LES BLOGUES

L’accord entre l’UE et le Canada sur les dossiers passagers : attention turbulences! - Antoine Guilmain, Antoire Aylwin et Karl Delwaide

Il est encore possible de redresser l’appareil, en modifiant l’accord conformément aux dispositions de la Charte des droits fondamentaux de l’Union européenne.

06/08/2017 08:00 EDT | Actualisé 06/08/2017 08:40 EDT
Flightlevel80 via Getty Images
Le transfert des données PNR vise à assurer la sécurité et la sûreté du public.

l'utilisation des données des dossiers passagers aériens (Passenger Name Record en anglais, ou « PNR »). La semaine dernière, le 26 juillet 2017, la Cour de justice de l'Union européenne a déclaré que l'accord envisagé ne pouvait pas être conclu, car il serait en l'état « incompatible » avec le respect de la vie privée et la protection des données à caractère personnel au sens de la Charte des droits fondamentaux européenne. Cela ne veut toutefois pas dire que cet accord est condamné à rester sur la « liste noire » ad vitam aeternam. En effet, si l'avis conteste plusieurs modalités du système PNR, il ne remet pas pour autant en question sa raison d'être. Autrement dit, l'accord UE / Canada est actuellement sur la « liste grise », mais pourrait encore prendre son envol...

Le transfert des données PNR vise à assurer la sécurité et la sûreté du public. Le préambule de l'accord envisagé souligne ainsi le souci de « combattre, réprimer et éliminer le terrorisme », ainsi que les « autres formes de criminalité transnationale grave », et que le partage des données PNR constitue « un instrument essentiel en vue de la réalisation de ces objectifs ». En contrepartie, le système PNR implique également un aspect de protection des données PNR, qui contiennent des « renseignements personnels ». À titre d'exemple, les données PNR comprennent le nom et les coordonnées du passager, les informations de réservation, les dates prévues du voyage ainsi que l'itinéraire, etc.

Dans ce contexte, l'objet de l'accord énonce clairement que l'Union européenne et le Canada « établissent les conditions régissant le transfert et l'utilisation des données PNR en vue d'assurer la sécurité et la sûreté du public et de prescrire les moyens par lesquels lesdites données sont protégées » (article 1). C'est là le nœud du problème, l'équilibre à trouver entre la composante « sécurité publique » et la composante « protection des données ». La Cour de justice de l'Union européenne note avec justesse que ces deux composantes « sont liées de façon indissociable », tout en présentant « un caractère essentiel ».

Sécurité publique : feu vert. La Cour relève que la sécurité publique est un objectif « d'intérêt général de l'Union » qui est « susceptible de justifier des ingérences, même graves » au respect de la vie privée et à la protection des données à caractère personnel. On peut même lire que « la protection de la sécurité publique contribue également à la protection des droits et des libertés d'autrui ». L'atteinte à la vie privée se limiterait aux voyages aériens entre le Canada et l'Union européenne, et l'accord contiendrait des dispositions sur la protection des données PNR. Dans ces conditions, tout semble indiquer que les ingérences de l'accord sont « susceptibles d'être justifiées par un objectif d'intérêt général [...] et ne sont pas de nature à porter atteinte au contenu essentiel des droits fondamentaux consacrés aux articles 7 et 8 de la Charte ». Voilà les propos de la Cour, porteurs de bon augure et pourtant peu représentatifs. En effet, malgré ce constat encourageant, l'accord PNR n'est pas dispensé de respecter un certain nombre de conditions en matière de protection des données.

Protection des données : feu rouge. La Cour relève toute une série d'incompatibilités en matière de protection des données PNR, dont voici les plus importantes. Tout d'abord, les données PNR ne sont pas définies de manière claire et précise dans l'accord. On utilise les expressions « etc. », « toutes les coordonnées disponibles », « toute information », jugées comme étant trop larges. De même, le transfert de données dites « sensibles » (concernant notamment l'origine raciale ou ethnique, les convictions religieuses, l'état de santé ou la vie sexuelle d'une personne) commande une « justification précise et particulièrement solide », qui fait défaut dans l'accord selon la Cour. Par ailleurs, étant donné que les données PNR sont généralement traitées de manière automatisée (par des algorithmes prédictifs notamment), encore faut-il s'assurer que ces méthodes soient fiables, spécifiques et non discriminatoires. Des recherches récentes font état des possibilités de biais discriminatoire dans la programmation d'algorithmes. De plus, la conservation des données PNR n'apparaît pas nécessaire lorsque les passagers ont quitté le territoire canadien et qu'aucun risque (terrorisme ou criminalité transnationale grave) n'a été identifié avant ou pendant leur séjour. Enfin, les passagers aériens dont les données PNR sont utilisées ou conservées doivent en être informés, et une autorité de contrôle indépendante devrait garantir le respect de l'accord.

Conclusion : feu jaune. Au bout du compte, selon la Cour de justice de l'Union européenne, si l'accord UE / Canada est acceptable sur le principe, il doit toutefois être modifié dans sa forme actuelle pour mieux encadrer et protéger les données PNR. Les motifs de la Cour ne sont d'ailleurs pas si éloignés des principes sous-tendant les lois canadiennes sur la protection des renseignements personnels, notamment quant à la nécessité ou la transparence. Dans un autre registre, soulignons que l'entrée en vigueur de la nouvelle règlementation européenne en matière de renseignements personnels, prévue en mai 2018, devrait encore accentuer les enjeux et défis sur le plan de la collaboration UE / Canada.

Pour l'heure, la Commission européenne s'est engagée à « étudier soigneusement l'avis et ses répercussions éventuelles », tout en discutant « avec le Canada des moyens de répondre aux préoccupations exprimées par la Cour de justice ». Il est donc encore possible de redresser l'appareil, en modifiant l'accord conformément aux dispositions de la Charte des droits fondamentaux de l'Union européenne. À défaut de se faire, et sauf révision des traités, l'accord ne pourra pas entrer en vigueur et figurera aux registres des appareils disparus...

LIRE AUSSI
»
Justin Trudeau se veut rassurant face à l'afflux d'immigrés clandestins
» Rapport troublant à propos des femmes autochtones, dit la ministre Carolyn Bennett
» Une autre journaliste agressée verbalement en ondes par une insulte sexiste