Les restrictions à la liberté de déplacement facilitées par les échanges numériques des données PNR

Les États ont toujours souhaité contrôler les entrées des personnes physiques sur leur territoire. La délivrance des passeports pour quitter un pays ou la délivrance des visas pour entrer et séjourner dans un pays tiers, sont des moyens de réguler ces flux migratoires. Des accords de réciprocité existent pour faciliter les migrations touristiques sans visa. Mais depuis les attentats du 11 septembre 2001 sur Manhattan, de nouvelles techniques de contrôle de ces flux de personnes physiques ont été rétablies, contrôles utilisant les échanges d’information numérisée612_.

Ce contrôle est réalisé, entre autres, à partir des données d’enregistrement des passagers des compagnies aériennes, mais aussi des réservations dans les hôtels. Le registre des données des passagers (ou en anglais PNR, pour Passenger Name Record) contient des données personnelles, recueillies par les agences de voyages ou les transporteurs, concernant tous les détails d’un voyage réalisé ou prévu par des personnes physiques : transports utilisés, horaires, transit et correspondances. L’utilisation des systèmes centraux de réservation est étendue à un grand nombre d’acteurs de l’industrie du voyage ou du tourisme : hôteliers, loueurs de véhicules, transporteurs maritime et terrestre, etc. Ces derniers, comme les compagnies aériennes, écrivent dans le registre des données passager des informations supplémentaires qui peuvent permettre d’établir un profil du passager quant à ses affiliations religieuses613 _{: repas}

casher, halal ou végétarien ; son état de santé : allergies, régimes, handicap ; ses ressources, etc. au travers de ses préférences, de ses demandes particulières ou celles des autres passagers

612 _{Didier Bigo, Rob B. J Walker, « 1. Le régime de contre-terrorisme global », dans Au nom du 11 septembre...Les}

démocraties à l'épreuve de l'antiterrorisme. Paris, La Découverte, « Cahiers libres », 2008, pp. 11-35. URL : https://www.cairn.info/au-nom-du--9782707153296-page-11.htm consulté le 14 février 2018.

613 _{Concernant l’échange des informations PNR avec les États-Unis, il faut relire l’avant-propos d’Alex Türk,}

président de la CNIL, dans le 28e _{rapport d’activité : « Bourrasque d’abord, qui vint de l’ouest, de la volonté du}

Gouvernement américain d’imposer un effet extraterritorial à ses lois sécuritaires. Ainsi, en vertu d’un accord conclu entre l’Union européenne et le Gouvernement des États-Unis en juillet 2007, tous les passagers aériens à destination des États-Unis et recourant aux services de compagnies aériennes européennes voient, au nom de la légitime lutte contre le terrorisme, leurs données désormais transférées à plus d’une douzaine d’administrations américaines. Ce transfert des données passagers (dites PNR en anglais) est effectué sans contrôle de la part des Européens, pour une durée de 15 ans, et peut entraîner des refus d’embarquement pour des personnes qui auront bien des difficultés à obtenir des explications et à faire valoir leurs droits. De surcroît, les données transférées peuvent "en cas de nécessité", appréciée souverainement par les autorités américaines, porter sur des informations "sensibles" telles que les préférences alimentaires des personnes, leur état de santé, leurs opinions politiques ou leur origine ethnoraciale. En dépit de l’opposition résolue du Parlement européen et des "CNIL" européennes, ce nouvel accord a été signé. Il a le goût amer de l’échec pour notre modèle qui entend concilier la liberté et la sécurité, sans sacrifier l’une à l’autre ».

Titre 1 La société numérique, un cadre hétérogène de protection des libertés

127

voyageant avec lui et de ses moyens de paiement. ‐n ‑rance, la loi du 23 janvier 2006614 _relative

à la lutte contre le terrorisme a contraint les compagnies ferroviaires, aériennes, maritimes à transmettre les données du registre des données des passagers à la police et à la gendarmerie, données qui peuvent être comparées avec le fichier des personnes recherchées (‑PR) ainsi qu’avec le système d’information Schengen (SIS).

La Directive 2004/82/C‐ du Conseil du 29 avril 2004615 _{concernant l’obligation pour les}

transporteurs de communiquer les données relatives aux passagers, adoptée sans l’avis du Parlement européen, qui se fonde sur l’accord de Schengen, règle aussi les échanges de données PNR, dans un but officiel de lutte contre le terrorisme d’une part, et d’autre part contre l’immigration illégale, en autorisant « l’utilisation de ces données comme élément de preuve

dans des procédures visant à l’application des lois et des règlements sur l’entrée et l’immigration, notamment des dispositions relatives à la protection de l’ordre public et de la sécurité nationale ». Le Parlement européen a adopté le registre des données des passagers616

le 14 avril 2016617_{, mais il a validé en parallèle un texte imposant des conditions strictes pour}

l’utilisation de ces données à des fins policières ou judiciaires618_{. Le même jour, le Parlement}

européen a également accepté619 _{le règlement relatif à la protection des personnes physiques à}

l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

614 _{Loi n}o _{2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses}

relatives à la sécurité et aux contrôles frontaliers, publiée au JOR‑ no20 du 24 janvier 2006 p. 1129.

615 _{Directive 2004/82/C‐ du Conseil du 29 avril 2004 concernant l’obligation pour les transporteurs de}

communiquer les données relatives aux passagers publiée au Journal officiel no L 261 du 06/08/2004 pp. 24 – 27.

616 _{Directive (U‐) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l’utilisation des}

données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière.

617 _{Parlement européen, Utilisation des données des passagers (UE-PNR), P8_TA (2016) 0127, texte adopté le 14}

avril 2016.

618 _{Parlement européen, Traitement des données à caractère personnel à des fins de prévention des infractions}

pénales, P8_TA(2016)0126, texte adopté le 14 avril 2016.

619 _{Parlement européen, Protection des personnes physiques à l’égard du traitement des données à caractère}

Ainsi, le Parlement européen a adopté deux textes importants620 _{concernant la protection des}

données personnelles avant de valider l’utilisation du registre des données passager621_.

Le transfert des données personnelles des passagers en provenance d’‐urope est exigé par les États-Unis depuis les attentats du 11 septembre 2001622_{. Le 8 octobre 2006, un accord portant}

sur le transfert de trente-quatre données personnelles par passager a été conclu entre l’Union européenne et les États-Unis. Cet accord a été renégocié et signé le 18 juillet 2007, suite à une décision d’annulation de l’accord initial par la Cour européenne de justice623_.

Ces échanges de données PNR ont permis à Israël d’interdire l’accès à son territoire de plusieurs ressortissants européens624_{. Ces échanges interétatiques permettent aux États de restreindre la}

liberté de déplacement en prévenant les compagnies aériennes qu’une personne physique donnée ne pourra pas descendre de l’appareil et devra être reconduite vers une autre destination. Ils posent le problème de la protection des données à caractère personnel. Ainsi, dans un document daté du 26 juillet 2017, sur 73 pages, la Cour de justice de l’Union européenne a formulé un avis négatif sur l’accord de PNR en cours de négociation entre l’Union européenne et le Canada625_{. Cet avis négatif est motivé pour incompatibilité avec la Charte des droits}

fondamentaux de l’Union européenne (articles 7, 8, 21 et 52 paragraphe 1) « en tant qu’il

n’exclut pas le transfert des données sensibles depuis l’Union européenne vers le Canada ainsi que l’utilisation et la conservation de ces données», qu’il ne prévoit pas « que les bases de données utilisées seront limitées à celles exploitées par le Canada en rapport avec la lutte

620 _{Règlement (U‐) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des}

personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

Directive (U‐) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des

personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil.

621 _{Directive (U‐) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l'utilisation des}

données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière.

622 _{Valsamis Mitsilegas, « 8. Coopération antiterroriste États-Unis/Union européenne : l'entente cordiale », dans}

Au nom du 11 septembre...Les démocraties à l'épreuve de l'antiterrorisme. Paris, La Découverte, « Cahiers

libres », 2008, pp. 118-130. URL : https://www.cairn.info/au-nom-du--9782707153296-page-118.htm consulté le 18 décembre 2017.

623 _{Cour de justice, grande chambre, arrêt du 30 mai 2006, Parlement européen c/ Commission et c. Conseil,}

affaires jointes C-317/04 et C-318/04, in Recueil, 2006, p. I- 04721.

624 _{« Israël interdit l’accès de son territoire à des centaines de militants pro-Palestiniens », France 24, 15 avril 2012,}

URL : http://www.france24.com/fr/20120415-israel-militants-pro-palestiniens-interdits-entree-cisjordanie-ben- gourion-bienvenue-palestine-tel-aviv consulté le 8 juin 2012.

625 _{Cour de justice de l’Union européenne, Avis 1/15 de la Cour (grande chambre) 26 juillet 2017, en ligne à}

Titre 1 La société numérique, un cadre hétérogène de protection des libertés

129

contre le terrorisme et la criminalité transnationale grave», qu’il ne limite pas « la conservation des données des dossiers passagers après le départ des passagers aériens à celles des passagers à l’égard desquels il existe des éléments objectifs permettant de considérer qu’ils pourraient présenter un risque en termes de lutte contre le terrorisme et la criminalité transnationale grave», qu’il ne soumet pas « la communication des données des dossiers passagers par l’autorité canadienne compétente aux autorités publiques d’un pays tiers à la condition qu’il existe soit un accord entre l’Union européenne et ce pays tiers équivalent à l’accord entre le Canada et l’Union européenne sur le transfert et le traitement de données des dossiers passagers», qu’il ne prévoit pas « un droit à l’information individuelle des passagers aériens en cas d’utilisation des données des dossiers passagers les concernant pendant leur séjour au Canada et après leur départ de ce pays» et qu’il ne garantit pas « que la surveillance des règles prévues par l’accord entre le Canada et l’Union européenne sur le transfert et le traitement de données des dossiers passagers, relatives à la protection des passagers aériens à l’égard du traitement des données des dossiers passagers les concernant, est assurée par une autorité de contrôle indépendante». Ainsi plutôt que faire reposer son avis sur la

directive 95/46/C‐ obsolète en 2018 ou sur le règlement (U‐) 2016/679 applicable en 2018, la Cour a préféré appuyer son avis sur le premier paragraphe du traité de l’Union européenne (traité de Lisbonne) qui reconnaît la valeur juridique de la Charte des droits fondamentaux de l’Union européenne626_{. Cette référence directe à la Charte des droits fondamentaux de l’Union}

européenne est novatrice, la Cour avait fait reposé l’invalidation de l’accord de Safe Harbor avec les États-Unis d’Amérique627 _{sur la directive 95/46/C‐ alors que la demande de décision}

préjudicielle portait sur l’interprétation, au regard des articles 7, 8 et 47 de la charte des droits

626 _{art. 6 du Traité de l’Union ‐uropéenne : « 1. L’Union reconnaît les droits, les libertés et les principes énoncés}

dans la Charte des droits fondamentaux de l’Union européenne du 7 décembre 2000, telle qu’adaptée le 12 décembre 2007 à Strasbourg, laquelle a la même valeur juridique que les traités.

Les dispositions de la Charte n’étendent en aucune manière les compétences de l’Union telles que définies dans les traités.

« Les droits, les libertés et les principes énoncés dans la Charte sont interprétés conformément aux dispositions générales du titre VII de la Charte régissant l’interprétation et l’application de celle-ci et en prenant dûment en considération les explications visées dans la Charte, qui indiquent les sources de ces dispositions.

« 2. L’Union adhère à la Convention européenne de sauvegarde des droits de l’Homme et des libertés fondamentales. Cette adhésion ne modifie pas les compétences de l’Union telles qu’elles sont définies dans les traités.

« 3. Les droits fondamentaux, tels qu’ils sont garantis par la Convention européenne de sauvegarde des droits de l’Homme et des libertés fondamentales et tels qu’ils résultent des traditions constitutionnelles communes aux États membres, font partie du droit de l’Union en tant que principes généraux. »

627 _{Cour de justice de l’Union européenne, Arrêt de la Cour (grande chambre) du 6 octobre 2015, Affaire C 362/14,}

fondamentaux de l’Union européenne et des articles 25, paragraphe 6, et 28 de la directive 95/46/C‐ et la validité de la décision 2000/520/C‐ de la Commission, du 26 juillet 2000, conformément à la directive 95/46. Il est à remarquer que la Cour ne remet pas en cause le principe de la transmission des données PNR au titre de la restriction de la liberté d’aller et venir, et accepte cette restriction au titre de la lutte contre le terrorisme et la grande criminalité.

Titre 1 La société numérique, un cadre hétérogène de protection des libertés

131