« La liberté, ce bien qui fait jouir des autres biens », écrivait Montesquieu. Et Tocqueville : « Qui cherche dans la liberté autre chose qu’elle même est fait pour servir ». Qui s’intéresse aujourd’hui à la liberté ? A celle qui ne se confond pas avec le libéralisme économique, dont on mesure combien il peut être source de prospérité mais aussi d’inégalités et de contraintes sociales ? A celle qui fonde le respect de la vie privée et la participation authentique à la vie publique ? La liberté devrait être au cœur de la démocratie et de l’Etat de droit. En même temps, elle ne peut être maintenue et garantie que par la vigilance et l’action des individus. Ils ne sauraient en être simples bénéficiaires ou rentiers, ils doivent non seulement l’exercer mais encore surveiller attentivement ses conditions d’exercice. Tâche d’autant plus nécessaire dans une période où les atteintes qui lui sont portées sont aussi insidieuses que multiples.


samedi 29 juillet 2017

Accord UE / Canada sur le PNR : la CJUE résiste

Le 26 juillet juillet 2017, la Cour de justice de l'Union européenne a déclaré que l'accord entre l'Union européenne et le Canada portant sur l'échange des données relatives aux passagers aériens n'était pas compatible avec le traité de fonctionnement de l'Union européenne et la Charte des droits fondamentaux. 

L'Accord PNR UE/Canada


Ce qu'il est convenu l'"Accord PNR" (Passenger Name Record) a pour objet un transfert systématique et continu des données de l'ensemble des passagers aériens à une "autorité compétente canadienne", sans plus de précision.  L'annexe qui recense les données ainsi transmises ne compte pas moins de 19 rubriques, regroupant non seulement des informations sur le voyage stricto sensu mais aussi sur les programmes de fidélisation dont bénéficie le voyageur et, d'une manière générale, "toutes les coordonnées disponibles" (rubrique 7). Est également prévue la transmission des données OSI (Other Supplementary Information), terme pudique désignant les informations détenues par les services de renseignement, sans qu'aucune indication soit donnée sur la nature et l'étendue des données concernées. Dans tous les cas, les données PNR devraient être stockées durant cinq ans. 

L'avis de la CJUE


Observons d'emblée que la CJUE rend avis et non pas une décision de justice. Cette procédure est prévue par l'article 218 al. 11 du TFUE. Il permet au Parlement européen, saisi par le Conseil en vue d'une approbation de l'Accord, de demander à la CJUE de donner un avis sur sa compatibilité avec les traités. Cet avis s'analyse comme un avis conforme, car l'article 218 énonce que, s'il est négatif, "l'accord envisagé ne peut entrer en vigueur, sauf modification de celui-ci ou révision des traités".

Sur le fond, et c'est peut-être l'élément le plus remarquable de cet avis, la Cour se fonde sur la Charte des droits fondamentaux, désormais intégrée au TFUE. Ce n'est pas fréquent, car la Charte fait un peu figure de "parent pauvre" du corpus européen des libertés, tant le droit de la convention européenne des droits de l'homme exerce désormais une sorte d'hégémonie liée au fait qu'il est à la fois plus précis et plus étendu. En l'espèce, la CJUE se fonde donc sur l'article 7 de la Charte des droits fondamentaux qui énonce que "toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications". 

La CJUE effectue un contrôle proche de celui exercé par la CEDH. Elle commence par affirmer que "le transfert des données (…) et les règles de l’accord sur leur conservation et leur utilisation (…) comportent une ingérence dans le droit fondamental au respect de la vie privée". Elle recherche ensuite si cette ingérence est justifiée au regard des objectifs poursuivis. Sur ce point, elle note que l'objectif de sécurité et de lutte contre le terrorisme peut légitimement entraîner des ingérences "mêmes graves" dans les droits fondamentaux consacrés par la Charte. Sur ce point, la CJUE reprend, en formation non contentieuse, sa jurisprudence Digital Rights Irlande du 8 avril 2014. En revanche, elle considère que l'ingérence dans la vie privée entraînée par l'Accord PNR est excessive, dans la mesure où il ne prévoit pas avec suffisamment de précision le type de données stockées. 

Sur le fond, la décision n'est pas surprenante, et la lecture de la décision de la CJUE présente surtout l'intérêt de mettre en pleine lumière un Accord qui renonçait aux principes mêmes gouvernant le droit européen de la protection des données. 

video
Jacques Dutronc. L'hôtesse de l'air. 1970

Une solution de secours


Il est vrai que l'Accord UE/ Canada peut aussi être présenté comme une sorte de solution de secours, après l'échec du Safe Harbor. En effet, dans une décision du 6 octobre 2015, la CJUE avait déjà remis radicalement en cause un premier accord autorisant les transferts massifs de données personnelles, dont les données PNR, de l'Union européenne vers les Etats-Unis. A l'époque, à la suite d'un accord dit Safe Harbor passé en l'an 2000 entre le Département du commerce des Etats-Unis et la Commission, celle-ci avait pris une décision, le 26 juillet 2000, déclarant que le niveau de protection des données des Etats-Unis est d'un niveau équivalent à celui qui existe au sein de l'Union européenne. Aux yeux de la Commission, cette équivalence dans la protection justifiait donc des échanges massifs de données personnelles. Or c'est précisément cette équivalence que la Cour avait remis en question, estimant que le niveau de protection des données aux Etats-Unis était bien inférieur au niveau d'exigence européen. Cette décision d'octobre 2015 avait réduit à néant l'Accord UE/Etats Unis. En effet, la CJUE avait usé de son pouvoir d'invalidation, qui lui permet d'écarter l'application de la décision non seulement dans le droit de l'Etat qui est à l'origine du contentieux mais aussi dans l'ensemble des systèmes juridiques de l'Union européenne.

Certes, les négociations entre l'UE et le Canada avaient commencé bien avant l'invalidation de l'Accord avec les Etats-Unis, mais il ne fait aucun doute qu'elles ont été très rapidement relancées après la décision d'octobre 2015. En effet, le Canada joue le rôle d'un écran, dès lors que les données circulant entre l'UE et le Canada sont ensuite susceptibles d'être transférées dans un Etats tiers... les Etats-Unis évidemment. 

La ficelle était un peu grosse et la manoeuvre n'a pas échappé à la CJUE qui a donc réitéré un refus déjà exprimé il y a deux ans. Au-delà de la question du PNR, c'est en effet celle de la survie du standard européen qui était posée, les responsables européens semblant avoir abdiqué toute ambition et accepté se rallier à une conception anglo-saxonne beaucoup moins protectrice. A cet égard, la CJUE joue un peu le rôle de gardien des libertés et réaffirme la volonté européenne de conserver un haut niveau de protection de la vie privée.

Sur le profilage et le Big Data : Chapitre 8 section 5 du manuel de libertés publiques sur internet

1 commentaire:

  1. "Le diable est dans les détails" (Friedrich Nietzsche), c'est bien connu surtout dans les accords que négocie, et parfois, conclut l'Union européenne avec les grands partenaires occidentaux (Etats-Unis, Canada, Japon...). Alors que nous entrons de plain pied dans un monde orwellien (celui du "big data"), il est important pour le citoyen de disposer de quelques contre-pouvoirs efficaces dans sa bataille du pot de terre contre le pot de fer. Ils se présentent sous la forme d'un trépied classique pour les juristes.

    1. Une norme internationale incontestable

    Avec la convention européenne des droits de l'homme (du Conseil de l'Europe) et, plus récemment, avec la charte des droits fondamentaux (de l'Union européenne) moins connue du grand public, les citoyens membres de ces deux organisations européennes disposent de deux instruments juridiques incontestables (parfois contestés) auxquels ils peuvent se référer en cas d'épuisement des voies de recours internes. Deux précautions valent mieux qu'une.

    2. Une possibilité effective de recours

    Une norme sans une autorité en charge du constat de sa mise en oeuvre (légale ou illégale) ne présente pas le moindre intérêt pour le citoyen qui s'estime victime d'une violation du droit. C'est souvent le cas dans la société internationale où la violation d'un accord peine à être reconnue faute d'une autorité en charge de dire le droit. Avec un recours a priori et un recours a posteriori, le citoyen dispose d'une double sûreté en cas de problème.

    3. L'intervention d'un juge indépendant et impartial

    Dans le cas d'espèce, la Cour de justice de l'Union européenne joue un rôle essentiel pour contrôler la mise en oeuvre concrète de la norme par les Etats au quotidien, voire le sanctionner en cas de violation grave. Ce que les Etats apprécient modérément, convaincus qu'ils sont de détenir la vérité révélée. Ici, nous nous trouvons dans un autre cas de figure, celui de négociateurs européens qui ignorent le droit européen dont ils sont censés être le gardien et le défenseur scrupuleux dans le cadre de grandes négociations internationales. Ce qui ne manque pas de sel !

    Quelle meilleure conclusion que celle de Saint Bernard (et d'autres tant la paternité de cette citation est contestée) : "l'enfer est pavé de bonnes intentions".

    RépondreSupprimer