habitudes alimentaires ou leur état de santé, et pourraient même fournir des informations sensibles sur ces passagers »

La question fondamentale posée à la Cour revenait à savoir si ce transfert est dans les clous de la Charte sur les droits fondamentaux, en particulier l’article 7 qui garantit à toute personne le droit au respect de sa vie privée et familiale,  et l’article 8 qui consacre le droit à la protection des données à caractère personnel. Ce n’est pas un problème, mais une pluie de défaillances qui ont été dénoncées par les juges européens.

Une pluie de défaillances

La Cour a relevé ainsi que l’accord était mal bordé, n’encadrant « pas de manière suffisamment claire et précise la portée de l’ingérence dans les droits fondamentaux ». Quelques exemples : une des rubriques relatives aux données PNR transférées, vise les « informations disponibles sur les grands voyageurs et les programmes de fidélisation (billets gratuits, surclassement, etc.) » outre « toutes les coordonnées disponibles (y compris les informations sur la source) ». Selon la Cour, le « etc. » et cette mention « ne définissent pas de manière suffisamment claire et précise les données PNR à transférer », puisqu’ils ouvrent une liste non limitative de données pouvant être fichées, transférées, traitées.

Autre critique. Les autorités canadiennes peuvent se faire communiquer les « remarques générales, y compris les données OSI (Other Supplementary Information), les données SSI (Special Service Information) et les données SSR (Special Service Request) ». Une rubrique qualifiée poétiquement de « texte libre » par la Commission visant à inclure « toutes les informations supplémentaires », jugées utiles.

Seulement, la Commission européenne a cependant admis que dans ce flot, pouvaient entrer « l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale », ou des données concernant « l’état de santé ou la vie sexuelle d’une personne ». Soit des données sensibles qui ont fait tiquer la CJUE.

Les boites noires du PNR

Les données PNR adressées au Canada font d’abord l’objet d’un traitement automatisé « fondés sur des modèles et des critères préétablis et sur des recoupements avec diverses bases de données ». La Cour a estimé qu’en raison du risque d’erreur, ces traitements ne peuvent jamais permettre de fonder une décision des autorités canadiennes. Elle exige au contraire un traitement individualisé et personnel complémentaire, afin d’éviter une « justice » prédictive fondée sur les seuls algorithmes de détection des menaces.

Ajoutons que dans son tableau noir, si l’accord est calibré pour lutter contre le terrorisme et la criminalité grave, l’accord autorise le Canada à traiter les données PNR « au cas par cas », aux fins, respectivement, de « garantir la surveillance ou la responsabilité de l’administration publique » et « de se conformer à une assignation, un mandat ou une ordonnance émis par une juridiction ». Des termes jugés là encore trop vagues par la Cour qui leur reproche de ne pas répondre « au strict nécessaire pour atteindre l’objectif poursuivi par ledit accord ».

Des données non colmatées

D’autres reproches sont adressés alors que les données personnelles sont aspirées pour cinq ans par les services canadiens, masquées au bout de 30 jours ou suivant les cas de deux ans, mais démasquées au besoin.

L’accord autorise le Canada à transférer ces données à d’autres autorités relevant de pays tiers. Et le Canada a le pouvoir discrétionnaire « pour apprécier le niveau de protection garanti dans ces pays ». Pour la Cour, l’accord en l’état ne permet pas de garantir qu’un transfert de données à caractère personnel depuis l’Union vers un pays tiers puisse offrir un niveau équivalent de protection à celui en vigueur en Europe. 

Le même Canada a la possibilité de « divulguer toute information pour autant qu’il se conforme à des exigences et à des limites juridiques raisonnables [...], dans le respect de l’intérêt légitime de la personne concernée ». Face à ces expressions, la justice européenne dégomme un trop grand flou puisqu’on ne sait pas qui sont ces personnes ni quel sera l’usage des données PNR de l’ensemble des voyageurs concernés, alors qu’on sort ici du cadre de la lutte contre le terrorisme et des infractions graves.   

Transparence a minima

La question de la transparence et du droit à l’information a aussi été mise en exergue dans le long avis de la CJUE. L’accord ouvre aux passagers un droit d’accès et de rectification de leurs données PNR, mais il oublie de les informer du transfert de ces précieuses informations et de leur utilisation. « Cet accord se limite à prévoir (…) une règle de transparence faisant obligation à l’autorité canadienne compétente d’afficher sur son site Internet certains renseignements de nature générale relatifs au transfert des données PNR et à leur utilisation, et n’institue aucune obligation d’information individuelle des passagers aériens ». 

L’accord PNR prévoit évidemment un dispositif de contrôle. Mais là encore, des défauts sont constatés. Ce contrôle pourra être exercé par une « autorité publique indépendante » ou, stipule le document, par une « autorité créée par des moyens administratifs qui exerce ses fonctions de façon impartiale et qui a démontré son autonomie ». Cette formulation alternative n’est pas satisfaisante aux yeux de la CJUE. Elle « paraît permettre que ladite surveillance puisse, en partie ou en intégralité, être assurée par une autorité qui n’exerce pas sa mission en toute indépendance, mais qui est subordonnée à une autorité de tutelle, dont elle peut recevoir des instructions, et qui n’est donc pas à l’abri de toute influence extérieure susceptible d’orienter ses décisions. » 

« Étant donné que les ingérences que comporte l’accord envisagé ne sont pas toutes limitées au strict nécessaire et ne sont pas ainsi entièrement justifiées, la Cour en conclut que l’accord envisagé ne peut pas être conclu sous sa forme actuelle » résume la même CJUE dans un communiqué. L’accord devra maintenant être modifié pour suivre les diverses recommandations adressées dans cet avis.