Ceci est une version HTML d'une pièce jointe de la demande d'accès à l'information 'Documents relating to Opinion 1/15 of the Court (Grand Chamber) of 26 July 2017'.

 
Traduction 
Avis 1/15 - 35 
Observations de l’Estonie 
Affaire Avis 1/15* 
Pièce déposée par:  
la République d’Estonie 
Nom usuel de l’affaire:  
AVIS RENDU EN VERTU DE L’ARTICLE 218, PARAGRAPHE 
11, TFUE 
Date de dépôt:  
29 mai 2015 
 
MINISTÈRE DES AFFAIRES ÉTRANGÈRES 
 
Cour de justice 
Greffe 
Rue du Fort Niedergrünewald 
L-2925-Luxembourg 
Par e-Curia 
Le 29 mai 2015 n° 15.3/1980-1 
 
DEMANDE D’AVIS PRÉSENTÉE CONFORMÉMENT À L’ARTICLE 218, 
PARAGRAPHE 11, TFUE (AVIS 1/15) 
OBSERVATIONS ÉCRITES DU GOUVERNEMENT DE LA 
RÉPUBLIQUE D’ESTONIE 
concernant la demande d’avis 1/15,  
 

Langues de procédure: le français, le bulgare, le tchèque, le danois, le grec, l’anglais, 
l’espagnol, l’estonien, le finnois, le croate, le hongrois, l’italien, le lituanien, le letton, le 
maltais, le néerlandais, le polonais, le portugais, le roumain, le slovaque, le slovène, 
l’allemand et le suédois. 
 
FR 

AFFAIRE C-1/15 - 35 
présentées conformément aux dispositions de l’article 196, paragraphe 3, du 
règlement de procédure de la Cour 
signification des documents envoyés par la Cour par le biais d’e-Curia ou à 
l’adresse du ministère des affaires étrangères, Islandi väljak 1, 15049 Tallinn, 
Estonie [Or. 2] 
 
Table des matières 
 

Introduction ...................................................................................................... 3 
II  Recevabilité ..................................................................................................... 3 
III. 
Analyse juridique ......................................................................................... 4 
3.1 
Première question .................................................................................... 4 
3.1.1  Observations introductives .................................................................. 4 
3.1.2  Droit à la protection des données à caractère personnel et 
droit au respect de la vie privée et familiale ................................................... 4 
3.1.3  Justification de l’ingérence dans les droits garantis par 
l’article 16, paragraphe 1, TFUE et par les articles 7 et 8 de la 
Charte 6 
Toute limitation de l’exercice des droits et libertés reconnus 
par la Charte doit être prévue par la loi ..................................................... 6 
Contenu essentiel des droits garantis par la Charte ................................... 8 
Objectif d’intérêt général ............................................................................. 9 
3.1.4  Caractère proportionné de l’ingérence dans les droits 
garantis par l’article 16, paragraphe 1, TFUE et par les articles 
7 et 8 de la Charte .......................................................................................... 10 
Traitement des données de l’ensemble des personnes ............................... 11 
Critères suffisamment objectifs permettant de restreindre 
l’accès des autorités canadiennes aux données ......................................... 13 
Durée de conservation des données ........................................................... 15 
Autorité indépendante ................................................................................ 16 
3.2 
Deuxième question ................................................................................ 17 
3.2.1  La jurisprudence constante ................................................................ 18 
3.2.2  Finalité et contenu de l’accord .......................................................... 18 
3.2.3  Adoption d’une disposition spécifique comme base légale ............... 21 
IV  Conclusion ..................................................................................................... 23 
[Or. 3] 

 

AVIS RENDU EN VERTU DE L'ARTICLE 218, PARAGRAPHE 11, TFUE 

Introduction 

Le Parlement européen (ci-après également: le «Parlement») a présenté à la Cour 
de justice de l’Union européenne une demande d’avis afin que celle-ci contrôle 
l’accord envisagé entre l’Union européenne et le Canada sur le transfert et le 
traitement de données des dossiers passagers (ci-après également:  l’«accord 
envisagé» ou l’«accord») par rapport à sa compatibilité avec les traités. 

Plus précisément, le Parlement européen a posé les questions suivantes: 
1)  L’accord envisagé est-il compatible avec les dispositions des traités 
(article 16 TFUE) et la Charte des droits fondamentaux de l’Union 
européenne (articles 7, 8 et article 52, paragraphe 1) en ce qui concerne le 
droit des personnes physiques à la protection des données à caractère 
personnel? 
2)  L’article 82, paragraphe 1, point d), et l’article 87, paragraphe 2, point a), 
TFUE constituent-ils la base juridique appropriée de l’acte du Conseil 
portant sur la conclusion de l’accord envisagé ou cet acte doit-il se baser sur 
l’article 16 TFUE¸? 
II 
Recevabilité 

En vertu de l’article 218, paragraphe 11, TFUE, le Parlement européen peut 
recueillir l’avis de la Cour de justice sur la compatibilité d’un accord envisagé 
avec les traités. Selon la jurisprudence constante, la Cour peut être appelée à se 
prononcer, à tout moment, avant que le consentement de l’Union à être liée par 
l’accord soit définitivement exprimé. Tant que ce consentement n’est pas 
intervenu, l’accord reste un accord envisagé 1. 

L’accord a certes été signé le 25 juin 2014, mais la proposition – qui n’avait pas 
encore été adoptée – de décision du Conseil relative à la conclusion de l’accord a 
été soumise au Parlement européen le 7 juillet 2014. Par conséquent, 
conformément à la jurisprudence, il continue à s’agir d’un accord envisagé, étant 
donné que l’Union n’a pas exprimé de manière définitive son consentement à être 
liée par l’accord 2. [Or. 4] 

L’Estonie estime que la demande d’avis porte sur un accord envisagé, raison pour 
laquelle le Parlement européen peut soumettre à la Cour une demande d’avis afin 
de déterminer la compatibilité de cet accord avec les traités. Par conséquent, la 
demande d’avis est recevable. 
 1  Avis 1/94, EU: C:1994:384, point 12. 

Par exemple l’avis 2/00, EU:C:2001:664, où le protocole de Cartagena sur la prévention des 
risques biotechnologiques, déjà signé par l’Union et les États membres, a continué à être 
traité comme un accord envisagé, étant donné que la Commission n’avait pas encore fait de 
proposition au Conseil relative à la conclusion de l’accord. 
 
 


AFFAIRE C-1/15 - 35 
III.  Analyse juridique 
3.1 
Première question 
3.1.1  Observations introductives 

Dans sa demande d’avis, le Parlement fait valoir  qu’il n’y a pas de sécurité 
juridique s’agissant de la compatibilité de l’accord envisagé avec les traités, 
notamment avec l’article 16, paragraphe 1, TFUE et avec les articles 7, 8 et 52, 
paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne 
(ci-après également: la «Charte»), qui portent sur le droit des particuliers à la 
protection des données  à caractère personnel. C’est pourquoi le Parlement 
européen aimerait savoir si l’accord envisagé est compatible avec l’article 16 
TFUE et avec les articles 7, 8 et 52, paragraphe 1, de la Charte. 

L’Estonie estime que l’accord envisagé est compatible avec les traités et avec la 
Charte des droits fondamentaux de l’Union européenne. Tout d’abord l’Estonie 
examinera la question de savoir si l’accord envisagé affecte le droit à la protection 
des données à caractère personnel (article 16, paragraphe 1, TFUE et article 8 de 
la Charte) et/ou le droit au respect de la vie privée et familiale (article 7 de la 
Charte) (sous-section 3.1.2). Après cela, l’Estonie vérifiera si l’ingérence dans ces 
droits intervient sur une base légale, si elle  est justifiée et s’il n’est  pas porté 
atteinte au contenu essentiel des droits (sous-section 3.1.3). En dernier lieu, 
l’Estonie appréciera le caractère proportionné de cette ingérence par rapport à tous 
les griefs que le Parlement européen a fait valoir (sous-section 3.1.4). 
3.1.2  Droit à la protection des données à caractère personnel et droit au 
respect de la vie privée et familiale 

En vertu de l’accord envisagé, les données des dossiers passagers (ci-après 
également: «données PNR») doivent être transmises au Canada en vue d’assurer 
la sécurité et la sûreté du public (article 1er  de l’accord). Même si l’objectif de 
l’accord envisagé, indiqué à l’article 1er, est large, il est clairement limité par 
l’article 3, en vertu duquel le Canada doit utiliser les données PNR transmises 
uniquement à des fins de prévention et de détection d’infractions terroristes ou de 
la criminalité transnationale grave, ou d’enquêtes ou de poursuites en la matière. 
La protection des données à caractère personnel lors de la transmission de données 
PNR est d’une importance fondamentale, étant donné que le droit à la protection 
des données à caractère personnel résulte tant du traité que de la Charte des droits 
fondamentaux de l’Union européenne. [Or. 5] 

L’article 16, paragraphe 1, TFUE prévoit que toute personne a droit à la protection 
des données à caractère personnel la concernant. La Charte des droits 
fondamentaux de l’Union européenne prévoit de manière séparée le droit au 
respect de la vie privée et familiale (article 7) et le droit à la protection des 
données à caractère personnel (article 8). En vertu de l’article 8 de la Charte, toute 
personne a droit à la protection des données à caractère personnel la concernant et 

 

AVIS RENDU EN VERTU DE L'ARTICLE 218, PARAGRAPHE 11, TFUE 
ces données doivent être traitées loyalement, à des fins déterminées et sur la base 
du consentement de la personne concernée ou en vertu d’un fondement légitime 
prévu par la loi. De plus, l’article 8 de la Charte prévoit expressément le droit de 
toute personne d’accéder aux données collectées la concernant et d’en obtenir la 
rectification. Enfin, l’article 8 de la Charte exige que le respect des conditions 
précitées soit contrôlé par une autorité indépendante. Il est essentiel de garder à 
l’esprit que la protection des données à caractère personnel n’interdit pas le 
traitement des données, mais qu’elle constitue une protection contre un traitement 
illégal et/ou disproportionné des données. 
10  À cet égard, l’Estonie est d’accord avec le Parlement européen en ce sens que les 
données des dossiers passagers (données PNR) doivent être traitées comme des 
données à caractère personnel et que le transfert et la conservation de ces données 
de la manière prévue dans l’accord envisagé constituent un traitement de données 
à caractère personnel. En même temps, les données fournies en vertu de l’accord 
ne permettent de tirer des conclusions que concernant la vie privée d’un nombre 
limité de personnes dans un domaine déterminé et restreint. Ainsi, le traitement de 
ces données par les institutions compétentes ne permet d’obtenir des informations 
que concernant les données à caractère personnel et la vie privée des personnes 
qui utilisent les transports aériens en vue de voyager entre l’Union européenne et 
le Canada et, d’autre part, ces données ne permettent de tirer des conclusions que 
concernant les habitudes de voyage d’une personne et les circonstances y liées 
(par exemple les données relatives aux personnes voyageant en vertu de la même 
réservation, les préférences de siège d’une personne etc…). 
11  Indépendamment de l’effet limité du traitement des données PNR  prévu  par 
l’accord envisagé, la conservation des données PNR en vue de les rendre 
disponibles aux autorités nationales compétentes en cas de besoin peut 
directement et concrètement concerner la vie privée et, par là même, également les 
droits garantis par l’article 7 de la Charte. En même temps, étant donné que la 
conservation des données PNR intervient sur le fondement de l’accord envisagé, 
une telle conservation des données relève également du domaine de protection de 
l’article 16, paragraphe 1, TFUE et de l’article 8 de la Charte. Par conséquent, le 
traitement des données à caractère personnel prévu par l’accord envisagé constitue 
à la fois une ingérence dans la protection des données à caractère personnel et une 
ingérence dans le respect de la vie privée et familiale. [Or. 6] 
12  L’Estonie souligne que le droit au respect de la vie privé et à la protection des 
données à caractère personnel résultant de l’article 16, paragraphe 1, TFUE et des 
articles 7 et 8 de la Charte n’est pas absolu. Ci-dessous l’Estonie déterminera dans 
quelles conditions on peut limiter ce droit et elle appréciera si ces conditions sont 
remplies. 
 
 


AFFAIRE C-1/15 - 35 
3.1.3  Justification de l’ingérence dans les droits garantis par l’article 16, 
paragraphe 1, TFUE et par les articles 7 et 8 de la Charte 
13  Conformément  à l’article 52, paragraphe 1, de la Charte, toute limitation de 
l’exercice des droits et libertés reconnus par celle-ci doit être prévue par la loi et, 
dans le respect du principe de proportionnalité, des limitations ne peuvent être 
apportées à ces droits  et libertés que si elles sont nécessaires et répondent 
effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin 
de protection des droits et libertés d’autrui. Il convient donc d’apprécier si 
l’ingérence dans les droits garantis par l’article 16, paragraphe 1, TFUE et par les 
articles 7 et 8 de la Charte, qui est le corollaire de la transmission au Canada des 
données PNR prévue par l’accord envisagé,  est telle qu’elle porte atteinte au 
contenu essentiel de ces droits. En même temps, il convient de déterminer si une 
telle ingérence peut être justifiée par la sécurité publique et si la condition selon 
laquelle toute limitation de ces droits doit être prévue par la loi est remplie. 
Toute limitation de l’exercice des droits et libertés reconnus par la Charte doit 
être prévue par la loi 
14  Contrairement au Parlement européen, l’Estonie estime que la condition  selon 
laquelle «toute limitation de l’exercice des droits et libertés reconnus par la Charte 
doit être prévue par la loi» est remplie. 
15  Tout d’abord, l’Estonie attire l’attention sur l’article 52, paragraphe 3, de la 
Charte, qui prévoit que, dans la mesure où la Charte contient des droits 
correspondant à des droits garantis par la convention européenne de sauvegarde 
des droits de l’homme et des libertés fondamentales, leur sens et leur portée sont 
les mêmes que ceux que leur confère ladite convention. 
16  Les «Explications relatives à la Charte des droits fondamentaux» 3 constituent un 
moyen précieux pour la compréhension du sens et de la portée des droits prévus 
par la Charte et pour l’interprétation de celle-ci. Il résulte de l’article 7 des 
explications relatives à la Charte des droits fondamentaux que les droits garantis à 
l’article 7 correspondent à ceux qui sont garantis par l’article 8 de la CEDH. Par 
conséquent, [Or. 7]  les limitations susceptibles de leur être légitimement 
apportées  sont les mêmes que  celles tolérées dans le cadre de l’article 8  en 
question. En même temps, il est indiqué dans ces explications que l’article 8 de la 
Charte est notamment fondé sur l’article 8 de la CEDH. 
17  Il convient donc  de conclure que les articles de la Charte qui réglementent le 
respect de la vie privée et familiale et la protection des données à caractère 
personnel correspondent aux principes prévus par la CEDH et sont compatibles 
avec ceux-ci. L’Estonie estime que, dans la mesure où aux articles 7 et 8 de la 
 3  Explications relatives à la Charte des droits fondamentaux, JO C 303, du 
14 décembre 2007, p. 17 à 35, consultables sur Internet: 
http://eurlex.europa.eu/legal-content/ET/TXT/PDF/?uri=CELEX:32007X1214(01)&rid=4 

 

AVIS RENDU EN VERTU DE L'ARTICLE 218, PARAGRAPHE 11, TFUE 
chartre  correspondent des droits garantis par la CEDH, il est pertinent, lors de 
l’interprétation de la condition prévue à l’article 52, paragraphe 1, de la Charte, à 
savoir que «toute limitation … doit être prévue par la loi», de tenir également 
compte de la jurisprudence de la Cour européenne des droits de l’homme  en la 
matière. 
18  Lors de l’interprétation de l’article 8 de la Convention européenne des droits de 
l’homme, la CEDH a abouti à la conclusion que les mots «prévue par la loi» 
imposent non seulement que la mesure […] ait une base en droit interne, mais 
visent aussi la qualité de la loi en cause [qui] doit être accessible au justiciable et 
prévisible» 4. En vertu de cette jurisprudence qui comprend la condition visée par 
les termes «prévue par la loi» surtout dans un sens matériel et non formel, il est 
nécessaire de remplir avant tout les conditions suivantes: la mesure doit avoir une 
base légale dans le droit de l’Union, la mesure doit être accessible au justiciable et 
son effet doit être prévisible. 
19  L’Estonie estime que toutes les conditions précitées sont remplies ou peuvent 
l’être. L’accord envisagé a une base juridique pertinente dans le droit de l’Union 
(le choix de la base légale est traité par l’Estonie à la sous-section 3.2). L’accord 
est publié au Journal officiel de l’Union européenne et il est par ailleurs accessible 
à tous les destinataires du droit. Concernant la condition de la prévisibilité, il est 
nécessaire que l’accord envisagé soit rédigé «avec assez de précision pour 
permettre à l’individu – en s’entourant au besoin de conseils éclairés – de régler sa 
conduite» 5. L’accord envisagé doit par conséquent «offrir une certaine protection 
contre des atteintes arbitraires de la puissance publique aux droits garantis par 
[la convention de sauvegarde des droits de l’homme et des libertés 
fondamentales]. Or le danger d’arbitraire apparaît avec une netteté singulière là où 
un pouvoir de l’exécutif s’exerce [Or. 8]  en secret» 6. L’Estonie examine la 
question de savoir s’il existe des prescriptions claires et exhaustives régissant la 
conservation et l’utilisation des données PNR, s’il existe des critères suffisamment 
objectifs permettant de limiter l’accès de tiers aux données, indépendamment de 
l’existence d’une autorité de contrôle et de la durée de conservation des données 
(sous-section 3.1.4), et elle aboutit à la conclusion que les mesures prises par 
l’accord envisagé sont suffisamment claires, précises et proportionnées. Par 
conséquent, l’effet de la mesure envisagée est prévisible. Pour les raisons 
précitées, la condition prévue à l’article 52, paragraphe 1, de la Charte, relative à 
la «limitation des droits prévue par la loi», est remplie. 
 4  Arrêt de la Cour européenne des droits de l’homme du 4 mai 2000, 
affaire Rotaru/Roumanie, n° 2841/95, point 52, consultable sur: 
http://hudoc.echr.coe.int/sites/eng/pages/search.aspx?i=001-58586. 

Arrêt de la Cour européenne des droits de l’homme du 4 décembre 2008, affaire S et 
Marper/Royaume-Uni, n° s 30562/04 et 30566/04, point 95, consultable, sur 
http://hudoc.echr.coe.int/sites/eng/pages/search.aspx?i=001-90051. 

Arrêt de la Cour européenne des droits de l’homme du 4 mai 2000, affaire 
Rotaru/Roumanie, n° 2841/95, point 55, consultable sur: 
http://hudoc.echr.coe.int/sites/eng/pages/search.aspx?i=001-58586. 
 
 


AFFAIRE C-1/15 - 35 
Contenu essentiel des droits garantis par la Charte 
20  Afin qu’une  ingérence dans les droits garantis par l’article 16, paragraphe 1, 
TFUE et par les articles 7 et 8 de la Charte, qui est le corollaire de la transmission 
au Canada des données PNR prévue par l’accord envisagé, soit compatible avec 
l’article 52, paragraphe 1, de la Charte, il ne faut pas qu’il soit porté atteinte au 
contenu essentiel de ces droits. 
21  Le contenu essentiel des données PNR ne permet pas de tirer des conclusions très 
larges concernant la vie privée d’une personne. Aux points 1 à 19 de l’annexe à 
l’accord relatif à la transmission des données PNR entre l’Union européenne et le 
Canada, il y a des limites claires quant aux données pouvant être transmises sur le 
fondement de l’accord. De plus, l’article 4, paragraphe 3, de l’accord prévoit que 
les données qui ne sont pas comprises dans l’accord doivent être supprimées par 
l’autorité judiciaire compétente dès réception des données en question. En même 
temps, l’article 8 de l’accord prévoit des conditions et des limites claires pour 
l’utilisation de données sensibles en mettant en place des exigences strictes pour le 
traitement de telles données. Au vu du contenu de l’ensemble des données 
énumérées à l’annexe de l’accord envisagé,  il apparaît que les données PNR 
permettent aux autorités compétentes d’obtenir des informations sur les habitudes 
de voyage d’une personne. Le voyage et les éléments liés à celui-ci (par exemple 
les données des personnes voyageant en vertu d’une même réservation, les 
préférences de siège d’une personne etc…) ne permettent pas de tirer, concernant 
cette personne, des conclusions en ce sens que l’on pourrait parler d’une ingérence 
aussi importante dans le respect de la vie privée que celle dont il s’agissait dans 
les affaires jointes C-293/12 et C-594/12, Digital Rights Ireland 7 (ci-après: «arrêt 
Digital Rights Ireland»),  auquelles  le Parlement européen a fait référence à 
plusieurs reprises dans sa demande d’avis (points 47 et suiv. de la demande 
d’avis). [Or. 9] 
22  L’Estonie estime qu’il est essentiel de noter que l’arrêt Digital Rights Ireland avait 
pour objet la conservation, d’une ampleur très vaste, des données concernant les 
télécommunications des personnes, ce qui constitue une ingérence dans les droits 
fondamentaux plus importante que la transmission des données PNR. Les données 
relatives aux télécommunications permettent de connaître la fréquence des 
communications de l’abonné ou de l’utilisateur inscrit avec certaines personnes 
pendant une période donnée et de tirer des conclusions très précises concernant la 
vie privée des personnes dont les données ont été conservées, telles que les 
habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les 
déplacements journaliers ou autres, les activités exercées, les relations sociales de 
ces personnes et les milieux sociaux fréquentés par celles-ci 8. 
23  La conservation des données concernant les télécommunications constitue une 
ingérence d’une ampleur beaucoup plus grande également en raison du fait que, 
 7  Arrêt Digital Rights Ireland, C-293/12, EU:C:2014:238. 

Arrêt Digital Rights Ireland, EU:C:2014:238, points 26 à 27. 

 

AVIS RENDU EN VERTU DE L'ARTICLE 218, PARAGRAPHE 11, TFUE 
dans le domaine de la transmission des données, les personnes ont aussi  des 
attentes plus importantes en matière de respect de la vie privée, ce qui résulte du 
fait que, en matière de transmission des données, on ne dispose pas d’une 
identification des personnes permettant une certaine anonymité, ce qui a 
également donné lieu à une attente allant dans le sens d’une non-conservation des 
données. Lors de transports aériens, cette attente est cependant considérablement 
plus faible, étant donné que, s’agissant des passagers d’un vol, la constatation des 
données personnelles est nécessaire. 
24  Comme le traitement des données PNR ne permet pas aux autorités compétentes 
de se faire une idée de la vie quotidienne et des habitudes d’une personne, 
l’Estonie estime que l’ingérence dans les droits garantis par l’article 16, 
paragraphe 1, TFUE et par les articles 7 et 8 de la Charte, qui est le corollaire de la 
transmission au Canada des données PNR prévue par l’accord envisagé, ne porte 
pas atteinte au contenu essentiel de ces droits. 
Objectif d’intérêt général 
25  Afin qu’une ingérence dans les droits garantis par l’article 16, paragraphe 1, 
TFUE et par les articles 7 et 8 de la Charte, qui constitue le corollaire de la 
transmission au Canada des données PNR prévue par  le traité envisagé, soit 
compatible avec l’article 52, paragraphe 1, de la Charte, elle doit répondre à un 
objectif d’intérêt général. 
26  Comme l’Estonie l’a expliqué à la sous-section  3.1.2, l’objectif de l’accord 
envisagé est de garantir la sécurité et la sûreté du public. La Cour a confirmé que 
la lutte contre la criminalité grave afin de garantir la sécurité publique ainsi que la 
lutte contre le terrorisme international en vue du maintien de la paix et de la 
sécurité internationales [Or. 10]  constituent un objectif d’intérêt général de 
l’Union 9. La Cour a également souligné que la lutte contre la criminalité grave, 
notamment contre la criminalité organisée et le terrorisme, est d’une importance 
primordiale pour garantir la sécurité publique et son efficacité peut dépendre dans 
une large mesure de l’utilisation des techniques modernes d’enquête 10. 
27  Au vu de ce qui précède, l’Estonie estime que la transmission des données PNR 
au Canada, prévue par l’accord envisagé, correspond à un objectif d’intérêt 
général. 
28  En résumé, l’Estonie considère que les conditions prévues à l’article 52, 
paragraphe 1, de la Charte sont remplies: toute limitation de l’exercice des droits 
doit être prévue par la loi, l’ingérence dans les droits répond à un objectif d’intérêt 
général et ne porte pas atteinte au contenu essentiel des droits garantis par 
l’article 16, paragraphe 1, TFUE et par les articles 7 et 8 de la Charte. Ci-après 
l’Estonie analysera le caractère proportionné de l’ingérence en partant des doutes 
 9  Arrêt Digital Rights Ireland, EU:C:2014:238, point 42 et la jurisprudence citée. 
10 
Arrêt Digital Rights Ireland, EU:C:2014:238, point 51. 
 
 


AFFAIRE C-1/15 - 35 
exprimés par le Parlement européen dans la demande d’avis par rapport à la 
compatibilité de l’accord envisagé avec les traités. 
3.1.4  Caractère proportionné de l’ingérence dans les droits garantis par 
l’article 16, paragraphe 1, TFUE et par les articles 7 et 8 de la Charte 
29  Le principe de proportionnalité a été traité à de nombreuses reprises dans la 
jurisprudence de la Cour, selon laquelle le principe de proportionnalité exige que 
les actes des institutions de l’Union soient aptes à réaliser les objectifs légitimes 
poursuivis par la réglementation en cause et ne dépassent pas les limites de ce qui 
est approprié et nécessaire à la réalisation de ces objectifs 11. En vue de la réponse 
à la première question posée dans la demande d’avis, il est donc essentiel de 
vérifier si l’accord envisagé est conforme au principe de proportionnalité. 
30  Compte tenu de l’objectif de l’accord envisagé, qu’elle a examiné à la 
sous-section  3.1.2, l’Estonie aimerait souligner que la transmission des données 
PNR sert l’intérêt général. Compte tenu de la mobilité toujours  croissante des 
personnes et de la densité du trafic aérien, il est possible d’obtenir, par le biais des 
dossiers passagers, des informations précieuses en vue de prévenir des dangers et 
d’enquêter sur des infractions. Le trafic aérien permet tant aux personnes 
envisageant de commettre une infraction qu’aux auteurs [Or. 11] d’infractions de 
circuler rapidement entre les différentes destinations et le suivi du trafic aérien par 
le biais du traitement des données PNR est nécessaire afin d’identifier la 
circulation des auteurs potentiels ou effectifs d’infractions et de déterminer des 
modèles d’actes dangereux pour le public. 
31  La prévention, la recherche, la détection et la poursuite des infractions terroristes 
et des infractions internationales graves s’imposent à tout État membre, dans la 
mesure où, par le biais de ces infractions, les droits fondamentaux d’autres 
personnes risquent d’être atteints ou mis en péril. Le particulier a le droit de 
supposer que l’État le protège contre la criminalité et l’État a l’obligation de créer 
les conditions qui permettent d’empêcher la commission d’infractions. Toutes les 
infractions, notamment les infractions terroristes  ou les infractions 
transfrontalières graves, portent atteinte aux droits fondamentaux des particuliers, 
notamment au droit à la vie et à la santé. L’État a l’obligation d’utiliser tous les 
moyens appropriés afin d’assurer la protection nécessaire aux particuliers et il 
doit, en même temps, trouver un équilibre entre les différents droits fondamentaux 
– d’une part la protection du respect de la vie privée et des données à caractère 
personnel, d’autre part la protection des droits fondamentaux des personnes par le 
biais du maintien de l’ordre public, de la garantie de la sécurité publique et de la 
prévention de la criminalité. Il convient de noter que, en cas d’ingérence dans les 
droits fondamentaux, l’étendue du pouvoir d’appréciation du législateur de 
l’Union peut s’avérer limitée en fonction d’un certain nombre d’éléments, parmi 
lesquels figurent, notamment, le domaine concerné, la nature du droit en cause 
 11  Par exemple l’arrêt Digital Rights Ireland, EU:C:2014:238, point 46 et la jurisprudence 
citée; arrêt Afton Chemical, C-343/09, EU:C:2010:419, point 45 et la jurisprudence citée. 
10 
 

AVIS RENDU EN VERTU DE L'ARTICLE 218, PARAGRAPHE 11, TFUE 
garanti par la Charte, la nature et la gravité de l’ingérence ainsi que la finalité de 
celle-ci 12. 
32  La Cour a traité les dérogations à la protection des données à caractère personnel 
et les limitations  de celle-ci de manière détaillée dans l’arrêt  Digital Rights 
Ireland, dont il résulte que les dérogations à la protection des données à caractère 
personnel et les limitations de celle-ci doivent s’opérer dans les limites du strict 
nécessaire 13. En même temps il résulte de cet arrêt que la réglementation de 
l’Union doit prévoir des règles claires et précises régissant la portée  et 
l’application de la mesure en cause et imposant un minimum d’exigences de sorte 
que les personnes dont les données ont été conservées disposent de garanties 
suffisantes permettant de protéger efficacement leurs données à caractère 
personnel contre les risques d’abus ainsi que contre tout accès et toute utilisation 
illicites de ces données 14. 
33  Ci-après l’Estonie montrera que les restrictions  en matière de protection des 
données à caractère personnel  sont limitées au strict nécessaire et que l’accord 
envisagé prévoit des règles claires et précises permettant de protéger efficacement 
les données PNR contre les risques d’abus ainsi que contre tout accès [Or. 12] et 
toute utilisation illicites de ces données. L’Estonie analysera la conformité au 
principe de proportionnalité et aux conditions exposées dans l’arrêt Digital Rights 
Ireland en traitant un à un les griefs formulés par le Parlement européen dans sa 
demande d’avis s’agissant de la compatibilité de l’accord envisagé avec l’article 
16 TFUE et avec les articles 7 et 8 de la Charte des droits fondamentaux de 
l’Union européenne. 
Traitement des données de l’ensemble des personnes 
34  Au point i) de la demande d’avis, le Parlement européen fait grief du fait que 
l’accord envisagé s’applique à l’ensemble des personnes faisant usage de services 
de vols vers le Canada sans distinction selon que, oui ou non, les personnes dont 
les données sont traitées se trouvent dans une situation susceptible de donner lieu 
à des poursuites pénales. 
35  À cet égard, l’Estonie relève que la limitation de l’obligation de transmettre des 
données uniquement à la catégorie des personnes qui se trouvent, même 
indirectement, dans une situation susceptible de donner lieu à des poursuites 
pénales est pertinente dans l’hypothèse où le traitement des données a pour 
objectif la détection et la poursuite des infractions. Aux termes de l’article 3, 
paragraphe 1, de l’accord envisagé, l’objectif de la transmission des données PNR 
est cependant plus large et inclut  également la prévention et la détection 
d’infractions, raison pour laquelle on ne saurait appliquer l’exigence prévue dans 
l’arrêt Digital Rights Ireland, selon laquelle le traitement des données personnelles 
 12  Arrêt Digital Rights Ireland, EU:C:2014:238, point 47 et la jurisprudence citée. 
13 
Arrêt Digital Rights Ireland, EU:C:2014:238, point 52. 
14 
Arrêt Digital Rights Ireland, EU:C:2014:238, point 54. 
 
 
11 

AFFAIRE C-1/15 - 35 
exige qu’il y ait une raison indirecte de soupçonner ces personnes de commettre 
des infractions. 
36  Il est essentiel de garder à l’esprit que la détection et l’anticipation d’infractions 
relèvent du domaine de la prévention et que, dans ces cas de figure, il n’y a pas de 
mise en œuvre d’une procédure pénale concrète et, de manière générale, il n’est 
pas possible de soupçonner une personne, dans la mesure où la prévention est 
destinée à identifier les éventuels auteurs potentiels d’infractions et à constater les 
éventuelles infractions avant que les faits y relatifs n’aient eu lieu. La prévention 
ne fonctionne pas dans le cadre d’une  procédure pénale concrète, mais il s’agit 
d’un acte de prévention des autorités judiciaires dans le but de déterminer la 
survenance, à l’avenir, d’un risque potentiel pour l’ordre public et pour le public 
et de mettre en œuvre des mesures en vue de prévenir ce risque. 
37  La limitation de l’obligation de transmettre des données PNR s’agissant 
uniquement de certaines personnes créerait les bases pour une discrimination qui 
est cependant interdite en vertu de l’article 21 de la Charte des droits 
fondamentaux de l’Union européenne, [Or. 13] dans la mesure où, s’agissant de la 
prévention, il n’y a pas de critères objectifs qui permettraient de limiter la 
catégorie des personnes dont les données sont traitées. Si l’ensemble des critères 
englobait également le point de départ et la destination, l’origine et la nationalité 
des personnes ou toute  autre donnée, les personnes répondant à ces critères 
seraient automatiquement mises dans une position plus défavorable que les autres 
personnes. Dans cette hypothèse, l’objectif de la prévention ne serait pas non plus 
réalisé, car l’analyse des données peut également faire apparaître  des membres 
d’organisations criminelles que l’on n’avait a priori aucune raison de soupçonner 
de commettre  des infractions graves à partir de quelque critère que ce soit. Il 
apparaît donc que la création de critères complémentaires pour la collecte de 
données relatives aux personnes serait  à la fois discriminatoire et de nature à 
empêcher la réalisation de l’objectif fixé par l’accord. 
38  Dans ce cas, il peut arriver que soit considérée comme étant susceptible de mettre 
en péril l’ordre public toute personne qui voyage d’un lieu A à la destination B, 
mais pas la personne qui commence son voyage à l’endroit C. Compte tenu de la 
nature de la prévention, il n’est pas non plus possible de limiter la période 
concernant laquelle les données sont traitées, étant donné que cela créerait à 
nouveau une base pour la discrimination de certaines personnes: l’ingérence dans 
les droits fondamentaux des personnes voyageant pendant la période A serait plus 
importante que l’ingérence dans les droits fondamentaux des personnes voyageant 
au cours de la période B et cela soumettrait des personnes qui se trouvent dans la 
même situation à un traitement inégal,  tout en empêchant la réalisation de 
l’objectif de la prévention. 
39  Au vu de ce qui précède, l’Estonie estime que, en matière de données  PNR,  il 
n’est, compte tenu de la nature de la prévention, pas possible de restreindre la 
catégorie des personnes dont les données doivent être traitées, sans contrevenir à 
12 
 

AVIS RENDU EN VERTU DE L'ARTICLE 218, PARAGRAPHE 11, TFUE 
l’interdiction de discrimination. De plus, il convient de garder à l’esprit que, du 
point de vue de l’aspect de la protection des données à caractère personnel, les 
droits de la personne sont également mieux protégés par l’anonymisation prévue 
des données. La restriction de la catégorie des personnes n’est donc pas possible 
sans enfreindre l’interdiction de discrimination et elle n’est d’ailleurs pas 
absolument nécessaire, étant donné que la protection des données à caractère 
personnel est, de toute façon, déjà assurée grâce aux conditions prévues dans 
l’accord (voir, à cet égard, également l’analyse relative à la durée de conservation 
des données à caractère personnel). 
40  L’Estonie considère par conséquent que l’application générale de l’accord 
envisagé à l’égard de tous les voyageurs est fondée et conforme au principe de 
proportionnalité. [Or. 14] 
Critères suffisamment objectifs permettant de restreindre l’accès des autorités 
canadiennes aux données 
41  Au point ii) de la demande d’avis, le Parlement européen fait grief à l’accord 
envisagé de ne pas prévoir, de manière adéquate, des critères objectifs permettant 
de délimiter l’accès des autorités canadiennes aux données PNR. L’Estonie n’est 
pas d’accord avec ce point de vue. 
42  L’Estonie analysera la nature des critères objectifs permettant de délimiter l’accès 
des autorités compétentes à des fins de prévention, de détection ou de poursuites 
pénales concernant des infractions pouvant, au regard de l’ampleur et de la gravité 
de l’ingérence dans les droits consacrés aux articles 7 et 8 de la Charte, être 
considérées comme suffisamment graves pour justifier une telle ingérence. À cet 
égard, il est essentiel de noter que l’article 17 de l’accord envisagé prévoit 
l’obligation du Canada de journaliser et d’enregistrer toute opération de traitement 
des données PNR. 
43  Compte tenu de l’obligation, prévue à l’article 10 de l’accord envisagé, de créer 
une autorité indépendante qui surveille le traitement des données PNR et compte 
tenu de la possibilité donnée aux particuliers, en vertu de l’article 14, de faire 
appel à la justice en vue de l’appréciation de la légalité des opérations de 
traitement des données PNR, l’Estonie estime que l’accord envisagé a prévu 
suffisamment de mesures de protection afin d’assurer une utilisation ciblée des 
données transmises en vertu de l’accord uniquement en vue de la réalisation des 
objectifs définis. L’autorité indépendante créée par l’article 10 a, conformément à 
l’article 17, paragraphe 2, la possibilité d’obtenir  les informations collectées, 
relatives au traitement des données, en vue d’effectuer une surveillance destinée à 
contrôler entre autres la présentation des éléments à l’origine de l’opération de 
traitement des données. 
44  L’Estonie considère qu’il est également essentiel de noter qu’il convient de tenir 
compte  de la particularité de la prévention. En effet,  la prévention suppose en 
 
 
13 

AFFAIRE C-1/15 - 35 
général un traitement étendu des données afin d’obtenir les informations 
nécessaires concernant un péril potentiel. Au niveau de la phase de prévention, il 
n’est pas encore possible de dire de manière générale à quels critères correspond 
l’événement en vue de la prévention duquel les données sont traitées, étant donné 
que cela reviendrait à éviter une infraction déjà concrète et non pas à déterminer 
un danger potentiel. La détermination d’un événement théorique pouvant 
potentiellement avoir lieu à l’avenir et la prévention de la réalisation d’un tel 
événement supposent le traitement d’un grand nombre de données différentes, à 
partir desquelles il est, grâce à diverses technologies, possible de déterminer des 
modèles de comportement et d’action suspects que l’on peut ensuite examiner de 
manière plus approfondie. [Or. 15] 
45  Comme nous l’avons déjà indiqué ci-dessus, l’accord envisagé précise clairement 
que l’utilisation des données PNR est uniquement autorisée en vue des objectifs 
énumérés à l’article 3, paragraphe 1, de cet accord. De plus, l’article 3, 
paragraphe 2, de l’accord précise de manière suffisamment détaillée les termes 
utilisés pour déterminer le champ d’application de l’accord. 
46  Dans la demande d’avis, il est entre autres reproché à l’accord envisagé que la 
définition de la criminalité transnationale grave se réfère au droit canadien 
(point 78 de la demande d’avis). Il convient de noter que l’Union européenne n’a 
pas de compétence générale dans le domaine de l’harmonisation du droit pénal et 
l’article 83 TFUE prévoit certaines conditions qui doivent être remplies afin que 
l’Union puisse mettre en œuvre la compétence relative à l’harmonisation en 
matière d’infractions. En même temps, on peut, dans le droit  de l’Union, 
seulement établir des règles minimales relatives à la définition des infractions 
pénales et des sanctions dans des domaines de criminalité particulièrement grave 
revêtant une dimension transfrontière résultant du caractère ou des incidences de 
ces infractions ou d’un besoin particulier de les combattre sur des bases 
communes. Compte tenu de la compétence limitée de l’Union, il y a, dans les 
États membres, de nombreuses infractions concernant lesquelles l’Union n’a pas 
pu prévoir et n’a donc pas prévu de quelconque condition. De plus, les sanctions 
des États membres peuvent être considérablement plus sévères que les règles 
minimales prévues par l’Union. Par conséquent, compte tenu de la compétence 
limitée de l’Union dans le domaine du droit pénal matériel et de la  variété au 
niveau du droit pénal existant au sein de l’Union, il n’est pas possible à l’Union de 
faire des prescriptions quant aux infractions et aux sanctions concernant lesquelles 
des données PNR peuvent être transmises au Canada. À cet égard il est essentiel 
que l’article 3 de l’accord prévoie des critères certains et objectifs en vertu 
desquels l’utilisation des données est autorisée. 
47  L’Estonie considère par conséquent que le fait que les infractions concrètes sont 
définies conformément au droit canadien est conforme à la compétence de l’Union 
dans le domaine du droit pénal et le fait d’aller plus loin que celle-ci irait à 
l’encontre du droit de l’Union. Par conséquent, l’exposé figurant au point 78 de la 
demande d’avis n’est pas pertinent. Compte tenu du champ d’application défini 
14 
 

AVIS RENDU EN VERTU DE L'ARTICLE 218, PARAGRAPHE 11, TFUE 
dans l’accord envisagé, qui est limité à la lutte contre les infractions terroristes et 
la criminalité transnationale grave, l’Estonie est d’avis que, en vue de la 
réalisation de ces objectifs, il est pertinent, nécessaire et justifié que les opérations 
de traitement relatives aux dossiers passagers aient comme corollaire une certaine 
ingérence dans la vie privée. [Or. 16] 
Durée de conservation des données 
48  Au point iii) de la demande d’avis, le Parlement européen fait grief du fait que, 
même si, dans l’accord envisagé, une durée de conservation de cinq ans a été 
fixée, il n’y a pas été précisé que la détermination de la durée de conservation était 
fondée sur des critères objectifs afin de garantir que celle-ci soit limitée au strict 
nécessaire. L’Estonie n’est pas d’accord avec ce point de vue. 
49  La Cour a expliqué que, du point de vue de la protection des droits fondamentaux, 
la durée de conservation des données est très importante 15. L’Estonie précise que 
l’accord envisagé prévoit des limites claires dans le temps pour ce qui concerne la 
conservation des données. Les données sont conservées sous forme personnalisée 
pendant 30 jour au plus (article 16, paragraphe 3). Même après la 
dépersonnalisation des données, il est possible de les relier à nouveau à une 
personne, l’accord envisagé prévoit à cet effet des délais clairs et des limites 
déterminées (article 16, paragraphe 4). Selon l’Estonie, tant les délais prévus à 
l’article 16, paragraphe 3, que ceux prévus à l’article 16, paragraphe 4, sont 
proportionnés et pertinents, compte tenu du champ d’application prévu à 
l’article 3, paragraphe 1, de l’accord. 
50  L’Estonie considère que la durée de conservation de cinq ans prévue pour les 
données PNR à l’article 16, paragraphe 1, est également pertinente. Les enquêtes 
relatives aux infractions graves exigent en général beaucoup de temps, raison pour 
laquelle il n’est pas forcément nécessaire d’utiliser les données PNR dans la phase 
initiale de la procédure pénale et cette nécessité peut apparaître à des étapes 
ultérieures de la procédure. Une durée de conservation trop réduite restreindrait de 
manière très importante les enquêtes en matière d’infractions graves, dans la 
mesure où, au moment requis, les données nécessaires ne seraient plus accessibles, 
ce qui ferait cependant obstacle aux enquêtes pénales. Étant donné qu’après 
l’écoulement d’un délai de 30 jours les données PNR sont conservées de manière 
dépersonnalisée, il y a eu création de critères complémentaires en vue de la 
protection des droits fondamentaux des personnes. 
51  La possibilité, pour une personne, de contrôler dans une certaine mesure le 
traitement de ses propres données est une des pierres angulaires de la protection 
des données, ce qui a également été souligné par la Cour 16. La Cour a jugé que les 
principes de la protection des données doivent trouver leur expression, d’une part, 
dans les obligations mises à la charge de ceux qui traitent des données et, d’autre 
 15  Arrêt Digital Rights Ireland, EU:C:2014:238, points 63 à 65. 
16 
Par exemple l’arrêt Rijkeboer, C-553/07, EU:C:2009:293. 
 
 
15 

AFFAIRE C-1/15 - 35 
part, dans les droits conférés aux personnes dont les données font l’objet d’un 
traitement. Afin de garantir les droits des personnes, elles doivent être informées 
sur le traitement, avoir la possibilité d’accéder à ces données et de 
demander [Or. 17]  leur rectification, voire  de  s’opposer à leur traitement dans 
certaines circonstances 17. 
52  L’accord envisagé prévoit plusieurs garanties en vue d’assurer  les droits  des 
personnes en matière de protection des données. Ainsi, le Canada a l’obligation de 
publier des renseignements relatifs aux règles en matière de traitement des 
données PNR (article 11) et de garantir la possibilité, pour les personnes, 
d’accéder de manière générale aux données les concernant faisant l’objet d’un 
traitement (article 12), le droit des personnes de corriger les données et de faire 
des annotations les concernant (article 13), ainsi que le droit des personnes de 
faire usage des voies de recours appropriées (article 14). L’accord envisagé 
confère donc aux personnes la possibilité de participer au traitement des données 
les concernant. 
53  Il résulte par conséquent de ce qui précède que, dans l’accord envisagé, ont été 
précisés des critères objectifs à partir desquels on peut déterminer la durée de 
conservation des données afin de garantir la limitation de celle-ci au strict 
nécessaire. L’Estonie estime par conséquent que, compte tenu de l’objectif de 
l’accord envisagé, la durée de conservation des données est pertinente et 
proportionnée. 
Autorité indépendante 
54  Au point iv) de la demande d’avis, le Parlement européen fait grief du fait que 
l’accord envisagé ne garantit pas que le respect des exigences de protection et de 
sécurité sera contrôlé par une autorité indépendante. L’Estonie n’est pas d’accord 
avec ce point de vue. 
55  Dans l’arrêt  Digital Rights Ireland, la Cour examine également le contrôle 
préalable du traitement des données à caractère personnel par une autorité 
indépendante 18. Le contrôle préalable effectué par une autorité indépendante est 
sans aucun doute une mesure efficace pour garantir la légalité du traitement des 
données. À cet égard, il convient cependant de garder à l’esprit qu’un contrôle 
préalable est possible dans deux cas de figure: ou bien dans le cadre d’une 
procédure concrète (par exemple une procédure pénale concrète, dans le cadre de 
laquelle les informations sont recueillies concernant une catégorie concrète de 
personnes) ou bien un contrôle préalable général doit déjà être effectué 
précédemment, avant l’élaboration d’une règlementation légale correspondante. 
Dans ce cas, les conditions fixées dans un acte juridique par le législateur 
fournissent la base pour des actes déterminés et la conformité de l’activité des 
autorités aux conditions peut faire l’objet d’un contrôle. [Or. 18] 
 17  Arrêt Rijkeboer, C-553/07, EU:C:2009:293, points 49 et 51. 
18 
Arrêt Digital Rights Ireland, EU:C:2014:238, point 62. 
16 
 

AVIS RENDU EN VERTU DE L'ARTICLE 218, PARAGRAPHE 11, TFUE 
56  L’Estonie signale que, en matière de prévention, il n’est pas possible d’obtenir une 
autorisation préalable pour tout acte et toute prise de renseignements, étant donné 
que, comme indiqué ci-dessus (sous l’analyse des critères objectifs), il n’est pas 
possible de définir de quelconques critères auxquels correspondent les données 
qui sont traitées. Par conséquent, une autorisation préalable donnée dans le cadre 
de la prévention pourrait uniquement être de nature générale et, dans ce cas, elle 
n’aurait pas de valeur ajoutée. Sont par conséquent suffisantes, à cet égard, les 
conditions définies par le législateur, en vertu desquelles il est permis de traiter les 
données PNR.  Le champ d’application de l’utilisation des données est limité à 
l’article 3 de l’accord. L’autorité compétente est définie conformément au droit 
interne canadien (article 16, paragraphe 2) et, dans le cadre de la détermination de 
l’autorité, le législateur canadien doit apprécier différents critères, auxquels 
l’autorité compétente doit correspondre. Ainsi est réalisé un contrôle préalable en 
vue de déterminer si l’autorité ayant le droit de traiter les données est conforme 
aux conditions prévues et si elle remplit les exigences qui lui sont imposées. 
57  À ce propos, il convient de souligner que l’accord envisagé remplit également la 
condition visée dans l’arrêt Digital Rights Ireland, selon laquelle le législateur doit 
clairement énoncer les conditions en vue de la protection de la sécurité des 
données 19. L’article 9 de l’accord prévoit des règles claires et détaillées sur la 
question de savoir quelles mesures il convient d’introduire afin de garantir la 
sécurité des données. 
58  L’accord envisagé garantit donc le contrôle, par une autorité indépendante, du 
respect des exigences de protection et de sécurité des données. 
59  En résumé, l’Estonie estime que, même si la transmission des données PNR 
prévue par l’accord envisagé constitue une ingérence dans le droit à la protection 
des données à caractère personnel (article 16, paragraphe 1, TFUE et article 8 de 
la Charte), ainsi que dans le droit au respect de la vie privée et familiale (article 7 
de la Charte), cette  ingérence  est justifiée et conforme au principe de 
proportionnalité. L’Estonie estime par conséquent que l’accord envisagé  est 
compatible avec l’article 16, paragraphe 1, TFUE et avec les articles 7, 8 et 52, 
paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne. 
[Or. 19] 
3.2 
Deuxième question 
60  En outre, le Parlement européen s’interroge sur le choix de la base juridique de 
l’acte du Conseil portant sur la conclusion de l’accord envisagé (points 99 et suiv. 
de la demande d’avis). Le Parlement européen s’est demandé si on peut considérer 
comme base juridique l’article 82, paragraphe 1, point d), et l’article 87, 
paragraphe 2, point a), TFUE qui portent sur la coopération judiciaire en matière 
pénale et sur la coopération policière ou s’il convient de considérer comme base 
 19  Arrêt Digital Rights Ireland, EU:C:2014:238, point 66. 
 
 
17 

AFFAIRE C-1/15 - 35 
juridique l’article 16 TFUE qui porte sur la protection des données à caractère 
personnel. 
61  L’Estonie fait valoir que la base juridique (l’article 82, paragraphe 1, point d), et 
l’article 87, paragraphe 2, point a), TFUE) de  l’acte du Conseil portant sur la 
conclusion  de l’accord envisagé a été correctement choisie. Ci-après, l’Estonie 
analysera l’objectif et le contenu de l’accord (sous-section  3.2.2) ainsi que la 
question de savoir quels sont les rapports entre les dispositions de l’article 82, 
paragraphe 1, point d) et de l’article 87, paragraphe 2, point a), TFUE, qui portent 
sur la coopération judiciaire en matière pénale et sur la coopération policière, et 
les dispositions de l’article 16 TFUE qui portent sur la protection des données à 
caractère personnel, en vue de déterminer lesquelles de ces dispositions sont les 
plus spécifiques (sous-section 3.2.3). 
3.2.1  La jurisprudence constante 
62  La question du choix de la base juridique a fait l’objet d’une importante 
jurisprudence de la Cour, en vertu de laquelle le choix de la base juridique doit se 
fonder sur des éléments objectifs, comme la finalité et le contenu, qui sont 
susceptibles d’un contrôle juridictionnel 20. La Cour a ajouté que, si l’examen 
d’une mesure démontre qu’elle poursuit deux fins ou qu’elle a deux composantes 
et si l’une de ces fins ou de ces composantes est identifiable comme principale 
tandis que l’autre n’est qu’accessoire, l’acte doit être fondé sur une seule base 
juridique, à savoir celle exigée par la fin ou la composante principale ou 
prépondérante 21. 
63  De plus, il résulte de la jurisprudence constante de la Cour que, lors du choix de la 
base juridique, il convient notamment de partir également du principe que, 
lorsqu’il existe, dans le traité, une disposition plus spécifique [Or. 20]  pouvant 
constituer la base juridique de l’acte en cause, celui-ci doit être fondé sur cette 
disposition 22. 
3.2.2  Finalité et contenu de l’accord 
64  Le Parlement européen estime (point 105 de la demande d’avis) que l’accord 
poursuit deux fins. Il résulte de l’article premier de l’accord que, dans celui-ci, les 
parties établissent les conditions régissant le transfert et l’utilisation des données 
des dossiers passagers en vue d’assurer la sécurité et la sûreté du public (première 
fin) et de prescrire les moyens par lesquels lesdites données sont protégées 
(deuxième fin). L’Estonie n’est pas d’accord avec ce point de vue. 
 20  Arrêt Parlement/Conseil, C-155/07, EU:C:2008:605, point 34 et la jurisprudence visée. 
21 
Arrêt Parlement/Conseil, C-155/07, EU:C:2008:605,  points 35 à 37 et la jurisprudence 
visée 
22 
Arrêt Parlement/Conseil, C-155/07, EU:C:2008:605, point 34 et la jurisprudence visée. 
18 
 

AVIS RENDU EN VERTU DE L'ARTICLE 218, PARAGRAPHE 11, TFUE 
65  L’objectif de l’accord figure en premier lieu à l’article premier de l’accord, mais 
l’objectif de celui-ci est également indiqué au cinquième considérant du 
préambule. Selon l’article premier de l’accord, les parties établissent les 
conditions régissant le transfert et l’utilisation des données des dossiers passagers 
en vue d’assurer la sécurité et la sûreté du public et de prescrire les moyens par 
lesquels lesdites données sont protégées. Au cinquième considérant du préambule, 
les parties reconnaissent que, pour préserver la sécurité publique et à des fins 
d’application de la loi, il convient d’établir des règles régissant le transfert des 
données PNR par des transporteurs aériens au Canada. Il résulte clairement de cet 
article ainsi que du considérant du préambule que l’objectif de l’accord n’est pas 
la protection des données à caractère personnel, comme l’affirme à tort le 
Parlement européen, mais l’assurance de la sécurité et de la sûreté du public ainsi 
que le maintien de l’ordre. 
66  Afin d’assurer la sécurité et la sûreté du public ainsi que le maintien de l’ordre, ce 
qui correspond à la réalisation de l’objectif de l’accord, les parties à l’accord 
établissent des conditions régissant le transfert et l’utilisation des données des 
dossiers passagers et prévoient les moyens par lesquels lesdites données sont 
protégées. Au quatrième considérant du préambule, les parties à l’accord 
reconnaissent expressément que le partage des informations est un élément crucial 
de la lutte contre le terrorisme et d’autres formes de criminalité transnationale 
grave, et que, dans ce contexte, l’utilisation de données des dossiers passagers 
constitue un instrument essentiel en vue de la réalisation de ces objectifs. L’accord 
envisagé voit donc dans le partage des données PNR surtout un instrument en vue 
de la réalisation des objectifs de l’accord. [Or. 21] 
67  Au deuxième considérant du préambule, les parties à l’accord reconnaissent 
l’importance de la prévention, de la répression et de l’élimination du terrorisme et 
des infractions liées au terrorisme, ainsi que des autres formes de criminalité 
transnationale  grave, et de la lutte contre ces phénomènes, dans le respect des 
droits et des libertés fondamentaux, notamment des droits au respect de la vie 
privée et à la protection des données. Il résulte clairement de ce considérant ainsi 
que de l’article premier de l’accord que la protection des droits et libertés 
fondamentaux, notamment le respect de la vie privée et la protection des données 
à caractère personnel, ne constitue pas l’objectif de la conclusion de l’accord, mais 
une condition de l’utilisation des données PRN. 
68  En résumé, l’Estonie considère que l’objectif de l’accord envisagé est surtout 
d’assurer la sécurité et la sûreté du public. Cet objectif est réalisé par la 
transmission et par l’utilisation des données PNR. Une condition essentielle pour 
la transmission des données PNR est la défense des droits et libertés 
fondamentaux, notamment des droits au respect de la vie privée et à la protection 
des données à caractère personnel, et, en vue de la réalisation de cette condition, 
l’accord prévoit les moyens nécessaires. 
 
 
19 

AFFAIRE C-1/15 - 35 
69  Même si l’on était d’accord avec le point de vue erroné du Parlement européen, 
selon lequel  l’accord envisagé poursuit deux fins, l’Estonie estime qu’il est 
essentiel de noter que, même dans ce cas, il convient de considérer l’une des fins 
de l’accord  –  assurer la sécurité et la  sûreté du public –  comme étant la fin 
principale et l’autre – prescrire les moyens par lesquels les données sont protégées 
– comme étant une fin accessoire à celle-ci. 
70  Il résulte du préambule de l’accord envisagé que le partage des informations est 
un élément crucial de la lutte contre le terrorisme, la criminalité connexe et 
d’autres formes de criminalité transnationale  graves, et que, dans ce contexte, 
l’utilisation de données des dossiers passagers constitue un instrument essentiel en 
vue de la réalisation de ces objectifs. Il en découle clairement que la protection 
des données à caractère personnel est plutôt une fin accessoire à la transmission 
des données PNR, dont l’objectif fondamental est la lutte contre le terrorisme et 
d’autres formes de criminalité transnationale grave. 
71  En tout cas, l’Estonie ne saurait être d’accord avec l’affirmation du Parlement 
européen, selon laquelle l’objectif principal de l’accord envisagé serait la 
protection des données à caractère personnel et du respect de la vie privée, alors 
que l’assurance de la sécurité et de la sûreté du public ne seraient que d’une 
importance accessoire. Exprimé de manière plus imagée, il convient de dire que 
l’accord envisagé n’est pas conclu en vue d’assurer les droits et libertés 
fondamentaux, notamment la protection du respect de la vie privée et des données 
à caractère personnel, mais de rendre possible la lutte contre le terrorisme et 
d’autres formes de criminalité transnationale graves et de transmettre, en vue de la 
réalisation de cet objectif, les données PNR. Comme des données aussi sensibles 
ne peuvent pas [Or. 22] être transmises dans n’importe quelles conditions, il est 
nécessaire de réglementer, dans l’accord, également les conditions de la 
transmission des données PNR d’une manière qui garantit les droits fondamentaux 
des personnes, notamment le droit à la protection des données à caractère 
personnel et au respect de la vie privée. Par conséquent, la protection des données 
ne saurait en aucune manière être considérée comme étant l’objectif principal de 
l’accord envisagé. 
72  De plus, l’Estonie attire l’attention également sur la communication de la 
Commission du 21 septembre 2010 23 relative à la démarche globale en matière de 
transfert des données des dossiers passagers (PNR) aux pays tiers. Il résulte de la 
section  3.1  de la communication que l’Union européenne a l’obligation de 
coopérer dans le cadre de la lutte contre le terrorisme et les formes graves de 
criminalité transnationale. L’une des formes de cette coopération est l’échange de 
données avec les pays tiers. La mise à disposition de données PNR à des fins 
répressives est en effet une mesure nécessaire à la lutte contre les périls précités. Il 
 23  Communication de la Commission du 21 septembre 2010 relative à la démarche globale en 
matière de transfert des données des dossiers passagers (PNR)  aux pays tiers, 
COM(2010)492 final, consultable sur Internet: 
http://eur-lex.europa.eu/legalcontent/ET/TXT/PDF/?uri=CELEX:52010DC0492&rid=8 
20 
 

AVIS RENDU EN VERTU DE L'ARTICLE 218, PARAGRAPHE 11, TFUE 
résulte par ailleurs du point 3.1 de la communication que l’UE est déterminée à 
garantir un niveau élevé et effectif de protection des données à caractère 
personnel, notamment en veillant à ce que toute transmission de données PNR à 
des pays tiers se fasse d’une manière sécurisée et conforme aux exigences de 
l’Union. Il résulte de la section 3.2 de la communication que, étant donné que la 
transmission, l’utilisation et le traitement des données PNR ont une incidence sur 
le droit fondamental des personnes à la protection de leurs données à caractère 
personnel, il est essentiel que l’Union ne collabore qu’avec les pays tiers qui sont 
en mesure de fournir un niveau adéquat de protection pour les données PNR en 
provenance de l’UE. 
73  Il résulte clairement de la communication de la Commission que la protection des 
données à caractère personnel n’est pas l’objectif principal des accords portant sur 
les PNR, mais que cette protection est nécessaire afin que les États puissent 
transmettre les données PNR et les échanger entre eux. En cas de transmission des 
données PNR, l’Union doit s’assurer que les droits fondamentaux des personnes, 
notamment le droit à la protection des données à caractère personnel, sont 
garantis. L’objectif principal de la transmission des données PNR est cependant de 
pouvoir efficacement lutter contre le terrorisme et d’autres formes de criminalité 
transnationale grave. Dans ce contexte, la protection des données à caractère 
personnel est une condition accessoire. 
74  Comme l’accord envisagé prévoit les conditions de la transmission et de 
l’utilisation des données PNR dans le but d’assurer la sécurité et la sûreté du 
public (objectif que l’Estonie a d’ailleurs rappelé de manière répétée), l’Estonie 
considère comme bases légales pertinentes [Or. 23]  les dispositions qui portent 
sur la coopération judiciaire en matière pénale et sur  la coopération policière, 
c’est-à-dire l’article 82, paragraphe 1, point d), et l’article 87, paragraphe 2, 
sous a), TFUE. 
3.2.3  Adoption d’une disposition spécifique comme base légale 
75  L’Estonie estime qu’il est essentiel de déterminer quel est le lien entre l’article 16 
TFUE, d’une part, et l’article 82, paragraphe 1, point d), et l’article 87, 
paragraphe 2, point a), TFUE d’autre part, notamment en vue de déterminer si 
l’une d’entre elles peut être considérée comme une disposition spécifique. 
76  Il résulte de l’article  16 TFUE que toute personne a droit à la protection des 
données à caractère personnel la concernant. Les articles 82 et 87 TFUE régissent 
la coopération judiciaire en matière pénale et la coopération policière. Il découle 
plus précisément de l’article 82, paragraphe 1, point d), TFUE que le Parlement 
européen et le Conseil adoptent des mesures visant à faciliter la coopération entre 
les autorités judiciaires ou équivalentes des États membres dans le cadre des 
poursuites pénales et de l’exécution des décisions. En vertu de l’article 87 TFUE, 
l’Union développe une coopération policière qui associe toutes les autorités 
compétentes des États membres, y compris les services de police, les services des 
 
 
21 

AFFAIRE C-1/15 - 35 
douanes et autres services répressifs spécialisés dans les domaines de la 
prévention ou de la détection des infractions pénales et des enquêtes en la matière. 
À cette fin, le Parlement européen et le Conseil peuvent établir des mesures 
portant notamment sur la collecte, le stockage, le traitement, l’analyse et l’échange 
d’informations pertinentes. 
77  Au vu du libellé de ces articles, on voit clairement que l’article 16  règle  de 
manière générale tout  ce qui est lié à la protection des données à caractère 
personnel, alors que les articles 82 et 87 prévoient des conditions concrètes pour la 
coopération judiciaire et la coopération policière, notamment pour la collecte, le 
stockage, le traitement, l’analyse et l’échange d’informations dans ce but. Étant 
donné que l’objectif de l’accord est d’assurer la sécurité du public, il est pertinent 
d’utiliser des dispositions plus  spécifiques  résultant des traités et permettant 
expressément la collecte, le traitement et l’échange des données à ces fins. 
78  L’Estonie considère par ailleurs que, pour que l’article 16 TFUE s’applique à 
l’accord envisagé, il n’est pas nécessaire qu’il soit présenté comme une base 
légale spécifique. Étant donné que l’article en question relève des dispositions du 
TFUE applicables de manière générale, l’exigence de la protection des données à 
caractère personnel s’applique également à l’accord envisagé si cette disposition 
n’est pas indiquée de manière spécifique  comme base légale. Il ne serait 
nécessaire de présenter cette disposition comme base légale spécifique que dans 
l’hypothèse où [Or. 24]  l’objectif principal de l’accord envisagé serait  la 
protection des données à caractère personnel. L’Estonie a cependant démontré 
ci-dessus que l’objectif de l’accord envisagé est d’assurer la sécurité et la sûreté 
du public et non pas la protection des données à caractère personnel,  qu’il est 
évidemment essentiel d’assurer  lors de la transmission des données PNR, mais 
qui,  en soi, n’est certainement pas l’objectif de l’accord envisagé. Comme le 
Parlement européen a, dans son analyse, abouti à la conclusion erronée que 
l’objectif principal de l’accord envisagé est la protection des données à caractère 
personnel, il a également abouti à la conclusion erronée, selon laquelle la base 
légale pertinente pour l’acte du Conseil portant sur la conclusion de l’accord 
envisagé est l’article 16 TFUE. 
79  En résumé, l’Estonie considère que, pour les motifs exposés ci-dessus, la base 
légale pertinente de l’acte du Conseil portant sur la conclusion de l’accord 
envisagé n’est pas l’article 16 TFUE, mais l’article 82, paragraphe 1, point d), et 
l’article 87, paragraphe 2, point a), TFUE. 
22 
 

AVIS RENDU EN VERTU DE L'ARTICLE 218, PARAGRAPHE 11, TFUE 
IV 
Conclusion 
80  L’Estonie estime que, au vu de ce qui précède, il convient de répondre comme suit 
aux questions posées par le Parlement européen: 
1)  L’accord envisagé est compatible avec les dispositions des traités (article 16 
TFUE) et la Charte des droits fondamentaux de l’Union européenne 
(articles 7, 8 et article 52, paragraphe 1) en ce qui concerne le droit des 
personnes physiques à la protection des données à caractère personnel. 
2)  L’article 82, paragraphe 1,  point d) et l’article 87, paragraphe 2, point a), 
TFUE constituent la base juridique appropriée de l’acte du Conseil portant 
sur la conclusion de l’accord envisagé. 
 
(Formule de politesse) 
Au nom du gouvernement de la République d’Estonie 
(sé) 
Kristi Kraavi-Käerdi 
Agent de la République d’Estonie auprès de la Cour de justice de l’Union 
européenne. 
 
 
23