Alors que le Conseil de l’Union européenne sollicitait l’approbation du Parlement sur l’accord PNR, signé en 2014 par le Canada et l’Union européenne, sur le transfert et le traitement des données des dossiers passagers, ce dernier a décidé de s’en remettre à l’avis de la Cour de justice de l’Union européenne. La question portait sur la compatibilité de l’accord avec le droit de l’Union et particulièrement avec le droit au respect de la vie privée ainsi qu’à la protection des données à caractère personnel.
Cet accord n’a pas été approuvé par la Cour de justice de l’Union européenne.
L’accord PNR constitue une ingérence dans la vie privée des individus et dans le droit à la protection des données à caractère personnel
Selon la Cour, les données PNR peuvent, ensemble, dévoiler des habitudes de voyage, un itinéraire complet, des informations sur la situation financière, l’état de santé des passagers, et même des informations sensibles sur les individus. De plus, ces données seront analysées systématiquement, par des moyens automatisés, avant l’arrivée des individus au Canada, ce qui permet d’obtenir des informations supplémentaires sur la vie privée de ceux-ci. Enfin, la durée de conservation des données PNR a été fixée à une durée maximale de cinq ans dans l’accord.
Ces raisons conduisent ainsi la Cour à conclure à une ingérence dans les droits fondamentaux susmentionnés.
Des ingérences qui ne sont pas limitées au strict nécessaire
La Cour est d’avis que certaines ingérences se justifient par un objectif d’intérêt général. L’objectif de l’accord étant effectivement de garantir la sécurité publique dans le contexte de la lutte contre des infractions terroristes et la criminalité transnationale grave.
Par contre, concernant d’autres dispositions de l’accord, ces ingérences ne seraient pas strictement nécessaires selon la Cour.
Les dispositions suscitant des difficultés concernent la transmission des données sensibles vers le Canada, l’utilisation des données PNR pendant le séjour des passagers aériens au Canada, et le stockage continu des données.
Les données sensibles
En ce que le transfert des données sensibles comporte le risque d’un traitement discriminatoire, un tel transfert exige une justification précise et solide. Or, une telle justification fait défaut en l’espèce dit la Cour. Il en résulte une incompatibilité des dispositions de l’accord sur le transfert de ces données avec le droit de l’Union.
L’utilisation des données PNR pendant le séjour des passagers
La Cour affirme que l’utilisation des données PNR des passagers pendant leur séjour au Canada, une fois qu’ils ont été admis sur le territoire canadien, doit pouvoir se justifier par des circonstances nouvelles pour être admise.
En pratique, les autorités compétentes devraient introduire une demande motivée dans le cadre de procédures de prévention, de détection ou de poursuites pénales.
Cette demande serait ensuite soumise à un contrôle effectué par une juridiction ou par une autorité administrative indépendante. Ces mesures permettraient d’assurer la compatibilité entre l’accord PNR et les droits fondamentaux de l’Union.
Le stockage continu des données
Enfin, la Cour juge que le stockage continu des données PNR des passagers aériens, après le départ de ceux-ci du territoire canadien, n’est pas limité au strict nécessaire.
En ce qui concerne les passagers pour lesquels aucun risque lié au terrorisme ou à la criminalité transnationale grave n’a été constaté, il n’existe pas de rapport entre les données de ces passagers et l’objectif poursuivi par l’accord PNR.
Si, en revanche, il existe des critères objectifs permettant de considérer que des passagers présentent, même après leur départ du Canada, un risque en termes de terrorisme, les données de ces derniers pourraient alors être stockées pendant une éventuelle durée de cinq ans. La Cour exige toutefois, dans ce cas, que soient respectées les mêmes règles mentionnées ci-dessus concernant l’utilisation des données pendant le séjour des passagers au Canada.