Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Accord UE/Canada: transfert et traitement de données des dossiers passagers (données PNR)

2013/0250(NLE)

Avis du Contrôleur européen de la protection des données (CEPD) sur les propositions de décisions du Conseil relatives à la conclusion et à la signature de l’accord entre le Canada et l’Union européenne sur le transfert et le traitement de données des dossiers passagers

Le 19 juillet 2013, la Commission a adopté les propositions de décisions du Conseil relatives à la conclusion et à la signature de l’accord entre le Canada et l’Union européenne sur le transfert et le traitement de données des dossiers passagers (ou accord sur les données PNR). Le CEPD a eu la possibilité de donner son avis avant l’adoption des propositions.

Proportionnalité : d’une manière générale, le CEPD doute de la nécessité et de la proportionnalité des systèmes PNR et des transferts massifs de données PNR vers des pays tiers. Par ailleurs, la jurisprudence indique que, si les motifs invoqués par les autorités publiques pour justifier une telle limitation doivent être pertinents et suffisants, encore doit-il être démontré qu’il n’existe pas d’autres méthodes moins intrusives. Or, à ce jour, le CEPD n’a vu aucun élément convaincant démontrant la nécessité et la proportionnalité du traitement massif et systématique de données de passagers non suspects à des fins répressives même s’il constate les garanties relatives à la protection des données prévues dans l’accord.

Base juridique: le CEPD met en doute le choix de la base juridique de ce texte et recommande que les propositions prennent pour base l’article 16 du traité FUE, lu conjointement avec l’article 218, par. 5, et l’article 218, par. 6, point a), du traité FUE.

Le CEPD s’inquiète également de l’accès limité à un recours administratif indépendant et à un recours judiciaire à part entière pour les citoyens de l’UE qui ne se trouvent pas au Canada, et s’interroge sur la pertinence d’un accord exécutif pour y parvenir. Il recommande également de demander confirmation qu’aucune autre autorité canadienne ne peut avoir directement accès aux données PNR ou les demander directement aux transporteurs couverts par l’accord.

Dispositions de l’accord PNR avec le Canada: pour le CEPD, l’accord devrait:

  • exclure totalement le traitement de données sensibles;
  • prévoir l’effacement ou l’anonymisation des données immédiatement après leur analyse et au plus tard 30 jours après leur réception et, en tout état de cause, réduire et justifier la période de conservation proposée, qui a été étendue par rapport à l’accord PNR conclu précédemment avec le Canada;
  • limiter les catégories de données PNR à traiter;
  • mentionner expressément que la surveillance globale serait assurée par une autorité indépendante;
  • limiter davantage et clarifier les concepts définissant les finalités de l’accord;
  • clarifier quels types de discrimination «légale» seraient autorisés;
  • imposer l’obligation de notifier les violations de données à la Commission et aux autorités de protection des données;
  • compléter les dispositions sur la transparence;
  • étendre l’interdiction d’adopter, sur la seule base d’un traitement informatisé, toutes les décisions affectant les passagers dans le cadre de l’accord;
  • préciser à quelles autorités du Canada les données PNR peuvent être transférées ultérieurement, en ajoutant l’exigence d’une autorisation judiciaire préalable ou de l’existence d’une menace immédiate, en prévoyant l’obligation d’inclure des mesures adéquates de protection des données dans les accords ou les arrangements conclus avec d’autres pays ou autorités destinataires et de les notifier à la Commission européenne et aux autorités européennes de protection des données;
  • nommer les autorités compétentes et fixer des sanctions dissuasives en cas de non-respect de l’accord;
  • préciser quels sont les mécanismes dont disposent les personnes qui ne résident pas au Canada pour demander un contrôle juridictionnel en application du droit canadien;
  • préciser si le droit à un contrôle juridictionnel pourrait être exercé même dans le cas où la décision ou l’action en cause n’a pas été notifiée à la personne concernée;
  • préciser à quelle «autre voie de recours susceptible de conduire à une indemnisation» il pourrait être recouru, au sens de l’accord;
  • spécifier la fréquence des examens de la mise en œuvre de l’accord et leur contenu, et inclure expressément les autorités européennes de protection des données dans l’équipe d’examen, côté l’UE.