Données PNR de l’UE: le CEPD met en garde contre une collecte massive et indue des données des passagers
Hier, après la publication du second avis relatif à l’utilisation des données des dossiers passagers (données PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière, le Contrôleur européen de la protection des données (CEPD) a déclaré qu’il existait un manque d’informations pour justifier la nécessité d’un système PNR au niveau de l’Union européenne.
Giovanni Buttarelli, Contrôleur européen de la protection des données, déclare: "L’Europe fait face à de sérieuses menaces terroristes, et nous reconnaissons pleinement la nécessité d’une action adéquate. En tant qu’institution indépendante, nous ne sommes a priori pas favorables ou défavorables à l'une ou l'autre mesure. Cependant, selon les informations disponibles, aucun élément ne justifie de manière raisonnable la nécessité de collecter en grande quantité et de manière automatique les informations personnelles de millions de voyageurs. La nécessité et la proportionnalité sont des conditions préalables essentielles de la légitimité de toute mesure intrusive. Nous encourageons les législateurs, lors de l’évaluation de la nécessité d’une telle mesure, à examiner de manière plus approfondie l’efficacité des nouvelles approches d’investigation ainsi que l’efficacité de mesures de surveillance plus sélectives et moins intrusives fondées sur des catégories ciblées de vols, de passagers ou de pays."
L’avis le plus récent du CEPD souligne le rôle que jouent les législateurs dans l’évaluation de la nécessité et de la proportionnalité ainsi que dans l’analyse de l’incidence des mesures proposées sur les droits fondamentaux des individus à la protection des données à caractère personnel et au respect de la vie privée. Il est nécessaire pour le CEPD de réaliser également une telle analyse dans le cadre de sa mission de conseil auprès des institutions de l’UE sur les implications qu'ont leurs politiques sur la protection des données, en particulier lorsque celles-ci ont une grande incidence sur les droits au respect de la vie privée et à la protection des données.
Comme le système UE-PNR est susceptible de couvrir au moins tous les vols à destination et en provenance de l’UE, et de porter également sur les vols à l'intérieur de l'UE et/ou domestiques, plus de 300 millions de passagers non suspects pourraient être concernés par la proposition de l'Union sur les données des dossiers passagers.
S’appuyant sur ses avis précédents concernant les données PNR qui traitaient de la même question, le CEPD affirme que les informations disponibles ne justifient pas la nécessité d’une collecte massive, non ciblée et arbitraire des informations personnelles des passagers ni son caractère urgent.
Le CEPD attire l’attention sur la décision rendue en 2014 par la Cour de justice de l’Union européenne (CJUE) qui invalide la directive sur la conservation des données en raison de la collecte générale et arbitraire des données de la population: «le législateur de l’Union a dépassé les limites qu’impose le respect du principe de proportionnalité au regard des articles 7, 8 et 52, paragraphe 1, de la charte».
Le CEPD fait remarquer que le législateur de l’Union doit veiller à se conformer pleinement aux exigences strictes prévues par la Cour puisque celle-ci, aux fins de l’application de la Charte, considère avec beaucoup de scepticisme toute mesure qui, comme la directive sur la conservation des données, «s’applique[rait] à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves.»
Dans la foulée des récents incidents terroristes, les gouvernements d’Europe sont pressés de prendre des mesures significatives. Toutefois, dans une société démocratique, le CEPD remet en question la nécessité de collecter et de conserver des quantités excessives d’informations personnelles pour tous les passagers dans l’UE. Le législateur est encouragé à examiner de manière plus approfondie s’il ne serait pas plus efficace de concentrer les ressources et les efforts sur des suspects connus plutôt que d’établir le profil de tous les passagers.
Informations générales
Le respect de la vie privée et la protection des données sont des droits fondamentaux dans l’UE. La protection des données est un droit fondamental, protégé par la législation de l’UE et inscrit à l’article 8 de la Charte des droits fondamentaux de l’Union européenne.
Plus spécifiquement, les règles relatives à la protection des données dans les institutions européennes, tout comme les obligations du Contrôleur européen de la protection des données (CEPD), sont énoncées dans le règlement (CE) nº 45/2001. Le CEPD est une autorité de contrôle indépendante relativement nouvelle, mais de plus en plus influente, qui est chargée de contrôler le traitement des données à caractère personnel par les institutions et organes de l’UE, de fournir des conseils sur les politiques et la législation qui touchent à la vie privée et de coopérer avec des autorités similaires afin de garantir une protection cohérente des données.
Giovanni Buttarelli (CEPD) et Wojciech Wiewiórowski (contrôleur adjoint) sont membres de l’institution et ont été nommés par une décision conjointe du Parlement européen et du Conseil. Nommés pour un mandat de cinq ans, ils sont entrés en fonction le 4 décembre 2014.
Stratégie du CEPD pour la période 2015-2019: Dévoilé le 2 mars 2015, le plan couvrant la période 2015-2019 résume les grands défis à relever au cours des années à venir en matière de protection des données et de respect de la vie privée, ainsi que les trois objectifs stratégiques du CEPD et 10 mesures d’accompagnement pour les réaliser. Ces objectifs sont les suivants: 1) rendre numérique la protection des données; 2) forger des partenariats à grande échelle et 3) ouvrir un nouveau chapitre dédié à la protection des données dans l’UE.
Informations ou données à caractère personnel: Toute information concernant une personne physique (vivante) identifiée ou identifiable. À titre d’exemples: noms, dates de naissance, photographies, séquences vidéo, adresses électroniques et numéros de téléphone. D’autres informations telles que des adresses IP et le contenu de communications se rapportant à des utilisateurs finals de services de communication ou fournies par ces derniers sont également considérées comme des données à caractère personnel.
Respect de la vie privée: droit d’une personne à être laissée tranquille et à contrôler les informations la concernant. Le droit au respect de la vie privée est inscrit dans la Déclaration universelle des droits de l’homme (article 12), dans la Convention européenne des droits de l’homme (article 8) et dans la Charte des droits fondamentaux de l’Union européenne (article 7). La Charte contient également un droit explicite à la protection des données à caractère personnel (article 8).
Traitement des données à caractère personnel: Aux termes de l’article 2, point b), du règlement (CE) nº 45/2001, on entend par «traitement de données à caractère personnel» «toute opération ou ensemble d’opérations effectuée(s) ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.» Voir le glossaire sur le site du CEPD.
Nécessité et proportionnalité: Voir l’avis 01/2014 du groupe de travail «Article 29» sur la protection des données sur l’application des notions de nécessité et de proportionnalité et la protection des données dans le secteur répressif.
Limitation de la finalité: les informations personnelles peuvent uniquement être collectées pour des finalités déterminées, explicites et légitimes. Une fois collectées, elles ne peuvent être traitées ultérieurement de manière incompatible avec ces finalités. Ce principe est conçu pour protéger les personnes en limitant l’utilisation de leurs informations pour des finalités prédéfinies, sauf dans des conditions strictes et avec les garanties appropriées.