Dans un avis sollicité par le Parlement européen, la Cour de justice de l'Union européenne s'est prononcée, le 28 juillet dernier, sur l'accord d'échanges de données des dossiers de passagers (PNR) entre les pays de l'Union européenne et le Canada.

L’Union européenne et le Canada ont négocié un accord sur le transfert et le traitement des données des dossiers passagers (accord PNR) qui a été signé en 2014.
Le Conseil de l’Union européenne ayant demandé au Parlement européen de l’approuver, ce dernier a décidé de saisir la Cour de justice pour savoir si l’accord envisagé était conforme au droit de l’Union et, en particulier, aux dispositions relatives au respect de la vie privée ainsi qu’à la protection des données à caractère personnel.
On notera que c’est la première fois que la Cour doit se prononcer sur la compatibilité d’un projet d’accord international avec la Charte des droits fondamentaux de l’UE.

Dans son avis, la Cour répond que l’accord PNR ne peut pas être conclu sous sa forme actuelle en raison de l’incompatibilité de plusieurs de ses dispositions avec les droits fondamentaux reconnus par l’Union.

L’accord envisagé permet le transfert systématique et continu des données PNR de l’ensemble des passagers aériens à une autorité canadienne en vue de leur utilisation et de leur conservation, ainsi que de leur éventuel transfert ultérieur à d’autres autorités et d’autres pays tiers, dans le but de lutter contre le terrorisme et les formes graves de criminalité transnationale.

À cet effet, l’accord envisagé prévoit, entre autres, une durée de stockage des données de cinq ans ainsi que des exigences en matière de sécurité et d'intégrité des données PNR, un masquage immédiat des données sensibles, des droits d'accès aux données, de rectification et d'effacement et la possibilité d'introduire des recours administratifs ou judiciaires.

Source : CJUE

Un nouvel accord non conforme au droit

Ceci montre une nouvelle fois que certaines des instances de l'Union sont capables de négocier des accords qui ne sont en fait pas conformes avec les lois de l'Union. Tout comme la Commission avait signé en 2000 le fameux accord Safe Harbor avec les autorités des États-Unis, lequel s'est révélé n'être absolument pas "safe" (= sécurisé, au point qu'il a fallu l'annuler et le remplacer tout récemment par le Privacy Shield – voir nos actualités du 9 octobre 2015 pour l'invalidation du Safe Harbor et du 5 février 2016 pour le nouveau Privacy Shield), il semble bien que de nouveau, cet accord ait été négocié les yeux fermés... C'est donc le Parlement européen qui a pris l'initiative de demander l'avis de la CJUE. Il est à noter que c'est la première fois que cette procédure est utilisée.

En savoir plus

Consulter le communiqué complet de la CJUE (pdf, 237 ko) :
https://curia.europa.eu/jcms/upload/docs/application/pdf/2017-07/cp170084fr.pdf