Document public
Titre : | Conclusions relatives au fait que le transfert ainsi que le traitement automatisé généralisé et indifférencié des données PNR sont compatibles avec les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel : Ligue des droits humains (Belgique) |
Auteurs : | Cour de justice de l'Union européenne (CJUE), Auteur |
Type de document : | Jurisprudences |
Année de publication : | 27/01/2022 |
Numéro de décision ou d'affaire : | C-817/19 |
Langues: | Français |
Mots-clés : |
[Géographie] Belgique [Mots-clés] Droit européen [Mots-clés] Technologies du numérique [Mots-clés] Données personnelles [Mots-clés] Législation [Mots-clés] Terrorisme [Mots-clés] Maintien de l'ordre public [Mots-clés] Association [Mots-clés] Libertés publiques et individuelles [Mots-clés] Respect de la vie privée et familiale |
Mots-clés: | RGPD |
Résumé : |
L’utilisation des données PNR (Passenger Name Record) constitue un élément important de la lutte contre le terrorisme et les formes graves de criminalité. À cette fin, la directive PNR 1 impose le traitement systématique d’un nombre important de données des passagers aériens à l’entrée et à la sortie de l’Union. En outre, l’article 2 de cette directive prévoit pour les États membres la possibilité d’appliquer celle-ci également aux vols intra UE.
La Ligue des droits humains (LDH) est une association à but non lucratif ayant saisi la Cour constitutionnelle (Belgique), en juillet 2017, d’un recours en annulation contre la loi du 25 décembre 2016, qui transposait en droit belge les directives PNR et API 2. Selon la LDH, cette loi méconnaît le droit au respect de la vie privée et à la protection des données à caractère personnel, garanti en droit belge et en droit de l’Union. Elle critique, d’une part, le caractère très large des données PNR et, d’autre part, le caractère général de la collecte, du transfert et du traitement de ces données. Selon elle, la loi porterait également atteinte à la libre circulation des personnes en ce qu’elle rétablirait indirectement des contrôles aux frontières en étendant le système PNR aux vols intra UE. En octobre 2019, la Cour constitutionnelle a posé à la Cour de justice dix questions préjudicielles relatives à la validité et à l’interprétation des directives PNR et API, mais aussi à l’interprétation du RGPD 3. Dans ses conclusions présentées ce jour, l’avocat général Giovanni Pitruzzella précise tout d’abord que, lorsque des mesures comportant des ingérences dans les droits fondamentaux établis par la charte des droits fondamentaux de l’Union européenne (ci-après, la « Charte ») trouvent leur source dans un acte législatif de l’Union, il incombe au législateur de l’Union de fixer les éléments essentiels qui définissent la portée de ces ingérences. Il rappelle, ensuite, que des dispositions imposant ou permettant la communication de données personnelles de personnes physiques à un tiers, tel qu’une autorité publique, doivent être qualifiées, en l’absence de consentement de ces personnes physiques et quelle que soit l’utilisation ultérieure des données en cause, d’ingérence dans leur vie privée ainsi que d’ingérence dans le droit fondamental à la protection des données à caractère personnel 4. Ces ingérences ne sauraient se justifier que si elles sont prévues par la loi, respectent le contenu essentiel desdits droits et, dans le respect du principe de proportionnalité, sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et des libertés d’autrui. S’agissant, en premier lieu, des données à caractère personnel que les transporteurs aériens sont tenus de transférer aux unités d’informations passagers (UIP) conformément à la directive PNR, l’avocat général relève que l’ampleur et la gravité de l’ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel que comporte une mesure introduisant des limitations à l’exercice de ces droits dépendent, avant tout, de l’étendue et de la nature de données qui constituent l’objet de traitement. L’identification de ces données constitue donc une opération essentielle, à laquelle toute base légale introduisant une telle mesure doit obligatoirement procéder de la manière la plus claire et précise possible. Après avoir relevé que le recours à des catégories générales d’informations qui ne déterminent pas suffisamment la nature et l’étendue des données à transférer ne satisfaisait pas aux conditions de clarté et de précision énoncées par la Charte, l’avocat général conclut à l’invalidité de l’annexe I, point 12, de cette directive, dans la mesure où cette disposition inclut, parmi les catégories de données à transférer, la rubrique « remarques générales », ayant vocation à viser toute information collectée par les transporteurs aériens dans le cadre de leur activité de prestation de service, en plus de celles expressément énumérées dans les autres points de cette annexe I. Pour le reste, l’avocat général souligne que les données que les transporteurs aériens sont tenus de transférer aux UIP conformément à la directive PNR sont pertinentes, adéquates et non excessives eu égard aux finalités poursuivies par cette directive, et que leur étendue ne dépasse pas ce qui est strictement nécessaire à la réalisation de ces finalités. Il considère, par ailleurs, que ce transfert est entouré de garanties suffisantes visant, d’une part, à veiller que ne soient transférées que les données expressément visées et, d’autre part, à assurer la sécurité et la confidentialité des données transférées. L’avocat général rappelle en outre que la directive PNR énonce une interdiction générale de traitement des données sensibles, incluant également leur collecte, de sorte que le système PNR prévoit des garanties suffisantes permettant d’exclure, à chaque étape du traitement des données collectées, que ce traitement puisse directement ou indirectement prendre en compte des caractéristiques protégées. En deuxième lieu, l’avocat général considère que le caractère généralisé et indifférencié du transfert des données PNR et de l’évaluation préalable des passagers aériens au moyen du traitement automatisé de ces données est compatible avec les articles 7 et 8 de la Charte, qui consacrent les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. À cet égard, il estime notamment que la jurisprudence de la Cour en matière de conservation et d’accès aux données dans le secteur des communications électroniques 5 n’est pas transposable au système prévu par la directive PNR. Il relève, par ailleurs, que l’adoption d’un système de traitement des données PNR harmonisé au niveau de l’Union, pour ce qui concerne tant les vols extra UE que, pour les États qui ont fait usage de l’article 2 de la directive PNR, les vols intra UE, permet d’assurer que le traitement de ces données intervient dans le respect du niveau élevé de protection des droits fondamentaux énoncés aux articles 7 et 8 de la Charte fixé par cette directive. De façon plus générale, l’avocat général souligne l’importance fondamentale que revêt, dans le cadre du système de garanties mis en place par la directive PNR, la surveillance exercée par une autorité de contrôle indépendante, qui a le pouvoir de vérifier la licéité de ce traitement, d’effectuer des enquêtes, des inspections et des audits, et de traiter les réclamations introduites par toute personne concernée. Il précise à cet égard qu’il est capital que les États membres, lors de la transposition de cette directive en droit interne, reconnaissent à leur autorité nationale de contrôle toute l’étendue de ces pouvoirs en la dotant des moyens matériels et personnels nécessaires à l’accomplissement de sa tâche. En ce qui concerne notamment l’évaluation préalable des passagers aériens, s’agissant, premièrement, de la confrontation des données PNR avec les bases de données utiles aux fins de la prévention et de la détection des infractions terroristes et des formes graves de criminalité ainsi que des enquêtes et des poursuites en la matière, qui constitue le premier volet de cette évaluation, l’avocat général indique qu’il y a lieu d’interpréter la notion de « bases de données utiles » en conformité avec les exigences de clarté et de précision requises par la Charte ainsi qu’au regard des finalités de la directive PNR. Selon lui, cette notion doit être interprétée en ce sens qu’elle ne vise que les bases de données nationales gérées par les autorités compétentes, ainsi que les bases de données de l’Union et internationales directement exploitées par ces autorités dans le cadre de leur mission, outre qu’elles doivent être en rapport direct et étroit avec les finalités de lutte contre le terrorisme et la criminalité grave poursuivies par la directive PNR, ce qui implique qu’elles aient été développées pour ces finalités. S’agissant, deuxièmement, du traitement automatisé des données PNR au regard de critères préétablis, qui constitue le deuxième volet de ladite évaluation préalable, l’avocat général estime notamment qu’un tel traitement ne peut pas être effectué au moyen de systèmes d’intelligence artificielle d’apprentissage automatique, qui ne permettent pas de connaître les raisons ayant conduit l’algorithme à établir une concordance positive. Troisièmement, quant à la question de savoir si le droit de l’Union s’oppose à une législation nationale prévoyant un délai général de conservation des données PNR de cinq ans, sans distinguer si les passagers concernés se révèlent, dans le cadre de l’évaluation préalable, susceptibles ou non de présenter un risque pour la sécurité publique, l’avocat général propose d’interpréter la directive PNR, en conformité avec la Charte, en ce sens que la conservation des données PNR fournies par les transporteurs aériens aux UIP pendant une période de cinq ans n’est permise, après que l’évaluation préalable a été effectuée, que dans la mesure où il est établi, sur la base de critères objectifs, un rapport entre ces données et la lutte contre le terrorisme ou la criminalité grave. Une conservation généralisée et indifférenciée des données PNR sous une forme non anonymisée ne saurait se justifier que face à une menace grave pour la sécurité des États membres qui s’avère réelle et actuelle ou prévisible, liée, par exemple, à des activités de terrorisme, et à la condition que la durée de cette conservation soit limitée au strict nécessaire. 1 Directive (UE) 2016/681 du Parlement européen et du Conseil, du 27 avril 2016, relative à l'utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière (JO 2016, L 119, p. 132). 2 Directive 2004/82/CE du Conseil, du 29 avril 2004, concernant l'obligation pour les transporteurs de communiquer les données relatives aux passagers (JO 2004, L 261, p. 24). 3 Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (JO 2016, L 119, p. 1). 4 Voir, notamment, arrêt du 18 juin 2020, Commission/Hongrie, C-78/18 (point 124 et jurisprudence citée) ainsi que CP n° 73/20. 5 Voir notamment arrêts du 21 décembre 2016, Télé2 Sverige, C-203/15 et C-698/15 (voir également CP n° 145/16), et du 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C-520/18 (voir également CP n° 123/20). |
ECLI : | EU:C:2022:65 |
Thématique Bulletin documentaire PDF : | Technologies du numérique |
En ligne : | https://curia.europa.eu/juris/document/document.jsf?text=&docid=252841 |