La CJUE impose des limites strictes au traitement des données des passagers aériens
Selon un jugement de la Cour de justice européenne, le traitement des données des passagers aériens par les Etats de l’UE doit être limité à ce qui est absolument nécessaire pour lutter contre le terrorisme. En outre, la plus haute juridiction européenne a clairement indiqué dans son arrêt de mardi que le traitement des données relatives aux vols à l’intérieur de l’UE était contraire au droit européen, dans la mesure où il n’y a pas de menace terroriste. Les données collectées devraient également être effacées au plus tard après six mois. Seules les données des personnes pour lesquelles il existe des indices de menaces terroristes ou de criminalité grave pourraient être conservées plus longtemps.
La directive PNR (Passenger Name Record) de l’Union européenne prévoit que les données des passagers aériens soient systématiquement traitées en grand nombre lors du franchissement d’une frontière extérieure de l’UE. Depuis 2018, les compagnies aériennes, les agences de voyage et les fournisseurs de voyages doivent transmettre aux autorités compétentes de nombreuses données personnelles sur les clients dans un format de données uniforme.
Cela doit permettre de prévenir et de détecter les infractions terroristes et autres formes graves de criminalité. Parmi la vingtaine de données enregistrées figurent notamment le nom, l’adresse, le numéro de téléphone, les informations de paiement, le siège et les bagages. Jusqu’à présent, les informations peuvent être conservées pendant cinq ans.
L’organisation belge Ligue des droits humains a porté plainte contre la manière dont la Belgique met en œuvre les règles de l’UE. Elle estime notamment que le droit au respect de la vie privée et à la protection des données à caractère personnel est violé. En outre, l’extension du système aux vols au sein de l’UE et au transport par d’autres moyens de transport que l’avion réintroduirait indirectement des contrôles aux frontières.
Les règles allemandes sont également concernées
En vertu de la législation belge, les compagnies aériennes, ferroviaires, de bus, de ferry et de voyage sont tenues de transmettre les données de leurs passagers voyageant au-delà des frontières nationales à un organisme central où sont représentés, entre autres, la police et les services secrets.
Le jugement dans l’affaire belge doit maintenant être rendu par un tribunal national et se conformer à l’arrêt de la CJCE. Après la décision de la CJCE, les règles belges devraient selon toute vraisemblance être contraires au droit européen.
Il en va probablement de même pour la transposition allemande de la directive européenne, puisque l’Allemagne a étendu les règles à tous les vols intra-européens. En 2020, le tribunal administratif de Wiesbaden et le tribunal d’instance de Cologne ont soumis à la CJUE des questions relatives à la directive PNR. Là encore, la CJUE doit notamment déterminer si la directive est compatible avec les droits fondamentaux au respect de la vie privée et familiale et à la protection des données à caractère personnel.
Surveillance en principe autorisée
Au vu de l’affaire belge, la CJCE constate tout d’abord que la directive est conforme aux parties pertinentes de la Charte européenne des droits fondamentaux. Dans le même temps, la Cour souligne que les règles constituent « indubitablement une ingérence grave » dans le droit au respect de la vie privée et familiale et dans la protection des données à caractère personnel.
Selon la CJUE, les pouvoirs doivent être interprétés de manière restrictive. Ainsi, la transmission, le traitement et la conservation des données en question pourraient être considérés comme limités à ce qui est absolument nécessaire pour lutter contre le terrorisme et la grande criminalité.
Cela signifie que le système mis en place par la directive PNR ne pourrait s’étendre qu’aux informations mentionnées dans l’annexe de la directive. Le système doit également être limité aux infractions terroristes et à la criminalité grave ayant un lien objectif avec le transport de passagers aériens. Les infractions mentionnées dans la directive, mais qui relèvent de la criminalité ordinaire dans le pays de l’UE concerné, ne devraient pas en faire partie.
Faux positif par automatisation
En outre, l’extension du système à une partie ou à l’ensemble des vols de l’UE devrait être limitée au strict nécessaire. La directive PNR ne pourrait être appliquée à tous les vols de l’UE transitant par un pays que si ce pays est confronté à une menace terroriste réelle, actuelle ou prévisible.
Dans ce contexte, le Tribunal souligne également le « nombre considérable » de faux positifs en 2018 et 2019, qui ont été générés par le traitement automatique des données. Des « règles claires et précises » devraient s’appliquer à la vérification manuelle effectuée ensuite par les collaboratrices et collaborateurs de l’unité de renseignements passagers. Ils doivent en outre pouvoir vérifier que le traitement automatisé ne présente pas un « caractère discriminatoire ».
La CJUE considère que la période de conservation de cinq ans est en contradiction avec les droits fondamentaux. Elle n’est « pas limitée au strict nécessaire » si aucun indice n’est apparu lors de la vérification préalable ou dans un délai de six mois.
En général, la CJUE souligne que la directive ne doit pas être utilisée pour renforcer les contrôles aux frontières et la lutte contre l’immigration illégale.
« Tous les pays de l’UE doivent maintenant limiter l’utilisation des données PNR, car elles sont trop envahissantes », a déclaré Estelle Massé de l’organisation de défense des droits civils Access Now. L’organisation ne s’est toutefois pas montrée entièrement satisfaite du jugement. « Compte tenu de l’impact de la directive PNR de l’UE sur les droits fondamentaux, qui a été confirmé par la Cour de justice, la loi aurait dû être annulée », a poursuivi Massé. (dpa / hcz)