Traduction
C-1/15 - 69
Réponse de la Bulgarie
Affaire C-1/15*
Pièce déposée par:
République de Bulgarie
Nom usuel de l’affaire:
AVIS RENDU EN VERTU DE L’ARTICLE 218,
PARAGRAPHE 11, TFUE
Date de dépôt:
25 février 2016 (original)
[omissis]
1. INTRODUCTION
1
Le gouvernement bulgare a l’honneur de présenter les réponses écrites à la
troisième question, sous b) et c), à la quatrième question, sous a), ainsi qu’aux
cinquième, septième, huitième et neuvième questions figurant à la partie II des
questions posées en vue d’une réponse écrite dans l’affaire portant la référence
avis 1/15. Cette affaire a été introduite à la suite d’une demande d’avis du
Parlement européen fondée sur l’article 218, paragraphe 11, TFUE et portant sur
la compatibilité aux traités de l’accord envisagé entre le Canada et
l’Union européenne sur le transfert et le traitement de données des dossiers
passagers (ci-après l’«accord»).
II. TROISIÈME QUESTION
2
La troisième question, sous b) s’énonce comme suit:
«3. Conformément à la jurisprudence constante de la Cour, la protection du droit
fondamental au respect de la vie privée exige que les dérogations à la protection
* Langues de procédure: le français, le bulgare, le tchèque, le danois, le grec, l’anglais,
l’espagnol, l’estonien, le finnois, le croate, le hongrois, l’italien,
le lituanien, le letton, le maltais, le néerlandais, le polonais, le portugais,
le roumain, le slovaque, le slovène, l’allemand et le suédois.
FR
AFFAIRE C-1/15-69
des données à caractère personnel et les limitations de celle-ci s’opèrent dans les
limites du strict nécessaire 1.
[…]
b. Le projet d’accord prévoit le transfert et l’utilisation des données PNR de tous
les passagers aériens voyageant entre l’Union et le Canada sans qu’aucune
différenciation, limitation ou exception soit opérée en fonction de l’objectif
poursuivi. Quelle est la relation concrète entre la collecte et la conservation
des données PNR figurant à l’annexe du projet d’accord et l’objectif poursuivi
par ce projet? Dans quelle mesure les données PNR permettent-elles d’établir des
profils des passagers aériens? Peut-il être considéré que le projet d’accord est
limité au strict nécessaire ?»
3
Les données des dossiers passagers (Passenger Name Record, ci-après les «PNR»)
représentent les informations fournies par les passagers, lesquelles sont collectées
et conservées par les transporteurs aériens.
[Or. 3]
4
Le document de travail des services de la Commission SEC (2011) 133 final, du 2
février 2011 2, indique au point 2.2, intitulé «les données PNR et leur utilisation»,
que les données PNR peuvent être utilisées dans les domaines policier et
judiciaire:
en mode réactif: dans le cadre d’enquêtes, de poursuites, du
démantèlement de réseaux après qu’une infraction a été commise ;
en temps réel:
avant l’arrivée ou le départ de passagers dans le but de prévenir une infraction ou
de surveiller ou d’arrêter des personnes avant qu’une infraction soit commise ou
parce qu’une infraction a été commise ou est en train de l’être;
en mode proactif:
pour l’analyse et la définition de critères d’évaluation qui peuvent ensuite être
appliqués afin d’évaluer le risque que représentent les passagers avant leur arrivée
et avant leur départ.
5
Le point 2.2 du même document relève aussi que des obligations légales doivent
être imposées aux transporteurs aériens à cet égard pour plusieurs raisons.
6
Premièrement, les données PNR permettent aux services répressifs d’identifier des
personnes auparavant «inconnues» d’eux, c’est-à-dire jusque-là non soupçonnées
de participation à une infraction grave ou à un acte de terrorisme, mais dont
l’analyse des données indique qu’elles peuvent être impliquées dans une infraction
de cette nature et qu’elles devraient donc être soumises à un examen approfondi
par les autorités compétentes. L’identification de ces personnes aide les services
répressifs à prévenir et à détecter les infractions graves, y compris les actes de
1 – Voir arrêts Volker und Markus Schecke et Eifert, C-92/09 et C-93/09, EU:C:2010:662,
point 77; IPI, C-473/12, EU:C:2013:715, point 39; Digital Rights Ireland e.a., C-293/12
et C-594/12, EU:C:2014:238, point 52; Ryneš, C-212/13, EU:C:2014:2428, point 28,
ainsi que Schrems, C-362/14, EU:C:2015:650, point 92.
2 – Document accompagnant la proposition de directive du Parlement européen et du Conseil
relative à une approche commune de l’utilisation des données des dossiers passagers,
résumé de l’analyse d’impact.
2
AVIS RENDU EN VERTU DE L'ARTICLE 218, PARAGRAPHE 11, TFUE
terrorisme. À cet effet, lesdits services doivent utiliser les données PNR,
d’une part, en temps réel, pour les analyser au regard de critères d’évaluation
préétablis, qui indiquent les personnes jusque-là «inconnues» devant faire l’objet
d’un examen approfondi et, d’autre part, d’une manière proactive aux fins de
l’analyse et de la définition de critères d’évaluation.
7
Deuxièmement, après la commission d’une infraction, les données PNR aident les
services répressifs à prévenir et à détecter d’autres infractions graves, dont des
actes de terrorisme, et à enquêter sur celles-ci et à poursuivre leurs auteurs.
À cet effet, les services répressifs doivent utiliser les données PNR en temps réel,
pour les confronter à diverses bases de personnes «connues»
[Or. 4] et d’objets
recherchés. Ils doivent également en faire un usage réactif, pour rassembler des
preuves et, au besoin, trouver d’éventuels complices et démanteler des réseaux
criminels.
8
Enfin, l’examen des données PNR avant l’arrivée des passagers permet aux
services répressifs de procéder à une évaluation et de ne contrôler étroitement que
les personnes les plus susceptibles de représenter une menace pour la sécurité, sur
la base de critères d’évaluation objectifs et de l’expérience acquise. Cela facilite le
déplacement de tous les autres passagers et réduit le risque qu’ils soient soumis à
un contrôle fondé sur des critères illégaux, tels que la nationalité ou la couleur de
peau, que les services répressifs, et notamment les douaniers et gardes-frontières,
peuvent à tort associer à un risque pour la sécurité.
9
Conformément à l’article 1er du projet d’accord, ce dernier a pour objectif
d’assurer la sécurité et la sûreté du public.
10 Conformément à l’article 3, paragraphe 1, de l’accord envisagé, le Canada veille à
ce que l’autorité canadienne compétente traite les données PNR reçues
conformément audit accord uniquement à des fins de prévention et de détection
d’infractions terroristes ou de la criminalité transnationale grave, ou d’enquêtes ou
de poursuites en la matière.
11 À notre avis, le projet d’accord peut être considéré comme étant limité au strict
nécessaire.
12 Comme le relève la Cour elle-même, le droit à la protection des données
à caractère personnel n’apparaît toutefois pas comme une prérogative absolue,
mais doit être pris en considération par rapport à sa fonction dans la société 3.
13 L’article 8, paragraphe 2, de la charte des droits fondamentaux de
l’Union européenne (ci-après : la « Charte ») autorise ainsi le traitement des
données à caractère personnel si certaines conditions sont réunies. À cet égard,
ladite disposition prévoit que les données à caractère personnel «doivent être
traitées loyalement, à des fins déterminées et sur la base du
[Or. 5] consentement
3 – Arrêt Volker und Markus Schecke et Eifert (C-92/09 et C-93/09, EU:C:2010:662, point 48).
3
AFFAIRE C-1/15-69
de la personne concernée ou en vertu d’un autre fondement légitime prévu par la
loi» 4.
14 L’utilisation d’informations sur les passagers, collectées par les transporteurs
aériens, est un important instrument permettant de prévenir, d’établir les
infractions et d’enquêter sur celles-ci, ainsi que d’en poursuivre les auteurs.
L’analyse des données PNR aide à identifier les passagers à haut risque, jusque-là
inconnus des autorités compétentes, dans le contexte de la lutte contre le
terrorisme, le trafic de drogue, la traite des êtres humains, l’exploitation sexuelle
des enfants et autres infractions graves. En l’espèce, comme nous l’avons relevé
plus haut, l’accord est axé sur les infractions terroristes ou les infractions
transnationales graves.
15 Il ressort de la jurisprudence de la Cour que constitue un objectif d’intérêt général
de l’Union la lutte contre le terrorisme international en vue du maintien de la paix
et de la sécurité internationales. Il en va de même de la lutte contre la grande
criminalité afin de garantir la sécurité publique. Par ailleurs, il convient de relever,
à cet égard, que l’article 6 de la Charte énonce le droit de toute personne non
seulement à la liberté, mais également à la sûreté 5.
16 Dans l’Union européenne (ci-après : l’«UE») et d’autres régions du monde,
la dernière décennie a connu une hausse de la grande criminalité et de la
criminalité organisée. Parallèlement, les terroristes et les organisations terroristes
sont établis tant dans l’UE qu’en dehors de celle-ci.
17 La grande inquiétude que la violence brutale exercée par l’organisation terroriste
E.I.I.L. (État islamique d’Iraq et du Levant) suscite pour la sécurité mondiale
a conduit l’Organisation des Nations Unies à recommander en 2014 aux États de
modifier leur législation pénale 6.
18 La menace terroriste issue des djihadistes d’Europe ralliant l’E.I.I.L ne cesse de
croître. Ils voyagent librement depuis leurs États membres de résidence, traversent
le territoire de l’UE pour être intégrés dans les organisations terroristes
[Or. 6]
afin de participer à la préparation et à la mise en œuvre d’attaques terroristes, à
l’instar de djihadistes provenant d’autres groupes terroristes similaires.
Leur participation aux violences en Syrie et en Irak augmente indubitablement
l’intensité, la durée et la cruauté du conflit. Ces citoyens de l’UE représentent
non seulement une menace sérieuse pour leurs États d’origine, pour les États
par lesquels ils transitent pour rejoindre les zones de conflit, mais aussi pour les
États par lesquels ils transitent pour rentrer chez eux.
4 – Arrêt Volker und Markus Schecke et Eifert (C-92/09 et C-93/09, EU:C:2010:662, point 49).
5 – Arrêt Digital Rights Ireland e.a. (C‑293/12 et C‑594/12, EU:C:2014:238, point 42)
6 – Résolution 2178 (2014) du Conseil de sécurité des Nations Unies adoptée le
24 septembre 2014.
4
AVIS RENDU EN VERTU DE L'ARTICLE 218, PARAGRAPHE 11, TFUE
19 Toutes les analyses et les évaluations montrent clairement que les agissements de
la criminalité organisée impliquent le plus souvent des déplacements
internationaux, généralement orientés vers la traite des êtres humains, le trafic de
produits illégaux stupéfiants ou autres, que le terrorisme revêt un caractère
transfrontière accentué et que les itinéraires des terroristes franchissent un
grand nombre de frontières nationales.
20 Une réponse effective, efficace et opportune à ces graves provocations exige une
méthode adéquate, systématique et proactive. L’analyse des données PNR est un
instrument particulièrement important dans l’identification des personnes
préparant et commettant des infractions transfrontières graves et des attentats
terroristes. Cet instrument est déjà utilisé avec succès à des degrés divers par les
services de sécurité et les services répressifs de la plupart des États.
21 La proposition de directive du Parlement européen et du Conseil relative
à l’utilisation des données des dossiers passagers pour la prévention et la détection
des infractions terroristes et des formes graves de criminalité, ainsi que pour les
enquêtes et les poursuites en la matière (ci-après: la «proposition de directive
relative à l’utilisation des données des dossiers passagers») 7 fait partie d’un vaste
programme visant à garantir une meilleure protection des citoyens européens face
à la menace qui pèse sur leur sécurité.
22 À l’heure actuelle, il est nécessaire de réglementer l’obtention et le traitement des
données PNR non seulement dans la perspective de l’adoption par les
États membres de l’UE et par l’OTAN de mesures de lutte contre le terrorisme
international et d’autres infractions graves, mais aussi pour protéger les frontières.
[Or. 7]
23 Dans le document de travail susmentionné des services de la Commission SEC
(2011) 133 final, il est également indiqué qu’une utilisation à la fois proactive et
en temps réel des données PNR permet aux services répressifs de contrer la
menace que représentent la grande criminalité et le terrorisme sous un angle
différent, par rapport au traitement d’autres catégories de données à caractère
personnel.
24 Selon une jurisprudence constante, le principe de proportionnalité, qui fait partie
des principes généraux du droit de l’Union, exige que les moyens mis en œuvre
par un acte de l’Union soient aptes à réaliser l’objectif visé et n’aillent pas au-delà
de ce qui est nécessaire pour l’atteindre 8.
25 À notre avis, les mesures envisagées dans le projet d’accord sont aptes à réaliser
l’objectif poursuivi. Elles sont donc appropriées. En même temps, elles ne
dépassent pas les limites du strict nécessaire.
7 – COM (2011) 32 final.
8 – Arrêt Volker und Markus Schecke et Eifert (C 92/09 et C 93/09, EU:C:2010:662, point 74)
5
AFFAIRE C-1/15-69
26 Tous les États membres souhaitent renforcer la sécurité.
27 Aux termes de la troisième question, sous c), la Cour souhaite déterminer:
«Quelles sont les règles du droit de l’Union permettant d’apprécier la légalité de la
collecte des données PNR par les transporteurs aériens à des fins commerciales
sur le territoire de l’Union, dont notamment la collecte des données sensibles
mentionnées dans le projet d’accord?»
28 Sur la base de l’article 4, paragraphe 1, du projet d’accord, l’UE veille à ce que les
transporteurs aériens ne soient pas empêchés de transférer des données PNR
à l’autorité canadienne compétente en exécution dudit accord.
29 En vertu du paragraphe 2 de cet article, le Canada n’exige pas d’un transporteur
aérien qu’il fournisse des éléments de données PNR qu’il n’a pas encore
collectées ou dont il n’est pas encore entré en possession à des fins de réservation.
30 Conformément à l’article 4, paragraphe 3, de l’accord envisagé, le Canada
supprime dès réception toute donnée qui lui a été transférée par un transporteur
aérien, en vertu dudit accord, si cet élément de données ne figure pas dans la liste
de l’annexe.
[Or. 8]
31 Conformément à l’article 16, paragraphe 2, de l’accord, le Canada limite l’accès
à un nombre restreint de fonctionnaires expressément habilités à cet effet. Sur la
base de l’article 16, paragraphe 3, le Canada dépersonnalise les données PNR
par masquage des noms de tous les passagers trente jours après leur réception par
le Canada. L’article 16, paragraphe 3, prévoit également que deux ans après la
réception des données PNR par le Canada, le Canada les dépersonnalise en outre
par masquage des éléments énumérés dans la disposition.
32 En vertu de l’article 12 de l’accord envisagé, le Canada veille à ce que toute
personne puisse accéder à ses données PNR.
33 Les transporteurs aériens collectent les données PNR à des fins commerciales
qui leur sont propres. Les informations préalables sur les passagers
(Advance Passenger Information – API), qui par définition font partie des données
PNR, comportent les éléments suivants: le numéro et le type de document utilisé,
la nationalité, le nom complet, la date de naissance, le point de passage frontalier
utilisé pour entrer sur le territoire des États membres, le code de transport;
les heures de départ et d’arrivée du transport; le nombre total des personnes
transportées; le point d’embarquement initial.
34 Le droit d’action de l’UE dans le domaine de la sécurité est consacré aux
articles 82 et 87 de la partie V «L’espace de liberté, de sécurité et de justice»
du TFUE.
6
AVIS RENDU EN VERTU DE L'ARTICLE 218, PARAGRAPHE 11, TFUE
35 Puisque la plupart des infractions graves, telles que le trafic de drogue ou la traite
des êtres humains, impliquent à un moment donné des déplacements
internationaux, il est primordial que les autorités recueillent, traitent et échangent
des données PNR pour accroître la sécurité intérieure de l’Union. Vu le droit de
libre circulation des personnes dans l’espace Schengen, il est indispensable que
tous les États membres aient recours aux données PNR pour éviter toute lacune en
matière de sécurité. Par ailleurs, une action au niveau de l’UE permettra
d’harmoniser les dispositions relatives à la protection des données, de réduire les
coûts et d’accroître la sécurité juridique pour les transporteurs.
36 Le point 3.1 («objectifs politiques») du document de travail des services de la
Commission SEC (2011) 133 final indique l’objectif général de la politique de
l’UE de la collecte des données PNR, à savoir le renforcement de la sécurité
intérieure de l’UE, dans le respect du droit à la protection des données à caractère
personnel et d’autres droits fondamentaux.
[Or. 9]
Les objectifs spécifiques indiqués sont les suivants: (1) Prévenir et réduire les
activités terroristes et les autres infractions graves, en adoptant une approche
globale de l’utilisation des données PNR et en évitant toute lacune en matière de
sécurité.
(2) Garantir le respect du droit des personnes à la protection des données à
caractère personnel les concernant lors de la collecte et du traitement des données
PNR, en facilitant l’échange des données PNR entre les autorités compétentes et
en s’assurant que l’accès à ces données est limité au strict nécessaire.
(3) Assurer aux transporteurs une sécurité juridique et réduire les coûts qu’ils
supportent, en rapprochant les diverses exigences juridiques et techniques qui leur
sont imposées.
37 Le 2 février 2011, la Commission a adopté la proposition de directive relative à
l’utilisation des données des dossiers passagers 9. Cette proposition se fonde sur
l’article 82, paragraphe 1, sous d) et sur l’article 87, paragraphe 2, point a), TFUE.
38 Le 25 janvier 2012, la Commission a fait une proposition en vue du paquet global
dans le domaine de la protection des données, qui se compose de: la proposition
de règlement général relatif à la protection des données 10, destinée à remplacer la
directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995,
relative à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel et à la libre circulation de ces données 11 ;
la proposition de directive relative à la protection des personnes physiques à
9 – COM (2011) 32 final.
10 – Proposition de règlement du Parlement européen et du Conseil relatif à la protection des
personnes physiques à l’égard du
traitement des données à caractère personnel et à la libre
circulation de ces données (règlement général sur la protection des données,
COM/2012/011 final.
11 – JO 1995, L 281 pp. 31 à 50.
7
AFFAIRE C-1/15-69
l’égard du traitement des données à caractère personnel par les autorités
compétentes à des fins de prévention et de détection des infractions pénales,
d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales,
et à la libre circulation de ces données 12, destinée à remplacer la décision-cadre
2008/977/JAI du Conseil, du 27 novembre 2008, relative à la protection des
données à caractère personnel traitées dans le cadre de la coopération policière et
judiciaire en matière pénale 13.
39 Conformément aux informations publiques 14 , le Conseil a approuvé, le 4
décembre 2015, le texte de compromis arrêté de commun accord avec le
Parlement européen sur la proposition
[Or. 10] de directive relative à l’utilisation
des données des dossiers passagers. L’Irlande et le Royaume-Uni de
Grande-Bretagne et d’Irlande du nord ont décidé d’appliquer cette directive.
Le Danemark n’y participera pas. Après le vote sur dossier au sein de la
commission des libertés civiles, de la justice et des affaires intérieures du
Parlement européen et après la rédaction par les juristes-linguistes, la directive
sera soumise au Parlement européen pour un vote en première lecture et au
Conseil pour adoption. Une fois la directive adoptée, les États membres
disposeront d’un délai de deux ans pour mettre en vigueur les dispositions
législatives, réglementaires et administratives nécessaires pour s’y conformer.
40 Pour établir l’existence d’une ingérence dans le droit fondamental au respect de la
vie privée, il importe peu que les informations relatives à la vie privée concernées
présentent ou non un caractère sensible ou que les intéressés aient ou non subi
d’éventuels inconvénients en raison de cette ingérence 15.
41 L’article 8 de la proposition de directive du Parlement européen et du Conseil
relative à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel par les autorités compétentes à des fins de
prévention et de détection des infractions pénales, d’enquêtes et de poursuites
en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces
données règlemente le traitement portant sur des catégories particulières de
données à caractère personnel. Cette disposition prévoit que le traitement de
données à caractère personnel révélant l’origine raciale ou ethnique, les opinions
politiques, les convictions religieuses ou philosophiques, l’appartenance
syndicale, ainsi que le traitement des données génétiques ou biométriques dans
l’unique but d’identification, ou des données concernant la santé ou la vie sexuelle
et les orientations sexuelles n’est autorisé que lorsqu’il est absolument nécessaire
et moyennant des garanties appropriées pour les droits et libertés des personnes
concernées. Ainsi, le traitement des données à caractère personnel n’est autorisé
que si: a) il est autorisé en vertu du droit de l’Union ou du droit des
12 – COM (2012) 10 final.
13 – JO 2008, L 350, pp. 60 à 71.
14 – http://www.consilium.europa.eu/fr/press/press-releases/2015/12/04-eu-passenger-name-
record-directive
15 – Arrêt Digital Rights Ireland e.a. (C‑293/12 et C‑594/12, EU:C:2014:238, point 33)
8
AVIS RENDU EN VERTU DE L'ARTICLE 218, PARAGRAPHE 11, TFUE
États membres; ou b) il est nécessaire à la sauvegarde des intérêts vitaux de la
personne concernée ou d’une autre personne; ou c) il porte sur des données
manifestement rendues publiques par la personne concernée.
42 Dans la mesure où il est possible d’extraire des données PNR que les transporteurs
aériens collectent conformément aux règles de l’organisation internationale de
l’aviation civile
[Or. 11] (International Civil Aviation Organization –ICAO)
des informations qui doivent être définies comme étant sensibles, la proposition de
réglementation de l’UE admet aussi le traitement de telles données aux fins qui
sont indiquées dans l’accord envisagé entre l’UE et le Canada, dans le respect des
exigences et des garanties correspondantes.
III. QUATRIÈME QUESTION
43 Conformément à la quatrième question, sous a):
«En ce qui concerne l’accès à des données à caractère personnel par des autorités
publiques et leur utilisation ultérieure par celles-ci, la jurisprudence de la Cour
exige que la règlementation en cause prévoie les conditions matérielles et
procédurales y afférentes. L’accès aux données en cause et leur utilisation
ultérieure doivent être strictement restreints à des fins précisément définies et
susceptibles de justifier l’ingérence que comportent tant l’accès que l’utilisation
de ces données. En particulier, la Cour a exigé que l’accès aux données en cause
par une autorité compétente soit subordonné à un contrôle préalable effectué soit
par une juridiction, soit par une entité administrative indépendante dont la
décision vise à limiter l’accès aux données et leur utilisation à ce qui est
strictement nécessaire aux fins d’atteindre l’objectif poursuivi et intervient à la
suite d’une demande motivée de ces autorités 16.
a. Les transporteurs aériens sont-ils, en droit et en pratique, tenus de fournir
l’accès aux données PNR de manière systématique ou uniquement sur demande de
l’autorité canadienne compétente?[…]».
44 S’agissant du point a) de cette question, nous relevons que, conformément à
l’article 148, alinéa 1, sous d), de la loi canadienne en vigueur sur l’immigration et
la protection des réfugiés, l’obligation des transporteurs de fournir les données
PNR est systématique.
[Or. 12]
IV. CINQUIÈME QUESTION
45 La cinquième question posée est libellée comme suit:
16 – Arrêt Digital Rights Ireland e.a., C-293/12 et C-594/12, EU:C:2014:238, points 61 et 62
ainsi que Schrems, C-362/14, EU:C:2015:650, point 93.
9
AFFAIRE C-1/15-69
«Quels sont les critères objectifs permettant à la Cour d’apprécier la question de
savoir si la durée de conservation de cinq ans, prévue à l’article 16 du projet
d’accord, est limitée au strict nécessaire? Notamment, les parties sont invitées
à préciser quels sont les critères objectifs permettant de considérer que les données
PNR doivent être conservées au-delà de la durée du séjour envisagé par les
personnes ayant voyagé par voie aérienne depuis l’Union vers le Canada».
46 La nécessité de conserver des données PNR dépassant la durée du séjour envisagé
par les personnes se justifie par le fait qu’il pourrait être nécessaire que des
contrôles supplémentaires soient effectués et, le cas échéant, que les autorités
compétentes adoptent des actes appropriés.
47 Les données PNR sont utilisées pour l’analyse et la définition de critères
d’évaluation qui peuvent ensuite être appliqués afin d’évaluer le risque que
représentent les passagers avant leur arrivée et avant leur départ. Pour effectuer
cette analyse de pertinence pour les infractions terroristes et les infractions graves,
il est nécessaire de prévoir une durée de conservation des données par les services
répressifs qui soit proportionnée.
48 Ci-dessus, aux points 6 à 8, nous avons décrit les utilisations possibles des
données PNR, qui justifient la nécessité de les collecter. Nous estimons que cette
information est également pertinente pour la présente question.
49 S’agissant du délai de conservation de cinq années, prévu à l’article 16 du projet
d’accord, nous relevons que l’article 12 de la proposition de directive relative
à l’utilisation des données des dossiers passagers fixe le même délai de
conservation. Plus concrètement, il prévoit que les données sont tout d’abord
conservées pendant une période de six mois, à l’issue de laquelle elles sont
masquées et conservées pendant une nouvelle durée de quatre années et demi,
en respectant la procédure stricte d’accès aux données complètes.
[Or. 13]
V. SEPTIÈME QUESTION
50 Selon la septième question posée, la Cour souhaite comprendre:
«Dans quelle mesure les articles 6, 18 et 19 du projet d’accord permettant
respectivement la communication de données PNR et des données analytiques à
des autorités européennes et la divulgation des données PNR à d’autres autorités
publiques au Canada et à des autorités d’autres pays tiers répondent-ils
aux exigences découlant de la jurisprudence citée sous II. 4.?
En particulier, s’agissant de la divulgation des données PNR à des autorités
d’autres pays tiers, dans la mesure où le respect de la règle figurant à l’article 19,
paragraphe 1, sous e), du projet d’accord, est confié à une autorité canadienne et
où les pays tiers auxquels les données PNR peuvent être divulguées ne sont pas
déterminés à l’avance, cette règle peut-elle être considérée comme effective?
10
AVIS RENDU EN VERTU DE L'ARTICLE 218, PARAGRAPHE 11, TFUE
51 Conformément à l’article 19, paragraphe 1, de l’accord envisagé,
«le Canada veille à ce que l’autorité canadienne compétente ne communique
pas des données PNR aux autorités publiques de pays autres que les
États membres de l’Union européenne, sauf si les conditions suivantes sont
remplies:[…] e) l’autorité canadienne compétente est convaincue que: i) l’autorité
étrangère destinatrice des données PNR applique des normes de protection de
celles-ci équivalentes à celles prévues dans le présent accord, conformément aux
accords et aux arrangements contenant ces normes; ou ii) l’autorité étrangère
applique les normes de protection des données PNR dont elle a convenu avec
l’Union européenne».
52 Selon nous, le fait que le respect de la règle figurant à l’article 19, paragraphe 1,
sous e), du projet d’accord, est confié à une autorité canadienne et que les pays
tiers auxquels les données PNR peuvent être divulguées ne sont pas déterminés
à l’avance, ne remet pas en question le caractère effectif de cette règle.
Nous défendons cette thèse en raison du contenu de l’article 19, paragraphe 1,
du projet d’accord, ainsi que du fait que chaque cas particulier donnera lieu à une
appréciation concrète.
[Or. 14]
VI. HUITIÈME QUESTION
53 La huitième question s’énonce comme suit:
«L’article 14, paragraphe 2, du projet d’accord prévoit que ‘toute personne qui
estime que ses droits ont été enfreints par une décision ou une mesure en rapport
avec ses données PNR dispose d’un recours judiciaire effectif conformément au
droit canadien sous forme de contrôle judiciaire, ou de toute autre voie de
recours[.. ]».
Eu égard à cette dernière possibilité, peut-il être considéré qu’un contrôle
juridictionnel est effectivement garanti?»
54 L’article 14 de l’accord envisagé réglemente les voies de recours administratives
et judiciaires. À notre avis, le texte de l’article 14, paragraphe 2, du projet
d’accord doit être compris en ce sens que le Canada doit parallèlement mettre à la
disposition des personnes aussi bien un recours judiciaire effectif que d’autres
voies de recours. Ce sont les personnes intéressées qui décident librement
d’invoquer l’une ou l’autre de ces voies de recours. Par conséquent, la possibilité
d’un contrôle judiciaire effectif est garantie.
55 L’importance de la prévisibilité dans de tels accords et le rôle majeur des autorités
compétentes rendent indispensables des informations préalables dans des cas
déterminés.
56 À cet égard, il convient de souligner l’article 30, paragraphe 2, de l’accord
envisagé, en vertu duquel le Canada notifie par la voie diplomatique à la
11
AFFAIRE C-1/15-69
Commission européenne, avant l’entrée en vigueur dudit accord, l’identité des
autorités suivantes: a) l’autorité canadienne compétente visée à l’article 2,
point d); et b) l’autorité publique indépendante ainsi que l’autorité créée par des
moyens administratifs visées à l’article 10 et à l’article 14, paragraphe 1.
Le Canada notifie sans délai toute modification à cet égard.
57 De cette manière, il existe à tout moment des informations claires et fiables
relatives à l’autorité concernée qui donnent l’assurance que des mécanismes
effectifs de contrôle sont garantis.
[Or. 15]
VII NEUVIÈME QUESTION
58 Conformément à la neuvième question, la Cour demande:
«Dans quelle mesure le projet d’accord inclut-il des règles qui visent à faciliter
la coopération entre les autorités judiciaires ou équivalentes des États membres
dans le cadre des poursuites pénales et de l’exécution des décisions
[Article 82, paragraphe l, sous d) TFUE]?»
59 La coopération entre l’UE et les États tiers n’existe incontestablement pas avant
cette coopération entre les États membres, en particulier dans le cadre des
poursuites pénales et de l’exécution des décisions. En ce sens, il existe déjà
des mécanismes appropriés en vue d’une telle coopération effective entre les
États membres.
60 Nous souhaiterions illustrer le fait que le Canada est prêt à se montrer coopératif
en ce qui concerne la protection des données à caractère personnel.
Conformément à l’article 9, paragraphe 4, du projet d’accord, le Canada veille à
ce que l’autorité canadienne compétente informe rapidement la Commission
européenne de tout incident grave d’accès, de traitement ou de perte, fortuit,
illégal ou non autorisé, concernant des données PNR. Conformément au
paragraphe 5 du même article, le Canada veille à ce que toute violation de la
sécurité des données, entraînant notamment la destruction fortuite ou illégale, la
perte fortuite, la modification, la divulgation ou l’accès non autorisés, ou toute
autre forme illégale de traitement, fasse l’objet de mesures correctives efficaces
et dissuasives, éventuellement assorties de sanctions.
Elina Petranova
Maria Georgieva
Représentants en justice de la République de Bulgarie
12